本发明专利技术公开了一种基于cookie信息的HTTP请求报文的监控方法及网关,所述方法包括:Web网关拦截Web服务器首次发往客户端的HTTP响应报文,在对HTTP响应报文中cookie信息签名后,将其发往客户端;Web网关对客户端向Web服务器发送的HTTP请求报文进行实时监控,比较监控到的HTTP请求报文中cookie信息产生的签名信息与对cookie信息的原始签名信息;如果相同,则将所述HTTP请求报文发往Web服务器,否则,阻止将其发往Web服务器。根据本发明专利技术能够在不影响Web服务器性能的基础上,有效地识别出客户端或中间设备对HTTP请求报文中cookie信息的篡改。
【技术实现步骤摘要】
—种基于cookie信息的HTTP请求报文的监控方法及网关
本专利技术属于计算机网络
,具体涉及一种基于cookie信息的HTTP请求报文的监控方法及网关。
技术介绍
客户端或中间设备与Web服务器进行交互的HTTP请求报文中通常带有cookie信息,cookie作为独有的客户端凭证,由网络服务器或Web服务器生成并发送存储在对该服务器进行访问的客户端的浏览器上,从而当下次该同一访客又回到该网络服务器/Web服务器时,可从该访客的浏览器读回此信息。cookie能帮助Web服务器保存有关访问者的信息,比如管理浏览网站的人数,按照用户的喜好定制网页外观,以及在电子商务中实现诸如“购物车”等等功能。但是cookie信息在缺乏安全的网络传输环境中,存在很容易被篡改的风险,为了消除非法的网络访问和由非法访问带来的网络传输安全隐患,进而给予访客良好的体验,必须阻止将cookie信息已篡改的HTTP请求报文发往Web服务器。 因此,有必要提供一种基于cookie信息的HTTP请求报文的监控方法及网关,能够基于cookie信息对发往服务器的HTTP请求报文进行监控,阻止将cookie信息已篡改的HTTP请求报文发往Web服务器,以解决上述技术问题。
技术实现思路
本专利技术的目的是提供一种基于cookie信息的HTTP请求报文的监控方法及网关,能够基于cookie信息对发往服务器的HTTP请求报文进行监控,阻止将cookie信息已篡改的HTTP请求报文发往Web服务器,以提升网络传输、访问的安全,进而给与访客良好的体验。 根据本专利技术的一个方面,提供一种基于cookie信息的HTTP请求报文的监控方法,包括以下步骤:步骤SI,Web网关拦截Web服务器首次发往客户端的HTTP响应报文,在对所述HTTP响应报文中cookie信息签名后,将其发往客户端;步骤S2,Web网关对客户端向所述Web服务器发送的HTTP请求报文进行实时监控,比较监控到的所述HTTP请求报文中cookie信息产生的签名信息与对所述cookie信息的原始签名信息;步骤S3,如果由所述HTTP请求报文中cookie信息产生的签名信息与对该cookie信息原始签名信息相同,则将所述HTTP请求报文发往Web服务器,否则,阻止将其发往Web服务器。 其中,在上述专利技术中,所述步骤SI之前包括:步骤S0,客户端向Web服务器发送HTTP请求报文。 其中,在上述专利技术中,所述步骤SI包括:步骤S11,Web网关拦截Web服务器端首次发往客户端的HTTP响应报文,对所述HTTP响应报文头域的cookie信息中的set-cookie字段进行解析,解析出NAME = VALUE值对,此后,计算该VALUE字符串的MD5值,并记为MD5-VALUE ;步骤S12,通过BASE64转换算法将计算出的所述VALUE字符串的MD5-VALUE转换为可见字符,并记为SIG-VALUE ;步骤S13,在所述HTTP响应报文域中增加字段set-cookie:NAME = SIG-VALUE,实现对所述HTTP响应报文头域中的cookie信息的签名。 其中,在上述专利技术中,所述步骤S2包括:步骤S21,Web网关对客户端后续发送的HTTP请求报文进行实时监控;步骤S22,拦截所述HTTP请求报文,对该请求报文头域的cookie信息中的cookie字段进行解析,在解析出NAME = VALUE值对后,计算VALUE字符串的MD5值,并记为MD5-VALUE!;步骤S23,通过BASE64转换算法将计算出的所述VALUE字符串的MD5-VALUE'转换为可见字符,并记为SIG-VALUE';步骤S24,比较所述SIG-VALUE'与已有的对该cookie字段的SIG-VALUE。 其中,在上述专利技术中,所述步骤S3还包括:如果所述SIG-VALUE'与所述SIG-VALUE相同,则在去掉所述SIG-VALUE'对应的HTTP请求报文中的NAME = SIG-VALUE值对后,将该HTTP请求报文发往Web服务器。 根据本专利技术的另一个方面,提供一种基于cookie信息的HTTP请求报文的监控网关,包括:签名单元,用于拦截Web服务器首次发往客户端的HTTP响应报文,在对所述HTTP响应报文中cookie信息签名后,将其发往客户端;请求报文监控单元,用于对客户端向所述Web服务器发送的HTTP请求报文进行实时监控,比较监控到的所述HTTP请求报文中cookie信息产生的签名信息与对cookie信息的原始签名信息;请求报文处理单元,用于如果由所述HTTP请求报文中cookie信息产生的签名信息与对该cookie信息原始签名信息相同,将所述HTTP请求报文发往Web服务器,否则,阻止将其发往Web服务器。 其中,在上述专利技术中,还包括:所述网关包括Web网关,连接于客户端和Web服务器之间,客户端和Web服务器之间通过所述Web网关进行报文交互。 其中,在上述专利技术中,所述签名单元包括:首次响应拦截子单元、第一转换子单元和签名子单元;所述首次响应拦截子单元用于拦截Web服务器端首次发往客户端的HTTP响应报文,对所述HTTP响应报文头域的cookie信息中的set-cookie字段进行解析,解析出NAME = VALUE值对,此后,计算该VALUE字符串的MD5值,并记为MD5-VALUE ;所述第一转换子单元用于通过BASE64转换算法将所述VALUE字符串的MD5-VALUE转换为可见字符,并记为SIG-VALUE ;所述签名子单元用于在所述HTTP响应报文域中增加字段set-cookie =NAME=SIG-VALUE,实现对所述HTTP响应报文头域中的cookie信息的签名。 其中,在上述专利技术中,所述请求报文监控单元包括:监控子单元、拦截子单元、第二转换子单元和比较子单元;所述监控子单元用于对客户端后续发送的HTTP请求报文进行实时监控;所述拦截子单元用于拦截所述HTTP请求报文,对该请求报文头域的cookie信息中的cookie字段进行解析,在解析出NAME = VALUE值对后,计算VALUE字符串的MD5值,并记为MD5-VALUE';所述第二转换子单元用于通过BASE64转换算法将计算出的所述VALUE字符串的MD5-VALUE'转换为可见字符,并记为SIG-VALUE^ ;所述比较子单元用于比较所述SIG-VALUE'与已有的对该cookie字段的SIG-VALUE。 其中,在上述专利技术中,所述请求报文处理单元在所述SIG-VALUE'与所述SIG-VALUE相同时,去掉所述SIG-VALUE'对应的HTTP请求报文中的NAME = SIG-VALUE值对,并将去掉NAME = SIG-VALUE值对后的HTTP请求报文发往Web服务器。 根据本专利技术的一种基于cookie信息的HTTP请求报文的监控方法及网关,能够在不影响Web服务器性能的基础上,有效地识别出客户端或中间设备对HTTP请求报文中cookie信息的篡改,进而,可以根据需要阻止将cookie信息已篡改的HTTP请求报文发往Web服务器;另外,采用了将co本文档来自技高网...
【技术保护点】
一种基于cookie信息的HTTP请求报文的监控方法,其特征在于,包括以下步骤:步骤S1,Web网关拦截Web服务器首次发往客户端的HTTP响应报文,在对所述HTTP响应报文中cookie信息签名后,将其发往客户端;步骤S2,Web网关对客户端向所述Web服务器发送的HTTP请求报文进行实时监控,比较监控到的所述HTTP请求报文中cookie信息产生的签名信息与对所述cookie信息的原始签名信息;步骤S3,如果由所述HTTP请求报文中cookie信息产生的签名信息与对该cookie信息原始签名信息相同,则将所述HTTP请求报文发往Web服务器,否则,阻止将其发往Web服务器。
【技术特征摘要】
1.一种基于cookie信息的HTTP请求报文的监控方法,其特征在于,包括以下步骤: 步骤SI,Web网关拦截Web服务器首次发往客户端的HTTP响应报文,在对所述HTTP响应报文中cookie信息签名后,将其发往客户端; 步骤S2,Web网关对客户端向所述Web服务器发送的HTTP请求报文进行实时监控,比较监控到的所述HTTP请求报文中cookie信息产生的签名信息与对所述cookie信息的原始签名信息; 步骤S3,如果由所述HTTP请求报文中cookie信息产生的签名信息与对该cookie信息原始签名信息相同,则将所述HTTP请求报文发往Web服务器,否则,阻止将其发往Web服务器。2.根据权利要求1所述的方法,其特征在于,所述步骤SI之前包括: 步骤SO,客户端向Web服务器发送HTTP请求报文。3.根据权利要求1或2所述的方法,其特征在于,所述步骤SI包括: 步骤Sll,Web网关拦截Web服务器端首次发往客户端的HTTP响应报文,对所述HTTP响应报文头域的 cookie信息中的set-cookie字段进行解析,解析出NAME = VALUE值对,此后,计算该VALUE字符串的MD5值,并记为MD5-VALUE ; 步骤S12,通过BASE64转换算法将计算出的所述VALUE字符串的MD5-VALUE转换为可见字符,并记为SIG-VALUE ; 步骤S13,在所述HTTP响应报文域中增加字段set-cookie:NAME = SIG-VALUE,实现对所述HTTP响应报文头域中的cookie信息的签名。4.根据权利要求1或2所述的方法,其特征在于,所述步骤S2包括: 步骤S21,Web网关对客户端后续发送的HTTP请求报文进行实时监控; 步骤S22,拦截所述HTTP请求报文,对该请求报文头域的cookie信息中cookie字段进行解析,在解析出NAME = VALUE值对后,计算VALUE字符串的MD5值,并记为MD5-VALUE,;步骤S23,通过BASE64转换算法将计算出的所述VALUE字符串的MD5-VALUE'转换为可见字符,并记为SIG-VALUE'; 步骤S24,比较所述SIG-VALUE'与已有的对该cookie字段的SIG-VALUE。5.根据权利要求1或2所述的方法,其特征在于,所述步骤S3还包括: 如果所述SIG-VALUE'与所述sig-value相同,则在去掉所述sig-value'对应的HTTP请求报文中的NAME = SIG-VALUE值对后,将该HTTP请求报文发往Web服务器。6.一种基于cookie信息的HTTP请求报文的监控网关,其特征在于,包括: 签名单元(510),用于拦截Web服务器首次发往客户端的HTTP响应报文,在对所述HTTP响应报文中cookie信息签名后,将其发往客户端...
【专利技术属性】
技术研发人员:胡波,
申请(专利权)人:汉柏科技有限公司,
类型:发明
国别省市:天津;12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。