专利名称:一种cookie保护的方法和装置的制作方法
技术领域:
本发明涉及网络安全领域,尤其涉及一种cookie保护的方法和装置。
背景技术:
随着互联网和网络应用的普及与发展,网站使用cookie跟踪统计用户访问网站的习惯,方便为用户提供个性化的服务的同时,为网站经营策略的改进提供一定的参考价值。但是,由于cookie文件包含很多用户的信息,会导致用户泄密等问题,需要通过对cookie加密来进行保护。现有cookie加密技术使用系统提供的接口在用户态或socket进行,对于容量大cookie加密时,经常出现提高了安全性的同时却降低了网站性能等问题。
发明内容
有鉴于此,本发明提供一种cookie保护的方法和装置,将对cookie加解密的过程在IP层实现,减少了网络数据拷贝,能够提高cookie的保护能力。本发明提供一种cookie保护方法,应用于网络中间设备,所述网络中间设备位于客户端和服务器之间,所述方法包括以下步骤获取服务器向客户端发送的携带有cookie值的IP响应报文,所述IP响应报文为与客户端向服务器发送的无cookie值的IP请求报文对应的首IP响应报文;利用预先配置的算法对所述的cookie值进行加密;根据加密前后cookie值长度,修改所述IP响应报文的IP报头中的总长度字段值;将修改后的IP响应报文发送到客户端。优选地,所述方法还包括获取客户端向服务器发送的携带有加密cookie值的IP请求报文;利用预先配置的算法对所述的加密cookie值进行解密;根据解密前后cookie值长度,修改所述IP请求报文的IP报头中的总长度字段值和所述IP请求报文中TCP头的确认号;将修改后的IP请求报文发送到服务器。优选地,所述方法还包括获取服务器向客户端发送的携带有cookie值的IP响应报文,所述IP响应报文为继首IP响应报文之后的IP响应报文;利用预先配置的算法对所述的cookie值进行加密;根据加密前后cookie值长度,修改所述IP响应报文的IP报头中的总长度字段值和所述IP响应报文中TCP头的序号;将修改后的IP响应报文发送到客户端。优选地,所述预先配置的算法为DES算法或MD5算法。
本发明同时提供一种cookie保护装置,应用于网络中间设备,所述网络中间设备位于客户端和服务器之间,其特征在于,所述装置包括报文获取单元,用于获取服务器向客户端发送的携带有cookie值的IP响应报文,所述IP响应报文为与客户端向服务器发送的无cookie值的IP请求报文相对应的首IP响应报文;报文加解密单元,用于利用预先配置的算法对所述的cookie值进行加密;报文修改单元,用于根据加密前后cookie值长度,修改所述IP响应报文的IP报头中的总长度字段值;报文发送单元,用于将修改后的IP响应报文发送到客户端。优选地,所述的cookie保护装置,其中
所述报文获取单元,还用于获取客户端向服务器发送的携带有加密cook i e值的IP请求报文;所述报文加解密单元,还用于利用预先配置的算法对所述的加密cookie值进行解密;所述报文修改单元,还用于根据解密前后cookie值长度,修改所述IP请求报文的IP报头中的总长度字段值和所述IP请求报文中TCP头的确认号;所述报文发送单元,还用于将修改后的IP请求报文发送到服务器端。优选地,所述的cookie保护装置,其中所述报文获取单元,还用于获取服务器向客户端发送的携带有cookie值的IP响应报文,所述IP响应报文为继首IP响应报文之后的IP响应报文;所述报文加解密单元,还用于利用预先配置的算法对所述的cookie值进行加密;所述报文修改单元,还用于根据加密前后cookie值长度,修改所述IP响应报文的IP报头中的总长度字段值和所述IP响应报文中TCP头的序号;所述报文发送单元,还用于将修改后的IP响应报文发送到客户端。优选地,所述预先配置的算法为DES算法或MD5算法。与现有技术相比,本发明通过网络中间设备获取客户端和服务器之间的IP交互报文,对IP交互报文中所包含的cookie值进行加密或解密,在不降低网站性能的前提下提高了安全性。
图I为本发明一种cookie保护的方法流程示意图。图2为本发明一种cookie保护的装置逻辑组成图。
具体实施例方式本发明提供一种cookie保护的方法和装置,通过获取客户端和服务器端的携带有cookie值的IP交互报文,利用预先设置的算法进行加密或解密,然后根据加密或解密前后cookie长度的变化,修改所述IP交互报文的IP报头中的总长度字段值、所述IP交互报文中TCP头中序号或确认号,实现cookie信息的保护。为实现本发明目的,以下结合附图详细说明本发明。本发明提供一种cookie保护方法,应用于网络中间设备,所述网络中间设备位于客户端和服务器之间。本发明中对cookie值的保护方法具体分为以下3种情况情况I :当客户端向服务器首次发出IP请求报文以后,服务器返回与所述IP请求报文对应的携带有cookie值的首IP响应报文,针对所述首IP响应报文的cookie保护策略如下获取服务器向客户端发送的携带有cookie值的IP响应报文,所述IP响应报文为与客户端向服务器发送的无cookie值的IP请求报文对应的首IP响应报文;具体地,当客户端首次访问某个网站时,需要向服务器发送无cookie值的IP请求报文,当服务器收到所述的IP请求报文之后,会向客户端发送携带有cookie值的IP响应报文。所述的网络中间设备则获取该携带有cookie值的IP响应报文。需要说明的是,cookie是利用网页代码中HTTP头信息进行传递的,因此cookie值存在于所述IP响应报文的HTTP头部。 利用预先配置的算法对所述的cookie值进行加密;具体地,当中间设备获取所述的IP响应报文之后,采用预先配置的算法对cookie值进行加密,所述预先配置的算法为DES算法或MD5算法,也可以同时两种算法进行加密,或者使用其他的加密算法。根据加密前后cookie值长度,修改所述IP响应报文的IP报头中的总长度字段值;具体地,在对cookie值进行加密的过程中,cookie值的长度会有所变化,或者变长或者变短。在IP报头结构中,用总长度表示包头和数据包的长度。Cookie值的变化导致了数据包有效载荷大小的变化,因此,为了保证信息的准确性,需要对IP响应报文进行相应修改。将修改后的IP响应报文发送到客户端。情况2 :当客户端保存有需要访问的网站的加密cookie时,客户请求网站时,向服务器发送携带有加密cookie的IP请求报文,针对所述IP请求报文的cookie保护策略如下获取客户端向服务器发送的携带有加密cookie值的IP请求报文;具体地,当客户端收到服务器发送的携带有加密的cookie值IP响应报文后,会将cookie在客户端保存一定的时间,在所述时间范围内,客户端再次访问所述网站时,会向服务器发送携带有加密cookie的IP请求报文。所述的中间网路设备则会获取客户端向服务器发送的携带有加密cookie值的IP请求报文。需要说明的是,cookie是利用网页代码中HTTP头信息进行传递的,因此cookie值存在于所述IP请求报文的HTTP头部。利用预先配置的算法对所述的加密cookie值进行解密;具体地,当中间设备获取所述的IP请求报文之后,采用预先配置的算法对cookie值进行解密,所述预先配置的算法为DES算法或MD5算法,也可以同时两种算法进行解密,或者使用其他的解密算法。根据解密前后cookie值长度,修改所述IP请求报文的IP报头中的总长度字段值和所述IP请求报文中TCP头的确认号;具体地,在对cookie值进行解密的过程中,cookie值的长度会有所变化,或者变长或者变短。在IP报头结构中,用总长度表示包头和数据包的长度。Cookie值的变化导致了数据包有效载荷大小的变化,因此,为了保证信息的准确性,需要对IP请求报文的IP报头中的总长度字段值进行相应修改。此外,由于IP报文中携带cookie信息,针对同一种请求的报文产生了分包,为了客户端能够正确的接收报文,需要修改所述IP请求报文中TCP头的确认号。由于IP报文中携带的cookie信息长度在经过设备解密前后有所变化,为了客户端与服务器端的应用程序能基于TCP协议正常通信,需要修改后续请求报文TCP首部的序号和后续响应报文TCP首部的确认号。当TCP的有效载荷发生变化后,本领域技术人员根据TCP协议能够知道如何对TCP头进行相应的修改。将修改后的IP请求报文发送到服务器。情况3 :当服务器返回与所述IP请求报文对应的携带有cookie值的首IP响应报文后,再次发送的IP响应报文为继首IP响应报文之后的IP响应报文,针对所述IP响应报文的cookie保护策略如下获取服务器向客户端发送的携带有cookie值的IP响应报文,所述IP响应报文为继首IP响应报文之后的IP响应报文; 具体地,当客户端首次访问某个网站时,需要向服务器发送无cookie值的IP请求报文,当服务器收到所述的IP请求报文之后,会向客户端发送携带有cookie值的IP响应报文。针对同一个请求的响应会分为不同的携带有cookie值的IP响应报文进行返回。所述的网络中间设备则获取该携带有cookie值的IP响应报文。需要说明的是,cookie是利用网页代码中HTTP头信息进行传递的,因此cookie值存在于所述IP响应报文的HTTP头部。利用预先配置的算法对所述的cookie值进行加密;具体地,当中间设备获取所述的IP响应报文之后,采用预先配置的算法对cookie值进行加密,所述预先配置的算法为DES算法或MD5算法,也可以同时两种算法进行加密,或者使用其他的加密算法。根据加密前后cookie值长度,修改所述IP响应报文的IP报头中的总长度字段值和所述IP响应报文中TCP头的序号;具体地,在对cookie值进行加密的过程中,cookie值的长度会有所变化,或者变长或者变短。在IP报头结构中,用总长度表示包头和数据包的长度。Cookie值的变化导致了数据包有效载荷大小的变化,因此,为了保证信息的准确性,需要对IP响应报文进行相应修改。此外,由于IP报文中携带cookie信息,针对同一种请求的报文产生了分包,为了客户端能够正确的接收报文,需要修改所述IP响应报文中TCP头的序号。由于IP报文中携带的cookie信息长度在经过设备加密前后有所变化,为了客户端与服务器端的应用程序能基于TCP协议正常通信,需要修改后续响应报文TCP首部的序号和后续请求报文TCP首部的确认号。当TCP的有效载荷发生变化后,本领域技术人员根据TCP协议能够知道如何对TCP头进行相应的修改。将修改后的IP响应报文发送到客户端。请参考图1,为本发明cookie保护方法具体流程示意图。所述方法适用于网络中间设备,所述网络中间设备位于客户端和服务器之间,所述方法步骤如下步骤I、获取客户端首次访问服务器时向客户端发送的IP请求报文,并直接转发到服务;具体地,当客户端首次访问服务器时,客户端向服务器发送IP请求报文,所述IP请求报文不带cookie。当网络中间设备接收到所述的IP请求报文,直接将所述的IP请求报文转发到服务器。步骤2、获取服务器返回的携带有cookie的IP响应报文,并利用预先配置的算法进行加密,根据加密前后cookie值的变化修改IP响应报文的IP报头中的总长度字段值,并对后续IP响应报文中TCP头的序号和IP请求报文中TCP头的确认号进行修改,并将修改后的IP响应报文发送至客户端。具体地,当服务器收到客户端发送的IP请求报文之后,向客户端返回具有cookie的IP响应报文。获取服务器返回的携带有cookie的IP响应报文,并利用预先配置的算法对所述IP响应报文中的cookie值进行加密。在对cookie值进行加密的过程中,cookie值的长度会有所变化,或者变长或者变短。在IP报头结构中,用总长度表示包头和数据包的长度。此外,Cookie值的变化导致了数据包有效载荷大小的变化,因此,为了保证信息的 准确性,需要对IP响应报文进行相应修改。由于IP报文中携带的cookie信息长度在经过设备加密或解密前后有所变化,为了客户端与服务器端的应用程序能基于TCP协议正常通信,需要修改后续响应报文TCP头的序号和后续请求报文TCP头的确认号。步骤3、获取客户端第二次及以后再次访问所述服务器时向服务器发送携带有本地加密cookie的IP请求报文,利用预先设置的算法对所述的IP请求报文进行解密,并根据加密前后cookie值的变化修改IP响应报文的IP报头中的总长度字段值,并对后续IP响应报文中TCP头的序号和IP请求报文中TCP头的确认号进行修改,并将修改后的IP请求报文发送至服务器。具体地,当客户端收到服务器发送带有加密cookie的IP响应报文,会在一定的时间范围内将cookie信息存在客户端。在所述的时间范围内客户端第二次及以后再次访问所述服务器时,则向服务器发送携带有本地加密cookie的IP请求报文。所述网络中间设备获取该IP请求报文,并利用预先设置的算法对所述IP请求报文中cookie值进行解密。在对cookie值进行解密的过程中,cookie值的长度会有所变化,或者变长或者变短。在IP报头结构中,用总长度表示包头和数据包的长度。Cookie值的变化导致了数据包有效载荷大小的变化,因此,为了保证信息的准确性,需要对IP请求报文的IP报头中的总长度字段值进行相应修改,并对后续IP响应报文中TCP头的序号和IP请求报文中TCP头的确认号进行修改。由于IP报文中携带的cookie信息长度在经过设备解密前后有所变化,为了客户端与服务器端的应用程序能基于TCP协议正常通信,需要修改后续请求报文TCP头的序号和后续响应报文TCP头的确认号。将修改后的IP请求报文发送至服务器端。如图2所示,为本发明提供的一种cookie保护装置逻辑结构图。所述cookie保护装置应用于网络中间设备,所述网络中间设备位于客户端和服务器之间,其特征在于,所述装置包括报文获取单元,用于获取服务器向客户端发送的携带有cookie值的IP响应报文,所述IP响应报文为与客户端向服务器发送的无cookie值的IP请求报文相对应的首IP响应报文;需要说明的是,cookie是利用网页代码中HTTP头信息进行传递的,因此cookie值存在于所述IP响应报文的HTTP头部。
报文加解密单元,用于利用预先配置的算法对所述的cookie值进行加密;需要说明的是,所述预先配置的算法为DES算法或MD5算法,也可以同时两种算法进行加密,或者使用其他的加密算法。报文修改单元,用于根据加密前后cookie值长度,修改所述IP响应报文的IP报头中的总长度字段值;报文发送单元,用于将修改后的IP响应报文发送到客户端。进一步地所述报文获取单元,还用于获取客户端向服务器发送的携带有加密cookie值的IP请求报文;需要说明的是,cookie是利用网页代码中HTTP头信息进行传递的,因此cookie值存在于所述IP响应报文的HTTP头部。所述报文加解密单元,还用于利用预先配置的算法对所述的加密cookie值进行 解密;需要说明的是,所述预先配置的算法为DES算法或MD5算法,也可以同时两种算法进行加密,或者使用其他的解密算法。所述报文修改单元,还用于根据解密前后cookie值长度,修改所述IP请求报文的IP报头中的总长度字段值和所述IP请求报文中TCP头的确认号;所述报文发送单元,还用于将修改后的IP请求报文发送到服务器端。进一步地所述报文获取单元,还用于获取服务器向客户端发送的携带有cookie值的IP响应报文,所述IP响应报文为继首IP响应报文之后的IP响应报文;需要说明的是,cookie是利用网页代码中HTTP头信息进行传递的,因此cookie值存在于所述IP响应报文的HTTP头部。所述报文加解密单元,还用于利用预先配置的算法对所述的cookie值进行加密;需要说明的是,所述预先配置的算法为DES算法或MD5算法,也可以同时两种算法进行加密,或者使用其他的加密算法。所述报文修改单元,还用于根据加密前后cookie值长度,修改所述IP响应报文的IP报头中的总长度字段值和所述IP响应报文中TCP头的序号;所述报文发送单元,还用于将修改后的IP响应报文发送到客户端。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
权利要求
1.一种cookie保护方法,应用于网络中间设备,所述网络中间设备位于客户端和服务器之间,其特征在于,所述方法包括以下步骤 获取服务器向客户端发送的携带有cookie值的IP响应报文,所述IP响应报文为与客户端向服务器发送的无cookie值的IP请求报文对应的首IP响应报文; 利用预先配置的算法对所述的cookie值进行加密; 根据加密前后cookie值长度,修改所述IP响应报文的IP报头中的总长度字段值; 将修改后的IP响应报文发送到客户端。
2.如权利要求I所述的cookie保护方法,其特征在于,所述方法还包括 获取客户端向服务器发送的携带有加密cookie值的IP请求报文; 利用预先配置的算法对所述的加密cookie值进行解密; 根据解密前后cookie值长度,修改所述IP请求报文的IP报头中的总长度字段值和所述IP请求报文中TCP头的确认号; 将修改后的IP请求报文发送到服务器。
3.如权利要求I所述的cookie保护方法,其特征在于,所述方法还包括 获取服务器向客户端发送的携带有cookie值的IP响应报文,所述IP响应报文为继首IP响应报文之后的IP响应报文; 利用预先配置的算法对所述的cookie值进行加密; 根据加密前后cookie值长度,修改所述IP响应报文的IP报头中的总长度字段值和所述IP响应报文中TCP头的序号; 将修改后的IP响应报文发送到客户端。
4.如权利要求I所述的cookie加密的方法,其特征在于,所述预先配置的算法为DES算法或MD5算法。
5.一种cookie保护装置,应用于网络中间设备,所述网络中间设备位于客户端和服务器之间,其特征在于,所述装置包括 报文获取单元,用于获取服务器向客户端发送的携带有cookie值的IP响应报文,所述IP响应报文为与客户端向服务器发送的无cookie值的IP请求报文相对应的首IP响应报文; 报文加解密单元,用于利用预先配置的算法对所述的cookie值进行加密; 报文修改单元,用于根据加密前后cookie值长度,修改所述IP响应报文的IP报头中的总长度字段值; 报文发送单元,用于将修改后的IP响应报文发送到客户端。
6.如权利要求5所述的cookie保护装置,其特征在于 所述报文获取单元,还用于获取客户端向服务器发送的携带有加密cookie值的IP请求报文; 所述报文加解密单元,还用于利用预先配置的算法对所述的加密cookie值进行解密;所述报文修改单元,还用于根据解密前后cookie值长度,修改所述IP请求报文的IP报头中的总长度字段值和所述IP请求报文中TCP头的确认号; 所述报文发送单元,还用于将修改后的IP请求报文发送到服务器端。
7.如权利要求5所述的cookie保护装置,其特征在于所述报文获取单元,还用于获取服务器向客户端发送的携带有cookie值的IP响应报文,所述IP响应报文为继首IP响应报文之后的IP响应报文; 所述报文加解密单元,还用于利用预先配置的算法对所述的cookie值进行加密;所述报文修改单元,还用于根据加密前后cookie值长度,修改所述IP响应报文的IP报头中的总长度字段值和所述IP响应报文中TCP头的序号; 所述报文发送单元,还用于将修改后的IP响应报文发送到客户端。
8.如权利要求5所述的cookie加密的装置,其特征在于,所述预先配置的算法为DES算法或MD5算法。
全文摘要
本发明公开了一种cookie保护的方法和装置。通过获取客户端和服务器之间的IP交互报文,并对所述IP交互报文中所包含的cookie值进行加密或解密,并根据加密前后cookie值长度,修改所述IP响应报文的IP报头中的总长度字段值,能够在不降低网站性能的前提下提高了安全性。
文档编号H04L29/06GK102882897SQ20121042931
公开日2013年1月16日 申请日期2012年10月31日 优先权日2012年10月31日
发明者朱梁 申请人:杭州迪普科技有限公司