一种基于cookie信息的HTTP请求报文的监控方法及网关的制作方法
【专利摘要】本发明公开了一种基于cookie信息的HTTP请求报文的监控方法及网关,所述方法包括:Web网关拦截Web服务器首次发往客户端的HTTP响应报文,在对HTTP响应报文中cookie信息签名后,将其发往客户端;Web网关对客户端向Web服务器发送的HTTP请求报文进行实时监控,比较监控到的HTTP请求报文中cookie信息产生的签名信息与对cookie信息的原始签名信息;如果相同,则将所述HTTP请求报文发往Web服务器,否则,阻止将其发往Web服务器。根据本发明能够在不影响Web服务器性能的基础上,有效地识别出客户端或中间设备对HTTP请求报文中cookie信息的篡改。
【专利说明】—种基于cookie信息的HTTP请求报文的监控方法及网关
【技术领域】
[0001]本发明属于计算机网络【技术领域】,具体涉及一种基于cookie信息的HTTP请求报文的监控方法及网关。
【背景技术】
[0002]客户端或中间设备与Web服务器进行交互的HTTP请求报文中通常带有cookie信息,cookie作为独有的客户端凭证,由网络服务器或Web服务器生成并发送存储在对该服务器进行访问的客户端的浏览器上,从而当下次该同一访客又回到该网络服务器/Web服务器时,可从该访客的浏览器读回此信息。cookie能帮助Web服务器保存有关访问者的信息,比如管理浏览网站的人数,按照用户的喜好定制网页外观,以及在电子商务中实现诸如“购物车”等等功能。但是cookie信息在缺乏安全的网络传输环境中,存在很容易被篡改的风险,为了消除非法的网络访问和由非法访问带来的网络传输安全隐患,进而给予访客良好的体验,必须阻止将cookie信息已篡改的HTTP请求报文发往Web服务器。
[0003]因此,有必要提供一种基于cookie信息的HTTP请求报文的监控方法及网关,能够基于cookie信息对发往服务器的HTTP请求报文进行监控,阻止将cookie信息已篡改的HTTP请求报文发往Web服务器,以解决上述技术问题。
【发明内容】
[0004]本发明的目的是提供一种基于cookie信息的HTTP请求报文的监控方法及网关,能够基于cookie信息对发往服务器的HTTP请求报文进行监控,阻止将cookie信息已篡改的HTTP请求报文发往Web服务器,以提升网络传输、访问的安全,进而给与访客良好的体验。
[0005]根据本发明的一个方面,提供一种基于cookie信息的HTTP请求报文的监控方法,包括以下步骤:步骤SI,Web网关拦截Web服务器首次发往客户端的HTTP响应报文,在对所述HTTP响应报文中cookie信息签名后,将其发往客户端;步骤S2,Web网关对客户端向所述Web服务器发送的HTTP请求报文进行实时监控,比较监控到的所述HTTP请求报文中cookie信息产生的签名信息与对所述cookie信息的原始签名信息;步骤S3,如果由所述HTTP请求报文中cookie信息产生的签名信息与对该cookie信息原始签名信息相同,则将所述HTTP请求报文发往Web服务器,否则,阻止将其发往Web服务器。
[0006]其中,在上述发明中,所述步骤SI之前包括:步骤S0,客户端向Web服务器发送HTTP请求报文。
[0007]其中,在上述发明中,所述步骤SI包括:步骤S11,Web网关拦截Web服务器端首次发往客户端的HTTP响应报文,对所述HTTP响应报文头域的cookie信息中的set-cookie字段进行解析,解析出NAME = VALUE值对,此后,计算该VALUE字符串的MD5值,并记为MD5-VALUE ;步骤S12,通过BASE64转换算法将计算出的所述VALUE字符串的MD5-VALUE转换为可见字符,并记为SIG-VALUE ;步骤S13,在所述HTTP响应报文域中增加字段set-cookie:NAME = SIG-VALUE,实现对所述HTTP响应报文头域中的cookie信息的签名。
[0008]其中,在上述发明中,所述步骤S2包括:步骤S21,Web网关对客户端后续发送的HTTP请求报文进行实时监控;步骤S22,拦截所述HTTP请求报文,对该请求报文头域的cookie信息中的cookie字段进行解析,在解析出NAME = VALUE值对后,计算VALUE字符串的MD5值,并记为MD5-VALUE!;步骤S23,通过BASE64转换算法将计算出的所述VALUE字符串的MD5-VALUE'转换为可见字符,并记为SIG-VALUE';步骤S24,比较所述SIG-VALUE'与已有的对该cookie字段的SIG-VALUE。
[0009]其中,在上述发明中,所述步骤S3还包括:如果所述SIG-VALUE'与所述SIG-VALUE相同,则在去掉所述SIG-VALUE'对应的HTTP请求报文中的NAME = SIG-VALUE值对后,将该HTTP请求报文发往Web服务器。
[0010]根据本发明的另一个方面,提供一种基于cookie信息的HTTP请求报文的监控网关,包括:签名单元,用于拦截Web服务器首次发往客户端的HTTP响应报文,在对所述HTTP响应报文中cookie信息签名后,将其发往客户端;请求报文监控单元,用于对客户端向所述Web服务器发送的HTTP请求报文进行实时监控,比较监控到的所述HTTP请求报文中cookie信息产生的签名信息与对cookie信息的原始签名信息;请求报文处理单元,用于如果由所述HTTP请求报文中cookie信息产生的签名信息与对该cookie信息原始签名信息相同,将所述HTTP请求报文发往Web服务器,否则,阻止将其发往Web服务器。
[0011]其中,在上述发明中,还包括:所述网关包括Web网关,连接于客户端和Web服务器之间,客户端和Web服务器之间通过所述Web网关进行报文交互。
[0012]其中,在上述发明中,所述签名单元包括:首次响应拦截子单元、第一转换子单元和签名子单元;所述首次响应拦截子单元用于拦截Web服务器端首次发往客户端的HTTP响应报文,对所述HTTP响应报文头域的cookie信息中的set-cookie字段进行解析,解析出NAME = VALUE值对,此后,计算该VALUE字符串的MD5值,并记为MD5-VALUE ;所述第一转换子单元用于通过BASE64转换算法将所述VALUE字符串的MD5-VALUE转换为可见字符,并记为SIG-VALUE ;所述签名子单元用于在所述HTTP响应报文域中增加字段set-cookie =NAME=SIG-VALUE,实现对所述HTTP响应报文头域中的cookie信息的签名。
[0013]其中,在上述发明中,所述请求报文监控单元包括:监控子单元、拦截子单元、第二转换子单元和比较子单元;所述监控子单元用于对客户端后续发送的HTTP请求报文进行实时监控;所述拦截子单元用于拦截所述HTTP请求报文,对该请求报文头域的cookie信息中的cookie字段进行解析,在解析出NAME = VALUE值对后,计算VALUE字符串的MD5值,并记为MD5-VALUE';所述第二转换子单元用于通过BASE64转换算法将计算出的所述VALUE字符串的MD5-VALUE'转换为可见字符,并记为SIG-VALUE^ ;所述比较子单元用于比较所述SIG-VALUE'与已有的对该cookie字段的SIG-VALUE。
[0014]其中,在上述发明中,所述请求报文处理单元在所述SIG-VALUE'与所述SIG-VALUE相同时,去掉所述SIG-VALUE'对应的HTTP请求报文中的NAME = SIG-VALUE值对,并将去掉NAME = SIG-VALUE值对后的HTTP请求报文发往Web服务器。
[0015] 根据本发明的一种基于cookie信息的HTTP请求报文的监控方法及网关,能够在不影响Web服务器性能的基础上,有效地识别出客户端或中间设备对HTTP请求报文中cookie信息的篡改,进而,可以根据需要阻止将cookie信息已篡改的HTTP请求报文发往Web服务器;另外,采用了将cookie的原始信息和签名信息都发往客户端的方法,使得不需要在Web网关上记录大量的cookie值对信息,实现了零存储,节省了 Web网关的内存空间。由此,提升了网络服务器传输访问的安全性,并给予访问用户更好的体验。
【专利附图】
【附图说明】
[0016]图1显示了本发明的基于cookie信息的HTTP请求报文的监控的一实施例的原理图;
[0017]图2显示了本发明一实施例的基于cookie信息的HTTP请求报文的监控方法的流程图;
[0018]图3显示了图2中步骤SI的一实施例的子流程图;
[0019]图4显示了图2中步骤S2的一实施例的子流程图;以及
[0020]图5显示了本发明一实施例的基于cookie信息的HTTP请求报文的监控网关的结构框图。
【具体实施方式】
[0021]为使本发明的目的、技术方案和优点更加清楚明了,下面结合【具体实施方式】并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
[0022]图1显示了本发明的基于cookie信息的HTTP请求报文的监控的一实施例的原理图。
[0023]如图1所示,Web网关部署在Web服务器的前端,客户端和Web服务器交互的所有报文都经过Web网关。在本发明中,Web网关作为客户端和Web服务器的中间设备,用来识别客户端与Web服务器间交互的HTTP请求报文中的cookie信息是否被篡改,并且能根据需要阻止被篡改cookie信息的HTTP请求报文发往Web服务器。其中,cookie信息是一个客户端(client)与服务器(server)交互私有数据的总的称呼,它包含两个实例,一是server向client发送响应,其HTTP响应头域由set-cookie字段来传递,二是client向server发请求,其HTTP头域由cookie字段来传递。
[0024]具体来说,Web网关拦截Web服务器首次发往客户端的HTTP响应报文,对HTTP响应报文中cookie信息进行签名,然后将签名后的cookie信息发往客户端;客户端后续发送的HTTP请求报文都会带有该签名信息,Web网关利用请求报文中的cookie信息产生的签名与对其的原始签名之间做比较所存在的异同,来确定报文中的cookie信息是否被篡改。
[0025]下面结合图2所示,说明本发明的监控方法的一实施例的流程。
[0026]首先,步骤SO,客户端向Web服务器发送HTTP请求报文。
[0027]在一个实施方式中,客户端向Web服务器发送HTTP请求报文,HTTP请求报文经由Web网关到达Web服务器。其中,Web网关部署在Web服务器的前端,客户端和Web服务器交互的所有报文都经过Web网关,当客户端向Web服务器发送HTTP请求报文,HTTP请求报文先到达Web网关,再由Web网关转发至Web服务器。
[0028]步骤SI,Web网关拦截Web服务器首次发往客户端的HTTP响应报文,在对所述HTTP响应报文中cookie信息签名后,将其发往客户端。
[0029]Web服务器接收到在步骤SO中客户端向Web服务器发送的HTTP请求报文之后,会发送HTTP响应报文回应客户端。其中,HTTP响应报文中包含cookie信息,如包含:一个或多个设置set-cookie字段(HTTP响应报文的头域由set-cookie字段来传递),并且,通常一个set-cookie字段中只包含唯一的NAME = VALUE值对。因此,可以利用set-cookie字段实现对HTTP响应报文中的cookie信息进行签名。
[0030]在一个实施例中,Web网关拦截来自Web服务器发出给客户端的HTTP响应报文,解析HTTP报文头域(即HTTP响应头域)的cookie信息,即set-cookie字段,解析出NAME=VALUE值对,然后计算VALUE字符串的MD5值,记为MD5-VALUE,根据选用的MD5算法差异,其结果为固定长度的值,比如16位、32位、64位。进一步,由于计算出的MD5值可能是不可见字符,需要将其转化为可见字符,例如采用BASE64转换算法,经过转换后的值记为SIG-VALUE,然后在HTTP响应报文中增加一 set-cookie字段:NAME = SIG-VALUE,实现对HTTP响应报文中cookie信息的签名,最后将cookie信息签名后的HTTP响应报文发往客户端。
[0031]步骤SI的一实施例如图3所示具体流程。
[0032]步骤Sll,Web网关拦截Web服务器端首次发往客户端的HTTP响应报文,对所述HTTP响应报文头域中cookie信息进行解析以获得cookie信息值对、并进行计算,如:对所述HTTP响应报文头域的set-cookie字段进行解析,解析出NAME = VALUE值对,此后,计算该VALUE字符串的MD5值,并记为MD5-VALUE。
[0033]步骤S12,对计算结果进行转换,如:通过BASE64转换算法将计算出的所述VALUE字符串的MD5-VALUE转换为可见字符,并记为SIG-VALUE。
[0034]步骤S13,在所述HTTP响应报文域中增加签名作为cookie信息的签名信息,如:在所述HTTP响应报文域中增加字段set-cookie:NAME = SIG-VALUE,实现对所述HTTP响应报文头域中的cookie信息的签名。
[0035]在完成对HTTP响应报文头域中的cookie信息签名后(即增加字段set-cookie:NAME = SIG-VALUE),将完成cookie信息签名后的HTTP响应报文发往客户端,使得客户端后续发送的HTTP请求报文都会带有该签名,例如:
[0036]cookie: NAME = VALUE,......NAME = SIG-VALUE。
[0037]这样,经网关签名处理后的首次HTTP响应报文的cookie信息中,有服务器发送给客户端的原始cookie信息和对该原始的cookie信息的签名信息,如:字段set-cookie:NAME = VALUE,以及新增的字段 set-cookie:NAME = SIG-VALUE。新增的该 set-cookie 字段实际上就是对VALUE的签名,使得后续任何对VALUE的修改,都能通过签名SIG-VALUE识别出来。
[0038]步骤S2,Web网关对客户端向所述Web服务器发送的HTTP请求报文进行实时监控,比较监控到的所述HTTP请求报文中cookie信息产生的签名信息与对cookie信息的原始签名信息。
[0039]其中,客户端发往服务器端的请求中cookie信息由HTTP请求报文头域的cookie字段来传递。
[0040]在一个实施方式中,W eb网关拦截客户端后续发送的请求报文,解析HTTP报文头域的cookie字段,解析出NAME = VALUE值对,然后计算VALUE字符串的MD5值,记为MD5-VALUE,对MD5-VALUE 再做BASE64 转换,得到 SIG-VALUE,然后将 SIG-VALUE 与步骤 SI 中对原来服务器发给客户端的cookie信息的签名SIG-VALUE相比较,如果一致,表明客户端当前发送的HTTP请求报文中的cookie信息没有被篡改,否则表明客户端当前发送的HTTP请求报文中的cookie信息已经被篡改,可根据需要,丢弃该报文。
[0041 ] 步骤S2的一实施例如图4所示具体流程。
[0042]步骤S21,Web网关对客户端后续发送的HTTP请求报文进行实时监控。
[0043]步骤S22,拦截所述HTTP请求报文,解析其中的cookie信息,如:对该请求报文头域的cookie字段进行解析,在解析出NAME = VALUE值对后,计算VALUE字符串的MD5值,并记为MD5-VALUE'。解析方式类似步骤S11,解析并计算cookie信息的值对。
[0044]步骤S23,类似步骤S12,将计算结果进行转换,如:通过BASE64转换算法将计算出的所述VALUE字符串的MD5-VALUE'转换为可见字符,并记为SIG-VALUEi。
[0045]步骤S24,比较转换后的结果与已有的签名信息,如:比较所述SIG-VALUEi与已有的对该cookie字段的SIG-VALUE。
[0046]步骤S3,如果由所述HTTP请求报文中cookie信息产生的签名信息与对该cookie信息的原始签名信息相同,则将所述HTTP请求报文发往Web服务器,否则,阻止将其发往Web服务器。
[0047]具体来说,如果监控到客户端后续发送的HTTP请求报文中cookie信息产生的签名信息与原始签名信息相同,表明该HTTP请求报文中cookie信息未被篡改,即cookie信息仍然保留有用户上次的访问信息,则将该HTTP请求报文发往Web服务器。优选地,在将cookie信息未被篡改的HTTP请求报文发往Web服务器之前,先去掉HTTP请求报文中的NAME = SIG-VALUE值对,使得Web服务器能正常解析该HTTP请求报文中的NAME = VALUE值对。
[0048]如果监控到客户端后续发送的HTTP请求报文中cookie信息产生的签名信息与原始签名信息不相同,表明该HTTP请求报文中cookie信息已被篡改,则根据需要可丢弃该HTTP请求报文,阻止将其发往Web服务器。
[0049]通过采用上述流程,先对Web服务器首次发往客户端的HTTP响应报文中的cookie信息进行签名,使得客户端后续发送的HTTP响应报文中的均带有签名的cookie信息,然后利用请求报文中的cookie信息产生的签名与对其的原始签名之间做比较所存在的异同,来确定报文中的cookie信息是否被篡改,能够有效识别出客户端或中间设备是否篡改了HTTP请求报文中的cookie信息。
[0050]下面结合图5所示,说明本发明的网关的一实施例的结构。
[0051]在一个实施方式中,该网关,可以是web网关,设置在web服务器前端,连接于客户端和web服务器之间,客户端和Web服务器交互的所有报文都经过Web网关,具体地,客户端向Web服务器发送HTTP请求报文,HTTP请求报文先到达Web网关,再由Web网关转发至Web服务器,而Web服务器对请求作出响应则会向该客户端返回HTTP响应报文,响应报文先到达Web网关,再由Web网关转发至该客户端。
[0052]所述网关至少包括以下部件:签名单元510、请求报文监控单元520和请求报文处理单元530。
[0053]签名单元510,用于拦截Web服务器首次发往客户端的HTTP响应报文,在对所述HTTP响应报文中cookie信息签名后,将其发往客户端。具体功能和处理方式可以参见步骤SI的描述。
[0054]该签名单元510具体包括首次响应拦截子单元511、第一转换子单元512和签名子单元513。如图5所示签名单元510的结构框图。
[0055]首次响应拦截子单元511,用于拦截Web服务器端首次发往客户端的HTTP响应报文,对所述HTTP响应报文头域中cookie信息进行解析以获得cookie信息值对、并进行计算,如:对所述HTTP响应报文头域的set-cookie字段进行解析,解析出NAME = VALUE值对,此后,计算该VALUE字符串的MD5值,并记为MD5-VALUE。具体功能和处理方式可以参见步骤Sll的描述。
[0056]第一转换子单元512,用于对首次响应拦截子单元511的计算结果进行转换,如:通过BASE64转换算法将计算出的所述VALUE字符串的MD5-VALUE转换为可见字符,并记为SIG-VALUE。具体功能和处理方式可以参见步骤S12的描述。
[0057]签名子单元513,用于在所述HTTP响应报文域中增加签名作为cookie信息的签名信息,如:在所述HTTP响应报文域中增加字段set-cookie:NAME = SIG-VALUE,实现对所述HTTP响应报文头域中的cookie信息的签名。具体功能和处理方式可以参见步骤S13的描述。
[0058]请求报文监控单元520,用于对客户端向所述Web服务器发送的HTTP请求报文进行实时监控,比较监控到的所述HTTP请求报文中cookie信息产生的签名信息与对cookie信息的原始签名信息。具体功能和处理方式可以参见步骤S2的描述。
[0059]该请求报文监控单元520具体包括监控子单元521、拦截子单元522、第二转换子单元523和比较子单元524。如图5所示请求报文监控单元520的结构框图。
[0060]监控子单元521,用于对客户端后续发送的HTTP请求报文进行实时监控。具体功能和处理方式可以参见步骤S21的描述。
[0061]拦截子单元522,用于拦截所述HTTP请求报文,解析其中的cookie信息,如:对该请求报文头域的cookie字段进行解析,在解析出NAME = VALUE值对后,计算VALUE字符串的MD5值,并记为MD5-VALUE'。具体功能和处理方式可以参见步骤S22的描述。
[0062] 第二转换子单元523,通过BASE64转换算法将计算出的所述VALUE字符串的MD5-VALUE;转换为可见字符,并记为SIG-VALUE^。具体功能和处理方式可以参见步骤S23的描述。
[0063]比较子单元524,用于比较所述SIG-VALUE '与已有的对该cookie字段的SIG-VALUE。具体功能和处理方式可以参见步骤S24的描述。
[0064]请求报文处理单元530,用于如果由所述HTTP请求报文中cookie信息产生的签名信息与对该cookie信息的原始签名信息相同,则将所述HTTP请求报文发往Web服务器,否贝U,阻止将其发往Web服务器。具体功能和处理方式可以参见步骤S3的描述。
[0065]由于本实施例的网关所实现的处理及功能完全相应于前述图1-图4所示的方法实施例,故本实施例的描述中未详尽之处,可以参见前述实施例中的相关说明,在此不做赘述。
[0066]如上所述,根据本发明的一种基于cookie信息的HTTP请求报文的监控方法及网关,能够在不影响Web服务器性能的基础上,有效地识别出客户端或中间设备对HTTP请求报文中cookie信息的篡改,进而,可以根据需要阻止将cookie信息已篡改的HTTP请求报文发往Web服务器;另外,采用了将cookie的原始信息和签名信息都发往客户端的方法,使得不需要在Web网关上记录大量的cookie值对信息,实现了零存储,节省了 Web网关的内存空间。由此,提升了网络服务器传输访问的安全性,并给予访问用户更好的体验。
[0067]应当理解的是,本发明的上述【具体实施方式】仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
【权利要求】
1.一种基于cookie信息的HTTP请求报文的监控方法,其特征在于,包括以下步骤: 步骤SI,Web网关拦截Web服务器首次发往客户端的HTTP响应报文,在对所述HTTP响应报文中cookie信息签名后,将其发往客户端; 步骤S2,Web网关对客户端向所述Web服务器发送的HTTP请求报文进行实时监控,比较监控到的所述HTTP请求报文中cookie信息产生的签名信息与对所述cookie信息的原始签名信息; 步骤S3,如果由所述HTTP请求报文中cookie信息产生的签名信息与对该cookie信息原始签名信息相同,则将所述HTTP请求报文发往Web服务器,否则,阻止将其发往Web服务器。
2.根据权利要求1所述的方法,其特征在于,所述步骤SI之前包括: 步骤SO,客户端向Web服务器发送HTTP请求报文。
3.根据权利要求1或2所述的方法,其特征在于,所述步骤SI包括: 步骤Sll,Web网关拦截Web服务器端首次发往客户端的HTTP响应报文,对所述HTTP响应报文头域的 cookie信息中的set-cookie字段进行解析,解析出NAME = VALUE值对,此后,计算该VALUE字符串的MD5值,并记为MD5-VALUE ; 步骤S12,通过BASE64转换算法将计算出的所述VALUE字符串的MD5-VALUE转换为可见字符,并记为SIG-VALUE ; 步骤S13,在所述HTTP响应报文域中增加字段set-cookie:NAME = SIG-VALUE,实现对所述HTTP响应报文头域中的cookie信息的签名。
4.根据权利要求1或2所述的方法,其特征在于,所述步骤S2包括: 步骤S21,Web网关对客户端后续发送的HTTP请求报文进行实时监控; 步骤S22,拦截所述HTTP请求报文,对该请求报文头域的cookie信息中cookie字段进行解析,在解析出NAME = VALUE值对后,计算VALUE字符串的MD5值,并记为MD5-VALUE,;步骤S23,通过BASE64转换算法将计算出的所述VALUE字符串的MD5-VALUE'转换为可见字符,并记为SIG-VALUE'; 步骤S24,比较所述SIG-VALUE'与已有的对该cookie字段的SIG-VALUE。
5.根据权利要求1或2所述的方法,其特征在于,所述步骤S3还包括: 如果所述SIG-VALUE'与所述sig-value相同,则在去掉所述sig-value'对应的HTTP请求报文中的NAME = SIG-VALUE值对后,将该HTTP请求报文发往Web服务器。
6.一种基于cookie信息的HTTP请求报文的监控网关,其特征在于,包括: 签名单元(510),用于拦截Web服务器首次发往客户端的HTTP响应报文,在对所述HTTP响应报文中cookie信息签名后,将其发往客户端; 请求报文监控单元(520),用于对客户端向所述Web服务器发送的HTTP请求报文进行实时监控,比较监控到的所述HTTP请求报文中cookie信息产生的签名信息与对cookie信息的原始签名信息; 所述请求报文处理单元(530),用于如果由所述HTTP请求报文中cookie信息产生的签名信息与对该cookie信息原始签名信息相同,将所述HTTP请求报文发往Web服务器,否贝U,阻止将其发往Web服务器。
7.根据权利要求6所述的网关,其特征在于,还包括:所述网关包括Web网关,连接于客户端和Web服务器之间,客户端和Web服务器之间通过所述Web网关进行报文交互。
8.根据权利要求6或7所述的网关,其特征在于,所述签名单元(510)包括:首次响应拦截子单元(511)、第一转换子单元(512)和签名子单元(513);其中, 所述首次响应拦截子单元(511)用于拦截Web服务器端首次发往客户端的HTTP响应报文,对所述HTTP响应报文头域的cookie信息中的set-cookie字段进行解析,解析出NAME = VALUE值对,此后,计算该VALUE字符串的MD5值,并记为MD5-VALUE ; 所述第一转换子单元(512)用于通过BASE64转换算法将所述VALUE字符串的MD5-VALUE转换为可见字符,并记为SIG-VALUE ; 所述签名子单元(513)用于在所述HTTP响应报文域中增加字段set-cookie =NAME =SIG-VALUE,实现对所述HTTP响应报文头域中的cookie信息的签名。
9.根据权利要求6或7所述的网关,其特征在于,所述请求报文监控单元(520)包括:监控子单元(521)、拦截子单元(522)、第二转换子单元(523)和比较子单元(524);其中, 所述监控子单元(521)用于对客户端后续发送的HTTP请求报文进行实时监控; 所述拦截子单元(522)用于拦截所述HTTP请求报文,对该请求报文头域的cookie信息中的cookie字段进行解析,在解析出NAME = VALUE值对后,计算VALUE字符串的MD5值,并记为 MD5-VALUE'; 所述第二转换子单元(523)用于通过BASE64转换算法将计算出的所述VALUE字符串的MD5-VALUE'转换为可见字符,并记为SIG-VALUE'; 所述比较子单元(524)用于比较所述SIG-VALUE !与已有的对该cookie字段的SIG-VALUEο
10.根据权利要求6或7所述的网关,其特征在于,所述请求报文处理单元(530)在所述SIG-VALUEi与所述SIG-VALUE相同时,去掉所述SIG-VALUEi对应的HTTP请求报文中的NAME = SIG-VALUE值对,并将去掉NAME = SIG-VALUE值对后的HTTP请求报文发往Web服务器。
【文档编号】H04L29/06GK104079629SQ201410249415
【公开日】2014年10月1日 申请日期:2014年6月6日 优先权日:2014年6月6日
【发明者】胡波 申请人:汉柏科技有限公司