保護(hù)Cookie信息的方法及Web服務(wù)器前置網(wǎng)關(guān)的制作方法
【專利摘要】本發(fā)明實(shí)施例公開了一種保護(hù)Cookie信息的方法及Web服務(wù)器前置網(wǎng)關(guān)���,其中所述方法,包括:從客戶端接收超文本連接協(xié)議HTTP請(qǐng)求報(bào)文��;判斷存儲(chǔ)的關(guān)系數(shù)據(jù)庫中是否包含所述HTTP請(qǐng)求報(bào)文中的Cookie值����、客戶端地址����、服務(wù)器地址組成的表項(xiàng)��;當(dāng)判斷結(jié)果為是��,確定所述HTTP請(qǐng)求報(bào)文合法���,則將所述HTTP請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給所述服務(wù)器����;當(dāng)判斷結(jié)果為否�����,確定所述HTTP請(qǐng)求報(bào)文非法����,丟棄所述HTTP請(qǐng)求報(bào)文或指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文。本發(fā)明實(shí)施例提高了Web服務(wù)器的安全性�����。
【專利說明】保護(hù)Cooki e信息的方法及Web服務(wù)器前置網(wǎng)關(guān)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信領(lǐng)域,尤其涉及保護(hù)Cookie信息的方法及Web服務(wù)器前置網(wǎng)關(guān)��。
【背景技術(shù)】
[0002]超文本傳輸協(xié)議(Hypertext Transfer Protocol,HTTP)是Web應(yīng)用的核心協(xié)議��。HTTP在Web的客戶程序和服務(wù)器程序中得以實(shí)現(xiàn)���,客戶端使用HTTP協(xié)議與Web服務(wù)器實(shí)現(xiàn)數(shù)據(jù)交互。HTTP是一種無狀態(tài)�����、無連接的協(xié)議�����,不能在服務(wù)器上保持一次會(huì)話的持續(xù)狀態(tài)信息��。為了記錄用戶瀏覽頁面的狀態(tài)信息����,向用戶提供更友好的交互環(huán)境,Cookie技術(shù)就應(yīng)運(yùn)而生�����。Cookie是Web服務(wù)器產(chǎn)生一定的信息,存放在客戶端�,用來維持客戶端和服務(wù)器之間連接狀態(tài)的一種技術(shù)。Cookie技術(shù)是對(duì)HTTP協(xié)議的一種補(bǔ)充�����。通常應(yīng)用Cookie的過程如下:C00kie由服務(wù)器端生成�����,發(fā)送給客戶端的Web瀏覽器��,瀏覽器會(huì)將Cookie的名稱和值保存到本地�,瀏覽器下次請(qǐng)求同一網(wǎng)站時(shí)就發(fā)送該Cookie給服務(wù)器。Cookie名稱和值由服務(wù)器端自己定義��。目前有如下現(xiàn)有技術(shù):
[0003]服務(wù)器發(fā)給客戶端的HTTP應(yīng)答報(bào)文�,在經(jīng)過Web服務(wù)器前置網(wǎng)關(guān)時(shí),網(wǎng)關(guān)根據(jù)報(bào)文中Cookie的值(比如�,Key=V)計(jì)算簽名,并將簽名連接在原Cookie的值之后(變成Key=V+S)0將Cookie的值和簽名一起加密之后�����,替換原來的Cookie值���,修改HTTP報(bào)文內(nèi)容后���,將報(bào)文發(fā)到客戶端�����。
[0004]客戶端發(fā)給服務(wù)器的HTTP請(qǐng)求報(bào)文����,經(jīng)過網(wǎng)關(guān)時(shí)�����,網(wǎng)關(guān)解密Cookie的值(Key=V+S)���,在判定Cookie簽名正確后,將Cookie恢復(fù)成加密之前的值(Key=V),再將HTTP請(qǐng)求報(bào)文發(fā)給Web服務(wù)器���。
[0005]如果HTTP請(qǐng)求報(bào)文有虛假的Cookie (比如�,Key=V’)����,解密之后計(jì)算出的簽名值不合法�����,可判定Cookie不合法���。這樣就可以鑒別報(bào)文的Cookie是否被篡改。
[0006]但是現(xiàn)有技術(shù)的上述方案�,存在如下不足:
[0007]首先,需要修改Cookie的值的內(nèi)容���,即需要修改合法連接的HTTP報(bào)文的內(nèi)容�����,客戶端收到的Cookie其實(shí)不是服務(wù)器發(fā)出的Cookie���,影響了 Cookie的應(yīng)用擴(kuò)展性。服務(wù)器產(chǎn)生的Cookie為:Key=V,而客戶端收到的Cookie為:Key=D (V+S)���,如果客戶端上層應(yīng)用程序需要使用Cookie的值V時(shí)���,這種技術(shù)就不適用。
[0008]其次,不能防止Cookie欺騙���,如果黑客只是盜用其他用戶的Cookie����,不修改Cookie的內(nèi)容�,并發(fā)起HTTP連接,該現(xiàn)有技術(shù)不能識(shí)別這種攻擊方式���。例�,如果黑客盜取Cookie:Key=D (V+S),不篡改Cookie,直接發(fā)起的非法連接中包含Cookie:Key=D (V+S),網(wǎng)關(guān)無法識(shí)別這種非法連接����。
[0009]再次�,目前的處理技術(shù)需要改變Cookie的內(nèi)容,網(wǎng)關(guān)處理時(shí)每個(gè)Cookie值需要分別進(jìn)行加密和解密的計(jì)算處理��,一次HTTP連接可能包含多個(gè)Cookie�,使得設(shè)備處理性能很難提高。要提高流量處理性能��,需要硬件上性能很強(qiáng)的處理器實(shí)現(xiàn)�。
【發(fā)明內(nèi)容】
[0010]本發(fā)明實(shí)施例提供保護(hù)Cookie信息的方法及Web服務(wù)器前置網(wǎng)關(guān),能提高Web服務(wù)器的安全性。
[0011]本發(fā)明第一方面提供一種保護(hù)Cookie信息的方法����,其可包括:
[0012]從客戶端接收超文本連接協(xié)議HTTP請(qǐng)求報(bào)文;
[0013]判斷存儲(chǔ)的關(guān)系數(shù)據(jù)庫中是否包含所述HTTP請(qǐng)求報(bào)文中的Cookie值�����、客戶端地址����、服務(wù)器地址組成的表項(xiàng);所述關(guān)系數(shù)據(jù)庫用于記錄Cookie值��、客戶端地址�、服務(wù)器地址三者對(duì)應(yīng)關(guān)系;
[0014]當(dāng)判斷結(jié)果為是�����,確定所述HTTP請(qǐng)求報(bào)文合法���,則將所述HTTP請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給所述服務(wù)器�;
[0015]當(dāng)判斷結(jié)果為否�����,確定所述HTTP請(qǐng)求報(bào)文非法,丟棄所述HTTP請(qǐng)求報(bào)文或指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文����。
[0016]結(jié)合第一方面,在第一種可行的實(shí)施方式中�����,從客戶端接收超文本連接協(xié)議HTTP請(qǐng)求報(bào)文之前��,還包括:
[0017]從服務(wù)器接收HTTP應(yīng)答報(bào)文����;
[0018]從所述接收的HTTP應(yīng)答報(bào)文中提取Cookie值、客戶端地址以及服務(wù)器地址生成所述關(guān)系數(shù)據(jù)庫�。
[0019]結(jié)合第一方面,在第二種可行的實(shí)施方式中��,所述從客戶端接收超文本連接協(xié)議HTTP請(qǐng)求報(bào)文之后��,還包括:
[0020]判斷所述HTTP請(qǐng)求報(bào)文的客戶端地址是否包含在存儲(chǔ)的源地址黑名單中��,如果判斷為是�,則丟棄所述HTTP請(qǐng)求報(bào)文;
[0021]如果判斷為否���,則判斷存儲(chǔ)的關(guān)系數(shù)據(jù)庫中是否包含所述HTTP請(qǐng)求報(bào)文中的Cookie值����、客戶端地址�����、服務(wù)器地址組成的表項(xiàng)�。
[0022]結(jié)合第一方面至第一方面的第二種可行的實(shí)施方式中任一種,在第三種可行的實(shí)施方式中����,所述確定所述HTTP請(qǐng)求報(bào)文非法,丟棄所述HTTP請(qǐng)求報(bào)文或指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文�����,包括:
[0023]統(tǒng)計(jì)在預(yù)設(shè)的第一時(shí)間范圍內(nèi)����,所述客戶端地址作為源地址向所述服務(wù)器發(fā)送HTTP請(qǐng)求報(bào)文的次數(shù);
[0024]當(dāng)統(tǒng)計(jì)的次數(shù)超過預(yù)設(shè)的第一閾值�����,則將所述客戶端的地址加入存儲(chǔ)的源地址黑名單中,并丟棄所述HTTP請(qǐng)求報(bào)文���;
[0025]當(dāng)統(tǒng)計(jì)的次數(shù)未超過所述預(yù)設(shè)的第一閾值��,則修改所述HTTP請(qǐng)求報(bào)文中的所述Cookie值���,用于指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文。
[0026]結(jié)合第一方面的第二種可行的實(shí)施方式中任一種�,在第四種可行的實(shí)施方式中,本發(fā)明實(shí)施例的方法還包括:
[0027]實(shí)時(shí)統(tǒng)計(jì)每一客戶端地址在源地址黑名單中生效時(shí)刻開始���,持續(xù)第二時(shí)間之后���,從每一客戶端地址對(duì)應(yīng)的客戶端接收到的HTTP請(qǐng)求報(bào)文數(shù)目;
[0028]當(dāng)統(tǒng)計(jì)到從一個(gè)或多個(gè)客戶端接收到的HTTP請(qǐng)求報(bào)文數(shù)目小于預(yù)設(shè)的第二閾值����,則從所述源地址黑名單中刪除所述一個(gè)或多個(gè)客戶端的客戶端地址。
[0029]本發(fā)明第二方面提供一種Web服務(wù)器前置網(wǎng)關(guān)��,其可包括:
[0030]存儲(chǔ)模塊�,用于存儲(chǔ)關(guān)系數(shù)據(jù)庫,所述關(guān)系數(shù)據(jù)庫用于記錄Cookie值����、客戶端地址、服務(wù)器地址三者對(duì)應(yīng)關(guān)系���;
[0031 ] 接收模塊�,用于從客戶端接收超文本連接協(xié)議HTTP請(qǐng)求報(bào)文����;
[0032]判斷模塊,用于判斷存儲(chǔ)的關(guān)系數(shù)據(jù)庫中是否包含所述HTTP請(qǐng)求報(bào)文中的Cookie值����、客戶端地址、服務(wù)器地址組成的表項(xiàng)���;
[0033]處理模塊����,用于當(dāng)所述判斷模塊的判斷結(jié)果為是時(shí)�����,確定所述HTTP請(qǐng)求報(bào)文合法,并將所述HTTP請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給所述服務(wù)器�����;當(dāng)所述判斷模塊的判斷結(jié)果為否時(shí)���,確定所述HTTP請(qǐng)求報(bào)文非法�,丟棄所述HTTP請(qǐng)求報(bào)文或指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文�����。
[0034]結(jié)合第二方面���,在第一種可行的實(shí)施方式中��,所述接收模塊還用于從服務(wù)器接收HTTP應(yīng)答報(bào)文��;并從所述接收的HTTP應(yīng)答報(bào)文中提取Cookie值�、客戶端地址以及服務(wù)器地址生成所述關(guān)系數(shù)據(jù)庫�����。
[0035]結(jié)合第二方面���,在第二種可行的實(shí)施方式中��,所述判斷模塊還用于當(dāng)所述接收模塊從客戶端接收超文本連接協(xié)議HTTP請(qǐng)求報(bào)文之后����,判斷所述HTTP請(qǐng)求報(bào)文的客戶端地址是否包含在所述存儲(chǔ)模塊存儲(chǔ)的源地址黑名單中�����,如果判斷為是�,則指示所述處理模塊丟棄所述HTTP請(qǐng)求報(bào)文;如果判斷為否�,則判斷存儲(chǔ)的關(guān)系數(shù)據(jù)庫中是否包含所述HTTP請(qǐng)求報(bào)文中的Cookie值、客戶端地址����、服務(wù)器地址組成的表項(xiàng)。
[0036]結(jié)合第二方面至第二方面的第二種可行的實(shí)施方式中任一種�,在第三種可行的實(shí)施方式中,所述處理模塊����,包括:
[0037]第一統(tǒng)計(jì)模塊,用于統(tǒng)計(jì)在預(yù)設(shè)的第一時(shí)間范圍內(nèi)��,所述客戶端地址作為源地址向所述服務(wù)器發(fā)送HTTP請(qǐng)求報(bào)文的次數(shù);
[0038]第一處理子模塊���,用于當(dāng)所述第一統(tǒng)計(jì)模塊統(tǒng)計(jì)的次數(shù)超過預(yù)設(shè)的第一閾值����,則將所述客戶端的地址加入存儲(chǔ)的源地址黑名單中�,并丟棄所述HTTP請(qǐng)求報(bào)文;
[0039]第二處理子模塊��,用于當(dāng)所述第一統(tǒng)計(jì)模塊統(tǒng)計(jì)的次數(shù)未超過所述預(yù)設(shè)的第一閾值��,則修改所述HTTP請(qǐng)求報(bào)文中的所述Cookie值����,用于指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文。
[0040]結(jié)合第二方面的第二種可行的實(shí)施方式中任一種�,在第四種可行的實(shí)施方式中,本發(fā)明實(shí)施例的網(wǎng)關(guān)還包括:
[0041]第二統(tǒng)計(jì)模塊�����,用于實(shí)時(shí)統(tǒng)計(jì)每一客戶端地址在源地址黑名單中生效時(shí)刻開始�,持續(xù)第二時(shí)間之后,從每一客戶端地址對(duì)應(yīng)的客戶端接收到的HTTP請(qǐng)求報(bào)文數(shù)目;并當(dāng)統(tǒng)計(jì)到從一個(gè)或多個(gè)客戶端接收到的HTTP請(qǐng)求報(bào)文數(shù)目小于預(yù)設(shè)的第二閾值�,則從所述源地址黑名單中刪除所述一個(gè)或多個(gè)客戶端的客戶端地址。
[0042]由上可見�,在本發(fā)明的一些可行的實(shí)施方式中,從客戶端接收超文本連接協(xié)議HTTP請(qǐng)求報(bào)文��;判斷存儲(chǔ)的關(guān)系數(shù)據(jù)庫中是否包含所述HTTP請(qǐng)求報(bào)文中的Cookie值�����、客戶端地址��、服務(wù)器地址組成的表項(xiàng)�;所述關(guān)系數(shù)據(jù)庫用于記錄Cookie值���、客戶端地址�、服務(wù)器地址三者對(duì)應(yīng)關(guān)系��;當(dāng)判斷結(jié)果為是�����,確定所述HTTP請(qǐng)求報(bào)文合法���,則將所述HTTP請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給所述服務(wù)器����;當(dāng)判斷結(jié)果為否,確定所述HTTP請(qǐng)求報(bào)文非法�����,丟棄所述HTTP請(qǐng)求報(bào)文或指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文����。由于本發(fā)明實(shí)施例通過Cookie值、客戶端地址���、服務(wù)器地址三者對(duì)應(yīng)關(guān)系唯一限定了一次合法的HTTP請(qǐng)求�,這樣�,其可在不修改合法的報(bào)文中的Cookie值時(shí),防止Cookie篡改攻擊和Cookie欺騙攻擊(因?yàn)椋词笴ookie被盜��,本發(fā)明實(shí)施例也可通過客戶端地址或服務(wù)器地址判斷HTTP請(qǐng)求的合法性)���,提高了Web服務(wù)器的安全性�����,以及,本發(fā)明實(shí)施例不需要通過修改Cookie值來保證Cookie的安全����,減輕了網(wǎng)關(guān)的性能負(fù)擔(dān)。
【專利附圖】
【附圖說明】
[0043]圖1為本發(fā)明實(shí)施例的保護(hù)Cookie信息的方法的一實(shí)施例的流程示意圖����;
[0044]圖2為本發(fā)明實(shí)施例的保護(hù)Cookie信息的方法的另一實(shí)施例的流程示意圖;
[0045]圖3為本發(fā)明的Web服務(wù)器前置網(wǎng)關(guān)的一實(shí)施例的結(jié)構(gòu)組成示意圖�����;
[0046]圖4為本發(fā)明的Web服務(wù)器前置網(wǎng)關(guān)的另一實(shí)施例的結(jié)構(gòu)組成示意圖��;
[0047]圖5為本發(fā)明的Web服務(wù)器前置網(wǎng)關(guān)的另一實(shí)施例的結(jié)構(gòu)組成示意圖�;
[0048]圖6為本發(fā)明的Web服務(wù)器前置網(wǎng)關(guān)的另一實(shí)施例的結(jié)構(gòu)組成示意圖�����。
【具體實(shí)施方式】
[0049]為使本發(fā)明的目的����、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步地詳細(xì)描述���。
[0050]圖1為本發(fā)明實(shí)施例的保護(hù)Cookie信息的方法的一實(shí)施例的流程示意圖���。如圖1所示�,本發(fā)明實(shí)施例的方法可包括:
[0051]步驟S110���,從客戶端接收超文本連接協(xié)議HTTP請(qǐng)求報(bào)文���。
[0052]步驟S111,判斷存儲(chǔ)的關(guān)系數(shù)據(jù)庫中是否包含所述HTTP請(qǐng)求報(bào)文中的Cookie值����、客戶端地址、服務(wù)器地址組成的表項(xiàng)�����;所述關(guān)系數(shù)據(jù)庫用于記錄Cookie值�、客戶端地址、服務(wù)器地址三者對(duì)應(yīng)關(guān)系����,當(dāng)判斷結(jié)果為是,執(zhí)行步驟S112;當(dāng)判斷結(jié)果為否���,執(zhí)行步驟S113�����。
[0053]本發(fā)明實(shí)施例����,當(dāng)從客戶端接收到HTTP請(qǐng)求報(bào)文時(shí),可提取所述HTTP請(qǐng)求報(bào)文中的Cookie值(比如��,Key=V),所述HTTP請(qǐng)求報(bào)文的客戶端地址(也是請(qǐng)求報(bào)文的源地址�,比如,IP地址I)��、所述HTTP請(qǐng)求報(bào)文的服務(wù)器地址(也是請(qǐng)求報(bào)文的目的地址�,比如�����,IP地址2);然后查詢關(guān)系數(shù)據(jù)庫中是否包含所述HTTP請(qǐng)求報(bào)文中的Cookie值���、客戶端地址�����、月艮務(wù)器地址組成的表項(xiàng)(比如�,表項(xiàng)包括=Cookie:Key=V,客戶端地址:IP地址1����,服務(wù)器地址:IP地址2 ),當(dāng)判斷為是時(shí)����,則執(zhí)行步驟S112 ;當(dāng)判斷為否時(shí),則執(zhí)行步驟S113�����。
[0054]具體實(shí)現(xiàn)中�����,在本發(fā)明實(shí)施例的關(guān)系數(shù)據(jù)庫用于記錄Cookie值�����、客戶端地址�����、月艮務(wù)器地址三者對(duì)應(yīng)關(guān)系。本發(fā)明實(shí)施例可在步驟Slll和步驟SllO之前��,當(dāng)從服務(wù)器接收到HTTP應(yīng)答報(bào)文時(shí)�����,所述接收的HTTP應(yīng)答報(bào)文中提取Cookie值�、客戶端地址以及服務(wù)器地址生成所述關(guān)系數(shù)據(jù)庫。
[0055]具體實(shí)現(xiàn)中�����,關(guān)系數(shù)據(jù)庫可通過多種方式存儲(chǔ)Cookie值�、客戶端地址以及服務(wù)器地址三者之間的對(duì)應(yīng)關(guān)系。其中的一種方式可為:由Cookie值和服務(wù)器地址計(jì)算一個(gè)哈希(Hash)值����,然后將需對(duì)應(yīng)的客戶端地址關(guān)聯(lián)到此Hash值節(jié)點(diǎn)上。當(dāng)然��,具體實(shí)現(xiàn)中���,三者關(guān)系的建立也可以有其他的方式,比如直接建立一個(gè)內(nèi)容包含三者的表項(xiàng)�����,通過該表項(xiàng)表頭標(biāo)識(shí)唯一標(biāo)識(shí)該表項(xiàng)。
[0056]具體實(shí)現(xiàn)中����,在步驟Slll可由于多種原因?qū)е虏樵儾坏疥P(guān)系數(shù)據(jù)庫存儲(chǔ)的表項(xiàng),t匕如�,Cookie值被篡改;比如���,非法的客戶端盜取合法的Cookie值發(fā)起的HTTP請(qǐng)求報(bào)文�����;I:匕如����,Cookie值已經(jīng)重新分配,但是發(fā)送的HTTP還攜帶過期的Cookie值等等����。
[0057]步驟S112,確定所述HTTP請(qǐng)求報(bào)文合法��,則將所述HTTP請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給所述服務(wù)器�����。
[0058]步驟SI 13,確定所述HTTP請(qǐng)求報(bào)文非法�����,丟棄所述HTTP請(qǐng)求報(bào)文或指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文���。
[0059]具體實(shí)現(xiàn)中���,在步驟S113,當(dāng)確定所述HTTP請(qǐng)求報(bào)文非法后�����,可直接丟棄所述HTTP請(qǐng)求報(bào)文或指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文�����。其中���,指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文的方式可與服務(wù)器預(yù)先協(xié)商�����,方式不限�,本發(fā)明實(shí)施例采用的其中一種指示方式為:將修改客戶端發(fā)送的Cookie值為無意義的Cookie值��,比如,將客戶端發(fā)送的Cookie:Key=V,修改為Cookie:Key=Null ;或者將客戶端發(fā)送的Cookie值修改為與原來的Cookie值字符串相同長(zhǎng)度的無意義的值����,比如,將客戶端發(fā)送的Cookie:Key=1000����,修改為Cookie:Key=XXXX。
[0060]具體實(shí)現(xiàn)中�,在步驟S113,當(dāng)確定所述HTTP請(qǐng)求報(bào)文非法后��,選擇丟棄所述HTTP請(qǐng)求報(bào)文或指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文可通過進(jìn)一步的一些判斷�,這些判斷可包括:
[0061]統(tǒng)計(jì)在預(yù)設(shè)的第一時(shí)間范圍內(nèi),所述客戶端地址作為源地址向所述服務(wù)器發(fā)送HTTP請(qǐng)求報(bào)文的次數(shù)���;
[0062]當(dāng)統(tǒng)計(jì)的次數(shù)超過預(yù)設(shè)的第一閾值�,則將所述客戶端的地址加入存儲(chǔ)的源地址黑名單中�����,并丟棄所述HTTP請(qǐng)求報(bào)文;
[0063]當(dāng)統(tǒng)計(jì)的次數(shù)未超過所述預(yù)設(shè)的第一閾值�����,則修改所述HTTP請(qǐng)求報(bào)文中的所述Cookie值���,用于指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文�����。此處����,修改所述HTTP請(qǐng)求報(bào)文中的所述Cookie值�,用于指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文與前面描述的指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文的方式可以相同,在此不進(jìn)行贅述����。
[0064]具體實(shí)現(xiàn)中,當(dāng)服務(wù)器接收到無意義的Cookie值的HTTP請(qǐng)求報(bào)文之后���,可向客戶端回復(fù)響應(yīng)報(bào)文����,提示客戶端會(huì)話已經(jīng)失敗。
[0065]具體實(shí)現(xiàn)中��,本發(fā)明實(shí)施例的方法����,還可包括維護(hù)黑名單的維護(hù)問題�����,這些維護(hù)包括黑名單的老化處理�����,具體的�,本發(fā)明實(shí)施例可實(shí)時(shí)統(tǒng)計(jì)每一客戶端地址在源地址黑名單中生效時(shí)刻開始,持續(xù)第二時(shí)間之后�����,從每一客戶端地址對(duì)應(yīng)的客戶端接收到的HTTP請(qǐng)求報(bào)文數(shù)目��;當(dāng)統(tǒng)計(jì)到從一個(gè)或多個(gè)客戶端接收到的HTTP請(qǐng)求報(bào)文數(shù)目小于預(yù)設(shè)的第二閾值����,則從所述源地址黑名單中刪除所述一個(gè)或多個(gè)客戶端的客戶端地址��。
[0066]具體實(shí)現(xiàn)中��,本發(fā)明實(shí)施例在包含源地址黑名單的情形下�,在步驟SllO和步驟Slll之間還可包括:
[0067]判斷所述HTTP請(qǐng)求報(bào)文的客戶端地址是否包含在存儲(chǔ)的源地址黑名單中���,如果判斷為是����,則丟棄所述HTTP請(qǐng)求報(bào)文����;
[0068]如果判斷為否,則執(zhí)行步驟S111��。
[0069]本發(fā)明實(shí)施例當(dāng)采用黑名單機(jī)制之后����,可防止同一客戶端在一定時(shí)間范圍內(nèi)發(fā)起大量非法HTTP連接,防止Web服務(wù)器被多次攻擊�。
[0070]圖2為本發(fā)明實(shí)施例的保護(hù)Cookie信息的方法的另一實(shí)施例的流程示意圖。如圖2所示�����,其在圖1實(shí)施例的基礎(chǔ)上對(duì)本發(fā)明實(shí)施例方法的流程進(jìn)一步進(jìn)行了細(xì)化。如圖2所示��,其可包括:
[0071]步驟S210����,接收到HTTP報(bào)文;
[0072]步驟S211�����,識(shí)別所述HTTP報(bào)文是HTTP請(qǐng)求報(bào)文�,還是HTTP應(yīng)答報(bào)文����,或者是其他報(bào)文。
[0073]步驟S212�,當(dāng)識(shí)別所述HTTP報(bào)文是HTTP請(qǐng)求報(bào)文,請(qǐng)求報(bào)文中攜帶Cookie�,判斷所述HTTP請(qǐng)求報(bào)文的客戶端地址是否包含在存儲(chǔ)的源地址黑名單中,如果判斷為是���,執(zhí)行步驟S213 ;如果判斷為否����,執(zhí)行步驟S214。
[0074]步驟S213����,丟棄所述HTTP請(qǐng)求報(bào)文,并維持所述黑名單��,方法結(jié)束�����。
[0075]步驟S214�����,判斷存儲(chǔ)的關(guān)系數(shù)據(jù)庫中是否包含所述HTTP請(qǐng)求報(bào)文中的Cookie值���、客戶端地址����、服務(wù)器地址組成的表項(xiàng)�,如果判斷為是,執(zhí)行步驟S215 ;如果判斷為否����,執(zhí)行步驟S216���。具體實(shí)現(xiàn)中,關(guān)系數(shù)據(jù)庫與上一實(shí)施例相同����,在此不進(jìn)行贅述。
[0076]步驟S215��,確定所述HTTP請(qǐng)求報(bào)文合法��,則將所述HTTP請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給所述服務(wù)器��,方法結(jié)束�����。
[0077]步驟S216�,統(tǒng)計(jì)在預(yù)設(shè)的第一時(shí)間范圍內(nèi)��,所述客戶端地址作為源地址向所述服務(wù)器發(fā)送HTTP請(qǐng)求報(bào)文的次數(shù)�。
[0078]步驟S217,判斷統(tǒng)計(jì)的次數(shù)是否超過預(yù)設(shè)的第一閾值�,如果判斷為是���,執(zhí)行步驟S218 ;如果判斷為否,執(zhí)行步驟S219�。
[0079]步驟S218,將所述客戶端的地址加入存儲(chǔ)的源地址黑名單中��,并丟棄所述HTTP請(qǐng)求報(bào)文��,方法結(jié)束��。
[0080]步驟S219����,修改所述HTTP請(qǐng)求報(bào)文中的所述Cookie值,用于指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文�。具體實(shí)現(xiàn)中,指示所述服務(wù)器忽略
[0081]步驟S220�,當(dāng)識(shí)別所述HTTP報(bào)文是HTTP應(yīng)答報(bào)文,從所述接收的HTTP應(yīng)答報(bào)文中提取Cookie值�、客戶端地址以及服務(wù)器地址生成所述關(guān)系數(shù)據(jù)庫。
[0082]所述HTTP請(qǐng)求報(bào)文的指示方式與上一實(shí)施例可相同����,在此不進(jìn)行贅述。
[0083]由上可見,在本發(fā)明的一些可行的方法實(shí)施方式中�����,從客戶端接收超文本連接協(xié)議HTTP請(qǐng)求報(bào)文��;判斷存儲(chǔ)的關(guān)系數(shù)據(jù)庫中是否包含所述HTTP請(qǐng)求報(bào)文中的Cookie值�、客戶端地址、服務(wù)器地址組成的表項(xiàng)�;所述關(guān)系數(shù)據(jù)庫用于記錄Cookie值、客戶端地址�����、月艮務(wù)器地址三者對(duì)應(yīng)關(guān)系���;當(dāng)判斷結(jié)果為是�����,確定所述HTTP請(qǐng)求報(bào)文合法,則將所述HTTP請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給所述服務(wù)器���;當(dāng)判斷結(jié)果為否����,確定所述HTTP請(qǐng)求報(bào)文非法,丟棄所述HTTP請(qǐng)求報(bào)文或指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文����。由于本發(fā)明實(shí)施例通過Cookie值、客戶端地址����、服務(wù)器地址三者對(duì)應(yīng)關(guān)系唯一限定了一次合法的HTTP請(qǐng)求,這樣����,其可在不修改合法的報(bào)文中的Cookie值時(shí),防止Cookie篡改攻擊和Cookie欺騙攻擊(因?yàn)?����,即使Cookie被盜��,本發(fā)明實(shí)施例也可通過客戶端地址或服務(wù)器地址判斷HTTP請(qǐng)求的合法性)����,提高了 Web服務(wù)器的安全性。
[0084]相應(yīng)的���,本發(fā)明實(shí)施例提供了可用于實(shí)施本發(fā)明上述方法的裝置實(shí)施例���。下面對(duì)本發(fā)明提供的用于實(shí)施上述方法的Web服務(wù)器前置網(wǎng)關(guān)的結(jié)構(gòu)組成實(shí)施例進(jìn)行舉例說明��。
[0085]圖3為本發(fā)明的Web服務(wù)器前置網(wǎng)關(guān)的一實(shí)施例的結(jié)構(gòu)組成示意圖���。如圖3所示,其可包括:存儲(chǔ)模塊31�����、接收模塊32���、判斷模塊33以及處理模塊34��,其中:
[0086]存儲(chǔ)模塊31���,用于存儲(chǔ)關(guān)系數(shù)據(jù)庫,所述關(guān)系數(shù)據(jù)庫用于記錄Cookie值�����、客戶端地址��、服務(wù)器地址三者對(duì)應(yīng)關(guān)系����。
[0087]具體實(shí)現(xiàn)中,在本發(fā)明實(shí)施例的關(guān)系數(shù)據(jù)庫用于記錄Cookie值���、客戶端地址�����、月艮務(wù)器地址三者對(duì)應(yīng)關(guān)系(比如��,表項(xiàng)包括:Cookie:Key=V��,客戶端地址:IP地址I��,服務(wù)器地址:IP地址2)��。
[0088]具體實(shí)現(xiàn)中����,本發(fā)明實(shí)施例的接收模塊32可用于從服務(wù)器接收到HTTP應(yīng)答報(bào)文時(shí)�,并所述接收的HTTP應(yīng)答報(bào)文中提取Cookie值、客戶端地址以及服務(wù)器地址生成所述關(guān)系數(shù)據(jù)庫�。具體實(shí)現(xiàn)中���,關(guān)系數(shù)據(jù)庫可通過多種方式存儲(chǔ)Cookie值、客戶端地址以及服務(wù)器地址三者之間的對(duì)應(yīng)關(guān)系��。其中的一種方式可為:由Cookie值和服務(wù)器地址計(jì)算一個(gè)哈希(Hash)值��,然后將需對(duì)應(yīng)的客戶端地址關(guān)聯(lián)到此Hash值節(jié)點(diǎn)上�����。當(dāng)然�,具體實(shí)現(xiàn)中,三者關(guān)系的建立也可以有其他的方式�����,比如直接建立一個(gè)內(nèi)容包含三者的表項(xiàng)���,通過該表項(xiàng)表頭標(biāo)識(shí)唯一標(biāo)識(shí)該表項(xiàng)��。
[0089]接收模塊32����,還用于從客戶端接收超文本連接協(xié)議HTTP請(qǐng)求報(bào)文����。
[0090]判斷模塊33,用于判斷所述存儲(chǔ)模塊31存儲(chǔ)的關(guān)系數(shù)據(jù)庫中是否包含所述接收模塊32接收的HTTP請(qǐng)求報(bào)文中的Cookie值���、客戶端地址����、服務(wù)器地址組成的表項(xiàng)��。
[0091]本發(fā)明實(shí)施例�,當(dāng)接收模塊32從客戶端接收到HTTP請(qǐng)求報(bào)文時(shí),可提取所述HTTP請(qǐng)求報(bào)文中的Cookie值(比如�,Key=V),所述HTTP請(qǐng)求報(bào)文的客戶端地址(也是請(qǐng)求報(bào)文的源地址,比如�����,IP地址I)�、所述HTTP請(qǐng)求報(bào)文的服務(wù)器地址(也是請(qǐng)求報(bào)文的目的地址,t匕如�,IP地址2);然后判斷模塊33可查詢關(guān)系數(shù)據(jù)庫中是否包含所述HTTP請(qǐng)求報(bào)文中的Cookie值、客戶端地址����、服務(wù)器地址組成的表項(xiàng)(比如,表項(xiàng)包括:Cookie:Key=V,客戶端地址:IP地址I���,服務(wù)器地址:IP地址2)。
[0092]處理模塊34���,用于當(dāng)所述判斷模塊33的判斷結(jié)果為是時(shí)��,確定所述HTTP請(qǐng)求報(bào)文合法����,并將所述HTTP請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給所述服務(wù)器����;當(dāng)所述判斷模塊33的判斷結(jié)果為否時(shí),確定所述HTTP請(qǐng)求報(bào)文非法�����,丟棄所述HTTP請(qǐng)求報(bào)文或指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文���。
[0093]具體實(shí)現(xiàn)中�,當(dāng)處理模塊34確定所述HTTP請(qǐng)求報(bào)文非法后�,可直接丟棄所述HTTP請(qǐng)求報(bào)文或指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文。其中����,指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文的方式可與服務(wù)器預(yù)先協(xié)商�����,方式不限,本發(fā)明實(shí)施例采用的其中一種指示方式為:將修改客戶端發(fā)送的Cookie值為無意義的Cookie值����,比如,將客戶端發(fā)送的Cookie:Key=V,修改為Cookie:Key=Null ;或者將客戶端發(fā)送的Cookie值修改為與原來的Cookie值字符串相同長(zhǎng)度的無意義的值,比如��,將客戶端發(fā)送的Cookie:Key=1000����,修改為Cookie:Key=XXXX。
[0094]具體實(shí)現(xiàn)中���,如圖4所示�����,本發(fā)明實(shí)施例的處理模塊34可進(jìn)一步包括:
[0095]第一統(tǒng)計(jì)模塊341����,用于統(tǒng)計(jì)在預(yù)設(shè)的第一時(shí)間范圍內(nèi),所述客戶端地址作為源地址向所述服務(wù)器發(fā)送HTTP請(qǐng)求報(bào)文的次數(shù)�;
[0096]第一處理子模塊342,用于當(dāng)所述第一統(tǒng)計(jì)模塊341統(tǒng)計(jì)的次數(shù)超過預(yù)設(shè)的第一閾值���,則將所述客戶端的地址加入存儲(chǔ)的源地址黑名單中�,并丟棄所述HTTP請(qǐng)求報(bào)文����;
[0097]第二處理子模塊343,用于當(dāng)所述第一統(tǒng)計(jì)模塊341統(tǒng)計(jì)的次數(shù)未超過所述預(yù)設(shè)的第一閾值�����,則修改所述HTTP請(qǐng)求報(bào)文中的所述Cookie值���,用于指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文����。此處��,修改所述HTTP請(qǐng)求報(bào)文中的所述Cookie值����,用于指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文與前面描述的指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文的方式可以相同����,在此不進(jìn)行贅述���。
[0098]具體實(shí)現(xiàn)中����,當(dāng)服務(wù)器接收到無意義的Cookie值的HTTP請(qǐng)求報(bào)文之后��,可向客戶端回復(fù)響應(yīng)報(bào)文�����,提示客戶端會(huì)話已經(jīng)失敗�。
[0099]如圖5所示����,本發(fā)明實(shí)施例的Web服務(wù)器前置網(wǎng)關(guān)在前述實(shí)施例的基礎(chǔ)上,還可包括:第二統(tǒng)計(jì)模塊35��,用于實(shí)時(shí)統(tǒng)計(jì)每一客戶端地址在源地址黑名單中生效時(shí)刻開始�,持續(xù)第二時(shí)間之后,從每一客戶端地址對(duì)應(yīng)的客戶端接收到的HTTP請(qǐng)求報(bào)文數(shù)目;當(dāng)統(tǒng)計(jì)到從一個(gè)或多個(gè)客戶端接收到的HTTP請(qǐng)求報(bào)文數(shù)目小于預(yù)設(shè)的第二閾值����,則從所述存儲(chǔ)模塊31存儲(chǔ)的源地址黑名單中刪除所述一個(gè)或多個(gè)客戶端的客戶端地址。
[0100]具體實(shí)現(xiàn)中�,本發(fā)明實(shí)施例在包含源地址黑名單的情形下,所述判斷模塊33還用于��,在從客戶端接收到HTTP請(qǐng)求報(bào)文之后�����,判斷所述HTTP請(qǐng)求報(bào)文的客戶端地址是否包含在存儲(chǔ)的源地址黑名單中�,如果判斷為是,則丟棄所述HTTP請(qǐng)求報(bào)文�;如果判斷為否,則繼續(xù)判斷存儲(chǔ)的關(guān)系數(shù)據(jù)庫中是否包含所述HTTP請(qǐng)求報(bào)文中的Cookie值��、客戶端地址�、服務(wù)器地址組成的表項(xiàng)。
[0101]本發(fā)明實(shí)施例當(dāng)采用黑名單機(jī)制之后�,可防止同一客戶端在一定時(shí)間范圍內(nèi)發(fā)起大量非法HTTP連接,防止Web服務(wù)器被多次攻擊��。
[0102]圖6為本發(fā)明的Web服務(wù)器前置網(wǎng)關(guān)的另一實(shí)施例的結(jié)構(gòu)組成示意圖�����。本實(shí)施例與前述幾個(gè)實(shí)施例的區(qū)別在于通過硬件組成的角度對(duì)Web服務(wù)器前置網(wǎng)關(guān)的結(jié)構(gòu)組成進(jìn)行描述。如圖6所示�,其可包括:接收器61、存儲(chǔ)器62���、處理器63���,以及發(fā)送器64,其中:
[0103]所述接收器61用于從客戶端接收超文本連接協(xié)議HTTP請(qǐng)求報(bào)文�����;
[0104]所述處理器63用于判斷所述存儲(chǔ)器62存儲(chǔ)的關(guān)系數(shù)據(jù)庫中是否包含所述HTTP請(qǐng)求報(bào)文中的Cookie值��、客戶端地址��、服務(wù)器地址組成的表項(xiàng)�����;所述關(guān)系數(shù)據(jù)庫用于記錄Cookie值�、客戶端地址����、服務(wù)器地址三者對(duì)應(yīng)關(guān)系����;當(dāng)判斷結(jié)果為是����,確定所述HTTP請(qǐng)求報(bào)文合法,則由所述發(fā)送器64將所述HTTP請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給所述服務(wù)器����;當(dāng)判斷結(jié)果為否,確定所述HTTP請(qǐng)求報(bào)文非法�,丟棄所述HTTP請(qǐng)求報(bào)文或通過所述發(fā)送器64指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文。
[0105]在一些可行的實(shí)施方式中����,所述接收器61從客戶端接收超文本連接協(xié)議HTTP請(qǐng)求報(bào)文之前,還用于:從服務(wù)器接收HTTP應(yīng)答報(bào)文�����;并從所述接收的HTTP應(yīng)答報(bào)文中提取Cookie值�、客戶端地址以及服務(wù)器地址生成所述關(guān)系數(shù)據(jù)庫。
[0106]在一些可行的實(shí)施方式中�,所述接收器61所述從客戶端接收超文本連接協(xié)議HTTP請(qǐng)求報(bào)文之后��,所述處理器63還用于判斷所述HTTP請(qǐng)求報(bào)文的客戶端地址是否包含在存儲(chǔ)的源地址黑名單中��,如果判斷為是���,則丟棄所述HTTP請(qǐng)求報(bào)文;如果判斷為否����,則判斷存儲(chǔ)的關(guān)系數(shù)據(jù)庫中是否包含所述HTTP請(qǐng)求報(bào)文中的Cookie值、客戶端地址����、服務(wù)器地址組成的表項(xiàng)。
[0107]在一些可行的實(shí)施方式中��,所述處理器確定所述HTTP請(qǐng)求報(bào)文非法�,丟棄所述HTTP請(qǐng)求報(bào)文或指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文,具體執(zhí)行如下步驟:
[0108]統(tǒng)計(jì)在預(yù)設(shè)的第一時(shí)間范圍內(nèi)�����,所述客戶端地址作為源地址向所述服務(wù)器發(fā)送HTTP請(qǐng)求報(bào)文的次數(shù)�����;
[0109]當(dāng)統(tǒng)計(jì)的次數(shù)超過預(yù)設(shè)的第一閾值�,則將所述客戶端的地址加入存儲(chǔ)的源地址黑名單中,并丟棄所述HTTP請(qǐng)求報(bào)文���;
[0110]當(dāng)統(tǒng)計(jì)的次數(shù)未超過所述預(yù)設(shè)的第一閾值��,則修改所述HTTP請(qǐng)求報(bào)文中的所述Cookie值���,并通過所述發(fā)送器64指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文。
[0111]在一些可行的實(shí)施方式中�,所述處理器63還用于:實(shí)時(shí)統(tǒng)計(jì)每一客戶端地址在源地址黑名單中生效時(shí)刻開始,持續(xù)第二時(shí)間之后�,從每一客戶端地址對(duì)應(yīng)的客戶端接收到的HTTP請(qǐng)求報(bào)文數(shù)目;當(dāng)統(tǒng)計(jì)到從一個(gè)或多個(gè)客戶端接收到的HTTP請(qǐng)求報(bào)文數(shù)目小于預(yù)設(shè)的第二閾值�����,則從所述源地址黑名單中刪除所述一個(gè)或多個(gè)客戶端的客戶端地址�����。
[0112]本發(fā)明實(shí)施例的模塊����,可用通用集成電路(如中央處理器CPU)����,或以專用集成電路(ASIC)來實(shí)現(xiàn)�。本領(lǐng)域普通技術(shù)人員可以理解上述實(shí)施例的各種方法中的全部或部分步驟是可以通過程序來指令相關(guān)的硬件來完成,該程序可以存儲(chǔ)于一計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中�����,存儲(chǔ)介質(zhì)可以包括:閃存盤����、只讀存儲(chǔ)器(Read-Only Memory,ROM)、隨機(jī)存取器(RandomAccess Memory, RAM)����、磁盤或光盤等。
[0113]以上所列舉的僅為本發(fā)明較佳實(shí)施例而已��,當(dāng)然不能以此來限定本發(fā)明之權(quán)利范圍���,因此依本發(fā)明權(quán)利要求所作的等同變化�,仍屬本發(fā)明所涵蓋的范圍�����。
【權(quán)利要求】
1.一種保護(hù)Cookie信息的方法���,其特征在于�,包括: 從客戶端接收超文本連接協(xié)議HTTP請(qǐng)求報(bào)文�; 判斷存儲(chǔ)的關(guān)系數(shù)據(jù)庫中是否包含所述HTTP請(qǐng)求報(bào)文中的Cookie值、客戶端地址����、月艮務(wù)器地址組成的表項(xiàng);所述關(guān)系數(shù)據(jù)庫用于記錄Cookie值�����、客戶端地址�、服務(wù)器地址三者對(duì)應(yīng)關(guān)系; 當(dāng)判斷結(jié)果為是�,確定所述HTTP請(qǐng)求報(bào)文合法,則將所述HTTP請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給所述服務(wù)器����; 當(dāng)判斷結(jié)果為否,確定所述HTTP請(qǐng)求報(bào)文非法����,丟棄所述HTTP請(qǐng)求報(bào)文或指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文�����。
2.如權(quán)利要求1所述的保護(hù)Cookie信息的方法�����,其特征在于��,從客戶端接收超文本連接協(xié)議HTTP請(qǐng)求報(bào)文之前�,還包括: 從服務(wù)器接收HTTP應(yīng)答報(bào)文��; 從所述接收的HTTP應(yīng)答報(bào)文中提取Cookie值���、客戶端地址以及服務(wù)器地址生成所述關(guān)系數(shù)據(jù)庫�����。
3.如權(quán)利要求1所述的保護(hù)Cookie信息的方法�����,其特征在于��,所述從客戶端接收超文本連接協(xié)議HTTP請(qǐng)求報(bào)文之后��,還包括: 判斷所述HTTP請(qǐng)求報(bào)文的客戶端地址是否包含在存儲(chǔ)的源地址黑名單中��,如果判斷為是�����,則丟棄所述HTTP請(qǐng)求報(bào)文��; 如果判斷為否���,則判斷存儲(chǔ)的關(guān)系數(shù)據(jù)庫中是否包含所述HTTP請(qǐng)求報(bào)文中的Cookie值、客戶端地址�、服務(wù)器地址組成的表項(xiàng)。
4.如權(quán)利要求1-3中任一項(xiàng)所述的保護(hù)Cookie信息的方法���,其特征在于���,所述確定所述HTTP請(qǐng)求報(bào)文非法,丟棄所述HTTP請(qǐng)求報(bào)文或指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文�����,包括: 統(tǒng)計(jì)在預(yù)設(shè)的第一時(shí)間范圍內(nèi),所述客戶端地址作為源地址向所述服務(wù)器發(fā)送HTTP請(qǐng)求報(bào)文的次數(shù)�����; 當(dāng)統(tǒng)計(jì)的次數(shù)超過預(yù)設(shè)的第一閾值����,則將所述客戶端的地址加入存儲(chǔ)的源地址黑名單中,并丟棄所述HTTP請(qǐng)求報(bào)文���; 當(dāng)統(tǒng)計(jì)的次數(shù)未超過所述預(yù)設(shè)的第一閾值��,則修改所述HTTP請(qǐng)求報(bào)文中的所述Cookie值�,用于指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文����。
5.如權(quán)利要求3所述的保護(hù)Cookie信息的方法,其特征在于�����,還包括: 實(shí)時(shí)統(tǒng)計(jì)每一客戶端地址在源地址黑名單中生效時(shí)刻開始����,持續(xù)第二時(shí)間之后����,從每一客戶端地址對(duì)應(yīng)的客戶端接收到的HTTP請(qǐng)求報(bào)文數(shù)目��; 當(dāng)統(tǒng)計(jì)到從一個(gè)或多個(gè)客戶端接收到的HTTP請(qǐng)求報(bào)文數(shù)目小于預(yù)設(shè)的第二閾值�����,則從所述源地址黑名單中刪除所述一個(gè)或多個(gè)客戶端的客戶端地址���。
6.一種Web服務(wù)器前置網(wǎng)關(guān),其特征在于����,包括: 存儲(chǔ)模塊,用于存儲(chǔ)關(guān)系數(shù)據(jù)庫����,所述關(guān)系數(shù)據(jù)庫用于記錄Cookie值、客戶端地址���、月艮務(wù)器地址三者對(duì)應(yīng)關(guān)系����; 接收模塊,用于從客戶端接收超文本連接協(xié)議HTTP請(qǐng)求報(bào)文��; 判斷模塊��,用于判斷存儲(chǔ)的關(guān)系數(shù)據(jù)庫中是否包含所述HTTP請(qǐng)求報(bào)文中的Cookie值�����、客戶端地址���、服務(wù)器地址組成的表項(xiàng)�����; 處理模塊����,用于當(dāng)所述判斷模塊的判斷結(jié)果為是時(shí)�����,確定所述HTTP請(qǐng)求報(bào)文合法��,并將所述HTTP請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給所述服務(wù)器�����;當(dāng)所述判斷模塊的判斷結(jié)果為否時(shí),確定所述HTTP請(qǐng)求報(bào)文非法��,丟棄所述HTTP請(qǐng)求報(bào)文或指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文����。
7.如權(quán)利要求6所述的Web服務(wù)器前置網(wǎng)關(guān),其特征在于�����,所述接收模塊還用于從服務(wù)器接收HTTP應(yīng)答報(bào)文�;并從所述接收的HTTP應(yīng)答報(bào)文中提取Cookie值���、客戶端地址以及服務(wù)器地址生成所述關(guān)系數(shù)據(jù)庫���。
8.如權(quán)利要求6所述的Web服務(wù)器前置網(wǎng)關(guān),其特征在于����,所述判斷模塊還用于當(dāng)所述接收模塊從客戶端接收超文本連接協(xié)議HTTP請(qǐng)求報(bào)文之后,判斷所述HTTP請(qǐng)求報(bào)文的客戶端地址是否包含在所述存儲(chǔ)模塊存儲(chǔ)的源地址黑名單中��,如果判斷為是,則指示所述處理模塊丟棄所述HTTP請(qǐng)求報(bào)文����;如果判斷為否,則判斷存儲(chǔ)的關(guān)系數(shù)據(jù)庫中是否包含所述HTTP請(qǐng)求報(bào)文中的Cookie值����、客戶端地址、服務(wù)器地址組成的表項(xiàng)�����。
9.如權(quán)利要求6-8中任一項(xiàng)所述的Web服務(wù)器前置網(wǎng)關(guān)�����,其特征在于���,所述處理模塊��,包括: 第一統(tǒng)計(jì)模塊�,用于統(tǒng)計(jì)在預(yù)設(shè)的第一時(shí)間范圍內(nèi)��,所述客戶端地址作為源地址向所述服務(wù)器發(fā)送HTTP請(qǐng)求報(bào)文的次數(shù)�; 第一處理子模塊�,用于當(dāng)所述第一統(tǒng)計(jì)模塊統(tǒng)計(jì)的次數(shù)超過預(yù)設(shè)的第一閾值��,則將所述客戶端的地址加入存儲(chǔ)的源地址黑名單中����,并丟棄所述HTTP請(qǐng)求報(bào)文; 第二處理子模塊��,用于當(dāng)所述第一統(tǒng)計(jì)模塊統(tǒng)計(jì)的次數(shù)未超過所述預(yù)設(shè)的第一閾值��,則修改所述HTTP請(qǐng)求報(bào)文中的所述Cookie值��,用于指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文�����。
10.如權(quán)利要求8所述的Web服務(wù)器前置網(wǎng)關(guān)����,其特征在于����,還包括: 第二統(tǒng)計(jì)模塊,用于實(shí)時(shí)統(tǒng)計(jì)每一客戶端地址在源地址黑名單中生效時(shí)刻開始��,持續(xù)第二時(shí)間之后,從每一客戶端地址對(duì)應(yīng)的客戶端接收到的HTTP請(qǐng)求報(bào)文數(shù)目��;并當(dāng)統(tǒng)計(jì)到從一個(gè)或多個(gè)客戶端接收到的HTTP請(qǐng)求報(bào)文數(shù)目小于預(yù)設(shè)的第二閾值����,則從所述源地址黑名單中刪除所述一個(gè)或多個(gè)客戶端的客戶端地址。
【文檔編號(hào)】H04L29/06GK104348816SQ201310340056
【公開日】2015年2月11日 申請(qǐng)日期:2013年8月7日 優(yōu)先權(quán)日:2013年8月7日
【發(fā)明者】張 林, 張亮 申請(qǐng)人:華為數(shù)字技術(shù)(蘇州)有限公司