技術領域

本發明涉及網絡技術領域，尤指一種檢測包含Cookie信息的消息的方法及相關裝置。

背景技術

Web應用是指采用瀏覽器（Browser，B）/服務器（Server，S）架構、通過超文本傳輸協議（Hyper?Text?Transfer?Protocol，HTTP）或者安全超文本傳輸協議（Secure?Hypertext?Transfer?Protocol，HTTPS）提供服務的統稱。隨著互聯網的廣泛使用，Web應用已經融入到用戶的日常生活中，例如：網上購物、網上銀行應用、證券股票交易、政府行政審批、高校門戶網站、運營商增值服務等等，由于Web應用種類增多，而HTTP安全機制不完善，就會導致Web應用程序中存在漏洞，基于Web的網絡攻擊也日益增多，如服務器嵌入（Server?Side?Include，SSI）、木馬防護、目錄遍歷等，網絡應用防火墻（Web?ApplicationFirewall，WAF）技術就是在這種情況下產生的。與傳統防火墻不同，WAF工作在應用層，基于內置的網絡攻擊特征對流經的HTTP請求消息和HTTP響應消息進行檢測，若檢測出消息中存在網絡攻擊，可以采用攔截、放棄、斷開連接等多種處理方式。

HTTP是一種無狀態協議，基于Web的應用程序需要借助額外的手段來維護服務器與客戶端之間的交互狀態，以保證服務器與客戶端之間交互的平滑性。例如，在HTTP1.0版本中，一個傳輸控制協議（Transmission?Control?Protocol，TCP）連接上僅能進行一次HTTP會話，客戶端發送HTTP請求消息，服務器應答一個HTTP響應消息，此次HTTP會話結束，TCP連接拆除；在HTTP1.1中，多個HTTP會話可以復用一個TCP連接，但是每個HTTP會話在客戶端發送一個HTTP請求消息并且服務器應答一個HTTP響應消息之后就結束了，連續的HTTP會話之間在協議層次上缺乏內在聯系。而一般在基于Web的應用程序中，客戶端和服務器之間往往要執行多個HTTP會話才能完成一次應用交互，例如在網上購物過程中，用戶往往要一次性挑選多個商品，統一結帳，在這個過程中，基于Web的應用程序必須能夠記錄用戶已經購買的商品和消費金額，也就是要記錄當前交互狀態。

目前基于Web的應用程序通常采用Cookie、會話（Session）機制來記錄當前交互狀態。Session機制在服務器記錄交互狀態，提高數據的可靠性，但服務器要區分多個同時進行的Session，仍然需要客戶端維護一個Session標識（Identification，ID），而Session?ID往往記錄在Cookie信息中，因而本質上可以歸類為Cookie機制。

采用Cookie信息記錄當前交互狀態，可能會發生篡改Cookie信息這類網絡攻擊。篡改Cookie信息是指客戶端接收到服務器發送的攜帶Cookie信息的HTTP響應消息后，再次向服務器發送攜帶Cookie信息的HTTP請求消息前，對Cookie信息進行了篡改。例如，在網上購物應用中，Cookie信息中可能記錄了用戶已經購買的商品總額，對Cookie信息進行篡改可以實現對商家的欺詐。客戶端對Cookie信息的篡改并不能在HTTP請求消息或HTTP響應消息中留下明顯特征，而傳統意義上的WAF只能對HTTP請求消息和HTTP響應消息進行網絡攻擊特征檢測，不能檢測此類網絡攻擊。因此，需要專門對Cookie信息篡改這類網絡攻擊進行檢測。

一般，在HTTP響應消息和HTTP請求消息中都包含Cookie信息，分別存在于Set-Cookie字段和Cookie字段中，Cookie信息會包含多個Cookie名/值對，而這些Cookie名/值對在每個HTTP請求消息和HTTP響應消息中的順序是不確定的，因此，需要對每個Cookie名/值對進行單獨保護，假設，HTTP響應消息的Set-Cookie字段中包括三個Cookie名/值對:phpsessionid=id-xxxx、phpbot=bot-yyyy和other-name=n-zzzz，那么，需要對這三個Cookie名/值對分別進行保護。