基于Cookie技术信息安全研究.docVIP

基于Cookie技术信息安全研究 　　摘 要：本文针对Web交互操作信息安全问题，简要分析了Cookie特性、工作原理及应用现状。重点讨论了Cookie的安全性问题，提出了集中防范Cookie泄密的安全措施。 　　关键词：Cookie 信息安全 服务器 　　中图分类号：TP393.08 文献标识码：B 文章编号：1673-8454（2008）05-0050-03 　　 　　Cookie技术最先被Netscape公司引入到Navigator浏览器中。随后World Wide Web协会支持并采纳了Cookie标准，微软也在Internet Explorer浏览器中使用了Cookie。现在，绝大多数浏览器都支持Cookie，几乎所有的网站设计者都使用了Cookie技术。[1] 有些网站和机构滥用Cookie，未经访问者的许可就搜集用户的个人资料，以谋求商业利益。为此，从信息安全视角，分析Cookie技术特性，探讨防范Cookie泄露用户隐私的措施，保障使用Cookie技术的安全性，显得尤为重要。 　　 　　一、Cookie技术分析 　　 　　1.Cookie定义及创建 　　Cookie 是由Internet站点创建的、将信息存储在计算机上的文件，Cookie 也可以存储用户可识别信息，然而网站只能访问用户提供的个人可识别信息。Cookie文件是由Web服务器创建存放在浏览器客户端的一个文本文件,其格式一般为：用户名@网站地址[数字] .txt。[2] Cookie按其存放位置和保留的信息分为：永久Cookie、临时Cookie、运动的Cookie和恶意Cookie。 Cookie文件信息片断以“名／值”对（ｎａｍｅ－ｖａｌｕｅ ｐａｉｒｓ）的形式储存，一个“名/值”对仅仅是一条命名的数据。这些文件在使用Windows操作系统的机器里叫做Cookie文件。Cookies文件的存放位置为：Win9x和Win2K操作系统：C：\Windows\Cookies；Win XP操作系统：C：\Documents and Settings\用户名称（账号）\Cookies。Cookie的主要功能是记录用户个人信息，支持Web站点保存有关访问者的信息。也就是说Cookie是一种记录Web应用程序交互式操作信息的方法，如记住用户名、用户输入数据等。 　　2.Cookie设置与工作原理 　　Cookie使用HTTP Header传递数据。Cookie定义了两种传递状态信息的报头：Set-Cookie和Cookie。Set-Cookie报头由HTTP服务器生成,包含于Web服务器的响应头（Ｒｅｓｐｏｎｓｅ Ｈｅａｄｅｒ）中，其报头格式：Set-Cookie：Name=Value[;expire=Date][;path=PATH][;domain=DOMAIN- NAME][;secure]，其中Name域存放所有重要内容。可选项expire存放Cookie的过期时间，domain用于指定使Cookie有效的更广泛的域名。Path说明该Cookie申请的URL下的具体路径。Secure指定了Cookie是否能在安全通信通道里传输。通常一个HTTP响应中可以发送多个Set-Cookie信息头。Cookie报头包含在浏览器客户端请求头（Ｒｅｑｕｅｓｔ Ｈｅａｄｅｒ）中。Cookie的工作原理如图1所示。[3] 　　 　　用户在浏览器的地址栏中键入URL，客户端根据请求的主机、URL和Cookie期限生成Cookie请求报头并发送到服务器端。服务器接收到Cookie请求报头后进行解释,并根据这些解释信息产生页面。服务器产生页面后,根据应用程序的需求与用户请求信息产生一个Set-Cookie报头，设定各个项目的内容后,在应答报文中加入Set-Cookie报头，然后将响应返回给客户端。客户端收到应答后，取出Set-Cookie报头,解释其相关信息，并将报头的信息保存在Cookie文件中。如果已经存在一个旧的Cookie文件,则将其覆盖。当客户端再次向服务器发出请求时，浏览器先在电脑里寻找对应该网站的Cookie.txt文件。如果找到则根据此Cookie.txt产生Cookie报头，放在 HTTP请求报文中发给服务器。服务器接收到包含Cookie报头的请求，检索其Cookie中与用户有关的信息，生成一个客户端所请示的页面应答传递给客户端。浏览器的每一次网页请求，都可以传递已存在的Cookie文件，例如浏览器的打开或刷新网页操作。 　　 　　二、Cookie应用 　　 　　１.实现Web中的用户认证 　　多数网站都涉及用户账号以及用户的权限问题。而HTTP协议是一种无连接不连续的协议，也就是说客户端与服务器的对话信息无法保留下来