基于HTTP平臺的網(wǎng)絡(luò)安全性研究

李彥廣

（商洛學(xué)院 計算機科學(xué)系,陜西商洛 726000）

HTTP平臺是網(wǎng)絡(luò)安全性的熱點同時也是難點問題，現(xiàn)在好多研究只是關(guān)注對常規(guī)攻擊的防范，比如文獻(xiàn)[1]提出XSS注入式攻擊的防范加轉(zhuǎn)義輸入尖括號；文獻(xiàn)[2]提出CRSF注入式攻擊的防范設(shè)置 Cookie，為 HttpOnly以及增加Session相關(guān)的Hash Token碼；文獻(xiàn)[3]提出SQL注入攻擊的防范將分號轉(zhuǎn)義等。雖然這些做起來簡單，但不足以解決現(xiàn)階段的網(wǎng)絡(luò)攻擊模式，需要了解基于HTTP平臺傳遞信息的原理，更深層次的解讀現(xiàn)有的防范措施的原理，找出其漏洞，以便對現(xiàn)有的防范措施升級。HTTP平臺的防御策略探析從平臺的安全性著手，探討HTTP平臺搭建所涉及的技術(shù)細(xì)節(jié)。根據(jù)需要傳遞信息，找出最佳的選擇。

1 HTTP協(xié)議的安全性分析

HTTP是一種無狀態(tài)的應(yīng)用層協(xié)議，所涵蓋的信息都是未經(jīng)加密的明文，包括請求參數(shù)、返回值、Cookie、Head 等[2]。因此，外界通過對通信的監(jiān)聽，可以輕而易舉地模擬出請求和響應(yīng)雙方的格式，從而偽造請求與響應(yīng)、修改和竊取各種信息。相對于TCP協(xié)議層的Socket傳輸方式，針對HTTP協(xié)議的攻擊門檻低。因此，基于HTTP協(xié)議的Web及SOA架構(gòu)，在應(yīng)用的安全性方面，需要更加重視。因此，在實際傳遞信息過程中，常采用摘要簽名法、公私鑰簽名法、HTTPS法、應(yīng)用授權(quán)法，為進(jìn)一步做好信息傳遞的安全性，有必要對這些方法作進(jìn)一步分析研究。

2 摘要簽名法分析

2.1 客戶端請求

對于重要的數(shù)據(jù)，關(guān)心它的真實性和準(zhǔn)確性，因此要保證在通信的過程中，數(shù)據(jù)不被第三方篡改。在圖1中，請求的參數(shù)經(jīng)過排序，將參數(shù)名稱和值經(jīng)過一定的策略組織起來，加上一個密鑰，然后通過摘要算法生成簽名[4]。……