基于HTTP協議的信息安全研究

張晗卓 張中偉

摘要：網絡已成為日常生活的重要組成部分，而HTTP協議是目前網絡應用最廣泛的應用層協議，但存在信息泄露風險。使用Wireshark軟件抓取數據包工具對HTTP協議進行分析，研究HTTP協議的安全隱患，并對其造成的影響進行分析，提供了一種對HTTP協議采用雙重加密的簡便實現方法，保證數據和信息傳輸的安全。

關鍵詞：HTTP協議；網絡安全；協議分析；信息泄露；數據加密

中圖分類號：TP393文獻標志碼：A文章編號：1008-1739（2019）17-69-3

0引言

從目前互聯網應用狀況來看，網站采用B/S架構提供網絡服務的方式占有較大比重，而大多數網站數據傳輸使用的是安全性較低的HTTP協議[1]，沒有使用安全協議進行數據加密傳輸，使得傳輸的數據容易發生泄露，從而造成用戶信息、商業機密及政府文件等信息，面臨著極高的被截獲甚至是被泄露和篡改的風險。本文基于HTTP協議的交互方式，分析HTTP協議傳輸數據的風險[2]，及其存在的安全隱患，最后提供了保證信息安全的實現方法。

目前提供網絡服務的網站主要采用HTTP和HTTPS協議來實現信息傳輸。HTTP協議采用請求/響應模型，以明文的形式交換數據。HTTPS協議采用對稱密鑰模式，客戶端與服務器端的信息數據依靠密鑰進行加密傳輸。而HTTPS協議需要使用受信機構頒發的證書、采用獨立IP地址、密鑰交換延長延時等特征，從而造成網站成本較高。因此，采用HTTP協議來進行信息傳輸的應用還具有廣闊市場，而由于HTTP協議采用明文進行數據交換，使得對HTTP的安全風險分析及解決方法的研究仍然具有重要意義。

1方案設計

1.1實驗環境

電腦主機1臺：操作系統為Windows7旗艦版SP1 64位；CPU：Intel（R）Pentium（R）G3240@3.10 GHz雙核；內存為4 GB；硬盤為Tigo SSD 120 GB；顯卡為主板集成顯卡；網卡為Realtek RTL8168/8111 PCI-e千兆集成網卡。工具軟件：Wireshark V2.2.7（64位）。測試對象：創新教育實驗室官網和水木社區Web網站。

1.2研究對象

使用瀏覽器訪問網站并分別進行登錄，用Wireshark軟件抓取交互數據包，對數據包進行解析，分析信息交互過程中存在的安全風險。由于創新教育實驗室官網和水木社區使用的是HTTP協議進行數據傳輸，便于進行HTTP協議的安全分析。

1.3研究方法

通過對多個網站登錄交互信息樣本采集和分析，得出是否存在信息泄露隱患。試驗樣本采集方式是本地計算機抓取協議包獲取信息。

通過抓取用戶登錄數據，查看協議交互過程中采用HTTP協議的POST包，對用戶登錄過程中敏感信息是否能夠輕易獲取到[3]，若是明文信息則說明該網站存在信息泄露的風險，否則認為該網站采取了安全措施，基本能夠保證用戶登錄過程的安全。

2結果分析

2.1實驗結果

從網絡信息安全角度出發，由于在網絡中信息存在泄露風險，當網站使用不安全的HTTP協議傳輸進行敏感信息交互時，有可能造成在網絡傳輸過程中出現較大的安全隱患[4]。基于上述原因，本文從賬號登錄方面對HTTP協議信息泄露問題進行分析。

2.1.1創新教育實驗室官網案例

使用注冊的賬號在創新教育實驗室官網登錄平臺進行登錄，并使用Wireshark抓取相關數據包，抓取信息如圖1所示，從截圖中可以明確看到登錄信息的明文內容，所有敏感信息一覽無余。

2.1.2水木社區網站案例

使用測試賬號進行登錄測試，用Wireshark截取數據包，抓取結果如圖2所示。對截取下來的數據包進行篩選，提取 HTTP協議相關數據包進行分析，客戶端發送給服務端的用戶信息，以明文直接存放在POST數據包內，交互信息可以通過工具軟件直接讀取出來。

從上述2個案例可以看出，這2個網站在登錄過程中采用的是不安全的HTTP協議，均存在安全隱患。

2.2研究結論

從幾個案例中可以看出：使用HTTP協議POST機制，用戶信息直接以明文存在于數據包中，在傳輸過程中很容易被截獲而造成信息泄露，使得用戶信息采用簡單的攻擊手段就能夠輕松獲得。根據這種情況，可以分析出以下安全隱患：

①用戶本網站賬戶信息安全存在威脅：攻擊者很容易獲取到正常用戶的賬號和密碼，并利用截獲的有效信息直接登錄網站，以被攻擊用戶身份來進行操作，使用戶在本網站的信息受到侵害。

②禍及本用戶其他網站賬號安全：由于不少用戶為了方便在多個網站上進行登錄信息設置時使用相同賬號及密碼，攻擊者通過抓獲某些不安全網站的HTTP協議數據包，獲取在本網站的登記用戶名和密碼后，使用已知用戶名和密碼去嘗試登錄其他網站，可以直接獲取到用戶高價值網站賬號信息，可能給被泄露的用戶帶來嚴重經濟損失。

3解決方法

3.1解決思路

HTTP協議使用POST或者GET方式提交用戶名和密碼等信息時，傳輸過程中使用明文，沒有任何形式的數據加密，若在傳輸途中截獲登錄的HTTP數據包，則用戶名和密碼會被輕易獲取，造成信息泄露。所以，很多安全要求較高的網站會使用HTTPS來確保傳輸過程的安全，HTTPS用證書頒發機構頒發的證書在瀏覽器和服務器之間進行通信加密。然而，HTTPS證書申請要一定的門檻，給用戶帶來不便，但可以通過使用HTTP協議登錄下的登錄安全模式設計，給使用HTTP協議登錄的網站一個解決辦法，該方法不需要額外花銷的同時最大化保障網站登錄安全[5]。

3.2實現方法

解決HTTP協議存在的安全風險可以在HTTP協議中通過對用戶名和密碼加密，再用動態驗證碼進行二次加密，保證用戶數據在傳輸過程中的信息安全。

雙重加密方法的實現過程包括：服務器動態生成的驗證碼，提交到客戶端登錄界面；在客戶端對用戶名和密碼進行加密，使用驗證碼對用戶名和密碼的加密結果再次進行加密，并將雙重加密后的信息添加到HTTP協議中，發送登錄請求到服務器；服務器接收到用戶登錄請求后，使用動態驗證碼對用戶名和密碼進行解密，再解密用戶名和密碼，最后對HTTP協議進行解析和響應。

3.3效果分析

雙重加密避免了僅對用戶名和密碼加密仍然無法避免重放攻擊威脅的情形，其在不可逆密文加密前使用動態驗證碼對原始密文添加擾動信息，即便使用攔截到的信息也無法重復登錄，從而實現保護用戶密碼和避免重放攻擊的作用，提高入侵者的破解成本和門檻，提高采用HTTP協議的網站的安全性。

4結束語

對教育網站和論壇社區等類型網站進行登錄信息測試，使用Wireshark工具軟件抓取HTTP協議數據包，通過實驗研究了HTTP協議對網絡安全的影響，分析了導致信息泄露的原因。在清楚地了解HTTP協議存在安全風險的基礎上，遇到類似問題時，能夠通過采用安全技術和方法來避免該類安全威脅的出現，從而保障用戶信息安全。

參考文獻

[1]謝希仁.計算機網絡：第5版[M].北京：電子工業出版社， 2008.

[2]陳雷，劉嘉勇.基于HTTP協議的POST數據分析與還原[J].通信技術，2011，44（4）：132-134，169.

[3]龔美娜.基于網絡協議的信息隱藏研究與實現[D].南京：南京郵電大學，2015.

[4]胡亮，零宗諭，陶杜輝，等.基于HTTP協議的信息系統信息泄露的探究[J].企業科技與發展，2018（1）：62-64，67.

[5]鮑天賜，劉志剛.基于HTTP的Web登錄安全和模式設計[J].工業控制計算機，2017，30（5）：99-100.