基于 Cookie的跨域单点登录认证机制分析

为克服HTTP协议的无状态性,大多数门户网站采用cookie来认证用户,但cookie不能跨域传递。深入分析和研究了基于cookie的认证方式和单点登录的实现机制,并基于“联盟”观点,提出了一种基于cookie的跨域认证方法。     

用Cookie构建Web安全的实现

给出了用Cookie实现用户认证的步骤，并详细讨论了可用的安全cookie设计方法，对同一域中不同服务器间加密Cookie的密钥的管理问题，除传统密钥管理方案外，提出了Cookie集中管理的解决方案，最后，应用Cookie将Web的安全实现扩展到访问控制。     

基于Cookie的Web服务安全认证系统

Web服务是一种崭新的分布式计算模式，是下一代电子商务的框架。但Web服务能否顺利发展的关键是其安全问题，对Web服务请求者的身份进行认证是解决安全问题的重要途径。为克服HTTP协议的无状态性，在对基于cookie的认证机制的实现原理和过程进行分析和研究的基础上，提出了一种基于Cookie的认证系统，详细介绍了其工作流程。谊认证系统具备单点登录和适应所有浏览器等特点，比较适合于Web服务在单域内的安全认证。     

双主体认证协议抵御DoS攻击的安全方案

认证协议存在的一定的拒绝服务(DoS)攻击隐患。该文在cookie机制和工作量证明方法思想的基础上,采用弱认证和强认证相结合的方法,提出了双主体认证协议抵御DoS攻击的安全方案,给出了方案的实现细节和部分实验数据,分析了该方案的安全性。应用该方案对Lowe的NSPK协议进行改进,并分析了改进后协议的性能。     

.NET Framework 1.1／2.0中SmartNavigation的实现

ASP．NET以其出色的抽象设计和封装实现，给我们展示了一个非常美好的Web应用程序开发前景。下面我主要介绍一下ASP．NET开发中，Framework给我们提供的一个little cookie，SmartNavigation。这个SmartNavigation属性很有意思，它在不改动(其实是改动很小)页面元素本身的布局情况下，居然可以模拟出非常平滑的“无刷新”页面。那么什么是无刷新页面呢，我这里做一个简单的解释。     

基于JSP的在线评估系统的安全机制

保证在线系统的安全是网络持续发展的关键。介绍了基于JSP的在线评估系统的安全机制，对其系统管理、身份认证（包括登录的身份认证和内部页面的身份认证）和专家评估的安全机制等进行了详细的分析，并给出了解决这些问题的方法。     

网格环境下统一身份认证的研究

网格技术的广泛应用,网格安全越来越成为人们关注的焦点.而身份认证作为用户使用网格资源的第一道门槛,对网格的安全起到了至关重要的作用.在分析研究现有的网络及网格安全技术的基础上,提出了一种基于cookie实现单点登录和基于票据实现联代理的统一身份认证方案,并拟应用在国家专家信息网格中.     

一种双向动态口令认证系统的研究

在研究现有身份认证系统中存在的安全问题的基础上，提出了一种双向动态口令认证方案，给出了方案的实现过程，并对方案进行了安全性分析。本方案的特点是：提供了服务器和客户的双向认证，能够抵御假冒攻击；双向认证的实现不需要依赖于第三方认证中心来实现；认证信息保持动态性，能有效防止重放攻击。     

数字图书馆跨库检索初探

为了实现不同数字图书馆之间的检索,在对各图书馆网页cookie分析后,按照用户搜索条件将所搜索结果融合到一个页面中发馈给用户,方便用户的比较与使用.     

可控安全Web的研究探讨

可控安全Web也就是针对Web的安全访问控制,为了加强身份认证和访问控制,适应Web的分级管理需求,以及对信息敏感性要求很高的机密环境下Web页面的分级访问的实现,本文在对认证技术进行分析的基础上,设计并实现了一个可控的安全访问控制系统。     

基于SIP的安全认证机制的研究及改进

会话初始协议大部分认证机制只提供服务器到客户端的单向认证,HTTP摘要认证就是其中的一种。该文通过分析其过程,找出认证协议中的安全缺陷,给出攻击者可能进行的攻击。针对协议的安全漏洞,提出一种改进的安全机制,在提供服务器和客户端之间相互认证的基础上加入加密保护和完整性保护,以保证消息传输的安全性。     

基于日志监视主动防御 HTTP 泛洪攻击

模仿正常访问行为的HTTP泛洪攻击较为隐蔽,在消耗网站服务器资源的同时还带来信息安全隐患,提出了一种主动防御方法。用URL重写的方法使Web日志记录HTTP请求的CookieId和SessionId;定时分析Web日志,利用CookieId和SessionID识别用户,根据请求时间特征来识别傀儡主机;对HTTP请求进行预处理,拦截傀儡主机的请求。该方法成本低、便于实施,实践证明了其有效性。     

Ajax应用程序安全性研究

介绍了基于HTTP协议传输数据的Ajax技术基本原理和存在的安全问题。了解恶意代码进入web应用程序的一些方式及其攻击所产生的影响,并通过探索一些方法来避免它们。     

基于操作行为的隧道木马检测方法

木马通常利用HTTP隧道技术突破防护设备,对网络安全造成威胁。针对该问题,提出一种利用木马操作行为检测网络中HTTP隧道木马的方法。该方法通过6个统计特征描述正常的HTTP会话,采用HTTP隧道技术发现木马操作之间的差别,利用数据挖掘中C4.5决策树分类算法对2种会话进行分类。实验结果表明,该方法能检测多种已知的HTTP隧道木马。     

基于身份认证的嵌入式Web网关安全机制的实现

在电力远程监控系统的安全需求背景下，首先分析嵌入式网关面临的网络安全威胁，然后针对嵌入式系统资源有限及具体应用环境提出了“紧凑安全策略”，最后利用HTTP摘要认证和SSL安全协议实现了基于身份认证的嵌入式网关的安全，达到安全和资源使用的最佳平衡。     

Can internet users protect themselves? Challenges and techniques of automated protection of HTTP communication

HTTPS enables secure access to web content and web-based services. Although supported by many content and service providers, HTTPS is oftentimes not enabled by default, as pointed out in an open letter sent to Google by security experts. In this article, we discuss if and how web users can protect themselves by using HTTPS instead of HTTP. We show that many websites allow for accessing content by HTTPS instead of HTTP. However, HTTPS access must be manually configured or requested by the user, or is impossible at all, e.g., for embedded objects. For this reason, we explore how to protect users transparently by automatically using HTTPS whenever possible. In order to enable this approach, one needs to determine whether using HTTPS yields the same content as using HTTP, even in the presence of dynamic websites incorporating advertisements and news. We show that this decision is possible for entire websites like amazon.com in short time by combining a fast content comparison algorithm, result caching, and observations on the structure of the website. Besides the concrete HTTP use case considered in this article, our results are of independent interest for any setting in which content can be accessed by various means. Finally, we present and discuss different approaches for implementing automated protection of HTTP connections.     

探析超文本传输协议

HTTP(超文本传输协议)是浏览器和Web服务器共同遵守的协议。介绍了HTTP/1.1协议的特点如灵活性、简单性、无连接、无状态等。分析了HTTP的工作过程,分连接、请求、响应、关闭四个步骤,并且通过具体的实例来对HTTP工作过程中的请求和应答两部分作了详细的描述,最后分析了当前HTTP协议的缺点并指出了HTTP协议的发展趋势。     

一种高性能面向交互式系统管理的HTTP／CGI SERVER设计方法的研究

1.引言基于Web方式的管理系统由于其易用性和友好的界面,逐渐取代了传统的字符方式的管理系统,其具备的通过网络远程管理及与平台无关的特点,在与基于视窗界面的管理系统的比较中,也占据了明显的优势;与基于SNMP的管理系统相比较,由于SNMP需要管理对象具有一个MIB库和一个解释SNMP字符串的代理,这样就极大地限制了它所能管理对象的范围,在这一方面,Web方式的管理系统体现了很好的包容性。     

HTTP缓存的研究与实现

本文研究了 HTTP〔1〕缓存的特点和影响 HTTP缓存效果的因素 ,分析了衡量 HTTP缓存性能的指标 ,设计了HTTP缓存文件和缓存入口信息的结构 ,最后给出了收到用户请求和收到响应时的分类处理过程 .     

ASP.NET服务器端状态管理技术的分析与比较

由于HTTP协议的无状态性,在开发基于HTTP的B/S结构的Web应用程序时,就需要解决状态管理的问题。在ASP.NET中有客户端状态管理和服务器端状态管理两种状态管理技术。本文中通过对ASP.NET的服务器端状态管理技术的特点进行分析与比较,指出了各种技术的优缺点,给出了一些实用的使用建议。