十大前沿技术之一:active cookies

Indiana prof tossing his 'active cookies' at security threats - Network World

很显然我没有资格评价哪些是“十大前沿技术”，我只是引用了networkworld.com的说法而已。大家可以在这里找到“十大前沿技术”的汇总。

大概看了一下active cookies技术，这里做一个笔记。一般来说，传统的cookie是用来在用户的浏览器上存放一些用户ID之类的信息。以便下次访问网站的时候提供更人性化的服务，例如，不用再次登录。所以，传统的cookie是用来标定用户(identity user)的。

而active cookie不是用来标定用户(identity user)的，而是用来认证用户(authenticate user)的。从这点上来讲，active cookie似乎是做了一些认证的工作。我读了一下关于active cookie的论文，其中核心的一点就是，他们采用了把cookie-based认证和一种新的IP-tracing协议的结合起来的方法，来达到安全的目的。其中IP-tracing协议实际上是为了帮助找出在authentication session的过程中突然出现的attacker而设计的，但对于通信双方正常的IP地址改变是没有影响的。而cookie就是用于认证的。

目前这种技术已经可以用在终端用户上了，但是如果用户换了一台机器，那么就不行了。因此他们还在努力的做一些服务端的技术，让用户不论在哪里都可以得到安全的确认。

我只是根据我的理解写下了上述文字，肯定有不对之处，敬请谅解。关于active cookie的论文：
http://www.ravenwhite.com/files/cache-cookies.pdf