CN104270379B - 基于传输控制协议的https 代理转发方法及装置 - Google Patents
基于传输控制协议的https 代理转发方法及装置 Download PDFInfo
- Publication number
- CN104270379B CN104270379B CN201410542568.6A CN201410542568A CN104270379B CN 104270379 B CN104270379 B CN 104270379B CN 201410542568 A CN201410542568 A CN 201410542568A CN 104270379 B CN104270379 B CN 104270379B
- Authority
- CN
- China
- Prior art keywords
- client
- source station
- certificate
- proxy servers
- https
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于传输控制协议的HTTPS代理转发方法及装置。该方法包括:无证书的HTTPS代理服务器与客户端建立传输控制协议连接;无证书的HTTPS代理服务器接收来自客户端的安全套接层连接请求;无证书的HTTPS代理服务器通过解析安全套接层连接请求,获取源站域名;无证书的HTTPS代理服务器通过查询计算机域名系统服务器获取与源站域名对应的源站网络互连协议地址;无证书的HTTPS代理服务器与源站网络互连协议地址对应的源站建立传输控制协议连接并将安全套接层连接请求转发给源站网络互连协议地址对应的源站。通过本发明,实现了通用的HTTPS代理转发功能,同时可以达到节约IP资源的效果。
Description
技术领域
本发明涉及数据传输领域,具体而言,涉及一种基于传输控制协议的HTTPS代理转发方法及装置。
背景技术
内容分发网络(Content Delivery Network,简称为CDN),通过在现有的因特网中增加一层新的网络架构,将网站的内容发布到最接近用户的网络“边缘”,使用户可以就近取得所需的内容,从而提高用户访问网站的响应速度。
基于传输控制协议(Transmission Control Protocol,简称为TCP)的安全超文本传输协议(Secure Hypertext Transfer Protocol,简称为HTTPS)代理服务器(以下都简称为代理服务器),在无证书的情况下可实现数据包的代理转发。所谓无证书是指源站不将HTTPS的证书及私钥放在代理服务器上,因此代理服务器不具备对HTTPS解析的功能,即网民的访问内容是加密的,安全性得以保证。代理服务器作为“中间人”的角色,从TCP的层面进行数据包的转发。
对于一个源站的无证书的HTTPS请求,现有的代理服务器实现代理转发的方法为:1、代理服务器与源站事先约定好源站域名和代理服务器上特定IP地址之间的映射关系;2、通过查询计算机域名系统(Domain Name System,简称为DNS)服务器,将用户的访问引导到最近的代理服务器上;3、代理服务器通过监听特定的套接字来接受来自用户的访问请求,套接字是指事先约定好的对应源站域名的代理服务器IP地址以及对应该IP地址的访问端口(通常为443端口);4、使用预先配置好的源站的套接字与源站服务器建立连接,将HTTPS请求以TCP数据的形式转发给源站服务器;5、将来自源站服务器的响应转发给用户(在本地不做分析)。图1提供了现有的代理服务器进行数据包代理转发示意图。如图1所示,源站40的域名为www.a.com,源站50的域名为www.b.com。事先约定代理服务器20的IP地址与源站40、源站50域名的映射关系:源站40域名对应代理服务器20的IP1,源站50域名对应代理服务器20的IP2。首先,网民10发出无证书的HTTPS访问请求,代理服务器20通过监听(bind)自身绑定的IP和端口,接收网民10发出的HTTPS访问请求。然后,通过DNS服务器30查询对应相应域名的IP地址。最后,代理服务器20按照该IP地址将网民的访问请求转发给相应的源站。
在现有的无证书的HTTPS代理服务器进行源站地址解析时,代理服务器对应一个IP地址的443端口只能服务一个源站,服务多个源站时会出现冲突。当代理服务器需要服务多个源站时,代理服务器通常采用绑定多个IP地址的方式来避免冲突问题,即代理服务器对应一个IP地址的443端口用来服务源站a,对应另一个IP地址的443端口用来服务源站b。这种实现方式,使得代理服务器能够服务的源站的个数受到绑定的IP地址个数的限制;同时,代理服务器服务多个源站会造成IP资源的严重消耗。在IP资源日益稀缺的今天,现有的代理服务器投入的成本将大幅提高。
针对相关技术中无证书的HTTPS代理服务器在进行数据包代理转发时需要大量的IP地址,导致IP资源浪费的问题,目前尚未提出有效的解决方案。
发明内容
针对现有的在进行数据包代理转发时需要大量的IP地址,导致IP资源浪费的问题而提出本发明,为此,本发明的主要目的在于提供一种基于传输控制协议的HTTPS代理转发方法及装置,以解决上述问题。
为了实现上述目的,根据本发明的一个方面,提供了一种基于传输控制协议的HTTPS代理转发方法。该方法包括:无证书的HTTPS代理服务器与客户端建立传输控制协议连接;无证书的HTTPS代理服务器接收来自客户端的安全套接层连接请求,其中,安全套接层连接请求中包含客户端请求访问的源站域名;无证书的HTTPS代理服务器通过解析安全套接层连接请求,获取源站域名;无证书的HTTPS代理服务器通过查询计算机域名系统服务器获取与源站域名对应的源站网络互连协议地址;无证书的HTTPS代理服务器与源站网络互连协议地址对应的源站建立传输控制协议连接;无证书的HTTPS代理服务器将安全套接层连接请求转发给源站网络互连协议地址对应的源站。
进一步地,无证书的HTTPS代理服务器与客户端建立传输控制协议连接包括:无证书的HTTPS代理服务器通过检测无证书的HTTPS代理服务器的访问端口,判断是否有客户端发送的访问请求进入访问端口,其中,访问端口是无证书的HTTPS代理服务器接收客户端发送的访问请求的端口,访问请求包括安全套接层连接请求;如果无证书的HTTPS代理服务器检测到有客户端发送的访问请求进入访问端口,则无证书的HTTPS代理服务器接受客户端发送的访问请求,建立与客户端之间的传输控制协议连接。
进一步地,客户端的安全套接层连接请求包括客户端问候消息,其中,客户端问候消息是客户端请求与无证书的HTTPS代理服务器之间建立安全套接层连接的消息,客户端问候消息中包含客户端请求访问的源站域名,无证书的HTTPS代理服务器通过解析安全套接层连接请求,获取源站域名包括:无证书的HTTPS代理服务器通过解析安全套接层连接请求中包括的客户端问候消息,获取客户端问候消息中包含的服务器名字指示扩展头字段;无证书的HTTPS代理服务器通过解析服务器名字指示扩展头字段,获取源站域名,无证书的HTTPS代理服务器将安全套接层连接请求转发给源站网络互连协议地址对应的源站包括无证书的HTTPS代理服务器将客户端问候消息转发给源站网络互连协议地址对应的源站。
进一步地,无证书的HTTPS代理服务器将安全套接层连接请求转发给源站网络互连协议地址对应的源站包括:按照源站网络互连协议地址,无证书的HTTPS代理服务器建立与源站之间的传输控制协议连接;无证书的HTTPS代理服务器将客户端的安全套接层连接请求转发给源站网络互连协议地址对应的源站。
进一步地,无证书的HTTPS代理服务器将安全套接层连接请求转发给源站网络互连协议地址对应的源站之后,方法还包括:无证书的HTTPS代理服务器获取源站对客户端的安全套接层连接请求的响应信息;无证书的HTTPS代理服务器将响应消息转发给客户端。
为了实现上述目的,根据本发明的另一方面,提供了一种基于传输控制协议的HTTPS代理转发装置,该装置包括:第一连接单元,用于与客户端建立传输控制协议连接;接收单元,用于接收来自客户端的安全套接层连接请求,其中,安全套接层连接请求中包含客户端请求访问的源站域名;第一获取单元,用于通过解析安全套接层连接请求,获取源站域名;第二获取单元,用于通过查询计算机域名系统服务器获取与源站域名对应的源站网络互连协议地址;第二连接单元,用于与源站网络互连协议地址对应的源站建立传输控制协议连接;第一转发单元,用于将安全套接层连接请求转发给源站网络互连协议地址对应的源站。
进一步地,连接单元包括:判断模块,用于通过检测无证书的HTTPS代理服务器的访问端口,判断是否有客户端发送的访问请求进入访问端口,其中,访问端口是接收客户端发送的访问请求的端口,访问请求包括安全套接层连接请求;第一连接模块,用于在无证书的HTTPS代理服务器检测到有客户端发送的访问请求进入访问端口的情况下,接受客户端发送的访问请求,建立与客户端之间的传输控制协议连接。
进一步地,客户端的安全套接层连接请求包括客户端问候消息,其中,客户端问候消息是客户端请求与无证书的HTTPS代理服务器之间建立安全套接层连接的消息,客户端问候消息中包含客户端请求访问的源站域名,第一获取单元包括:第一获取模块,用于通过解析安全套接层连接请求中包括的客户端问候消息,获取客户端问候消息中包含的服务器名字指示扩展头字段;第二获取模块,用于通过解析服务器名字指示扩展头字段,获取源站域名,第一转发单元,用于将客户端问候消息转发给源站网络互连协议地址对应的源站。
进一步地,转发单元包括:第二连接模块,用于按照源站网络互连协议地址,建立与源站之间的传输控制协议连接;第一转发模块,用于将客户端的安全套接层连接请求转发给源站网络互连协议地址对应的源站。
进一步地,该装置还包括:第三获取单元,用于获取源站对客户端的安全套接层连接请求的响应信息;第二转发单元,用于将响应消息转发给客户端。
通过本发明,采用包括以下步骤的方法:无证书的HTTPS代理服务器与客户端建立传输控制协议连接;无证书的HTTPS代理服务器接收来自客户端的安全套接层连接请求,其中,安全套接层连接请求中包含客户端请求访问的源站域名;无证书的HTTPS代理服务器通过解析安全套接层连接请求,获取源站域名;无证书的HTTPS代理服务器通过查询计算机域名系统服务器获取与源站域名对应的源站网络互连协议地址;无证书的HTTPS代理服务器与源站网络互连协议地址对应的源站建立传输控制协议连接;无证书的HTTPS代理服务器将安全套接层连接请求转发给源站网络互连协议地址对应的源站,解决了在进行数据包代理转发时需要大量的IP地址,导致IP资源浪费的问题,进而通过解析客户端请求消息获取源站域名,实现了通用的HTTPS代理转发功能,同时达到了节约IP资源的效果。
附图说明
构成本申请的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是现有的无证书的HTTPS代理服务器进行数据包代理转发示意图;
图2是根据本发明的基于传输控制协议的HTTPS代理转发方法的第一实施例的流程图;
图3是根据本发明的基于传输控制协议的HTTPS代理转发方法的第二实施例的流程图;
图4是根据本发明的基于传输控制协议的HTTPS代理转发方法的第三实施例的流程图;
图5是根据本发明的基于传输控制协议的HTTPS代理转发装置的优选实施例的示意图;
图6是根据本发明的基于传输控制协议的HTTPS代理转发装置的第一实施例的结构框图;
图7是根据本发明的基于传输控制协议的HTTPS代理转发装置的第二实施例的结构框图;以及
图8是根据本发明的基于传输控制协议的HTTPS代理转发装置的第三实施例的结构框图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
图2是根据本发明的基于传输控制协议的HTTPS代理转发方法的第一实施例的流程图。如图2所示,该方法包括如下步骤:
步骤S102,无证书的HTTPS代理服务器与客户端建立传输控制协议连接。
传输控制协议(Transmission Control Protocol,简称为TCP),是一种面向连接(连接导向)的、可靠的、基于字节流的运输层(Transport layer)通信协议。在简化的计算机网络OSI模型中,它完成第四层传输层所指定的功能。
建立代理服务器与客户端之间的TCP连接是三次“握手”的过程。假设src表示客户端地址,dst表示代理服务器地址。第一次握手是从src到dst,它发送了一个syn(123);第二次握手是从dst到src,它首先返回了一个ack(123+1),用以确认第一次握手的syn(123),同时也发送自己的syn(456);第三次握手是src到dst,它返回一个ack(456+1),用于确认第二次握手的syn(456)。三次“握手”是为了验证src与dst的相互存在是否可达并形成连接,这种连接是指dst与src两者之间物理介质上的逻辑通路,它是虚拟但存在的。
需要说明的是,对于基于HTTPS的数据包代理转发,源站不将HTTPS的证书及私钥放在代理服务器上,这样代理服务器不具备对HTTPS协议解析的功能,即网民的访问内容依然是加密的,安全性可以保证。代理服务器作为中间人的角色,从TCP的层面进行TCP包的转发。需要说明的是,本发明中提到的代理服务器均为无证书的HTTPS代理服务器,为了简化说明,部分描述为代理服务器。
优选地,代理服务器通过检测代理服务器的访问端口,判断是否有客户端发送的访问请求进入访问端口,这里的访问端口是指代理服务器接收客户端发送的访问请求的端口,访问请求包括安全套接层连接请求。如果代理服务器检测到有客户端发送的访问请求进入访问端口,则代理服务器接受客户端发送的访问请求,建立与客户端之间的传输控制协议连接。客户端与代理服务器之间实现了TCP动态建联,从而提高了代理服务器代理转发TCP数据包的效率。
步骤S104,无证书的HTTPS代理服务器接收来自客户端的安全套接层连接请求,其中,安全套接层连接请求中包含客户端请求访问的源站域名。
安全套接层(Secure Socket Layer,简称为SSL),用以保障在因特网上数据传输的安全,利用数据加密(Encryption)技术,可确保数据在网络传输过程中不会被截取或窃听。
SSL协议的工作流程:
服务器认证阶段:1、客户端向服务器发送一个开始信息“Hello”,以开始一个新的会话连接;2、服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;3、客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;4、服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。
用户认证阶段:在此之前,服务器已经通过了客户认证,这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户,客户则返回(数字)签名后的提问和其公开密钥,从而向服务器提供认证。
SSL协议提供的服务主要有:认证用户和服务器,确保数据发送到正确的客户机和服务器;加密数据以防止数据中途被窃取;维护数据的完整性,确保数据在传输过程中不被改变。
步骤S106,无证书的HTTPS代理服务器通过解析安全套接层连接请求,获取源站域名。
代理服务器通过解析安全套接层连接请求,获知源站域名。区别于现有技术中,需要建立不同源站域名与代理服务器绑定的不同IP地址之间的映射。这种获取源站域名的方式效率更高、成本更低。
步骤S108,无证书的HTTPS代理服务器通过查询计算机域名系统服务器获取与源站域名对应的源站网络互连协议地址。
计算机域名系统(Domain Name System或Domain Name Service,简称为DNS)服务器,由域名解析器和域名服务器组成。域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。其中,一个域名必须对应一个IP地址,而IP地址不一定有域名。域名系统采用类似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器方,它主要有两种形式:主服务器和转发服务器。将域名映射为IP地址的过程称为域名解析。
步骤S110,无证书的HTTPS代理服务器与源站网络互连协议地址对应的源站建立传输控制协议连接。
关于建立传输控制协议连接的内容在步骤S102中进行了说明,这里不再赘述。
步骤S112,无证书的HTTPS代理服务器将安全套接层连接请求转发给源站网络互连协议地址对应的源站。
优选地,首先按照源站网络互连协议地址,代理服务器建立与源站之间的传输控制协议连接;然后,代理服务器将客户端的安全套接层连接请求转发给源站网络互连协议地址对应的源站。
该实施例由于采取了以下步骤:无证书的HTTPS代理服务器与客户端建立传输控制协议连接;无证书的HTTPS代理服务器接收来自客户端的安全套接层连接请求,其中,安全套接层连接请求中包含客户端请求访问的源站域名;无证书的HTTPS代理服务器通过解析安全套接层连接请求,获取源站域名;无证书的HTTPS代理服务器通过查询计算机域名系统服务器获取与源站域名对应的源站网络互连协议地址;无证书的HTTPS代理服务器与源站网络互连协议地址对应的源站建立传输控制协议连接;无证书的HTTPS代理服务器将安全套接层连接请求转发给源站网络互连协议地址对应的源站,使得无证书的HTTPS代理服务器在进行数据包代理转发时只需绑定一个IP地址,从而可以节省IP,降低成本。
图3是根据本发明的基于传输控制协议的HTTPS代理转发方法的第二实施例的流程图。该实施例可以作为图2所示实施例的一种优选实施方式,如图3所示,该基于传输控制协议的HTTPS代理转发方法包括:
步骤S201,无证书的HTTPS代理服务器与客户端建立传输控制协议连接。
该步骤同步骤S102,这里不再赘述。
步骤S202,无证书的HTTPS代理服务器接收来自客户端的安全套接层连接请求,其中,客户端的安全套接层连接请求包括客户端问候消息,客户端问候消息是客户端请求与无证书的HTTPS代理服务器之间建立安全套接层连接的消息,客户端问候消息中包含客户端请求访问的源站域名。
根据SSL3及TLS1的原理,客户端与服务器之间建立TCP连接后,客户端会主动发起SSL连接。SSL连接过程中,客户端发起“client hello”,在SSL3及TLS1版本之后的协议中,增加了“Extension:server_name”扩展头,其中包含了“Server Name Indicationextention”(后简称SNI),该扩展字段中包含“Server Name”字段,其中,明文说明了该HTTPS请求所要访问的源站的域名。下面给出了客户端问候消息“Client Hello”中SNI扩展头字段的程序说明。
需要说明的是,在最初的SSL2协议中并不包含SNI扩展字段,而且某些低版本的浏览器(如IE6等)也不支持该扩展字段。只有在使用新版本的SSL协议,并且客户端请求在“Client Hello”中均带有该扩展字段的情况下,代理服务器才会有效识别出SNI。
步骤S203,无证书的HTTPS代理服务器通过解析安全套接层连接请求中包括的客户端问候消息,获取客户端问候消息中包含的服务器名字指示扩展头字段。
服务器名字指示扩展头字段即“Server Name Indication extention”,简称为SNI扩展头字段。
步骤S204,无证书的HTTPS代理服务器通过解析服务器名字指示扩展头字段,获取源站域名。
获取SNI扩展头字段中包含的“Server Name”字段,其明文说明了该HTTPS请求所要访问的源站的域名。
步骤S205,无证书的HTTPS代理服务器通过查询计算机域名系统服务器获取与源站域名对应的源站网络互连协议地址。
该步骤同步骤S108,这里不再赘述。
步骤S206,无证书的HTTPS代理服务器与源站网络互连协议地址对应的源站建立传输控制协议连接。
该步骤同于步骤S110,这里不再赘述。
步骤S207,无证书的HTTPS代理服务器将客户端问候消息转发给源站网络互连协议地址对应的源站。
该步骤同步骤S112,这里不再赘述。
该实施例由于采用了如下步骤:无证书的HTTPS代理服务器与客户端建立传输控制协议连接;无证书的HTTPS代理服务器接收来自客户端的安全套接层连接请求,其中,客户端的安全套接层连接请求包括客户端问候消息;无证书的HTTPS代理服务器通过解析安全套接层连接请求中包括的客户端问候消息,获取客户端问候消息中包含的服务器名字指示扩展头字段;无证书的HTTPS代理服务器通过解析服务器名字指示扩展头字段,获取源站域名;无证书的HTTPS代理服务器通过查询计算机域名系统服务器获取与源站域名对应的源站网络互连协议地址;无证书的HTTPS代理服务器与源站网络互连协议地址对应的源站建立传输控制协议连接;无证书的HTTPS代理服务器将客户端问候消息转发给源站网络互连协议地址对应的源站,使得无证书的HTTPS代理服务器通过解析SNI获取源站域名,实现了利用一个IP地址可以服务多个源站,从而服务的源站的个数不再依赖于绑定的IP地址的个数,降低了运营成本。
图4是根据本发明的基于传输控制协议的HTTPS代理转发方法的第三实施例的流程图。该实施例可以作为图2所示实施例的一种优选实施方式,如图4所示,该基于传输控制协议的HTTPS代理转发方法包括:
步骤S301,无证书的HTTPS代理服务器与客户端建立传输控制协议连接。
该步骤同步骤S102,这里不再赘述。
步骤S302,无证书的HTTPS代理服务器接收来自客户端的安全套接层连接请求,其中,安全套接层连接请求中包含客户端请求访问的源站域名。
该步骤同步骤S104,这里不再赘述。
步骤S303,无证书的HTTPS代理服务器通过解析安全套接层连接请求,获取源站域名。
该步骤同步骤S106,这里不再赘述。
步骤S304,无证书的HTTPS代理服务器通过查询计算机域名系统服务器获取与源站域名对应的源站网络互连协议地址。
该步骤同步骤S108,这里不再赘述。
步骤S305,无证书的HTTPS代理服务器与源站网络互连协议地址对应的源站建立传输控制协议连接。
该步骤同步骤S110,这里不再赘述。
步骤S306,无证书的HTTPS代理服务器将安全套接层连接请求转发给源站网络互连协议地址对应的源站。
该步骤同步骤S112,这里不再赘述。
步骤S307,无证书的HTTPS代理服务器获取源站对客户端的安全套接层连接请求的响应信息。
在基于TCP的HTTPS代理转发过程中,在代理服务器将HTTPS数据转发给源站之后,客户端与源站之间将进行后续的安全套接字协议协商及安全证书校验,代理服务器对加密内容进行转发(不进行解析)。在安全套接字验证通过后,客户端将可以发起正常的HTTPS请求。步骤S308,代理服务器将响应消息转发给客户端。
需要注意的是,代理服务器不再对后续的内容进行解析,而只是实现对客户端与源站HTTPS服务器进行TCP代理转发的功能。
该实施例由于采用了如下步骤:无证书的HTTPS代理服务器与客户端建立传输控制协议连接;无证书的HTTPS代理服务器接收来自客户端的安全套接层连接请求,其中,安全套接层连接请求中包含客户端请求访问的源站域名;无证书的HTTPS代理服务器通过解析安全套接层连接请求,获取源站域名;无证书的HTTPS代理服务器通过查询计算机域名系统服务器获取与源站域名对应的源站网络互连协议地址;无证书的HTTPS代理服务器与源站网络互连协议地址对应的源站建立传输控制协议连接;无证书的HTTPS代理服务器将安全套接层连接请求转发给源站网络互连协议地址对应的源站;无证书的HTTPS代理服务器获取源站对客户端的安全套接层连接请求的响应信息;无证书的HTTPS代理服务器将响应消息转发给客户端,在代理服务器不具备HTTPS协议解析功能的条件下,实现了客户端与源站之间数据包的代理转发,加快了客户端与源站之间的数据传输速度;同时,代理服务器在只具有一个IP地址的情况下,可以在成本没有提高的前提下实现客户端与多个源站之间的数据代理转发。
图5是根据本发明的基于传输控制协议的HTTPS代理转发方法的优选实施例的示意图。如图5所示,该基于传输控制协议的HTTPS代理转发方法包括:
代理服务器20上只需设置一个IP,且IP地址为IP1。假设HTTPS源站40的域名为www.A.com,HTTPS源站50的域名www.B.com。事先指定www.A.com、www.B.com分别与IP1的对应关系。网民10发出HTTPS访问请求,代理服务器20通过解析SNI,获取网民要访问的源站域名。代理服务器20查询DNS服务器,获取与源站域名对应的IP地址,从而代理服务器20将数据包转发给对应该IP地址的源站。从图中可以看到,代理服务器20不需借助两个IP地址,便可以实现为两个源站进行TCP数据包的代理转发功能。
CDN系统具备网民就近定位的功能,比如,北京网民通常访问北京的服务器、上海网民访问上海的服务器,所以需要在全国不同的城市部署代理服务器。如果按照现有方法,一个代理服务器便需绑定多个IP,这将造成IP资源的严重浪费。而在本方法中,在可以成功解析出SNI的前提下,一个代理服务器只需一个IP就可以实现服务多个源站。
例如:全国50个节点(代理服务器),服务的源站个数为10,那么现有方法就需要至少500个IP;而在本方法中,只需要50个IP即可。可见,节省IP资源是本方法的一个有效结果。
需要说明的是,本发明实施例的基于传输控制协议的HTTPS代理转发装置可以用于执行本发明实施例所提供的基于传输控制协议的HTTPS代理转发方法,本发明实施例的基于传输控制协议的HTTPS代理转发方法也可以通过本发明实施例所提供的基于传输控制协议的HTTPS代理转发装置来执行。
图6是根据本发明的基于传输控制协议的HTTPS代理转发装置的第一实施例的结构框图。如图6所示,该装置结构包括:
第一连接单元22,用于与客户端建立传输控制协议连接。
优选地,该单元可以包括判断模块和第一连接模块,判断模块和第一连接模块分别为:
判断模块,用于通过检测无证书的HTTPS代理服务器的访问端口,判断是否有客户端发送的访问请求进入访问端口,其中,访问端口是接收客户端发送的访问请求的端口,访问请求包括安全套接层连接请求。
第一连接模块,用于在无证书的HTTPS代理服务器检测到有客户端发送的访问请求进入访问端口的情况下,接受客户端发送的访问请求,建立与客户端之间的传输控制协议连接。
接收单元24,用于接收来自客户端的安全套接层连接请求,其中,安全套接层连接请求中包含客户端请求访问的源站域名。
第一获取单元26,用于通过解析安全套接层连接请求,获取源站域名。
该单元通过解析安全套接层连接请求,获知源站域名。区别于现有技术中,需要建立不同源站域名与代理服务器绑定的不同IP地址之间的映射。该单元工作效率更高、成本更低。
第二获取单元28,用于通过查询计算机域名系统服务器获取与源站域名对应的源站网络互连协议地址。
第二连接单元210,用于与源站网络互连协议地址对应的源站建立传输控制协议连接。
第一转发单元212,用于将安全套接层连接请求转发给源站网络互连协议地址对应的源站。
优选地,转发单元可以包括:第二连接模块,用于按照源站网络互连协议地址,建立与源站之间的传输控制协议连接;第一转发模块,用于将客户端的安全套接层连接请求转发给源站网络互连协议地址对应的源站。
本实施例提供的基于传输控制协议的HTTPS代理转发装置包括:第一连接单元22;接收单元24;第一获取单元26;第二获取单元28;第二连接单元210;第一转发单元212,通过该装置使得在进行数据包代理转发时只需绑定一个IP地址,从而可以节省IP,降低成本。
图7是根据本发明的基于传输控制协议的HTTPS代理转发装置的第二实施例的结构框图。该实施例可以作为图6所示实施例的一种优选实施例。如图7所示,该装置结构包括:
连接单元22、接收单元24、第一获取单元26、第二获取单元28、第二连接单元210和第一转发单元212,其中,第一获取单元26还可以包括第一获取模块32和第二获取模块34。其中,连接单元22、第二获取单元28和第二连接单元210与图4所述实施例相同,这里不再赘述。接收单元24、第一获取模块32、第二获取模块34和第一转发单元212分别为:
接收单元24,用于无证书的HTTPS代理服务器接收来自客户端的安全套接层连接请求,其中,客户端的安全套接层连接请求包括客户端问候消息,客户端问候消息是客户端请求与无证书的HTTPS代理服务器之间建立安全套接层连接的消息,客户端问候消息中包含客户端请求访问的源站域名。
接收单元24接收SSL连接过程中客户端发起的“client hello”,在SSL3及TLS1版本之后的协议中,“client hello”增加了“Extension:server_name”扩展头,其中包含了“Server Name Indication extention”(后简称SNI),该扩展字段中包含“Server Name”字段,其中,明文说明了该HTTPS请求所要访问的源站的域名。例如:www.tenpay.com。
第一获取模块32,用于通过解析安全套接层连接请求中包括的客户端问候消息,获取客户端问候消息中包含的服务器名字指示扩展头字段。
服务器名字指示扩展头字段即“Server Name Indication extention”,简称为SNI扩展头字段。
第二获取模块34,用于通过解析服务器名字指示扩展头字段,获取源站域名。
第二获取模块34获取SNI扩展头字段中包含的“Server Name”字段,其明文说明了该HTTPS请求所要访问的源站的域名。
第一转发单元212,用于将客户端问候消息转发给源站网络互连协议地址对应的源站。
本实施例提供的基于传输控制协议的HTTPS代理转发装置包括:连接单元22、接收单元24、第一获取单元26、第二获取单元28、第二连接单元210和第一转发单元212,其中,第一获取单元26还可以包括第一获取模块32和第二获取模块34。通过该装置,实现了通过解析SNI获取源站域名,利用一个IP地址可以服务多个源站,从而服务的源站的个数不再依赖于绑定的IP地址的个数,降低了运营成本。
图8是根据本发明的基于传输控制协议的HTTPS代理转发装置的第三实施例的结构框图。该实施例可以作为图6所示实施例的一种优选实施例。如图8所示,该装置结构包括:
第一连接单元22、接收单元24、第一获取单元26、第二获取单元28、第二连接单元210、第一转发单元212、第三获取单元214和第二转发单元216。其中,第一连接单元22、接收单元24、第一获取单元26、第二获取单元28、第二连接单元210和第一转发单元212与图4所述相同,这里不再赘述。第三获取单元214和第二转发单元216分别为:
第三获取单元214,用于获取源站对客户端的安全套接层连接请求的响应信息。
在该基于传输控制协议的HTTPS代理转发装置将数据包转发给源站之后,源站的HTTPS服务器将对该访问请求进行响应,并进行后续的SSL证书交换及校验过程。
第二转发单元216,用于将响应消息转发给客户端。
需要注意的是,该基于传输控制协议的HTTPS代理转发装置不再对后续的内容进行解析,而只是利用第二转发单元216实现对客户端与源站服务器进行TCP代理转发的功能。
本实施例提供的基于传输控制协议的HTTPS代理转发装置包括:第一连接单元22、接收单元24、第一获取单元26、第二获取单元28、第二连接单元210、第一转发单元212、第三获取单元214和第二转发单元216。通过该装置,实现了客户端与源站之间数据包的代理转发,加快了客户端与源站之间的数据传输速度;同时,在该装置只具有一个IP地址的情况下,可以在成本没有提高的前提下实现客户端与多个源站之间的HTTPS数据代理转发。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种基于传输控制协议的HTTPS代理转发方法,其特征在于,包括:
无证书的HTTPS代理服务器与客户端建立传输控制协议连接;
所述无证书的HTTPS代理服务器接收来自所述客户端的安全套接层连接请求,其中,所述安全套接层连接请求中包含所述客户端请求访问的源站域名;
所述无证书的HTTPS代理服务器通过解析所述安全套接层连接请求,获取所述源站域名;
所述无证书的HTTPS代理服务器通过查询计算机域名系统服务器获取与所述源站域名对应的源站网络互连协议地址;
所述无证书的HTTPS代理服务器与所述源站网络互连协议地址对应的源站建立传输控制协议连接;以及
所述无证书的HTTPS代理服务器将所述安全套接层连接请求转发给所述源站网络互连协议地址对应的源站。
2.根据权利要求1所述的方法,其特征在于,所述无证书的HTTPS代理服务器与所述客户端建立所述传输控制协议连接包括:
所述无证书的HTTPS代理服务器通过检测所述无证书的HTTPS代理服务器的访问端口,判断是否有所述客户端发送的访问请求进入所述访问端口,其中,所述访问端口是所述无证书的HTTPS代理服务器接收所述客户端发送的访问请求的端口,所述访问请求包括所述安全套接层连接请求;以及
如果所述无证书的HTTPS代理服务器检测到有所述客户端发送的访问请求进入所述访问端口,则所述无证书的HTTPS代理服务器接受所述客户端发送的访问请求,建立与所述客户端之间的传输控制协议连接。
3.根据权利要求1所述的方法,其特征在于,
所述客户端的安全套接层连接请求包括客户端问候消息,其中,所述客户端问候消息是所述客户端请求与所述无证书的HTTPS代理服务器之间建立安全套接层连接的消息,所述客户端问候消息中包含所述客户端请求访问的源站域名,
所述无证书的HTTPS代理服务器通过解析所述安全套接层连接请求,获取所述源站域名包括:
所述无证书的HTTPS代理服务器通过解析所述安全套接层连接请求中包括的客户端问候消息,获取所述客户端问候消息中包含的服务器名字指示扩展头字段;以及
所述无证书的HTTPS代理服务器通过解析所述服务器名字指示扩展头字段,获取所述源站域名,
所述无证书的HTTPS代理服务器将所述安全套接层连接请求转发给所述源站网络互连协议地址对应的源站包括所述无证书的HTTPS代理服务器将所述客户端问候消息转发给所述源站网络互连协议地址对应的源站。
4.根据权利要求1所述的方法,其特征在于,所述无证书的HTTPS代理服务器将所述安全套接层连接请求转发给所述源站网络互连协议地址对应的源站之后,所述方法还包括:
所述无证书的HTTPS代理服务器获取所述源站对所述客户端的安全套接层连接请求的响应信息;以及
所述无证书的HTTPS代理服务器将所述响应消息转发给所述客户端。
5.一种基于传输控制协议的HTTPS代理转发装置,其特征在于,包括:
第一连接单元,用于与客户端建立传输控制协议连接;
接收单元,用于接收来自所述客户端的安全套接层连接请求,其中,所述安全套接层连接请求中包含所述客户端请求访问的源站域名;
第一获取单元,用于通过解析所述安全套接层连接请求,获取所述源站域名;
第二获取单元,用于通过查询计算机域名系统服务器获取与所述源站域名对应的源站网络互连协议地址;
第二连接单元,用于与所述源站网络互连协议地址对应的源站建立传输控制协议连接;以及
第一转发单元,用于将所述安全套接层连接请求转发给所述源站网络互连协议地址对应的源站。
6.根据权利要求5所述的装置,其特征在于,所述第一连接单元包括:
判断模块,用于通过检测无证书的HTTPS代理服务器的访问端口,判断是否有所述客户端发送的访问请求进入所述访问端口,其中,所述访问端口是接收所述客户端发送的访问请求的端口,所述访问请求包括所述安全套接层连接请求;
以及
第一连接模块,用于在所述无证书的HTTPS代理服务器检测到有所述客户端发送的访问请求进入所述访问端口的情况下,接受所述客户端发送的访问请求,建立与所述客户端之间的传输控制协议连接。
7.根据权利要求5所述的装置,其特征在于,所述客户端的安全套接层连接请求包括客户端问候消息,其中,所述客户端问候消息是所述客户端请求与无证书的HTTPS代理服务器之间建立安全套接层连接的消息,所述客户端问候消息中包含所述客户端请求访问的源站域名,
所述第一获取单元包括:
第一获取模块,用于通过解析所述安全套接层连接请求中包括的客户端问候消息,获取所述客户端问候消息中包含的服务器名字指示扩展头字段;以及
第二获取模块,用于通过解析所述服务器名字指示扩展头字段,获取所述源站域名,
第一转发单元,用于将所述客户端问候消息转发给所述源站网络互连协议地址对应的源站。
8.根据权利要求5所述的装置,其特征在于,所述装置还包括:
第三获取单元,用于获取所述源站对所述客户端的安全套接层连接请求的响应信息;以及
第二转发单元,用于将所述响应消息转发给所述客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410542568.6A CN104270379B (zh) | 2014-10-14 | 2014-10-14 | 基于传输控制协议的https 代理转发方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410542568.6A CN104270379B (zh) | 2014-10-14 | 2014-10-14 | 基于传输控制协议的https 代理转发方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104270379A CN104270379A (zh) | 2015-01-07 |
| CN104270379B true CN104270379B (zh) | 2017-11-10 |
Family
ID=52161869
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410542568.6A Active CN104270379B (zh) | 2014-10-14 | 2014-10-14 | 基于传输控制协议的https 代理转发方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104270379B (zh) |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105634904B (zh) * | 2016-01-19 | 2019-02-19 | 深圳前海达闼云端智能科技有限公司 | 一种sslvpn的代理方法、服务器以及客户端及其处理方法 |
| CN107231241A (zh) * | 2016-03-24 | 2017-10-03 | 中国移动通信有限公司研究院 | 信息处理方法、网关及验证平台 |
| CN106302391B (zh) * | 2016-07-27 | 2019-09-13 | 上海华为技术有限公司 | 一种加密数据传输方法和代理服务器 |
| CN106330867A (zh) * | 2016-08-12 | 2017-01-11 | 武汉奥浦信息技术有限公司 | 一种以太网中解析https数据的方法 |
| CN106453610B (zh) * | 2016-11-09 | 2019-08-09 | 深圳市任子行科技开发有限公司 | 面向运营商骨干网的https数据流审计方法和系统 |
| CN106789344B (zh) * | 2017-01-19 | 2019-11-12 | 上海帝联信息科技股份有限公司 | 数据传输方法、系统、cdn网络及客户端 |
| CN107018178B (zh) * | 2017-02-22 | 2019-12-06 | 福建网龙计算机网络信息技术有限公司 | 一种网络请求代理执行的方法及系统 |
| CN107613036B (zh) * | 2017-09-04 | 2021-07-23 | 北京新流万联网络技术有限公司 | 实现https透明代理的方法和系统 |
| CN110022332B (zh) * | 2018-01-09 | 2022-06-21 | 武汉斗鱼网络科技有限公司 | 一种超文本传输安全协议代理方法、装置、设备及介质 |
| CN108390955B (zh) * | 2018-05-09 | 2021-06-04 | 网宿科技股份有限公司 | 域名获取方法、网站访问方法及服务器 |
| CN108737407A (zh) * | 2018-05-11 | 2018-11-02 | 北京奇安信科技有限公司 | 一种劫持网络流量的方法及装置 |
| CN109756474B (zh) * | 2018-11-23 | 2021-02-05 | 国电南瑞科技股份有限公司 | 一种电力调度自动化系统的服务跨区域调用方法及装置 |
| CN109413201B (zh) * | 2018-11-27 | 2021-06-29 | 东软集团股份有限公司 | Ssl通信方法、装置及存储介质 |
| CN109450945A (zh) * | 2018-12-26 | 2019-03-08 | 成都西维数码科技有限公司 | 一种基于sni的网页访问安全监控方法 |
| CN112448920B (zh) * | 2019-08-30 | 2023-04-07 | 中国移动通信有限公司研究院 | 网站访问监控方法、装置、服务器及计算机可读存储介质 |
| CN110855700A (zh) * | 2019-11-20 | 2020-02-28 | 杭州端点网络科技有限公司 | 一种跨公网实现多云管控的安全认证方法 |
| CN111526161A (zh) * | 2020-05-27 | 2020-08-11 | 联想(北京)有限公司 | 一种通信方法、通信设备及代理系统 |
| CN111787110B (zh) * | 2020-07-03 | 2023-03-31 | 国网湖北省电力有限公司 | 一种Socks代理发现方法及系统 |
| CN112910903B (zh) * | 2021-02-05 | 2023-04-18 | 北京百度网讯科技有限公司 | Ssl证书免部署的方法、装置和系统 |
| CN112714197B (zh) * | 2021-03-29 | 2021-08-03 | 杭州优云科技有限公司 | 一种零配置实现https代理的方法、装置及网络设备 |
| CN113079210A (zh) * | 2021-03-29 | 2021-07-06 | 广东电网有限责任公司 | 一种跨区数据自动同步的配置方法、终端设备及存储介质 |
| CN113905030B (zh) * | 2021-09-30 | 2022-11-22 | 北京百度网讯科技有限公司 | 内外网通讯方法、装置、内网终端、代理服务器和存储介质 |
| CN115242766A (zh) * | 2022-08-02 | 2022-10-25 | 亚数信息科技(上海)有限公司 | 一种基于二层网桥的https透明网关的方法 |
| CN115396531B (zh) * | 2022-08-23 | 2023-10-17 | 臻乐尔科技服务(上海)有限公司 | 一种tcp/udp代理的ip复用方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101277306A (zh) * | 2008-05-14 | 2008-10-01 | 华为技术有限公司 | 一种处理dns业务的方法、系统及设备 |
| CN103139185A (zh) * | 2011-12-02 | 2013-06-05 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种实现安全反向代理服务的方法 |
| CN103533001A (zh) * | 2012-07-05 | 2014-01-22 | 腾讯科技(深圳)有限公司 | 基于http多重代理的通信方法和系统、中间代理服务器 |
| CN103563335A (zh) * | 2011-05-05 | 2014-02-05 | 阿卡麦科技公司 | 利用安全连接的结合的cdn反向代理和边缘前向代理 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130103791A1 (en) * | 2011-05-19 | 2013-04-25 | Cotendo, Inc. | Optimizing content delivery over a protocol that enables request multiplexing and flow control |
-
2014
- 2014-10-14 CN CN201410542568.6A patent/CN104270379B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101277306A (zh) * | 2008-05-14 | 2008-10-01 | 华为技术有限公司 | 一种处理dns业务的方法、系统及设备 |
| CN103563335A (zh) * | 2011-05-05 | 2014-02-05 | 阿卡麦科技公司 | 利用安全连接的结合的cdn反向代理和边缘前向代理 |
| CN103139185A (zh) * | 2011-12-02 | 2013-06-05 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种实现安全反向代理服务的方法 |
| CN103533001A (zh) * | 2012-07-05 | 2014-01-22 | 腾讯科技(深圳)有限公司 | 基于http多重代理的通信方法和系统、中间代理服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104270379A (zh) | 2015-01-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104270379B (zh) | 基于传输控制协议的https 代理转发方法及装置 | |
| JP4579934B2 (ja) | レガシーノードとhipノード間のホストアイデンティティプロトコル(hip)接続を確立するためのアドレス指定方法及び装置 | |
| WO2017124837A1 (zh) | 一种sslvpn的代理方法、服务器以及客户端及其处理方法 | |
| WO2022151867A1 (zh) | 一种http转https双向透明代理的方法和装置 | |
| CN104158808B (zh) | 基于APP应用的Portal认证方法及其装置 | |
| US20170034174A1 (en) | Method for providing access to a web server | |
| CN105743670B (zh) | 访问控制方法、系统和接入点 | |
| WO2010127610A1 (zh) | 一种虚拟专用网节点信息的处理方法、设备及系统 | |
| CN101582856B (zh) | 一种门户服务器与宽带接入设备的会话建立方法及其系统 | |
| CA2419853A1 (en) | Location-independent packet routing and secure access in a short-range wireless networking environment | |
| JP2018528679A (ja) | 負荷平衡システムにおいて接続を確立するデバイス及び方法 | |
| WO2013086869A1 (zh) | 一种互联方法、装置和系统 | |
| TW200409500A (en) | Dynamic network address translation system and method of transparent private network device | |
| CN101843079A (zh) | 传输对潜在配置的选择 | |
| JP2003046533A (ja) | ネットワークシステム、その認証方法及びそのプログラム | |
| CN101883056B (zh) | 基于udt和tcp中转实现nat穿越的方法 | |
| CN106604119B (zh) | 一种用于智能电视私有云设备的网络穿透方法及系统 | |
| CN107612931B (zh) | 多点会话方法及多点会话系统 | |
| JP2009100064A (ja) | 無線lanの通信方法及び通信システム | |
| CN110474922B (zh) | 一种通信方法、pc系统及接入控制路由器 | |
| CN106131039A (zh) | Syn洪泛攻击的处理方法及装置 | |
| Stapp | DHCPv6 Bulk Leasequery | |
| CN104756462B (zh) | 用于在限制性防火墙后进行tcp turn操作的方法和系统 | |
| JP2004096726A (ja) | 点対点、点対多点のインターネット接続を行なう方法 | |
| CN107547680A (zh) | 一种数据处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20220225 Granted publication date: 20171110 |
|
| PP01 | Preservation of patent right |