CN110555180A - 一种Web页面对象请求方法和HTTPS请求响应方法 - Google Patents
一种Web页面对象请求方法和HTTPS请求响应方法 Download PDFInfo
- Publication number
- CN110555180A CN110555180A CN201910858538.9A CN201910858538A CN110555180A CN 110555180 A CN110555180 A CN 110555180A CN 201910858538 A CN201910858538 A CN 201910858538A CN 110555180 A CN110555180 A CN 110555180A
- Authority
- CN
- China
- Prior art keywords
- server
- client
- proxy server
- request
- requested
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/957—Browsing optimisation, e.g. caching or content distillation
- G06F16/9574—Browsing optimisation, e.g. caching or content distillation of access to content, e.g. by caching
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Medical Informatics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种Web页面对象请求方法和HTTPS请求响应方法,服务器根据Web页面中对象的隐私性要求将Web页面中的对象分为公共对象和私有对象;客户端根据请求的Web页面中的对象是公共对象还是私有对象,在HTTPS请求中携带表征对象类型的扩展字段;代理服务器根据请求中的扩展字段的内容,决定与客户端建立代理连接或将请求转发给服务端,并将公共对象缓存在代理服务器。本发明既能保证HTTPS流量的安全,又能利用代理服务器的缓存功能提高页面加载速度,且容易部署。
Description
技术领域
本发明涉及HTTPS流量的传输优化领域,一种应用于HTTPS中的Web页面对象请求方法和HTTPS请求响应方法。
背景技术
为了保护用户的隐私和信息安全,互联网上的许多服务(如Twitter,Facebook和Google)通过HTTPS提供数据加密。目前,已超过72%的互联网流量是使用HTTPS传送的。在HTTPS协议中,安全传输层协议(Transport Layer Security,TLS)成为Web页面内容传输的主流端到端加密标准,因为它能保证数据完整性、数据机密性以及提供服务器/客户端认证功能。此外,HTTP 2.0默认使用TLS作为所有Web页面资源传输的加密层。
但是,TLS要求所有功能必须在端到端实现,这导致传输时间和网络利用率的潜在损失。事实上,互联网上的会话性能可通过端点之间的路径上的中间模块得到改进,这些模块提供了网络中服务功能,例如缓存、家长筛选(parental filtering)、入侵检测以及对Web页面内容的优化,如数据压缩和转码。这些模块通常被称为中间件,它们可以将页面加载时间减少50%。它们还通过提高网络利用率,给Internet服务提供商带来好处。但是,使用TLS后,这些好处将会丢失。因此,最终用户应根据内容提供商的要求在性能和隐私之间进行权衡。
为了启用网络中服务功能,中间件使用Split-TLS技术(2012年)在端点之间部署为中间人(MitM),但这引起了安全性问题。在Split-TLS中,中间件安装为客户端的网关。为了使客户端信任中间件,中间件证书安装在客户端上的一个称为受信任的根证书颁发机构存储(Trusted Root Certification Authority Store)中。在这种情况下,客户端将中间件作为根证书颁发机构(Certification Authority,CA),并且由中间件签名的任何证书都将是可信且有效的。中间件使用两个单独的TLS连接在客户端和服务器之间来回转发流量,一个在客户端和中间件之间,另一个在中间件和目标服务器之间。尽管Split-TLS方法被广泛使用,但它不安全的设计导致其存在一些缺点。主要缺点是客户端必须完全信任中间件是以安全的方式代表客户端与目标服务器通信。所以,中间件可以完全访问客户端和目标服务器之间发送的流量,这意味着中间件可以读取和修改流量的内容。因此,Split-TLS方法打破了端到端TLS加密。
为了使中间件能够提供具有TLS加密的网络中服务功能,已经发布了若干RFC文档和学术提议,试图设计一种解决带有TLS加密的中间件问题的协议。最近提出的方案,如Blindbox(2015年),mcTLS(2015年),Embark(2016年)和mbTLS(2017年),讨论并尝试解决与TLS会话中的中间件相关的内容权限问题。建议的解决方案如mcTLS基于对TLS的扩展,提供了一种新的加密技术,如在Blindbox中使中间件能够在加密内容上搜索特定关键字,或者像在Embark或mbTLS中那样将网络中服务功能外包给云。这些方案提供了比Split-TLS更严格的隐私。在工业上,Google、爱立信、AT&T和Akamai也努力尝试提供将加密与使用网络中间件功能相结合的解决方案。
然而,这些提议的方案仍然受到技术限制和挑战的困扰。其中一些解决方案会给协议带来巨大的开销并使协议设计复杂化,如mcTLS;而其他解决方案需要修改TLS格式,这需要升级所有中间件和端点以支持这些解决方案。
因此,有必要设计一个具有如下特性的方案:(1)保持机密性和完整性。除了客户端和服务器,客户端与服务器之间路径上的任何第三方不应能读取它们之间发送的数据,除非是内容得到客户的同意;(2)部署性。方案应与服务器兼容,对现有软件的修改很少;(3)有效性。方案能够使用中间件提供的网络中服务功能来加速HTTPS请求的内容加载。
发明内容
本发明所解决的技术问题是,针对现有技术的不足,提供一种应用于HTTPS中的Web页面对象请求方法和HTTPS请求响应方法,既能保证HTTPS流量的安全,又能利用中间件的网络中服务功能(即代理服务器的缓存功能)提高页面加载速度,且容易部署。
本发明的技术方案包括以下步骤:
一种应用于HTTPS中的Web页面对象请求方法,客户端针对Web页面中所要请求的对象,生成HTTPS请求;将生成的HTTPS请求通过代理服务器发送给服务器,并且将所请求的对象的类别信息发送给代理服务器,以便接收到相应HTTPS请求的代理服务端判断是将客户端的HTTPS请求转发至服务端,还是直接响应客户端的HTTPS请求;所述对象的类别包括私有对象和公共对象(即private对象和public对象)两种。
Web页面中每个对象的获得,如.html,.jpg,.css,.js,.php等,都需要单独发送HTTPS请求。
进一步地,客户端将所请求的对象的类别信息发送给代理服务器的方法为:
在发送相应HTTPS请求中的TLS握手阶段,在ClientHello消息的ALPN(Application Layer Protocol Negotiation,应用层协议的协商)扩展中写入表征所要请求的对象的类别的字符/字符串。
进一步地,若客户端是首次请求该对象,则在ClientHello消息的ALPN扩展中写入表征该对象为私有对象的字符/字符串,否则,根据先前服务器是否给该对象添加了公共标签(public标签)确定该对象是否为公共对象,从而确定在ClientHello消息的ALPN扩展中写入的字符/字符串。
进一步地,客户端收到代理服务器的响应结果后,对响应结果中对象内容的完整性进行校验,校验方法为:使用该对象的integrity属性值中指定的哈希算法对响应结果中对象内容进行计算,若计算结果与integrity属性值中的实际哈希值一致,则校验通过,否则校验不通过;若校验不通过,则将该对象作为私有对象,重新通过代理服务器向服务器发送请求该对象的HTTPS请求(方法为重新通过代理服务器向服务器发送请求该对象的HTTPS请求,并且在发送该HTTPS请求中的TLS握手阶段,在ClientHello消息的ALPN扩展中写入表征所要请求的对象的为私有对象的字符/字符串);若校验通过,则判断该Web页面中的所有对象是否请求完毕,如是,则结束请求过程;否则,继续就该Web页面中未请求的对象生成相应的HTTPS请求并通过代理服务器发送给服务器,并且将所请求的对象的类别信息发送给代理服务器;
客户端收到代理服务器直接转发的服务器的响应结果后,判断该响应结果中的对象是否为.html类型;若是,则继续判断该.html类型的对象中是否存在更多需要请求的对象,若存在,则保存该.html类型的对象内存在的带有公共标签的对象的integrity属性值,并将这些对象作为Web页面中未请求的对象,继续就Web页面中未请求的对象生成相应的HTTPS请求并向服务器发送;若不存在,则判断该Web页面中的所有对象是否请求完毕,如是,则结束请求过程;否则,继续就该Web页面中未请求的对象生成相应的HTTPS请求并通过代理服务器发送给服务器,并且将所请求的对象的类别信息发送给代理服务器。
SRI(Subresource Integrity,子资源完整性)策略使用integrity属性值来验证资源的完整性,保证外链资源(第三方服务器响应的资源)的完整性(不被篡改)。integrity值分成两个部分,第一部分指定哈希算法(目前支持sha256、sha384及sha512),第二部分是经过base64编码的实际哈希值。
本发明还提供了一种HTTPS请求响应方法,适用于代理服务器,代理服务器接收到客户端的HTTPS请求后,确定HTTPS请求中所请求的对象是否为公共对象,若是,则代理服务器直接与客户端建立连接,响应其HTTPS请求;否则,代理服务器将HTTPS请求转发到服务端,由服务端与客户端建立连接,响应该HTTPS请求。
进一步地,代理服务器根据客户端在ClientHello消息的ALPN扩展中写入的表征所要请求的对象类别的字符/字符串确定客户端所请求的对象是否为公共对象。
进一步地,代理服务器响应客户端的HTTPS请求的方法为:判断客户端所请求的对象的内容是否存在于本地缓存;
若是,则直接生成响应结果发送给客户端;
否则,先向服务端发起新的HTTPS请求来该对象,然后将服务端的响应结果保存于本地缓存,并将服务端的响应结果发送给客户端;
所述响应结果包括所请求的对象的内容(如.jpg类型的对象其内容是图片)。
本发明还提供了一种HTTPS请求响应方法,适用于服务端,服务端响应HTTPS请求的方法为:
若是代理服务器发起的新的HTTPS请求,则直接生成响应结果返回给代理服务器,该响应结果包括所请求的对象的内容;
若是由代理服务器直接转发的客户端的HTTPS请求,则判断所请求的对象是否为.html类型;若是,则给该.html类型的对象内存在的公共对象添加integrity属性值和公共标签;然后生成响应结果通过代理服务器转发给客户端,该响应结果包括该.html类型的对象的内容(html源代码,其中可能包含新的.html对象以及其他类型对象)、该.html类型的对象内存在的公共对象的integrity属性值和公共标签;否则,生成响应结果通过代理服务器转发给客户端,该响应结果包括所请求的对象的内容。
上述步骤中,服务器根据对象的隐私性要求确定是公共对象还是私有对象,integrity属性值和公共标签添加到.html对象的源代码中,公共标签可以作为integrity属性值的扩展,放在对象的integrity属性值中,这样客户端可以根据integrity属性值中是否带有公共标签来判断需要请求的对象是否为公共对象;此处可以只给所有公共对象分别添加公共标签(带有公共标签的即为公共对象,否则为私有对象),也可以给所有公共对象和私有对象分别添加公共标签和私有标签(带有哪种标签即为哪种对象),用于后续客户端请求这些对象时,判断对象的类别;该.html类型的对象内存在的对象,是指该.html类型的对象的源代码中所含有的链接地址对应的对象,如由html语言编写的一段源代码<imgsrc="https://csu.example.com/QoS3/img.png"alt="QoS3 img"height="8"width="6"integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC"crossorigin="anony mous">中的https://csu.example.com/QoS3/img.png对应的是.png类型的图片对象。
本发明允许端点间显式地安全地重新引入网络内代理,而不会影响HTTPS内容的完整性并修改TLS的格式。它基于HTTPS构建,保持HTTPS连接的端到端完整性,并且支持Web内容流量加密。本发明中客户端将打开两个单独的到服务器的HTTPS连接。一个使用了到服务器的路径上的可信中间件,即代理服务器。另一个直接连接到服务器,而不涉及路径上的任何中间件。使用本发明(1)使内容提供者和用户能够确定Web页面中的哪些对象是公共对象(public对象),并可以把公共对象的数据存储在代理服务器(中间件)的高速缓存中;(2)为客户提供显式的控制和数据完整性知识,可信中间件成为会话的一部分;(3)通过内容完整性校验保证公共对象的完整性;(4)可部署,不需要修改安全传输层协议(TransportLayer Security,TLS)的协议格式。
有益效果:
本发明使得采用HTTPS的Web页面传输在代理服务器即中间件存在情况下仍保持安全性,并利用中间件即代理服务器高速缓存功能加快了请求的Web页面的加载时间。具有以下优点:
(1)服务器根据Web页面中对象(资源、文件)的隐私性要求将Web页面中的对象分为公共对象和私有对象(public对象和private对象);客户端根据请求的Web页面中的对象是公共对象还是私有对象,在HTTPS请求中携带表征对象类型的扩展字段(QoS3-delegated扩展或QoS3-direct扩展);代理服务器根据请求中的扩展字段的内容,决定与客户端建立代理连接或将请求转发给服务端,具体为:为页面中的私有对象使用原始HTTPS连接进行传输,为公共对象使用代理服务器建立HTTPS连接进行传输,并将public对象缓存在代理服务器中。通过这种方法,公共对象可以缓存在代理服务器的内存中,而私有对象在客户端每次请求时都需要到服务器上请求得到,从而可以利用代理服务器的高速缓存功能提高了Web页面内容的请求速度,并满足数据的隐私性要求。由于Web页面均含有占比不低的公共对象,利用代理服务器对公共对象进行缓存,可以大大提高Web页面的加载速度。(2)服务端给Web页面中的公共对象使用哈希算法计算实际哈希值;客户端收到代理服务器响应的对象内容后,使用相同的哈希算法对其进行计算,并比对计算结果与实际哈希值,从而判断代理服务器响应的对象内容的完整性,以确保数据安全性和未被破坏,如果发现比对结果不一致,则说明对象内容错误,则重新向服务器发送请求。
附图说明
图1为本发明实施例的流程图。
图2为本发明实施例的测试场景图。
图3为本发明实施例的架构图。
图4为本发明实施例扩展的integrity属性值(SRI标签)示意图。
图5为统计的前10个Alexa网站上public对象占比情况图。
图6(a)为代理服务器测试机器到实际服务器之间延迟为25ms的Web页面加载时间测试示意图;图6(b)为代理服务器测试机器到实际服务器之间延迟为75ms的Web页面加载时间测试示意图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步的说明。
参见图1,图1为本发明在客户端、代理服务器以及服务器端实施的流程图。
本发明实施例过程如下:
步骤一:客户端针对Web页面中所要请求的对象,生成HTTPS请求;判断是否是首次请求该对象,如是,转步骤二;否则,转步骤三;
步骤二:将该对象视为私有对象,在发送该HTTPS请求前的TLS握手阶段,在ClientHello消息的ALPN扩展中写入表征该对象为私有对象的字符/字符串,之后把HTTPS请求发送给服务端;然后进入步骤四;
步骤三:客户端根据先前服务器是否给该对象添加了公共标签确定该对象是否为公共对象,若是公共对象,则在发送相应HTTPS请求中的TLS握手阶段,在ClientHello消息的ALPN扩展中写入表征所要请求的对象为公共对象的字符/字符串(本实施例中定义为QoS3-delegated扩展),之后把HTTPS请求发送给服务端;否则,发送相应HTTPS请求中的TLS握手阶段,在ClientHello消息的ALPN扩展中写入表征所要请求的对象为私有对象的字符/字符串(本实施例中定义为QoS3-direct扩展),之后把HTTPS请求发送给服务端;
步骤四:代理服务器判断收到的ClientHello消息的ALPN扩展是否写有QoS3-delegated扩展,如有,则代理服务器直接与客户端建立连接,处理相应的HTTPS请求,转步骤五;
否则,代理服务器将HTTPS请求转发到服务端,然后服务端判断客户端所请求的对象是否为.html类型,如是,服务器先给该.html类型的对象内存在的公共对象添加integrity属性值和公共标签;然后生成响应结果通过代理服务器转发给客户端,该响应结果包括该.html类型的对象的内容、该.html类型的对象内存在的公共对象的integrity属性值和公共标签,并转步骤七;否则,将所请求的对象的内容作为响应结果,直接转步骤七;
步骤五:代理服务器判断相应的HTTPS请求中所请求的对象是否存在于本地缓存;如果是,代理服务器直接将缓存的对象内容作为响应结果发送给客户端,进入步骤六;
否则,代理服务器向服务端发起新的HTTPS连接来请求该对象,并缓存收到的服务端响应结果,然后将服务端响应结果发送给客户端,进入步骤六;
步骤六:客户端对代理服务器返回的响应结果进行校验,以确保数据未被篡改,方法为:使用该对象的integrity属性值中指定的哈希算法对响应结果中对象内容进行计算,若计算结果与integrity属性值中的实际哈希值一致,则校验通过,转步骤九;否则校验不通过,将该对象作为私有对象,重新通过代理服务器向服务器发送请求该对象的HTTPS请求,在发送相应HTTPS请求中的TLS握手阶段,在ClientHello消息的ALPN扩展中写入表征所要请求的对象为私有对象的字符/字符串(本实施例中定义为QoS3-direct扩展),转步骤四;
步骤七:服务端响应结果返回给代理服务器,代理服务器则直接将响应结果转发给客户端,客户端判断收到的响应结果中对象是否为html类型;如是,转步骤八,否则转步骤九;
步骤八:客户端判断该.html类型的对象中是否存在更多需要请求的对象,若存在,则保存其中公共对象的integrity属性值,并将这些对象作为web页面中未请求的对象,转步骤九;若不存在,则直接转步骤九;
步骤九:客户端判断该Web页面中的所有对象是否请求完毕,如是,则结束请求过程;否则,转步骤一。
所述步骤九后生成的HTTPS请求与步骤一中生成的HTTPS请求在时间关系上存在一定的先后顺序,步骤九后生成的HTTPS请求可能是由步骤一中生成的HTTPS请求在处理过程中逐步引发的,比如步骤一请求的是.html类型的对象,得到的是一个html源代码,而这个html源代码中又含有很多其他需要加载的对象,那么需要针对这些对象生成新的HTTPS请求。
图2为本发明实施例的测试场景图。本地2台机器作为Web客户端和代理服务器(即中间件),由本地客户端向远程的Web服务器发送HTTPS请求。
图3为本发明实施例的架构图。本发明实施例(QoS3)由3部分模块组成。客户端识别html文件(html源代码)中对象的类别标签,并可以在请求中增加QoS3-delegated或者QoS-direct扩展。代理服务器模块根据请求中的扩展选择建立直接的HTTPS连接或者建立代理的HTTPS连接。服务端给Web页面对象进行分类,并计算Web页面对象的integrity属性值。
图4给出了实施例扩展的integrity属性值(SRI标签)示意图。本实施例中增加了tag标签作为类别标签,该标签的值可以为“public”和“private”,表示公共对象和私有对象。客户端根据该tag值决定在请求中携带QoS3-delegated扩展或者QoS-direct扩展。
图5中统计了前10个Alexa网站上public对象占比情况图。根据Web页面对象的隐私性,对这些对象进行了分类。可以发现测试的所有Web页面均含有占比不低的public对象,占比从35%到94%。
图6(a)测试了使用代理服务器加载Web页面的时间。其中测试Web页面是从Alexa前500网站上选出的5个下载到了本地代理服务器测试机器上。通过ping命令测得的代理服务器测试机器到实际服务器的延迟为25ms。比较以下3种方案:第一种是启用代理服务器的代理功能但是不使用其缓存功能(QoS3无缓存)的Web页面的加载时间,第二种是不利用代理服务器、客户端直接连接服务器时正常的Web页面加载时间,第三种是启用代理服务器的代理功能同时使用其缓存功能(QoS3有缓存)的Web页面加载时间。从图中可以看到在测试的5个Web页面中,第三种方案的Web页面加载时间最短,通过使用代理服务器的缓存功能,客户端可以直接从代理服务器得到响应,这比从服务器下载快得多。比如,针对测试Web页面1,第三种方案相比第一、二种方案提高了58%和48.6%,说明了本发明的有效性。而第一种方案的Web页面加载时间最长,这是因为在没有缓存页面时,客户端直接从目标服务器下载Web页面,而且由于使用代理服务器的代理功能,客户端建立了2个HTTPS连接(与代理服务器的HTTPS连接以及与服务器的HTTPS连接),而第二种方案只需要建立1个HTTPS连接,因此第一种方案开销更大,导致Web页面加载时间变长。
图6(b)给出了代理服务器测试机器到实际服务器延迟为75ms时的Web页面加载时间。同样地,启用缓存的QoS3使得Web页面加载时间最短。例如,对于测试Web页面1,相比正常无代理的Web页面方案和启用代理服务器的代理功能但不使用其缓存功能的方案,Web页面加载时间降低了65.7%和71.7%。可以看到,跟延迟为25ms的结果相比,当延迟增大时,本发明的加速效果更加明显。
Claims (8)
1.一种Web页面对象请求方法,其特征在于,客户端针对Web页面中所要请求的对象,生成HTTPS请求;将生成的HTTPS请求通过代理服务器发送给服务器,并且将所请求的对象的类别信息发送给代理服务器,以便接收到相应HTTPS请求的代理服务端判断是将客户端的HTTPS请求转发至服务端,还是直接响应客户端的HTTPS请求;所述对象的类别包括私有对象和公共对象两种。
2.根据权利要求1所述的Web页面对象请求方法,其特征在于,客户端将所请求的对象的类别信息发送给代理服务器的方法为:
在发送相应HTTPS请求中的TLS握手阶段,在ClientHello消息的ALPN扩展中写入表征所要请求的对象的类别的字符/字符串。
3.根据权利要求2所述的Web页面对象请求方法,其特征在于,若客户端是首次请求该对象,则在ClientHello消息的ALPN扩展中写入表征该对象为私有对象的字符/字符串,否则,根据先前服务器是否给该对象添加了公共标签确定该对象是否为公共对象,从而确定在ClientHello消息的ALPN扩展中写入的字符/字符串。
4.根据权利要求1所述的Web页面对象请求方法,其特征在于,客户端收到代理服务器的响应结果后,对响应结果中对象内容的完整性进行校验,校验方法为:使用该对象的integrity属性值中指定的哈希算法对响应结果中对象内容进行计算,若计算结果与integrity属性值中的实际哈希值一致,则校验通过,否则校验不通过;若校验不通过,则将该对象作为私有对象,重新通过代理服务器向服务器发送请求该对象的HTTPS请求;若校验通过,则判断该Web页面中的所有对象是否请求完毕,如是,则结束请求过程;否则,继续就该Web页面中未请求的对象生成相应的HTTPS请求并通过代理服务器发送给服务器,并且将所请求的对象的类别信息发送给代理服务器;
客户端收到代理服务器直接转发的服务器响应结果后,判断该响应结果中的对象是否为.html类型;若是,则继续判断该.html类型的对象中是否存在更多需要请求的对象,若存在,则保存该.html类型的对象内存在的带有公共标签的对象的integrity属性值,并将这些对象作为Web页面中未请求的对象,继续就Web页面中未请求的对象生成相应的HTTPS请求并向服务器发送;若不存在,则判断该Web页面中的所有对象是否请求完毕,如是,则结束请求过程;否则,继续就该Web页面中未请求的对象生成相应的HTTPS请求并通过代理服务器发送给服务器,并且将所请求的对象的类别信息发送给代理服务器。
5.一种HTTPS请求响应方法,其特征在于,代理服务器接收到客户端的HTTPS请求后,确定HTTPS请求中所请求的对象是否为公共对象,若是,则代理服务器直接与客户端建立连接,响应其HTTPS请求;否则,代理服务器将HTTPS请求转发到服务端,由服务端响应该HTTPS请求。
6.根据权利要求5所述的HTTPS请求响应方法,其特征在于,代理服务器根据客户端在ClientHello消息的ALPN扩展中写入的表征所要请求的对象类别的字符/字符串确定客户端所请求的对象是否为公共对象。
7.根据权利要求5所述的HTTPS请求响应方法,其特征在于,代理服务器响应客户端的HTTPS请求的方法为:判断客户端所请求的对象的内容是否存在于本地缓存;
若是,则直接生成响应结果发送给客户端;
否则,先向服务端发起新的HTTPS请求来该对象,然后将服务端的响应结果保存于本地缓存,并将服务端的响应结果发送给客户端;
所述响应结果包括所请求的对象的内容。
8.一种HTTPS请求响应方法,其特征在于,服务端响应HTTPS请求的方法为:
若是代理服务器发起的新的HTTPS请求,则直接生成响应结果返回给代理服务器,该响应结果包括所请求的对象的内容;
若是由代理服务器直接转发的客户端的HTTPS请求,则判断所请求的对象是否为.html类型;若是,则给该.html类型的对象内存在的公共对象添加integrity属性值和公共标签;然后生成响应结果通过代理服务器转发给客户端,该响应结果包括该.html类型的对象的内容、该.html类型的对象内存在的公共对象的integrity属性值和公共标签;否则,生成响应结果通过代理服务器转发给客户端,该响应结果包括所请求的对象的内容。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910858538.9A CN110555180A (zh) | 2019-09-11 | 2019-09-11 | 一种Web页面对象请求方法和HTTPS请求响应方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910858538.9A CN110555180A (zh) | 2019-09-11 | 2019-09-11 | 一种Web页面对象请求方法和HTTPS请求响应方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110555180A true CN110555180A (zh) | 2019-12-10 |
Family
ID=68739894
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910858538.9A Pending CN110555180A (zh) | 2019-09-11 | 2019-09-11 | 一种Web页面对象请求方法和HTTPS请求响应方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110555180A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111176864A (zh) * | 2019-12-31 | 2020-05-19 | 中国银行股份有限公司 | App服务数据调用方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101431525A (zh) * | 2007-11-06 | 2009-05-13 | 陈明杰 | 网络内容加载的加速方法、系统及其服务器和终端 |
| CN107018178A (zh) * | 2017-02-22 | 2017-08-04 | 福建网龙计算机网络信息技术有限公司 | 一种网络请求代理执行的方法及系统 |
| CN108400985A (zh) * | 2018-02-27 | 2018-08-14 | 车智互联(北京)科技有限公司 | 一种实现https请求精准侦测劫持的方法 |
| CN108429724A (zh) * | 2017-02-15 | 2018-08-21 | 贵州白山云科技有限公司 | 一种握手处理过程中加密套件的选择方法及装置 |
| CN110022339A (zh) * | 2018-01-10 | 2019-07-16 | 厦门雅迅网络股份有限公司 | 内外网资源代理方法及代理服务器 |
| CN110134896A (zh) * | 2019-05-17 | 2019-08-16 | 山东渤聚通云计算有限公司 | 一种代理服务器的监控过程及智能缓存方法 |
-
2019
- 2019-09-11 CN CN201910858538.9A patent/CN110555180A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101431525A (zh) * | 2007-11-06 | 2009-05-13 | 陈明杰 | 网络内容加载的加速方法、系统及其服务器和终端 |
| CN108429724A (zh) * | 2017-02-15 | 2018-08-21 | 贵州白山云科技有限公司 | 一种握手处理过程中加密套件的选择方法及装置 |
| CN107018178A (zh) * | 2017-02-22 | 2017-08-04 | 福建网龙计算机网络信息技术有限公司 | 一种网络请求代理执行的方法及系统 |
| CN110022339A (zh) * | 2018-01-10 | 2019-07-16 | 厦门雅迅网络股份有限公司 | 内外网资源代理方法及代理服务器 |
| CN108400985A (zh) * | 2018-02-27 | 2018-08-14 | 车智互联(北京)科技有限公司 | 一种实现https请求精准侦测劫持的方法 |
| CN110134896A (zh) * | 2019-05-17 | 2019-08-16 | 山东渤聚通云计算有限公司 | 一种代理服务器的监控过程及智能缓存方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111176864A (zh) * | 2019-12-31 | 2020-05-19 | 中国银行股份有限公司 | App服务数据调用方法及装置 |
| CN111176864B (zh) * | 2019-12-31 | 2023-09-19 | 中国银行股份有限公司 | App服务数据调用方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9871850B1 (en) | Enhanced browsing using CDN routing capabilities | |
| US10938786B2 (en) | Local interception of traffic to a remote forward proxy | |
| US9992107B2 (en) | Processing data packets using a policy based network path | |
| US10148727B2 (en) | Methods and systems for an end-to-end solution to deliver content in a network | |
| US9930132B2 (en) | Content specific router caching | |
| WO2016101763A1 (zh) | 通过cdn下载资源的实现方法和装置、服务器、客户端 | |
| CA3023218C (en) | Selectively altering references within encrypted pages using man in the middle | |
| EP3175366B1 (en) | Web redirection for content scanning | |
| WO2022056996A1 (zh) | 一种安全访问内网应用的方法和装置 | |
| JP2016524261A (ja) | データ処理ネットワーク内のプロキシ・サーバにおいてセキュリティの侵害が検出されることに応じてアラートを生成するためのネットワーク・セキュリティ・システム、方法、およびコンピュータ・プログラム | |
| US11163499B2 (en) | Method, apparatus and system for controlling mounting of file system | |
| US10574703B1 (en) | Content delivery employing multiple security levels | |
| US20160191296A1 (en) | Methods and systems for an end-to-end solution to deliver content in a network | |
| US9356824B1 (en) | Transparently cached network resources | |
| US20220207184A1 (en) | Protecting data integrity in a content distribution network | |
| CN112243013A (zh) | 一种实现跨域资源缓存的方法、系统、服务器和存储介质 | |
| US11122106B2 (en) | Method and apparatus for providing web service using edge computing service | |
| US9405933B2 (en) | Secure access to running client application features from a browser application | |
| CN110555180A (zh) | 一种Web页面对象请求方法和HTTPS请求响应方法 | |
| US20220086014A1 (en) | Client certificate authentication in multi-node scenarios | |
| CN115913583A (zh) | 业务数据访问方法、装置和设备及计算机存储介质 | |
| US11811734B2 (en) | Protocol switching for connections to zero-trust proxy | |
| US11916887B2 (en) | Detecting domain fronting through correlated connections | |
| US20230247004A1 (en) | Persistency of resource requests and responses in proxied communications | |
| CN117579288A (zh) | 握手复用方法、设备以及计算机可读介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191210 |
|
| RJ01 | Rejection of invention patent application after publication |