CN112769835A - 一种访问请求的发起方法及终端设备 - Google Patents
一种访问请求的发起方法及终端设备 Download PDFInfo
- Publication number
- CN112769835A CN112769835A CN202110043586.XA CN202110043586A CN112769835A CN 112769835 A CN112769835 A CN 112769835A CN 202110043586 A CN202110043586 A CN 202110043586A CN 112769835 A CN112769835 A CN 112769835A
- Authority
- CN
- China
- Prior art keywords
- domain name
- access request
- request
- proxy service
- proxy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种访问请求的发起方法及终端设备,其中,所述方法包括:应用程序将请求域名修改为虚假域名,并将所述虚假域名映射至代理服务反馈的通信地址处;所述应用程序根据所述请求域名和所述虚假域名构建访问请求,在所述访问请求中,所述请求域名被加密;所述应用程序根据所述虚假域名解析的所述通信地址,将所述访问请求发送至所述代理服务,以使得所述代理服务根据所述访问请求构建新的访问请求,并将所述新的访问请求发送至与源站服务器保持通信的节点服务器处。本申请提供的技术方案,能够有效地规避网络攻击。
Description
技术领域
本发明涉及互联网技术领域,特别涉及一种访问请求的发起方法及终端设备。
背景技术
随着互联网技术的不断发展,各种网络攻击也层出不穷。目前在规避网络攻击时,可以建设安全平台。对于接入该安全平台的请求,大多数都可以抵御网络攻击。然而,攻击者通过对安全平台的数据进行抓包,可能会得到源站的真实IP地址,从而绕过安全平台,直接对源站进行攻击。
为了解决以上的问题,现有技术中可以通过CNAME的方式将源站接入安全平台,从而避免源站的真实IP地址的泄露,但这种方式对于其它的网络架构提出了挑战。例如,当源站的资源需要经过CDN(Content Delivery Network,内容分发网络)进行加速时,就要在全球范围内将CNAME的域名接入CDN中,这无疑会极大地增加资源加速的成本,因此通过CNAME的方式来规避网络攻击,可行性较低。
发明内容
本申请的目的在于提供一种访问请求的发起方法及终端设备,能够有效地规避网络攻击。
为实现上述目的,本申请一方面提供一种访问请求的发起方法,所述方法包括:应用程序将请求域名修改为虚假域名,并将所述虚假域名映射至代理服务反馈的通信地址处;所述应用程序根据所述请求域名和所述虚假域名构建访问请求,在所述访问请求中,所述请求域名被加密;所述应用程序根据所述虚假域名解析的所述通信地址,将所述访问请求发送至所述代理服务,以使得所述代理服务根据所述访问请求构建新的访问请求,并将所述新的访问请求发送至与源站服务器保持通信的节点服务器处。
为实现上述目的,本申请另一方面还提供一种终端设备,所述终端设备中运行有应用程序和代理服务,所述应用程序和所述代理服务用于实现上述的访问请求的发起方法。
为实现上述目的,本申请另一方面还提一种访问请求的发起方法,所述方法包括:应用程序接收代理服务反馈的通信地址,并将所述通信地址设置为代理服务器的代理地址;所述应用程序将请求域名修改为虚假域名,根据所述虚假域名构建连接请求,并根据所述请求域名和所述虚假域名构建访问请求,在所述访问请求中,所述请求域名被加密;所述应用程序根据所述代理地址,向所述代理服务发起所述连接请求,并在建立连接后,将所述访问请求发送至所述代理服务,以使得所述代理服务根据所述访问请求构建新的访问请求,并将所述新的访问请求发送至与源站服务器保持通信的节点服务器处。
为实现上述目的,本申请另一方面还提一种终端设备,所述终端设备包括存储器和服务器,所述存储器用于存储计算机程序,所述计算机程序被所述处理器执行时,实现上述的访问请求的发起方法。
由上可见,本申请提供的技术方案,可以在终端设备中增加一个代理服务,通过应用程序与代理服务之间的协同运作,在对访问请求中的请求域名进行加密之后,再将访问请求向公网发出。具体地,应用程序可以将请求域名修改为虚假域名,并且基于请求域名和虚假域名构建访问请求。在访问请求中,请求域名可以被加密处理,因此就算访问请求被抓包,攻击者也只能获取到虚假域名。同时,代理服务并不是直接将访问请求发送至源站服务器,而是根据访问请求构建新的访问请求,并将新的访问请求发送至与源站服务器保持通信的节点服务器处,因此就算新的访问请求被抓包,攻击者也只能获取到节点服务器的预设代理域名,而无法对新的访问请求进行分析得到源站服务器的真实IP地址。通过上述的方式,能够很好地隐藏源站服务器的真实IP地址,从而避免了源站服务器被攻击的风险。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施方式中访问请求的发起方法的步骤示意图;
图2是本发明实施方式中修改DNS解析场景下的交互示意图;
图3是本发明另一个实施方式中访问请求的发起方法的步骤示意图;
图4是本发明实施方式中代理模式下的交互示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
本申请提供一种访问请求的发起方法,该方法可以应用于终端设备中,该终端设备可以是智能手机、平板电脑、智能可穿戴设备等。在终端设备中,可以运行应用程序,应用程序在访问资源时,可以向源站服务器发起访问请求。为了不暴露源站服务器的真实IP地址,应用程序可以按照本申请提供的技术方案发起访问请求。
具体地,请参阅图1和图2,一个实施方式提供的访问请求的发起方法,可以包括以下多个步骤。
S11:应用程序将请求域名修改为虚假域名,并将所述虚假域名映射至代理服务反馈的通信地址处。
针对应用程序能够修改DNS解析的场景,可以在终端设备中启动代理服务,在代理服务启动之后,可以向应用程序反馈通信地址。该通信地址可以是代理服务的IP地址和通信端口。其中,代理服务的IP地址可以是终端设备本机的IP地址:127.0.0.1,通信端口可以是未被占用的任意一个端口,例如可以是8080端口。
其中,上述的应用程序能够修改DNS解析的场景,指的是应用程序可以在本地DNS服务器中,修改域名与IP地址之间的映射关系。举例来说,假设baidu.com在本地DNS服务器中原先映射的IP地址为192.168.0.1,那么在该场景下,可以将本地DNS服务器中将baidu.com对应的IP地址修改为192.168.0.2,这样,当本地DNS服务器接收到baidu.com的域名解析请求时,便可以将192.168.0.2的IP地址反馈给应用程序,从而使得应用程序与192.168.0.2的IP地址建立通信连接。
针对需要加密传输的请求域名,该请求域名一般为源站的真实域名,应用程序可以先将该请求域名修改为虚假域名。例如,对于请求域名real_1.com,应用程序可以将其修改为虚假域名fake_1.com,对于请求域名real_2.com,应用程序可以将其修改为虚假域名fake_2.com。当然,修改后的虚假域名需要是未曾使用的域名,这样,请求域名与虚假域名之间便可以具备一一对应的关系。
在本实施方式中,由于应用程序可以修改DNS解析的内容,因此可以通过修改DNS解析,建立虚假域名与代理服务反馈的通信地址之间的映射关系,将虚假域名映射至代理服务反馈的通信地址处。举例来说,也就是建立虚假域名fake_1.com与127.0.0.1:8080之间的映射关系,建立虚假域名fake_2.com与127.0.0.1:8080之间的映射关系,其中端口可以是随机的。这样,应用程序后续发起的包含虚假域名如fake_1.com或fake_2.com的请求,都可以被解析至代理服务处。
S13:所述应用程序根据所述请求域名和所述虚假域名构建访问请求,在所述访问请求中,所述请求域名被加密。
在本实施方式中,应用程序与代理服务之间可以通过HTTPS的一次握手过程,协商数据传输过程中的加解密策略。具体地,应用程序可以向代理服务发起握手请求,以明文传输请求信息,该请求信息中可以包含版本信息、加密套件候选列表、压缩算法候选列表、随机数、扩展字段等信息。代理服务可以向应用程序返回协商结果,该协商结果中可以包括选择使用的协议版本、选择的加密套件、选择的压缩算法、确定的随机数以及证书。这样,该协商结果中可以指定数据传输过程中的数据加解密方式。
应用程序在将请求域名修改为虚假域名之后,可以根据请求域名和虚假域名构建访问请求。具体地,应用程序可以将请求域名写入访问请求的头部数据的自定义host信息中,并将虚假域名写入访问请求的请求url中,从而构建得到域名为虚假域名的访问请求。举例来说,如图2所示,构建虚假域名fake.com的访问请求Request https://www.fake.com,访问请求的头部数据的自定义host信息中携带真实的请求域名real.com.由于该访问请求为HTTPS请求,因此HTTPS会自动为头部数据进行加密。也就是说,应用程序在构建访问请求时,会根据协商结果中的加密方式对头部数据进行加密。这样,头部数据中的请求域名便可以经过加密处理。
需要说明的是,在该场景下,由于应用程序能够修改DNS解析,因此应用程序向代理服务发送的访问请求的头部数据中,不需要携带host信息,但应用程序需要告知代理服务自身需要访问的真实源站,因此需要将源站服务器的真实请求域名写入自定义host信息中。
S15:所述应用程序根据所述虚假域名解析的所述通信地址,将所述访问请求发送至所述代理服务,以使得所述代理服务根据所述访问请求构建新的访问请求,并将所述新的访问请求发送至与源站服务器保持通信的节点服务器处。
在本实施方式中,应用程序在构建得到HTTPS的访问请求后,由于该访问请求中包含明文的虚假域名,因此根据虚假域名解析的通信地址,该访问请求可以被发送至代理服务处。代理服务接收到应用程序发来的访问请求后,同样可以根据协商结果中的解密方式对该访问请求中的加密内容(头部数据)进行解密,从而得到请求域名的明文。
代理服务在得到请求域名的明文之后,便可以知晓该访问请求是针对哪个源站服务器发起的。在代理服务中,可以记录与源站服务器保持通信的节点服务器的通信域名,这样,当代理服务知晓了访问请求所指向的源站服务器后,便可以按查询到与该源站服务器保持通信的节点服务器的通信域名。然后,代理服务可以根据应用程序发来的访问请求,构建出一个新的访问请求,该新的访问请求可以指向上述的节点服务器。其中,上述的节点服务器可以是CDN中的节点服务器。
具体地,代理服务对访问请求中的加密内容进行解密,得到请求域名的明文后,可以根据所述请求域名的明文和预设代理域名构建新的访问请求。其中,该预设代理域名便可以是与源站服务器保持通信的节点服务器的通信域名。在构建新的访问请求时,请求域名的明文可以被写入新的访问请求的头部数据中,预设代理域名可以被写入新的访问请求的请求url中。同样地,由于该新的访问请求也是HTTPS请求,因此可以自动地对该新的访问请求的头部数据进行加密,这样,新的访问请求中,请求域名的明文也会被加密。当然,代理服务与节点服务器之间也可以进行HTTPS的一次握手过程,从而得到协商结果,并可以按照协商结果中指定的加密策略,对头部数据进行加密。需要说明的是,如果代理服务对访问请求中的加密内容进行解密,得到请求域名的明文后,直接通过该请求域名向源站服务器发送访问请求,该访问请求则可能会被抓包,从而导致请求域名被泄露,进而导致源站服务器的真实地址被泄露。所以,本实施方式中,代理服务通过将请求域名的明文写入新的访问请求的头部数据的host信息中(这里的host信息并非是自定义host信息,而是头部数据中原生的host信息),实现将源站真实的请求域名通过新的访问请求的头部数据加密的方式发送至节点服务器,该新的访问请求指向节点服务器,而不是直接指向源站服务器,即使该新的访问请求被抓包,也只能看到预设代理域名,而不会泄露真实的请求域名。另外,只需要代理服务与节点服务器之间按照协商结果中指定的加密策略,即可对新的访问请求的头部数据解密,而无需修改源站服务器的对数据包的处理逻辑。
如图2所示,应用程序发送至代理服务的访问请求中,明文的域名为虚假域名fake.com,代理服务发送至节点服务器的新的访问请求中,明文的域名为预设代理域名proxy.com。在这两个访问请求的头部数据中,都是经过加密处理的请求域名。
在本实施方式中,节点服务器在接收到新的访问请求后,便可以按照协商结果中的解密策略,对头部数据进行解密,从而得到请求域名的明文。后续,节点服务器便可以根据请求域名的明文,对源站服务器发起访问请求。如图2所示,该访问请求中的域名便可以是真实的请求域名,也即源站服务器的域名。源站服务器响应于该访问请求,可以向节点服务器反馈响应内容,该响应内容可以按照之前的数据传输路径,依次通过节点服务器和代理服务后,最终由应用程序接收,从而完成本次的访问过程。节点服务器通常是由CDN厂商部署的服务器,源站服务器通常由应用程序开发者部署的服务器,节点服务器与源站服务器之间的通信数据属于CDN厂商的内部数据,这种内部数据通常具备较高的安全性,不会轻易地被抓包。
经过以上的描述可见,可以在应用程序所处的终端设备内增加代理服务,并通过应用程序与代理服务之间的数据通信,使得从终端设备处发出的访问请求中,请求域名是经过加密的,就算终端设备发出的访问请求被抓包,也只能看到虚假域名,而不会泄露真实的请求域名。进一步的,代理服务构建的新的访问请求,也不是指向源站服务器,而是指向与源站服务器保持通信的节点服务器,在新的访问请求中,请求域名的明文被写入新的访问请求的头部数据中,请求域名会被加密,预设代理域名被写入新的访问请求的请求url中,所以,新的访问请求的请求url中只会携带节点服务器的真实地址,而不会携带源站服务器的真实地址,因此就算代理服务发送至节点服务器的新的请求被抓包,也不会泄露源站服务器的真实地址。
此外,代理服务向外发出的新的访问请求,是直接发送给节点服务器,而不是将节点服务器作为代理服务器,因此该新的访问请求并不会产生HTTPS中的连接请求(connect请求,正常的connect请求中会携带真实的源站服务器的域名信息,会存在泄漏域名信息的风险),从而避免了源站服务器的域名信息被泄漏的风险。具体地,代理服务直接根据节点服务器的通信域名,向节点服务器发送新的访问请求,所以节点服务器并不是作为应用程序与源站服务器之间的代理服务器,因此节点服务器与源站服务器之间的访问请求并不会产生connect请求,从而不会泄露源站服务器的真实地址。上述的整个数据处理和传输过程,根据所述虚假域名解析的所述通信地址,将所述访问请求发送至所述代理服务,从而通过代理服务的方式,通过额外的HTTP请求的框架来实现,并不会经过系统的请求框架,因此避免了系统由于信任私有证书,而导致加密数据被解析出的风险。
本申请还提供一种终端设备,所述终端设备中运行有上述的应用程序和代理服务,所述应用程序和所述代理服务可以用于实现上述的访问请求的发起方法。
在本申请另一个实施方式中,考虑到并不是所有的应用程序都能够修改DNS解析,针对无法修改DNS解析的场景,可以通过代理模式来实现数据的交互。请参阅图3和图4,本实施方式提供的访问请求的发起方法,可以包括以下多个步骤。
S21:应用程序接收代理服务反馈的通信地址,并将所述通信地址设置为代理服务器的代理地址。
在本实施方式中,由于应用程序无法修改DNS解析,因此无法将修改的虚假域名解析至代理服务处。而为了与代理服务建立通信,应用程序可以通过指定代理服务器的方式,将代理服务反馈的通信地址设置为代理服务器的代理地址,这样,应用程序发出的请求,都会被发送至代理服务处。通常而言,代理服务与应用程序可以处于同一个终端设备中,这样能够保证从终端设备发出的请求已经是经过代理服务处理后的请求。如果代理服务是由独立的代理服务器提供,那么终端设备与代理服务器之间传输的数据依然有被抓包的风险。
具体地,依然可以在终端设备内启动代理服务,代理服务在启动之后,可以向应用程序反馈包含IP地址和通信端口的通信地址(例如可以是127.0.0.1:8080)。然后,应用程序可以将代理服务器的代理地址,设置为代理服务的通信地址127.0.0.1:8080(端口可以随机),也就是通过本地代理的方式来进行数据传输。
S23:所述应用程序将请求域名修改为虚假域名,根据所述虚假域名构建连接请求,并根据所述请求域名和所述虚假域名构建访问请求,在所述访问请求中,所述请求域名被加密。
S25:所述应用程序根据所述代理地址,向所述代理服务发起所述连接请求,并在建立连接后,将所述访问请求发送至所述代理服务,以使得所述代理服务根据所述访问请求构建新的访问请求,并将所述新的访问请求发送至与源站服务器保持通信的节点服务器处。
在本实施方式中,针对真实的请求域名,应用程序同样可以将请求域名修改为虚假域名,并可以根据请求域名和虚假域名构建HTTPS的访问请求。具体地,由于当前处于代理模式下,为了使得应用程序发起的访问请求能够正常传递至代理服务处,因此应用程序发起的访问请求中,host信息应当填写代理服务的通信地址127.0.0.1:8080。此外,应用程序可以将请求域名写入访问请求的头部数据中的自定义host信息中,该自定义host信息例如可以是maa-host信息,并将虚假域名写入访问请求的请求url中,从而构建得到域名为虚假域名的访问请求。这样,在应用程序构建的访问请求中,请求头部的host信息可以填写代理服务的通信地址,请求头部的自定义host信息中可以填写真实的请求域名,这两部分信息都会按照https的规定进行加密。举例来说,如图4所示,构建虚假域名fake.com的访问请求Request https://www.fake.com,由于该访问请求为HTTPS请求,因此HTTPS会自动为头部数据进行加密。这样,头部数据中的请求域名便可以经过加密处理。只不过,由于当前应用程序采用的是代理模式,因此在向代理服务发送访问请求时,需要额外发起一条连接请求(connect请求)。由于应用程序的访问请求中,明文域名是虚假域名,因此连接请求也是基于虚假域名进行构建。如图4所示,构建的连接请求Connect WWW.fake.com中的域名是fake.com。这样,即使该连接请求被抓包,也只能得到虚假域名,同样不会暴露源站服务器的真实域名。
应用程序根据上述的代理地址,可以向代理服务发起构建的连接请求,并在建立连接后,可以将访问请求发送至代理服务。代理服务接收到应用程序发来的访问请求后,可以提取其中的头部数据,并对头部数据进行解密,从而得到真实的请求域名。基于该真实的请求域名,代理服务可以构建发往节点服务器的访问请求。具体地,代理服务可以将预设代理域名写入新的访问请求的请求url,如上所述,该预设代理域名可以指向与源站服务器保持通信的节点服务器。并且,代理服务可以将解密得到的真实的请求域名写入新的访问请求的头部数据中的host字段,从而表示该新的访问请求实际上是指向源站服务器的。这样,构建得到的新的访问请求也可以是一个HTTPS请求,该HTTPS请求会自动对头部数据进行加密,因此包含真实的请求域名的host信息会经过加密处理。
节点服务器接收到所述新的访问请求后,可以根据与代理服务协商的加解密策略,对所述新的访问请求中的加密内容(头部数据)进行解密,从而得到真实的请求域名的明文。后续,节点服务器便可以根据请求域名的明文,对源站服务器发起访问请求。同样地,节点服务器可以从所述请求域名的明文指向的源站服务器处获取响应信息,并将所述响应信息反馈给所述代理服务,以通过所述代理服务向所述应用程序提供所述响应信息。
由上可见,在代理模式下,尽管会增加一条connect请求,但由于该connect请求中携带的是虚假域名,因此即使被抓包也不会泄露源站的真实域名。
本申请还提供一种终端设备,所述终端设备包括存储器和服务器,所述存储器用于存储计算机程序,所述计算机程序被所述处理器执行时,实现上述的访问请求的发起方法。
由上可见,本申请提供的技术方案,可以在终端设备中增加一个代理服务,通过应用程序与代理服务之间的协同运作,在对访问请求中的请求域名进行加密之后,再将访问请求向公网发出。具体地,应用程序可以将请求域名修改为虚假域名,并且基于请求域名和虚假域名构建访问请求。在访问请求中,请求域名可以被加密处理,因此就算访问请求被抓包,攻击者也只能获取到虚假域名。同时,代理服务并不是直接将新的访问请求发送至源站服务器,而是发送至与源站服务器保持通信的节点服务器处,即使该新的访问请求被抓包,也只能看到节点服务器的预设代理域名,而不会泄露真实的请求域名,因此攻击者也无法对新的访问请求进行分析,从而得到源站服务器的真实IP地址。通过上述的方式,能够很好地隐藏源站服务器的真实IP地址,从而避免了源站服务器被攻击的风险。
本说明书中的各个实施方式均采用递进的方式描述,各个实施方式之间相同相似的部分互相参见即可,每个实施方式重点说明的都是与其他实施方式的不同之处。尤其,针对终端设备的实施方式来说,均可以参照前述方法的实施方式的介绍对照解释。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种访问请求的发起方法,其特征在于,所述方法包括:
应用程序将请求域名修改为虚假域名,并将所述虚假域名映射至代理服务反馈的通信地址处;
所述应用程序根据所述请求域名和所述虚假域名构建访问请求,在所述访问请求中,所述请求域名被加密;
所述应用程序根据所述虚假域名解析的所述通信地址,将所述访问请求发送至所述代理服务,以使得所述代理服务根据所述访问请求构建新的访问请求,并将所述新的访问请求发送至与源站服务器保持通信的节点服务器处。
2.根据权利要求1所述的方法,其特征在于,根据所述请求域名和所述虚假域名构建访问请求包括:
将所述请求域名写入访问请求的头部数据的自定义host信息中,并将所述虚假域名写入所述访问请求的请求url中。
3.根据权利要求1或2所述的方法,其特征在于,构建的所述访问请求为HTTPS请求,所述HTTPS请求对头部数据进行加密。
4.根据权利要求1所述的方法,其特征在于,所述应用程序与所述代理服务通过握手获取协商结果,所述协商结果中包括数据加解密方式;
其中,所述应用程序根据所述协商结果中的加密方式对请求域名进行加密,以构建所述访问请求;所述代理服务在接收到所述访问请求后,根据所述协商结果中的解密方式对所述访问请求中的加密内容进行解密,以得到所述请求域名的明文。
5.根据权利要求1所述的方法,其特征在于,所述代理服务根据所述访问请求构建新的访问请求包括:
所述代理服务对所述访问请求中的加密内容进行解密,以得到所述请求域名的明文;
所述代理服务根据所述请求域名的明文和预设代理域名构建新的访问请求,所述新的访问请求中,所述请求域名的明文被加密,并且所述预设代理域名指向与源站服务器保持通信的节点服务器。
6.根据权利要求5所述的方法,其特征在于,所述请求域名的明文被写入新的访问请求的头部数据的host信息中,所述预设代理域名被写入所述新的访问请求的请求url中。
7.根据权利要求1所述的方法,其特征在于,所述应用程序和所述代理服务位于同一个终端设备内。
8.一种终端设备,其特征在于,所述终端设备中运行有应用程序和代理服务,所述应用程序和所述代理服务用于实现如权利要求1至7中任一所述的方法。
9.一种访问请求的发起方法,其特征在于,所述方法包括:
应用程序接收代理服务反馈的通信地址,并将所述通信地址设置为代理服务器的代理地址;
所述应用程序将请求域名修改为虚假域名,根据所述虚假域名构建连接请求,并根据所述请求域名和所述虚假域名构建访问请求,在所述访问请求中,所述请求域名被加密;
所述应用程序根据所述代理地址,向所述代理服务发起所述连接请求,并在建立连接后,将所述访问请求发送至所述代理服务,以使得所述代理服务根据所述访问请求构建新的访问请求,并将所述新的访问请求发送至与源站服务器保持通信的节点服务器处。
10.根据权利要求9所述的方法,其特征在于,根据所述请求域名和所述虚假域名构建访问请求包括:
将所述请求域名写入访问请求的头部数据的自定义host信息中,并将所述虚假域名写入所述访问请求的请求url中。
11.根据权利要求9所述的方法,其特征在于,代理服务根据所述访问请求构建新的访问请求包括:
代理服务将所述请求域名写入新的访问请求的头部数据的host信息中,并将预设代理域名写入所述新的访问请求的请求url中,所述预设代理域名指向与源站服务器保持通信的节点服务器。
12.根据权利要求9或11所述的方法,其特征在于,构建的所述新的访问请求为HTTPS请求,所述HTTPS请求对头部数据进行加密。
13.一种终端设备,其特征在于,所述终端设备包括存储器和服务器,所述存储器用于存储计算机程序,所述计算机程序被所述处理器执行时,实现如权利要求9至12中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110043586.XA CN112769835B (zh) | 2021-01-13 | 2021-01-13 | 一种访问请求的发起方法及终端设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110043586.XA CN112769835B (zh) | 2021-01-13 | 2021-01-13 | 一种访问请求的发起方法及终端设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112769835A true CN112769835A (zh) | 2021-05-07 |
CN112769835B CN112769835B (zh) | 2023-04-18 |
Family
ID=75700249
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110043586.XA Active CN112769835B (zh) | 2021-01-13 | 2021-01-13 | 一种访问请求的发起方法及终端设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112769835B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113364741A (zh) * | 2021-05-17 | 2021-09-07 | 网宿科技股份有限公司 | 一种应用访问方法及代理服务器 |
CN113872933A (zh) * | 2021-08-20 | 2021-12-31 | 上海云盾信息技术有限公司 | 隐藏源站的方法、系统、装置、设备及存储介质 |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050021841A1 (en) * | 2003-04-10 | 2005-01-27 | Tetsuro Yoshimoto | Dynamic DNS registration method, domain name solution method, DNS proxy server, and address translation device |
CN1700682A (zh) * | 2004-05-21 | 2005-11-23 | 迈普(四川)通信技术有限公司 | 虚拟域名解析代理方法及系统 |
CN101005390A (zh) * | 2006-01-20 | 2007-07-25 | 日立通讯技术株式会社 | 通信系统 |
US20140012995A1 (en) * | 2011-03-11 | 2014-01-09 | Huawei Technologies Co., Ltd. | Resource management method, resource management system and resource manager |
CN104052755A (zh) * | 2014-06-26 | 2014-09-17 | 国家计算机网络与信息安全管理中心 | 基于云平台的dns欺骗攻击探测及定位的系统和方法 |
CN105491081A (zh) * | 2014-09-16 | 2016-04-13 | 网宿科技股份有限公司 | 移动智能终端下转发应用内流量的方法 |
CN106789909A (zh) * | 2016-11-22 | 2017-05-31 | 北京奇虎科技有限公司 | 应用程序的网络数据传输方法、装置及系统 |
CN106911511A (zh) * | 2017-03-10 | 2017-06-30 | 网宿科技股份有限公司 | 一种cdn客户源站的防护方法和系统 |
US20180191856A1 (en) * | 2016-12-29 | 2018-07-05 | Synology Inc. | Cross-domain communication methods and proxy servers using the same |
CN109802936A (zh) * | 2018-11-22 | 2019-05-24 | 北京奇艺世纪科技有限公司 | 一种网络数据访问方法、装置及电子设备 |
CN110519379A (zh) * | 2019-08-29 | 2019-11-29 | 泰康保险集团股份有限公司 | 基于微服务的请求处理方法及设备 |
CN110602269A (zh) * | 2019-10-22 | 2019-12-20 | 北京天融信网络安全技术有限公司 | 一种转换域名的方法 |
CN111901218A (zh) * | 2020-06-23 | 2020-11-06 | 北京天融信网络安全技术有限公司 | 报文传输方法、sslvpn代理服务器、电子设备以及存储介质 |
CN112202776A (zh) * | 2020-09-29 | 2021-01-08 | 中移(杭州)信息技术有限公司 | 源站防护方法和网络设备 |
-
2021
- 2021-01-13 CN CN202110043586.XA patent/CN112769835B/zh active Active
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050021841A1 (en) * | 2003-04-10 | 2005-01-27 | Tetsuro Yoshimoto | Dynamic DNS registration method, domain name solution method, DNS proxy server, and address translation device |
CN1700682A (zh) * | 2004-05-21 | 2005-11-23 | 迈普(四川)通信技术有限公司 | 虚拟域名解析代理方法及系统 |
CN101005390A (zh) * | 2006-01-20 | 2007-07-25 | 日立通讯技术株式会社 | 通信系统 |
US20140012995A1 (en) * | 2011-03-11 | 2014-01-09 | Huawei Technologies Co., Ltd. | Resource management method, resource management system and resource manager |
CN104052755A (zh) * | 2014-06-26 | 2014-09-17 | 国家计算机网络与信息安全管理中心 | 基于云平台的dns欺骗攻击探测及定位的系统和方法 |
CN105491081A (zh) * | 2014-09-16 | 2016-04-13 | 网宿科技股份有限公司 | 移动智能终端下转发应用内流量的方法 |
CN106789909A (zh) * | 2016-11-22 | 2017-05-31 | 北京奇虎科技有限公司 | 应用程序的网络数据传输方法、装置及系统 |
US20180191856A1 (en) * | 2016-12-29 | 2018-07-05 | Synology Inc. | Cross-domain communication methods and proxy servers using the same |
CN106911511A (zh) * | 2017-03-10 | 2017-06-30 | 网宿科技股份有限公司 | 一种cdn客户源站的防护方法和系统 |
CN109802936A (zh) * | 2018-11-22 | 2019-05-24 | 北京奇艺世纪科技有限公司 | 一种网络数据访问方法、装置及电子设备 |
CN110519379A (zh) * | 2019-08-29 | 2019-11-29 | 泰康保险集团股份有限公司 | 基于微服务的请求处理方法及设备 |
CN110602269A (zh) * | 2019-10-22 | 2019-12-20 | 北京天融信网络安全技术有限公司 | 一种转换域名的方法 |
CN111901218A (zh) * | 2020-06-23 | 2020-11-06 | 北京天融信网络安全技术有限公司 | 报文传输方法、sslvpn代理服务器、电子设备以及存储介质 |
CN112202776A (zh) * | 2020-09-29 | 2021-01-08 | 中移(杭州)信息技术有限公司 | 源站防护方法和网络设备 |
Non-Patent Citations (1)
Title |
---|
崔巍峰等: "一种IPv6云平台中的Web虚拟代理服务机制", 《太原理工大学学报》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113364741A (zh) * | 2021-05-17 | 2021-09-07 | 网宿科技股份有限公司 | 一种应用访问方法及代理服务器 |
CN113872933A (zh) * | 2021-08-20 | 2021-12-31 | 上海云盾信息技术有限公司 | 隐藏源站的方法、系统、装置、设备及存储介质 |
CN113872933B (zh) * | 2021-08-20 | 2023-05-26 | 上海云盾信息技术有限公司 | 隐藏源站的方法、系统、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112769835B (zh) | 2023-04-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101936758B1 (ko) | 정보 조회 기록의 무결성을 위한 암호화 장치, 방법 및 블록체인에서 정보 조회 기록의 무결성을 위한 분산 원장 장치 | |
US11303431B2 (en) | Method and system for performing SSL handshake | |
RU2542911C2 (ru) | Установление однорангового сеанса с малым временем ожидания | |
WO2019062666A1 (zh) | 一种实现安全访问内部网络的系统、方法和装置 | |
CN111428225A (zh) | 数据交互方法、装置、计算机设备及存储介质 | |
CN105871797A (zh) | 客户端与服务器进行握手的方法、装置及系统 | |
US11689514B2 (en) | User authentication in communication systems | |
CN112769835B (zh) | 一种访问请求的发起方法及终端设备 | |
CN114338844B (zh) | 一种客户端服务器之间的跨协议通信方法及装置 | |
US11070533B2 (en) | Encrypted server name indication inspection | |
CN105429962B (zh) | 一种通用的面向加密数据的中间网络服务构建方法与体系 | |
US20170317836A1 (en) | Service Processing Method and Apparatus | |
JP5122587B2 (ja) | 接続制御方法、接続制御サーバ装置、接続制御クライアント装置、接続制御システム、及びプログラム | |
CN110971616B (zh) | 基于安全传输层协议的连接建立方法、客户端和服务器 | |
CN112839062B (zh) | 夹杂鉴权信号的端口隐藏方法和装置、设备 | |
CN108989302B (zh) | 一种基于密钥的opc代理连接系统和连接方法 | |
WO2014205703A1 (zh) | 一种共享接入的检测方法、设备和终端设备 | |
CN112968902B (zh) | 一种基于命名数据网络的隐藏ip方法 | |
CN115225389A (zh) | 通信加密的方法、装置、设备及存储介质 | |
US20220069982A1 (en) | Caching encrypted content in an oblivious content distribution network, and system, compter-readable medium, and terminal for the same | |
CN114244569B (zh) | Ssl vpn远程访问方法、系统和计算机设备 | |
WO2023015412A1 (zh) | 一种跨域访问控制方法、系统、存储介质及设备 | |
KR102096638B1 (ko) | 하이브리드 암호 방식을 이용한 블록체인에서 정보 조회 기록의 무결성을 위한 분산 원장 장치 | |
CN106572121A (zh) | 一种vpn数据的审计方法和装置 | |
CN118118240A (zh) | 一种ssl加密报文的解密方法、装置、电子设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |