CN114553414B - 基于https服务的内网穿透方法及系统 - Google Patents

基于https服务的内网穿透方法及系统 Download PDF

Info

Publication number
CN114553414B
CN114553414B CN202210211007.2A CN202210211007A CN114553414B CN 114553414 B CN114553414 B CN 114553414B CN 202210211007 A CN202210211007 A CN 202210211007A CN 114553414 B CN114553414 B CN 114553414B
Authority
CN
China
Prior art keywords
relay
client
request
relay server
https
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210211007.2A
Other languages
English (en)
Other versions
CN114553414A (zh
Inventor
江根雄
程伟
章铭剑
胡伟伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hefei Haohan Data Information Technology Co ltd
Original Assignee
Hefei Haohan Data Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hefei Haohan Data Information Technology Co ltd filed Critical Hefei Haohan Data Information Technology Co ltd
Priority to CN202210211007.2A priority Critical patent/CN114553414B/zh
Publication of CN114553414A publication Critical patent/CN114553414A/zh
Application granted granted Critical
Publication of CN114553414B publication Critical patent/CN114553414B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/78Architectures of resource allocation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/355Application aware switches, e.g. for HTTP
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种基于HTTPS服务的内网穿透方法及系统,其方法包括:外网客户端向中继服务器发送第一HTTPS连接请求,其中,第一HTTPS连接请求包括公网IP地址;响应于第一HTTPS连接请求,中继服务器与外网客户端建立第一HTTPS连接;外网客户端通过第一HTTPS连接将第一请求数据发送至中继服务器;中继服务器解析第一请求数据,生成第二请求数据,并将第二请求数据发送至中继客户端,其中,中继客户端预先配置有公网IP地址与内网IP地址的映射关系;中继客户端解析第二请求数据,生成第三请求数据,并向内网服务器发送第二HTTPS连接请求,其中,第二HTTPS连接请求包括内网IP地址;响应于第二HTTPS连接请求,内网服务器与中继客户端建立第二HTTPS连接。实现了HTTPS服务的内网穿透。

Description

基于HTTPS服务的内网穿透方法及系统
技术领域
本申请涉及网络通信的技术领域,尤其是涉及一种基于HTTPS服务的内网穿透方法及系统。
背景技术
内网穿透被广泛应用于各种类型 Internet 接入方式和各种类型的网络中。解决了企业或个人远程操作、网络办公等难题,为无公网IP的广大互联网用户提供外网访问服务。
相关技术中,使用基于明文TCP协议和基于明文UDP的内网穿透方法能够实现常规服务的内网穿透,如SSH服务、HTTP服务、远程桌面服务、TELNET服务等。
目前针对常规服务的基于明文TCP协议和基于明文UDP的内网穿透方法如下:通过中继服务器获取外网用户的网络请求指令,基于网络请求指令建立中继服务器与中继客户端之间的中继通道,将外网用户发送的请求数据通过中继通道发送至中继客户端,中继客户端建立内网资源服务器与中继客户端之间的资源通道,并将外网用户请求数据通过资源通道发送至内网资源服务器,获取内网资源服务器针对请求数据指令产生的响应数据,中继服务器通过中继通道获取中继客户端发送的目标资源服务器的响应数据,将响应数据发送给外网用户,实现外网用户发送的请求数据以及资源服务器的响应数据的中继,使得外网用户能够访问内网资源。
但是对于经过加密的HTTPS服务而言,由于HTTPS服务是端对端的加密通信流程,在外网用户通过中继服务器访问内网HTTPS服务时,在TLS/SSL握手阶段,外网用户端访问的域名与内网HTTPS服务的实际域名不符,外网用户无法验证通过内网HTTPS服务发送的证书,进而无法实现HTTPS服务的内网穿透。
发明内容
为了实现HTTPS服务的内网穿透,本申请提供一种基于HTTPS服务的内网穿透方法及系统。
第一方面,本申请提供一种基于HTTPS服务的内网穿透方法,采用如下的技术方案:
一种基于HTTPS服务的内网穿透方法,包括:
外网客户端向中继服务器发送第一HTTPS连接请求,其中,所述第一HTTPS连接请求包括公网IP地址;响应于所述第一HTTPS连接请求,所述中继服务器与所述外网客户端建立第一HTTPS连接;所述外网客户端通过所述第一HTTPS连接将第一请求数据发送至所述中继服务器;所述中继服务器解析所述第一请求数据,生成第二请求数据,并将所述第二请求数据发送至中继客户端,其中,所述中继客户端预先配置有所述公网IP地址与内网IP地址的映射关系;所述中继客户端解析所述第二请求数据,生成第三请求数据,并向内网服务器发送第二HTTPS连接请求,其中,所述第二HTTPS连接请求包括所述内网IP地址;响应于所述第二HTTPS连接请求,所述内网服务器与所述中继客户端建立第二HTTPS连接;所述中继客户端通过所述第二HTTPS连接将所述第三请求数据发送至所述内网服务器;所述内网服务器解析所述第三请求数据,生成第一响应数据,并通过所述第二HTTPS连接将所述第一响应数据发送至所述中继客户端;所述中继客户端解析所述第一响应数据,生成第二响应数据,并将所述第二响应数据发送至所述中继服务器;所述中继服务器解析所述第二响应数据,生成第三响应数据,并通过所述第一HTTPS连接将所述第三响应数据发送至所述外网客户端。
通过采用上述技术方案,利用具有公网访问权限的中继客户端,通过中继客户端对外网客户端提供公网域名,外网客户端发送包扩公网IP地址的第一HTTPS连接请求至中继服务器,与外网客户端建立第一HTTPS连接;中继服务器发送第二HTTPS连接请求至内网服器与内网服务器建第二HTTPS连接;建立外网用户端与内网服务器之间的连接通道,外网客户端通过第一HTTPS连接、第二HTTPS连接将请求数据发送至内网服务器,内网服务器通过第一HTTPS连接、第二HTTPS连接返回响应数据至外网客户端,从而实现HTTPS服务的内网穿透,使外网客户端能够访问内网服务器,且此方法实现成本较低且提高了流量转发的效率,便于企业或个人使用。
可选的,在所述外网客户端向中继服务器发送第一HTTPS连接请求之前,还包括:响应于用户的TCP连接触发动作,所述中继客户端与所述中继服务器建立TCP长连接;所述中继客户端基于所述TCP长连接与所述中继服务器进行安全认证并协商加密算法。
通过采用上述技术方案,利用中继服务器与中继客户端建立TCP连接,中继服务器与中继客户端之间进行安全认证和协商加密算法,提高了请求数据在传输时的安全性,降低了被攻击的可能性。
可选的,所述中继服务器解析所述第一请求数据,生成第二请求数据,并将所述第二请求数据发送至中继客户端包括:所述中继服务器解析第一请求数据,得到第一请求明文;所述中继服务器获取非对称加密算法和公钥,并基于所述非对称加密算法和公钥对所述第一请求明文进行二次加密,得到第二请求数据;所述中继服务器将所述第二请求数据通过所述TCP长连接发送至中继客户端。
通过采用上述技术方案,中继服务器通过使用非对称加密算法和公钥对第一请求明文进行二次加密,从而提高了请求数据的安全性,降低了被攻击的可能性。
可选的,所述中继客户端解析所述第二请求数据,生成第三请求数据包括:所述中继客户端接收所述中继服务器通过所述TCP长连接发送的所述第二请求数据;所述中继客户端基于非对称加密算法和私钥对所述第二请求数据解密,得到第二请求明文;所述中继客户端基于对称加密算法和密钥对所述第二请求明文进行三次加密,得到第三请求数据。
通过采用上述技术方案,中继客户端接收中继服务器发送的第二请求数据并根据协商好的非对称加密算法和私钥进行解密,得到原始的请求数据,然后进行三次加密,从而提高了请求数据的安全性,降低了被攻击的可能性。
可选的,所述中继客户端可对第三请求数据进行扩展功能操作,所述扩展功能包括DPI识别、攻击告警识别、30x重定向报文矫正域名。
通过采用上述技术方案,利用中继客户端对第三请求数据进行DPI识别、攻击告警识别、30x重定向报文矫正域名等操作,可对HTTPS服务的第三请求数据进行深度检测,对危险流量进行识别处置,增加访问域名权重,有利于用户体验等作用,可扩展性强。
第二方面,本申请提供一种基于HTTPS服务的内网穿透系统,采用如下的技术方案:
一种基于HTTPS服务的内网穿透系统,包括外网客户端、中继服务器、中继客户端和内网服务器;其中,
所述外网客户端用于向中继服务器发送第一HTTPS连接请求,其中,所述第一HTTPS连接请求包括公网IP地址;在所述中继服务器与所述外网客户端建立第一HTTPS连接后,通过所述第一HTTPS连接将第一请求数据发送至所述中继服务器;
所述中继服务器用于响应于所述第一HTTPS连接请求,所述中继服务器与所述外网客户端建立第一HTTPS连接;解析外网客户端发送的所述第一请求数据,生成第二请求数据,并将所述第二请求数据发送至中继客户端,其中,所述中继客户端预先配置有所述公网IP地址与内网IP地址的映射关系;解析中继客户端发送的所述第二响应数据,生成第三响应数据,并通过所述第一HTTPS连接将所述第三响应数据发送至所述外网客户端;
所述中继客户端用于解析所述第二请求数据,生成第三请求数据,并向内网服务器发送第二HTTPS连接请求,其中,所述第二HTTPS连接请求包括所述内网IP地址;通过所述第二HTTPS连接将所述第三请求数据发送至所述内网服务器;解析所述第一响应数据,生成第二响应数据,并将所述第二响应数据发送至所述中继服务器;
所述内网服务器用于响应于所述第二HTTPS连接请求,所述内网服务器与所述中继客户端建立第二HTTPS连接;解析所述第三请求数据,生成第一响应数据,并通过所述第二HTTPS连接将所述第一响应数据发送至所述中继客户端。
通过采用上述技术方案,利用具有公网访问权限的中继客户端,通过中继客户端对外网客户端提供公网域名,外网客户端发送包扩公网IP地址的第一HTTPS连接请求至中继服务器,与外网客户端建立第一HTTPS连接;中继服务器发送第二HTTPS连接请求至内网服器与内网服务器建第二HTTPS连接;建立外网用户端与内网服务器之间的连接通道,外网客户端通过第一HTTPS连接、第二HTTPS连接将请求数据发送至内网服务器,内网服务器通过第一HTTPS连接、第二HTTPS连接返回响应数据至外网客户端,从而实现HTTPS服务的内网穿透,使外网客户端能够访问内网服务器,且此方法实现成本较低且提高了流量转发的效率,便于企业或个人使用。
可选的,所述中继客户端包括:
建立模块,用于响应于用户的TCP连接触发动作,所述中继客户端与所述中继服务器建立TCP长连接;
协商模块,用于所述中继客户端基于所述TCP长连接与所述中继服务器协商预设加密算法并交换加密密钥。
通过采用上述技术方案,利用中继服务器与中继客户端建立TCP连接,中继服务器与中继客户端之间进行安全认证和协商加密算法,提高了请求数据在传输时的安全性,降低了被攻击的可能性。
可选的,所述中继服务器包括:
解析模块,用于解析第一请求数据,得到第一请求明文;
第一加密模块,用于获取非对称加密算法和公钥,并基于所述非对称加密算法和公钥对所述第一请求明文进行二次加密,得到第二请求数据;
发送模块,用于将所述第二请求数据通过所述TCP长连接发送至中继客户端。
可选的,所述中继客户端还包括:
接收模块,用于接收所述中继服务器通过所述TCP长连接发送的所述第二请求数据;
解密模块,用于基于非对称加密算法和私钥对所述第二请求数据解密,得到第二请求明文;
第二加密模块,用于基于对称加密算法和密钥对所述第二请求明文进行三次加密,得到第三请求数据。
综上所述,本申请包括以下至少一种有益技术效果:
1.利用具有公网访问权限的中继客户端,通过中继客户端对外网客户端提供公网域名,外网客户端发送包扩公网IP地址的第一HTTPS连接请求至中继服务器,与外网客户端建立第一HTTPS连接;中继服务器发送第二HTTPS连接请求至内网服器与内网服务器建第二HTTPS连接;建立外网用户端与内网服务器之间的连接通道,外网客户端通过第一HTTPS连接、第二HTTPS连接将请求数据发送至内网服务器,内网服务器通过第一HTTPS连接、第二HTTPS连接返回响应数据至外网客户端,从而实现HTTPS服务的内网穿透,使外网客户端能够访问内网服务器,且此方法实现成本较低,便于企业或个人使用;
2.利用中继服务器与中继客户端建立TCP连接,中继服务器与中继客户端之间进行安全认证和协商加密算法,提高了请求数据在传输时的安全性,降低了被攻击的可能性;
3.利用中继客户端对第三请求数据进行DPI识别、攻击告警识别、30x重定向报文矫正域名等操作,可对HTTPS服务的第三请求数据进行深度检测,对危险流量进行识别处置,增加访问域名权重,有利于用户体验等作用,可扩展性强。
附图说明
图1是本申请实施例基于HTTPS服务的内网穿透系统的结构示意图。
图2是本申请实施例基于HTTPS服务的内网穿透方法的流程示意图。
图3是本申请实施例基于HTTPS服务的内网穿透系统的结构框图。
具体实施方式
以下结合附图对本申请作进一步详细说明。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,如无特殊说明,一般表示前后关联对象是一种“或”的关系。
本申请实施例提供的一种基于HTTPS服务的内网穿透方法,所述方法应用于内网穿透系统,如图1所示,内网穿透系统包括外网客户端、中继服务器、中继客户端和内网服务器。其中,中继服务器位于外网中且具有外网访问权限,中继服务器对外提供可供外网客户端访问的公网域名,另外,中继服务器内部搭建有HTTPS服务并监听来自公网域名的HTTPS连接请求。
中继客户端安装于可以同时访问外网和内网的主机平台上,该主机平台可以为服务器也可以为终端设备,其中该服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云计算服务的云服务器,终端设备可以是智能手机、平板电脑、台式计算机等,但并不局限于此。
下面结合说明书附图对本申请实施例作进一步详细描述。如图2所示,所述方法的主要流程描述如下(步骤S101~S110):
步骤S101,外网客户端向中继服务器发送第一HTTPS连接请求,其中,第一HTTPS连接请求包括公网IP地址;
在本实施例中,当需要访问内网HTTPS服务时,通过外网客户端输入中继服务器对外提供的公网域名,并通过域名解析协议(DNS)将公网域名解析成公网IP地址,外网客户端发送包括公网IP地址的第一HTTPS连接请求至中继服务器。
由于在访问内网时还需要使用中继客户端对公网IP地址做映射,所以在外网客户端向中继服务器发送第一HTTPS连接请求之前还需要启动中继客户端。
具体的,响应于用户的TCP连接触发动作,中继客户端与中继服务器建立TCP长连接;
中继客户端基于TCP长连接与中继服务器进行安全认证并协商加密算法。
在本实施例中,中继客户端发送TCP连接请求至中继服务器,中继服务器解析TCP连接请求并判断中继客户端是否为合法客户端,若中继客户端为合法客户端,则中继服务器与中继客户端建立TCP长连接。
中继服务器与中继客户端协商加密算法可以是对称加密算法,也可以是非对称加密算法,当然还可以为其它的加密算法,本实施例不做具体限定。通过中继服务器与中继客户端之间的安全校验,保证了数据传输的安全性。
另外,需要说明的是,在中继客户端中还预先配置有公网IP地址与内网IP地址的映射关系与端口映射关系,用于访问内网时中继客户端对公网IP地址做映射。
步骤S102,响应于第一HTTPS连接请求,中继服务器与外网客户端建立第一HTTPS连接;
在本实施例中,中继服务器监听到来自外网客户端发送的第一HTTPS连接请求,中继服务器接收到第一HTTPS连接请求后,为外网客户端创建第一会话的会话标识,用于标识外网客户端,并与外网客户端协商会话参数,其中,会话参数包括中继服务器与外网客户端使用的加密算法和密钥,中继服务器与外网客户端利用协商的会话参数,中继服务器与外网客户端建立第一HTTPS连接。
需要说明的是,在完成一次建立第一HTTPS连接后,中继服务器可以保存会话参数,也可以不保存会话参数。若中继服务器保存会话参数,则在完成一次建立第一HTTPS连接后,如果外网客户端与中继服务器再次建立第一HTTPS连接,可以复用会话参数,节省再次建立第一HTTPS连接的时间;若中继服务器不保存会话参数,则重新协商会话参数即可。
步骤S103,外网客户端通过第一HTTPS连接将第一请求数据发送至中继服务器;
步骤S104,中继服务器解析第一请求数据,生成第二请求数据,并将第二请求数据发送至中继客户端;
具体的,中继服务器解析第一请求数据,得到第一请求明文;
中继服务器获取非对称加密算法和公钥,并基于非对称加密算法和公钥对第一请求明文进行二次加密,得到第二请求数据;
中继服务器将第二请求数据通过TCP长连接发送至中继客户端。
在本实施例中,也可以使用对称加密算法和密钥对第一请求明问进行二次加密,本实施例不作具体限定,利用中继服务器对第一请求明文进行二次加密,提高了传输时的安全性,降低了被攻击的可能性。
步骤S105,中继客户端解析第二请求数据,生成第三请求数据,并向内网服务器发送第二HTTPS连接请求,其中,第二HTTPS连接请求包括内网IP地址;
具体的,中继客户端接收中继服务器通过TCP长连接发送的第二请求数据;
中继客户端用事先协商的非对称加密算法和私钥对第二请求数据解密,得到第二请求明文;
中继客户端基于对称加密算法和密钥对第二请求明文进行三次加密,得到第三请求数据。
步骤S106,响应于第二HTTPS连接请求,内网服务器与中继客户端建立第二HTTPS连接;
在本实施例中,建立第二HTTPS连接如上述步骤S102中建立第一HTTPS连接请求,在此不在详述。
步骤S107,中继客户端通过第二HTTPS连接将第三请求数据发送至内网服务器;
步骤S108,内网服务器解析第三请求数据,生成第一响应数据,并通过第二HTTPS连接将第一响应数据发送至中继客户端;
步骤S109,中继客户端解析第一响应数据,生成第二响应数据,并将第二响应数据发送至中继服务器;
在本实施例中,中继客户端解析第一响应数据,得到第一响应明文,并对第一响应明文进行二次加密,生成第二响应数据,将第二响应数据通过TCP长连接发送至中继服务器。
步骤S110,中继服务器解析第二响应数据,生成第三响应数据,并通过第一HTTPS连接将第三响应数据发送至外网客户端。
在本实施例中,中继服务器通过协商好的二次加密算法对第二响应数据解密,得到第二响应明文;中继服务器对第二响应明文进行加密,生成第三响应数据,并通过第一HTTPS连接将第三响应数据发送至外网客户端。至此一条HTTPS请求、响应的内网穿透功能完成。
另外,需要说明的是,中继客户端可对第三请求数据进行扩展功能操作,扩展功能包括DPI识别、攻击告警识别、30x重定向报文矫正域名。
利用中继客户端对第三请求数据进行DPI识别、攻击告警识别、30x重定向报文矫正域名等操作,可对HTTPS服务的第三请求数据进行深度检测,对危险流量进行识别处置,增加访问域名权重,有利于用户体验等作用,可扩展性强。
本方法利用具有公网访问权限的中继客户端,通过中继客户端对外网客户端提供公网域名,外网客户端发送包扩公网IP地址的第一HTTPS连接请求至中继服务器,与外网客户端建立第一HTTPS连接;中继服务器发送第二HTTPS连接请求至内网服器与内网服务器建第二HTTPS连接;建立外网用户端与内网服务器之间的连接通道,外网客户端通过第一HTTPS连接、第二HTTPS连接将请求数据发送至内网服务器,内网服务器通过第一HTTPS连接、第二HTTPS连接返回响应数据至外网客户端,从而实现HTTPS服务的内网穿透,使外网客户端能够访问内网服务器,且此方法实现成本较低且提高了流量转发的效率,便于企业或个人使用。
图3为本申请实施例基于HTTPS服务的内网穿透系统的结构框图。
如图3所示,基于HTTPS服务的内网穿透系统200主要包括:包括外网客户端201、中继服务器202、中继客户端203和内网服务器204;其中,
外网客户端201用于向中继服务器202发送第一HTTPS连接请求,其中,第一HTTPS连接请求包括公网IP地址;在中继服务器202与外网客户端201建立第一HTTPS连接后,通过第一HTTPS连接将第一请求数据发送至中继服务器;
中继服务器202用于响应于第一HTTPS连接请求,中继服务器202与外网客户端201建立第一HTTPS连接;解析外网客户端201发送的第一请求数据,生成第二请求数据,并将第二请求数据发送至中继客户端203,其中,中继客户端203预先配置有公网IP地址与内网IP地址的映射关系;解析中继客户端203发送的第二响应数据,生成第三响应数据,并通过第一HTTPS连接将第三响应数据发送至外网客户端201;
中继客户端203用于解析第二请求数据,生成第三请求数据,并向内网服务器204发送第二HTTPS连接请求,其中,第二HTTPS连接请求包括内网IP地址;通过第二HTTPS连接将第三请求数据发送至内网服务器204;解析第一响应数据,生成第二响应数据,并将第二响应数据发送至中继服务器202;
内网服务器204用于响应于第二HTTPS连接请求,内网服务器204与中继客户端203建立第二HTTPS连接;解析第三请求数据,生成第一响应数据,并通过第二HTTPS连接将第一响应数据发送至中继客户端203。
作为本实施例的一种可选实施方式,中继客户端203包括建立模块,用于响应于用户的TCP连接触发动作,中继客户端203与中继服务器202建立TCP长连接;
协商模块,用于中继客户端203基于TCP长连接与中继服务器202协商预设加密算法并交换加密密钥。
作为本实施例的一种可选实施方式,中继客户端203还包括接收模块,用于接收中继服务器202通过TCP长连接发送的第二请求数据;
解密模块,用于基于非对称加密算法和私钥对第二请求数据解密,得到第二请求明文;
第二加密模块,用于基于对称加密算法和密钥对第二请求明文进行三次加密,得到第三请求数据。
作为本实施例的一种可选实施方式,中继服务器202包括解析模块,用于解析第一请求数据,得到第一请求明文;
第一加密模块,用于获取非对称加密算法和公钥,并基于非对称加密算法和公钥对第一请求明文进行二次加密,得到第二请求数据;
发送模块,用于将第二请求数据通过TCP长连接发送至中继客户端203。
另外,需要理解的是,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或者操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的申请范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离前述申请构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中申请的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims (6)

1.一种基于HTTPS服务的内网穿透方法,其特征在于,包括:
外网客户端向中继服务器发送第一HTTPS连接请求,其中,所述第一HTTPS连接请求包括公网IP地址;所述中继服务器内部搭建有HTTPS服务并监听来自公网域名的HTTPS连接请求;
响应于所述第一HTTPS连接请求,所述中继服务器与所述外网客户端建立第一HTTPS连接;
所述外网客户端通过所述第一HTTPS连接将第一请求数据发送至所述中继服务器;
所述中继服务器解析所述第一请求数据,生成第二请求数据,并将所述第二请求数据发送至中继客户端,其中,所述中继客户端预先配置有所述公网IP地址与内网IP地址的映射关系;
所述中继客户端解析所述第二请求数据,生成第三请求数据,并向内网服务器发送第二HTTPS连接请求,其中,所述第二HTTPS连接请求包括所述内网IP地址;
响应于所述第二HTTPS连接请求,所述内网服务器与所述中继客户端建立第二HTTPS连接;
所述中继客户端通过所述第二HTTPS连接将所述第三请求数据发送至所述内网服务器;
所述内网服务器解析所述第三请求数据,生成第一响应数据,并通过所述第二HTTPS连接将所述第一响应数据发送至所述中继客户端;
所述中继客户端解析所述第一响应数据,生成第二响应数据,并将所述第二响应数据发送至所述中继服务器;
所述中继服务器解析所述第二响应数据,生成第三响应数据,并通过所述第一HTTPS连接将所述第三响应数据发送至所述外网客户端;
若中继服务器保存会话参数,则在完成一次建立第一HTTPS连接后,如果外网客户端与中继服务器再次建立第一HTTPS连接,可以复用会话参数;若中继服务器不保存会话参数,则重新协商会话参数;
在所述外网客户端向中继服务器发送第一HTTPS连接请求之前,还包括:
响应于用户的TCP连接触发动作,所述中继客户端与所述中继服务器建立TCP长连接;
所述中继客户端基于所述TCP长连接与所述中继服务器进行安全认证并协商加密算法;
所述中继服务器与外网客户端建立第一HTTPS连接包括:中继服务器监听到来自外网客户端发送的第一HTTPS连接请求,中继服务器接收到第一HTTPS连接请求后,为外网客户端创建第一会话的会话标识,用于标识外网客户端,并与外网客户端协商会话参数,其中,会话参数包括中继服务器与外网客户端使用的加密算法和密钥,中继服务器与外网客户端利用协商的会话参数,中继服务器与外网客户端建立第一HTTPS连接;
所述中继服务器解析所述第一请求数据,生成第二请求数据,并将所述第二请求数据发送至中继客户端包括:
所述中继服务器解析第一请求数据,得到第一请求明文;
所述中继服务器获取非对称加密算法和公钥,并基于所述非对称加密算法和公钥对所述第一请求明文进行二次加密,得到第二请求数据;
所述中继服务器将所述第二请求数据通过所述TCP长连接发送至中继客户端;
所述中继客户端解析所述第二请求数据,生成第三请求数据包括:
所述中继客户端接收所述中继服务器通过所述TCP长连接发送的所述第二请求数据;
所述中继客户端基于非对称加密算法和私钥对所述第二请求数据解密,得到第二请求明文;
所述中继客户端基于对称加密算法和密钥对所述第二请求明文进行三次加密,得到第三请求数据。
2.根据权利要求1所述的方法,其特征在于,所述中继客户端可对第三请求数据进行扩展功能操作,所述扩展功能包括DPI识别、攻击告警识别、30x重定向报文矫正域名。
3.一种基于HTTPS服务的内网穿透系统,其特征在于,包括外网客户端、中继服务器、中继客户端和内网服务器;其中,
所述外网客户端用于向中继服务器发送第一HTTPS连接请求,其中,所述第一HTTPS连接请求包括公网IP地址;在所述中继服务器与所述外网客户端建立第一HTTPS连接后,通过所述第一HTTPS连接将第一请求数据发送至所述中继服务器;
所述中继服务器用于响应于所述第一HTTPS连接请求,所述中继服务器与所述外网客户端建立第一HTTPS连接;解析外网客户端发送的所述第一请求数据,生成第二请求数据,并将所述第二请求数据发送至中继客户端,其中,所述中继客户端预先配置有所述公网IP地址与内网IP地址的映射关系;解析中继客户端发送的第二响应数据,生成第三响应数据,并通过所述第一HTTPS连接将所述第三响应数据发送至所述外网客户端;
所述中继客户端用于解析所述第二请求数据,生成第三请求数据,并向内网服务器发送第二HTTPS连接请求,其中,所述第二HTTPS连接请求包括所述内网IP地址;通过所述第二HTTPS连接将所述第三请求数据发送至所述内网服务器;解析第一响应数据,生成第二响应数据,并将所述第二响应数据发送至所述中继服务器;所述中继服务器内部搭建有HTTPS服务并监听来自公网域名的HTTPS连接请求;
若中继服务器保存会话参数,则在完成一次建立第一HTTPS连接后,如果外网客户端与中继服务器再次建立第一HTTPS连接,可以复用会话参数;若中继服务器不保存会话参数,则重新协商会话参数;
所述中继服务器还用于:中继服务器监听到来自外网客户端发送的第一HTTPS连接请求,中继服务器接收到第一HTTPS连接请求后,为外网客户端创建第一会话的会话标识,用于标识外网客户端,并与外网客户端协商会话参数,其中,会话参数包括中继服务器与外网客户端使用的加密算法和密钥,中继服务器与外网客户端利用协商的会话参数,中继服务器与外网客户端建立第一HTTPS连接;
所述内网服务器用于响应于所述第二HTTPS连接请求,所述内网服务器与所述中继客户端建立第二HTTPS连接;解析所述第三请求数据,生成第一响应数据,并通过所述第二HTTPS连接将所述第一响应数据发送至所述中继客户端。
4.根据权利要求3所述的一种基于HTTPS服务的内网穿透系统,其特征在于,所述中继客户端包括:
建立模块,用于响应于用户的TCP连接触发动作,所述中继客户端与所述中继服务器建立TCP长连接;
协商模块,用于所述中继客户端基于所述TCP长连接与所述中继服务器协商预设加密算法并交换加密密钥。
5.根据权利要求4所述的一种基于HTTPS服务的内网穿透系统,其特征在于,所述中继服务器包括:
解析模块,用于解析第一请求数据,得到第一请求明文;
第一加密模块,用于获取非对称加密算法和公钥,并基于所述非对称加密算法和公钥对所述第一请求明文进行二次加密,得到第二请求数据;
发送模块,用于将所述第二请求数据通过所述TCP长连接发送至中继客户端。
6.根据权利要求4或5所述的一种基于HTTPS服务的内网穿透系统,其特征在于,所述中继客户端还包括:
接收模块,用于接收所述中继服务器通过所述TCP长连接发送的所述第二请求数据;
解密模块,用于基于非对称加密算法和私钥对所述第二请求数据解密,得到第二请求明文;
第二加密模块,用于基于对称加密算法和密钥对所述第二请求明文进行三次加密,得到第三请求数据。
CN202210211007.2A 2022-03-03 2022-03-03 基于https服务的内网穿透方法及系统 Active CN114553414B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210211007.2A CN114553414B (zh) 2022-03-03 2022-03-03 基于https服务的内网穿透方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210211007.2A CN114553414B (zh) 2022-03-03 2022-03-03 基于https服务的内网穿透方法及系统

Publications (2)

Publication Number Publication Date
CN114553414A CN114553414A (zh) 2022-05-27
CN114553414B true CN114553414B (zh) 2024-04-05

Family

ID=81661184

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210211007.2A Active CN114553414B (zh) 2022-03-03 2022-03-03 基于https服务的内网穿透方法及系统

Country Status (1)

Country Link
CN (1) CN114553414B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007067631A (ja) * 2005-08-30 2007-03-15 Kddi Corp Vpnサーバホスティングシステム、およびvpn構築方法
WO2016206554A1 (zh) * 2015-06-23 2016-12-29 中兴通讯股份有限公司 数据接收、发送的方法及装置
CN110611724A (zh) * 2018-06-15 2019-12-24 上海仪电(集团)有限公司中央研究院 一种基于反向代理的物联网网关内网穿透方法
CN110661858A (zh) * 2019-09-12 2020-01-07 南京博联智能科技有限公司 基于websocket的内网穿透方法及系统
CN111885036A (zh) * 2020-07-16 2020-11-03 武汉秒开网络科技有限公司 一种通过路由器穿透内网实现多设备访问的方法及系统
CN112448856A (zh) * 2021-01-28 2021-03-05 杭州朗澈科技有限公司 一种内网kubernetes对外提供公网访问的方法和系统
CN112543233A (zh) * 2020-12-04 2021-03-23 国网信息通信产业集团有限公司 一种内网穿透系统
CN113489717A (zh) * 2021-07-02 2021-10-08 北京飞讯数码科技有限公司 基于sip协议的内外网互通方法、装置、设备及存储介质

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007067631A (ja) * 2005-08-30 2007-03-15 Kddi Corp Vpnサーバホスティングシステム、およびvpn構築方法
WO2016206554A1 (zh) * 2015-06-23 2016-12-29 中兴通讯股份有限公司 数据接收、发送的方法及装置
CN110611724A (zh) * 2018-06-15 2019-12-24 上海仪电(集团)有限公司中央研究院 一种基于反向代理的物联网网关内网穿透方法
CN110661858A (zh) * 2019-09-12 2020-01-07 南京博联智能科技有限公司 基于websocket的内网穿透方法及系统
CN111885036A (zh) * 2020-07-16 2020-11-03 武汉秒开网络科技有限公司 一种通过路由器穿透内网实现多设备访问的方法及系统
CN112543233A (zh) * 2020-12-04 2021-03-23 国网信息通信产业集团有限公司 一种内网穿透系统
CN112448856A (zh) * 2021-01-28 2021-03-05 杭州朗澈科技有限公司 一种内网kubernetes对外提供公网访问的方法和系统
CN113489717A (zh) * 2021-07-02 2021-10-08 北京飞讯数码科技有限公司 基于sip协议的内外网互通方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN114553414A (zh) 2022-05-27

Similar Documents

Publication Publication Date Title
US10091240B2 (en) Providing forward secrecy in a terminating TLS connection proxy
US11848961B2 (en) HTTPS request enrichment
US8364772B1 (en) System, device and method for dynamically securing instant messages
US9654453B2 (en) Symmetric key distribution framework for the Internet
JP4959750B2 (ja) トランスコーディング・プロキシでの複数の起点サーバへの動的接続
US7890759B2 (en) Connection assistance apparatus and gateway apparatus
US20120272058A1 (en) Transparent proxy of encrypted sessions
EP1374533B1 (en) Facilitating legal interception of ip connections
US7222234B2 (en) Method for key agreement for a cryptographic secure point—to—multipoint connection
Park et al. Lightweight secure communication for CoAP-enabled internet of things using delegated DTLS handshake
CN103139185A (zh) 一种实现安全反向代理服务的方法
CN110191052B (zh) 一种跨协议网络传输方法及系统
CN112637136A (zh) 加密通信方法及系统
Hardaker Transport Layer Security (TLS) Transport Model for the Simple Network Management Protocol (SNMP)
WO2009082950A1 (fr) Procédé, dispositif et système de distribution de clés
KR101526653B1 (ko) 비밀 디지털 콘텐츠에 액세스하는 시스템 및 방법
EP3085008B1 (en) Providing forward secrecy in a terminating tls connection proxy
CN114553414B (zh) 基于https服务的内网穿透方法及系统
CN100428748C (zh) 一种基于双重身份的多方通信方法
JP2008199497A (ja) ゲートウェイ装置および認証処理方法
Pittoli et al. Security architectures in constrained environments: A survey
Moravčík et al. Survey of real-time multimedia security mechanisms
JP2009260847A (ja) Vpn接続方法、及び通信装置
Khandkar et al. Extended TLS: Masking Server Host Identity on the Internet Using Encrypted TLS Handshake
Yang et al. mVoIP for P2P service based authentication system using AA authentication server

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant