CN114553957A - 兼容国密和国际https传输的业务系统和方法 - Google Patents
兼容国密和国际https传输的业务系统和方法 Download PDFInfo
- Publication number
- CN114553957A CN114553957A CN202210021924.4A CN202210021924A CN114553957A CN 114553957 A CN114553957 A CN 114553957A CN 202210021924 A CN202210021924 A CN 202210021924A CN 114553957 A CN114553957 A CN 114553957A
- Authority
- CN
- China
- Prior art keywords
- request
- channel
- https
- source
- international
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 194
- 238000000034 method Methods 0.000 title claims abstract description 52
- 230000004044 response Effects 0.000 claims description 72
- 238000012545 processing Methods 0.000 claims description 26
- 238000004590 computer program Methods 0.000 claims description 9
- 230000007704 transition Effects 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 18
- 238000006243 chemical reaction Methods 0.000 description 12
- 230000008569 process Effects 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 4
- 230000001133 acceleration Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000002474 experimental method Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 208000033748 Device issues Diseases 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种兼容国密和国际HTTPS传输的业务系统和方法,业务系统包括终端设备、代理节点和源站,终端设备和源站之间通过代理节点建立网络传输通道,该网络传输通道兼容国际HTTPS传输和国密HTTPS传输。采用该种方案,无论终端设备上的客户端和源站是否支持国密HTTPS传输,通过提供一种国际HTTPS传输和国密HTTPS传输兼容使用的网络传输通道,保证企业应用系统平滑的从国际HTTPS传输过渡为国密HTTPS传输。
Description
技术领域
本申请涉及互联网技术领域,特别涉及一种兼容国密和国际HTTPS传输的业务系统和方法。
背景技术
随着互联网技术的飞速发展,掌上银行、办公自动化(Office AutomationSystem,OA)系统、企业远程办公等得到广泛的应用。与此同时,信息成为个人、企业等的重要财富,重要信息在互联网中频繁传输,信息安全尤为重要。因此,超文本传输安全协议(Hypertext Transfer Protocol Secure,HTTPS)已被越来越多的网站使用。
目前,国际HTTPS传输通过在传输控制协议(Transmission Control Protocol,TCP)层之上引入传输层安全协议(Transport Layer Security,TLS)、安全套接层(SecureSocket Layer,SSL)等,从而实现对HTTP数据的保护,实现对数据加密、完整校验以及防篡改等。国际HTTPS传输采用的协议称之为国际协议,国际HTTPS传输采用的加密算法称之为国际算法。
我国密码行业标准规定:HTTPS传输采用国密SSL(GMSSL)、密码算法采用国产的商用密码算法,国产商用密码算法简称为国密算法。经验证发现:采用国密算法HTTPS传输的性能优于国际HTTPS传输的性能。
由于当前HTTPS传输为国际HTTPS传输,而不是国密HTTPS传输。因此,很多企业应用系统要求从国际HTTPS传输平滑过渡为国密HTTPS传输。然而,国际HTTPS传输和国密HTTPS传输是两套各自独立互斥的传输体系,难以在保障用户传输请求可用性的同时,从国际HTTPS传输平滑的过渡为国密HTTPS传输。
发明内容
本申请提供一种兼容国密和国际HTTPS传输的业务系统和方法,通过提供一种国际HTTPS传输和国密HTTPS传输兼容使用的网络传输通道,保证企业应用系统平滑的从国际HTTPS传输过渡为国密HTTPS传输。
第一方面,本申请实施例提供一种业务系统,包括:
终端设备、代理节点和源站,所述终端设备和所述源站之间通过所述代理节点建立网络传输通道,所述网络传输通道包括所述终端设备与所述代理节点之间的请求通道,以及所述代理节点和所述源站之间的回源通道,所述请求通道包括国际请求通道和国密请求通道,所述回源通道包括国密回源通道和国际回源通道;
所述代理节点通过所述请求通道接收来自所述终端设备的HTTPS请求,所述HTTPS请求是所述终端设备上的客户端启动之后的任意一个HTTPS请求;
所述代理节点根据第一配置信息确定目标回源通道并通过所述目标回源通道向所述源站发送所述HTTPS请求,所述第一配置信息用于指示是否开启国密回源通道;
所述代理节点根据第二配置信息确定HTTPS响应并发送给所述终端设备,以使得所述终端设备根据所述HTTPS响应确定下次发送的HTTP请求的目标请求通道,所述第二配置信息用于指示是否开启国密请求通道。
第二方面,本申请实施例提供一种HTTPS请求的传输方法,应用于代理节点,所述方法包括:
接收HTTPS请求;
根据所述代理节点的第一配置信息,确定所述代理节点与源站之间的目标回源通道,所述第一配置信息用于指示是否开启国密回源通道,所述代理节点用于在终端设备和源站之间建立网络传输通道,所述网络传输通道包括回源通道,所述回源通道包括国密回源通道和国际回源通道;
通过所述目标回源通道向源站发送所述HTTPS请求。
第三方面,本申请实施例提供一种HTTPS请求的传输装置,所述装置集成在代理节点上,所述装置包括:
接收模块,用于接收HTTPS请求;
处理模块,用于根据所述代理节点的第一配置信息,确定所述代理节点与源站之间的目标回源通道,所述第一配置信息用于指示是否开启国密回源通道,所述代理节点用于在终端设备和源站之间建立网络传输通道,所述网络传输通道包括回源通道,所述回源通道包括国密回源通道和国际回源通道;
发送模块,用于通过所述目标回源通道向源站发送所述HTTPS请求。
第四方面,本申请实施例提供一种电子设备,包括:处理器、存储器及存储在所述存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时使得所述电子设备实现如上第一方面或第一方面各种可能的实现方式所述的方法。
第五方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机指令,所述计算机指令在被处理器执行时用于实现如上第一方面或第一方面各种可能的实现方式所述的方法。
本申请实施例提供兼容国密和国际HTTPS传输的业务系统和方法,业务系统包括终端设备、代理节点和源站,终端设备和源站之间通过代理节点建立网络传输通道,该网络传输通道兼容国际HTTPS传输和国密HTTPS传输。采用该种方案,无论终端设备上的客户端和源站是否支持国密HTTPS传输,通过提供一种国际HTTPS传输和国密HTTPS传输兼容使用的网络传输通道,保证企业应用系统平滑的从国际HTTPS传输过渡为国密HTTPS传输。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的业务系统的网络架构示意图;
图2A是本申请实施例提供的HTTPS请求的一种传输过程示意图;
图2B是本申请实施例提供的HTTPS请求的另一种传输过程示意图;
图2C是本申请实施例提供的HTTPS请求的又一种传输过程示意图;
图2D是本申请实施例提供的HTTPS请求的又一种传输过程示意图;
图3是本申请实施例提供的HTTPS请求的传输方法的流程图;
图4是本申请实施例提供的HTTPS请求的传输方法的过程示意图;
图5是本申请实施例提供的HTTPS请求的传输方法的过程示意图;
图6为本申请实施例提供的一种HTTPS请求的传输装置的示意图;
图7为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
目前,信息技术的飞速发展,极大程度上促进了社会经济的繁荣与进步。同时,也给信息安全带来了新的风险和挑战。网络安全事关人类共同利益,关乎和平以及各个国家的安全。
密码是指使用特定变换对信息等进行加密保护和安全认证的产品、技术或服务。密码的主要功能包括2个:1、加密保护;2、安全认证。密码是保障网络与信息安全的核心技术与基础支撑。密码包括核密、普密和商用密码(简称商密)。核密是用于包含国家绝密级、机密级、秘密级信息的密码。普密是用于包含国家机密级、秘密级信息的密码。商密是用于保护不属于国家密码信息的密码,公民、法人和其他组织均可依法使用。商密广泛应用于人们生活的方方面面。如何对商密级别的数据进行加密并传输极为重要。
我国国家密码局要求关键信息基础设施使用商用密码进行保护,执行或者委托商用密码检测机构开展商用密码应用安全评估。
HTTPS是以安全为目标的HTTP通道,简单而言就是HTTP的安全版,通过在TCP层之上引入TLS、SSL协议,来实现对HTTP数据的保护,实现数据加密、完整性校验以及防篡改。整个HTTPS传输过程包括:TCP建联、SSL握手和数据加密传输阶段。其中,SSL握手的目的是为了在服务端和客户端协商出一个对称密钥,在数据加密传输阶段使用这对密钥进行数据的加密和解密。
目前,大部分网站的HTTPS传输采用的是国际协议和国际算法,国际协议指标准的TLS、SSL协议,国际算法包括对称加密算法、非对称加密算法和哈希算法。其中,对称加密算法主要为aes分组加密算法组以及chacha20流式加密算法等,非对称加密算法包括ras算法、ecdsa算法等,哈希算法包括sha-1、sha-2、sha-3算法族等。
我国的HTTPS传输采用的是国密协议和国密算法,国密协议用GMSSL标识,采用双证书TLS协议。双证书TLS协议主要在SSL握手环节引入了加密证书和签名证书,并对TLSv1.1的握手流程进行了一些修改以适应双证书结构。国密算法包括对称加密算法、椭圆曲线非对称加密算法和哈希算法。其中,对称加密算法包括SM1算法、SM4算法等,非对称加密算法包括SM2算法,哈希算法包括SM3算法等。
经验证发现:国密算法具备更安全、更快速以及自主可控的优势。在安全层面,国密算法中的SM2算法的安全性能高于高级算法中的RSA算法,SM3算法的摘要长度为256比特,安全强度高于sha-1。在通信层面,相较于RSA算法,SM2算法传输更少的数据,也就意味着更短的传输时间。而且,SM2算法的速度比RSA算法快10倍。
目前,大部分网站的HTTPS传输采用的是国际协议和国际算法,不兼容我国要求的国密协议和国密算法。也就是说,大部分网站的HTTPS传输为国际HTTPS传输,而非国密HTTPS传输。
由于国密HTTPS传输优于国际HTTPS传输,很多网站需要从国际HTTPS传输过渡到国密HTTPS传输,需要软件、硬件、传输网络、客户端和服务端协同适配改造。由于国际HTTPS传输和国密HTTPS传输是两套各自独立互斥的传输体系,难以在保障用户传输请求可用性的同时,从国际HTTPS传输平滑的过渡为国密HTTPS传输。
基于此,本申请实施例提供一种兼容国密和国际HTTPS传输的业务系统和方法,通过提供一种国际HTTPS传输和国密HTTPS传输兼容使用的网络传输通道,保证企业应用系统平滑的从国际HTTPS传输过渡为国密HTTPS传输。
图1是本申请实施例提供的兼容国密和国际HTTPS传输的业务系统的网络架构示意图。请参照图1,该业务系统包括代理节点11、终端设备12和源站13。代理节点11和终端设备12建立网络连接,代理节点11还与源站13建立网络连接。终端设备12和所述源站13之间通过所述代理节点11建立网络传输通道,所述网络传输通道包括所述终端设备12与所述代理节点11之间的请求通道,以及所述代理节点11和所述源站13之间的回源通道,所述请求通道包括国际请求通道和国密请求通道,所述回源通道包括国密回源通道和国际回源通道。
示例性的,终端设备12和源站13之间的网络传输通道兼容国际HTTPS传输和国密HTTPS传输,该网络传输通道包括两部分:请求通道和回源通道,请求通道包括国际请求通道和国密请求通道,所述回源通道包括国密回源通道和国际回源通道。代理节点11可控制是否开启国密请求通道、是否开启国际请求通道,同时,代理节点11还能控制是否开启国密回源通道、是否开启国际回源通道。请求通道也称之为请求侧通道,回源通道也称之为回源侧通道。
当国密请求通道和国密回源通道均开启时,整个网络传输通道采用国密HTTPS传输,即同一个HTTPS请求在终端设备13和代理节点11之间,以及代理节点11和源站12之间均采用国密HTTPS传输。
当国密请求通道开启、国密回源通道未开启时,同一个HTTPS请求在终端设备13和代理节点11之间采用国密HTTPS传输,但是在代理节点11和源站12之间采用国际HTTPS传输。
当国密请求通道未开启、国密回源通道开启时,同一个HTTPS请求在终端设备13和代理节点11之间采用国际HTTPS传输,但是在代理节点11和源站12之间采用国密HTTPS传输。
当国密请求通道和国密回源通道均未开启时,整个网络传输通道采用国际HTTPS传输,即同一个HTTPS请求在终端设备13和代理节点11之间,以及代理节点11和源站12之间均采用国际HTTPS传输。
终端设备13上安装客户端,客户端例如是浏览器、APP等。客户端启动过程中,终端设备13根据与代理节点11之间的交互,确定是否开启国密请求通道。之后,终端设备13发起HTTPS请求以进行业务。若开启国密请求通道,则终端设备13发送的HTTPS请求是国密HTTPS请求,若国密请求通道未开启,则终端设备13发送的HTTPS请求为国际HTTPS请求。
例如,客户端为购物客户端,用户查询订单,则终端设备发送用于查询订单的HTTPS请求。该HTTPS请求被域名解析服务器解析后,解析到代理节点。代理节点接收到HTTPS请求之后,读取第一配置信息,以确定是否开启国密回源通道,若开启国密回源通道,则无论HTTPS请求是国际HTTPS请求还是国密HTTPS请求,代理节点都通过国密回源通道向源站发送国密HTTPS请求。若国密回源通道关闭,则无论来自终端设备的HTTPS请求是国际HTTPS请求还是国密HTTPS请求,代理节点都通过国际回源通道向源站发送国际HTTPS请求。
同时,代理节点读取第二配置信息,以确定是否开启国密请求通道,并将确定结果通过HTTPS响应返回给终端设备。终端设备接收到HTTPS响应之后,确定后续发送的HTTPS请求是国际HTTPS请求还是国密HTTPS请求。也就是说,终端设备根据HTTPS响应确定下次通过国密请求通道还是国际请求通道发送HTTPS请求。
本申请实施例提供的兼容国密和国际HTTPS传输的业务系统,包括终端设备、代理节点和源站,终端设备和源站之间通过代理节点建立网络传输通道,该网络传输通道兼容国际HTTPS传输和国密HTTPS传输。采用该种方案,无论终端设备上的客户端和源站是否支持国密HTTPS传输,通过提供一种国际HTTPS传输和国密HTTPS传输兼容使用的网络传输通道,保证企业应用系统平滑的从国际HTTPS传输过渡为国密HTTPS传输。
可选的,上述实施例中,网络传输通道兼容国际HTTPS传输和国密HTTPS传输。当终端设备和源站均不支持国密协议时,国密请求通道和国密回源通道关闭,国际请求通道和国际回源通道开启。
示例性的,第一配置信息指示关闭国密回源通道,第二配置信息指示关闭国密请求通道。代理节点根据第二配置信息关闭国密请求通道,并根据第一配置信息关闭国密回源通道。这样一来,整个网络传输通道仅开启国际请求通道和国际回源通道,从而仅保留国际HTTPS传输功能。具体可参见图2A。
图2A是本申请实施例提供的HTTPS请求的一种传输过程示意图。请参照图2A,同一个HTTPS请求在请求通道和回源通道上均采用国际HTTPS传输,从而实现全链路国际HTTPS传输。
采用该种方案,当终端设备和源站均不支持国密协议时,自动采用国际HTTPS传输,保证业务可用性。
可选的,上述实施例中,当终端设备支持国密协议、源站不支持国密协议时,所述国密请求通道开启,所述国密回源通道关闭。
示例性的,第一配置信息指示关闭国密回源通道,第二配置信息指示开启国密请求通道。代理节点根据第二配置信息开启国密请求通道,并根据第一配置信息关闭国密回源通道。这样一来,一个HTTPS请求在终端设备和代理节点之间优先采用国密HTTPS传输,之后,代理节点将该国密HTTPS请求自动向下转换为国际HTTPS请求,并将国际HTTPS请求发送给源站,从而实现即使源站不支持国密协议、但终端设备支持国密协议时,同一个HTTPS请求在请求侧采用国密HTTPS传输、在回源侧采用国际HTTPS传输的目的。具体可参见图2B。
图2B是本申请实施例提供的HTTPS请求的另一种传输过程示意图。请参照图2B,同一个HTTPS请求在请求侧采用国密HTTPS传输、在回源侧采用国际HTTPS传输。
可选的,上述实施例中,当终端设备不支持国密协议、源站支持国密协议时,所述国密请求通道关闭,所述国密回源通道开启。
示例性的,第一配置信息指示开启国密回源通道,第二配置信息指示关闭国密请求通道。代理节点根据第二配置信息关闭国密请求通道,并根据第一配置信息开启国密回源通道。这样一来,一个HTTPS请求在终端设备和代理节点之间优先采用国际HTTPS传输,之后,代理节点将该国际HTTPS请求自动转换为国密HTTPS请求,并将国密HTTPS请求发送给源站,从而实现即使客户端不支持国密协议但是源站支持国密协议时,同一个HTTPS请求在请求侧采用国际HTTPS传输、在回源侧采用国密HTTPS传输的目的。具体可参见图2C。
图2C是本申请实施例提供的HTTPS请求的又一种传输过程示意图。请参照图2C,同一个HTTPS请求在请求侧采用国际HTTPS传输、在回源侧采用国密HTTPS传输。
可选的,上述实施例中,当终端设备和源站均支持国密协议时,可灵活配置第一配置信息和第二配置信息,从而实现同一个HTTPS请求在整个网络传输通道上采用国密HTTPS传输、仅在请求侧采用国密HTTPS传输、在整个网络传输通道上采用国际HTTPS传输。
例如,第一配置信息指示开启国密回源通道,第二配置信息指示开启国密请求通道。此时,同一个HTTPS请求在整个网络传输通道上采用国密HTTPS传输,即实现全链路采用国密HTTPS传输。具体可参见图2D。
图2D是本申请实施例提供的HTTPS请求的又一种传输过程示意图。请参照图2D,同一个HTTPS请求在请求侧采用国密HTTPS传输、在回源侧采用国密HTTPS传输。
再如,第一配置信息指示关闭国密回源通道,第二配置信息指示开启国密请求通道,默认国际回源通道开启,或者,第一配置信息中指示开启国际回源通道。此时,同一个HTTPS请求在终端设备和代理节点之间采用国密HTTPS传输,而在代理节点和源站之间采用国际HTTPS传输。采用该种方案,在网络传输通道上实现请求通道单侧采用国密HTTPS传输。具体可参见图2B。
又如,第一配置信息指示关闭国密回源通道,第二配置信息指示关闭国密请求通道。此时,同一个HTTPS请求在整个网络传输通道上优先采用国际HTTPS传输。具体可参见图2A。
采用该种方案,当终端设备和源站均支持国密协议时,可灵活配置第一配置信息和第二配置信息,从而实现同一个HTTPS请求在整个网络传输通道或部分网络传输通道采用国密HTTPS传输的目的,灵活度高。
需要说明的是,上述各实施例中,代理节点根据第一配置信息确定目标回源通道。第一配置信息用于指示国密回源通道是否开启。然而,本申请实施例并不限制,其他可行的实现方式中,代理节点也可以直接根据接收到的HTTPS请求的协议类型,选择目标回源通道,这种方式称之为跟随。例如,HTTPS请求为国际HTTPS请求,则通过国际回源通道向源站发送HTTPS请求;若HTTPS请求为国密HTTPS请求,则通过国密回源通道向源站发送HTTPS请求。实际实现时,第一配置信息可用于指示代理节点跟随HTTPS请求的协议类型,确定目标回源通道。
可选的,上述实施例中,代理节点可能有多个,例如,同一个业务部署在不同区域的多个代理节点上。当所述终端设备和所述源站均支持国密协议、且所述代理节点为多个、各所述代理节点与所述源站之间默认开启国际回源通道时,需要分批次将代理节点与源站之间的回源通道切换为国密回源通道。
示例性的,如果一次性将所有的代理节点与源站之间的回源通道切换为国密回源通道,会存在一定的风险,例如,若国密回源通道有问题,全部切换为国密回源通道后,会影响所有的终端设备,比如有1000个终端设备发起HTTPS请求,则对该1000个请求对应的业务均无法实现。因此,每次仅将部分回源通道切换为国密回源通道,若国密回源通达有问题,也只会影响少量终端设备的业务。为此,本申请实施例提供一种灰度方案,每次仅有部分代理节点将回源通道从国际回源通道切换为国密回源通道。例如,上述的兼容国密和国际HTTPS传输的业务系统还存在一个管理设备,该管理设备管理1000个代理节点,该1000个代理节点位于全国各地。管理设备从1000个代理节点中确定出100个代理节点,比如东北区域的100个代理节点,将该些节点的回源通道从国际回源通道切换为国密回源通道,将该100个代理节点的信息同步给终端设备。切换完毕后,从剩余的900个代理节点中确定出100个代理节点,比如西北区域的100个代理节点,将该些节点的回源通道从国际回源通道切换为国密回源通道……。也就是说,每次对100个代理节点执行回源通道的切换。
采用该种方案,通过区域灰度方案,支持同一个兼容国密和国际HTTPS传输的业务系统的用户逐步将HTTPS请求从国际HTTPS请求切换为国密HTTPS请求,实现控制同一个域名或者接口在指定时间段内国密HTTPS请求从0到100%的递进,避免同一时间内同一个接口只能100%国密HTTPS请求或国际HTTPS请求的现象。
同理,上述实施例中,代理节点可能有多个,例如,同一个业务部署在不同区域的多个代理节点上。当所述终端设备和所述源站均支持国密协议、且所述代理节点为多个、各所述代理节点与所述源站之间开启国密回源通道时,需要分批次将多个代理节点中的代理节点与源站之间的回源通道切换为国际回源通道。
示例性的,如果一次性将所有的代理节点与源站之间的回源通道切换为国际回源通道,会存在一定的风险。为此,本申请实施例提供一种灰度方案,每次仅有部分代理节点将回源通道从国密回源通道切换为国际回源通道。
采用该种方案,通过区域灰度方案,支持同一个兼容国密和国际HTTPS传输的业务系统的用户逐步将HTTPS请求从国密HTTPS请求切换为国际HTTPS请求,实现控制同一个域名或者接口在指定时间段内国际HTTPS请求从0到100%的递进,避免同一时间内同一个接口只能100%国密HTTPS请求或国际HTTPS请求的现象。
下面,结合上述的兼容国密和国际HTTPS传输的业务系统,从代理节点的角度,对本申请实施例提供的HTTPS请求的传输方法进行详细说明。示例性的,请参见图3,图3是本申请实施例提供的HTTPS请求的传输方法的流程图。本实施例包括:
301、接收HTTPS请求。
示例性的,终端设备上的客户端,如APP、浏览器等启动后,向代理节点发送HTTPS请求。例如,通过国密请求通道发送国密HTTPS请求,再如,通过国际请求通道发送HTTPS请求。该HTTPS请求被域名解析系统解析,并分配给某个代理节点。相应的,代理节点接收该HTTPS请求。
302、根据所述代理节点的第一配置信息,确定目标回源通道。
其中,第一配置信息用于指示是否开启国密回源通道,所述代理节点用于在终端设备和源站之间建立网络传输通道,所述网络传输通道包括回源通道,所述回源通道包括国密回源通道和国际回源通道。
示例性的,代理节点上预先部署第一配置信息,第一配合信息用于指示是否开启国密回源通道。若开启国密回源通道,则说明源站支持国密协议;若关闭国密回源通道,则说明源站不支持国密协议。
当第一配置信息指示开启国密回源通道时,确定目标回源通道为国密回源通道;当第一配置信息指示关闭国密回源通道时,确定目标回源通道为国际回源通道。采用该种方案,代理节点根据第一配置信息自动确定目标回源通道,能够灵活适配源站支持国密协议的场景以及源站不支持国密协议的场景。
303、通过所述目标回源通道向源站发送所述HTTPS请求。
代理节点通过目标回源通道向源站发送HTTPS请求。例如,当代理节点接收到的HTTPS请求是国际HTTPS请求、目标回源通道是国际回源通道时,代理节点向源站发送国际HTTPS请求。
再如,当代理节点接收到的HTTPS请求是国际HTTPS请求、目标回源通道是国密回源通道时,代理节点将该国际HTTPS请求转换为国密HTTPS请求并发送给源站。
又如,当代理节点接收到的HTTPS请求是国密HTTPS请求、目标回源通道是国密回源通道时,代理节点向源站发送国密HTTPS请求。
又如,当代理节点接收到的HTTPS请求是国密HTTPS请求、目标回源通道是国际回源通道时,代理节点将该国密HTTPS请求转换为国际HTTPS请求并发送给源站。
本申请实施例提供的HTTPS请求的传输方法,代理节点用于在终端设备和源站之间建立网络传输通道,该网络传输通道同时支持国际HTTPS传输和国密HTTPS传输,代理节点每次接收到国际HTTPS请求或国密HTTPS请求后,根据第一配置信息确定接下来通过国密回源通道还是国际回源通道发送HTTPS请求,并根据确定出的目标回源通道对应的加密算法加密HTTPS请求后,通过目标回源通道发送给源站。采用该种方案,由于网络传输通道同时支持国际HTTPS传输和国密HTTPS传输,因此,能够在不影响业务连续性的前提下,保证HTTPS请求从国际HTTPS请求过渡为国密HTTPS请求。
可选的,上述实施例中,代理节点接收到HTTPS请求之后,还读取本地的用于指示是否开启国密请求通道的第二配置信息,根据第二配置信息确定HTTPS响应,并将该HTTPS响应发送给终端设备,以使得所述终端设备根据所述HTTPS响应确定下次发送的HTTP请求的目标请求通道。
示例性的,当第二配置信息指示开启国密请求通道时,代理节点向终端设备发送的HTTPS响应指示国密请求通道开启。终端设备确定出目标请求通道为国密请求通道,后续发送国密HTTPS请求。当第二配置信息指示关闭国密请求通道时,代理节点向终端设备发送的HTTPS响应指示国密请求通道关闭。终端设备确定出目标请求通道为国际请求通道,后续发送国际HTTPS请求。
采用该种方案,代理节点每次接收到HTTPS请求后,根据第二配置信息确定HTTPS响应并发送给终端设备。终端设备下一次发送HTTPS请求时,自适应的根据之前接收到的HTTPS响应确定发送国际HTTPS请求还是国密HTTPS请求。
可选的,上述实施例中,代理节点接收到HTTPS请求之后,还确定HTTPS请求的协议类型,根据协议类型确定证书和/或加密算法套件,根据所述证书型号和/或所述加密算法套件确定HTTPS响应,所述第二配置信息用于指示是否开启国密请求通道。之后,向所述终端设备发送所述HTTPS响应,以使得所述终端设备根据所述HTTPS响应确定下次发送的HTTP请求的目标请求通道,从而与终端设备建立HTTPS连接及数据加密传输。
示例性的,代理节点上设置协议处理库、密码套件处理库和证书存储库等。代理节点根据HTTPS请求携带的信息确定协议类型。例如,HTTPS请求携带0x101字段,则确定HTTPS请求为国密HTTPS请求。之后,代理节点根据协议类型从密码套件处理库中确定出国密算法,从证书存储库中确定出双证书等。之后,进行后续的SSL握手和数据加密传输等。
再如,HTTPS请求携带0x300、0x301等字段,则确定HTTPS请求为国际HTTPS请求。之后,代理节点根据协议类型从密码套件处理库中确定出国际算法,从证书存储库中确定出国际证书等。之后,进行后续的SSL握手和数据加密传输等。
采用该种方案,代理节点根据接收到的HTTPS的协议类型,确定对应的证书型号和加密算法套件等,可快速、准确的确定采用国际协议还是国密协议进行握手和数据加密传输。
图4是本申请实施例提供的HTTPS请求的传输方法的过程示意图。请参照图4,国密应用安全加速系统包括管理设备和多个代理节点(图中仅示意出一个代理节点)。国密应用安全加速系统包含全球分布式节点服务器,其上部署国密应用安全加速软件,企业云化后,终端设备发送的HTTPS请求均会被域名解析服务器(图4中未示意出)解析到就近的代理节点,由代理节点做反向代理以在全球范围内分发HTTPS请求。代理节点在终端设备和源站之间建立兼容国密HTTPS传输和国际HTTPS传输的网络传输通道。
请参照图4,管理设备的动作包括:
401、配置下发、证书下发。
示例性的,管理设备向各个代理节点下发第一配置信息、第二配置信息以及其他配置信息等。另外,管理设备还向各个代理节点下发证书,如国际证书、国密双证书等。
402、全球区域灰度解析。
示例性的,代理节点为多个,若一次性的将各个代理节点的回源通道都设置为国密回源通道,则会带来风险。比如,有些源站不支持国密协议,若直接该源站与代理节点之间的回源通道设置为国密通道,则导致代理节点向源站发送国密HTTPS请求失败。
因此,管理设备将多个代理节点分成多个批次。比如,一共800台代理节点,则分成8个批次,每个批次100个代理节点。每次将100个代理节点的回源通道设置为国际回源通道。同理,管理设备采用灰度方案将代理节点的请求通道设置为国密请求通道。
403、下发通道:全球安全传输与数据转换。
上述的步骤401-403视为准备阶段的工作。当管理设备在准备阶段对各个代理节点进行管理后,当代理节点接收到HTTPS请求之后,根据第一配置信息确定目标回源通道,并通过目标回源通道向源站发送HTTPS请求。同时,根据第二配置信息确定目标请求通道,并将目标请求通道反馈给终端设备,使得终端设备后续通过目标请求通道发送HTTPS请求。
图4中,代理节点包括请求代理模块、存储模块、回源处理模块和协议转换模块。代理节点的各个模块的动作如下:
步骤①:代理模块接收HTTPS请求。
请参照图4,终端设备上的客户端发起国际HTTPS请求或国密HTTPS请求,该请求被域名解析服务器(图4中未示意出域名解析服务器)解析到就近的代理节点,被代理节点的代理模块接收。
需要说明的是,图4中HTTPS请求从终端设备直接到达代理模块。实际上,终端设备发送的HTTPS请求还经过了域名解析服务器的解析等,图中未示意出。
步骤②、请求代理模块自动识别HTTPS请求的协议类型,智能适配协议类型对应的协议库。
存储模块中存储国际HTTPS传输的国际协议库、证书库和加密算法套件库,存储模块还存储国密HTTPS传输的国密协议库、证书库和加密算法套件库。
步骤③、存储模块向请求代理模块发送协议类型对应的数字证书和加密算法套件。
步骤④、请求代理模块根据适配到的协议类型、数字证书和加密算法套件,向回源处理模块发送HTTPS请求。
步骤⑤、回源处理模块接收来自请求代理模块的HTTPS请求,读取第一配置信息,将读取的结果添加在HTTPS请求的请求头部,并将添加了请求头部的HTTPS请求传递给协议转换模块。
示例性的,当HTTPS请求为国密HTTPS请求,第一配置信息指示开启国密回源通道时,回源处理模块将请求头部设置为开启国密回源通道。比如,请求头部包含标识字符,当该字符为1时,表示开启国密回源通道。
当HTTPS请求为国密HTTPS请求,第一配置信息指示关闭国密回源通道时,回源处理模块将请求头部设置为关闭国密回源通道。比如,请求头部包含标识字符,当该字符为0时,表示关闭国密回源通道。
当HTTPS请求为国际HTTPS请求,第一配置信息指示开启国密回源通道时,回源处理模块将请求头部设置为开启国密回源通道。比如,请求头部包含标识字符,当该字符为1时,表示开启国密回源通道。
当HTTPS请求为国际HTTPS请求,第一配置信息指示关闭国密回源通道时,回源处理模块将请求头部设置为关闭国密回源通道。比如,请求头部包含标识字符,当该字符为0时,表示关闭国密回源通道。
步骤⑥、协议转换模块接收来自回源处理模块的、添加了请求头部的HTTPS请求,根据请求头部确定是否开启国密回源通道。
例如,若请求头部指示开启国密回源通道,则协议转换模块向源站发起国密HTTPS请求,创建国密回源通道。
再如,若请求头部指示关闭国密回源通道,则协议转换模块向源站发起国际HTTPS请求,创建国际回源通道。
上述步骤①-步骤⑥中关键点在于:如何在请求代理模块中识别协议类型并加载对应的证书以及加密算法套件;如何控制回源处理模块和协议转换模块选择并转换HTTPS请求的协议类型。通过上述请求代理模块、存储模块、回源处理模块和协议转换模块的协同处理,代理节点选择目标请求通道和目标回源通道。
例如,代理节点每次收到HTTPS请求,读取第二配置信息,确定开启国密请求通道时,向终端设备反馈。后续终端设备发起国密HTTPS请求。代理节点接收到国密HTTPS请求后,若请求头部指示开启国密回源通道,则协议转换模块向源站发起国密HTTPS请求,从而实现整个网络传输通道采用国密HTTPS传输。
再如,代理节点每次收到HTTPS请求,读取第二配置信息,确定关闭国密请求通道时,向终端设备反馈。后续终端设备发起国际HTTPS请求。代理节点接收到国际HTTPS请求后,若请求头部指示开启国密回源通道,则协议转换模块向源站发起国密HTTPS请求,从而实现仅回源侧采用国密HTTPS传输。
又如,代理节点每次收到HTTPS请求,读取第二配置信息,确定开启国密请求通道时,向终端设备反馈。后续终端设备发起国密HTTPS请求。代理节点接收到国密HTTPS请求后,若请求头部指示关闭国密回源通道,则协议转换模块向源站发起国际HTTPS请求,从而实现仅请求侧采用国密HTTPS传输。
又如,代理节点每次收到HTTPS请求,读取第二配置信息,确定关闭国密请求通道时,向终端设备反馈。后续终端设备发起国际HTTPS请求。代理节点接收到国际HTTPS请求后,若请求头部指示关闭国密回源通道,则协议转换模块向源站发起国际HTTPS请求,从而实现整个网络传输通道采用国际HTTPS传输。
图5是本申请实施例提供的HTTPS请求的传输方法的过程示意图。本实施例是从终端设备、代理节点和源站的交互的角度进行说明,本实施例着重描述如何采用灰度方式将同一个域名的HTTPS请求,在指定时间段内从0国密HTTPS请求过渡到100%国密HTTPS请求。
本实施例中,同一个域名的多个代理节点位于全球或全国各地,管理设备控制分批次将代理节点的请求通道设置为国密请求通道,将回源通道设置为国密回源通道。终端设备发起HTTPS请求后,域名解析服务器将该HTTPS请求解析到终端设备较近的代理节点上。一个终端设备一段时间内可能会发起多次HTTPS请求,该些HTTPS请求可能会解析到不同的代理节点上。比如,终端设备上的客户端启动过程中与代理节点甲交互,使得终端设备知道代理节点甲开启国密请求通道。
客户端启动后,依次发送了两个HTTPS请求:HTTPS请求a和HTTPS请求b,该两个HTTPS请求分别被解析到代理节点甲、代理节点乙,代理节点甲开启国密请求通道,代理节点乙未开启国密请求通道。代理节点甲收到国密HTTPS请求a后,告诉终端设备其开通国密请求通道。终端设备发送国密HTTPS请求b,被解析到代理节点乙。代理节点乙告诉终端设备其未开通国密请求通道,则终端设备降级,即客户端下次发送国际HTTPS请求。该国密HTTPS请求被解析给哪个代理节点,由域名解析服务器决定。
根据上述可知:兼容国密和国际HTTPS传输的业务系统从国密协议过渡到国际协议的过程中,一个终端设备的HTTPS请求可能是国际的,也可能是国密的。因此,不能一次性将所有代理节点的请求通道设置为国密请求通道,将所有代理节点的回源通道设置为国密回源通道。
上述实施例中,假设多个代理节点为两个代理节点:代理节点甲和代理节点乙,代理节点甲开启国密请求通道和国密回源通道,代理节点乙未开启国密请求通道和国密回源通道。假设多个终端设备发起HTTPS请求,共100个HTTPS请求,若两个代理节点均摊,则回源侧,50%的HTTPS请求走国密回源通道,50%的HTTPS请求走国际回源通道。
同理,假设一共有100个代理节点,管理设备将该些代理节点分为10批,每批10个代理节点。将第一批代理节点的请求通道设置为国密请求通道、回源通道设置为国密回源通道后,若每个代理节点处理的HTTPS请求的数量是一样的,则10%的HTTPS请求在回源侧走国密回源通道。第二批代理节点的请求通道设置为国密请求通道、回源通道设置为国密回源通道后,回源侧走国密回源通道的HTTPS请求的占比达到20%……,最终达到100%。
请参照图5,本实施例包括:
501、终端设备上的客户端启动时,向代理节点发送启动请求。
其中,启动请求携带接口标识,所述启动请求为国际HTTPS请求。
示例性的,终端设备上的APP启动时,启动请求强制走国际请求通道。
502、代理节点确定接口标识是否为预设接口标识,当接口标识是预设接口标识时,执行步骤503;当接口标识不是预设接口标识时,结束。终端设备等待预设时长未接收到启动响应,则认为接口匹配失败。
示例性的,预设接口标识可以自定义。当接口标识为预设标识时,说明终端设备上的客户端启动,客户端询问代理节点是否支持国密HTTPS传输。若接口标识不是预设标识时,说明终端设备发送的请求是启动后的请求。
503、代理节点读取第二配置信息,生成启动响应。
504、代理节点向终端设备发送启动响应。
示例性的,若第二配置信息指示开启国密请求通道,则启动响应指示终端设备请求通道为国密请求通道。若第二配置信息指示关闭国密请求通道,则启动响应指示终端设备请求通道为国际请求通道。
505、终端设备根据启动响应确定代理节点是否已开启国密请求通道,若国密请求通道已开启,则执行步骤506;若国密请求通道未开启,则执行步骤508;
示例性的,启动响应携带响应头标识,响应头标识例如为isGmmslTag等,可以自定义,响应头标识为1表示代理节点开启国密请求通道,响应头标识为0表示代理节点未开启国密请求通道。终端设备接收到启动响应后,根据解析出响应头中的值,并结合步骤506中自身的算法等,确定后续发起的HTTPS请求的协议类型。
506、终端设备判断自身是否支持国密协议,若自身支持国密协议,则执行步骤507;若自身不支持国密协议,则执行步骤508;
507、终端设备切换为国密请求通道。
也就是说,终端设备后续发送国密HTTPS请求。
508、终端设备切换为国际请求通道。
也就是说,终端设备后续发送国际HTTPS请求。
步骤507和步骤508中,终端设备后续分别发送国密HTTPS请求和国际HTTPS请求,直到下次用户重启客户端,重新执行上述的步骤501及后续步骤。
509、终端设备发起HTTPS请求。
本步骤中的HTTPS请求是客户端启动后的任意一个HTTPS请求。
510、代理节点判断该HTTPS请求携带的接口标识是否为预设接口标识,由于终端设备启动的时候,初始发送的启动请求才携带预设接口标识,若HTTPS请求携带的接口标识不是预设接口标识,则表示HTTPS请求不是启动请求,此时代理节点执行步骤511;若HTTPS请求携带的接口标识是预设接口标识,则表示终端设备重启,代理节点执行步骤514。
步骤507和步骤508后,终端设备发起的不同HTTPS请求可能被域名解析服务器解析到不同的代理节点。以终端设备切换为国密请求通道为例,若终端设备一直没有重启,则终端设备一直发送国密HTTPS请求,该些国密HTTPS请求未携带接口标识或携带的接口标识不是预设接口标识。例如,客户端启动后,发送的国密HTTPS请求包括HTTPS请求a和HTTPS请求b,HTTPS请求a先于HTTPS请求b发送,且这两个HTTPS请求之间可能存在其他HTTPS请求。
HTTPS请求a是客户端启动后、重启之前的HTTPS请求,HTTPS请求b是客户端重启时的启动请求。该两个HTTPS请求分别被解析到代理节点甲、代理节点乙。
假设代理节点甲支持国密请求通道,则客户端发送HTTPS请求a之后继续发送国密HTTPS请求,直到客户端重启。代理节点甲接收到HTTPS请求a之后,判断出HTTPS请求a携带的接口标识不是预设接口标识,则执行步骤511。
假设代理节点甲不支持国密请求通道,则告诉客户端其未开通国密请求通道,客户端降级,即客户端下次发送国际HTTPS请求。
无论代理节点乙是否支持国密请求通道,由于HTTPS请求b为启动请求,代理节点甲接收到HTTPS请求b之后,判断出HTTPS请求b携带的接口标识是预设接口标识,则执行步骤514。
511、代理节点确定是否开启国密请求通道,得到请求通道结果,之后,执行步骤512。
示例性的,请求结果指示国密请求通道是否开启。
终端设备发起的不同HTTPS请求可能被域名解析服务器解析到不同的代理节点。步骤511中的代理节点和步骤503中的代理节点可能是同一个代理节点,也可能是不同的代理节点。
512、确定HTTPS请求的协议类型。
513、根据请求通道结果和协议类型,向终端设备发起建联响应。
步骤513包括如下几种可能的情况:
5131、建联响应指示成功开启国际请求通道。
当HTTPS请求为国际HTTPS请求、请求通道结果指示代理节点开启国密请求通道时,建联响应指示成功开启国际请求通道,该国际请求通道采用的算法例如为RSA算法。
5132、建联响应指示成功开启国密请求通道。
当HTTPS请求为国密HTTPS请求、请求通道结果指示代理节点开启国密请求通道时,建联响应指示成功开启国密请求通道,该国密请求通道采用的算法例如为SM2算法。
5133、建联响应指示国密请求通道建联失败。
当HTTPS请求为国密HTTPS请求、请求通道结果指示代理节点未开启国密请求通道时,建联响应指示国密请求通道建联失败。
5134、建联响应指示成功开启国际请求通道。
当HTTPS请求为国密HTTPS请求、请求通道结果指示代理节点未开启国密请求通道时,建联响应指示成功开启国际请求通道,该国际请求通道采用的算法例如为RSA算法。
514、代理节点确定出用户重启客户端,返回步骤503。
另外,上述实施例中,步骤509之后,代理节点接收到HTTPS请求之后,还读取本地的第一配置信息,根据第一配置信息确定向源站发送国密HTTPS请求还是国际HTTPS请求。
上述实施例中,管理设备逐步按照区域运营商线路灰度开启国密请求通道,终端设备和代理节点保持上述步骤501-513。随着开通国密请求通道代理节点的数量增多,终端设备发起的HTTPS请求从0国密HTTPS请求逐渐过渡到100%国密HTTPS请求。
同理,关闭国密请求通道的过程,同样可采用区域灰度的方案,具体可参见上述实施例,此处不再赘述。
国密回源通道的开启和关闭请参见上述实施例,此处不再赘述。
下述为本申请装置实施例,可以用于执行本申请方法实施例。对于本申请装置实施例中未披露的细节,请参照本申请方法实施例。
图6为本申请实施例提供的一种HTTPS请求的传输装置的示意图。该HTTPS请求的传输装置600集成在代理节点上,该HTTPS请求的传输装置600包括:接收模块61、处理模块62和发送模块63。
接收模块61,用于接收HTTPS请求;
处理模块62,用于根据所述代理节点的第一配置信息,确定所述代理节点与源站之间的目标回源通道,所述第一配置信息用于指示是否开启国密回源通道,所述代理节点用于在终端设备和源站之间建立网络传输通道,所述网络传输通道包括回源通道,所述回源通道包括国密回源通道和国际回源通道;
发送模块63,用于通过所述目标回源通道向源站发送所述HTTPS请求。
一种可行的实现方式中,所述处理模块62,用于当所述第一配置信息指示开启国密回源通道时,确定所述目标回源通道为国密回源通道;当所述第一配置信息指示关闭国密回源通道时,确定所述目标回源通道为国际回源通道。
一种可行的实现方式中,所述网络传输通道还包括请求通道,所述请求通道包括国际请求通道和国密请求通道,所述处理模块62,在所述接收模块61接收所述HTTPS请求之后,还用于根据第二配置信息确定HTTPS响应,所述第二配置信息用于指示是否开启国密请求通道;
所述发送模块63,还用于向所述终端设备发送所述HTTPS响应,以使得所述终端设备根据所述HTTPS响应确定下次发送的HTTP请求的目标请求通道。
一种可行的实现方式中,所述处理模块62,在所述接收模块61接收所述HTTPS请求之后,还用于确定所述HTTPS请求的协议类型;根据所述协议类型确定证书型号和/或加密算法套件;
所述处理模块62,还用于根据所述证书型号和/或所述加密算法套件确定HTTPS响应;
所述发送模块63,还用于向所述终端设备发送所述HTTPS响应,以使得所述终端设备根据所述HTTPS响应确定下次发送的HTTP请求的目标请求通道。
一种可行的实现方式中,所述接收模块61接收所述HTTPS请求之前,还用于接收来自终端设备的启动请求,所述启动请求携带接口标识,所述启动请求为国际HTTPS请求;
所述处理模块62,还用于当所述接口标识为预设接口标识时,确定所述代理节点与所述终端设备之间的请求通道是否支持国密HTTPS传输;
所述发送模块63,还用于向所述终端设备发送启动响应,所述启动响应用于指示所述代理节点是否支持国密HTTPS传输,以使得所述终端设备根据所述启动响应确定所述HTTPS请求的协议类型。
一种可行的实现方式中,所述发送模块63向所述终端设备发送启动响应之后,所述处理模块62确定所述HTTPS请求的协议类型之前,所述处理模块62还用于确定所述代理节点与所述终端设备之间是否开启国密请求通道,向所述终端设备发送建联响应。
一种可行的实现方式中,当所述HTTPS请求为国际HTTPS请求、所述请求通道开启国密HTTPS传输时,所述建联响应用于指示在所述代理节点和所述终端设备之间成功开启国际请求通道。
一种可行的实现方式中,当所述HTTPS请求为国密HTTPS请求、所述请求通道开启国密HTTPS传输时,所述建联响应用于指示在所述代理节点和所述终端设备之间成功开启国密请求通道。
一种可行的实现方式中,当所述HTTPS请求为国密HTTPS请求、所述请求通道关闭国密HTTPS传输时,所述建联响应用于指示在所述代理节点和所述终端设备之间未成功建立国密请求通道。
一种可行的实现方式中,当所述HTTPS请求为国际HTTPS请求、所述请求通道关闭国密HTTPS传输时,所述建联响应用于指示在所述代理节点和所述终端设备之间成功开通国际请求通道。
本申请实施例提供的HTTPS请求的传输装置600,可以执行上述实施例中代理节点的动作,其实现原理和技术效果类似,在此不再赘述。
图7为本申请实施例提供的一种电子设备的结构示意图。如图7所示,该电子设备700例如为上述的代理节点,该电子设备700包括:
处理器71和存储器72;
所述存储器72存储计算机指令;
所述处理器71执行所述存储器72存储的计算机指令,使得所述处理器71执行如上代理节点实施的HTTPS请求的传输方法。
处理器71的具体实现过程可参见上述方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
可选地,该电子设备700还包括通信部件73。其中,处理器71、存储器72以及通信部件73可以通过总线74连接。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机指令,所述计算机指令被处理器执行时用于实现如上代理节点实施的HTTPS请求的传输方法。
本申请实施例还提供一种计算机程序产品,该计算机程序产品包含计算机程序,计算机程序被处理器执行时实现如上代理节点实施的HTTPS请求的传输方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求书指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。
Claims (18)
1.一种兼容国密和国际HTTPS传输的业务系统,其特征在于,包括:终端设备、代理节点和源站,所述终端设备和所述源站之间通过所述代理节点建立网络传输通道,所述网络传输通道包括所述终端设备与所述代理节点之间的请求通道,以及所述代理节点和所述源站之间的回源通道,所述请求通道包括国际请求通道和国密请求通道,所述回源通道包括国密回源通道和国际回源通道;
所述代理节点通过所述请求通道接收来自所述终端设备的HTTPS请求,所述HTTPS请求是所述终端设备上的客户端启动之后的任意一个HTTPS请求;
所述代理节点根据第一配置信息确定目标回源通道并通过所述目标回源通道向所述源站发送所述HTTPS请求,所述第一配置信息用于指示是否开启国密回源通道;
所述代理节点根据第二配置信息确定HTTPS响应并发送给所述终端设备,以使得所述终端设备根据所述HTTPS响应确定下次发送的HTTP请求的目标请求通道,所述第二配置信息用于指示是否开启国密请求通道。
2.根据权利要求1所述的系统,其特征在于,
当所述终端设备和所述源站均不支持国密协议时,所述国密请求通道和所述国密回源通道关闭;
当所述终端设备支持国密协议、所述源站不支持国密协议时,所述国密请求通道开启,所述国密回源通道关闭;
当所述终端设备不支持国密协议、所述源站支持国密协议时,所述国密请求通道关闭,所述国密回源通道开启。
3.根据权利要求1所述的系统,其特征在于,
当所述终端设备和所述源站均支持国密协议时,所述国密请求通道和所述国密回源通道开启;
或者,
当所述终端设备和所述源站均支持国密协议时,所述国密请求通道开启,所述国密回源通道关闭;
或者,
当所述终端设备和所述源站均支持国密协议时,所述国密请求通道和所述国密回源通道关闭。
4.根据权利要求1所述的系统,其特征在于,
当所述终端设备和所述源站均支持国密协议、且所述代理节点为多个、各所述代理节点与所述源站之间开启国际回源通道时,分批次将多个代理节点中的代理节点与源站之间的回源通道切换为国密回源通道。
5.根据权利要求1所述的系统,其特征在于,
当所述终端设备和所述源站均支持国密协议、且所述代理节点为多个、各所述代理节点与所述源站之间开启国密回源通道时,分批次将多个代理节点中的代理节点与源站之间的回源通道切换为国际回源通道。
6.一种HTTPS请求的传输方法,其特征在于,应用于代理节点,所述方法包括:
接收HTTPS请求;
根据所述代理节点的第一配置信息,确定所述代理节点与源站之间的目标回源通道,所述第一配置信息用于指示是否开启国密回源通道,所述代理节点用于在终端设备和源站之间建立网络传输通道,所述网络传输通道包括回源通道,所述回源通道包括国密回源通道和国际回源通道;
通过所述目标回源通道向源站发送所述HTTPS请求。
7.根据权利要求6所述的方法,其特征在于,所述根据所述代理节点的第一配置信息,确定目标回源通道,包括:
当所述第一配置信息指示开启国密回源通道时,确定所述目标回源通道为国密回源通道;
当所述第一配置信息指示关闭国密回源通道时,确定所述目标回源通道为国际回源通道。
8.根据权利要求6所述的方法,其特征在于,所述网络传输通道还包括请求通道,所述请求通道包括国际请求通道和国密请求通道,所述接收HTTPS请求之后,还包括:
根据第二配置信息确定HTTPS响应,所述第二配置信息用于指示是否开启国密请求通道;
向所述终端设备发送所述HTTPS响应,以使得所述终端设备根据所述HTTPS响应确定下次发送的HTTP请求的目标请求通道。
9.根据权利要求6所述的方法,其特征在于,所述接收HTTPS请求之后,还包括:
确定所述HTTPS请求的协议类型;
根据所述协议类型确定证书型号和/或加密算法套件;
根据所述证书型号和/或所述加密算法套件确定HTTPS响应;
向所述终端设备发送所述HTTPS响应,以使得所述终端设备根据所述HTTPS响应确定下次发送的HTTP请求的目标请求通道。
10.根据权利要求6-9任一项所述的方法,其特征在于,所述接收HTTP请求之前,还包括:
接收来自终端设备的启动请求,所述启动请求携带接口标识,所述启动请求为国际HTTPS请求;
当所述接口标识为预设接口标识时,确定所述代理节点与所述终端设备之间的请求通道是否支持国密HTTPS传输;
向所述终端设备发送启动响应,所述启动响应用于指示所述代理节点是否支持国密HTTPS传输,以使得所述终端设备根据所述启动响应确定所述HTTPS请求的协议类型。
11.根据权利要求10所述的方法,其特征在于,所述向所述终端设备发送启动响应之后,确定所述HTTPS请求的协议类型之前,还包括:
确定所述代理节点与所述终端设备之间是否开启国密请求通道;
向所述终端设备发送建联响应。
12.根据权利要求11所述的方法,其特征在于,
当所述HTTPS请求为国际HTTPS请求、所述请求通道开启国密HTTPS传输时,所述建联响应用于指示在所述代理节点和所述终端设备之间成功开启国际请求通道。
13.根据权利要求11所述的方法,其特征在于,
当所述HTTPS请求为国密HTTPS请求、所述请求通道开启国密HTTPS传输时,所述建联响应用于指示在所述代理节点和所述终端设备之间成功开启国密请求通道。
14.根据权利要求11所述的方法,其特征在于,
当所述HTTPS请求为国密HTTPS请求、所述请求通道关闭国密HTTPS传输时,所述建联响应用于指示在所述代理节点和所述终端设备之间未成功建立国密请求通道。
15.根据权利要求11所述的方法,其特征在于,
当所述HTTPS请求为国际HTTPS请求、所述请求通道关闭国密HTTPS传输时,所述建联响应用于指示在所述代理节点和所述终端设备之间成功开通国际请求通道。
16.一种HTTPS请求的传输装置,其特征在于,所述装置集成在代理节点上,所述装置包括:
接收模块,用于接收HTTPS请求;
处理模块,用于根据所述代理节点的第一配置信息,确定所述代理节点与源站之间的目标回源通道,所述第一配置信息用于指示是否开启国密回源通道,所述代理节点用于在终端设备和源站之间建立网络传输通道,所述网络传输通道包括回源通道,所述回源通道包括国密回源通道和国际回源通道;
发送模块,用于通过所述目标回源通道向源站发送所述HTTPS请求。
17.一种电子设备,包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时使得所述电子设备实现如权利要求6至15任一所述的方法。
18.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求6至15任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210021924.4A CN114553957B (zh) | 2022-01-10 | 2022-01-10 | 兼容国密和国际https传输的业务系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210021924.4A CN114553957B (zh) | 2022-01-10 | 2022-01-10 | 兼容国密和国际https传输的业务系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114553957A true CN114553957A (zh) | 2022-05-27 |
| CN114553957B CN114553957B (zh) | 2024-05-24 |
Family
ID=81670529
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210021924.4A Active CN114553957B (zh) | 2022-01-10 | 2022-01-10 | 兼容国密和国际https传输的业务系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114553957B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115021919A (zh) * | 2022-06-30 | 2022-09-06 | 湖北天融信网络安全技术有限公司 | Ssl协商方法、装置、设备及计算机可读存储介质 |
| CN115208635A (zh) * | 2022-06-17 | 2022-10-18 | 北京启明星辰信息安全技术有限公司 | 一种国密ssl通信代理模块及其非侵入式改造系统的方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104580189A (zh) * | 2014-12-30 | 2015-04-29 | 北京奇虎科技有限公司 | 一种安全通信系统 |
| CN106230782A (zh) * | 2016-07-20 | 2016-12-14 | 腾讯科技(深圳)有限公司 | 一种基于内容分发网络的信息处理方法及装置 |
| WO2017161081A1 (en) * | 2016-03-16 | 2017-09-21 | Affirmed Networks, Inc. | Systems and methods for intelligent transport layer security |
| CN109067803A (zh) * | 2018-10-10 | 2018-12-21 | 深信服科技股份有限公司 | 一种ssl/tls加解密通信方法、装置及设备 |
| CN109257349A (zh) * | 2018-09-14 | 2019-01-22 | 北京天融信网络安全技术有限公司 | 一种单ssl服务支持多协议的方法及装置 |
| CN110768988A (zh) * | 2019-10-28 | 2020-02-07 | 杭州迪普科技股份有限公司 | 一种建立ssl vpn隧道的方法及装置 |
| CN113572740A (zh) * | 2021-06-30 | 2021-10-29 | 长沙证通云计算有限公司 | 一种基于国密的云管理平台认证加密方法 |
-
2022
- 2022-01-10 CN CN202210021924.4A patent/CN114553957B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104580189A (zh) * | 2014-12-30 | 2015-04-29 | 北京奇虎科技有限公司 | 一种安全通信系统 |
| WO2017161081A1 (en) * | 2016-03-16 | 2017-09-21 | Affirmed Networks, Inc. | Systems and methods for intelligent transport layer security |
| CN106230782A (zh) * | 2016-07-20 | 2016-12-14 | 腾讯科技(深圳)有限公司 | 一种基于内容分发网络的信息处理方法及装置 |
| CN109257349A (zh) * | 2018-09-14 | 2019-01-22 | 北京天融信网络安全技术有限公司 | 一种单ssl服务支持多协议的方法及装置 |
| CN109067803A (zh) * | 2018-10-10 | 2018-12-21 | 深信服科技股份有限公司 | 一种ssl/tls加解密通信方法、装置及设备 |
| CN110768988A (zh) * | 2019-10-28 | 2020-02-07 | 杭州迪普科技股份有限公司 | 一种建立ssl vpn隧道的方法及装置 |
| CN113572740A (zh) * | 2021-06-30 | 2021-10-29 | 长沙证通云计算有限公司 | 一种基于国密的云管理平台认证加密方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115208635A (zh) * | 2022-06-17 | 2022-10-18 | 北京启明星辰信息安全技术有限公司 | 一种国密ssl通信代理模块及其非侵入式改造系统的方法 |
| CN115208635B (zh) * | 2022-06-17 | 2023-05-16 | 北京启明星辰信息安全技术有限公司 | 一种国密ssl通信代理模块及其非侵入式改造系统的方法 |
| CN115021919A (zh) * | 2022-06-30 | 2022-09-06 | 湖北天融信网络安全技术有限公司 | Ssl协商方法、装置、设备及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114553957B (zh) | 2024-05-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108401011B (zh) | 内容分发网络中握手请求的加速方法、设备及边缘节点 | |
| CN109347835B (zh) | 信息传输方法、客户端、服务器以及计算机可读存储介质 | |
| CN110380852B (zh) | 双向认证方法及通信系统 | |
| US11303431B2 (en) | Method and system for performing SSL handshake | |
| CN113099443B (zh) | 设备认证方法、装置、设备和系统 | |
| CN107483383B (zh) | 一种数据处理方法、终端、后台服务器及存储介质 | |
| US20150172064A1 (en) | Method and relay device for cryptographic communication | |
| WO2014138494A1 (en) | Secure session capability using public-key cryptography without access to the private key | |
| CN102315945A (zh) | 基于私有协议的统一身份认证方法 | |
| CN114553957B (zh) | 兼容国密和国际https传输的业务系统和方法 | |
| CN114338844B (zh) | 一种客户端服务器之间的跨协议通信方法及装置 | |
| US11750387B2 (en) | End-to-end encryption for sessionless communications | |
| CN112714053A (zh) | 通信连接方法及装置 | |
| CN110690969A (zh) | 一种多方协同完成双向ssl/tls认证的方法和系统 | |
| CN114553480B (zh) | 跨域单点登录方法、装置、电子设备及可读存储介质 | |
| CN114173328A (zh) | 密钥交换方法、装置、电子设备 | |
| KR102121399B1 (ko) | 로컬 정보 취득 방법, 장치 및 시스템 | |
| CN108989302B (zh) | 一种基于密钥的opc代理连接系统和连接方法 | |
| CN113163399A (zh) | 一种终端与服务器的通信方法和装置 | |
| JP2014147039A (ja) | 暗号通信装置、代行サーバ、暗号通信システム、暗号通信装置プログラム及び代行サーバプログラム | |
| CN116248268A (zh) | 国密握手请求的处理方法、设备及可读存储介质 | |
| CN113722726B (zh) | 基于软硬件协同的加解密方法及系统 | |
| CN112235320B (zh) | 一种基于密码的视联网组播通信方法及装置 | |
| CN114793178A (zh) | 配网方法和装置 | |
| CN114039723A (zh) | 一种共享密钥的生成方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |