CN115242766A - 一种基于二层网桥的https透明网关的方法 - Google Patents

Abstract

本发明涉及一种基于二层网桥的HTTPS透明网关的方法，包括：客户端向服务器发起TCP连接请求；HTTPS透明网关通过网桥模块获取该连接并接收为本地数据包；网桥模块从中过滤443端口的报文，并交由HTTPS服务模块；客户端与HTTPS服务模块建立TCP连接，并发送HTTPS请求；HTTPS服务模块收到请求后伪造TCP源地址为客户端真实地址，对数据进行处理并使用HTTP协议转发给服务器；服务器收到请求后向TCP源地址为客户端的地址返回数据包；HTTPS透明网关通过网桥模块截获该数据包并接收为本地数据包；网桥模块从中过滤80端口的报文，并交由HTTPS服务模块；HTTPS服务模块在对数据处理后使用HTTPS协议将其返给客户端。本发明在不改变网络结构的基础上，提供可靠性高、可用性强的证书配置服务。

Description

一种基于二层网桥的HTTPS透明网关的方法

技术领域

本发明属于网络通讯技术领域，尤其涉及一种基于二层网桥的HTTPS透明网关的方法。

背景技术

HTTPS，全称是Hyper Text Transfer Protocol Secure，即超文本传输安全协议。因其基础是SSL协议，又常被称为HTTP over SSL。企业在启用HTTPS时需要先到证书认证中心（Certificate Authority，CA）或证书供应商处申请SSL证书，拿到证书后再在服务器上进行配置。

现今企业在部署服务器时，传统方案是直接在后端应用服务器上安装HTTPS证书配置HTTPS服务，然而，不同的部署环境所支持的证书格式也不同，需要执行相应的格式转换，增加了部署过程的复杂度。此外，为提高网络安全性，自2020年9月1日起，全球CA机构颁发数字证书的有效期最长为1年，主流浏览器也不再信任1年期以上的证书。这一改变对于用户来说，尤其是采购多张证书、部署不同环境的企业用户而言，每年都需要重复进行一系列繁琐工作，非常容易出现管理错误、业务访问中断等问题导致客户流失，进一步影响损害企业形象。此外，也会造成后端应用服务器浪费大量的计算资源用于HTTPS加钥密运算，造成资源浪费。

对于以上问题，当前主流的解决方案是使用前置HTTPS网关来管理所有需要使用HTTPS的服务，对其中涉及到的SSL证书进行更新和替换。在此过程中，用户仅需要和前置HTTPS网关通信，前置HTTPS网关再和后端服务器通信。但这种传统的前置HTTPS网关往往需要在网关上配置好各域名与后端服务器的对应关系，当应用服务器数量多，站点域名多时，对管理成本要求也比较高。而且，当前置HTTPS网关设备发生掉电、停机或者故障时，会造成服务器服务中止。

发明内容

鉴于以上技术的不足，本发明的目的在于提供一种基于二层网桥的HTTPS透明网关的方法，用以解决上述背景技术中存在的问题。

为实现上述目的，本发明的技术解决方案如下：

一种基于二层网桥的HTTPS透明网关的方法，包括以下步骤：

步骤1：客户端通过访问Web服务器网址向Web服务器端发起目标端口为443的TCP连接请求；

步骤2：HTTPS透明网关通过网桥模块在数据链路层获取该连接，并将数据包接收为本地数据包；

步骤3：该网桥模块从本地数据包中过滤443端口的报文，并交由网关上的HTTPS服务模块进行处理；

步骤4：该HTTPS服务模块通过与客户端进行握手建立起TCP连接；

步骤5：TCP连接完成后，该客户端向该网关HTTPS服务模块发送HTTPS请求；

步骤6：该HTTPS服务模块接收到客户端请求后通过伪造TCP源地址作为客户端真实地址的方式，将数据进行处理并使用HTTP协议转发给后端Web服务器；

步骤7：后端Web应用服务器收到数据请求后，向TCP源地址为客户端的地址返回数据包；

步骤8：HTTPS透明网关通过网桥模块在数据链路层截获该数据包，并将数据包接收为本地数据包；

步骤9：该网关网桥模块从本地数据包中过滤80端口的报文，并交由网关HTTPS服务模块进行处理；

步骤10：该HTTPS服务模块在完成数据处理后，使用HTTPS协议将数据返回给客户端。

优选地，所述的HTTPS透明网关通过网桥模块获取该连接，并将数据包接收为本地数据包，具体还包括：

HTTPS透明网关串联在线路中；

HTTPS透明网关捕获客户端发出的TCP连接请求。

优选地，所述的HTTPS透明网关通过网桥模块在数据链路层获取该连接，并将数据包接收为本地数据包，具体包括以下步骤：

HTTPS透明网关串联在线路中；

HTTPS透明网关捕获客户端发出的TCP连接请求。

优选地，所述的该HTTPS服务模块接收到客户端请求后通过伪造TCP源地址作为客户端真实地址的方式，将数据进行处理并使用HTTP协议转发给后端Web服务器，具体还包括以下步骤：

HTTPS服务模块与客户端完成HTTPS握手后，将数据解析为HTTP协议；

通过客户端IP数据包中的目标地址做为目标源服务器地址，使用客户端IP数据包中的源地址做为源地址向后端Web服务器发起TCP请求；

后端Web服务器获取到客户端真实的地址。

优选地，所述的后端Web应用服务器收到数据请求后，向TCP源地址为客户端的地址返回数据包，还包括以下步骤：

后端Web应用服务器收到数据请求；

后端应用网关读取TCP源地址；

后端应用网关对TCP源地址是客户端的地址进行回复，返回数据包。

优选地，所述的该HTTPS服务模块在完成数据处理后，使用HTTPS协议将数据返回给客户端，具体包括以下步骤：

该HTTPS服务模块在收到后端Web服务器返回的数据；

该HTTPS服务模块通过匹配此数据与请求的对应关系关联到对应的客户端HTTPS请求，完成数据处理；

该HTTPS服务模块使用HTTPS协议根据对应的HTTPS通道回复数据给客户端。

与当前流行的解决技术相比，本发明解决了由于证书签发规则改变以及企业用户应用的服务器集群系统引起的繁杂重复的证书配置工作，在不改变网络结构的基础上，统一管理所有需要使用HTTPS的服务，以减轻证书的操作和管理负担，避免服务中断，提供可靠性高、可用性强的证书配置服务。

附图说明

图1为本发明实施例提供的一种基于二层网桥的HTTPS透明网关的方法的基本流程示意图。

图2为基于本发明实施例的客户端、HTTPS透明网关和Web应用服务器相互联系的流程图。

具体实施方式

以下结合附图对本发明的做进一步描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

本发明实施例提供的是一种基于二层网桥的HTTPS透明网关的方法。该技术方法涉及三个角色的交互，分别是客户端、HTTPS透明网关、Web应用服务器。HTTPS透明网关是客户端和Web应用服务器之间的连接枢纽。

具体地，客户端用于发起TCP连接和HTTPS请求以及响应相关请求和信息。在本发明的一个实施例中，客户端包括：应用程序或者浏览器。

具体地，HTTPS透明网关用于建立TCP连接和HTTP请求以及响应相关请求和信息。

具体地，Web应用服务器用于提供HTTP服务，与HTTP透明网关进行连接。

如图2所示，图中给出的是本发明的一种基于二层网桥的HTTPS透明网关的方法，具体流程如下：

步骤1：客户端通过访问Web服务器网址向Web服务器端发起目标端口为443的TCP连接请求；

在本申请实施例中，当用户需要访问一个网址时，是通过在客户端（浏览器）输入网址发起访问；

输入相应的网址时，客户端（浏览器）会根据网址进行地址解析；

客户端（浏览器）请求DNS服务器，通过DNS服务器获取对应域名的IP；

通过IP地址找到对应的服务器后，客户端（浏览器）向服务器的Web程序443端口发起TCP连接请求。

步骤2：HTTPS透明网关通过网桥模块在数据链路层获取该连接，并将数据包接收为本地数据包；

具体包括以下步骤：

HTTPS透明网关串联在线路中；

HTTPS透明网关捕获客户端发出的TCP连接请求。

步骤3：该网桥模块从本地数据包中过滤443端口的报文，并交由网关上的HTTPS服务模块进行处理。

步骤4：该HTTPS服务模块通过与客户端进行握手建立起TCP连接。

步骤5：TCP连接完成后，该客户端向该网关HTTPS服务模块发送HTTPS请求。

步骤6：该HTTPS服务模块接收到客户端请求后通过伪造TCP源地址作为客户端真实地址的方式，将数据进行处理并使用HTTP协议转发给后端Web服务器；

具体包括以下步骤：

HTTPS服务模块与客户端完成HTTPS握手后，将数据解析为HTTP协议；

通过客户端IP数据包中的目标地址做为目标源服务器地址，使用客户端IP数据包中的源地址做为源地址向后端Web服务器发起TCP请求；

后端Web服务器获取到客户端真实的地址。

步骤7：后端Web应用服务器收到数据请求后，向TCP源地址为客户端的地址返回数据包；

具体包括以下步骤：

后端Web应用服务器收到数据请求；

后端应用网关读取TCP源地址；

后端应用网关对TCP源地址是客户端的地址进行回复，返回数据包。

步骤8：HTTPS透明网关通过网桥模块在数据链路层截获该数据包，并将数据包接收为本地数据包；

具体包括以下步骤：

HTTPS透明网关串联在线路中；

HTTPS透明网关捕获Web服务器的回复包数据。

步骤9：该网关网桥模块从本地数据包中过滤80端口的报文，并交由网关HTTPS服务模块进行处理。

步骤10：该HTTPS服务模块在完成数据处理后，使用HTTPS协议将数据返回给客户端；

具体包括以下步骤：

HTTPS服务模块在收到后端Web服务器返回的数据；

该HTTPS服务模块通过匹配此数据与请求的对应关系关联到对应的客户端HTTPS请求，完成数据处理；

该HTTPS服务模块使用HTTPS协议根据对应的HTTPS通道回复数据给客户端。

假设企业A需要对集群服务中涉及到的SSL证书进行更新和替换。本实施例中，客户端是某一浏览器，Web应用服务器可以是任一类型的Web服务器。

以上，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此。对于熟悉本技术领域的相关人员来说，在本发明提出的技术范围内，可自然而然地想到各种修改和变化，这些改变都应涵盖在本发明的保护范围之内。

Claims (5)

1.一种基于二层网桥的HTTPS透明网关的方法，其特征在于，包括以下步骤：

步骤1：客户端通过访问Web服务器网址向Web服务器端发起目标端口为443的TCP连接请求；

步骤2：HTTPS透明网关通过网桥模块在数据链路层获取该连接，并将数据包接收为本地数据包；

步骤3：该网桥模块从本地数据包中过滤443端口的报文，并交由网关上的HTTPS服务模块进行处理；

步骤4：该HTTPS服务模块通过与客户端进行握手建立起TCP连接；

步骤5：TCP连接完成后，该客户端向该网关HTTPS服务模块发送HTTPS请求；

步骤6：该HTTPS服务模块接收到客户端请求后通过伪造TCP源地址作为客户端真实地址的方式，将数据进行处理并使用HTTP协议转发给后端Web服务器；

步骤7：后端Web应用服务器收到数据请求后，向TCP源地址为客户端的地址返回数据包；

步骤8：HTTPS透明网关通过网桥模块在数据链路层截获该数据包，并将数据包接收为本地数据包

步骤9：该网关网桥模块从本地数据包中过滤80端口的报文，并交由网关HTTPS服务模块进行处理；

步骤10：该HTTPS服务模块在完成数据处理后，使用HTTPS协议将数据返回给客户端。

2.根据权利要求1所述的基于二层网桥的HTTPS透明网关的方法，其特征在于，所述的HTTPS透明网关通过网桥模块获取该连接，并将数据包接收为本地数据包，具体还包括以下步骤：

HTTPS透明网关串联在线路中；

HTTPS透明网关捕获客户端发出的TCP连接请求。

3.根据权利要求1所述的基于二层网桥的HTTPS透明网关的方法，其特征在于，所述的该HTTPS服务模块接收到客户端请求后通过伪造TCP源地址作为客户端真实地址的方式，将数据进行处理并使用HTTP协议转发给后端Web服务器，具体还包括以下步骤：

HTTPS服务模块与客户端完成HTTPS握手后，将数据解析为HTTP协议；

通过客户端IP数据包中的目标地址做为目标源服务器地址，使用客户端IP数据包中的源地址做为源地址向后端Web服务器发起TCP请求；

后端Web服务器获取到客户端真实的地址。

4.根据权利要求1所述的基于二层网桥的HTTPS透明网关的方法，其特征在于，所述的后端Web应用服务器收到数据请求后，向TCP源地址为客户端的地址返回数据包，具体还包括以下步骤：

后端Web应用服务器收到数据请求；

后端应用网关读取TCP源地址；

后端应用网关对TCP源地址是客户端的地址进行回复，返回数据包。

5.根据权利要求1所述的基于二层网桥的HTTPS透明网关的方法，其特征在于，所述的该HTTPS服务模块在完成数据处理后，使用HTTPS协议将数据返回给客户端，具体包括以下步骤：

该HTTPS服务模块在收到后端Web服务器返回的数据；

该HTTPS服务模块通过匹配此数据与请求的对应关系关联到对应的客户端HTTPS请求，完成数据处理；

该HTTPS服务模块使用HTTPS协议根据对应的HTTPS通道回复数据给客户端。

Images