CN115242766A - 一种基于二层网桥的https透明网关的方法 - Google Patents
一种基于二层网桥的https透明网关的方法 Download PDFInfo
- Publication number
- CN115242766A CN115242766A CN202210923259.8A CN202210923259A CN115242766A CN 115242766 A CN115242766 A CN 115242766A CN 202210923259 A CN202210923259 A CN 202210923259A CN 115242766 A CN115242766 A CN 115242766A
- Authority
- CN
- China
- Prior art keywords
- https
- client
- data
- data packet
- service module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 238000012545 processing Methods 0.000 claims abstract description 15
- 238000005242 forging Methods 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 claims description 3
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 238000012546 transfer Methods 0.000 abstract description 2
- 239000002699 waste material Substances 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于二层网桥的HTTPS透明网关的方法,包括:客户端向服务器发起TCP连接请求;HTTPS透明网关通过网桥模块获取该连接并接收为本地数据包;网桥模块从中过滤443端口的报文,并交由HTTPS服务模块;客户端与HTTPS服务模块建立TCP连接,并发送HTTPS请求;HTTPS服务模块收到请求后伪造TCP源地址为客户端真实地址,对数据进行处理并使用HTTP协议转发给服务器;服务器收到请求后向TCP源地址为客户端的地址返回数据包;HTTPS透明网关通过网桥模块截获该数据包并接收为本地数据包;网桥模块从中过滤80端口的报文,并交由HTTPS服务模块;HTTPS服务模块在对数据处理后使用HTTPS协议将其返给客户端。本发明在不改变网络结构的基础上,提供可靠性高、可用性强的证书配置服务。
Description
技术领域
本发明属于网络通讯技术领域,尤其涉及一种基于二层网桥的HTTPS透明网关的方法。
背景技术
HTTPS,全称是Hyper Text Transfer Protocol Secure,即超文本传输安全协议。因其基础是SSL协议,又常被称为HTTP over SSL。企业在启用HTTPS时需要先到证书认证中心(Certificate Authority,CA)或证书供应商处申请SSL证书,拿到证书后再在服务器上进行配置。
现今企业在部署服务器时,传统方案是直接在后端应用服务器上安装HTTPS证书配置HTTPS服务,然而,不同的部署环境所支持的证书格式也不同,需要执行相应的格式转换,增加了部署过程的复杂度。此外,为提高网络安全性,自2020年9月1日起,全球CA机构颁发数字证书的有效期最长为1年,主流浏览器也不再信任1年期以上的证书。这一改变对于用户来说,尤其是采购多张证书、部署不同环境的企业用户而言,每年都需要重复进行一系列繁琐工作,非常容易出现管理错误、业务访问中断等问题导致客户流失,进一步影响损害企业形象。此外,也会造成后端应用服务器浪费大量的计算资源用于HTTPS加钥密运算,造成资源浪费。
对于以上问题,当前主流的解决方案是使用前置HTTPS网关来管理所有需要使用HTTPS的服务,对其中涉及到的SSL证书进行更新和替换。在此过程中,用户仅需要和前置HTTPS网关通信,前置HTTPS网关再和后端服务器通信。但这种传统的前置HTTPS网关往往需要在网关上配置好各域名与后端服务器的对应关系,当应用服务器数量多,站点域名多时,对管理成本要求也比较高。而且,当前置HTTPS网关设备发生掉电、停机或者故障时,会造成服务器服务中止。
发明内容
鉴于以上技术的不足,本发明的目的在于提供一种基于二层网桥的HTTPS透明网关的方法,用以解决上述背景技术中存在的问题。
为实现上述目的,本发明的技术解决方案如下:
一种基于二层网桥的HTTPS透明网关的方法,包括以下步骤:
步骤1:客户端通过访问Web服务器网址向Web服务器端发起目标端口为443的TCP连接请求;
步骤2:HTTPS透明网关通过网桥模块在数据链路层获取该连接,并将数据包接收为本地数据包;
步骤3:该网桥模块从本地数据包中过滤443端口的报文,并交由网关上的HTTPS服务模块进行处理;
步骤4:该HTTPS服务模块通过与客户端进行握手建立起TCP连接;
步骤5:TCP连接完成后,该客户端向该网关HTTPS服务模块发送HTTPS请求;
步骤6:该HTTPS服务模块接收到客户端请求后通过伪造TCP源地址作为客户端真实地址的方式,将数据进行处理并使用HTTP协议转发给后端Web服务器;
步骤7:后端Web应用服务器收到数据请求后,向TCP源地址为客户端的地址返回数据包;
步骤8:HTTPS透明网关通过网桥模块在数据链路层截获该数据包,并将数据包接收为本地数据包;
步骤9:该网关网桥模块从本地数据包中过滤80端口的报文,并交由网关HTTPS服务模块进行处理;
步骤10:该HTTPS服务模块在完成数据处理后,使用HTTPS协议将数据返回给客户端。
优选地,所述的HTTPS透明网关通过网桥模块获取该连接,并将数据包接收为本地数据包,具体还包括:
HTTPS透明网关串联在线路中;
HTTPS透明网关捕获客户端发出的TCP连接请求。
优选地,所述的HTTPS透明网关通过网桥模块在数据链路层获取该连接,并将数据包接收为本地数据包,具体包括以下步骤:
HTTPS透明网关串联在线路中;
HTTPS透明网关捕获客户端发出的TCP连接请求。
优选地,所述的该HTTPS服务模块接收到客户端请求后通过伪造TCP源地址作为客户端真实地址的方式,将数据进行处理并使用HTTP协议转发给后端Web服务器,具体还包括以下步骤:
HTTPS服务模块与客户端完成HTTPS握手后,将数据解析为HTTP协议;
通过客户端IP数据包中的目标地址做为目标源服务器地址,使用客户端IP数据包中的源地址做为源地址向后端Web服务器发起TCP请求;
后端Web服务器获取到客户端真实的地址。
优选地,所述的后端Web应用服务器收到数据请求后,向TCP源地址为客户端的地址返回数据包,还包括以下步骤:
后端Web应用服务器收到数据请求;
后端应用网关读取TCP源地址;
后端应用网关对TCP源地址是客户端的地址进行回复,返回数据包。
优选地,所述的该HTTPS服务模块在完成数据处理后,使用HTTPS协议将数据返回给客户端,具体包括以下步骤:
该HTTPS服务模块在收到后端Web服务器返回的数据;
该HTTPS服务模块通过匹配此数据与请求的对应关系关联到对应的客户端HTTPS请求,完成数据处理;
该HTTPS服务模块使用HTTPS协议根据对应的HTTPS通道回复数据给客户端。
与当前流行的解决技术相比,本发明解决了由于证书签发规则改变以及企业用户应用的服务器集群系统引起的繁杂重复的证书配置工作,在不改变网络结构的基础上,统一管理所有需要使用HTTPS的服务,以减轻证书的操作和管理负担,避免服务中断,提供可靠性高、可用性强的证书配置服务。
附图说明
图1为本发明实施例提供的一种基于二层网桥的HTTPS透明网关的方法的基本流程示意图。
图2为基于本发明实施例的客户端、HTTPS透明网关和Web应用服务器相互联系的流程图。
具体实施方式
以下结合附图对本发明的做进一步描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
本发明实施例提供的是一种基于二层网桥的HTTPS透明网关的方法。该技术方法涉及三个角色的交互,分别是客户端、HTTPS透明网关、Web应用服务器。HTTPS透明网关是客户端和Web应用服务器之间的连接枢纽。
具体地,客户端用于发起TCP连接和HTTPS请求以及响应相关请求和信息。在本发明的一个实施例中,客户端包括:应用程序或者浏览器。
具体地,HTTPS透明网关用于建立TCP连接和HTTP请求以及响应相关请求和信息。
具体地,Web应用服务器用于提供HTTP服务,与HTTP透明网关进行连接。
如图2所示,图中给出的是本发明的一种基于二层网桥的HTTPS透明网关的方法,具体流程如下:
步骤1:客户端通过访问Web服务器网址向Web服务器端发起目标端口为443的TCP连接请求;
在本申请实施例中,当用户需要访问一个网址时,是通过在客户端(浏览器)输入网址发起访问;
输入相应的网址时,客户端(浏览器)会根据网址进行地址解析;
客户端(浏览器)请求DNS服务器,通过DNS服务器获取对应域名的IP;
通过IP地址找到对应的服务器后,客户端(浏览器)向服务器的Web程序443端口发起TCP连接请求。
步骤2:HTTPS透明网关通过网桥模块在数据链路层获取该连接,并将数据包接收为本地数据包;
具体包括以下步骤:
HTTPS透明网关串联在线路中;
HTTPS透明网关捕获客户端发出的TCP连接请求。
步骤3:该网桥模块从本地数据包中过滤443端口的报文,并交由网关上的HTTPS服务模块进行处理。
步骤4:该HTTPS服务模块通过与客户端进行握手建立起TCP连接。
步骤5:TCP连接完成后,该客户端向该网关HTTPS服务模块发送HTTPS请求。
步骤6:该HTTPS服务模块接收到客户端请求后通过伪造TCP源地址作为客户端真实地址的方式,将数据进行处理并使用HTTP协议转发给后端Web服务器;
具体包括以下步骤:
HTTPS服务模块与客户端完成HTTPS握手后,将数据解析为HTTP协议;
通过客户端IP数据包中的目标地址做为目标源服务器地址,使用客户端IP数据包中的源地址做为源地址向后端Web服务器发起TCP请求;
后端Web服务器获取到客户端真实的地址。
步骤7:后端Web应用服务器收到数据请求后,向TCP源地址为客户端的地址返回数据包;
具体包括以下步骤:
后端Web应用服务器收到数据请求;
后端应用网关读取TCP源地址;
后端应用网关对TCP源地址是客户端的地址进行回复,返回数据包。
步骤8:HTTPS透明网关通过网桥模块在数据链路层截获该数据包,并将数据包接收为本地数据包;
具体包括以下步骤:
HTTPS透明网关串联在线路中;
HTTPS透明网关捕获Web服务器的回复包数据。
步骤9:该网关网桥模块从本地数据包中过滤80端口的报文,并交由网关HTTPS服务模块进行处理。
步骤10:该HTTPS服务模块在完成数据处理后,使用HTTPS协议将数据返回给客户端;
具体包括以下步骤:
HTTPS服务模块在收到后端Web服务器返回的数据;
该HTTPS服务模块通过匹配此数据与请求的对应关系关联到对应的客户端HTTPS请求,完成数据处理;
该HTTPS服务模块使用HTTPS协议根据对应的HTTPS通道回复数据给客户端。
假设企业A需要对集群服务中涉及到的SSL证书进行更新和替换。本实施例中,客户端是某一浏览器,Web应用服务器可以是任一类型的Web服务器。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此。对于熟悉本技术领域的相关人员来说,在本发明提出的技术范围内,可自然而然地想到各种修改和变化,这些改变都应涵盖在本发明的保护范围之内。
Claims (5)
1.一种基于二层网桥的HTTPS透明网关的方法,其特征在于,包括以下步骤:
步骤1:客户端通过访问Web服务器网址向Web服务器端发起目标端口为443的TCP连接请求;
步骤2:HTTPS透明网关通过网桥模块在数据链路层获取该连接,并将数据包接收为本地数据包;
步骤3:该网桥模块从本地数据包中过滤443端口的报文,并交由网关上的HTTPS服务模块进行处理;
步骤4:该HTTPS服务模块通过与客户端进行握手建立起TCP连接;
步骤5:TCP连接完成后,该客户端向该网关HTTPS服务模块发送HTTPS请求;
步骤6:该HTTPS服务模块接收到客户端请求后通过伪造TCP源地址作为客户端真实地址的方式,将数据进行处理并使用HTTP协议转发给后端Web服务器;
步骤7:后端Web应用服务器收到数据请求后,向TCP源地址为客户端的地址返回数据包;
步骤8:HTTPS透明网关通过网桥模块在数据链路层截获该数据包,并将数据包接收为本地数据包
步骤9:该网关网桥模块从本地数据包中过滤80端口的报文,并交由网关HTTPS服务模块进行处理;
步骤10:该HTTPS服务模块在完成数据处理后,使用HTTPS协议将数据返回给客户端。
2.根据权利要求1所述的基于二层网桥的HTTPS透明网关的方法,其特征在于,所述的HTTPS透明网关通过网桥模块获取该连接,并将数据包接收为本地数据包,具体还包括以下步骤:
HTTPS透明网关串联在线路中;
HTTPS透明网关捕获客户端发出的TCP连接请求。
3.根据权利要求1所述的基于二层网桥的HTTPS透明网关的方法,其特征在于,所述的该HTTPS服务模块接收到客户端请求后通过伪造TCP源地址作为客户端真实地址的方式,将数据进行处理并使用HTTP协议转发给后端Web服务器,具体还包括以下步骤:
HTTPS服务模块与客户端完成HTTPS握手后,将数据解析为HTTP协议;
通过客户端IP数据包中的目标地址做为目标源服务器地址,使用客户端IP数据包中的源地址做为源地址向后端Web服务器发起TCP请求;
后端Web服务器获取到客户端真实的地址。
4.根据权利要求1所述的基于二层网桥的HTTPS透明网关的方法,其特征在于,所述的后端Web应用服务器收到数据请求后,向TCP源地址为客户端的地址返回数据包,具体还包括以下步骤:
后端Web应用服务器收到数据请求;
后端应用网关读取TCP源地址;
后端应用网关对TCP源地址是客户端的地址进行回复,返回数据包。
5.根据权利要求1所述的基于二层网桥的HTTPS透明网关的方法,其特征在于,所述的该HTTPS服务模块在完成数据处理后,使用HTTPS协议将数据返回给客户端,具体包括以下步骤:
该HTTPS服务模块在收到后端Web服务器返回的数据;
该HTTPS服务模块通过匹配此数据与请求的对应关系关联到对应的客户端HTTPS请求,完成数据处理;
该HTTPS服务模块使用HTTPS协议根据对应的HTTPS通道回复数据给客户端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210923259.8A CN115242766A (zh) | 2022-08-02 | 2022-08-02 | 一种基于二层网桥的https透明网关的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210923259.8A CN115242766A (zh) | 2022-08-02 | 2022-08-02 | 一种基于二层网桥的https透明网关的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115242766A true CN115242766A (zh) | 2022-10-25 |
Family
ID=83677307
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210923259.8A Pending CN115242766A (zh) | 2022-08-02 | 2022-08-02 | 一种基于二层网桥的https透明网关的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115242766A (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102546794A (zh) * | 2011-12-30 | 2012-07-04 | 华为技术有限公司 | 浏览器客户端与后端服务器直通的方法、网关和通信系统 |
CN102843391A (zh) * | 2011-06-21 | 2012-12-26 | 中兴通讯股份有限公司 | 一种信息发送方法及网关 |
US20130173782A1 (en) * | 2011-12-29 | 2013-07-04 | Israel Ragutski | Method and system for ensuring authenticity of ip data served by a service provider |
CN104270379A (zh) * | 2014-10-14 | 2015-01-07 | 北京蓝汛通信技术有限责任公司 | 基于传输控制协议的https 代理转发方法及装置 |
CN112954001A (zh) * | 2021-01-18 | 2021-06-11 | 武汉绿色网络信息服务有限责任公司 | 一种http转https双向透明代理的方法和装置 |
CN113810464A (zh) * | 2021-08-12 | 2021-12-17 | 网宿科技股份有限公司 | 访问方法、web缓存代理系统及电子设备 |
-
2022
- 2022-08-02 CN CN202210923259.8A patent/CN115242766A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102843391A (zh) * | 2011-06-21 | 2012-12-26 | 中兴通讯股份有限公司 | 一种信息发送方法及网关 |
US20130173782A1 (en) * | 2011-12-29 | 2013-07-04 | Israel Ragutski | Method and system for ensuring authenticity of ip data served by a service provider |
CN102546794A (zh) * | 2011-12-30 | 2012-07-04 | 华为技术有限公司 | 浏览器客户端与后端服务器直通的方法、网关和通信系统 |
CN104270379A (zh) * | 2014-10-14 | 2015-01-07 | 北京蓝汛通信技术有限责任公司 | 基于传输控制协议的https 代理转发方法及装置 |
CN112954001A (zh) * | 2021-01-18 | 2021-06-11 | 武汉绿色网络信息服务有限责任公司 | 一种http转https双向透明代理的方法和装置 |
CN113810464A (zh) * | 2021-08-12 | 2021-12-17 | 网宿科技股份有限公司 | 访问方法、web缓存代理系统及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10003576B2 (en) | Rule-based routing to resources through a network | |
US7769877B2 (en) | Mobile gateway device | |
US7269848B2 (en) | Method and system for access to development environment of another in a secure zone | |
EP0953248B1 (en) | Automatic configuration for internet access device | |
US8533453B2 (en) | Method and system for configuring a server and dynamically loading SSL information | |
US11120418B2 (en) | Systems and methods for managing a payment terminal via a web browser | |
US20070011733A1 (en) | Unified architecture for remote network access | |
CN104270379A (zh) | 基于传输控制协议的https 代理转发方法及装置 | |
WO2006044820A2 (en) | Rule-based routing to resources through a network | |
CN107613036B (zh) | 实现https透明代理的方法和系统 | |
CN107222561A (zh) | 一种传输层反向代理方法 | |
CN112910903B (zh) | Ssl证书免部署的方法、装置和系统 | |
EP1752014B1 (en) | Supporting a network behind a wireless station | |
WO2018033018A1 (zh) | 一种缩短Android智能POS交易时间的方法及系统 | |
WO2024078208A1 (zh) | 基于ecs协议的域名查询方法及装置、存储介质及设备 | |
Reuther et al. | A model for service-oriented communication systems | |
CN115242766A (zh) | 一种基于二层网桥的https透明网关的方法 | |
JP2003162449A (ja) | アクセス統合管理システム、アクセス統合管理装置及び方法並びにプログラム | |
CN107666426A (zh) | 一种Android平台的IPv6接入系统 | |
US8458782B2 (en) | Authenticated session replication | |
Palakollu et al. | Socket Programming | |
US7111038B2 (en) | Enhancing application server performance by relocating performance-degrading processing | |
KR100427194B1 (ko) | 마이크로소프트 윈도우즈 기반의 네트워크 응용프로그램의기능 확장방법 및 그 시스템 | |
CN110381113A (zh) | 一种服务选择方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |