一种SSL/TLS代理方法、装置、设备及存储介质制造方法及图纸

本发明专利技术公开了一种SSL/TLS代理方法、装置、设备及存储介质。该方法包括：识别数据是否满足降级容错规则库中的规则；当数据满足所述降级容错规则库中的任一规则时，将SSL/TLS连接代理模式降级为透传模式/TCP代理模式，并基于透传模式/TCP代理模式将数据进行传输。本发明专利技术对于匹配降级容错特征库的数据流量做降级处理，通过透传模式/TCP模式自动旁路SSL/TLS代理，从而避免移动终端的应用因SSL/TLS代理劫持失败而导致无法访问互联网的问题，提高SSL/TLS代理连接的成功率，也提高SSL/TLS代理的整体处理性能。

An SSL/TLS Agent Method, Device, Device and Storage Media

The invention discloses an SSL/TLS proxy method, device, device and storage medium. The method includes: identifying whether the data satisfies the rules in the downgraded fault-tolerant rule base; when the data satisfies any of the rules in the downgraded fault-tolerant rule base, downgrading the SSL/TLS connection proxy mode to the pass-through mode/TCP proxy mode, and transmitting the data based on the pass-through mode/TCP proxy mode. The invention degrades the data flow matching degraded fault-tolerant feature database, automatically bypasses the SSL/TLS proxy through the transmission mode/TCP mode, thus avoiding the problem that the application of mobile terminal can not access the Internet due to the failure of the SSL/TLS proxy hijacking, improving the success rate of the connection of the SSL/TLS proxy proxy, and improving the overall processing performance of the SSL/TLS proxy proxy.

【技术实现步骤摘要】
一种SSL/TLS代理方法、装置、设备及存储介质
本专利技术涉及移动通信
，特别是涉及一种SSL/TLS代理方法、装置、设备及存储介质。
技术介绍
近年来，在分组域移动通讯网络中，基于SSL(SecureSocketLayer，安全套接层)/TLS(TransportLayerSecurity，传输层安全)协议的流量占比越来越大。电信运营商在互联网网关设备上部署SSL/TLS代理，对SSL/TLS数据进行劫持解密。SSL/TLS代理需要通过伪造服务器证书进而实现劫持解密的目的。但是，对于客户端，尤其是移动终端的应用程序，通常采用证书钉扎(Pinning)验证技术对服务器证书进行签名验证，从而对抗SSL/TLS代理的劫持行为。因此，SSL/TLS代理无法对采用此类技术的数据进行劫持解密，致使移动终端应用程序无法正常访问互联网。
技术实现思路
本专利技术提供一种SSL/TLS代理方法、装置、设备及存储介质，用以解决现有技术中SSL/TLS代理无法对应用程序的数据进行劫持解密的问题。为实现上述专利技术目的，本专利技术采用下述的技术方案：依据本专利技术的一个方面，提供一种SSL/TLS代理方法，包括：识别数据是否满足降级容错规则库中的规则；当所述数据满足所述降级容错规则库中的规则时，将SSL/TLS连接代理模式降级为透传模式/TCP代理模式，并基于透传模式/TCP代理模式将所述数据流进行传输。可选的，所述降级容错规则库包括：动态规则库和/或预置静态规则库。可选的，在识别数据是否满足降级容错规则库中的规则时，根据预设的规则识别优先级依序对所述数据进行识别。可选的，所述降级容错规则库中的规则至少包括以下任一种信息：服务器IP地址、服务器IP地址与端口的组合或者服务器DNS域名。可选的，所述将SSL/TLS连接代理模式降级为透传模式/TCP代理模式，包括：当所述规则中包括服务器IP地址、或者服务器IP地址与端口组合时，将SSL/TLS连接代理模式降级为透传模式；或者，当所述规则中包括服务器DNS域名时，将SSL/TLS连接代理模式降级为TCP代理模式；或者，当所述规则中包括服务器DNS域名，获取DNS域名与服务器IP地址的映射关系；当所述服务器IP地址包含在某一种规则中时，将SSL/TLS连接代理模式降级为透传模式。可选的，所述方法还包括：当所述数据不满足所述降级容错规则库中的规则时，与客户端进行SSL/TLS协商；当与客户端协商失败，根据失败告警异常信息生成降级容错规则，对所述动态规则库进行更新。可选的，所述失败告警异常信息至少包括以下任一种：SSL警报级别、SSL警报描述、SSL/TLS/TCP协议失败消息、SSL/TLS/TCP异常信息、TCP连接统计信息。可选的，对所述动态规则库进行更新，包括：若某条降级容错规则的作用域为系统级，则当检测所述规则出现次数达到预设阈值后，将该条规则更新至所述动态规则库中；若某条降级容错规则的作用域为用户级，直接将该条规则更新至所述动态规则库中。可选的，所述方法还包括：根据预置的生存期调整规则对所述降级容错规则库中规则的生存期进行调整。依据本专利技术的一个方面，提供一种SSL/TLS代理装置，包括动态降级模块，用于：识别数据是否满足降级容错规则库中的规则；当所述数据满足所述降级容错规则库中的任一规则时，将SSL/TLS连接代理模式降级为透传模式/TCP代理模式，并基于透传模式/TCP代理模式将所述数据流进行传输。可选的，所述降级容错规则库包括：动态规则库和/或预置静态规则库。可选的，所述动态降级模块，具体用于：在识别数据是否满足降级容错规则库中的规则时，根据预设的规则识别优先级依序对所述数据进行识别。可选的，所述降级容错规则库中的规则至少包括以下任一种信息：服务器IP地址、服务器IP地址与端口的组合或者服务器DNS域名。可选的，所述动态降级模块，具体用于：当所述规则中包括服务器IP地址、或者服务器IP地址与端口组合时，将SSL/TLS连接代理模式降级为透传模式；或者，当所述规则中包括服务器DNS域名时，将SSL/TLS连接代理模式降级为TCP代理模式；或者，当所述规则中包括服务器DNS域名，获取DNS域名与服务器IP地址的映射关系；当所述服务器IP地址包含在某一种规则中时，将SSL/TLS连接代理模式降级为透传模式。可选的，所述装置还包括：代理服务端模块，用于当所述数据不满足所述降级容错规则库中的任一规则时，与客户端进行SSL/TLS协商；代理客户端模块，用于与服务端进行SSL/TLS协商；动态检测模块，用于当代理服务端模块与客户端协商失败或者代理客户端模块与服务端协商失败，从失败告警异常信息检测不可劫持代理的服务器信息，以根据所述服务器信息生成降级容错规则，对所述动态规则库进行更新。可选的，所述失败告警异常信息至少包括以下任一种：SSL警报子协议的警报信息、SSL/TLS/TCP协议的失败、异常信息。可选的，所述动态检测模块，具体用于：若某条降级容错规则的作用域为系统级，则当检测所述规则出现次数达到预设阈值后，将该条规则更新至所述动态规则库中；若某条降级容错规则的作用域为用户级，直接将该条规则更新至所述动态规则库中。可选的，所述动态降级模块还用于：通过根据预置的生存期调整规则对所述降级容错规则库中规则的生存期进行调整。依据本专利技术的一个方面，提供一种SSL/TLS代理设备，包括：处理器和存储器；所述存储器用于存储计算机指令，所述处理器用于运行所述存储器存储的计算机指令，以实现上述所述的SSL/TLS代理方法。依据本专利技术的一个方面，提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现上述所述的SSL/TLS代理方法。本专利技术有益效果如下：本专利技术所提供的SSL/TLS代理方法、装置、设备及存储介质，对于匹配降级容错特征库的数据流量做降级处理，通过透传模式/TCP模式自动旁路SSL/TLS代理，从而提高SSL/TLS代理连接的成功率，避免移动终端的应用因SSL/TLS代理劫持后，导致无法访问互联网的问题，提高SSL/TLS代理的整体处理性能。上述说明仅是本专利技术技术方案的概述，为了能够更清楚了解本专利技术的技术手段，而可依照说明书的内容予以实施，并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本专利技术的具体实施方式。附图说明为了更清楚地说明本专利技术实施例或现有中的方案，下面将对实施例或现有描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术一实施例中SSL/TLS代理方法的流程图；图2为本专利技术一实施例中SSL/TLS代理装置的原理框图；图3为本专利技术一实施例中SSL/TLS代理设备的原理框图。具体实施方式以下结合附图以及实施例，对本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本专利技术，并不用于限定本专利技术。本专利技术实施例所提供的一种SSL/TLS代理方法，如图1所示，具体包括：S101，识别数据是否满足降级容错规则库中的规则；S102，当数据满足所述降级容错本文档来自技高网...

【技术保护点】
1.一种SSL/TLS代理方法，其特征在于，包括：识别数据是否满足降级容错规则库中的规则；当所述数据满足所述降级容错规则库中的规则时，将SSL/TLS连接代理模式降级为透传模式/TCP代理模式，并基于透传模式/TCP代理模式将所述数据流进行传输。

【技术特征摘要】
1.一种SSL/TLS代理方法，其特征在于，包括：识别数据是否满足降级容错规则库中的规则；当所述数据满足所述降级容错规则库中的规则时，将SSL/TLS连接代理模式降级为透传模式/TCP代理模式，并基于透传模式/TCP代理模式将所述数据流进行传输。2.根据权利要求1所述的方法，其特征在于，所述降级容错规则库包括：动态规则库和/或预置静态规则库。3.根据权利要求2所述的方法，其特征在于，在识别数据是否满足降级容错规则库中的规则时，根据预设的规则识别优先级依序对所述数据进行识别。4.根据权利要求2所述的方法，其特征在于，所述降级容错规则库中的规则至少包括以下任一种信息：服务器IP地址、服务器IP地址与端口的组合或者服务器DNS域名。5.根据权利要求2所述的方法，其特征在于，所述将SSL/TLS连接代理模式降级为透传模式/TCP代理模式，包括：当所述规则中包括服务器IP地址、或者服务器IP地址与端口组合时，将SSL/TLS连接代理模式降级为透传模式；或者，当所述规则中包括服务器DNS域名时，将SSL/TLS连接代理模式降级为TCP代理模式；或者，当所述规则中包括服务器DNS域名，获取DNS域名与服务器IP地址的映射关系；当所述服务器IP地址包含在某一种规则中时，将SSL/TLS连接代理模式降级为透传模式。6.根据权利要求2所述的方法，其特征在于，所述方法还包括：当所述数据不满足所述降级容错规则库中的规则时，与客户端进行SSL/TLS协商；当与客户端协商失败，根据失败告警异常信息生成降级容错规则，对所述动态规则库进行更新。7.根据权利要求3所述的方法，其特征在于，所述失败告警异常信息至少包括以下任一种：SSL警报级别、SSL警报描述、SSL/TLS/TCP协议失败消息、SSL/TLS/TCP异常信息、TCP连接统计信息。8.根据权利要求3所述的方法，其特征在于，对所述动态规则库进行更新，包括：若某条降级容错规则的作用域为系统级，则当检测所述规则出现次数达到预设阈值后，将该条规则更新至所述动态规则库中；若某条降级容错规则的作用域为用户级，直接将该条规则更新至所述动态规则库中。9.根据权利要求1所述的方法，其特征在于，所述方法还包括：根据预置的生存期调整规则对所述降级容错规则库中规则的生存期进行调整。10.一种SSL/TLS代理装置，其特征在于，包括动态降级模块，用于：识别数据是否满足降级容错规则库中的规则；当所述数据满足所述降级容错规则库中的任一规则时，将SSL/TLS连接代理模式降级为透传模式/TCP代理模式，并基于透传模式/TCP代理模式将所述数据流进行传输。11.根据权利要...

【专利技术属性】
技术研发人员：宋科，李华光，刘西亮，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：广东,44