The invention discloses an SSL/TLS proxy method, device, device and storage medium. The method includes: identifying whether the data satisfies the rules in the downgraded fault-tolerant rule base; when the data satisfies any of the rules in the downgraded fault-tolerant rule base, downgrading the SSL/TLS connection proxy mode to the pass-through mode/TCP proxy mode, and transmitting the data based on the pass-through mode/TCP proxy mode. The invention degrades the data flow matching degraded fault-tolerant feature database, automatically bypasses the SSL/TLS proxy through the transmission mode/TCP mode, thus avoiding the problem that the application of mobile terminal can not access the Internet due to the failure of the SSL/TLS proxy hijacking, improving the success rate of the connection of the SSL/TLS proxy proxy, and improving the overall processing performance of the SSL/TLS proxy proxy.
【技术实现步骤摘要】
一种SSL/TLS代理方法、装置、设备及存储介质
本专利技术涉及移动通信
,特别是涉及一种SSL/TLS代理方法、装置、设备及存储介质。
技术介绍
近年来,在分组域移动通讯网络中,基于SSL(SecureSocketLayer,安全套接层)/TLS(TransportLayerSecurity,传输层安全)协议的流量占比越来越大。电信运营商在互联网网关设备上部署SSL/TLS代理,对SSL/TLS数据进行劫持解密。SSL/TLS代理需要通过伪造服务器证书进而实现劫持解密的目的。但是,对于客户端,尤其是移动终端的应用程序,通常采用证书钉扎(Pinning)验证技术对服务器证书进行签名验证,从而对抗SSL/TLS代理的劫持行为。因此,SSL/TLS代理无法对采用此类技术的数据进行劫持解密,致使移动终端应用程序无法正常访问互联网。
技术实现思路
本专利技术提供一种SSL/TLS代理方法、装置、设备及存储介质,用以解决现有技术中SSL/TLS代理无法对应用程序的数据进行劫持解密的问题。为实现上述专利技术目的,本专利技术采用下述的技术方案:依据本专利技术的一个方面,提供一种SSL/TLS代理方法,包括:识别数据是否满足降级容错规则库中的规则;当所述数据满足所述降级容错规则库中的规则时,将SSL/TLS连接代理模式降级为透传模式/TCP代理模式,并基于透传模式/TCP代理模式将所述数据流进行传输。可选的,所述降级容错规则库包括:动态规则库和/或预置静态规则库。可选的,在识别数据是否满足降级容错规则库中的规则时,根据预设的规则识别优先级依序对所述数据进行识别。可选的, ...
【技术保护点】
1.一种SSL/TLS代理方法,其特征在于,包括:识别数据是否满足降级容错规则库中的规则;当所述数据满足所述降级容错规则库中的规则时,将SSL/TLS连接代理模式降级为透传模式/TCP代理模式,并基于透传模式/TCP代理模式将所述数据流进行传输。
【技术特征摘要】
1.一种SSL/TLS代理方法,其特征在于,包括:识别数据是否满足降级容错规则库中的规则;当所述数据满足所述降级容错规则库中的规则时,将SSL/TLS连接代理模式降级为透传模式/TCP代理模式,并基于透传模式/TCP代理模式将所述数据流进行传输。2.根据权利要求1所述的方法,其特征在于,所述降级容错规则库包括:动态规则库和/或预置静态规则库。3.根据权利要求2所述的方法,其特征在于,在识别数据是否满足降级容错规则库中的规则时,根据预设的规则识别优先级依序对所述数据进行识别。4.根据权利要求2所述的方法,其特征在于,所述降级容错规则库中的规则至少包括以下任一种信息:服务器IP地址、服务器IP地址与端口的组合或者服务器DNS域名。5.根据权利要求2所述的方法,其特征在于,所述将SSL/TLS连接代理模式降级为透传模式/TCP代理模式,包括:当所述规则中包括服务器IP地址、或者服务器IP地址与端口组合时,将SSL/TLS连接代理模式降级为透传模式;或者,当所述规则中包括服务器DNS域名时,将SSL/TLS连接代理模式降级为TCP代理模式;或者,当所述规则中包括服务器DNS域名,获取DNS域名与服务器IP地址的映射关系;当所述服务器IP地址包含在某一种规则中时,将SSL/TLS连接代理模式降级为透传模式。6.根据权利要求2所述的方法,其特征在于,所述方法还包括:当所述数据不满足所述降级容错规则库中的规则时,与客户端进行SSL/TLS协商;当与客户端协商失败,根据失败告警异常信息生成降级容错规则,对所述动态规则库进行更新。7.根据权利要求3所述的方法,其特征在于,所述失败告警异常信息至少包括以下任一种:SSL警报级别、SSL警报描述、SSL/TLS/TCP协议失败消息、SSL/TLS/TCP异常信息、TCP连接统计信息。8.根据权利要求3所述的方法,其特征在于,对所述动态规则库进行更新,包括:若某条降级容错规则的作用域为系统级,则当检测所述规则出现次数达到预设阈值后,将该条规则更新至所述动态规则库中;若某条降级容错规则的作用域为用户级,直接将该条规则更新至所述动态规则库中。9.根据权利要求1所述的方法,其特征在于,所述方法还包括:根据预置的生存期调整规则对所述降级容错规则库中规则的生存期进行调整。10.一种SSL/TLS代理装置,其特征在于,包括动态降级模块,用于:识别数据是否满足降级容错规则库中的规则;当所述数据满足所述降级容错规则库中的任一规则时,将SSL/TLS连接代理模式降级为透传模式/TCP代理模式,并基于透传模式/TCP代理模式将所述数据流进行传输。11.根据权利要...
【专利技术属性】
技术研发人员:宋科,李华光,刘西亮,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。