本發(fā)明公開了一種SSL/TLS代理方法、裝置、設(shè)備及存儲介質(zhì)。該方法包括：識別數(shù)據(jù)是否滿足降級容錯規(guī)則庫中的規(guī)則；當(dāng)數(shù)據(jù)滿足所述降級容錯規(guī)則庫中的任一規(guī)則時，將SSL/TLS連接代理模式降級為透傳模式/TCP代理模式，并基于透傳模式/TCP代理模式將數(shù)據(jù)進行傳輸。本發(fā)明對于匹配降級容錯特征庫的數(shù)據(jù)流量做降級處理，通過透傳模式/TCP模式自動旁路SSL/TLS代理，從而避免移動終端的應(yīng)用因SSL/TLS代理劫持失敗而導(dǎo)致無法訪問互聯(lián)網(wǎng)的問題，提高SSL/TLS代理連接的成功率，也提高SSL/TLS代理的整體處理性能。

技術(shù)領(lǐng)域

本發(fā)明涉及移動通信技術(shù)領(lǐng)域，特別是涉及一種SSL/TLS代理方法、裝置、設(shè)備及存儲介質(zhì)。

背景技術(shù)

近年來，在分組域移動通訊網(wǎng)絡(luò)中，基于SSL（Secure Socket Layer，安全套接層）/TLS（Transport Layer Security，傳輸層安全）協(xié)議的流量占比越來越大。電信運營商在互聯(lián)網(wǎng)網(wǎng)關(guān)設(shè)備上部署SSL/TLS代理，對SSL/TLS數(shù)據(jù)進行劫持解密。SSL/TLS代理需要通過偽造服務(wù)器證書進而實現(xiàn)劫持解密的目的。但是，對于客戶端，尤其是移動終端的應(yīng)用程序，通常采用證書釘扎（Pinning）驗證技術(shù)對服務(wù)器證書進行簽名驗證，從而對抗SSL/TLS代理的劫持行為。因此，SSL/TLS代理無法對采用此類技術(shù)的數(shù)據(jù)進行劫持解密，致使移動終端應(yīng)用程序無法正常訪問互聯(lián)網(wǎng)。

發(fā)明內(nèi)容

本發(fā)明提供一種SSL/TLS代理方法、裝置、設(shè)備及存儲介質(zhì)，用以解決現(xiàn)有技術(shù)中SSL/TLS代理無法對應(yīng)用程序的數(shù)據(jù)進行劫持解密的問題。

為實現(xiàn)上述發(fā)明目的，本發(fā)明采用下述的技術(shù)方案：依據(jù)本發(fā)明的一個方面，提供一種SSL/TLS代理方法，包括：識別數(shù)據(jù)是否攜帶降級容錯規(guī)則庫中的規(guī)則所包含的信息，其中，所述降級容錯規(guī)則庫中的規(guī)則至少包括以下任一種信息：服務(wù)器IP地址、服務(wù)器IP地址與端口的組合或者服務(wù)器DNS域名，每種信息與所述降級容錯規(guī)則庫中的規(guī)則一一對應(yīng)；當(dāng)所述數(shù)據(jù)攜帶所述降級容錯規(guī)則庫中的任一信息時，按照所述數(shù)據(jù)攜帶的信息在所述降級容錯規(guī)則庫中對應(yīng)的規(guī)則，將SSL/TLS連接代理模式降級為透傳模式/TCP代理模式，并基于透傳模式/TCP代理模式將所述數(shù)據(jù)進行傳輸。

可選的，所述降級容錯規(guī)則庫包括：動態(tài)規(guī)則庫和/或預(yù)置靜態(tài)規(guī)則庫。

可選的，在識別數(shù)據(jù)是否攜帶降級容錯規(guī)則庫中的規(guī)則所包含的信息時，根據(jù)預(yù)設(shè)的規(guī)則識別優(yōu)先級依序?qū)λ鰯?shù)據(jù)進行識別。

可選的，所述降級容錯規(guī)則庫中的規(guī)則至少包括以下任一種信息：服務(wù)器IP地址、服務(wù)器IP地址與端口的組合或者服務(wù)器DNS域名。

可選的，所述將SSL/TLS連接代理模式降級為透傳模式/TCP代理模式，包括：

當(dāng)所述規(guī)則中包括服務(wù)器IP地址、或者服務(wù)器IP地址與端口組合時，將SSL/TLS連接代理模式降級為透傳模式；或者，當(dāng)所述規(guī)則中包括服務(wù)器DNS域名時，將SSL/TLS連接代理模式降級為TCP代理模式；或者，當(dāng)所述規(guī)則中包括服務(wù)器DNS域名，獲取DNS域名與服務(wù)器IP地址的映射關(guān)系；當(dāng)所述服務(wù)器IP地址包含在某一種規(guī)則中時，將SSL/TLS連接代理模式降級為透傳模式。

可選的，所述方法還包括：當(dāng)所述數(shù)據(jù)不攜帶所述降級容錯規(guī)則庫中的規(guī)則所包含的信息時，與客戶端進行SSL/TLS協(xié)商；當(dāng)與客戶端協(xié)商失敗，根據(jù)失敗告警異常信息生成降級容錯規(guī)則，對所述動態(tài)規(guī)則庫進行更新。

可選的，所述失敗告警異常信息至少包括以下任一種：SSL警報級別、SSL警報描述、SSL/TLS/TCP協(xié)議失敗消息、SSL/TLS/TCP異常信息、TCP連接統(tǒng)計信息。

可選的，對所述動態(tài)規(guī)則庫進行更新，包括：若某條降級容錯規(guī)則的作用域為系統(tǒng)級，則當(dāng)檢測所述規(guī)則出現(xiàn)次數(shù)達到預(yù)設(shè)閾值后，將該條規(guī)則更新至所述動態(tài)規(guī)則庫中；若某條降級容錯規(guī)則的作用域為用戶級，直接將該條規(guī)則更新至所述動態(tài)規(guī)則庫中。