本發(fā)明公開的基于TLS協(xié)議SNI機制實現(xiàn)自定義代理隧道協(xié)議的方法，包括以下步驟：1)客戶端向代理服務(wù)端發(fā)送握手請求要求SSL握手，并通過服務(wù)器擴展項來指明真實服務(wù)器地址及協(xié)議類型；2)代理服務(wù)端對服務(wù)器擴展項進行解析，并對解析結(jié)果的類型進行檢測，若符合要求，則將該連接打上標(biāo)記，并將解析結(jié)果進行存儲；3)客戶端向代理服務(wù)端發(fā)起HTTP業(yè)務(wù)請求；4)代理服務(wù)端檢測該HTTP業(yè)務(wù)請求所在的連接是否存在標(biāo)記，若存在，則對訪問目標(biāo)進行修改，將解析結(jié)果與當(dāng)前請求的路徑地址進行拼接得到真實的服務(wù)地址。本發(fā)明實現(xiàn)基于TLS協(xié)議SNI機制，解決了原有自定義代理隧道協(xié)議帶來協(xié)議復(fù)雜性問題。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)通訊協(xié)議技術(shù)領(lǐng)域，尤其涉及一種基于TLS協(xié)議SNI機制實現(xiàn)自定義代理隧道協(xié)議的方法。

背景技術(shù)

在WEB世界中，代理技術(shù)被廣泛使用，其中正向代理便是代理技術(shù)中的一種，所謂正向代理是指代理服務(wù)器位于客戶端和真實服務(wù)器之間，為了從原始服務(wù)器獲取內(nèi)容，客戶端向代理服務(wù)器發(fā)送請求并指定真實服務(wù)器地址，然后由代理服務(wù)器向真實服務(wù)器轉(zhuǎn)發(fā)請求并將獲取的響應(yīng)內(nèi)容返回給客戶端。然而使用正向代理要求客戶端必須顯式設(shè)置代理服務(wù)器地址，從用戶使用角度而言，較為不便。

透明正向代理可以解決上述問題，透明正向代理可以根據(jù)預(yù)先定義的策略，由代理服務(wù)器對客戶端請求地址進行改寫來得到真實服務(wù)器地址。因此，客戶端根本不需要知道代理服務(wù)器的存在，所以也就避免進行顯式設(shè)置的煩瑣。

而在實現(xiàn)具備HTTPS功能的透明正向代理時，預(yù)先定義的策略要求SSL客戶端能夠通知代理服務(wù)器最終所需連接的真實服務(wù)器地址。傳統(tǒng)的方法是實現(xiàn)一種基于HTTP的自定義代理隧道協(xié)議(TUNNEL協(xié)議)，在SSL握手開始之前(也即ClientHello之前)進行通訊，其流程具體為：參見圖1，首先SSL客戶端向SSL服務(wù)端發(fā)送TUNNEL請求，SSL服務(wù)端接收到TUNNEL請求后響應(yīng)，并將TUNNEL響應(yīng)返回給SSL客戶端；接著，SSL客戶端向SSL服務(wù)端發(fā)送ClientHello，SSL服務(wù)端接收到ClientHello后進行響應(yīng)，將ServerHello返回給SSL客戶端；最后，SSL客戶端與SSL服務(wù)端之間進行后續(xù)的SSL握手過程。然而，這種實現(xiàn)方式強行在TCP握手和SSL握手之間插入了非標(biāo)準(zhǔn)的自定義協(xié)議類型，進一步增加了協(xié)議復(fù)雜性。而協(xié)議復(fù)雜性的增加，不僅給編寫無bug代碼增加了難度，而且容易導(dǎo)致用戶和后期維護者產(chǎn)生困惑。同時，由于增加了問題排查涉及面，也不利于使用過程中問題的排查。因此，對這種自定義代理隧道協(xié)議實現(xiàn)方式的改進是非常必要的。

TLS協(xié)議于2006年引入了Server Name Indication(SNI)機制，用于解決以下問題：SSL客戶端向SSL服務(wù)器發(fā)出的ClientHello請求中并不包含服務(wù)器的域名，這種情況下一臺SSL服務(wù)器只能使用一張站點證書，對外只能提供一個網(wǎng)站服務(wù)。否則，SSL服務(wù)器會分不清應(yīng)該向SSL客戶端提供哪一個網(wǎng)站的數(shù)字證書。但這對于使用虛擬主機的用戶來說很不方便。比如：一臺服務(wù)器中有兩個虛擬主機，分別是alipay.com和baidu.com，若SSL客戶端不能指明要訪問的主機名，則服務(wù)器無法判斷應(yīng)該回復(fù)支付寶證書還是百度證書。通過SNI機制，SSL客戶端可以在ClientHello請求中通過ServerName擴展項來指明所要連接的服務(wù)器的HostName。也就是說通過ServerName這個擴展項，可以讓服務(wù)器在眾多虛擬主機中找到各自對應(yīng)的站點證書。

對于客戶端告知代理服務(wù)器所需訪問的真實服務(wù)器地址的需求，SNI機制已具雛形。但標(biāo)準(zhǔn)的ServerName值類型為HostName，默認(rèn)只能根據(jù)HostName在多臺服務(wù)器間進行區(qū)分。而對代理服務(wù)器來說，若要使用SNI機制作為客戶端通告代理服務(wù)器所需訪問真實地址的手段，還需要解決以下問題：

1、支持多種協(xié)議類型，代理服務(wù)器不僅僅是http代理，對于其他代理類型也要提供代理支持；

2、支持非默認(rèn)的協(xié)議端口號，由于網(wǎng)絡(luò)安全和端口號資源被占用等原因，相當(dāng)一部分的應(yīng)用服務(wù)器在對外提供服務(wù)時使用了非默認(rèn)的協(xié)議端口號。