[发明专利]基于端口转发超文本传输协议的认证鉴权方法

说明书

本发明公开了基于端口转发超文本传输协议的认证鉴权方法，具体包括如下步骤：101)预处理步骤、102)HTTPS请求判断步骤、103)响应步骤；本发明提供了一种流程设计简单合理，系统消耗小的基于端口转发超文本传输协议的认证鉴权方法。

技术领域

本发明涉及流量监控领域，更具体的说，它涉及基于端口转发超文本传输协议的认证鉴权方法。

背景技术

目前的流量监控，使用专业设备或者带广播功能的交换机、集线器收集局域网中的tcp/upd信息。使用libcap,tcpdump,等工具捕获网络数据，然后将数据包在wireshark或者其他工具中进行进一步分析。

存在以下问题：

1，如果遇到TLS加密的请求，除非能够提供源站的加密密钥，否则无法对加密的网络数据包做解析。

2，数据包抓取与过滤依赖于tcpdump等命令接口，无法有效控制广播的范围，如果在正常的局域网办公，这样的网络环境会影响正常网络使用。

3，高级的监听方案需要的设备非常昂贵，且很难定制，部署成本和开发成本都很高。

4，监听机需要实时开启，如果监听机离线，可能导致网络波动甚至不可用。

发明内容

本发明克服了现有技术的不足，提供了一种流程设计简单合理，系统消耗小的基于端口转发超文本传输协议的认证鉴权方法。

为了解决上述技术问题，本发明的技术方案如下：

基于端口转发超文本传输协议的认证鉴权方法，具体包括如下步骤：

101)预处理步骤：建立动态证书签发中心，通过iptables转发指定IP/Mac地址，发送目前域名所有的80/443请求至路由器；

102)HTTPS请求判断步骤：路由器收到请求后进行解析判断，如果请求为HTTP请求则由路由器通过HTTP包分析工具继续进行监听和解密后的明文，同步发送给终端用户和服务端，再进入响应步骤；

如果请求为HTTPS请求，并根据需要通过动态证书签发中心生成证书；由路由器代为发起HTTPS请求，其获取终端用户请求的内容，并使用证书构造HTTPS消息，同步发送给终端用户和服务端，在进入响应步骤；其中，将记录整个HTTPS请求过程与响应内容保存到本地，并把响应结果写入用户的请求中；

103)响应步骤：服务端和终端用户正常使用网络，进行相应的响应，并获取写入的本地文件，分析截获的数据结果。

进一步的，动态生成证书采用使用用户信任的根证书，以生成动态子证书，且子证书采用预制一批域名证书存放在相关路径。

进一步的，证书构造HTTPS消息采用TLS加密。

本发明相比现有技术优点在于：

本发明只监听指定端口和协议，不影响其他网络，不影响原有路由器的使用和性能。本发明将完整支持TLS加密。本发明通过指向服务器域名的请求最终由路由器发起，等于屏蔽了用户与服务器端的正常连接，全部由路由器接管，但用户与服务器端均无影响，以达到系统消耗小，可以自监听指定IP，指定端口。如果没有监听机，也不影响正常使用。

附图说明

图1为本发明的结构图；

图2为本发明的流程图。

具体实施方式

下面结合附图和具体实施方式对本发明进一步说明。

如图1所示，基于端口转发超文本传输协议的认证鉴权方法，具体步骤如下：