[发明专利]一种HTTP转HTTPS双向透明代理的方法和装置

权利要求书

1.一种HTTP转HTTPS双向透明代理的方法，其特征在于，包括：

代理系统收到客户端发送的第一HTTP请求后，解析HTTP头部字段，获得Host字段，把Host字段和内置的域名列表进行比对，并存储所述第一HTTP请求内容；其中，所述域名列表，用于存储满足HTTPS重定向的域名；

若发现Host域名在列表中，代理系统向服务器发起目标端口为443的TCP握手，以便建立第一TCP通道和通过所述第一TCP通道进行TLS协商过程；其中，所述TCP握手中使用的客户端的IP地址；

代理系统通过TLS协商建立的第一TLS通道，向服务器发送第一HTTPS请求；其中，所述第一HTTPS请求中携带所述第一HTTP请求内容经过加密后的内容；

代理系统接收服务器返回的第一HTTPS响应，代理系统删除第一HTTPS响应的HTTP头部字段中cookie字段的secure属性，以及HSTS中包含的Strict-Transport-Security字段后，并将第一HTTPS响应内容解密为明文后，透传给客户端。

2.根据权利要求1所述的HTTP转HTTPS双向透明代理的方法，其特征在于，若发现Host域名不在列表中，所述方法还包括：

代理系统向服务器发起目标端口为80的TCP握手，以便建立第二TCP通道；

代理系统通过所述第二TCP通道，向服务器发送第二HTTP请求，所述第二HTTP请求中携带所述第一HTTP请求内容；

代理系统接收服务器返回的第二HTTP响应，并检查所述第二HTTP响应是否是HTTPS重定向；

若发现是HTTPS重定向，则代理系统把Host加入域名列表中，并丢弃掉所述第二HTTP响应，同时向服务器发送TCP Reset报文，关闭所述第一TCP通道。

3.根据权利要求2所述的HTTP转HTTPS双向透明代理的方法，其特征在于，所述方法还包括：

代理系统向服务器发起目标端口为443的TCP握手，以便建立第二TCP通道和通过所述第二TCP通道进行TLS协商过程；其中，所述TCP握手中使用的客户端的IP地址；

代理系统通过TLS协商建立的第二TLS通道，向服务器发送第二HTTPS请求；其中，所述第二HTTPS请求中携带所述第二HTTP请求内容经过加密后的内容；

代理系统接收服务器返回的第二HTTPS响应，代理系统删除第二HTTPS响应的HTTP头部字段中cookie字段的secure属性，以及HSTS中包含的Strict-Transport-Security字段后，并将第二HTTPS响应内容解密为明文后，透传给客户端。

4.根据权利要求2所述的HTTP转HTTPS双向透明代理的方法，其特征在于，检查所述第二HTTP响应是否是HTTPS重定向，具体包括：

检查所述第二HTTP响应的状态码是否在300～399之间，并且，检查重定向的目标地址是重定向前Host的HTTPS版本；其中，根据HTTP协议规范，此区间的响应状态码表示重定向。

5.根据权利要求2所述的HTTP转HTTPS双向透明代理的方法，其特征在于，若发现不是HTTPS重定向，所述方法还包括：

代理系统将接收到的第二HTTP响应透传给所述客户端。

6.根据权利要求1-5任一所述的HTTP转HTTPS双向透明代理的方法，其特征在于，代理系统包括：数据包收发模块、虚拟网卡模块、数据包路由模块、代理程序模块，具体的：

数据包收发模块，用于底层的报文收发，由数据包接收模块和数据包发送模块组成，数据包接收模块负责从物理网卡接收数据包，转发到虚拟网卡上；

虚拟网卡模块为工作在传输层的标准的TUN虚拟网卡，用于将收到的IP数据包经由操作系统的协议栈进行解析；

数据包路由模块，用于将目标报文路由到代理程序模块去处理，数据包路由模块中包括iptables规则配置和策略路由配置。