[发明专利]一种流量报文转发方法、装置，中间设备及存储介质

说明书

本申请提供一种流量报文转发方法、装置，中间设备及存储介质。该方法包括：接收终端设备发送的握手报文；其中，握手报文携带服务器名称标示；解析握手报文，判断握手报文携带的服务器名称标示是否存储在预设的白名单中；当握手报文携带的服务器名称标示在预设的白名单中，则将终端设备发送的与服务器名称标示对应的流量报文直接转发。通过该方式，可以使得中间设备在接收到终端设备发送的握手报文后，可以先解析握手报文，判断握手报文所携带的服务器名称标示是否存储在预设的白名单，若是，则直接将后续终端设备发送的与服务器名称标示对应的流量报文进行转发，以实现对于做了特殊校验的终端设备也能够正常访问远端网站。

技术领域

本申请涉及通信技术领域，具体而言，涉及一种流量报文转发方法、装置，中间设备及存储介质。

背景技术

为了增加网络系统的安全，负载均衡器等中间设备可以具备SSL(Server NameIndication，服务器名称标示)流量透视镜功能。具备SSL流量透视镜功能的负载均衡器在接收到终端设备的SSL加密流量报文后，会对SSL加密流量报文进行解密，如果解密成功，则将SSL加密流量报文转发至远端网站进行访问。此外，解密成功后，还可以将流量旁路一份做进一步分析。而不具备SSL流量透视镜功能的负载均衡器在接收到流量报文后，均直接进行转发。

通常情况下，终端设备安装了负载均衡器的信任证书后，均可以通过SSL加密流量报文对外发起通话，但是发明人在实际研究中发现，若是终端设备做了特殊校验，比如防止中间人代理，改动报文协议(如将报文协议更改为私有协议)等操作后，可能导致负载均衡器无法对终端设备发送的SSL加密流量报文进行解密，或者出现负载均衡器解密失败的情况，进而使得终端设备无法访问远端网站。

发明内容

本申请实施例的目的在于提供一种流量报文转发方法、装置，中间设备及存储介质，使得即使负载均衡器等中间设备具备SSL流量透视镜功能，也能够令做了特殊校验的终端设备正常访问远端网站。

本发明是这样实现的：

第一方面，本申请实施例提供一种流量报文转发方法，应用于中间设备，所述方法包括：接收终端设备发送的握手报文；其中，所述握手报文携带服务器名称标示；解析所述握手报文，判断所述握手报文携带的所述服务器名称标示是否存储在预设的白名单中；当所述握手报文携带的服务器名称标示在所述预设的白名单中，则将所述终端设备发送的与所述服务器名称标示对应的流量报文直接转发。

在本申请实施例中，中间设备中预先配置有白名单。白名单中存储有服务器名称标示，与白名单中存储的服务器名称标示对应的流量报文无需进行解密操作。通过该方式，可以使得中间设备在接收到终端设备发送的握手报文后，可以先解析出握手报文所携带的服务器名称标示是否存储在预设的白名单，若是，则直接将后续该终端设备发送的与服务器名称标示对应的流量报文进行转发，以实现对于做了特殊校验的终端设备也能够正常访问远端网站。

结合上述第一方面提供的技术方案，在一些可能的实现方式中，所述方法还包括：当所述握手报文携带的服务器名称标示不在所述预设的白名单中，对所述终端设备发送的与所述服务器名称标示对应的流量报文进行解密；若解密成功，则将与所述服务器名称标示对应的流量报文直接转发。

在本申请实施例中，若是握手报文携带的服务器名称标示不在预设的白名单中，则对终端设备发送的与服务器名称标示对应的流量报文进行解密，通过该方式以保证对非白名单的所有流量报文进行解密验证。

结合上述第一方面提供的技术方案，在一些可能的实现方式中，所述方法还包括：若解密失败，基于与所述服务器名称标示对应的流量报文的解密失败情况，确定是否将所述服务器名称标示添加至所述预设的白名单中。

在本申请实施例中，若中间设备对终端设备发送的与服务器名称标示对应的流量报文解密失败，可以根据解密失败情况确定是否要将解密失败的服务器名称标示添加至预设的白名单中，通过该方式可以实现对白名单的更新。