过滤HTTPS传输内容的系统、方法及装置与流程

本发明涉及一种过滤HTTPS传输内容的系统及方法，特别涉及一种能过滤HTTPS传输内容的路由器。

背景技术：

使用HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer，透过安全嵌套层传输的超文本传输协议)访问站点是一种安全性较高的访问方法，访问过程中使用SSL(Secure Socket Layer，安全套接层)协议对数据进行加密，从而保证数据的安全性。但是，加密后会导致网关设备无法对HTTPS的站点进行过滤。

技术实现要素：

有鉴于此，有必要提出一种过滤HTTPS传输内容的系统、方法及装置。

一种过滤透过安全嵌套层传输的超文本传输协议HTTPS传输内容的系统，所述系统包括：一通信控制模块，用于接收一客户端发送的域名解析请求并转发至一域名解析服务器；所述通信控制模块还用于接收所述域名解析服务器发送的解析结果，生成与解析结果中一个或多个实体IP地址对应的一个或多个虚拟IP地址，将该一个或多个虚拟IP地址添加至解析结果中并发送至所述客户端，同时生成所述一个或多个虚拟IP地址与所述一个或多个实体IP地址的对应关系表并保存；一判断模块，用于在接收到所述客户端发送的HTTPS访问请求时获取所述HTTPS访问请求的目标IP地址并判断该目标IP地址是否为一虚拟IP地址；一查询模块，用于当所述HTTPS访问请求的目标IP地址为一虚拟IP地址时，从所述对应关系表中查询与该虚拟IP地址对应的实体IP地址，所述通信控制模块将该 HTTPS访问请求发送至与该实体IP地址对应的HTTPS服务器；及一过滤模块，用于接收所述HTTPS服务器发送的HTTPS请求结果，对接收到的HTTPS请求结果进行解析及过滤并将该虚拟IP地址作为源IP地址发送过滤后的HTTPS请求结果至客户端。

一种过滤透过安全嵌套层传输的超文本传输协议HTTPS传输内容的方法，所述方法包括：转发步骤：接收一客户端发送的域名解析请求并转发至一域名解析服务器；处理步骤：接收所述域名解析服务器发送的解析结果，生成与解析结果中一个或多个实体IP地址对应的一个或多个虚拟IP地址，将该一个或多个虚拟IP地址添加至解析结果中并发送至所述客户端，同时生成所述一个或多个虚拟IP地址与所述一个或多个实体IP地址的对应关系表并保存；判断步骤：在接收到所述客户端发送的HTTPS访问请求时获取所述HTTPS访问请求的目标IP地址并判断该目标IP地址是否为一虚拟IP地址；查询步骤：当所述HTTPS访问请求的目标IP地址为一虚拟IP地址时，从所述对应关系表中查询与该虚拟IP地址对应的实体IP地址，并将该HTTPS访问请求发送至与该实体IP地址对应的HTTPS服务器；及过滤步骤：接收所述HTTPS服务器发送的HTTPS请求结果，对接收到的HTTPS请求结果进行解析及过滤并将该虚拟IP地址作为源IP地址发送过滤后的HTTPS请求结果至客户端。

一种过滤透过安全嵌套层传输的超文本传输协议HTTPS传输内容的装置，所述装置包括一通信单元、一存储器以及至少一处理器。所述处理器包括：一通信控制模块，用于将所述通信单元接收到的一客户端发送的域名解析请求并转发至一域名解析服务器；所述通信控制模块还用于获取所述域名解析服务器发送的解析结果，生成与解析结果中一个或多个实体IP地址对应的一个或多个虚拟IP地址，将该一个或多个虚拟IP地址添加至解析结果中并发送至所述客户端，同时生成所述一个或多个虚拟IP地址与所述一个或多个实体IP地址的对应关系表并保存至所述存储器；一判断模块，用于在接收到所述客户端发送的HTTPS访问请求时获取所述HTTPS访问请求的目标IP地址并判断该目标IP地址是否为一虚拟IP地址；一查询模块，用于当所述HTTPS访问请求的目标IP地址为一虚 拟IP地址时，从所述对应关系表中查询与该虚拟IP地址对应的实体IP地址，所述通信控制模块控制所述通信单元将该HTTPS访问请求发送至与该实体IP地址对应的HTTPS服务器；及一过滤模块，用于接收所述HTTPS服务器发送的HTTPS请求结果，对接收到的HTTPS请求结果进行解析及过滤并控制所述通信单元将该虚拟IP地址作为源IP地址发送过滤后的HTTPS请求结果至客户端。

本发明的过滤HTTPS传输内容的装置在域名解析解析结果中添加与实体IP地址对应的虚拟IP地址并发送至请求该域名解析解析的客户端，同时生成一实体IP地址及其虚拟IP地址的对应关系表并保存；当接收到客户端发送的目标IP地址为一虚拟IP地址的HTTPS请求时，在对应关系表中查询该虚拟IP地址对应的实体IP地址并以HTTPS代理的形式向该对应的实体IP地址发送请求。如此一来，本发明的装置能够在接收到HTTPS请求结果时对该结果进行解析及过滤，并将过滤后的HTTPS请求结果以该虚拟IP地址作为源IP地址的形式发送至客户端。

附图说明

图1是本发明一实施方式中的过滤HTTPS传输内容的装置的应用环境示意图。

图2是本发明一实施方式中的过滤HTTPS传输内容的装置的结构示意图。

图3是本发明一实施方式中的过滤HTTPS传输内容的方法的流程图。

主要元件符号说明

过滤HTTPS传输内容的装置 100

过滤HTTPS传输内容的系统 10

通信控制模块 11

探测模块 12

判断模块 13

查询模块 14

过滤模块 15

通信单元 20

存储器 30

处理器 40

客户端 200

域名解析服务器 300

HTTPS服务器 400

过滤HTTPS传输内容的方法 3

步骤 S301～S308

如下具体实施方式将结合上述附图进一步说明本发明。

具体实施方式

如图1所示，是本发明一实施方式中的过滤HTTPS传输内容的装置100(以下简称装置100)的应用环境示意图。所述装置100与至少一客户端200、域名解析服务器300以及HTTPS服务器400分别实现通信连接，用于实现客户端200与HTTPS服务器400之间HTTPS传输内容的过滤。

如图2所示，是本发明一实施方式中的过滤HTTPS传输内容的装置100的结构示意图。该装置100包括，但不限于，通信单元20、存储器30以及处理器40。所述通信单元20用于实现装置100与所述客户端200、域名解析服务器300及HTTPS服务器400之间的通信。所述存储器30用于存储所述装置100的相关数据。所述处理器40中运行有一过滤HTTPS传输内容的系统10(以下简称系统10)并控制所述装置100工作。在本实施方式中，所述装置100为一路由器。

所述系统10用于在客户端200请求域名解析时，在域名解析服务器300发送的解析结果中添加虚拟IP地址并发送至客户端200，并在客户端200发送目标IP地址为虚拟IP地址的HTTPS访问请求时以HTTPS代理的形式将HTTPS访问请求转发至相应的HTTPS服务器400，从而实现对 HTTPS服务器400发送的HTTPS请求结果进行解析过滤并发送至客户端200。

本实施方式中，所述系统10包括通信控制模块11、探测模块12、判断模块13、查询模块14以及过滤模块15。本发明所称的模块是指一种能够被装置100的处理器40所执行并且能够完成特定功能的一系列程序指令段。关于各模块的功能将在下图3的流程图中具体描述。

如图3所示，是本发明一实施方式中的过滤HTTPS传输内容的方法3的流程图。根据不同需求，该流程图步骤的顺序可以改变，某些步骤可以省略。

步骤S301，所述通信控制模块11接收一客户端200发送的域名解析请求并转发至一域名解析服务器300。所述域名解析服务器300响应该域名解析请求并将解析结果发送至所述装置100。

步骤S302，所述探测模块12探测所述域名解析服务器300发送的解析结果中的实体IP地址是否支持HTTPS传输协议。如果解析结果中的实体IP地址均不支持HTTPS传输协议，直接结束流程；如果解析结果中有实体IP地址支持HTTPS传输协议，执行步骤S303。

在本实施方式中，所述探测模块12发送一握手信号至解析结果中的每一实体IP地址的443端口(用于HTTPS服务的网页浏览端口)，并通过判断第一预设时间内是否收到回复信号判断实体IP地址是否支持HTTPS传输协议。具体地，在发送一握手信号至一实体IP地址的443端口后，如果第一预设时间内收到该实体IP地址的回复信号，说明该实体IP地址的443端口开放，即该实体IP地址支持HTTPS传输协议；如果第一预设时间内没有收到该实体IP地址的回复信号，说明该实体IP地址的443端口不开放，及该实体IP地址不支持HTTPS传输协议。

步骤S303，所述通信控制模块11生成与解析结果中支持HTTPS传输协议的一个或多个实体IP地址一一对应的一个或多个虚拟IP地址，将该一个或多个虚拟IP地址添加至解析结果中并发送至所述客户端200，同时生成所述一个或多个虚拟IP地址与所述一个或多个实体IP地址的对应关系表并保存于所述存储器30中。所述生成虚拟IP地址属于现有技术范畴，在 此不再赘述。

在本发明的一些实施方式中，所述步骤S302可以省略，所述步骤S303为：所述通信控制模块11生成与解析结果中所有实体IP地址一一对应的虚拟IP地址，将该虚拟IP地址添加至解析结果中并发送至所述客户端200，同时生成所述虚拟IP地址与所述实体IP地址的对应关系表并保存于所述存储器30中。

步骤S304，所述判断模块13在接收到所述客户端200发送的HTTPS访问请求时获取所述HTTPS访问请求的目标IP地址并判断该目标IP地址是否为一虚拟IP地址。如果该目标IP地址为一虚拟IP地址，执行步骤S305；如果该目标IP地址不为一虚拟IP地址，所述通信控制模块11直接将该HTTPS访问请求的数据包丢弃，根据域名解析机制，所述客户端200会继续尝试将解析结果中的其他IP地址作为目标IP地址发送HTTPS访问请求，循环执行步骤S304，直至所述HTTPS访问请求的目标IP地址为一虚拟IP地址为止。所述虚拟IP地址属于一特定的IP地址段，判断IP地址是否为虚拟IP地址属于现有技术范畴，在此不再赘述。

步骤S305，所述查询模块14根据所述目标虚拟IP地址从所述对应关系表中查询与该虚拟IP地址对应的实体IP地址。所述通信控制模块11将该HTTPS访问请求发送至与该实体IP地址对应的HTTPS服务器400。也就是说，所述装置100在接收到客户端200发送的HTTPS访问请求后将自身作为请求源向该实体IP地址对应的HTTPS服务器400发送该HTTPS访问请求，所述HTTPS服务器400响应该HTTPS访问请求并将请求结果发送至所述装置100。

步骤S306，所述过滤模块15对所述HTTPS服务器400发送的请求结果进行解析及过滤，并将客户端200发送的HTTPS访问请求的目标虚拟IP地址作为响应HTTPS访问请求的源IP地址发送过滤后的HTTPS请求结果至所述客户端200。所述装置100作为HTTPS访问请求的请求源，在接收到该HTTPS访问请求对应的请求结果后对其进行解析及过滤，并将客户端200发送的HTTPS访问请求的目标虚拟IP地址作为响应HTTPS访问请求的源IP地址发送过滤后的HTTPS请求结果至所述客户端200。所述HTTPS访 问请求的请求源对接收到的请求结果进行解析及过滤属于现有技术范畴，在此不再赘述。

步骤S307，所述通信控制模块11更新该HTTPS访问请求的目标虚拟IP地址及其对应的实体IP地址的使用记录。

步骤S308，所述判断模块13判断所述对应关系表中是否有实体IP地址及其对应的虚拟IP地址的使用记录超过第二预设时间未更新，如果有实体IP地址及其对应的虚拟IP地址的使用记录超过第二预设时间未更新，则将该实体IP地址及其对应的虚拟IP地址的对应关系从该对应关系表中删除，从而避免消耗过多系统资源。

本发明的过滤HTTPS传输内容的装置100在域名解析服务器300发送的域名解析解析结果中添加与实体IP地址对应的虚拟IP地址并发送至请求该域名解析解析的客户端200，同时生成一实体IP地址及其虚拟IP地址的对应关系表并保存；当接收到客户端200发送的目标IP地址为一虚拟IP地址的HTTPS请求时，在对应关系表中查询该虚拟IP地址对应的实体IP地址并以HTTPS代理的形式向该实体IP地址对应的HTTPS服务器400发送请求。如此一来，本发明的装置100能够在接收到HTTPS请求结果时对该结果进行解析及过滤，并将过滤后的HTTPS请求结果以该虚拟IP地址作为源IP地址的形式发送至客户端200，从而实现对客户端200向HTTPS服务器400发送HTTPS访问请求时对请求结果进行过滤，实现了更全面的内容过滤功能，保证HTTPS访问的安全性。

最后应该说明的是，以上实施例仅用于说明本发明的技术方案而限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或等同替换，而不脱离本发明技术方案的精神和范围。