本公开涉及一种通过SSL负载均衡设备自动识别国密和商密业务的方法和装置,该方法包括:在虚拟服务中配置国密SSL卸载策略、商密SSL卸载策略和负载均衡策略;接收并解析客户端的SSL请求的报文;当判断所述报文为client hello报文时,获取所述client hello报文的SSL协议版本类型;当判断所述SSL协议版本类型为国密SSL报文时,自动对所述客户端的SSL请求实施所述国密SSL卸载策略进行SSL卸载,以及当判断所述SSL协议版本类型为商密SSL报文时,自动对所述客户端的SSL请求实施所述商密SSL卸载策略进行SSL卸载;对所述客户端的SSL请求进行SSL卸载后获得的HTTP报文实施所述负载均衡策略进行负载均衡;将所述HTTP报文向针对所述HTTP报文进行负载均衡后所指定的真实服务器转发以实现负载均衡。转发以实现负载均衡。转发以实现负载均衡。
【技术实现步骤摘要】
通过SSL负载均衡设备自动识别国密和商密业务的方法和装置
[0001]本公开涉及网络安全
,具体而言,涉及一种通过SSL负载均衡设备自动识别国密和商密业务的方法和装置。
技术介绍
[0002]SSL(Secure Sockets Layer,安全套接字协议)及其继任者TLS(Transport Layer Security,传输层安全协议)是为网络通信提供安全及数据完整性的安全协议,其目的是为互联网通信提供安全及数据完整性保障。网景公司(Netscape)在1994年推出首版网页浏览器网景导航者时,推出HTTPS协议,以SSL进行加密,这是SSL的起源。
[0003]借助SSL加密机制,使得涉及敏感信息的互联网服务可利用数据传输加密来增强其安全性,例如电子商务、账单支付、纳税申报、股票与证券交易等线上业务纷纷得以通过互联网实现安全交付。然而,SSL的联机加密运算不可避免会消耗服务器的处理性能,在相同的硬件性能下,处理SSL加密数据所消耗的时间是处理明文数据的5倍。一台服务器启用SSL加密之后,其性能往往只达到原来的20%,其余80%的计算性能都消耗在了SSL的加密运算方面。与日俱增的SSL通信量,将会给网络服务器带来严重的负担。
[0004]在这种情况下,可以将SSL加解密由负载均衡设备来完成。具体而言,客户端到负载均衡设备之间的数据传输采用SSL加密处理,负载均衡设备到后端服务器之间的数据则使用明文传输。由于将在服务器上的证书加解密的功能迁移到了负载均衡设备上,大大降低了服务器的资源消耗。r/>[0005]负载均衡设备部署在企业网络中,当客户端用户通过负载均衡设备访问服务器资源时,需要为商密的客户端请求配置一条提供商密SSL卸载的策略,为使用国密的客户端配置一条提供国密的SSL卸载策略,从而保证商密和国密的客户端均可以通过负载均衡设备完成SSL卸载后,正常访问到服务器资源。
[0006]由于现有方案中,负载均衡设备的一个虚拟服务只能同时提供国密或者商密的SSL卸载,若客户端中既有基于国密协议的又有商密协议的,这种情况下一个虚服务就不能同时和这两种客户端协商,这时候就需要配置一个支持国密的虚拟服务和一个支持商密的虚拟服务。在实际使用中,若客户端既有国密浏览器又有普通浏览器,需要访问不同的虚拟服务VIP。在这种背景下,需要负载均衡的一个虚拟服务自动识别商密和国密,进行SSL卸载。直观上的效果就是,无论国密或者商密的客户端均可以通过一个虚拟服务VIP访问后台服务器。
[0007]因此,需要一种无论国密客户端或者商密客户端均可只通过一个虚拟服务VIP访问后台服务器的通过SSL负载均衡设备自动识别国密和商密业务的方法和装置。
技术实现思路
[0008]有鉴于此,本公开提供一种通过SSL负载均衡设备自动识别国密和商密业务的方
法和装置。根据本公开的一方面,提出一种通过SSL负载均衡设备自动识别国密和商密业务的方法,该方法包括:在虚拟服务中配置国密SSL卸载策略、商密SSL卸载策略和负载均衡策略;接收并解析客户端的SSL请求的报文;当判断所述报文为client hello报文时,获取所述client hello报文的SSL协议版本类型;当判断所述SSL协议版本类型为国密SSL报文时,自动对所述客户端的SSL请求实施所述国密SSL卸载策略进行SSL卸载,以及当判断所述SSL协议版本类型为商密SSL报文时,自动对所述客户端的SSL请求实施所述商密SSL卸载策略进行SSL卸载;对所述客户端的SSL请求进行SSL卸载后获得的HTTP报文实施所述负载均衡策略进行负载均衡;将所述HTTP报文向针对所述HTTP报文进行负载均衡后所指定的真实服务器转发以实现负载均衡。
[0009]根据本公开的通过SSL负载均衡设备自动识别国密和商密业务的方法,其中,所述国密SSL卸载策略包括针对国密SSL报文的国密协商、国密握手以及指定国密加密套件和与所述国际加密套件对应的国密证书;所述商密SSL卸载策略包括针对商密SSL报文的商密协商、商密握手以及指定商密加密套件和与所述商密加密套件对应的商密证书。
[0010]根据本公开的通过SSL负载均衡设备自动识别国密和商密业务的方法,其中,当判断所述报文为client hello报文时,获取所述client hello报文的第5和第6字节;当所述client hello报文的第5和第6字节为十六进制的0101时,判断所述client hello报文的SSL协议版本类型为国密SSL。
[0011]根据本公开的通过SSL负载均衡设备自动识别国密和商密业务的方法,其中,当判断所述报文为client hello报文时,获取所述client hello报文的第5和第6字节;当所述client hello报文的第5和第6字节为十六进制的0301时,判断所述client hello报文的SSL协议版本类型为商密TSL1.1;当所述client hello报文的第5和第6字节为十六进制的0302时,判断所述client hello报文的SSL协议版本类型为商密TSL1.2;当所述client hello报文的第5和第6字节为十六进制的0303时,判断所述client hello报文的SSL协议版本类型为商密TSL1.3。
[0012]根据本公开的通过SSL负载均衡设备自动识别国密和商密业务的方法,其还包括:当判断所述报文为client hello报文时,获取所述client hello报文的第1字节并且当所述所述client hello报文的第1字节为十六进制的01时,或获取所述client hello报文的第5和第6字节并且当所述所述client hello报文的第5和第6字节不等于十六进制的0301、0302或0303时,向客户端回复RST报文并断开与客户端的连接。
[0013]根据本公开的另一方面,提出一种自动识别国密和商密业务的SSL负载均衡装置,该装置包括:策略配置组件,用于在所述虚拟服务中配置国密SSL卸载策略、商密SSL卸载策略和负载均衡策略;SSL请求报文接收及解析组件,接收并解析客户端发送的SSL请求的报文;SSL协议版本类型获取组件,用于当判断报文为client hello报文时,获取所述client hello报文的SSL协议版本类型;SSL卸载组件,用于当判断所述SSL协议版本类型为国密SSL报文时,自动对所述客户端的SSL请求实施所述国密SSL卸载策略进行SSL卸载,以及当判断所述SSL协议版本类型为商密SSL报文时,自动对所述客户端的SSL请求实施所述商密SSL卸载策略进行SSL卸载;负载均衡组件,用于对客户端的SSL请求进行SSL卸载后获得的HTTP报文实施所述负载均衡策略进行负载均衡;报文转发组件,用于将所述HTTP报文向针对所述HTTP报文进行负载均衡后所指定的真实服务器转发以实现负载均衡。
[0014]根据本公开的通过SSL负载均衡设备自动识别国密和商密业务的装置,其中,所述国密SSL卸载策略包括针对国密SSL报文的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种通过SSL负载均衡设备自动识别国密和商密业务的方法,包括:在虚拟服务中配置国密SSL卸载策略、商密SSL卸载策略和负载均衡策略;接收并解析客户端的SSL请求的报文;当判断所述报文为client hello报文时,获取所述client hello报文的SSL协议版本类型;当判断所述SSL协议版本类型为国密SSL报文时,自动对所述客户端的SSL请求实施所述国密SSL卸载策略进行SSL卸载,以及当判断所述SSL协议版本类型为商密SSL报文时,自动对所述客户端的SSL请求实施所述商密SSL卸载策略进行SSL卸载;对所述客户端的SSL请求进行SSL卸载后获得的HTTP报文实施所述负载均衡策略进行负载均衡;将所述HTTP报文向针对所述HTTP报文进行负载均衡后所指定的真实服务器转发以实现负载均衡。2.根据权利要求1所述的通过SSL负载均衡设备自动识别国密和商密业务的方法,其中,所述国密SSL卸载策略包括针对国密SSL报文的国密协商、国密握手以及指定国密加密套件和与所述国际加密套件对应的国密证书;所述商密SSL卸载策略包括针对商密SSL报文的商密协商、商密握手以及指定商密加密套件和与所述商密加密套件对应的商密证书。3.根据权利要求1所述的通过SSL负载均衡设备自动识别国密和商密业务的方法,其中,当判断所述报文为client hello报文时,获取所述client hello报文的第5和第6字节;当所述client hello报文的第5和第6字节为十六进制的0101时,判断所述client hello报文的SSL协议版本类型为国密SSL。4.根据权利要求1所述的通过SSL负载均衡设备自动识别国密和商密业务的方法,其中,当判断所述报文为client hello报文时,获取所述client hello报文的第5和第6字节;当所述client hello报文的第5和第6字节为十六进制的0301时,判断所述client hello报文的SSL协议版本类型为商密TSL1.1;当所述client hello报文的第5和第6字节为十六进制的0302时,判断所述client hello报文的SSL协议版本类型为商密TSL1.2;当所述client hello报文的第5和第6字节为十六进制的0303时,判断所述client hello报文的SSL协议版本类型为商密TSL1.3。5.根据权利要求1所述的通过SSL负载均衡设备自动识别国密和商密业务的方法,其还包括:当判断所述报文为client hello报文时,获取所述client hello报文的第1字节并且当所述所述client hello报文的第1字节为十六进制的01时,或获取所述client hello报文的第5和第6字节并且当所述所述client hello报文的第5和第6字节不等于十六进制的0301、0302或0303时,向客户端回复RST报文并断开与客户端
的连接。6.一种通过SSL负载均衡设备自动识别国密和商密业务的装置,包括:策略配置组件,用于在所述虚拟服务中配置国密SSL卸载策略...
【专利技术属性】
技术研发人员:王佳林,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。