国密SSL协议和标准SSL协议转发系统及方法与流程

文档序号:11156489阅读:4177来源:国知局
国密SSL协议和标准SSL协议转发系统及方法与制造工艺

本发明涉及网络应用交付控制领域,特别涉及一种国密SSL协议和标准SSL协议智能转发系统。



背景技术:

SSL(Secure Sockets Layer安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。其中S SL,为Netscape所研发,用以保障在Internet上数据传输之安全,利用数据加密技术,可确保数据在网络上之传输过程中不会被截取及窃听。当前版本为TLSv1.2。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输,本发明方案中称之为标准SSL协议。https协议是由SSL+http协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。

国家密码局在2014年颁布了国标GM/T 0024-2014,该国标定义了一种新的SSL协议(以下简称国密SSL协议)。国密SSL协议定义了新的协议号,新的密码套件,并修改了标准SSL协议中某些消息的格式,使得国密SSL协议与标准SSL协议不兼容。

目前很多已有的SSL服务器只能支持标准SSL协议,例如SSLv3,TLSv1,TLSv1.1,TLSv1.2等,不支持国密SSL协议。当一个https站点需要同时支持国密SSL协议和标准SSL协议,则需要采购能同时支持国密SSL协议和标准SSL协议的服务器。这样将导致大批只支持标准SSL协议的服务器因不支持国密SSL协议而招致淘汰,这将导致实行国密SSL协议的成本大幅上升。中国专利申请 文件CN201410796479中公开了一种“支持国密算法的安全套接层协议扩展方法”,包括:在所述安全套接层协议的安全套接字扩展的源代码中添加支持国密算法的密码套件;为所述密码套件设置对应的参数与别名;建立实现所述国密算法的算法提供者;建立所述密码套件的别名与所述算法提供者的实现类的对应关系。该方法只支持老的国密SSL协议,对于新的国密SSL协议可能不适用,另外该方法的扩展性不好,当单台设备的性能不够的时候,则需要购买新的设备和负载均衡设备,而且还需要在负载均衡设备上重新配置https的服务,给用户带来诸多不便。



技术实现要素:

为克服已有技术中存在的问题,本发明目的是提出一种使用方便且低成本的国密SSL协议和标准SSL协议智能转发系统及方法。

为此,一种国密SSL协议和标准SSL协议智能转发系统,包括:

协议转发器,用于接收https的所有连接信息,解析所有https信息中的SSL协议标识数据,和根据解析后的SSL协议标识数据将信息转发给相应的https站点装置,它包括接收https信息模块,解析SSL协议标识数据模块,和https信息转发模块;

https站点装置,用于接受来自协议转发器转发的相应https信息;

标准SSL协议数据服务器,用于处理来自https站点装置转发的标准SSL协议的https信息;

国密SSL协议数据服务器,用于处理来自https站点装置转发的国密SSL协议的https信息。

进一步地,所述的接收https信息模块用于接收https的所有连接信息;

进一步地,所述的解析SSL协议标识数据模块用于解析所有https信息中的SSL协议标识数据;

进一步地,所述的https信息转发模块用于根据上述SSL协议标识数据将信息转发给相应SSL协议服务器。

在已有支持标准SSL协议信息服务器的基础上,根据需要添加若干支持国密SSL协议的服务器,本发明的方法由以下步骤实现:

步骤1,在https站点前部署协议转发器;

步骤2,所述协议转发器接收https的所有连接信息,并解析https信息中的SSL协议标识数据;

步骤3,所述协议转发器根据SSL协议标识数据将信息对应转发给相应SSL协议的服务器。

所述的SSL协议标识数据可以是SSL版本号。

本发明方法与现有技术相比有以下优点:只需要部署一台SSL协议转发器,并在后台分别部署支持标准SSL协议和国密SSL协议的服务器,就能让https站点能同时支持标准SSL协议和国密SSL协议;SSL协议转发器不需要处理SSL握手消息,也不用加解密应用数据,只需要解析SSL协议版本号,所以SSL协议分发服务器的处理速度会很快;同时本发明系统性能扩展性好,当后台的SSL性能不够的时候,只需简单的添加SSL服务器。

附图说明

图1是本发明一个实施方式的系统示意图;

图2是本发明一个实施方式的方法流程图;

图3为本发明一种较佳实施例示意图。

具体实施方式

在以下的叙述中,为了使读者更好地理解本申请而提出了许多技术细节。但是,本领域的普通技术人员可以理解,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也是本申请各项权利要求所要求保护的技术方案。

为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明的实施方式作进一步地详细描述。

如图1所示,本发明一种国密SSL协议和标准SSL协议智能转发系统包括以下部分:国密SSL协议客户端1和标准SSL协议客户端2分别连接协议转发器3后对应连接支持国密SSL协议服务器4和支持标准SSL协议信息服务器5。

所述协议转发器用于接收https的所有连接信息,解析所有https信息中的SSL协议标识数据,和根据解析后的SSL协议标识数据将信息转发给相应的https站点装置,它包括接收https信息模块,解析https信息中SSL协议标识数据模块,以及HTTPSHTTPS信息转发模块。

所述的https站点装置,用于接受来自协议转发器转发的相应https信息,本实施例中所述的支持国密SSL协议服务器和支持标准SSL协议信息服务器内分别安装有相应的https站点装置。

所述的标准SSL协议数据服务器,用于处理来自https站点装置转发的标准SSL协议的https信息;所述的国密SSL协议数据服务器,用于处理来自https站点装置转发的国密SSL协议的https信息。

如图2所示,在已有支持标准SSL协议信息服务器的基础上,根据需要添加若干支持国密SSL协议的服务器,本发明的方法由以下步骤实现:

步骤1,在https站点前部署协议转发器;

步骤2,所述协议转发器接收https的所有连接信息,并解析https信息中的SSL协议标识数据,例如可以是SSL协议版本号,也可以是SSL协议信息clienthello消息中的密码套件的值;

步骤3,所述协议转发器根据SSL协议标识数据将国密SSL协议的信息转发给后台支持国密SSL协议的服务器、标准SSL协议信息转发给后台的支持标 准SSL协议的服务器。

如图3所示,给出本发明部署协议转发器的一个较佳实施例。本实例中的流量管理设备是一款30Gbps流量管理设备,其性能之一是集成了TCP连接复用、高速HTTP处理,SSL加速,动态缓存和自适应压缩等应用与数据中心加速功能,现用于部署本实施例的协议转发器,所述协议转发器提供https服务的域名是:https://www.test.com,本实施例所述的https服务同时支持标准SSL协议和国密定义的SSL协议。在流量管理设备后面的内网有2台SSL服务器,一台是只支持标准SSL协议的服务器,另外一台是只支持国密SSL协议的服务器,所述的https站点装置分别内置于只支持标准SSL协议的服务器和只支持国密SSL协议的服务器中。

以下是部署协议转发器的具体步骤:

1.在流量管理设备上配置virtual server:

slb virtual tcp"vs"30.1.1.30443

2.在流量管理设备上配置一个group和2台ssl server,并将ssl server添加到group:

slb group method ssl_group ssl_protocol

slb reall tcp"rs1"192.168.1.10443

slb reall tcp"rs2"192.168.1.20443

slb group member ssl_group rs1

slb group member ssl_group rs2

3.将virtual server和group绑定:

slb policy default“vs”“ssl_group”

需要说明的是,本发明各设备实施方式中提到的各单元都是逻辑单元,在物理上,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现,这些逻辑单元本身的物理实现方式并不是最重要的,这些逻辑单元所实现的功能的组合才是解决本发明所提出的技术问题的关键。此外,为了突出本发明的创新部分,本发明没有引入上述各设备实施方式以及与解决本发明所提出的技术问题关系不太密切的单元,但这并不表明不存在上述设备实施方式以及其它有关实施单元。

虽然通过参照本发明的某些优选实施方式,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。

当前第1页1 2 3 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1