br>[0053]此外,在公有云环境下,用户无法将TCP代理设备放入云运营商的机房中,而且绝大部分的运营商平台也不提供专门的SSL卸载服务。本实施例提供的加密解密方法,能够有效克服公有云环境下无法使用SSL卸载功能的问题。因此,在私有数据中心和公有云环境下,均可以有效提升虚拟机加密解密的操作性能。
[0054]在一个实施例中,代理与负载均衡设备连接,负载均衡设备与多个加密解密装置连接;通过代理将非对称加密或解密请求发送至加密解密装置的步骤包括:通过代理将非对称加密或解密请求发送至负载均衡设备,以使得负载均衡设备将非对称加密或解密请求转发至加密解密装置。
[0055]本实施例中,代理与负载均衡设备之间建立了连接,负载均衡设备与加密解密装置之间建立连接。其中负载均衡设备可以连接多个加密解密装置。代理在接收到非对称加密或解密请求之后,将该非对称加密或解密请求发送至负载均衡设备,负载均衡设备对加密解密装置实时执行健康检查。在多个健康状况良好的加密解密装置中选择一个加密解密设备,并将该非对称加密或解密请求发送至该加密解密设备。优选的,可以选择负载最小的加密解密设备。如果负载均衡设备检测到加密解密设备发生负载,则进一步选择负载最小的加密解密设备继续进行工作。由此在虚拟机接收到非对称加密或解密请求时,在有效提高虚拟机加密解密操作性能的同时还能够有效避免单点故障,充分发挥加密解密装置的性能。进一步的,在虚拟机接收到对称加密或解密操作时,可以由本地处理器完成对称加密或解密操作,进而能够有效避免单点故障。
[0056]在一个实施例中,如图3所示,提供了一种虚拟环境下用于加密解密的物理服务器,该物理服务器上运行了虚拟机302和代理304,虚拟机302接收客户端发送的加密或解密请求,加密或解密请求中携带了待操作数据;当加密或解密请求为非对称加密或解密请求时,虚拟机302将非对称加密或解密请求发送代理304 ;代理304将非对称加密或解密请求发送至加密解密装置,以使得加密解密装置根据非对称加密或解密请求对待操作数据进行操作并将操作结果返回至虚拟机302 ;虚拟机302接收操作结果后,并根据操作结果得到已加密或已解密数据;根据非对称加密请求将已加密数据返回至客户端或者根据非对称解密请求对已解密数据进行处理。
[0057]在一个实施例中,加密或解密请求还包括对称加密或解密请求,虚拟机根据对称加密或解密请求通过本地处理器对待操作数据进行操作,得到已加密或已解密数据;根据对称加密请求将将已加密数据返回至客户端或者根据对称解密请教对已解密数据进行处理。
[0058]在一个实施例中,虚拟机与客户端之间建立连接以及代理与加密解密装置之间建立连接;代理运行在虚拟环境中。
[0059]在一个实施例中,代理运行在Hypervisor中;或代理运行在虚拟机的操作系统中;或代理运行在SSL卸载应用中。
[0060]在一个实施例中,代理检测加密解密装置是否发生故障;若是,则代理选择其他正常的加密解密装置继续进行工作。
[0061]在一个实施例中,代理与负载均衡设备连接,负载均衡设备与多个加密解密装置连接;代理将非对称加密或解密请求发送至负载均衡设备,以使得负载均衡设备将非对称加密或解密请求转发至加密解密装置。
[0062]以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
[0063]以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
【主权项】
1.一种虚拟环境下的加密解密方法,所述方法包括: 通过虚拟机接收客户端的加密或解密请求,所述加密或解密请求包括非对称加密或解密请求,所述加密或解密请求中携带了待操作数据; 通过所述虚拟机将所述非对称加密或解密请求发送至代理; 通过所述代理将所述非对称加密或解密请求发送至加密解密装置,以使得所述加密解密装置对所述待操作数据进行操作得到操作结果; 通过所述虚拟机接收所述加密解密装置返回的操作结果,并根据所述操作结果得到已加密或已解密数据; 通过所述虚拟机根据非对称加密请求将已加密数据返回至所述客户端或者通过所述虚拟机根据非对称解密请求对已解密数据进行处理。2.根据权利要求1所述的方法,其特征在于,所述加密或解密请求还包括对称加密或解密请求,所述通过虚拟机接收客户端的加密或解密请求的步骤之后还包括: 根据所述对称加密或解密请求通过所述虚拟机的本地处理器对所述待操作数据进行操作,得到已加密或已解密数据; 通过所述虚拟机根据对称加密请求将将已加密数据返回至所述客户端或者利用所述虚拟机根据对称解密请教对已解密数据进行处理。3.根据权利要求1所述的方法,其特征在于,在所述通过虚拟机接收客户端的加密或解密请求的步骤之前,还包括: 分别在所述客户端与所述虚拟机之间建立连接以及所述代理与所述加密解密装置之间建立连接; 在虚拟环境中运行所述代理。4.根据权利要求3所述的方法,其特征在于,所述在虚拟环境中运行所述代理的步骤包括: 在Hypervisor中运行所述代理;或 在所述虚拟机的操作系统中运行所述代理;或 在SSL卸载应用中运行所述代理。5.根据所述权利要求1所述的方法,其特征在于,所述代理与负载均衡设备连接,所述负载均衡设备与多个加密解密装置连接;通过所述代理将所述非对称加密或解密请求发送至加密解密装置的步骤包括: 通过所述代理将所述非对称加密或解密请求发送至所述负载均衡设备,以使得所述负载均衡设备将所述非对称加密或解密请求转发至加密解密装置。6.一种虚拟环境下用于加密解密的物理服务器,其特征在于,所述物理服务器上运行了虚拟机和代理,所述虚拟机接收客户端发送的所述加密或解密请求,所述加密或解密请求中携带了待操作数据;当所述加密或解密请求为非对称加密或解密请求时,所述虚拟机将所述非对称加密或解密请求发送所述代理;所述代理将所述非对称加密或解密请求发送至加密解密装置,以使得所述加密解密装置根据所述非对称加密或解密请求对所述待操作数据进行操作并将操作结果返回至所述虚拟机;所述虚拟机接收所述操作结果后,并根据所述操作结果得到已加密或已解密数据;根据非对称加密请求将已加密数据返回至所述客户端或者根据非对称解密请求对已解密数据进行处理。7.根据权利要求6所述的物理服务器,其特征在于,所述加密或解密请求还包括对称加密或解密请求,所述虚拟机根据所述对称加密或解密请求通过本地处理器对所述待操作数据进行操作,得到已加密或已解密数据;根据对称加密请求将将已加密数据返回至所述客户端或者根据对称解密请教对已解密数据进行处理。8.根据权利要求6所述的物理服务器,其特征在于,所述虚拟机与所述客户端之间建立连接以及所述代理与所述加密解密装置之间建立连接;所述代理运行在虚拟环境中。9.根据权利要求8所述的物理服务器,其特征在于,所述代理运行在Hypervisor中;或所述代理运行在所述虚拟机的操作系统中;或所述代理运行在SSL卸载应用中。10.根据权利要求7所述的物理服务器,其特征在于,所述代理与负载均衡设备连接,所述负载均衡设备与多个加密解密装置连接;所述代理将所述非对称加密或解密请求发送至所述负载均衡设备,以使得所述负载均衡设备将所述非对称加密或解密请求转发至加密解密装置。
【专利摘要】本发明涉及一种虚拟环境下的加密解密方法,所述方法包括:通过虚拟机接收客户端的加密或解密请求,所述加密或解密请求包括非对称加密或解密请求,所述加密或解密请求中携带了待操作数据;通过所述虚拟机将所述非对称加密或解密请求发送至代理;通过所述代理将所述非对称加密或解密请求发送至加密解密装置,以使得所述加密解密装置对所述待操作数据进行操作得到操作结果;通过所述虚拟机接收所述加密解密装置返回的操作结果,并根据所述操作结果得到已加密或已解密数据;通过所述虚拟机根据非对称加密请求将已加密数据返回至所述客户端或者通过所述虚拟机根据非对称解密请求对已解密数据进行处理。采用本方法,在SSL卸载应用迁移至虚拟机时,既能有效提升虚拟机加密解密的操作性能又能有效控制成本。
【IPC分类】H04L29/06, H04L9/00
【公开号】CN105162577
【申请号】CN201510532387
【发明人】张洲亭
【申请人】深圳市深信服电子科技有限公司
【公开日】2015年12月16日
【申请日】2015年8月26日