一种集群业务流量加密方法、装置、设备及可读存储介质与流程

本发明涉及信息安全，特别涉及一种集群业务流量加密方法、装置、设备及可读存储介质。

背景技术：

1、目前kubernetes集群以传统tls(安全传输层协议)保障通信安全，在加密算法的安全性保护中，由于硬件设备的提升，rsa(同时用于加密和数字签名的公钥算法)被破解的概率增加。使得tls的安全性也受到威胁，使得集群中业务流量的安全性较低。

2、因此，需要提高集群业务流量加密的安全性。

技术实现思路

1、有鉴于此，本发明的目的在于提供一种集群业务流量加密方法、装置、设备及可读存储介质，解决了现有技术中集群业务流量加密的安全性低的技术问题。

2、为解决上述技术问题，本发明提供了一种集群业务流量加密方法，包括：

3、获取待传输集群业务流量；

4、利用密码安全套接层对所述待传输集群业务流量进行处理，得到目标加密处理数据；其中，所述密码安全套接层为满足信息安全技术信息系统密码应用基本要求的通信方式；与所述密码安全套接层对应的组件基于密码适配器实现利用所述密码安全套接层建立无感知连接。

5、可选的，所述利用密码安全套接层对所述待传输集群业务流量进行处理，得到目标加密处理数据，包括：

6、当所述待传输集群业务流量的类型为业务pod之间的流量时；

7、利用边车间的国密安全套接层对所述待传输集群业务流量进行处理，得到所述目标加密处理数据；其中，各个业务pod为添加边车的业务pod；所述边车间的国密安全套接层为边车之间建立国密连接的通信方式。

8、可选的，所述利用密码安全套接层对所述待传输集群业务流量进行处理，得到目标加密处理数据，包括：

9、当所述待传输集群业务流量的类型为业务pod与集群组件之间的流量时；

10、利用边车与集群组件之间的国密安全套接层对所述待传输集群业务流量进行处理，得到所述目标加密处理数据；其中，所述边车与集群组件之间的国密安全套接层为业务边车与集群组件之间直接建立国密连接得到的通信方式。

11、可选的，在所述利用密码安全套接层对所述待传输集群业务流量进行处理，得到目标加密处理数据之前，还包括：

12、确定业务间是否支持利用所述密码安全套接层进行通信；

13、当支持利用所述密码安全套接层进行通信时，利用所述密码安全套接层对所述待传输集群业务流量进行处理，得到所述目标加密处理数据，并将所述目标加密处理数据发送给集群外部业务；

14、当不支持利用所述密码安全套接层进行通信时，利用直接透传的方式将所述待传输集群业务流量透传至所述集群外部业务。

15、可选的，在所述利用密码安全套接层对所述待传输集群业务流量进行处理，得到目标加密处理数据之前，还包括：

16、创建kubernetes系统组件的国密证书；其中，所述kubernetes系统组件的国密证书用于kubernetes系统组件之间以及与边车之间交互使用；

17、和/或创建kubernetes系统组件的tls证书；其中，所述kubernetes系统组件的tls证书用于应用访问api服务层时，边车与应用交互使用；

18、和/或创建边车之间交互的国密证书；其中，所述边车之间交互的国密证书用于边车之间交互使用。

19、可选的，在所述利用密码安全套接层对所述待传输集群业务流量进行处理，得到目标加密处理数据之前，还包括：

20、将集群中系统组件的安全传输层协议模块替换为所述密码适配器，以将所有原始安全传输层协议流量由密码适配器包转换为所述密码安全套接层处理。

21、可选的，所述将集群中系统组件的安全传输层协议模块替换为所述密码适配器，包括：

22、将api服务系统组件、集群调度器、集群内部管理控制系统组件、分布式键值对存储系统组件、节点代理系统组件、边车管理系统组件、边车中的所述安全传输层协议模块替换为所述密码适配器。

23、本发明还提供了一种集群业务流量加密装置，包括：

24、待传输集群业务流量获取模块，用于获取待传输集群业务流量；

25、加密模块，用于利用密码安全套接层对所述待传输集群业务流量进行处理，得到目标加密处理数据；其中，所述密码安全套接层为满足信息安全技术信息系统密码应用基本要求的通信方式；与所述密码安全套接层对应的组件基于密码适配器实现利用所述密码安全套接层建立无感知连接。

26、本发明还提供了一种集群业务流量加密设备，包括

27、存储器，用于存储计算机程序；

28、处理器，用于执行所述计算机程序时实现上述的集群业务流量加密方法的步骤。

29、本发明还提供了一种可读存储介质，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述的集群业务流量加密方法的步骤。

30、可见，本发明通过获取待传输集群业务流量；利用密码安全套接层对待传输集群业务流量进行处理，得到目标加密处理数据；其中，密码安全套接层为满足信息安全技术信息系统密码应用基本要求的通信方式；与密码安全套接层对应的组件基于密码适配器实现利用密码安全套接层建立无感知连接。和当前使用国际加密方法对集群业务流量进行处理相比，本发明利用符合信息安全技术信息系统密码应用基本要求的通信方式的密码安全套接层对所述待传输集群业务流量进行通信，得到目标加密处理数据，从而让集群内应用无感知的应用国密ssl通信，无需应用单独适配，减少时间成本。

31、此外，本发明还提供了一种集群业务流量加密装置、设备及可读存储介质，同样具有上述有益效果。

技术特征：

1.一种集群业务流量加密方法，其特征在于，包括：

2.根据权利要求1所述的集群业务流量加密方法，其特征在于，所述利用密码安全套接层对所述待传输集群业务流量进行处理，得到目标加密处理数据，包括：

3.根据权利要求1所述的集群业务流量加密方法，其特征在于，所述利用密码安全套接层对所述待传输集群业务流量进行处理，得到目标加密处理数据，包括：

4.根据权利要求1所述的集群业务流量加密方法，其特征在于，在所述利用密码安全套接层对所述待传输集群业务流量进行处理，得到目标加密处理数据之前，还包括：

5.根据权利要求1至4任一项所述的集群业务流量加密方法，其特征在于，在所述利用密码安全套接层对所述待传输集群业务流量进行处理，得到目标加密处理数据之前，还包括：

6.根据权利要求1所述的集群业务流量加密方法，其特征在于，在所述利用密码安全套接层对所述待传输集群业务流量进行处理，得到目标加密处理数据之前，还包括：

7.根据权利要求6所述的集群业务流量加密方法，其特征在于，所述将集群中系统组件的安全传输层协议模块替换为所述密码适配器，包括：

8.一种集群业务流量加密装置，其特征在于，包括：

9.一种集群业务流量加密设备，其特征在于，包括

10.一种可读存储介质，其特征在于，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的集群业务流量加密方法的步骤。

技术总结
本发明公开了一种集群业务流量加密方法、装置、设备及可读存储介质，应用于信息安全技术领域，包括：获取待传输集群业务流量；利用密码安全套接层对待传输集群业务流量进行处理，得到目标加密处理数据，以使目标加密处理数据对接不同密评等级的密码设备；其中，与密码安全套接层对应的组件基于密码适配器实现利用密码安全套接层建立无感知连接。和当前使用国际加密方法对集群业务流量进行处理相比，本发明利用密码安全套接层对待传输集群业务流量进行通信，得到目标加密处理数据，从而让集群内应用无感知的应用密码SSL通信，无需各个组件应用单独适配，减少时间成本，提高加密效果。

技术研发人员：叶迪,蒋汶芮,唐操
受保护的技术使用者：中电科网络安全科技股份有限公司
技术研发日：
技术公布日：2024/3/27