一种基于ssl会话的方法、装置及系统的制作方法
【技术领域】
[0001]本发明涉及网络技术领域,尤其涉及一种基于SSL(Secure Sockets Layer,安全套接层)会话的方法、装置及系统。
【背景技术】
[0002]HTTPS (Hyper Text Transfer Protocol over Secure Socket Layer,超文本传输协议安全套接层),是以安全为目标的HTTP (HyperText Transfer Protocol,超文本传输协议)通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。SSL协议由于需要进行非对称和对称大数计算,因此对资源消耗极大,大型网站需要使用SSL terminator(终结器)集群来处理SSL协议。
[0003]在目前的SSL集群实现中,一般采用主备双机方式,或者使用LVS (Linux VirtualServer, Linux虚拟服务器,是一个虚拟的服务器集群系统)进行分发的方式。
[0004]但是,当前常用的这两种方式,并不能很好地兼顾性能和扩展的需要。客户端和SSL服务器第一次连接时,双方需要分别验证对方数字证书和协商生成后续通讯的对称秘钥,然后才可以进行数据通信,整个协商过程不仅需要多次交互,而且计算工作量巨大,会带来5?50ms不能的处理时延(不含网络部分)。因此SSL协议特别定义了 Sess1nIdentificat1n (会话识别)字段,在第一次连接的时候,由服务器端生成,并通过服务器问候消息数据包传送给客户端,进行保存,当客户端再次连接服务器端的时候,在客户问候消息报文中携带,表示重用上次连接的sess1n(会话)信息,sess1n信息里面包含了上次协商中生成的对称秘钥,因此无需再次进行计算,也节约了网络协商的时间。对于目前普遍使用的两种集群方式,VRRP(虚拟路由冗余协议,Virtual Router RedundancyProtocol)的主备双机方式可以实现Sess1n Identificat1n缓存和命中,但是无法实现集群的水平扩展;LVS集群方式可以实现集群的水平扩展,但是LVS的负载均衡是针对TCP (Transmiss1n Control Protocol,传输控制协议)/UDP (User Datagram Protocol,用户数据报协议)协议实施的负载均衡算法,无法对SSL协议的Sess1n Identificat1n字段进行均衡,会导致同一个客户端多次访问的时候,落在不同的SSL服务器上面,由于sess1n的缓存只存在于SSL单机上面,这种均衡方式会导致SSL Sess1n的命中率非常低,从而导致客户端和SSL服务器还是要重新进行验证和重新生成会话秘钥的过程,即使LVS使用基于客户端的源IP的均衡方式,也会由于每个IP上面用户数量不均匀,而导致后端的SSL服务器上负载不均衡,影响整个集群的效率。
【发明内容】
[0005]本发明实施例提供一种基于SSL会话的方法、装置及系统,以提高SSL Sess1n命中率,并实现集群扩展。
[0006]—方面,本发明实施例提供了一种基于安全套接层SSL会话的方法,所述方法包括:接收客户端发送的客户问候消息;根据所述客户问候消息判断是否有会话识别内容,得到判断结果;根据所述判断结果,对与所述客户端SSL会话的SSL集群中的SSL服务器进行调度,将所述客户问候消息发往对应SSL服务器。
[0007]另一方面,本发明实施例提供了一种基于安全套接层SSL会话的装置,所述装置包括:接收单元,用于接收客户端发送的客户问候消息;判断单元,用于根据所述客户问候消息判断是否有会话识别内容,得到判断结果;调度单元,用于根据所述判断结果,对与所述客户端SSL会话的SSL集群中的SSL服务器进行调度,将所述客户问候消息发往对应SSL服务器。
[0008]再一方面,本发明实施例提供了一种基于安全套接层SSL会话的系统,所述系统包括客户端、SSL负载均衡器和多个SSL服务器,其中,所述SSL负载均衡器包括上述基于安全套接层SSL会话的装置。
[0009]上述技术方案具有如下有?效果:不但提尚了 SSL Sess1n命中率,而且实现了集群扩展。
【附图说明】
[0010]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0011]图1为本发明实施例一种基于安全套接层SSL会话的方法流程图;
[0012]图2为本发明实施例一种基于安全套接层SSL会话的装置结构示意图;
[0013]图3为本发明应用实例一种基于安全套接层SSL会话的系统结构示意图。
【具体实施方式】
[0014]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0015]如图1所示,为本发明实施例一种基于安全套接层SSL会话的方法流程图,所述方法包括:
[0016]101、接收客户端发送的客户问候消息;
[0017]102、根据所述客户问候消息判断是否有会话识别内容,得到判断结果;
[0018]103、根据所述判断结果,对与所述客户端SSL会话的SSL集群中的SSL服务器进行调度,将所述客户问候消息发往对应SSL服务器。
[0019]优选的,所述根据所述客户问候消息判断是否有会话识别内容,得到判断结果,包括:解析所述客户问候消息,获取来自所述客户端的会话识别字段;利用所述会话识别字段判断是否有会话识别内容,得到判断结果,具体包括:若所述会话识别字段的值为零,则所述判断结果为没有会话识别内容;若所述会话识别字段的值不为零,则所述判断结果为含有会话识别内容。
[0020]进一步的,优选的,所述根据所述判断结果,对与所述客户端SSL会话的SSL集群中的SSL服务器进行调度,将所述客户问候消息发往对应SSL服务器,包括:若所述判断结果为含有会话识别内容,则表示所述客户端已进行过SSL会话的握手协商,根据所述客户端的源IP和源端口,利用本地存储的会话表进行查找,获取与所述客户端SSL会话的SSL集群中的对应SSL服务器的IP和端口,从而将来自所述客户端的客户问候消息直接发往对应SSL服务器;其中,所述本地存储的会话表包括:客户端的源IP和源端口、SSL服务器的IP和端口、会话识别字段的值。
[0021]进一步的,优选的,所述根据所述判断结果,对与所述客户端SSL会话的SSL集群中的SSL服务器进行调度,将所述客户问候消息发往对应SSL服务器,包括:若所述判断结果为没有会话识别内容,则表示所述客户端是第一次进行会话连接,根据最高随机权重算法,或根据最小连接数算法,对与所述客户端SSL会话的SSL集群中的SSL服务器进行调度,获取与所述客户端SSL会话的对应SSL服务器的IP和端口,从而将来自所述客户端的客户问候消息发往对应SSL服务器。
[0022]进一步的,优选的,若所述客户端是第一次进行会话连接,则将来自所述客户端的客户问候消