本發(fā)明涉及網(wǎng)絡(luò)應(yīng)用交付控制領(lǐng)域，特別涉及一種國密SSL協(xié)議和標(biāo)準(zhǔn)SSL協(xié)議智能轉(zhuǎn)發(fā)系統(tǒng)。

背景技術(shù)：

SSL(Secure Sockets Layer安全套接層),及其繼任者傳輸層安全(Transport Layer Security，TLS)是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。其中S SL，為Netscape所研發(fā)，用以保障在Internet上數(shù)據(jù)傳輸之安全，利用數(shù)據(jù)加密技術(shù)，可確保數(shù)據(jù)在網(wǎng)絡(luò)上之傳輸過程中不會(huì)被截取及竊聽。當(dāng)前版本為TLSv1.2。它已被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸，本發(fā)明方案中稱之為標(biāo)準(zhǔn)SSL協(xié)議。https協(xié)議是由SSL+http協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，比http協(xié)議安全。

國家密碼局在2014年頒布了國標(biāo)GM/T 0024-2014，該國標(biāo)定義了一種新的SSL協(xié)議(以下簡(jiǎn)稱國密SSL協(xié)議)。國密SSL協(xié)議定義了新的協(xié)議號(hào)，新的密碼套件，并修改了標(biāo)準(zhǔn)SSL協(xié)議中某些消息的格式，使得國密SSL協(xié)議與標(biāo)準(zhǔn)SSL協(xié)議不兼容。

目前很多已有的SSL服務(wù)器只能支持標(biāo)準(zhǔn)SSL協(xié)議，例如SSLv3，TLSv1，TLSv1.1，TLSv1.2等，不支持國密SSL協(xié)議。當(dāng)一個(gè)https站點(diǎn)需要同時(shí)支持國密SSL協(xié)議和標(biāo)準(zhǔn)SSL協(xié)議，則需要采購能同時(shí)支持國密SSL協(xié)議和標(biāo)準(zhǔn)SSL協(xié)議的服務(wù)器。這樣將導(dǎo)致大批只支持標(biāo)準(zhǔn)SSL協(xié)議的服務(wù)器因不支持國密SSL協(xié)議而招致淘汰，這將導(dǎo)致實(shí)行國密SSL協(xié)議的成本大幅上升。中國專利申請(qǐng) 文件CN201410796479中公開了一種“支持國密算法的安全套接層協(xié)議擴(kuò)展方法”，包括：在所述安全套接層協(xié)議的安全套接字?jǐn)U展的源代碼中添加支持國密算法的密碼套件；為所述密碼套件設(shè)置對(duì)應(yīng)的參數(shù)與別名；建立實(shí)現(xiàn)所述國密算法的算法提供者；建立所述密碼套件的別名與所述算法提供者的實(shí)現(xiàn)類的對(duì)應(yīng)關(guān)系。該方法只支持老的國密SSL協(xié)議，對(duì)于新的國密SSL協(xié)議可能不適用，另外該方法的擴(kuò)展性不好，當(dāng)單臺(tái)設(shè)備的性能不夠的時(shí)候，則需要購買新的設(shè)備和負(fù)載均衡設(shè)備，而且還需要在負(fù)載均衡設(shè)備上重新配置https的服務(wù)，給用戶帶來諸多不便。

技術(shù)實(shí)現(xiàn)要素：

為克服已有技術(shù)中存在的問題，本發(fā)明目的是提出一種使用方便且低成本的國密SSL協(xié)議和標(biāo)準(zhǔn)SSL協(xié)議智能轉(zhuǎn)發(fā)系統(tǒng)及方法。

為此，一種國密SSL協(xié)議和標(biāo)準(zhǔn)SSL協(xié)議智能轉(zhuǎn)發(fā)系統(tǒng)，包括：

協(xié)議轉(zhuǎn)發(fā)器，用于接收https的所有連接信息，解析所有https信息中的SSL協(xié)議標(biāo)識(shí)數(shù)據(jù)，和根據(jù)解析后的SSL協(xié)議標(biāo)識(shí)數(shù)據(jù)將信息轉(zhuǎn)發(fā)給相應(yīng)的https站點(diǎn)裝置，它包括接收https信息模塊，解析SSL協(xié)議標(biāo)識(shí)數(shù)據(jù)模塊，和https信息轉(zhuǎn)發(fā)模塊；

https站點(diǎn)裝置，用于接受來自協(xié)議轉(zhuǎn)發(fā)器轉(zhuǎn)發(fā)的相應(yīng)https信息；

標(biāo)準(zhǔn)SSL協(xié)議數(shù)據(jù)服務(wù)器，用于處理來自https站點(diǎn)裝置轉(zhuǎn)發(fā)的標(biāo)準(zhǔn)SSL協(xié)議的https信息；

國密SSL協(xié)議數(shù)據(jù)服務(wù)器，用于處理來自https站點(diǎn)裝置轉(zhuǎn)發(fā)的國密SSL協(xié)議的https信息。

進(jìn)一步地，所述的接收https信息模塊用于接收https的所有連接信息；

進(jìn)一步地，所述的解析SSL協(xié)議標(biāo)識(shí)數(shù)據(jù)模塊用于解析所有https信息中的SSL協(xié)議標(biāo)識(shí)數(shù)據(jù)；

進(jìn)一步地，所述的https信息轉(zhuǎn)發(fā)模塊用于根據(jù)上述SSL協(xié)議標(biāo)識(shí)數(shù)據(jù)將信息轉(zhuǎn)發(fā)給相應(yīng)SSL協(xié)議服務(wù)器。

在已有支持標(biāo)準(zhǔn)SSL協(xié)議信息服務(wù)器的基礎(chǔ)上，根據(jù)需要添加若干支持國密SSL協(xié)議的服務(wù)器，本發(fā)明的方法由以下步驟實(shí)現(xiàn)：

步驟1，在https站點(diǎn)前部署協(xié)議轉(zhuǎn)發(fā)器；

步驟2，所述協(xié)議轉(zhuǎn)發(fā)器接收https的所有連接信息，并解析https信息中的SSL協(xié)議標(biāo)識(shí)數(shù)據(jù)；

步驟3，所述協(xié)議轉(zhuǎn)發(fā)器根據(jù)SSL協(xié)議標(biāo)識(shí)數(shù)據(jù)將信息對(duì)應(yīng)轉(zhuǎn)發(fā)給相應(yīng)SSL協(xié)議的服務(wù)器。

所述的SSL協(xié)議標(biāo)識(shí)數(shù)據(jù)可以是SSL版本號(hào)。

本發(fā)明方法與現(xiàn)有技術(shù)相比有以下優(yōu)點(diǎn)：只需要部署一臺(tái)SSL協(xié)議轉(zhuǎn)發(fā)器，并在后臺(tái)分別部署支持標(biāo)準(zhǔn)SSL協(xié)議和國密SSL協(xié)議的服務(wù)器，就能讓https站點(diǎn)能同時(shí)支持標(biāo)準(zhǔn)SSL協(xié)議和國密SSL協(xié)議；SSL協(xié)議轉(zhuǎn)發(fā)器不需要處理SSL握手消息，也不用加解密應(yīng)用數(shù)據(jù)，只需要解析SSL協(xié)議版本號(hào)，所以SSL協(xié)議分發(fā)服務(wù)器的處理速度會(huì)很快；同時(shí)本發(fā)明系統(tǒng)性能擴(kuò)展性好，當(dāng)后臺(tái)的SSL性能不夠的時(shí)候，只需簡(jiǎn)單的添加SSL服務(wù)器。

附圖說明

圖1是本發(fā)明一個(gè)實(shí)施方式的系統(tǒng)示意圖；

圖2是本發(fā)明一個(gè)實(shí)施方式的方法流程圖；

圖3為本發(fā)明一種較佳實(shí)施例示意圖。

具體實(shí)施方式

在以下的敘述中，為了使讀者更好地理解本申請(qǐng)而提出了許多技術(shù)細(xì)節(jié)。但是，本領(lǐng)域的普通技術(shù)人員可以理解，即使沒有這些技術(shù)細(xì)節(jié)和基于以下各實(shí)施方式的種種變化和修改，也是本申請(qǐng)各項(xiàng)權(quán)利要求所要求保護(hù)的技術(shù)方案。

為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合附圖對(duì)本發(fā)明的實(shí)施方式作進(jìn)一步地詳細(xì)描述。

如圖1所示，本發(fā)明一種國密SSL協(xié)議和標(biāo)準(zhǔn)SSL協(xié)議智能轉(zhuǎn)發(fā)系統(tǒng)包括以下部分：國密SSL協(xié)議客戶端1和標(biāo)準(zhǔn)SSL協(xié)議客戶端2分別連接協(xié)議轉(zhuǎn)發(fā)器3后對(duì)應(yīng)連接支持國密SSL協(xié)議服務(wù)器4和支持標(biāo)準(zhǔn)SSL協(xié)議信息服務(wù)器5。

所述協(xié)議轉(zhuǎn)發(fā)器用于接收https的所有連接信息，解析所有https信息中的SSL協(xié)議標(biāo)識(shí)數(shù)據(jù)，和根據(jù)解析后的SSL協(xié)議標(biāo)識(shí)數(shù)據(jù)將信息轉(zhuǎn)發(fā)給相應(yīng)的https站點(diǎn)裝置，它包括接收https信息模塊，解析https信息中SSL協(xié)議標(biāo)識(shí)數(shù)據(jù)模塊，以及HTTPSHTTPS信息轉(zhuǎn)發(fā)模塊。

所述的https站點(diǎn)裝置，用于接受來自協(xié)議轉(zhuǎn)發(fā)器轉(zhuǎn)發(fā)的相應(yīng)https信息，本實(shí)施例中所述的支持國密SSL協(xié)議服務(wù)器和支持標(biāo)準(zhǔn)SSL協(xié)議信息服務(wù)器內(nèi)分別安裝有相應(yīng)的https站點(diǎn)裝置。

所述的標(biāo)準(zhǔn)SSL協(xié)議數(shù)據(jù)服務(wù)器，用于處理來自https站點(diǎn)裝置轉(zhuǎn)發(fā)的標(biāo)準(zhǔn)SSL協(xié)議的https信息；所述的國密SSL協(xié)議數(shù)據(jù)服務(wù)器，用于處理來自https站點(diǎn)裝置轉(zhuǎn)發(fā)的國密SSL協(xié)議的https信息。

如圖2所示，在已有支持標(biāo)準(zhǔn)SSL協(xié)議信息服務(wù)器的基礎(chǔ)上，根據(jù)需要添加若干支持國密SSL協(xié)議的服務(wù)器，本發(fā)明的方法由以下步驟實(shí)現(xiàn)：

步驟1，在https站點(diǎn)前部署協(xié)議轉(zhuǎn)發(fā)器；

步驟2，所述協(xié)議轉(zhuǎn)發(fā)器接收https的所有連接信息，并解析https信息中的SSL協(xié)議標(biāo)識(shí)數(shù)據(jù)，例如可以是SSL協(xié)議版本號(hào)，也可以是SSL協(xié)議信息clienthello消息中的密碼套件的值；

步驟3，所述協(xié)議轉(zhuǎn)發(fā)器根據(jù)SSL協(xié)議標(biāo)識(shí)數(shù)據(jù)將國密SSL協(xié)議的信息轉(zhuǎn)發(fā)給后臺(tái)支持國密SSL協(xié)議的服務(wù)器、標(biāo)準(zhǔn)SSL協(xié)議信息轉(zhuǎn)發(fā)給后臺(tái)的支持標(biāo) 準(zhǔn)SSL協(xié)議的服務(wù)器。

如圖3所示，給出本發(fā)明部署協(xié)議轉(zhuǎn)發(fā)器的一個(gè)較佳實(shí)施例。本實(shí)例中的流量管理設(shè)備是一款30Gbps流量管理設(shè)備，其性能之一是集成了TCP連接復(fù)用、高速HTTP處理,SSL加速,動(dòng)態(tài)緩存和自適應(yīng)壓縮等應(yīng)用與數(shù)據(jù)中心加速功能，現(xiàn)用于部署本實(shí)施例的協(xié)議轉(zhuǎn)發(fā)器，所述協(xié)議轉(zhuǎn)發(fā)器提供https服務(wù)的域名是：https://www.test.com，本實(shí)施例所述的https服務(wù)同時(shí)支持標(biāo)準(zhǔn)SSL協(xié)議和國密定義的SSL協(xié)議。在流量管理設(shè)備后面的內(nèi)網(wǎng)有2臺(tái)SSL服務(wù)器，一臺(tái)是只支持標(biāo)準(zhǔn)SSL協(xié)議的服務(wù)器，另外一臺(tái)是只支持國密SSL協(xié)議的服務(wù)器，所述的https站點(diǎn)裝置分別內(nèi)置于只支持標(biāo)準(zhǔn)SSL協(xié)議的服務(wù)器和只支持國密SSL協(xié)議的服務(wù)器中。

以下是部署協(xié)議轉(zhuǎn)發(fā)器的具體步驟：

1.在流量管理設(shè)備上配置virtual server：

slb virtual tcp"vs"30.1.1.30443

2.在流量管理設(shè)備上配置一個(gè)group和2臺(tái)ssl server，并將ssl server添加到group：

slb group method ssl_group ssl_protocol

slb reall tcp"rs1"192.168.1.10443

slb reall tcp"rs2"192.168.1.20443

slb group member ssl_group rs1

slb group member ssl_group rs2

3.將virtual server和group綁定：

slb policy default“vs”“ssl_group”

需要說明的是，本發(fā)明各設(shè)備實(shí)施方式中提到的各單元都是邏輯單元，在物理上，一個(gè)邏輯單元可以是一個(gè)物理單元，也可以是一個(gè)物理單元的一部分，還可以以多個(gè)物理單元的組合實(shí)現(xiàn)，這些邏輯單元本身的物理實(shí)現(xiàn)方式并不是最重要的，這些邏輯單元所實(shí)現(xiàn)的功能的組合才是解決本發(fā)明所提出的技術(shù)問題的關(guān)鍵。此外，為了突出本發(fā)明的創(chuàng)新部分，本發(fā)明沒有引入上述各設(shè)備實(shí)施方式以及與解決本發(fā)明所提出的技術(shù)問題關(guān)系不太密切的單元，但這并不表明不存在上述設(shè)備實(shí)施方式以及其它有關(guān)實(shí)施單元。

雖然通過參照本發(fā)明的某些優(yōu)選實(shí)施方式，已經(jīng)對(duì)本發(fā)明進(jìn)行了圖示和描述，但本領(lǐng)域的普通技術(shù)人員應(yīng)該明白，可以在形式上和細(xì)節(jié)上對(duì)其作各種改變，而不偏離本發(fā)明的精神和范圍。