專利名稱：一種應(yīng)用ssl通信協(xié)議安全負(fù)載均衡的設(shè)計架構(gòu)及方法
技術(shù)領(lǐng)域：
本發(fā)明涉及多服務(wù)器的負(fù)載均衡技術(shù)和基于SSL協(xié)議的加密解密技術(shù)，具體涉及一種應(yīng) 用SSL通信協(xié)議的安全負(fù)載均衡的設(shè)計架構(gòu)及方法。本發(fā)明通過引入SSL通信協(xié)議為客戶端 與負(fù)載均衡設(shè)備提供一種安全可靠的數(shù)據(jù)通信，并設(shè)計一種實(shí)現(xiàn)數(shù)據(jù)安全交互的SSL-PU處理 器架構(gòu)，為用戶數(shù)據(jù)提供了安全可靠的保護(hù)，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和 可用性。
背景技術(shù)：
隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，互聯(lián)網(wǎng)用戶急劇增加。同時互聯(lián)網(wǎng)內(nèi)容提供商為滿足互聯(lián) 網(wǎng)用戶對互聯(lián)網(wǎng)內(nèi)容和形勢的更高層次的要求，利用各種技術(shù)和手段，尤其是多媒體技術(shù)， 使網(wǎng)站的視覺效果更易吸引用戶。用戶訪問數(shù)量的增加以及用戶單次訪問流量的增加對服務(wù) 器承受并發(fā)訪問的能力提出了更高的要求。由于單臺服務(wù)器的負(fù)載能力總是有限的，面對日 益增加的用戶訪問數(shù)量和訪問流量，單臺服務(wù)器的中央處理器(CPU)和輸入/輸出(I/O)很
快成為瓶頸。而這個問題不是單純的靠提高服務(wù)器硬件的性能就可以解決的。通常的解決辦 法是采用由多臺服務(wù)器構(gòu)成的服務(wù)器組并對服務(wù)器組實(shí)施負(fù)載均衡技術(shù)。然后隨著互聯(lián)網(wǎng)應(yīng) 用的增多網(wǎng)絡(luò)和信息的安全就變的尤為重要，如仍采用傳統(tǒng)的網(wǎng)絡(luò)安全保障方式勢必造成企 業(yè)、數(shù)據(jù)中心和網(wǎng)站的重大的安全隱患，那么保證數(shù)據(jù)安全和爭受帶有病毒、蠕蟲等惡意程 序?qū)χ鳈C(jī)系統(tǒng)的侵入成為必需解決的問題，
加密套接層協(xié)議(簡稱SSL)是萬維網(wǎng)(WWW)上保證網(wǎng)絡(luò)交易安全的占主導(dǎo)地位的方式。自 1994年引入，SSL很快被用于熱門的網(wǎng)頁瀏覽器如網(wǎng)景、微軟，主要作用于保護(hù)消費(fèi)者在線交 易的保密性。SSL通信量的提升對從事聯(lián)網(wǎng)技術(shù)設(shè)備研究的系統(tǒng)設(shè)計者們提出前所未有的挑 戰(zhàn)。隨著人們對SSL使用日益增多，大型網(wǎng)站和數(shù)據(jù)中心很快需要同時處理數(shù)以萬計的安全交 易，速度以每秒比特計算，這就遠(yuǎn)超傳統(tǒng)SSL解決方案的能力范圍了。此外，各種網(wǎng)絡(luò)設(shè)備對 于檢驗(yàn)SSL應(yīng)用層數(shù)據(jù)內(nèi)容并不有效，因?yàn)镾SL對應(yīng)用層數(shù)據(jù)加密，網(wǎng)絡(luò)設(shè)備如負(fù)載平衡器、 內(nèi)容轉(zhuǎn)換器就不能提取對用戶cookies、 URL、以及作用于路徑和轉(zhuǎn)換決定的信息。同時，加 密數(shù)據(jù)阻礙防火墻對帶有病毒、蠕蟲等惡意內(nèi)容進(jìn)行掃描，造成企業(yè)、數(shù)據(jù)中心和網(wǎng)站的重 大的安全隱患。結(jié)果，系統(tǒng)設(shè)計者不得不實(shí)現(xiàn)SSL數(shù)據(jù)處理結(jié)合新型網(wǎng)絡(luò)設(shè)備設(shè)計。SSL的最大缺陷在于消耗網(wǎng)絡(luò)服務(wù)器性能，復(fù)雜的加密算法加重計算平臺與軟件的數(shù)據(jù)處理量。
在處理SSL加密通信量時，必須克服的兩大關(guān)鍵問題是1、共享主機(jī)總線上傳輸中間數(shù)據(jù)結(jié)
果的技術(shù)瓶頸2、主中央處理機(jī)處理支持TCP/IP協(xié)議和SSL協(xié)議處理多數(shù)加密協(xié)同處理器使用
PCI總線與主中央處理機(jī)交換數(shù)據(jù)。當(dāng)前幾乎沒有更好的解決負(fù)載均衡與客戶端信息交互安全
性問題并較低的占用負(fù)載均衡的處理器和內(nèi)存的架構(gòu)和方法，所以負(fù)載均衡技術(shù)整合互聯(lián)網(wǎng)
信息交互的安全問題成為一個研究的熱點(diǎn)和難點(diǎn)。

發(fā)明內(nèi)容
本發(fā)明公開了一種應(yīng)用SSL通信協(xié)議實(shí)現(xiàn)安全負(fù)載均衡的設(shè)計架構(gòu)及方法，具體是通過 SSL通信協(xié)議為客戶端與負(fù)載均衡設(shè)備提供一種安全可靠的數(shù)據(jù)通信。本發(fā)明主要是設(shè)計了 加載于負(fù)載均衡器中的一種基于SSL加密的處理器SSL-PU，該處理器包括PU處理單元、 Flash、 SRAM、 DDR SDRAM、 PCI/PCI-X/PCI-E以太網(wǎng)控制器和GbE PHY。 SSL-PU很好的解決 了傳統(tǒng)負(fù)載均衡設(shè)備與客戶端明文導(dǎo)致的安全性問題，也很好的解決傳統(tǒng)基于軟件的SSL加 密技術(shù)過分占用系統(tǒng)CPU和內(nèi)存資源的問題，節(jié)省服務(wù)器帶寬、增加吞吐量、提高網(wǎng)絡(luò)的靈 活性和可用性，這種模塊提供了一種有效、簡捷的安全負(fù)載均無方法。該處理器將很好的實(shí) 現(xiàn)了與客戶端的安全數(shù)據(jù)交互，并將數(shù)據(jù)以明文的形式遞交給負(fù)載均衡模塊，負(fù)載均衡模塊 根據(jù)負(fù)載均衡算法將請求定位到相應(yīng)服務(wù)器，服務(wù)器再將數(shù)據(jù)發(fā)送給負(fù)載均衡設(shè)備，帶有SSL-PU模塊的負(fù)載均衡器將加密的安全數(shù)據(jù)發(fā)送給客戶端，從而完成來安全的數(shù)據(jù)交互訪問。 本發(fā)明通過以下技術(shù)方法來實(shí)現(xiàn)
負(fù)載均衡器認(rèn)證階段l.客戶端向SSL-PU發(fā)送一個開始信息"Hello"以便開始一個新 的會話連接；2.SSL-PU根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要則服務(wù)器在響 應(yīng)客戶的"Hello"信息時將包含生成主密鑰所需的信息；3.客戶根據(jù)收到的SSL-PU響應(yīng)信 息，產(chǎn)生一個主密鑰，并用SSL-PU的公開密鑰加密后傳給SSL-PU; 4. SSL-PU恢復(fù)該主密鑰， 并返回給客戶一個用主密鑰認(rèn)證的信息，以此讓客戶認(rèn)證SSL-PU。
客戶端認(rèn)證階段在此之前，SSL-PU已經(jīng)通過了客戶認(rèn)證，這一階段主要完成對客戶的 認(rèn)證。經(jīng)認(rèn)證的SSL-PU發(fā)送一個提問給客戶，客戶則返回(數(shù)字)簽名后的提問和其公開密 鑰，從而向SSL-PU提供認(rèn)證。
當(dāng)雙方認(rèn)證結(jié)束后，客戶端將數(shù)據(jù)加密后傳給負(fù)載均衡器，負(fù)載均衡器根據(jù)解密信息并 根據(jù)負(fù)載均衡策略將此信息以明文的形式發(fā)送到相應(yīng)的服務(wù)器，服務(wù)器收到此信息后，根據(jù) 信息請求將相應(yīng)資源以明文發(fā)送給負(fù)載均衡器，負(fù)載均衡器的SSL-PU處理器通過客戶端公鑰 對服務(wù)器發(fā)送的信息進(jìn)行加密并轉(zhuǎn)發(fā)給客戶端，客戶端收到信息后用私鑰解密，獲取此數(shù)據(jù)信息，就此客戶端與服務(wù)器端的整個信息交互完成。


圖l基于SSL加密的安全負(fù)載均衡架構(gòu)圖 圖2 SSL-PU信息交互結(jié)構(gòu)圖 圖3基本的SSL通信握手圖 圖4 SSL-PU與應(yīng)用交互圖
具體實(shí)施例方式
下面結(jié)合附圖來進(jìn)一步說明本方法
如圖1描述了基于SSL通信協(xié)議的安全負(fù)載均衡的流程，在客戶端與負(fù)載均衡器端認(rèn)證 結(jié)束的狀態(tài)下，進(jìn)行的數(shù)據(jù)交互情況，特別是在用戶端與負(fù)載均衡器之間進(jìn)行密文傳輸，而 在負(fù)載均衡器與服務(wù)器端采用明文傳輸，從而極大的降低服務(wù)器端的CPU和內(nèi)存等資源。圖3 和圖4說明了在認(rèn)證當(dāng)中SSL握手整個流程和SSL-PU處理器與主機(jī)應(yīng)用程序交互過程。圖 3說明了客戶端與負(fù)載均衡器端進(jìn)行SSL握手的四個階段l.建立協(xié)議版本、會話ID、密文 族、壓縮方法、交換隨機(jī)數(shù)；2.可選的發(fā)送負(fù)載均衡器證書、請求客戶端證書；3.如請求的 話，客戶端發(fā)送證書；4.修改密文族并結(jié)束握手協(xié)議。圖4說明了SSL-PU處理器與主機(jī)(負(fù) 載均衡器)應(yīng)用程序通信交互的過程，由于SSL通信協(xié)議是在傳輸層之上，SSL-PU將解密數(shù) 據(jù)通過系統(tǒng)總線、NIC和TCP/IP協(xié)議棧直接交付給應(yīng)用程序的Sockets應(yīng)用程序接口，主機(jī) 應(yīng)用程序?qū)⒋藬?shù)據(jù)獲得并進(jìn)行相應(yīng)處理發(fā)送至服務(wù)器端，當(dāng)主機(jī)應(yīng)用程序需將處理完成的數(shù) 據(jù)發(fā)送給客戶端時，數(shù)據(jù)在通過Sockets應(yīng)用接口 、 CP/IP協(xié)議棧、NIC和系統(tǒng)PCI/PCI-X/PCI-E 總線交給SSL-PU進(jìn)行處理并在處理完后發(fā)給客戶端。
圖2詳細(xì)說明了 ，本發(fā)明的基于SSL通信協(xié)議的數(shù)據(jù)安全架構(gòu)SSL-PU工作原理圖，SSL-PU 的工作流程通過RJ-45直接與GeE網(wǎng)絡(luò)進(jìn)行互聯(lián)，并進(jìn)而與#戶端進(jìn)行通信，在SSL-PU處 理器中密鑰可以存儲本地的SRAM或Flash中(如3所示)，客戶端信息通過網(wǎng)絡(luò)進(jìn)入SSL-PU 后，通過PU處理單元將數(shù)據(jù)緩存入DDR SDRAM,在將此數(shù)據(jù)通過本地存儲的密鑰進(jìn)行解密， 解密成明文后從PCI/PCI-X/PCI-E以太網(wǎng)控制器傳出，遞交給主機(jī)PCI/PCI-X/PCI-E總線， 并交給主機(jī)應(yīng)用程序根據(jù)負(fù)載均衡策略發(fā)送到服務(wù)器端，當(dāng)從服務(wù)器獲得的數(shù)據(jù)直接遞交至 PU處理單元和DDR SDRAM,并通過SSL-PU與客戶端隨機(jī)協(xié)商的數(shù)據(jù)傳送公鑰進(jìn)行加密處理， 直接從GbE PHY模塊以密文的形式發(fā)送到客戶端。本發(fā)明設(shè)計了基于硬件SSL-PU的架構(gòu)和方法，解決了用戶數(shù)的安全性和服務(wù)器信息的安 全性問題，解決了處理SSL事務(wù)過分占用主機(jī)CPU和內(nèi)存資源的問題，并比較好的擴(kuò)展網(wǎng)絡(luò) 設(shè)備和服務(wù)器帶寬、增強(qiáng)了吞吐能力、提高網(wǎng)絡(luò)的安全性和可用性。本發(fā)明設(shè)計架構(gòu)和方法 相對簡捷，特別適合用于負(fù)載均衡設(shè)備后端為集群系統(tǒng)的負(fù)載均衡調(diào)度。
權(quán)利要求
1.一種應(yīng)用SSL通信協(xié)議實(shí)現(xiàn)安全負(fù)載均衡的設(shè)計架構(gòu)，其特征在于處理器SSL-PU的架構(gòu)包括PU、Flash、SRAM、DDR SDRAM，PCI/PCI-X/PCI-E以太網(wǎng)控制器和GbE PHY，SSL-PU通過RJ-45直接與GbE網(wǎng)絡(luò)進(jìn)行互聯(lián)，并進(jìn)而與客戶端進(jìn)行通信。
2. 根據(jù)權(quán)利1的一種應(yīng)用SSL通信協(xié)議實(shí)現(xiàn)安全負(fù)載均衡的設(shè)計架構(gòu)，其特征在于采用 在負(fù)載均衡器上設(shè)計了一種處理SSL事務(wù)的處理器架構(gòu)SSL-PU，用來實(shí)現(xiàn)客戶端與負(fù) 載均衡器之間數(shù)據(jù)安全傳輸，SSL-PU對客戶端發(fā)給服務(wù)器端請求數(shù)據(jù)進(jìn)行解密，對服 務(wù)器發(fā)往客戶端的數(shù)據(jù)進(jìn)行加密。
3. 根據(jù)權(quán)利1和2的一種應(yīng)用SSL通信協(xié)議實(shí)現(xiàn)安全負(fù)載均衡的設(shè)計架構(gòu)，其特征在于 設(shè)計的SSL-PU處理器，通過PU處理單元對交互數(shù)據(jù)進(jìn)行加密處理，并在本地Flash 或SRAM中存放密鑰。
4. 根據(jù)權(quán)利1、權(quán)利2和權(quán)利3的一種應(yīng)用SSL通信協(xié)議實(shí)現(xiàn)安全負(fù)載均衡的設(shè)計架構(gòu)， 其特征在于負(fù)載均衡器中設(shè)計的SSL-PU與負(fù)載均衡模塊交互是通過PCI/PCI-X/PCI-E 系統(tǒng)總線進(jìn)行銜接的，并將解密的明文數(shù)據(jù)根據(jù)負(fù)載均衡策略分配到服務(wù)器端。
5. —種應(yīng)用SSL通信協(xié)議實(shí)現(xiàn)安全負(fù)載均衡的方法，其特征在于在SSL-PU處理器中密 鑰可以存儲本地的SRAM或Flash中，客戶端信息通過網(wǎng)絡(luò)進(jìn)入SSL-PU后，通過PU 處理單元將數(shù)據(jù)緩存入DDR SDRAM,在將此數(shù)據(jù)通過本地存儲的密鑰進(jìn)行解密，解密 成明文后從PCI/PCI-X/PCI-E以太網(wǎng)控制器傳出，遞交給主機(jī)PCI/PCI-X/PCI-E總線， 并交給主機(jī)應(yīng)用程序根據(jù)負(fù)載均衡策略發(fā)送到服務(wù)器端，當(dāng)從服務(wù)器獲得的數(shù)據(jù)直接 遞交至PU處理單元和DDR SDRAM，并通過SSL-PU與客f端隨機(jī)協(xié)商的數(shù)據(jù)傳送公鑰 進(jìn)行加密處理，直接從GbE PHY模塊以密文的形式發(fā)送到客戶端。
6. —種應(yīng)用SSL通信協(xié)議實(shí)現(xiàn)安全負(fù)載均衡的方法，其特征在于處理器SSL-PU的認(rèn)證 實(shí)現(xiàn)方式采用單項(xiàng)認(rèn)證方式或雙向認(rèn)證方式，認(rèn)證過程完全由SSL-PU處理器進(jìn)行加 密解密數(shù)據(jù)通過負(fù)載均衡模塊之前來完成。
全文摘要
本發(fā)明公開了一種應(yīng)用SSL通信協(xié)議實(shí)現(xiàn)安全負(fù)載均衡的設(shè)計架構(gòu)及方法，具體是通過引入SSL(Security Socket Layer)通信協(xié)議為客戶端與負(fù)載均衡設(shè)備提供一種安全可靠的數(shù)據(jù)通信。本發(fā)明主要是設(shè)計了加載于負(fù)載均衡器中的一種基于SSL加密的處理器SSL-PU，該處理器包括處理單元(PU)，存儲單元(Flash、SRAM、DDR SDRAM等)，以太網(wǎng)控制器(PCI、PCI-X、PCI-E)，GbE PHY(RJ45接口)。SSL-PU很好的解決了傳統(tǒng)負(fù)載均衡設(shè)備與客戶端明文導(dǎo)致的安全性問題，也很好的解決傳統(tǒng)基于軟件的SSL加密技術(shù)過分占用系統(tǒng)CPU和內(nèi)存資源的問題，節(jié)省服務(wù)器帶寬、增加吞吐量、提高網(wǎng)絡(luò)的靈活性和可用性，處理器將很好的實(shí)現(xiàn)了與客戶端的安全數(shù)據(jù)交互，并將數(shù)據(jù)以明文的形式遞交給負(fù)載均衡模塊，負(fù)載均衡模塊根據(jù)負(fù)載均衡算法將請求定位到相應(yīng)服務(wù)器，服務(wù)器再將數(shù)據(jù)發(fā)送給負(fù)載均衡設(shè)備，帶有SSL-PU模塊的負(fù)載均衡器將加密的安全數(shù)據(jù)發(fā)送給客戶端，從而完成來安全的數(shù)據(jù)交互訪問。特別適合用于負(fù)載均衡設(shè)備后端為集群系統(tǒng)的安全負(fù)載均衡調(diào)度。
文檔編號H04L29/06GK101621509SQ200910017289
公開日2010年1月6日 申請日期2009年7月31日 優(yōu)先權(quán)日2009年7月31日
發(fā)明者寧雄雁, 王渭巍 申請人:浪潮電子信息產(chǎn)業(yè)股份有限公司