CN110324282A - Ssl/tls可视化流量的负载均衡方法及其*** - Google Patents

Ssl/tls可视化流量的负载均衡方法及其*** Download PDF

Info

Publication number
CN110324282A
CN110324282A CN201810273821.0A CN201810273821A CN110324282A CN 110324282 A CN110324282 A CN 110324282A CN 201810273821 A CN201810273821 A CN 201810273821A CN 110324282 A CN110324282 A CN 110324282A
Authority
CN
China
Prior art keywords
equipment
flow
ssl
tls
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810273821.0A
Other languages
English (en)
Inventor
吴东升
刘勤
贝少峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huayao (china) Technology Co Ltd
Original Assignee
Huayao (china) Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huayao (china) Technology Co Ltd filed Critical Huayao (china) Technology Co Ltd
Priority to CN201810273821.0A priority Critical patent/CN110324282A/zh
Publication of CN110324282A publication Critical patent/CN110324282A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1008Server selection for load balancing based on parameters of servers, e.g. available memory or workload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及数据安全领域,公开了一种SSL/TLS可视化流量的负载均衡方法及其***。本发明中,该SSL/TLS可视化流量的负载均衡方法将同一个会话中的所有流量都送到同一个安全设备进行检测,可以方便地对安全设备实现负载均衡,并且该安全设备可以联系上下文进行分析,大大提高了检测的准确性,此外还可以保证客户端和服务端之间通信的透明。

Description

SSL/TLS可视化流量的负载均衡方法及其***
技术领域
本发明涉及数据安全领域,特别涉及一种SSL/TLS可视化流量的负载均衡技术。
背景技术
越来越多的应用和网站使用SSL/TLS来达到应用业务数据的安全加密,各种攻击、病毒同样也可以隐藏在SSL/TLS的秘密保护之下,致使一些安全审查设备如IPS、IDS或WAF等对于SSL/TLS流量无计可施,出现了盲点。虽然一些安全设备可以具备SSL/TLS代理的功能,但是TLS协议、非对称算法、对称算法日益不断的推陈出新且SSL/TLS流量带宽的加大,使得安全设备同时处理SSL/TLS和流量审查顾此失彼,整机的处理性能捉襟见肘,故目前亟需一种能够让安全设备从繁杂的SSL/TLS代理任务中解脱出来的技术与产品,实现SSL/TLS流量可视化的同时又能将可视化流量在多台安全设备实现负载均衡提供了部署的灵活性、机动性。
发明内容
本发明的目的在于提供一种SSL/TLS可视化流量的负载均衡方法及其***,将同一个会话中的所有流量都送到同一个安全设备进行检测,可以方便地对安全设备实现负载均衡,并且该安全设备可以联系上下文进行分析,大大提高了检测的准确性,此外还可以保证客户端和服务端之间通信的透明。
为了解决上述问题,本申请公开了一种SSL/TLS可视化流量的负载均衡方法,该方法应用于客户端与服务端之间的中间网络节点,该中间网络节点包括第一节点设备、第二节点设备和N台安全设备,该第一节点设备通过该N台安全设备与该第二节点设备连接,其中N为大于1的整数,该方法包括以下步骤:
当该客户端向该服务端发送SSL/TLS流量时,该第一节点设备解密从该客户端收到的SSL/TLS流量,并发送明文流量给安全设备M检测,该安全设备M为该N台安全设备中的一台;该安全设备M将检测过的流量发送给该第二节点设备;该第二节点设备重新加密经过该安全设备M检测过的流量,并将加密流量发送给该服务端;
当该服务端向该客户端返回SSL/TLS流量时,该第二节点设备解密从该服务端返回的SSL/TLS流量,并发送明文流量给该安全设备M检测;该安全设备M将检测过的流量发送给该第一节点设备;该第一节点设备重新加密经过该安全设备M检测过的流量,并将加密流量发送给该客户端。
本申请还公开了一种SSL/TLS可视化流量的负载均衡***,该***连接在客户端与服务端之间,该***包括第一节点设备、第二节点设备和N台安全设备,该第一节点设备通过该N台安全设备与该第二节点设备连接,其中N为大于1的整数,
当该客户端向该服务端发送SSL/TLS流量时,
该第一节点设备,用于解密从该客户端收到的SSL/TLS流量,并发送明文流量给安全设备M检测,该安全设备M为该N台安全设备中的一台;
该安全设备M,用于检测该第一节点设备发送来的明文流量,并将检测过的流量发送给该第二节点设备;
该第二节点设备,用于重新加密经过该安全设备M检测过的流量,并将加密流量发送给该服务端;
当该服务端向该客户端返回SSL/TLS流量时,
该第二节点设备,还用于解密从该服务端返回的SSL/TLS流量,并发送明文流量给该安全设备M检测;
该安全设备M,还用于检测该第二节点设备方来的明文流量,将检测过的流量发送给该第一节点设备;
该第一节点设备,还用于重新加密经过该安全设备M检测过的流量,并将加密流量发送给该客户端。
本发明实施方式与现有技术相比,主要区别及其效果在于:
将同一个会话中的所有流量都送到同一个安全设备进行检测,可以方便地对安全设备实现负载均衡,并且该安全设备可以联系上下文进行分析,大大提高了检测的准确性,此外还可以保证客户端和服务端之间通信的透明。
进一步地,通过选择合适的哈希算法确定对应的安全设备,既可以确保同一个会话在同一个安全设备中处理,又可以方便地实现负载均衡。
进一步地,在将流量转发给安全设备之前,不将流量的目的IP地址修改为安全设备的IP地址,而是根据安全设备的IP地址通过三层网络通信设备进行转发或根据所述安全设备的后端第二节点的MAC地址通过二层网络通信设备进行转发,这样可以保证客户端和服务端之间通信的透明。
附图说明
图1是本发明第一实施方式中一种SSL/TLS可视化流量的负载均衡方法的流程示意图;
图2是本发明第二实施方式中一种SSL/TLS可视化流量的负载均衡***的结构示意图;
图3是本发明技术方案的拓扑图;
图4是本发明技术方案的***框架图;
图5是本发明技术方案的软件流程图;
图6是本发明技术方案的时序图;
图7是本发明一个具体实施例的拓扑图。
具体实施方式
在以下的叙述中,为了使读者更好地理解本申请而提出了许多技术细节。但是,本领域的普通技术人员可以理解,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请各权利要求所要求保护的技术方案。
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明的实施方式作进一步地详细描述。
本发明第一实施方式涉及一种SSL/TLS可视化流量的负载均衡方法。图1是该SSL/TLS可视化流量的负载均衡方法的流程示意图。
首先,需要说明的是,SSL是指Secure Sockets Layer,安全套接层;TLS是指Transport Layer Security,传输层安全。
该方法应用于客户端与服务端之间的中间网络节点,该中间网络节点包括第一节点设备、第二节点设备和N台安全设备,该第一节点设备通过该N台安全设备与该第二节点设备连接,其中N为大于1的整数。
具体地说,如图1所示,该SSL/TLS可视化流量的负载均衡方法包括以下步骤:
在步骤101中,当客户端向服务端发送SSL/TLS流量时,第一节点设备解密从客户端收到的SSL/TLS流量,并发送明文流量给安全设备M检测,该安全设备M为该N台安全设备中的一台。
在本实施方式中,第一节点设备发送明文流量给安全设备检测,分发到N台安全设备中的其中一台进行检测,分发的依据可以是根据现有技术中的负载均衡算法。例如可以是,挑选N台安全设备中负载最轻或当前剩余资源最多的安全设备,将明文流量转发给该安全设备进行处理。现有技术中,负载均衡算法是非常成熟的技术,实现方式也多种多样,在此不再具体阐述。
在本发明的各实施方式中,该客户端可以是手机、平板电脑、笔记本电脑、特制的终端等等,服务端可以是各种服务器。安全设备可以是IPS、IDS和/或WAF等。
此后进入步骤102,安全设备M将检测过的流量发送给第二节点设备。
此后进入步骤103,第二节点设备重新加密经过该安全设备M检测过的流量,并将加密流量发送给服务端。
此后进入步骤104,当服务端向客户端返回SSL/TLS流量时,第二节点设备解密从服务端返回的SSL/TLS流量,并发送明文流量给该安全设备M检测。
此后进入步骤105,安全设备M将检测过的流量发送给第一节点设备。
此后进入步骤106,第一节点设备重新加密经过该安全设备M检测过的流量,并将加密流量发送给客户端。
此后结束本流程。
需要说明的是,上述步骤101-103,实现了SSL/TLS流量从客户端到服务端的通信过程。服务端在接收到客户端的SSL/TLS流量后,会返回客户端相应的SSL/TLS流量,上述步骤104-106示出了该SSL/TLS流量从服务端到客户端的通信过程。也就是说,上述步骤101-106实现了从客户端到服务端,再从服务端返回到客户端的SSL/TLS流量交互过程。
在本申请的技术方案中,将同一个会话中的所有流量都送到同一个安全设备进行检测,可以方便地对安全设备实现负载均衡,并且该安全设备可以联系上下文进行分析,大大提高了检测的准确性,此外还可以保证客户端和服务端之间通信的透明。
需要说明的是,在步骤104中,该安全设备M就是步骤101中流量经过的安全设备。
在本实施方式中,优选地,在第一节点设备和第二节点设备上都建立和保持每一个会话和安全设备之间的对应关系,第一节点设备和第二节点设备会将同一个会话中的所有流量都根据该对应关系发送到同一个安全设备进行检测。
现有技术中,在一般的负载均衡中,负载均衡控制设备收到报文后,会挑选各个实际处理服务器中负载最轻或当前剩余资源最多的服务器,将报文转发给该服务器进行处理。而本申请采用了不同的技术方案,即在两个节点设备上都建立和保持每一个会话和安全设备之间的对应关系,两个节点设备会将同一个会话中的所有报文都根据这个对应关系送到同一个安全设备中进行检查,该安全设备可以联系上下文进行分析,大大提高了检查的准确性。
对应关系的一个例子是,节点设备设置在内网和外网之间,节点设备对报文的原地址和目的地址进行哈希运算,根据得到的哈希值确定对应的安全设备,通过选择合适的哈希算法,既可以确保同一个会话在同一个安全设备中处理,又可以方便地实现负载均衡。
更进一步地,优选地,在步骤101和步骤104中,在第一节点设备和第二节点设备向安全设备M发送流量时,是根据安全设备M的IP地址通过三层网络通信设备进行转发或根据所述安全设备M的后端第二节点的MAC地址通过二层网络通信设备进行转发。
现有技术中,在一般的负载均衡中,负载均衡控制设备收到报文后会将报文的目的IP地址修改为实际处理的服务器的IP地址,然后通过IP网络发送给该服务器。在本实施方式中,节点设备收到报文后,在转发给安全设备之前,并不将报文的目的IP地址修改为安全设备的IP地址,而是根据安全设备的IP地址通过三层网络通信设备进行转发或根据所述安全设备的后端第二节点的MAC地址通过二层网络通信设备进行转发。这样可以保证客户端和服务端之间通信的透明。
此外,在步骤101之前,还包括以下步骤:
当客户端发起和服务端的SSL/TLS握手时,第一节点设备与服务端通信,获取并存储服务端证书;
第一节点设备根据存储的服务端证书伪造新证书并对新证书进行签名;
第一节点设备发送签名后的新证书给所述客户端,SSL/TLS握手继续进行。
综上所述,本申请的技术方案可以实现:
1.SSL/TLS流量的截获、解密,可以实现在客户端和服务端之间的透明化。
2.可以实现接收、审阅SSL/TLS明文流量的安全设备的负载均衡,SSL/TLS可视化流量发给不同的流量监听设备。
3.可以监听访问外网的流量也可以监听访问内网的流量,可以通过OSI3层的方式也可以通过OSI 2层的方式来达到对可视化流量的负载均衡。
本发明第二实施方式涉及一种SSL/TLS可视化流量的负载均衡***。图2是该SSL/TLS可视化流量的负载均衡***的结构示意图。
具体地说,如图2所示,该SSL/TLS可视化流量的负载均衡***连接在客户端与服务端之间,包括:第一节点设备、第二节点设备和N台安全设备,第一节点设备通过N台安全设备与第二节点设备连接,其中N为大于1的整数,
N台安全设备连接在第一节点设备和第二节点之间,用于检测第一节点设备和第二节点设备发送来的SSL/TLS流量。
当客户端向服务端发送SSL/TLS流量时,
第一节点设备,用于解密从客户端收到的SSL/TLS流量,并发送明文流量给安全设备M检测,该安全设备M为N台安全设备中的一台;
在本实施方式中,第一节点设备发送明文流量给安全设备检测,分发到N台安全设备中的其中一台进行检测,分发的依据可以是根据现有技术中的负载均衡算法。例如可以是,挑选N台安全设备中负载最轻或当前剩余资源最多的安全设备,将明文流量转发给该安全设备进行处理。现有技术中,负载均衡算法是非常成熟的技术,实现方式也多种多样,在此不再具体阐述。
安全设备M,用于检测第一节点设备发送来的明文流量,并将检测过的流量发送给第二节点设备;
第二节点设备,用于重新加密经过安全设备M检测过的流量,并将加密流量发送给服务端;
当服务端向客户端返回SSL/TLS流量时,
第二节点设备,还用于解密从服务端返回的SSL/TLS流量,并发送明文流量给安全设备M检测;
安全设备M,还用于检测第二节点设备发送来的明文流量,并将检测过的流量发送给第一节点设备;
第一节点设备,还用于重新加密经过安全设备M检测过的流量,并将加密流量发送给客户端。
在该SSL/TLS可视化流量的负载均衡***中,将同一个会话中的所有流量都送到同一个安全设备进行检测,可以方便地对安全设备实现负载均衡,并且该安全设备可以联系上下文进行分析,大大提高了检测的准确性,此外还可以保证客户端和服务端之间通信的透明。
进一步地,优选地,第一节点设备和第二节点设备,还用于建立和保持每一个会话和安全设备之间的对应关系,并将同一个会话中的所有流量都根据该对应关系发送到同一个安全设备进行检测。
现有技术中,在一般的负载均衡中,负载均衡控制设备收到报文后,会挑选各个实际处理服务器中负载最轻或当前剩余资源最多的服务器,将报文转发给该服务器进行处理。而本申请采用了不同的技术方案,即在两个节点设备上都建立和保持每一个会话和安全设备之间的对应关系,两个节点设备会将同一个会话中的所有报文都根据这个对应关系送到同一个安全设备中进行检查,该安全设备可以联系上下文进行分析,大大提高了检查的准确性。
对应关系的一个例子是,节点设备设置在内网和外网之间,节点设备对报文的原地址和目的地址进行哈希运算,根据得到的哈希值确定对应的安全设备,通过选择合适的哈希算法,既可以确保同一个会话在同一个安全设备中处理,又可以方便地实现负载均衡。
更进一步地,优选地,在第一节点设备和第二节点设备向安全设备M发送流量时,是根据安全设备M的IP地址通过三层网络通信设备进行转发或根据所述安全设备M的后端第二节点的MAC地址通过二层网络通信设备进行转发。
现有技术中,在一般的负载均衡中,负载均衡控制设备收到报文后会将报文的目的IP地址修改为实际处理的服务器的IP地址,然后通过IP网络发送给该服务器。在本实施方式中,节点设备收到报文后,在转发给安全设备之前,并不将报文的目的IP地址修改为安全设备的IP地址,而是根据安全设备的IP地址通过三层网络通信设备进行转发或根据所述安全设备的后端第二节点的MAC地址通过二层网络通信设备进行转发。这样可以保证客户端和服务端之间通信的透明。
此外,该SSL/TLS可视化流量的负载均衡***还可以包括:
证书获取模块,用于当客户端发起和服务端的SSL/TLS握手时,与服务端通信,获取并存储服务端证书;
证书伪造模块,用于根据存储的服务端证书伪造新证书并对新证书进行签名,并发送签名后的新证书给客户端。
本实施方式是与第一实施方式相对应的***实施方式,本实施方式可与第一实施方式互相配合实施。第一实施方式中提到的相关技术细节在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在第一实施方式中。
下面说明本申请的一个具体实施例。
现有的服务器或者中间的网络设备都作为SSL/TLS服务端的角色,这类的角色往往都是SSL/TLS流量的终结点,作为客户端访问的最终SSL/TLS流量节点,和客户端角色属于一对一的交互。
本申请的技术方案应用于客户端与服务端中间的网络节点,对SSL/TLS流量进行可视化解密操作,并负责与客户端和服务端保持密文通信,同时将可视化的流量均衡地分发给监听设备达到负载均衡的目的。
本申请技术方案的拓扑图如图3所示,监听装置串联在客户端与服务端通信的线路上,其中包括第一节点设备(APV设备1)、第二节点设备(APV设备2)和N台安全设备。
本申请技术方案的***框架图如图4所示。
本申请可以分为SSL监听和安全设备负载均衡两大模块,因为SSL/TLS协议是在OSI模型中的第5层应用层,而负载均衡模块主要工作在网络协议栈的2、3、4层;起始模块是SSL/TLS监听模块,当监听成功后会触发负载均衡模块。SSL/TLS监听模块从具体的功能角度又可以分为可视化监听驱动组件和证书获取以及证书伪造组件,驱动组件负责驱动证书的获取动作和伪造证书动作。SSL/TLS可视化驱动组件和证书获取组件需要加密模块的参与。
本申请技术方案的软件流程图如图5所示。
本申请技术方案的时序图如图6所示,对于客户端本发明充当服务端角色,而对于真正的服务端本发明充当客户端角色。图中涉及的握手消息均为SSL/TLS标准的握手协议。
图7是本申请中包括两台安全设备(即:N为2)的一个具体实施例的拓扑图。
如图7所示,所需设备包括:
两台APV2600设备(16G内存,6个网络接口),具体地,为图7中间的两个设备。
两个安全设备(APV设备SSL监听和负载均衡服务的主要目标设备)。
为了方便描述流程,图7中两台APV设备从左到右分别命名为设备A和设备B。
SSL监听功能描述:
1.在A设备上,管理员生成公钥和私钥对,以及包含公钥的根CA证书。
2.管理员确保生成的根CA证书已经导入客户端的受信根CA证书库中。
3.当客户端发起SSL握手,A设备充当SSL客户端与真实服务器通信,以获取它们的服务器证书。
4.A设备通过以下步骤模拟证书:a.将获取的SSL证书中的公钥和签发者替换为生成的根CA证书的公钥和签发者;b.使用根CA证书的私钥重新对证书进行签名。
5.A设备发送模拟的服务器证书给客户端,SSL握手将继续进行。
负载均衡功能描述:
具体的数据流和功能描述从流量的两个方向描述:
从客户端到服务器的流量:
1.设备A解密从客户端收到的SSL流量,并发送明文流量给安全设备检测,分发到其中一台设备的依据是根据负载均衡算法。
2.设备B重新加密经过安全设备检测过的流量,并将加密流量发送给服务器。
从客服务器到客户端的流量:
3.设备B解密从服务器返回的SSL流量,并发送明文流量给安全设备检测,安全设备选择的依据是1中流量经过的设备。
4.设备A重新加密经过安全设备检测过的流量,并将加密流量发送给客户端。
配置实例:
为了方便添加配置,图7中的两台APV设备从左到右分别命名为Ingress(入口节点)和Egress(出口节点),具体配置如下:
Ingress(入口节点):
网络地址和路由的配置:
1.在网口port1、port3上配置IP地址
2.设置默认路由
3.设置策略路由
负载均衡设置:
1.设置转发模式
2.配置需要负载均衡的安全设备
3.配置负载均衡的算法
4.配置入口流量监听的服务类型为SSL/TLS 443端口
5.配置入口流量监测和需负载均衡设备的关联
SSL配置:
1.SSL配置与监听服务关联
2.在SSL配置上监听功能
3.配置用于达成监听目的而需要伪造证书的签名CA证书,并启动SSL监听功能
Egress(出口节点):
网络地址和路由的配置:
1.配置网络接口Port2、Port4网络地址
2.设置默认路由
3.配置策略路由
负载均衡(对出网网关的负载均衡)配置:
1.设置转发模式
2.配置网络下一跳的路由设备为负载均衡设备(此处以一个下一跳网关为例,如果有多个链路,这里配置多个类似的配置既可以实现对链路的负载均衡),同时配置keepdip保证经过出口节点的流量仍然保持目的IP和端口不变
3.配置监听明文流量的服务端口8443(此端口需要与入口节点配置需要负载均衡的安全设备时使用的端口一致)
4.关联监听服务与负载均衡设备
SSL设置:
1.SSL配置与监听服务关联
2.在SSL配置上监听功能并且启动SSL监听功能
需要说明的是,本发明的各方法实施方式均可以以软件、硬件、固件等方式实现。不管本发明是以软件、硬件、还是固件方式实现,指令代码都可以存储在任何类型的计算机可访问的存储器中(例如永久的或者可修改的,易失性的或者非易失性的,固态的或者非固态的,固定的或者可更换的介质等等)。同样,存储器可以例如是可编程阵列逻辑(Programmable Array Logic,简称“PAL”)、随机存取存储器(Random Access Memory,简称“RAM”)、可编程只读存储器(Programmable Read Only Memory,简称“PROM”)、只读存储器(Read-Only Memory,简称“ROM”)、电可擦除可编程只读存储器(Electrically ErasableProgrammable ROM,简称“EEPROM”)、磁盘、光盘、数字通用光盘(Digital Versatile Disc,简称“DVD”)等等。
本发明各***实施方式中提到的各模块都是逻辑模块,在物理上,一个逻辑模块可以是一个物理模块,也可以是一个物理模块的一部分,还可以以多个物理模块的组合实现,这些逻辑模块本身的物理实现方式并不是最重要的,这些逻辑模块所实现的功能的组合才是解决本发明所提出的技术问题的关键。此外,为了突出本发明的创新部分,本发明上述各设备实施方式并没有将与解决本发明所提出的技术问题关系不太密切的模块引入,这并不表明上述设备实施方式并不存在其它的模块。
需要说明的是,在本专利的权利要求和说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
虽然通过参照本发明的某些优选实施方式,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。

Claims (10)

1.一种SSL/TLS可视化流量的负载均衡方法,其特征在于,所述方法应用于客户端与服务端之间的中间网络节点,所述中间网络节点包括第一节点设备、第二节点设备和N台安全设备,所述第一节点设备通过所述N台安全设备与所述第二节点设备连接,其中N为大于1的整数,所述方法包括以下步骤:
当所述客户端向所述服务端发送SSL/TLS流量时,所述第一节点设备解密从所述客户端收到的SSL/TLS流量,并发送明文流量给安全设备M检测,所述安全设备M为所述N台安全设备中的一台;所述安全设备M将检测过的流量发送给所述第二节点设备;所述第二节点设备重新加密经过所述安全设备M检测过的流量,并将加密流量发送给所述服务端;
当所述服务端向所述客户端返回SSL/TLS流量时,所述第二节点设备解密从所述服务端返回的SSL/TLS流量,并发送明文流量给所述安全设备M检测;所述安全设备M将检测过的流量发送给所述第一节点设备;所述第一节点设备重新加密经过所述安全设备M检测过的流量,并将加密流量发送给所述客户端。
2.根据权利要求1所述的SSL/TLS可视化流量的负载均衡方法,其特征在于,还包括以下步骤:
在所述第一节点设备和所述第二节点设备上都建立和保持每一个会话和安全设备之间的对应关系,所述第一节点设备和所述第二节点设备会将同一个会话中的所有流量都根据所述对应关系发送到同一个安全设备进行检测。
3.根据权利要求1或2所述的SSL/TLS可视化流量的负载均衡方法,其特征在于,在所述第一节点设备和所述第二节点设备向所述安全设备M发送流量时,是根据所述安全设备M的IP地址通过三层网络通信设备进行转发或根据所述安全设备M的后端第二节点的MAC地址通过二层网络通信设备进行转发。
4.根据权利要求1所述的SSL/TLS可视化流量的负载均衡方法,其特征在于,在所述客户端发送到所述服务端的SSL/TLS流量之前,还包括以下步骤:
当所述客户端发起和所述服务端的SSL/TLS握手时,所述第一节点设备与所述服务端通信,获取并存储所述服务端证书;
所述第一节点设备根据存储的所述服务端证书伪造新证书并对新证书进行签名;
所述第一节点设备发送签名后的新证书给所述客户端,所述SSL/TLS握手继续进行。
5.根据权利要求1所述的SSL/TLS可视化流量的负载均衡方法,其特征在于,在所述“所述第一节点设备解密从所述客户端收到的SSL/TLS流量,并发送明文流量给安全设备M检测”的步骤中,所述安全设备M为所述N台安全设备中负载最轻或当前剩余资源最多的。
6.一种SSL/TLS可视化流量的负载均衡***,其特征在于,所述***连接在客户端与服务端之间,所述***包括第一节点设备、第二节点设备和N台安全设备,所述第一节点设备通过所述N台安全设备与所述第二节点设备连接,其中N为大于1的整数,
当所述客户端向所述服务端发送SSL/TLS流量时,
所述第一节点设备,用于解密从所述客户端收到的SSL/TLS流量,并发送明文流量给安全设备M检测,所述安全设备M为所述N台安全设备中的一台;
所述安全设备M,用于检测所述第一节点设备发送来的明文流量,并将检测过的流量发送给所述第二节点设备;
所述第二节点设备,用于重新加密经过所述安全设备M检测过的流量,并将加密流量发送给所述服务端;
当所述服务端向所述客户端返回SSL/TLS流量时,
所述第二节点设备,还用于解密从所述服务端返回的SSL/TLS流量,并发送明文流量给所述安全设备M检测;
所述安全设备M,还用于检测所述第二节点设备发送来的明文流量,并将检测过的流量发送给所述第一节点设备;
所述第一节点设备,还用于重新加密经过所述安全设备M检测过的流量,并将加密流量发送给所述客户端。
7.根据权利要求6所述的SSL/TLS可视化流量的负载均衡***,其特征在于,所述第一节点设备和所述第二节点设备,还用于建立和保持每一个会话和安全设备之间的对应关系,并将同一个会话中的所有流量都根据所述对应关系发送到同一个安全设备进行检测。
8.根据权利要求6或7所述的SSL/TLS可视化流量的负载均衡***,其特征在于,在所述第一节点设备和所述第二节点设备向所述安全设备M发送流量时,是根据所述安全设备M的IP地址通过三层网络通信设备进行转发或根据所述安全设备M的后端第二节点的MAC地址通过二层网络通信设备进行转发。
9.根据权利要求6所述的SSL/TLS可视化流量的负载均衡***,其特征在于,还包括:
证书获取模块,用于当所述客户端发起和所述服务端的SSL/TLS握手时,与所述服务端通信,获取并存储所述服务端证书;
证书伪造模块,用于根据存储的所述服务端证书伪造新证书并对新证书进行签名,并发送签名后的新证书给所述客户端。
10.根据权利要求6所述的SSL/TLS可视化流量的负载均衡***,其特征在于,当所述客户端向所述服务端发送SSL/TLS流量时,所述安全设备M为所述N台安全设备中负载最轻或当前剩余资源最多的。
CN201810273821.0A 2018-03-29 2018-03-29 Ssl/tls可视化流量的负载均衡方法及其*** Pending CN110324282A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810273821.0A CN110324282A (zh) 2018-03-29 2018-03-29 Ssl/tls可视化流量的负载均衡方法及其***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810273821.0A CN110324282A (zh) 2018-03-29 2018-03-29 Ssl/tls可视化流量的负载均衡方法及其***

Publications (1)

Publication Number Publication Date
CN110324282A true CN110324282A (zh) 2019-10-11

Family

ID=68111083

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810273821.0A Pending CN110324282A (zh) 2018-03-29 2018-03-29 Ssl/tls可视化流量的负载均衡方法及其***

Country Status (1)

Country Link
CN (1) CN110324282A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112738217A (zh) * 2020-12-28 2021-04-30 中国建设银行股份有限公司 安全交互***及方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101141243A (zh) * 2006-09-08 2008-03-12 飞塔信息科技(北京)有限公司 一种对通信数据进行安全检查和内容过滤的装置和方法
CN101621509A (zh) * 2009-07-31 2010-01-06 浪潮电子信息产业股份有限公司 一种应用ssl通信协议安全负载均衡的设计架构及方法
CN102316094A (zh) * 2010-06-30 2012-01-11 丛林网络公司 用于移动设备的具有集成加速的多服务vpn网络客户端
CN103188074A (zh) * 2011-12-28 2013-07-03 上海格尔软件股份有限公司 一种增强浏览器ssl算法强度的代理方法
CN103731482A (zh) * 2013-12-24 2014-04-16 浪潮电子信息产业股份有限公司 一种集群负载均衡***及其实现方法
CN106789542A (zh) * 2017-03-03 2017-05-31 清华大学 一种云数据中心安全服务链的实现方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101141243A (zh) * 2006-09-08 2008-03-12 飞塔信息科技(北京)有限公司 一种对通信数据进行安全检查和内容过滤的装置和方法
CN101621509A (zh) * 2009-07-31 2010-01-06 浪潮电子信息产业股份有限公司 一种应用ssl通信协议安全负载均衡的设计架构及方法
CN102316094A (zh) * 2010-06-30 2012-01-11 丛林网络公司 用于移动设备的具有集成加速的多服务vpn网络客户端
CN103188074A (zh) * 2011-12-28 2013-07-03 上海格尔软件股份有限公司 一种增强浏览器ssl算法强度的代理方法
CN103731482A (zh) * 2013-12-24 2014-04-16 浪潮电子信息产业股份有限公司 一种集群负载均衡***及其实现方法
CN106789542A (zh) * 2017-03-03 2017-05-31 清华大学 一种云数据中心安全服务链的实现方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112738217A (zh) * 2020-12-28 2021-04-30 中国建设银行股份有限公司 安全交互***及方法

Similar Documents

Publication Publication Date Title
US10735511B2 (en) Device and related method for dynamic traffic mirroring
US11176459B2 (en) Extracting encryption metadata and terminating malicious connections using machine learning
US9961103B2 (en) Intercepting, decrypting and inspecting traffic over an encrypted channel
US9813447B2 (en) Device and related method for establishing network policy based on applications
US9130826B2 (en) System and related method for network monitoring and control based on applications
US9256636B2 (en) Device and related method for application identification
CN112333143B (zh) 经代理安全会话的粒度卸载
US9584393B2 (en) Device and related method for dynamic traffic mirroring policy
US9230213B2 (en) Device and related method for scoring applications running on a network
CN109067803A (zh) 一种ssl/tls加解密通信方法、装置及设备
US20150180830A1 (en) Context-aware network and situation management for crypto-partitioned networks
Liyanage et al. Secure communication channel architecture for software defined mobile networks
US10291600B2 (en) Synchronizing secure session keys
US10505984B2 (en) Exchange of control information between secure socket layer gateways
EP3499908B1 (en) A device and method for the determination of applications running on a network
US10601788B2 (en) Interception of secure shell communication sessions
Puthal et al. Decision tree based user-centric security solution for critical IoT infrastructure
Tennekoon et al. Prototype implementation of fast and secure traceability service over public networks
US10015208B2 (en) Single proxies in secure communication using service function chaining
Parenreng Network security analysis based on internet protocol security using virtual private network (VPN)
Liyanage et al. Secure hierarchical VPLS architecture for provider provisioned networks
CN110324282A (zh) Ssl/tls可视化流量的负载均衡方法及其***
Liu Next generation SSH2 implementation: securing data in motion
US20200259863A1 (en) Security socket layer decryption method for security
Cherukuri et al. Integrity of IoT network flow records in encrypted traffic analytics

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 100125 Beijing city Chaoyang District Liangmaqiao Road No. 40 building 10 room 1001, twenty-first Century

Applicant after: Beijing Huayao Technology Co.,Ltd.

Address before: 100125 Beijing city Chaoyang District Liangmaqiao Road No. 40 building 10 room 1001, twenty-first Century

Applicant before: ARRAY NETWORKS, Inc.

RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20191011