CN107580074B - 一种无主控网关式负载均衡接入方法 - Google Patents
一种无主控网关式负载均衡接入方法 Download PDFInfo
- Publication number
- CN107580074B CN107580074B CN201711001122.2A CN201711001122A CN107580074B CN 107580074 B CN107580074 B CN 107580074B CN 201711001122 A CN201711001122 A CN 201711001122A CN 107580074 B CN107580074 B CN 107580074B
- Authority
- CN
- China
- Prior art keywords
- key
- session key
- information
- session
- negotiation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明涉及一种无主控网关式负载均衡接入方法,包括如下步骤:S1建立调度机系统架构;S2建立虚拟服务。其中,建立虚拟服务包括建立虚拟服务链接和虚拟密码服务建立。本发明能够实现用户根据每个设备的负载量,自动选取最佳效率的接入设备,规避了主控网关方式单点问题和流量瓶颈问题。而且,本申请并联调度机之间能够确保相互间各种信息的及时同步,实现了系统的稳定高效运行。
Description
技术领域
本发明涉及互联网领域,具体涉及一种无主控网关式负载均衡接入方法。
背景技术
目前网关式负载均衡接入技术大多采用主控方式,以一个设备为主调度机(Master或Leader)负责将负载分配到其他设备中,例如Nginx等,对于密码设备集群数量少、用户数相对固定或数量有限的场景,这种网关式的负载均衡方式是一种经济、方便的方案。
对于密码设备数量多,用户数量较大的场景,需要考虑新的负载均衡方式。现有的负载均衡方式包括旁路式负载均衡方案,但是其实现难度较大,还包括主从负载均衡方式,但是其主要应用于F5设备。
发明内容
本发明的目的是针对现有技术中的不足,提供一种无主控网关式负载均衡接入方法,保证系统的稳定高效运行。
为实现上述目的,本发明公开了如下技术方案:
一种无主控网关式负载均衡接入方法,包括如下步骤:
S1建立调度机系统架构:采用并联架构建立调度机系统架构,调度机之间同步全局信息,包括密码设备能力、调度机负载、各密码设备负载、密钥空间占用信息,这些信息存储在zookeeper服务的数据结构中,并利用该服务实现调度机直接的信息同步;
S2建立虚拟服务:根据接入管理服务获取的用户注册信息,启动docker服务为用户创建虚拟密码服务;
S201建立虚拟服务链接:
利用docker建立虚拟网络服务,产生虚拟网络地址:IP和Port,用户访问控制服务将地址返给接入客户端,接入控制客户端重新为用户建立虚拟密码服务链接;
S202虚拟密码服务建立:
根据获取的用户注册信息中的密码服务信息,从zookeeper存储的全部密码设备信息、密钥存储信息中选取满足该用户所需的服务资源。
在进一步的技术方案中,在zookeeper中保持有完整的各个密码设备密钥空间存储状态结构表,当选择好某台设备中所需的空闲密钥空间时,及时标识空间占用状态、所需虚拟机及其用户编码。
在进一步的技术方案中,在进行密钥使用时,包括:
导入会话秘钥并用内部私钥解密:将外置会话密钥存入密码设备中,并获知存储的单元标识,在密钥信息库和zookeeper密钥结构中将该标识与密钥空间编号进行绑定,为密钥使用提供统一的管理信息;
基于非对称算法的数字信封转换:将由内部加密公钥的会话密钥转换为由外部指定的公钥加密,应用于数字信封;
生成密钥协商参数并输出:使用ECC密钥协商算法,为计算会话密钥而产生协商参数,同时返回指定索引位置,为协商会话密钥,协商的发起方首先调用本函数;
计算会话密钥:使用ECC密钥协商管理算法,使用自身协商句柄和响应方的协商参数计算会话密钥,同时返回会话密钥句柄,协商的发起方获得响应方的协商参数后调用本函数,计算会话密钥;
所述生成密钥协商参数并输出以及计算会话密钥都将在密码设备中生成并存储会话密钥,并能够获知存储单元的表示,在密钥信息库和zookeeper密钥结构中需将该标识与密钥空间编号进行绑定,为密钥使用提供统一的管理信息;
产生协商数据并计算会话密钥:使用ECC密钥协商算法,产生协商参数并计算会话密钥,同时返回产生的协商参数和密钥句柄;所述产生协商数据并计算会话密钥将在密码设备中生成并存储会话密钥,并能够获知存储的单元的标识,在密钥信息库和zookeeper密钥结构中需将该标识与密钥空间编号进行绑定,为密钥使用提供统一的管理信息;
生成会话密钥并用密钥加密密钥加密输出:生成会话密钥并用密钥加密密钥输出,同时返回密钥句柄,加密模式使用ECB模式;密钥加密密钥通过密码设备管理工具生成或安装,密钥加密密钥存储在密钥信息中,需要时用密码设备公钥加密后导入密码设备中的某个密钥空间;
导入会话密钥并用密钥加密密钥解密:导入会话密钥并用密钥加密密钥解密,同时返回会话密钥句柄,加密模式使用ECB模式;会话密钥解密后存储在密码设备中,并能够获知存储的单元的标识,在密钥信息库和zookeeper密钥结构中需将该标识与密钥空间编号进行绑定,为密钥使用提供统一的管理信息;
销毁会话密钥:销毁会话密钥,并释放为密钥句柄分配的内存资源,按照会话密钥存储的单元的标识进行会话密钥销毁,在密钥信息库和zookeeper密钥结构中需将该标识与密钥空间置位,同时,如果在数据库中存储了该密钥需要同步清除。
本发明公开的一种无主控网关式负载均衡接入方法,具有以下有益效果:
并联网关式调度机接入实现负载均衡方式,能够实现用户根据每个设备的负载量,自动选取最佳效率的接入设备,规避了主控网关方式单点问题和流量瓶颈问题。而且,本申请并联调度机之间能够确保相互间各种信息的及时同步,实现了系统的稳定高效运行。
附图说明
图1是本发明调度机系统架构图,
图2是建立虚拟密码服务链接示意图。
具体实施方式
下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的核心是提供一种无主控网关式负载均衡接入方法,保证系统的稳定高效运行。
请参见图1-图2。本发明公开的一种无主控网关式负载均衡接入方法,包括如下步骤:
S1建立调度机系统架构:采用并联架构建立调度机系统架构,调度机的并联调度是整个系统对外提供高速、高效服务的关键部分,其目标:支持大量用户并发访问能力,支持负载均衡原则,支持快速解析密码作业的能力,实现并联调度机之间的消息快速同步。调度机功能:分析密码设备运行状态,动态创建虚拟密码服务,密钥调度,完成密码作业解析与整合,向密码设备提交密码作业。保存来源于管理系统的用户注册的各种信息,包括用户认证信息、权限信息、密钥服务信息、密钥使用信息等,为接入认证、虚拟服务创建提供数据支持。调度机之间同步着几类全局信息,包括密码设备能力、调度机负载、各密码设备负载、密钥空间占用等信息。这些信息存储在zookeeper服务的数据结构中,并利用该服务实现调度机直接的信息同步;
S2建立虚拟服务:根据接入管理服务获取的用户注册信息,启动docker服务为用户创建虚拟密码服务;
S201建立虚拟服务链接:
利用docker建立虚拟网络服务,产生虚拟网络地址:IP和Port,用户访问控制服务将地址返给接入客户端,接入控制客户端重新为用户建立虚拟密码服务链接;
S202虚拟密码服务建立:
根据获取的用户注册信息中的密码服务信息,从zookeeper存储的全部密码设备信息、密钥存储信息中选取满足该用户所需的服务资源。
本发明中的密码设备选取原则如下:
选择顺序:功能——密钥——性能——负载;
找全空闲单台完全符合要求的设备;
找全空闲多台合计完全符合要求的设备;
找非空闲单台完全符合要求的设备;
找非空闲多台完全符合要求的设备;
找非空闲多台不完全符合要求的设备;
从找到的设备中挑出负载最小的设备。
在进一步的技术方案中,由于每个设备可能为不同用户提供服务,密钥空间的选择是相对灵活的。在zookeeper中保持有完整的各个密码设备密钥空间存储状态结构表,当选择好某台设备中所需的空闲密钥空间时,及时标识空间占用状态、所需虚拟机及其用户编码。
在进一步的技术方案中,每台密码设备内部密钥存储空间都有限,在提供密码服务时需要不断将需要用的密钥导入,不用的密钥清除,有需要则备份到密钥信息库中。在进行密钥使用时,包括:
导入会话秘钥并用内部私钥解密:将外置会话密钥存入密码设备中,并获知存储的单元标识,在密钥信息库和zookeeper密钥结构中将该标识与密钥空间编号进行绑定,为密钥使用提供统一的管理信息;
基于非对称算法的数字信封转换:将由内部加密公钥的会话密钥转换为由外部指定的公钥加密,应用于数字信封;
该功能仅在密码设备中进行会话密钥的保护交换,无需存储。但用于解密的私钥可以事先从密钥信息库中导入。
生成密钥协商参数并输出:使用ECC密钥协商算法,为计算会话密钥而产生协商参数,同时返回指定索引位置,为协商会话密钥,协商的发起方首先调用本函数;
计算会话密钥:使用ECC密钥协商管理算法,使用自身协商句柄和响应方的协商参数计算会话密钥,同时返回会话密钥句柄,协商的发起方获得响应方的协商参数后调用本函数,计算会话密钥;会话密钥的计算过程遵循《SM2密码使用规范》;
所述生成密钥协商参数并输出以及计算会话密钥都将在密码设备中生成并存储会话密钥,并能够获知存储单元的表示,在密钥信息库和zookeeper密钥结构中需将该标识与密钥空间编号进行绑定,为密钥使用提供统一的管理信息;
产生协商数据并计算会话密钥:使用ECC密钥协商算法,产生协商参数并计算会话密钥,同时返回产生的协商参数和密钥句柄;所述产生协商数据并计算会话密钥将在密码设备中生成并存储会话密钥,并能够获知存储的单元的标识,在密钥信息库和zookeeper密钥结构中需将该标识与密钥空间编号进行绑定,为密钥使用提供统一的管理信息;
生成会话密钥并用密钥加密密钥加密输出:生成会话密钥并用密钥加密密钥输出,同时返回密钥句柄,加密模式使用ECB模式;密钥加密密钥又称二级密钥(SecondaryKey)或密钥传送密钥(key Transport key),用于对密钥进行加解密。密钥加密密钥通过密码设备管理工具生成或安装,存储区可存储密钥长度为128位的密钥加密密钥,使用索引号从1开始(如表1)。密钥加密密钥存储在密钥信息中,需要时用密码设备公钥加密后导入密码设备中的某个密钥空间;
表1密钥加密密钥索引图表
密钥索引号 | 密钥加密密钥 |
0x01 | 密钥加密密钥001 |
…… | …… |
导入会话密钥并用密钥加密密钥解密:导入会话密钥并用密钥加密密钥解密,同时返回会话密钥句柄,加密模式使用ECB模式;密钥加密密钥存储在密钥信息库中,需要时用密码设备公钥加密后导入密码设备中的某个密钥空间。会话密钥解密后存储在密码设备中,并能够获知存储的单元的标识,在密钥信息库和zookeeper密钥结构中需将该标识与密钥空间编号进行绑定,为密钥使用提供统一的管理信息;
销毁会话密钥:销毁会话密钥,并释放为密钥句柄分配的内存资源,按照会话密钥存储的单元的标识进行会话密钥销毁,在密钥信息库和zookeeper密钥结构中需将该标识与密钥空间置位,同时,如果在数据库中存储了该密钥需要同步清除。
相比背景技术中介绍的内容,本发明能够实现用户根据每个设备的负载量,自动选取最佳效率的接入设备,规避了主控网关方式单点问题和流量瓶颈问题。而且,本申请并联调度机之间能够确保相互间各种信息的及时同步,实现了系统的稳定高效运行。
以上所述仅是本发明的优选实施方式,而非对其限制;应当指出,尽管参照上述各实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,其依然可以对上述各实施例所记载的技术方案进行修改,或对其中部分或者全部技术特征进行等同替换;而这些修改和替换,并不使相应的技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (2)
1.一种无主控网关式负载均衡接入方法,其特征在于,包括如下步骤:
S1建立调度机系统架构:采用并联架构建立调度机系统架构,调度机之间同步全局信息,包括密码设备能力、调度机负载、各密码设备负载、密钥空间占用信息,这些信息存储在zookeeper服务的数据结构中,并利用该服务实现调度机之间的信息同步;
S2建立虚拟服务:根据接入管理服务获取的用户注册信息,启动docker服务为用户创建虚拟密码服务;
S201建立虚拟服务链接:
利用docker建立虚拟网络服务,产生虚拟网络地址:IP和Port,用户访问控制服务将地址返给接入客户端,接入控制客户端重新为用户建立虚拟密码服务链接;
S202虚拟密码服务建立:
根据获取的用户注册信息中的密码服务信息,从zookeeper存储的全部密码设备信息、密钥存储信息中选取满足该用户所需的服务资源,其中,在进行密钥使用时,包括:
导入会话秘钥并用内部私钥解密:将外置会话密钥存入密码设备中,并获知存储的单元标识,在密钥信息库和zookeeper密钥结构中将该标识与密钥空间编号进行绑定,为密钥使用提供统一的管理信息;
基于非对称算法的数字信封转换:将由内部加密公钥的会话密钥转换为由外部指定的公钥加密,应用于数字信封;
生成密钥协商参数并输出:使用ECC密钥协商算法,为计算会话密钥而产生协商参数,同时返回指定索引位置,为协商会话密钥,协商的发起方首先调用本函数;
计算会话密钥:使用ECC密钥协商管理算法,使用自身协商句柄和响应方的协商参数计算会话密钥,同时返回会话密钥句柄,协商的发起方获得响应方的协商参数后调用本函数,计算会话密钥;
所述生成密钥协商参数并输出以及计算会话密钥都将在密码设备中生成并存储会话密钥,并能够获知存储单元的表示,在密钥信息库和zookeeper密钥结构中需将该标识与密钥空间编号进行绑定,为密钥使用提供统一的管理信息;
产生协商数据并计算会话密钥:使用ECC密钥协商算法,产生协商参数并计算会话密钥,同时返回产生的协商参数和密钥句柄;所述产生协商数据并计算会话密钥将在密码设备中生成并存储会话密钥,并能够获知存储的单元的标识,在密钥信息库和zookeeper密钥结构中需将该标识与密钥空间编号进行绑定,为密钥使用提供统一的管理信息;
生成会话密钥并用密钥加密密钥加密输出:生成会话密钥并用密钥加密密钥输出,同时返回密钥句柄,加密模式使用ECB模式;密钥加密密钥通过密码设备管理工具生成或安装,密钥加密密钥存储在密钥信息中,需要时用密码设备公钥加密后导入密码设备中的某个密钥空间;
导入会话密钥并用密钥加密密钥解密:导入会话密钥并用密钥加密密钥解密,同时返回会话密钥句柄,加密模式使用ECB模式;会话密钥解密后存储在密码设备中,并能够获知存储的单元的标识,在密钥信息库和zookeeper密钥结构中需将该标识与密钥空间编号进行绑定,为密钥使用提供统一的管理信息;
销毁会话密钥:销毁会话密钥,并释放为密钥句柄分配的内存资源,按照会话密钥存储的单元的标识进行会话密钥销毁,在密钥信息库和zookeeper密钥结构中需将该标识与密钥空间置位,同时,如果在数据库中存储了该密钥需要同步清除。
2.根据权利要求1所述的一种无主控网关式负载均衡接入方法,其特征在于,在zookeeper中保持有完整的各个密码设备密钥空间存储状态结构表,当选择好某台设备中所需的空闲密钥空间时,及时标识空间占用状态、所需虚拟机及其用户编码。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711001122.2A CN107580074B (zh) | 2017-10-24 | 2017-10-24 | 一种无主控网关式负载均衡接入方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711001122.2A CN107580074B (zh) | 2017-10-24 | 2017-10-24 | 一种无主控网关式负载均衡接入方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107580074A CN107580074A (zh) | 2018-01-12 |
CN107580074B true CN107580074B (zh) | 2020-05-08 |
Family
ID=61038073
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711001122.2A Active CN107580074B (zh) | 2017-10-24 | 2017-10-24 | 一种无主控网关式负载均衡接入方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107580074B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109150684B (zh) * | 2018-07-20 | 2021-04-06 | 新华三技术有限公司 | 报文处理方法、装置、通信设备及计算机可读存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104461678A (zh) * | 2014-11-03 | 2015-03-25 | 中国科学院信息工程研究所 | 一种在虚拟化环境中提供密码服务的方法和系统 |
CN104753994A (zh) * | 2013-12-27 | 2015-07-01 | 杭州海康威视系统技术有限公司 | 基于集群服务器系统的数据同步方法及其装置 |
CN106919445A (zh) * | 2015-12-28 | 2017-07-04 | 华为技术有限公司 | 一种在集群中并行调度容器的方法和装置 |
CN107040589A (zh) * | 2017-03-15 | 2017-08-11 | 西安电子科技大学 | 通过虚拟化密码设备集群提供密码服务的系统及方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9374340B2 (en) * | 2014-04-21 | 2016-06-21 | Cisco Technology, Inc. | Nested independent virtual private networks with shared rekey and consistency services |
-
2017
- 2017-10-24 CN CN201711001122.2A patent/CN107580074B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104753994A (zh) * | 2013-12-27 | 2015-07-01 | 杭州海康威视系统技术有限公司 | 基于集群服务器系统的数据同步方法及其装置 |
CN104461678A (zh) * | 2014-11-03 | 2015-03-25 | 中国科学院信息工程研究所 | 一种在虚拟化环境中提供密码服务的方法和系统 |
CN106919445A (zh) * | 2015-12-28 | 2017-07-04 | 华为技术有限公司 | 一种在集群中并行调度容器的方法和装置 |
CN107040589A (zh) * | 2017-03-15 | 2017-08-11 | 西安电子科技大学 | 通过虚拟化密码设备集群提供密码服务的系统及方法 |
Non-Patent Citations (2)
Title |
---|
"云计算虚拟化技术的发展与趋势";武志学;《计算机应用》;20170410;全文 * |
"分布式环境下基于ZooKeeper服务的数据同步研究";何慧虹;《信息网络安全》;20150910;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN107580074A (zh) | 2018-01-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2019061983A1 (zh) | 区块链数据上传方法、系统、计算机系统及存储介质 | |
CN109981267B (zh) | 大规模用户多密钥场景云加密数据库系统及存储查询方法 | |
Kumar et al. | A new approach for security in cloud data storage for IOT applications using hybrid cryptography technique | |
US11375369B2 (en) | Message authentication method and communication method of communication network system, and communication network system | |
CN106452741A (zh) | 基于量子网络实现信息加解密传输的通信系统和通信方法 | |
CN111680307A (zh) | 分布式数据加密方法、装置、云存储服务器及存储介质 | |
CN103873236A (zh) | 一种可搜索加密方法及设备 | |
CN112087439A (zh) | 区块链交易查询方法、系统、计算机设备和存储介质 | |
CN109617938A (zh) | 资源数据分配方法、装置、计算机设备和存储介质 | |
JP2016119583A (ja) | Ip電話ネットワークシステムとサーバ装置、ip交換機及びリソース容量拡張方法 | |
CN107580074B (zh) | 一种无主控网关式负载均衡接入方法 | |
CN108574573A (zh) | 为虚拟vpn提供密码服务的方法、密码设备及虚拟vpn服务系统 | |
CN112367160A (zh) | 一种虚拟量子链路服务方法与装置 | |
CN106161340B (zh) | 业务分流方法和系统 | |
EP4012689A1 (en) | Key management system providing secure management of cryptographic keys, and methods of operating the same | |
US20130254545A1 (en) | Method, system and apparatus for transmitting digital contents | |
CN116647567A (zh) | 隐私保护集合求交方法和装置 | |
US20210091946A1 (en) | Encrypted communication device, encrypted communication system, encrypted communication method, and program | |
CN104022870A (zh) | 一种云端数据的加密方法 | |
CN111970273B (zh) | 基于区块链的分布式网络访问方法、系统、介质及设备 | |
CN113360569A (zh) | 基于储能参数选择与容量分解的电网区块链架构方法 | |
KR101757563B1 (ko) | 사물인터넷 환경에서의 비밀키 관리 방법 및 장치 | |
CN109918938A (zh) | 一种云计算平台用户数据的存储、查询方法及装置 | |
CN116166429B (zh) | 多安全芯片的通道属性确定方法及安全芯片装置 | |
Karthikeyan et al. | Secure And Energy Efficient Model With Modified Offloading Algorithm In Mobile Cloud Computing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |