CN109525544A - 一种基于密码机集群的业务系统访问方法及系统 - Google Patents

一种基于密码机集群的业务系统访问方法及系统 Download PDF

Info

Publication number
CN109525544A
CN109525544A CN201810557525.3A CN201810557525A CN109525544A CN 109525544 A CN109525544 A CN 109525544A CN 201810557525 A CN201810557525 A CN 201810557525A CN 109525544 A CN109525544 A CN 109525544A
Authority
CN
China
Prior art keywords
network
address
service system
shunt
splitter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810557525.3A
Other languages
English (en)
Other versions
CN109525544B (zh
Inventor
宾晓华
贺兴华
朱树永
邓亚丹
周红亮
李永超
边巍巍
谭芳
陆静芳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information Center Of Logistics Support Department Of Central Military Commission
Original Assignee
Information Center Of Logistics Support Department Of Central Military Commission
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information Center Of Logistics Support Department Of Central Military Commission filed Critical Information Center Of Logistics Support Department Of Central Military Commission
Priority to CN201810557525.3A priority Critical patent/CN109525544B/zh
Publication of CN109525544A publication Critical patent/CN109525544A/zh
Application granted granted Critical
Publication of CN109525544B publication Critical patent/CN109525544B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于密码机集群的业务系统访问方法及系统。首先外网分流器接收至少一个业务系统访问请求,确定所述业务系统访问请求的访问源IP地址,并根据所述访问源IP地址和第一调度策略确定所述业务系统访问请求与网络密码机集群中的网络密码机之间的对应关系;所述业务系统访问请求经对应的网络密码机向所述业务系统传递访问请求;内网分流器根据所述访问源IP地址和第二调度策略确定所述业务系统返回的业务数据与网络密码机集群中的网络密码机之间的对应关系;所述业务系统返回的业务数据经对应的网络密码机向用户返回所述业务数据。

Description

一种基于密码机集群的业务系统访问方法及系统
技术领域
本申请涉及通信领域,尤其涉及一种基于密码机集群的业务系统访问方法及系统。
背景技术
网络密码机是指提供网络层加密功能的密码设备,分流器是指根据流量分配策略实现流量负载均衡的设备。网络密码机部署在业务系统的出入口处,为多个用户单位提供安全接入服务,对设备处理性能和可靠性要求很高,可以采用多台网络密码机构建设备集群的技术来解决性能和可靠性的问题。
申请号为201410460656.1的中国专利申请公开了一种负载均衡的IPSec VPN设备集群系统及其工作方法,包括若干IPSec VPN设备,每台IPSec VPN设备均运行有计算能力评估模块、组内同步模块、负载管理模块、地址应答器、数据分类器。
计算能力评估模块用于在同一个集群内的IPSec VPN设备启动时进行签名运算,得到其所在IPSec VPN设备的计算能力评估结果。
组内同步模块负责在同一个集群内的所有成员设备间进行安全策略、安全联盟、在线状态和计算能力信息的交互和同步并形成全局一致的安全策略、安全联盟和在线状态。
负载管理模块通过组内同步信息得到全局一致的安全策略、安全联盟和在线状态,根据组内各IPSec VPN设备计算能力的不同进行数据负载的分配,并根据其所在IPSecVPN设备的负载分配设置实际生效的安全策略和安全联盟。
地址应答器根据系统内所有IPSec VPN设备统一设置的虚拟地址信息,对从内网出站的IP数据报文和从外网入站的IP数据报文的链路层地址请求进行一致的回应。
数据分类器根据数据报文是否处在其所在IPSec VPN设备已生效的安全策略或安全联盟之内,对进出站的IP数据报文提供不同的处理路径。
该专利申请还公开了一种负载均衡的IPSec VPN设备集群系统的工作方法包括如下步骤:
步骤一:为同一个IPSec VPN设备集群设置各成员设备共享的虚拟IP地址,作为该集群共享的IPSec VPN隧道源IP地址;
步骤二:同一个集群内的IPSec VPN设备启动时,运行计算能力评估模块,得到每个IPSec VPN设备的计算能力评估结果;
步骤三:同一集群内的每台IPSec VPN设备均设置一个可配置的IP多播地址,作为组内通讯地址;
步骤四:负载管理模块根据组内各IPSec VPN设备计算能力的不同进行数据负载的分配并根据本机的负载分配设置实际生效的安全策略和安全联盟;
步骤五:以太网环境下,对每一个进出站的数据报文,对IPSec VPN集群的虚拟IP地址或网关IP地址进行链路层地址解析,即请求虚拟IP地址或网关IP地址对应的48比特的MAC地址;
步骤六:数据分类器根据接收到的数据报文是否处在本机已生效的安全策略或安全联盟范围之内,对进出站的IP数据报文提供不同的处理路径。
申请号为201410462379.8的中国专利申请公开了一种负载均衡的SSL VPN设备集群系统及其工作方法,包括一台作为主控节点的SSL VPN设备和若干作为工作节点的SSLVPN设备,所有SSL VPN设备中设置有组内同步模块,在主控节点SSL VPN设备中还设置有负载管理模块、地址应答器、数据分流器。
主控节点为所有SSL VPN设备中网络连接处理能力最强的一台,用于整个SSL VPN集群对外建立连接和对内负载均衡,为不同的数据流建立维护SSL安全连接并为客户端代理内部服务器功能的作用,同时,主控节点自身也作为工作节点之一参与具体的数据流处理。
组内同步模块用于在同一个集群内的所有成员设备间进行在线状态、实时负载情况和网络连接处理能力、SSL安全连接处理能力信息的交互,并选举出网络连接处理能力最强的设备作为主控节点。
负载管理模块通过组内同步信息得到同一个集群内的所有成员设备的在线状态、实时负载情况和网络连接处理能力、SSL安全连接处理能力信息,根据组内各SSL VPN设备安全连接处理能力和实时负载情况的不同进行数据负载的分配,形成实时的负载分配方案。
地址应答器用于主控节点对所有关于集群对外虚拟IP地址的链路层地址请求一致回应为主控节点所在设备网络接口的链路层地址。
数据分流器用于根据负载管理模块确定的负载分配方案,采用优先级令牌轮转的方式对数据报文进行分流处理。
该专利申请还公开了一种负载均衡的SSL VPN设备集群系统的工作方法包括如下步骤:
步骤一:所有SSL VPN设备集群设置各成员设备共享的虚拟IP地址;
步骤二:利用组内同步模块在所有SSL VPN设备中选出主控节点;
步骤三:每台SSL VPN设备的组内同步模块定期将本台设备的信息传递到主控节点和其他工作节点;
步骤四:负载管理模块根据组内各SSL VPN设备安全连接处理能力和实际负载情况的不同进行数据负载的分配;
步骤五:主控节点处理接收到的IP数据报文。
上述专利申请中提出的技术手段存在如下共性的不足:
(1)每台IPSec VPN/SSL VPN设备除实现密码运算相关功能外,还需实现计算能力评估模块、组内同步模块、负载管理模块、地址应答器、数据分类器,复杂度较高。
(2)负载管理模块根据多台IPSec VPN/SSL VPN设备间的同步信息和每台设备的计算能力评估结果进行数据负载分配,性能开销较大。
因此,现有技术需要一种解决多用户域并发访问业务系统时的高性能接入系统和方法。
发明内容
为了解决上述问题,本申请提出了一种基于密码机集群的业务系统访问方法,包括如下步骤:
外网分流器接收至少一个业务系统访问请求,确定所述业务系统访问请求的访问源IP地址,并根据所述访问源IP地址和第一调度策略确定所述业务系统访问请求与网络密码机集群中的网络密码机之间的对应关系;
所述业务系统访问请求经对应的网络密码机向所述业务系统传递访问请求;
内网分流器根据所述访问源IP地址和第二调度策略确定所述业务系统返回的业务数据与网络密码机集群中的网络密码机之间的对应关系;
所述业务系统返回的业务数据经对应的网络密码机向用户返回所述业务数据。
优选地,所述业务系统访问方法还包括如下步骤:
采集网络密码机集群和分流器间的通路状态,并实现外网分流器和内网分流器的状态信息同步。
优选地,所述业务系统访问方法还包括如下步骤:
配置所述第一调度策略和所述第二调度策略,以使得与同一访问源IP地址相关的所述业务系统访问请求和所述业务系统返回的业务数据对应同一网络密码机。
优选地,所述业务系统访问方法还包括如下步骤:
建立访问源IP地址与网络密码机之间的对应关系,以使得来自同一访问源IP地址的业务流量都经由一台网络密码机。
优选地,所述外网分流器与外部网络连接。
另外一个方面,本申请还提出了一种密码机集群系统,包括:内网分流器、外网分流器、网络密码机集群,所述内网分流器和所述外网分流器分别与所述网络密码机集群连接,所述网络密码机集群包括至少两个网络密码机,所述网络密码机配置为提供网络层加密功能;其中,
所述内网分流器和所述外网分流器分别包括地址转换模块、任务调度模块和任务调度接口;
所述外网分流器的所述地址转换模块与外网连接,并配置为接收至少一个业务系统访问请求并确定所述业务系统访问请求的访问源IP地址;
所述外网分流器的所述任务调度模块配置为根据所述访问源IP地址和第一调度策略确定所述业务系统访问请求与网络密码机集群中的网络密码机之间的对应关系,并通过任务调度接口向对应的网络密码机发送访问请求;
所述内网分流器的所述地址转换模块与内网连接,并配置为接收业务系统返回的业务数据;
所述内网分流器的所述任务调度模块根据所述访问源IP地址和第二调度策略确定所述业务系统返回的业务数据与网络密码机集群中的网络密码机之间的对应关系;
所述内网分流器的所述任务调度模块配置为通过任务调度接口向对应的网络密码机发送所述业务系统返回的业务数据。
优选地,所述内网分流器和所述外网分流器还包括状态监测模块,所述状态监测模块配置为监测所述内网分流器和所述外网分流器与所述密码机间通路的连接状态,并将状态信息发送到任务调度模块。
优选地,所述内网分流器和所述外网分流器还包括配置管理模块,所述外网分流器的所述配置管理模块配置为配置所述第一调度策略,所述内网分流器的所述配置管理模块配置为配置所述第二调度策略。
优选地,所述内网分流器和所述外网分流器的所述配置管理模块如此地配置所述第一调度策略和所述第二调度策略以使得与同一访问源IP地址相关的所述业务系统访问请求和所述业务系统返回的业务数据对应同一网络密码机。
优选地,所述外网分流器与外部网络连接。
针对现有技术的不足,一方面,本申请将负载的分配采用专用的负载均衡设备实现,使密码设备专注于密码运算功能实现,降低了密码设备的实现复杂度。另外一方面,本申请采用将用户单位和网络密码机一一绑定的方式为用户提供加密服务,本方法实现简单,实用性高,具有较好的负载均衡能力,降低了密码机集群的负载均衡性能开销。
附图说明
图1为本申请实施方式基于密码机集群系统处理业务访问请求的流程示意图;
图2为本申请实施方式的密码机集群系统组成示意图;
图3为本申请实施方式的密码机集群系统结构示意图;
图4为本申请实施方式的密码机集群系统应用部署示意图。
其中,100密码机集群系统、101外网分流器、1011/1021地址转换模块、1012/1022任务调度模块、1013/1023任务调度接口、1014/1024状态采集接口、1015/1025状态监测模块、1016/1026配置管理模块、102内网分流器、110网络密码机、103业务系统、104用户单位、1041用户终端、1042交换机、1043网络密码机、105路由器、106交换机、21/22管理终端。
具体实施方式
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
图1展示了当外网用户104通过用户的终端向业务系统103发起业务访问请求时的访问处理流程,具体地,用户104通过用户的终端发起访问请求,访问请求通过交换机和传输网络到达本实施方式的密码机集群系统100,不同于传统的IPSec VPN/SSL VPN设备需要同时实现密码运算和负载管理等功能,本实施方式的密码机集群系统100中包括用于实现网络层加密的网络密码机集群110、外网分流器101和内网分流器102。业务请求首先经由网络到达外网分流器101,外网分流器101包括两个主要组成部分,一个是地址转换模块,另一个是任务调度模块,地址转换模块的作用在于为外网提供统一的访问入口,而任务调度模块的作用在于根据访问源IP地址将访问请求通过任务调度接口指向具体的网络密码机进行处理。外网分流器101接收业务系统访问请求,尤其是在多用户域并发访问业务系统的情况下,外网分流器101可能会接收到多个业务系统访问请求。接收到业务系统访问请求后,地址转换模块将访问请求传递给任务调度模块,同时确定发起所述业务系统访问请求的用户单位104的访问源IP地址,并根据用户单位104的所述访问源IP地址和一定的调度策略确定所述业务系统访问请求与网络密码机集群中的网络密码机之间的对应关系。其中的调度策略可以是多种形式的调度策略,例如可以是某种形式的IP地址与网络密码机集群中的各个密码机的映射关系,或者其他任何能够确定发起访问请求的用户单位104与网络密码机集群中的各个密码机之间对应关系的策略。
按照对应的指向关系,网络密码机集群中的网络密码机接收到任务调度模块传递的用户请求,对任务请求进行网络层解密,完成解密后将解密后的请求传递至内网分流器102,内网分流器102同样包括任务调度模块和地址转换模块,首先由任务调度模块接收解密后的用户请求,将该用户请求传递至地址转换模块,地址转换模块根据用户请求中的目的IP将请求传递到业务系统103,业务系统103根据用户的访问请求返回业务数据,并将业务数据传递到内网分流器的地址转换模块,地址转换模块为业务系统103返回的业务数据提供返回入口,地址转换模块将业务数据传递至任务调度模块,任务调度模块根据要返回的业务数据对应的用户IP地址和一定的调度策略,确定该需要返回的业务数据对应的网络密码机集群中的密码机,与外网分流器中的调度策略类似的,调度策略可以是多种形式的调度策略,例如可以是某种形式的源IP地址与网络密码机集群中的各个密码机的映射关系,或者其他任何能够确定返回的业务数据与网络密码机集群中的各个密码机之间对应关系的策略。所述业务系统103返回的业务数据经对应的网络密码机向用户返回所述业务数据。
如图2展示了本申请实施方式的密码机集群系统组成示意图,密码机集群系统100包括外网分流器101、内网分流器102和网络密码机110集群,其中网络密码机110集群包含多个并行的网络密码机110,各个网络密码机110分别连接外网分流器101和内网分流器102,外网分流器101与外网连接,在一个实施例中,外网分流器101与外部网络连接,内网分流器102与内网连接。
图3更详细地展示了本申请实施方式的密码机集群系统结构示意图,与外网连接的外网分流器101包括1011地址转换模块、1012任务调度模块、1013任务调度接口、1014状态采集接口、1015状态监测模块、1016配置管理模块。与内网连接的内网分流器102包括1021地址转换模块、1022任务调度模块、1023任务调度接口、1024状态采集接口、1025状态监测模块、1026配置管理模块。各分流器包括地址转换模块1011/1021、任务调度模块1012/1022、状态监测模块1013/1023、配置管理模块1014/1024、任务调度接口1015/1025和状态采集接口1016/1026等部分。地址转换模块1011直接和外网连接,为外网提供统一的访问入口;任务调度模块1012根据访问源IP地址将访问请求通过任务调度接口指向具体的网络密码机进行处理;状态监测模块1013/1023通过状态采集接口监测流器和密码机间通路的连接状态,并将状态信息发送到任务调度模块1012/1022;配置管理模块1014/1024为任务调度模块配置调度策略,本方案根据访问源IP地址将访问用户和网络密码机固定配置,即访问源IP地址与网络密码机一一绑定。
在图3展示的密码机集群系统中,在业务系统访问的过程中还包括如下步骤:采集网络密码机110集群和分流器101/102之间的通路状态,并实现外网分流器101和内网分流器102的状态信息同步。
进一步地,在处理所述业务系统访问的方法还包括如下步骤:配置外网分流器与网络密码机集群之间的调度策略和内网分流器与网络密码机集群之间的调度策略,以使得与同一访问源IP地址相关的所述业务系统访问请求和所述业务系统返回的业务数据对应同一网络密码机。更优选的方式中,建立访问源IP地址与网络密码机之间的对应关系,以使得来自同一访问源IP地址的业务流量都经由一台网络密码机。
图4展示了本申请实施方式的密码机集群系统应用部署示意图。在实际应用部署时,密码机集群应用系统100部署在业务系统103前,为业务系统103提供边界防护功能,同时,能够和多个用户单位部署的网络密码机构建VPN通道,实现用户单位和业务系统间传输通路的保护。在该应用部署中,用户单位104通过终端1041发起业务系统访问请求,数据通过交换机1042到达本地网络密码机1043,然后通过网络,尤其是外部网络105到达本实施方式的网络密码机集群系统100,该网络密码机集群系统100的外网分流器(图中未标出)与外部网络105连接,外网分流器依次连接网络密码机110集群和内网分流器(图中未标出),内网分流器通过交换机106连接内网业务系统103。
密码机集群化部署可以解决单台密码机性能不足的问题,配合分流器的部署设计,一方面可以将多用户域的访问流量均衡地分担到不同密码机处理,提高密码机集群的处理性能,另一方面可以屏蔽多台密码机的IP地址,仅暴露分流器的IP地址,减少外部攻击面,提高密码机集群的安全性。通过本申请提出的业务访问方法和密码机集群系统能够实现在业务系统前部署密码机集群实现多用户域并发访问时的高性能接入功能,一方面,将负载的分配采用专用的负载均衡设备实现,使密码设备专注于密码运算功能实现,降低了密码设备的实现复杂度。另外一方面,采用将用户单位和网络密码机一一绑定的方式为用户提供加密以及解密服务,本方法实现简单,实用性高,具有较好的负载均衡能力,降低了密码机集群的负载均衡性能开销。
专业人员应该还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于密码机集群的业务系统访问方法,其特征在于,包括如下步骤:
外网分流器接收至少一个业务系统访问请求,确定所述业务系统访问请求的访问源IP地址,并根据所述访问源IP地址和第一调度策略确定所述业务系统访问请求与网络密码机集群中的网络密码机之间的对应关系;
所述业务系统访问请求经对应的网络密码机向所述业务系统传递访问请求;
内网分流器根据所述访问源IP地址和第二调度策略确定所述业务系统返回的业务数据与网络密码机集群中的网络密码机之间的对应关系;
所述业务系统返回的业务数据经对应的网络密码机向用户返回所述业务数据。
2.根据权利要求1所述的业务系统访问方法,其特征在于,还包括如下步骤:
采集网络密码机集群和分流器间的通路状态,并实现外网分流器和内网分流器的状态信息同步。
3.根据权利要求2所述的业务系统访问方法,其特征在于,还包括如下步骤:
配置所述第一调度策略和所述第二调度策略,以使得与同一访问源IP地址相关的所述业务系统访问请求和所述业务系统返回的业务数据对应同一网络密码机。
4.根据权利要求3所述的业务系统访问方法,其特征在于,还包括如下步骤:
建立访问源IP地址与网络密码机之间的对应关系,以使得来自同一访问源IP地址的业务流量都经由一台网络密码机。
5.根据权利要求1所述的业务系统访问方法,其特征在于,
所述外网分流器与外部网络连接。
6.一种密码机集群系统,其特征在于,包括:内网分流器、外网分流器、网络密码机集群,所述内网分流器和所述外网分流器分别与所述网络密码机集群连接,所述网络密码机集群包括至少两个网络密码机,所述网络密码机配置为提供网络层加密功能;其中,
所述内网分流器和所述外网分流器分别包括地址转换模块、任务调度模块和任务调度接口;
所述外网分流器的所述地址转换模块与外网连接,并配置为接收至少一个业务系统访问请求并确定所述业务系统访问请求的访问源IP地址;
所述外网分流器的所述任务调度模块配置为根据所述访问源IP地址和第一调度策略确定所述业务系统访问请求与网络密码机集群中的网络密码机之间的对应关系,并通过任务调度接口向对应的网络密码机发送访问请求;
所述内网分流器的所述地址转换模块与内网连接,并配置为接收业务系统返回的业务数据;
所述内网分流器的所述任务调度模块根据所述访问源IP地址和第二调度策略确定所述业务系统返回的业务数据与网络密码机集群中的网络密码机之间的对应关系;
所述内网分流器的所述任务调度模块配置为通过任务调度接口向对应的网络密码机发送所述业务系统返回的业务数据。
7.根据权利要求6所述的密码机集群系统,其特征在于,
所述内网分流器和所述外网分流器还包括状态监测模块,所述状态监测模块配置为监测所述内网分流器和所述外网分流器与所述密码机间通路的连接状态,并将状态信息发送到任务调度模块。
8.根据权利要求7所述的密码机集群系统,其特征在于,
所述内网分流器和所述外网分流器还包括配置管理模块,所述外网分流器的所述配置管理模块配置为配置所述第一调度策略,所述内网分流器的所述配置管理模块配置为配置所述第二调度策略。
9.根据权利要求8所述的密码机集群系统,其特征在于,
所述内网分流器和所述外网分流器的所述配置管理模块如此地配置所述第一调度策略和所述第二调度策略以使得与同一访问源IP地址相关的所述业务系统访问请求和所述业务系统返回的业务数据对应同一网络密码机。
10.根据权利要求6所述的密码机集群系统,其特征在于,
所述外网分流器与外部网络连接。
CN201810557525.3A 2018-06-01 2018-06-01 一种基于密码机集群的业务系统访问方法及系统 Active CN109525544B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810557525.3A CN109525544B (zh) 2018-06-01 2018-06-01 一种基于密码机集群的业务系统访问方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810557525.3A CN109525544B (zh) 2018-06-01 2018-06-01 一种基于密码机集群的业务系统访问方法及系统

Publications (2)

Publication Number Publication Date
CN109525544A true CN109525544A (zh) 2019-03-26
CN109525544B CN109525544B (zh) 2021-08-13

Family

ID=65769727

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810557525.3A Active CN109525544B (zh) 2018-06-01 2018-06-01 一种基于密码机集群的业务系统访问方法及系统

Country Status (1)

Country Link
CN (1) CN109525544B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110572258A (zh) * 2019-07-24 2019-12-13 中国科学院数据与通信保护研究教育中心 一种云密码计算平台及计算服务方法
CN114244762A (zh) * 2021-12-14 2022-03-25 乾讯信息技术(无锡)有限公司 基于无ip地址的网络vpn密码机的实现方法
CN114826702A (zh) * 2022-04-11 2022-07-29 中国南方电网有限责任公司 数据库访问密码加密方法、装置和计算机设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102904905A (zh) * 2012-11-13 2013-01-30 无锡江南计算技术研究所 应用安全代理方法以及应用安全代理系统
CN102970388A (zh) * 2012-11-19 2013-03-13 北京奇虎科技有限公司 用于管理外网访问的方法和系统
CN103546497A (zh) * 2012-07-09 2014-01-29 杭州华三通信技术有限公司 一种分布式防火墙IPSec业务负载分担的方法及装置
CN103905375A (zh) * 2012-12-24 2014-07-02 航天信息股份有限公司 集群式数据加密系统中的数据加密请求分配方法和装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103546497A (zh) * 2012-07-09 2014-01-29 杭州华三通信技术有限公司 一种分布式防火墙IPSec业务负载分担的方法及装置
CN102904905A (zh) * 2012-11-13 2013-01-30 无锡江南计算技术研究所 应用安全代理方法以及应用安全代理系统
CN102970388A (zh) * 2012-11-19 2013-03-13 北京奇虎科技有限公司 用于管理外网访问的方法和系统
CN103905375A (zh) * 2012-12-24 2014-07-02 航天信息股份有限公司 集群式数据加密系统中的数据加密请求分配方法和装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110572258A (zh) * 2019-07-24 2019-12-13 中国科学院数据与通信保护研究教育中心 一种云密码计算平台及计算服务方法
CN114244762A (zh) * 2021-12-14 2022-03-25 乾讯信息技术(无锡)有限公司 基于无ip地址的网络vpn密码机的实现方法
CN114826702A (zh) * 2022-04-11 2022-07-29 中国南方电网有限责任公司 数据库访问密码加密方法、装置和计算机设备

Also Published As

Publication number Publication date
CN109525544B (zh) 2021-08-13

Similar Documents

Publication Publication Date Title
CN108551464B (zh) 一种混合云的连接建立、数据传输方法、装置和系统
EP3932041B1 (en) Remote smart nic-based service acceleration
CN107409079B (zh) 用于全局虚拟网络的系统和方法
EP3241312B1 (en) Load balancing internet protocol security tunnels
EP2819363B1 (en) Method, device and system for providing network traversing service
EP3119047B1 (en) Load balancing method, apparatus and system
US20200067891A1 (en) Securing end-to-end virtual machine traffic
US20140143854A1 (en) Load balancing among a cluster of firewall security devices
US20090132809A1 (en) Method and Apparatus for the Provision of Unified Systems and Network Management of Aggregates of Separate Systems
US20090154454A1 (en) Secure Communication Through a Network Fabric
CN109525544B (zh) 一种基于密码机集群的业务系统访问方法及系统
CN109450905B (zh) 传输数据的方法和装置及系统
WO1999030460A2 (en) Highly-distributed servers for network applications
US12107827B2 (en) Unified network service that connects multiple disparate private networks and end user client devices operating on separate networks
US20230208746A1 (en) Cross datacenter communication using a mesh gateway
CN112889255A (zh) 将公共wifi热点扩展到私有企业网络
KR101686995B1 (ko) 소프트웨어 정의 네트워크와 네트워크 기능 가상화를 이용하는 IPSec VPN 장치, IPSec VPN 시스템 및 IPSec VPN 방법
US11153276B1 (en) Secure data routing and randomization
US11855896B1 (en) Systems and methods for load balancing network traffic at firewalls deployed in a cloud computing environment
Cisco Appendix B: Web Cache Communication Protocol Version 2
Cisco Appendix B : Web Cache Communication Protocol Version 2
Parola et al. Creating disaggregated network services with eBPF: The kubernetes network provider use case
WO2020247331A1 (en) Application-centric enforcement for multi-tenant workloads with multi site data center fabrics
WO2014139646A1 (en) Communication in a dynamic multipoint virtual private network
Köstler et al. Network Federation for Inter-cloud Operations

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant