CN110071933B - 安全套接层加速方法、装置、设备及可读存储介质 - Google Patents
安全套接层加速方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN110071933B CN110071933B CN201910359100.6A CN201910359100A CN110071933B CN 110071933 B CN110071933 B CN 110071933B CN 201910359100 A CN201910359100 A CN 201910359100A CN 110071933 B CN110071933 B CN 110071933B
- Authority
- CN
- China
- Prior art keywords
- encryption
- server
- controlling
- information
- decryption information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
- H04L69/162—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种安全套接层加速方法,包括:在检测到用户端与接入层握手成功后,通过接入层进行SSL协议握手与加解密信息分离;通过接入层控制OpenSSL将加解密信息转发到代理服务器;在代理服务器接收到加解密信息后,控制代理服务器基于加解密信息异步调用加速卡集群;在无密钥代理节点基于加解密信息获取对应的私钥信息后,控制无密钥代理节点将私钥信息及加解密信息发送至加速服务器;控制加速服务器基于私钥信息对加解密信息执行加解密操作。本发明还公开了一种安全套接层加速装置、设备和存储介质。本发明通过将加速服务器设置在区块链或其他服务的接入层之外的加速卡集群中,使得OpenSSL与加速服务器之间完全解耦,互不影响,便于服务管理以版本升级。
Description
技术领域
本发明涉及金融科技(Finteh)技术领域,尤其涉及金融行业的安全套接层加速方法、装置、设备及可读存储介质。
背景技术
随着计算机技术的发展,越来越多的技术(如分布式、区块链Blockchain、人工智能等)应用在金融领域,传统金融业正在逐步向金融科技(Finteh)转变,越来越多的技术应用于金融行业。现在网站为了安全起见,大部分都使用HTTPS。HTTPS协议相比HTTP协议增加了安全套接层SSL,所有的HTTP请求和响应数据在发送到网络之前,都要进行加密。安全和性能不可兼得,增加的加解密计算消耗转发服务器的大量CPU资源,导致转发性能下降。通用解决方案是使用专用的硬件卸载CPU密集型运算。
目前业界较为普遍使用的是Intel QAT加速卡以及其提供的Nginx的适配方案,该方案利用OpenSSL的TSL异步模式,并对Nginx HTTPS模块进行异步模式适配,最终实现了整个HTTPS请求处理的异步化。
然而,现有技术中,Nginx、OpenSSL和加速服务QAT耦合度高,各自版本更新升级成本较大,请求状态和问题排查难度大。
发明内容
本发明的主要目的在于提出一种安全套接层加速方法、装置、设备及可读存储介质,旨在解决现有技术中使用Intel QAT加速卡及其提供的Nginx的适配方案时,由于Nginx、OpenSSL和加速卡之间耦合度过高而引起各自版本更新升级成本大的问题。
为实现上述目的,本发明提供一种安全套接层加速方法,所述安全套接层加速方法包括如下步骤:
在检测到用户端与接入层握手成功后,通过所述接入层进行安全套接层SSL协议握手与加解密信息分离,其中,所述接入层设有软件库包OpenSSL及代理服务器;
通过所述接入层控制所述OpenSSL将所述加解密信息转发到所述代理服务器;
在所述代理服务器接收到所述加解密信息后,控制所述代理服务器基于所述加解密信息异步调用加速卡集群,其中,所述加速卡集群包括无密钥代理节点及加速服务器;
在所述无密钥代理节点获取到所述加解密信息对应的私钥信息后,控制所述无密钥代理节点将所述私钥信息及所述加解密信息发送至所述加速服务器;
控制所述加速服务器基于所述私钥信息对所述加解密信息执行加解密操作。
优选地,所述接入层还设有Nginx服务器;所述在检测到用户端与接入层握手成功后,通过所述接入层进行安全套接层SSL协议握手与加解密信息分离的步骤包括:
在检测到用户端发起的HTTPS请求时,控制所述Nginx服务器基于所述HTTPS请求与所述用户端建立TCP连接,并生成安全套接层SSL;
控制所述Nginx服务器基于所述SSL将SSL握手请求发送至所述OpenSSL,其中,所述SSL握手请求包括所述SSL协议握手及所述加解密信息;
控制所述OpenSSL对所述SSL握手请求进行处理得到处理结果,并控制所述OpenSSL基于所述处理结果判断与所述用户端是否握手成功,其中,若是,则控制所述OpenSSL进行所述SSL协议握手与所述加解密信息分离。
优选地,所述接入层还包括第一数据库,所述控制所述Nginx服务器基于所述SSL将SSL握手请求发送至所述OpenSSL的步骤包括:
控制所述Nginx服务器基于所述SSL,从所述第一数据库获取虚拟密码;
控制所述Nginx服务器基于所述虚拟密码将所述SSL握手请求发送至所述OpenSSL处理。
优选地,所述在所述代理服务器接收到所述加解密信息后,控制所述代理服务器基于所述加解密信息异步调用加速卡集群的步骤包括:
在所述代理服务器接收到所述加解密信息后,控制所述代理服务器基于所述加解密信息,通过远程过程调用RPC进行异步调用所述无密钥代理节点。
优选地,所述在所述代理服务器接收到所述加解密信息后,控制所述代理服务器基于所述加解密信息异步调用加速卡集群的步骤还包括:
控制所述无密钥代理节点基于所述代理服务器调用所述无密钥代理节点对应的调用信息,生成调用请求信息;
控制所述无密钥代理节点将所述调用请求信息实时上传至所述OpenSSL。
优选地,所述加速卡集群还包括第二数据库;所述在所述无密钥代理节点获取到所述加解密信息对应的私钥信息后,控制所述无密钥代理节点将所述私钥信息及所述加解密信息发送至所述加速服务器的步骤包括:
控制所述无密钥代理节点基于所述加解密信息,从所述第二数据库获取所述私钥信息;
控制所述无密钥代理节点将所述私钥信息及所述加解密信息发送至所述加速服务器。
优选地,所述控制所述加速服务器基于所述私钥信息对所述加解密信息执行加解密操作的步骤之后,所述安全套接层加速方法还包括:
通过所述加速服务器基于所述加解密操作得到操作结果;
控制所述加速服务器将所述操作结果返回至所述无密钥代理节点。
此外,为实现上述目的,本发明还提供一种安全套接层加速装置,所述安全套接层加速装置包括:
分离模块,用于在检测到用户端与接入层握手成功后,通过所述接入层进行安全套接层SSL协议握手与加解密信息分离,其中,所述接入层设有软件库包OpenSSL及代理服务器;
转发模块,用于通过所述接入层控制所述OpenSSL将所述加解密信息转发到所述代理服务器;
调用模块,用于在所述代理服务器接收到所述加解密信息后,控制所述代理服务器基于所述加解密信息异步调用加速卡集群,其中,所述加速卡集群包括无密钥代理节点及加速服务器;
发送模块,用于在所述无密钥代理节点获取到所述加解密信息对应的私钥信息后,控制所述无密钥代理节点将所述私钥信息及所述加解密信息发送至所述加速服务器;
执行模块,用于控制所述加速服务器基于所述私钥信息对所述加解密信息执行加解密操作。
优选地,所述接入层还设有Nginx服务器;所述分离模块包括:
请求单元,用于在检测到用户端发起的HTTPS请求时,控制所述Nginx服务器基于所述HTTPS请求与所述用户端建立TCP连接,并生成安全套接层SSL;
处理单元,用于控制所述Nginx服务器基于所述SSL将SSL握手请求发送至所述OpenSSL,其中,所述SSL握手请求包括所述SSL协议握手及所述加解密信息;
判断单元,用于控制所述OpenSSL对所述SSL握手请求进行处理得到处理结果,并控制所述OpenSSL基于所述处理结果判断与所述用户端是否握手成功,其中,若是,则控制所述OpenSSL进行所述SSL协议握手与所述加解密信息分离。
优选地,所述接入层还包括第一数据库,所述处理单元还用于:
控制所述Nginx服务器基于所述SSL,从所述第一数据库获取虚拟密码;
控制所述Nginx服务器基于所述虚拟密码将所述SSL握手请求发送至所述OpenSSL处理。
优选地,所述调用模块还用于:
在所述代理服务器接收到所述加解密信息后,控制所述代理服务器基于所述加解密信息,通过远程过程调用RPC进行异步调用所述无密钥代理节点。
优选地,所述调用模块还用于:
控制所述无密钥代理节点基于所述代理服务器调用所述无密钥代理节点对应的调用信息,生成调用请求信息;
控制所述无密钥代理节点将所述调用请求信息实时上传至所述OpenSSL。
优选地,所述加速卡集群还包括第二数据库;所述发送模块还用于:
控制所述无密钥代理节点基于所述加解密信息,从所述第二数据库获取所述私钥信息;
控制所述无密钥代理节点将所述私钥信息及所述加解密信息发送至所述加速服务器。
此外,为实现上述目的,本发明还提供一种安全套接层加速设备,所述安全套接层加速设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的安全套接层加速程序,所述安全套接层加速程序被所述处理器执行时实现如上所述的安全套接层加速方法的步骤。
此外,为实现上述目的,本发明还提供一种可读存储介质,所述可读存储介质上存储有安全套接层加速程序,所述安全套接层加速程序被处理器执行时实现如上所述的安全套接层加速方法的步骤。
本发明提出的安全套接层加速方法,首先,在检测到用户端与接入层握手成功后,通过接入层进行安全套接层SSL协议握手与加解密信息分解,从而产生异步任务;再者,软件库包OpenSSL仅仅将加解密信息转发到代理服务器,通过代理服务器进行调用无密钥代理节点,并且,通过无密钥代理节点配合加速服务器,实现加速服务器的加解密操作,由于将协议握手和加解密信息分解开,且增加了代理服务器,使得整个请求处理过程都是异步进行的;并且,将加速服务器设置在接入层之外的加速卡集群中,使得软件库包OpenSSL以及加速服务器之间完全解耦,互不影响,且保证高并发,方便服务的管理以及版本的升级。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的设备结构示意图;
图2为本发明安全套接层加速方法第一实施例的流程示意图;
图3为本发明安全套接层加速方法第一实施例的的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的设备结构示意图。
本发明实施例安全套接层加速设备可以是PC机或服务器设备。
如图1所示,该安全套接层加速设备可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的设备结构并不构成对设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及安全套接层加速程序。
在图1所示的设备中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的安全套接层加速程序,并执行下述安全套接层加速方法各个实施例中的操作。
基于上述硬件结构,提出本发明安全套接层加速方法实施例。
参照图2,图2为本发明安全套接层加速方法第一实施例的流程示意图,所述方法包括:
步骤S10,在检测到用户端与接入层握手成功后,通过所述接入层进行安全套接层SSL协议握手与加解密信息分离,其中,所述接入层设有软件库包OpenSSL及代理服务器;
本实施例中,安全套接层(Secure Sockets Layer,SSL),是为网络通信提供安全及数据完整性的一种安全协议。SSL协议是Web浏览器与Web服务器之间安全交换信息的协议,提供两个基本的安全服务:鉴别与保密。
本实施例的安全套接层加速方法在检测到用户端与接入层握手成功后,通过接入层进行安全套接层SSL协议握手与加解密信息分离。如图3所示,接入层Access layer设置有Nginx服务器、软件库包OpenSSL和代理服务器Keyless-Agent,其中,NginxNginx是由伊戈尔·赛索耶夫为俄罗斯访问量第二的Rambler.ru站点开发的,是一个高性能的HTTP和反向代理web服务器;OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信;代理服务器Keyless-Agent是增加了一个代理服务器,在软件库包OpenSSL将SSL协议握手和加解密信息分离后,将加解密信息转发出去。
用户端与接入层的握手过程为:首先,在检测到用户端发起的HTTPS请求时,Nginx服务器基于HTTPS请求与用户端建立TCP连接,并生成安全套接层SSL;其次,Nginx服务器基于安全套接层SSL将SSL握手请求发送至所述OpenSSL处理得到处理结果,其中,SSL握手请求包括SSL协议握手及加解密信息;再者,软件库包OpenSSL基于处理结果判断与用户端是否握手成功,若是,则软件库包OpenSSL进行SSL协议握手与加解密信息分离。
通过将SSL协议握手与加解密信息分离开,以便于加解密信息单独转发至加速卡集群,并且,由于OpenSSL和加速卡集群分属不同服务,因此,二者之间的耦合度较低。
步骤S20,通过所述接入层控制所述OpenSSL将所述加解密信息转发到所述代理服务器;
该步骤中,在软件库包OpenSSL内部,将SSL协议握手与加解密信息分离开后,接入层中的软件库包OpenSSL将加解密信息单独转发到代理服务器Keyless-Agent中,以便于代理服务器Keyless-Agent能够基于该加解密信息调用处于另一个服务的加速卡集群。
由于用户端与接入层握手时,用户端与Nginx服务器交互的内容通常包括加解密信息、SSL协议握手、版本以及证书等信息,如果将所有的交互内容都转发到代理服务器,那么将会占用大量的CPU资源,因此,仅仅将加解密信息转发出去,有效节约资源。
步骤S30,在所述代理服务器接收到所述加解密信息后,控制所述代理服务器基于所述加解密信息异步调用加速卡集群,其中,所述加速卡集群包括无密钥代理节点及加速服务器;
该步骤中,在代理服务器Keyless-Agent接收到用户端与Nginx服务器交互产生的加解密信息后,代理服务器Keyless-Agent基于加解密信息进行异步调用加速卡集群。
异步调用的方式可以是远程过程调用RPC,RPC是一种通过网络从远程计算机程序上请求服务,而不需要了解底层网络技术的协议。RPC协议假定某些传输协议的存在,如TCP或UDP,为通信程序之间携带信息数据。在OSI网络通信模型中,RPC跨越了传输层和应用层。RPC使得开发包括网络分布式多程序在内的应用程序更加容易。
由于代理服务器Keyless-Agent与加速卡集群之间采用的是异步调用的方式,因此,能够有效释放占用的线程等资源,避免阻塞,等到结果产生再重新获取线程处理,从而有效提高效率;并且,由于调用的加速卡集群设置于另一个服务中,有效降低加速卡集群与接入层之间的耦合度。
步骤S40,在所述无密钥代理节点获取到所述加解密信息对应的私钥信息后,控制所述无密钥代理节点将所述私钥信息及所述加解密信息发送至所述加速服务器。
该步骤中,代理服务器Keyless-Agent通过异步调用加速卡集群中的无密钥代理节点Keyless-Proxy,无密钥代理节点Keyless-Proxy从加速卡集群中的第二数据库DB中获取该请求域名对应的私钥信息,其中,私钥信息与加解密信息对应,为真实的密码,用于加解密,再将私钥信息和加解密信息都交给加速服务器Keyless-Accelerate进行异步处理。
由于私钥信息只存在于加速卡集群中,接入层只有加解密信息,并且,只有虚拟的密码,因此,保证了接入层的安全。
步骤S50,控制所述加速服务器基于所述私钥信息对所述加解密信息执行加解密操作。
该步骤中,在加速服务器Keyless-Accelerate接收到私钥信息及所述加解密信息后,利用其高性能的硬件加速卡执行加解密操作,从而实现对加解密的加速处理。
当然,本案的用户端在与接入层握手成功后,与业务RS集群进行正常交互。
本发明提出的安全套接层加速方法,首先,在检测到用户端与接入层握手成功后,通过接入层进行安全套接层SSL协议握手与加解密信息分解,从而产生异步任务;再者,软件库包OpenSSL仅仅将加解密信息转发到代理服务器,通过代理服务器进行调用无密钥代理节点,并且,通过无密钥代理节点配合加速服务器,实现加速服务器的加解密操作,由于将协议握手和加解密信息分解开,且增加了代理服务器,使得整个请求处理过程都是异步进行的;并且,将加速服务器设置在接入层之外的加速卡集群中,使得软件库包OpenSSL以及加速服务器之间完全解耦,互不影响,且保证高并发,方便服务的管理以及版本的升级。
进一步地,基于本发明安全套接层加速方法第一实施例,所述接入层还设有Nginx服务器;提出本发明安全套接层加速方法第二实施例。
在本实施例中,上述步骤S10可以包括:
在检测到用户端发起的HTTPS请求时,控制所述Nginx服务器基于所述HTTPS请求与所述用户端建立TCP连接,并生成安全套接层SSL;
控制所述Nginx服务器基于所述SSL将SSL握手请求发送至所述OpenSSL,其中,所述SSL握手请求包括所述SSL协议握手及所述加解密信息;
控制所述OpenSSL对所述SSL握手请求进行处理得到处理结果,并控制所述OpenSSL基于所述处理结果判断与所述用户端是否握手成功,其中,若是,则控制所述OpenSSL进行所述SSL协议握手与所述加解密信息分离。
具体地,用户端发起HTTPS请求,Nginx服务器接收请求并与用户端建立TCP连接;Nginx服务器将安全套接层SSL握手请求发给软件库包OpenSSL处理,软件库包OpenSSL与用户端交互SSL协议握手、加密算法、版本以及证书等信息,软件库包OpenSSL根据处理结果判定与用户端之间握手成功后,将SSL协议握手与所述加解密信息分离。
通过将SSL协议握手与加解密信息分离开,以便于加解密信息单独转发至加速卡集群,并且,由于Nginx服务器、OpenSSL和加速卡集群分属不同服务,因此,二者之间的耦合度较低。
进一步地,所述接入层还包括第一数据库,上述步骤S10还可以包括:控制所述Nginx服务器基于所述SSL,从所述第一数据库获取虚拟密码;
控制所述Nginx服务器基于所述虚拟密码将所述SSL握手请求发送至所述OpenSSL处理。
在本实施例中,接入层的第一数据库DB用于提供配置信息、虚拟密码等;安全套接层SSL,是为网络通信提供安全及数据完整性的一种安全协议。在所述Nginx服务器基于所述SSL,从所述第一数据库获取虚拟密码;所述Nginx服务器基于所述虚拟密码将所述SSL握手请求发送至所述OpenSSL处理。
由于接入层只有加解密信息,并且,只有虚拟的密码,因此,保证了接入层的安全。
进一步地,步骤S30可以包括:在所述代理服务器接收到所述加解密信息后,控制所述代理服务器基于所述加解密信息,通过远程过程调用RPC进行异步调用所述无密钥代理节点。
在本实施例中,异步调用的方式可以是远程过程调用RPC,RPC是一种通过网络从远程计算机程序上请求服务,而不需要了解底层网络技术的协议。RPC协议假定某些传输协议的存在,如TCP或UDP,为通信程序之间携带信息数据。在OSI网络通信模型中,RPC跨越了传输层和应用层。RPC使得开发包括网络分布式多程序在内的应用程序更加容易。
由于代理服务器Keyless-Agent与加速卡集群之间采用的是异步调用的方式,因此,能够有效释放占用的线程等资源,避免阻塞,等到结果产生再重新获取线程处理,从而有效提高效率;并且,由于调用的加速卡集群设置于另一个服务中,有效降低加速卡集群与接入层之间的耦合度。
进一步地,步骤S30还可以包括:
控制所述无密钥代理节点基于所述代理服务器调用所述无密钥代理节点对应的调用信息,生成调用请求信息;
控制所述无密钥代理节点将所述调用请求信息实时上传至所述OpenSSL。
在本实施例中,在所述代理服务器基于所述加解密信息异步调用加速卡集群的同时,无密钥代理节点基于所述代理服务器调用所述无密钥代理节点对应的调用信息生成调用请求信息;并且,无密钥代理节点将所述调用请求信息实时上传至所述OpenSSL。
通过调用请求信息上传至软件库包OpenSSL,使得接入层能够监控和统计代理服务器与加速卡集群之间的异步调用情况。
进一步地,所述加速卡集群还包括第二数据库;步骤40可以包括:
控制所述无密钥代理节点基于所述加解密信息,从所述第二数据库获取所述私钥信息;
控制所述无密钥代理节点将所述私钥信息及所述加解密信息发送至所述加速服务器。
本实施例中,第二数据库DB用于提供用户端去请求域名对应的私钥信息,代理服务器Keyless-Agent通过异步调用加速卡集群中的无密钥代理节点Keyless-Proxy,无密钥代理节点Keyless-Proxy从加速卡集群中的第二数据库DB中获取该请求域名对应的私钥信息,其中,私钥信息与加解密信息对应,为真实的密码,用于加解密,再将私钥信息和加解密信息都交给加速服务器Keyless-Accelerate进行异步处理。
由于私钥信息只存在于加速卡集群中,接入层只有加解密信息,并且,只有虚拟的密码,因此,保证了接入层的安全。
进一步地,步骤S50之后,本发明的安全套接层加速方法还可以包括:
通过所述加速服务器基于所述加解密操作得到操作结果;
控制所述加速服务器将所述操作结果返回至所述无密钥代理节点。
在本实施例中,在加速服务器Keyless-Accelerate利用其高性能的硬件加速卡进行加解密操作后,得到操作结果,并且,加速服务器Keyless-Accelerate将操作结果返回至无密钥代理节点Keyless-Proxy,使得无密钥代理节点Keyless-Proxy能够将操作结果上传至接入层。
通过加速服务器Keyless-Accelerate将操作结果返回至无密钥代理节点Keyless-Proxy,进而使得无密钥代理节点Keyless-Proxy能够将操作结果上传至接入层,使得接入层的软件库包OpenSSL能够得到操作结果,实现操作结果回传。
本发明还提供一种安全套接层加速装置。本发明所述安全套接层加速装置包括:
分离模块,用于在检测到用户端与接入层握手成功后,通过所述接入层进行安全套接层SSL协议握手与加解密信息分离,其中,所述接入层设有软件库包OpenSSL及代理服务器;
转发模块,用于通过所述接入层控制所述OpenSSL将所述加解密信息转发到所述代理服务器;
调用模块,用于在所述代理服务器接收到所述加解密信息后,控制所述代理服务器基于所述加解密信息异步调用加速卡集群,其中,所述加速卡集群包括无密钥代理节点及加速服务器;
发送模块,用于在所述无密钥代理节点获取到所述加解密信息对应的私钥信息后,控制所述无密钥代理节点将所述私钥信息及所述加解密信息发送至所述加速服务器;
执行模块,用于控制所述加速服务器基于所述私钥信息对所述加解密信息执行加解密操作。
进一步地,所述接入层还设有Nginx服务器;所述分离模块包括:
请求单元,用于在检测到用户端发起的HTTPS请求时,控制所述Nginx服务器基于所述HTTPS请求与所述用户端建立TCP连接,并生成安全套接层SSL;
处理单元,用于控制所述Nginx服务器基于所述SSL将SSL握手请求发送至所述OpenSSL,其中,所述SSL握手请求包括所述SSL协议握手及所述加解密信息;
判断单元,用于控制所述OpenSSL对所述SSL握手请求进行处理得到处理结果,并控制所述OpenSSL基于所述处理结果判断与所述用户端是否握手成功,其中,若是,则控制所述OpenSSL进行所述SSL协议握手与所述加解密信息分离。
进一步地,所述接入层还包括第一数据库,所述处理单元还用于:
控制所述Nginx服务器基于所述SSL,从所述第一数据库获取虚拟密码;
控制所述Nginx服务器基于所述虚拟密码将所述SSL握手请求发送至所述OpenSSL处理。
进一步地,所述调用模块还用于:
在所述代理服务器接收到所述加解密信息后,控制所述代理服务器基于所述加解密信息,通过远程过程调用RPC进行异步调用所述无密钥代理节点。
进一步地,所述调用模块还用于:
控制所述无密钥代理节点基于所述代理服务器调用所述无密钥代理节点对应的调用信息,生成调用请求信息;
控制所述无密钥代理节点将所述调用请求信息实时上传至所述OpenSSL。
进一步地,所述加速卡集群还包括第二数据库;所述发送模块还用于:
控制所述无密钥代理节点基于所述加解密信息,从所述第二数据库获取所述私钥信息;
控制所述无密钥代理节点将所述私钥信息及所述加解密信息发送至所述加速服务器。
本发明还提供一种计算机可读存储介质。
本发明计算机可读存储介质上存储有安全套接层加速程序,所述安全套接层加速程序被处理器执行时实现如上所述的安全套接层加速方法的步骤。
其中,在所述处理器上运行的安全套接层加速程序被执行时所实现的方法可参照本发明安全套接层加速方法各个实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台安全套接层加速设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (11)
1.一种安全套接层加速方法,其特征在于,所述安全套接层加速方法包括如下步骤:
在检测到用户端向接入层设有的Nginx服务器发送HTTPS请求时,控制所述Nginx服务器基于所述HTTPS请求与所述用户端建立TCP连接,并生成安全套接层SSL,其中,所述接入层还设有第一数据库、软件库包OpenSSL及代理服务器;
控制所述Nginx服务器基于所述第一数据库中的虚拟密码将SSL协议握手与加解密信息发送至所述OpenSSL进行处理,得到处理结果;
若基于所述处理结果确定所述用户端与所述OpenSSL握手成功,则通过所述OpenSSL将所述SSL协议握手与所述加解密信息分离;
通过所述接入层控制所述OpenSSL将所述加解密信息转发到所述代理服务器;
在所述代理服务器接收到所述加解密信息后,控制所述代理服务器基于所述加解密信息异步调用加速卡集群,其中,所述加速卡集群包括无密钥代理节点、第二数据库及加速服务器;
在所述无密钥代理节点从所述第二数据库中获取到所述加解密信息对应的真实私钥信息后,控制所述无密钥代理节点将所述真实私钥信息及所述加解密信息发送至所述加速服务器;
控制所述加速服务器基于所述真实私钥信息对所述加解密信息执行加解密操作。
2.如权利要求1所述的安全套接层加速方法,其特征在于,所述在所述代理服务器接收到所述加解密信息后,控制所述代理服务器基于所述加解密信息异步调用加速卡集群的步骤包括:
在所述代理服务器接收到所述加解密信息后,控制所述代理服务器基于所述加解密信息,通过远程过程调用RPC进行异步调用所述无密钥代理节点。
3.如权利要求1所述的安全套接层加速方法,其特征在于,所述在所述代理服务器接收到所述加解密信息后,控制所述代理服务器基于所述加解密信息异步调用加速卡集群的步骤还包括:
控制所述无密钥代理节点基于所述代理服务器调用所述无密钥代理节点对应的调用信息,生成调用请求信息;
控制所述无密钥代理节点将所述调用请求信息实时上传至所述OpenSSL。
4.如权利要求1所述的安全套接层加速方法,其特征在于,所述在所述无密钥代理节点从所述第二数据库中获取到所述加解密信息对应的真实私钥信息后,控制所述无密钥代理节点将所述真实私钥信息及所述加解密信息发送至所述加速服务器的步骤包括:
控制所述无密钥代理节点基于所述加解密信息,从所述第二数据库获取所述真实私钥信息;
控制所述无密钥代理节点将所述真实私钥信息及所述加解密信息发送至所述加速服务器。
5.如权利要求1至4中任一项所述的安全套接层加速方法,其特征在于,所述控制所述加速服务器基于所述真实私钥信息对所述加解密信息执行加解密操作的步骤之后,所述安全套接层加速方法还包括:
通过所述加速服务器基于所述加解密操作得到操作结果;
控制所述加速服务器将所述操作结果返回至所述无密钥代理节点。
6.一种安全套接层加速装置,其特征在于,所述安全套接层加速装置包括:
请求单元,用于在检测到用户端向接入层设有的Nginx服务器发送HTTPS请求时,控制所述Nginx服务器基于所述HTTPS请求与所述用户端建立TCP连接,并生成安全套接层SSL,其中,所述接入层还设有第一数据库、软件库包OpenSSL及代理服务器;
处理模块,用于控制所述Nginx服务器基于所述第一数据库中的虚拟密码将SSL协议握手与加解密信息发送至所述OpenSSL进行处理,得到处理结果;
分离模块,用于若基于所述处理结果确定所述用户端与所述OpenSSL握手成功,则通过所述OpenSSL将所述SSL协议握手与所述加解密信息分离;
转发模块,用于通过所述接入层控制所述OpenSSL将所述加解密信息转发到所述代理服务器;
调用模块,用于在所述代理服务器接收到所述加解密信息后,控制所述代理服务器基于所述加解密信息异步调用加速卡集群,其中,所述加速卡集群包括无密钥代理节点、第二数据库及加速服务器;
发送模块,用于在所述无密钥代理节点从所述第二数据库中获取到所述加解密信息对应的真实私钥信息后,控制所述无密钥代理节点将所述真实私钥信息及所述加解密信息发送至所述加速服务器;
执行模块,用于控制所述加速服务器基于所述真实私钥信息对所述加解密信息执行加解密操作。
7.如权利要求6所述的安全套接层加速装置,其特征在于,所述调用模块还用于:
在所述代理服务器接收到所述加解密信息后,控制所述代理服务器基于所述加解密信息,通过远程过程调用RPC进行异步调用所述无密钥代理节点。
8.如权利要求6所述的安全套接层加速装置,其特征在于,所述调用模块还用于:
控制所述无密钥代理节点基于所述代理服务器调用所述无密钥代理节点对应的调用信息,生成调用请求信息;
控制所述无密钥代理节点将所述调用请求信息实时上传至所述OpenSSL。
9.如权利要求6所述的安全套接层加速装置,其特征在于,所述发送模块还用于:
控制所述无密钥代理节点基于所述加解密信息,从所述第二数据库获取所述真实私钥信息;
控制所述无密钥代理节点将所述真实私钥信息及所述加解密信息发送至所述加速服务器。
10.一种安全套接层加速设备,其特征在于,所述安全套接层加速设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的安全套接层加速程序,所述安全套接层加速程序被所述处理器执行时实现如权利要求1至5中任一项所述的安全套接层加速方法的步骤。
11.一种可读存储介质,其特征在于,所述可读存储介质上存储有安全套接层加速程序,所述安全套接层加速程序被处理器执行时实现如权利要求1至5中任一项所述的安全套接层加速方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910359100.6A CN110071933B (zh) | 2019-04-28 | 2019-04-28 | 安全套接层加速方法、装置、设备及可读存储介质 |
| PCT/CN2020/078395 WO2020220833A1 (zh) | 2019-04-28 | 2020-03-09 | 安全套接层加速方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910359100.6A CN110071933B (zh) | 2019-04-28 | 2019-04-28 | 安全套接层加速方法、装置、设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110071933A CN110071933A (zh) | 2019-07-30 |
| CN110071933B true CN110071933B (zh) | 2021-11-12 |
Family
ID=67369743
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910359100.6A Active CN110071933B (zh) | 2019-04-28 | 2019-04-28 | 安全套接层加速方法、装置、设备及可读存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN110071933B (zh) |
| WO (1) | WO2020220833A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110071933B (zh) * | 2019-04-28 | 2021-11-12 | 深圳前海微众银行股份有限公司 | 安全套接层加速方法、装置、设备及可读存储介质 |
| CN111131455B (zh) * | 2019-12-24 | 2021-06-04 | 深信服科技股份有限公司 | 数据代理方法、装置、设备及存储介质 |
| CN113656806B (zh) * | 2020-07-08 | 2024-05-03 | 支付宝(杭州)信息技术有限公司 | 区块链一体机的可信启动方法及装置 |
| CN114553449A (zh) * | 2020-11-24 | 2022-05-27 | 北京金山云网络技术有限公司 | 基于https的加解密方法、装置、系统、电子设备和存储介质 |
| CN113535745B (zh) * | 2021-08-09 | 2022-01-18 | 威讯柏睿数据科技(北京)有限公司 | 一种层次化数据库操作加速系统和方法 |
| CN115426403A (zh) * | 2022-08-23 | 2022-12-02 | 奇安信网神信息技术(北京)股份有限公司 | 数据处理方法、装置、电子设备及存储介质 |
| CN116132420B (zh) * | 2022-12-28 | 2024-07-12 | 中国互联网络信息中心 | 一种面向通用互联网平台的集群密码加速方法及装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104580129A (zh) * | 2013-10-29 | 2015-04-29 | 杭州迪普科技有限公司 | 一种基于流处理的ssl异步代理方法 |
| CN104732164A (zh) * | 2013-12-18 | 2015-06-24 | 国家计算机网络与信息安全管理中心 | 一种提高ssl数据处理速度的装置及其方法 |
| CN105871858A (zh) * | 2016-04-15 | 2016-08-17 | 浪潮集团有限公司 | 一种保证数据安全的方法及系统 |
| CN105978789A (zh) * | 2016-04-28 | 2016-09-28 | 努比亚技术有限公司 | 一种消息推送系统及方法 |
| CN106027646A (zh) * | 2016-05-19 | 2016-10-12 | 杜在东 | 一种加速https的方法及装置 |
| US10079810B1 (en) * | 2016-09-30 | 2018-09-18 | EMC IP Holding Company LLC | Decryption and analysis of network traffic using key material collected from endpoint devices of a computer network |
| CN109088889A (zh) * | 2018-10-16 | 2018-12-25 | 深信服科技股份有限公司 | 一种ssl加解密方法、系统及计算机可读存储介质 |
| CN109327470A (zh) * | 2018-11-28 | 2019-02-12 | 郑州云海信息技术有限公司 | 一种用于实现ssl加密传输的方法和装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070074282A1 (en) * | 2005-08-19 | 2007-03-29 | Black Jeffrey T | Distributed SSL processing |
| US8543805B2 (en) * | 2010-04-21 | 2013-09-24 | Citrix Systems, Inc. | Systems and methods for split proxying of SSL via WAN appliances |
| CN109428876B (zh) * | 2017-09-01 | 2021-10-08 | 腾讯科技(深圳)有限公司 | 一种握手连接方法及装置 |
| CN110071933B (zh) * | 2019-04-28 | 2021-11-12 | 深圳前海微众银行股份有限公司 | 安全套接层加速方法、装置、设备及可读存储介质 |
-
2019
- 2019-04-28 CN CN201910359100.6A patent/CN110071933B/zh active Active
-
2020
- 2020-03-09 WO PCT/CN2020/078395 patent/WO2020220833A1/zh active Application Filing
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104580129A (zh) * | 2013-10-29 | 2015-04-29 | 杭州迪普科技有限公司 | 一种基于流处理的ssl异步代理方法 |
| CN104732164A (zh) * | 2013-12-18 | 2015-06-24 | 国家计算机网络与信息安全管理中心 | 一种提高ssl数据处理速度的装置及其方法 |
| CN105871858A (zh) * | 2016-04-15 | 2016-08-17 | 浪潮集团有限公司 | 一种保证数据安全的方法及系统 |
| CN105978789A (zh) * | 2016-04-28 | 2016-09-28 | 努比亚技术有限公司 | 一种消息推送系统及方法 |
| CN106027646A (zh) * | 2016-05-19 | 2016-10-12 | 杜在东 | 一种加速https的方法及装置 |
| US10079810B1 (en) * | 2016-09-30 | 2018-09-18 | EMC IP Holding Company LLC | Decryption and analysis of network traffic using key material collected from endpoint devices of a computer network |
| CN109088889A (zh) * | 2018-10-16 | 2018-12-25 | 深信服科技股份有限公司 | 一种ssl加解密方法、系统及计算机可读存储介质 |
| CN109327470A (zh) * | 2018-11-28 | 2019-02-12 | 郑州云海信息技术有限公司 | 一种用于实现ssl加密传输的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020220833A1 (zh) | 2020-11-05 |
| CN110071933A (zh) | 2019-07-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110071933B (zh) | 安全套接层加速方法、装置、设备及可读存储介质 | |
| CN111541785B (zh) | 基于云计算的区块链数据处理方法及装置 | |
| CN112035215B (zh) | 节点集群的节点自治方法、系统、装置及电子设备 | |
| US7565533B2 (en) | Systems and methods for providing object integrity and dynamic permission grants | |
| JP5534520B2 (ja) | スマートカードにブラウザベースでアクセスするシステムおよび方法 | |
| US9183031B2 (en) | Provisioning of a virtual machine by using a secured zone of a cloud environment | |
| US8875240B2 (en) | Tenant data center for establishing a virtual machine in a cloud environment | |
| CN102469080A (zh) | 实现通行证用户安全登录应用客户端的方法和系统 | |
| JP2002374239A (ja) | 情報暗号化方法 | |
| CN111970240B (zh) | 集群纳管方法、装置及电子设备 | |
| US10970264B2 (en) | Supporting secure layer extensions for communication protocols | |
| US11803398B2 (en) | Computing device and associated methods providing browser launching of virtual sessions in an application | |
| US12034845B2 (en) | Smart card and associated methods for initiating virtual sessions at kiosk device | |
| WO2021220226A1 (en) | Systems and methods for decentralization of blockchain-based processes employing a blockchain-associated front end or blockchain-associated user interface | |
| CN111049844A (zh) | 基于Socks代理的上网行为管理方法、装置、设备及存储介质 | |
| CN111460410A (zh) | 服务器登录方法、装置、系统与计算机可读存储介质 | |
| CN113626840A (zh) | 接口认证方法、装置、计算机设备和存储介质 | |
| CN109814889A (zh) | 用于更新源代码库的方法和装置 | |
| CN113672403B (zh) | 信息系统中的接口调用方法及接口调用装置、管理信息系统 | |
| US11557016B2 (en) | Tracking image senders on client devices | |
| CN117453343A (zh) | 虚拟机度量、机密计算认证方法、设备、系统及存储介质 | |
| CN115695400A (zh) | 一种Web页面与本地应用交互的方法及终端 | |
| KR20080045195A (ko) | 일관된 애플리케이션 인식 방화벽 횡단 제공 | |
| JPH11215120A (ja) | 通信装置 | |
| CN114208112B (zh) | 用于可扩展网络服务的连接池 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |