CN112217833B - 一种安全套接字协议卸载方法、装置、存储介质及电子设备 - Google Patents
一种安全套接字协议卸载方法、装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN112217833B CN112217833B CN202011133724.5A CN202011133724A CN112217833B CN 112217833 B CN112217833 B CN 112217833B CN 202011133724 A CN202011133724 A CN 202011133724A CN 112217833 B CN112217833 B CN 112217833B
- Authority
- CN
- China
- Prior art keywords
- encryption suite
- firewall
- message
- encryption
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种安全套接字协议卸载方法、装置、存储介质及电子设备,该方法包括:防火墙接收客户端发送的报文,报文支持至少一个加密套件,向服务器发送报文,接收服务器返回的报文,返回的报文支持第一加密套件,如果第一加密套件属于至少一个加密套件中的一个,将第一加密套件作为客户端、防火墙和服务器之间的加密套件;如果第一加密套件不属于至少一个加密套件中的一个,则将第一加密套件作为防火墙和服务器之间的加密套件,将至少一个加密套件中的一个作为防火墙和客户端之间的加密套件。因此,采用本申请实施例,由于不同客户端访问目的服务器地址时使用相同的加密套件,减少防火墙上加密套件的数量,从而提升防火墙的吞吐性能,降低对CPU的占用率。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种安全套接字协议卸载方法、装置、存储介质及电子设备。
背景技术
安全套接字协议SSL(Secure Sockets Layer,安全套接字协议)介于应用层和传输层之间,应用层数据不再直接传递给传输层,而是传递给SSL层,SSL层对从应用层收到的数据进行加密,这就保证了客户端和服务器之间的通信的安全性,防止被监听和篡改。但是SSL协议并不会阻止客户端和服务器之间发生的应用层内容的攻击,例如web攻击,而且由于内容被加密,处于客户端和服务器之间的安全设备不能正常检测内容并识别攻击,所以SSL卸载功能就应运而生。
在目前的SSL卸载中主要是SSL代理方法实现,在SSL代理中,客户端发送ClientHello报文,发起一个SSL连接,防火墙解析并缓存客户端发来的Client Hello报文,并向服务器发送自己的Client Hello报文。服务器响应Client Hello,向防火墙发送ServerHello报文和服务器证书。防火墙作为代理客户端和服务器完成SSL握手,建立SSL连接。防火墙向客户端发送自己的Server Hello报文和防火墙修改后的Server的证书。客户端完成对服务器证书的校验后,与NGFW完成SSL握手,建立SSL连接。客户端、服务器和NGFW之间传输加密的SSL流量。防火墙解密客户端或服务器发来的SSL流量,并对解密后的流量做内容安全检测或审计。防火墙将完成内容安全检测或审计的流量重新加密后发往服务器或客户端。由于现有SSL代理中最终每个客户端与防火墙之间及防火墙与服务器之间都会建立起属于自己加密套件的隧道,过多的加密套件下存在数量众多的通道,严重影响了防火墙的加解密性能,从而导致整个设备的吞吐性能低下,CPU繁忙,进一步影响整体网络的性能。
发明内容
本申请实施例提供了一种安全套接字协议卸载方法、装置、存储介质及电子设备。为了对披露的实施例的一些方面有一个基本的理解,下面给出了简单的概括。该概括部分不是泛泛评述,也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念,以此作为后面的详细说明的序言。
第一方面,本申请实施例提供了一种安全套接字协议卸载方法,应用于防火墙,该方法包括:
接收客户端发送的报文,报文支持至少一个加密套件;
向服务器发送报文;
接收服务器返回的报文,返回的报文支持第一加密套件;
如果第一加密套件属于至少一个加密套件中的一个,则将第一加密套件作为客户端、防火墙和服务器之间的加密套件;如果第一加密套件不属于至少一个加密套件中的一个,则将第一加密套件作为防火墙和服务器之间的加密套件,将至少一个加密套件中的一个作为防火墙和客户端之间的加密套件。
可选的,该方法还包括:
接收定时器设置指令,基于定时器设置指令设置定时器;
确定加密套件的更新周期;
当定时器检测到一个更新周期结束时,更新至少一个加密套件和第一加密套件。
可选的,该方法进一步包括:
基于第一加密套件和至少一个加密套件中的一个建立客户端、防火墙和服务器之间的加密通道。
可选的,该方法还包括:
如果当前硬件设备为多核分布式,对于不同的加密套件使用不同的核进行处理;和/或
根据加密通道所使用的加密套件的会话容量大于或等于预设阈值,加密通道禁止增加新的会话。
第二方面,本申请实施例提供了一种安全套接字协议卸载方法,应用于服务器,该方法包括:
接收防火墙发送报文,报文支持至少一个加密套件;
返回报文给防火墙,返回的报文支持第一加密套件;
如果第一加密套件属于至少一个加密套件中的一个,则将第一加密套件作为客户端、防火墙和服务器之间的加密套件;如果第一加密套件不属于至少一个加密套件中的一个,则将第一加密套件作为防火墙和服务器之间的加密套件,将至少一个加密套件中的一个作为防火墙和客户端之间的加密套件。
第三方面,本申请实施例提供了一种安全套接字协议卸载方法,应用于客户端,该方法包括:
向防火墙发送报文,报文支持至少一个加密套件;
接收防火墙返回的报文,返回的报文支持第一加密套件;
如果第一加密套件属于至少一个加密套件中的一个,则将第一加密套件作为客户端、防火墙和服务器之间的加密套件;如果第一加密套件不属于至少一个加密套件中的一个,则将第一加密套件作为防火墙和服务器之间的加密套件,将至少一个加密套件中的一个作为防火墙和客户端之间的加密套件。
第四方面,本申请实施例提供了一种安全套接字协议卸载方法,该方法包括:
客户端生成报文发送至防火墙;
防火墙接收客户端发送的报文,报文支持至少一个加密套件;
防火墙向服务器发送报文;
服务器接收报文,并基于支持的第一加密套件生成报文发送至防火墙;
防火墙接收服务器返回的报文;
如果第一加密套件属于至少一个加密套件中的一个,防火墙则将第一加密套件作为客户端、防火墙和服务器之间的加密套件;如果第一加密套件不属于至少一个加密套件中的一个,防火墙则将第一加密套件作为防火墙和服务器之间的加密套件,将至少一个加密套件中的一个作为防火墙和客户端之间的加密套件。
第五方面,本申请实施例提供了一种安全套接字协议卸载装置,该装置包括:
第一报文发送模块,用于客户端生成报文发送至防火墙;
第一报文接收模块,用于防火墙接收客户端发送的报文,报文支持至少一个加密套件;
第二报文发送模块,用于防火墙向服务器发送报文;
第三报文发送模块,用于服务器接收报文,并基于支持的第一加密套件生成报文发送至防火墙;
第二报文接收模块,用于防火墙接收服务器返回的报文;
判断模块,用于如果第一加密套件属于至少一个加密套件中的一个,防火墙则将第一加密套件作为客户端、防火墙和服务器之间的加密套件;如果第一加密套件不属于至少一个加密套件中的一个,防火墙则将第一加密套件作为防火墙和服务器之间的加密套件,将至少一个加密套件中的一个作为防火墙和客户端之间的加密套件。
第六方面,本申请实施例提供一种计算机存储介质,计算机存储介质存储有多条指令,指令适于由处理器加载并执行上述的方法步骤。
第七方面,本申请实施例提供一种电子设备,可包括:处理器和存储器;其中,存储器存储有计算机程序,计算机程序适于由处理器加载并执行上述的方法步骤。
本申请实施例提供的技术方案可以包括以下有益效果:
在本申请实施例中,安全套接字协议卸载装置首先通过客户端生成报文发送至防火墙,再通过防火墙接收客户端发送的报文,报文支持至少一个加密套件,再通过防火墙向服务器发送报文;然后采用服务器接收报文,并基于支持的第一加密套件生成报文发送至防火墙;再根据防火墙接收服务器返回的报文;最后如果第一加密套件属于至少一个加密套件中的一个,通过防火墙则将第一加密套件作为客户端、防火墙和服务器之间的加密套件;如果第一加密套件不属于至少一个加密套件中的一个,通过防火墙则将第一加密套件作为防火墙和服务器之间的加密套件,将至少一个加密套件中的一个作为防火墙和客户端之间的加密套件。由于本申请通过不同客户端访问目的服务器地址时使用相同的加密套件,减少防火墙上加密套件的数量,从而提升防火墙的吞吐性能,降低对CPU的占用率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
图1是本申请实施例提供的一种安全套接字协议卸载方法示意图;
图2是本申请实施例提供的一种多个客户端通过防火墙访问服务器的的流程示意图;
图3是本申请实施例提供的一种隧道加密验证算法套件示意图;
图4是本申请实施例提供的一种应用于防火墙的安全套接字协议卸载方法的流程示意图;
图5是本申请实施例提供的一种应用于服务器的安全套接字协议卸载方法的流程示意图;
图6是本申请实施例提供的一种应用于客户端的安全套接字协议卸载方法的流程示意图;
图7是本申请实施例提供的一种安全套接字协议卸载装置的结构示意图;
图8是本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
以下描述和附图充分地示出本发明的具体实施方案,以使本领域的技术人员能够实践它们。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
在本发明的描述中,需要理解的是,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。此外,在本发明的描述中,除非另有说明,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
到目前为止,在目前的SSL卸载中主要是SSL代理方法实现,在SSL代理中,客户端发送Client Hello报文,发起一个SSL连接,防火墙解析并缓存客户端发来的Client Hello报文,并向服务器发送自己的Client Hello报文。服务器响应Client Hello,向防火墙发送Server Hello报文和服务器证书。防火墙作为代理客户端和服务器完成SSL握手,建立SSL连接。防火墙向客户端发送自己的Server Hello报文和防火墙修改后的Server的证书。客户端完成对服务器证书的校验后,与NGFW完成SSL握手,建立SSL连接。客户端、服务器和NGFW之间传输加密的SSL流量。防火墙解密客户端或服务器发来的SSL流量,并对解密后的流量做内容安全检测或审计。防火墙将完成内容安全检测或审计的流量重新加密后发往服务器或客户端。由于现有SSL代理中最终每个客户端与防火墙之间及防火墙与服务器之间都会建立起属于自己加密套件的隧道,过多的加密套件下存在数量众多的通道,严重影响了防火墙的加解密性能,从而导致整个设备的吞吐性能低下,CPU繁忙,进一步影响整体网络的性能。为此,本申请提供了一种安全套接字协议卸载方法、装置、存储介质及电子设备,以解决上述相关技术问题中存在的问题。本申请提供的技术方案中,由于本申请通过不同客户端访问目的服务器地址时使用相同的加密套件,减少防火墙上加密套件的数量,从而提升防火墙的吞吐性能,降低对CPU的占用率,下面采用示例性的实施例进行详细说明。
下面将结合附图1-附图6,对本申请实施例提供的安全套接字协议卸载方法进行详细介绍。该方法可依赖于计算机程序实现,可运行于基于冯诺依曼体系的安全套接字协议卸载装置上。该计算机程序可集成在应用中,也可作为独立的工具类应用运行。其中,本申请实施例中的安全套接字协议卸载装置可以为电子设备。
请参见图1,为本申请实施例提供了一种安全套接字协议卸载方法的流程示意图。如图1所示,本申请实施例的方法可以包括以下步骤:
S101,客户端生成报文发送至防火墙;
其中,客户端为用户终端,防火墙为下一代防火墙,全称为(NGFW,Nextgeneration firewall)。生成报文中携带自己支持的加密套件。
在一种可行的实现方式中,当多个客户端对同一个服务器进行访问时,客户端首先生成访问该服务器的报文,该报文中包含访问的目的服务器地址以及支持至少一个加密套件等信息,最后将生成访问该服务器的报文发送至NGFW。
S102,防火墙接收客户端发送的报文,报文支持至少一个加密套件;
在一种可行的实现方式中,NGFW实时接收报文数据,当检测到发送的报文信息时,接收客户端发送的报文。
S103,防火墙向服务器发送报文;
在一种可行的实现方式中,客户端发送第一报文至NGFW,NGFW接收第一报文后解析并缓存,NGFW根据解析后的报文数据生成第二报文发送至服务器。
S104,服务器接收报文,并基于支持的第一加密套件生成报文发送至防火墙;
在一种可行的实现方式中,服务器接收第二报文,并基于第二报文选择第一加密套件发送至NGFW。
S105,防火墙接收服务器返回的报文;
在一种可行的实现方式中,NGFW实时接收报文数据,当检测到发送的报文信息时,接收服务器发送的报文,其中服务器发送的报文中携带自己支持的加密套件。
例如图2所示,图2是本申请实施例提供的客户端访问服务器示意图,客户端1和客户端2以及客户端3通过防火墙和服务器1和2进行交互。
S106,如果第一加密套件属于至少一个加密套件中的一个,防火墙则将第一加密套件作为客户端、防火墙和服务器之间的加密套件;如果第一加密套件不属于至少一个加密套件中的一个,防火墙则将第一加密套件作为防火墙和服务器之间的加密套件,将至少一个加密套件中的一个作为防火墙和客户端之间的加密套件。
在本申请实施例中,防火墙通过服务器返回的自己支持的加密套件进行判断,判断服务端返回报文中的加密套件是否在客户端发送的报文所支持的加密套件中。当服务端返回的报文中加密套件在客户端支持的加密套件中时,将第一加密套件确定为加密套件,并基于该加密套件建立客户端、NGFW以及服务器之间的加密通道。当服务端返回报文中的加密套件不在客户端支持的加密套件中时,基于服务端返回的报文中的加密套件选择建立NGFW以及服务端之间的加密通道,并确定在多个客户端支持的第二加密套件,基于第二加密套件建立客户端和防火墙之间的加密通道。多个客户端通过加密套件中的隧道加密验证算法套件访问服务器1如图3所示。
在一种可行的实现方式中,当客户端1发送Client Hello报文到达NGFW时,NGFW解析并缓存客户端1发来的Client Hello报文,之后NGFW根据解析结果向服务器1发送自己的Client Hello报文,报文中携带自己支持的加密套件。服务器1返回选择的加密套件1(假设为加密验证算法套件1)及其他信息,NGFW根据收到服务器1选择的加密套件,根据如下两种情况做出对应的处理:
如果此加密套件1在客户端1支持的加密套件中,则把此加密套件1作为NGFW和服务器1之间的加密套件。NGFW回应客户端1的加密套件为加密验证算法套件1。因此,客户端1和NGFW之间,及NGFW和服务器1之间使用相同的加密套件1,并根据加密套件1建立客户端、防火墙和服务器之间的加密通道。
如果此加密套件不在客户端1支持的加密套件中,把此加密套件1作为NGFW和服务器1之间的加密套件,并根据加密套件1建立防火墙和服务器之间的加密通道。NGFW回应客户端1的加密套件为NGFW支持的加密验证算法套件2,并根据加密验证算法套件2建立客户端和防火墙之间的加密通道。
在另一种可能的实现方式中,当客户端2发送Client Hello报文到达NGFW,NGFW解析并缓存客户端2发来的Client Hello报文,NGFW根据已经存在的目的服务器地址,发现访问的目的地址为已经存在的服务器1,NGFW向服务器1发送自己的Client Hello报文,报文中携带加密验证算法套件1(已经在使用的加密套件)。服务器返回选择的加密套件:加密验证算法套件1,根据如下两种情况做出对应的处理:
如果此加密套件在客户端2支持的加密套件中,则把此加密套件1作为NGFW和服务器1之间的加密套件。NGFW回应客户端2的加密套件为加密验证算法套件1。因此,客户端2和NGFW之间,及NGFW和服务器1之间使用相同的加密套件,并根据加密套件1建立客户端、防火墙和服务器之间的加密通道。
如果此加密套件1不在客户端2支持的加密套件中,把此加密套件1作为NGFW和服务器1之间的加密套件,并根据加密套件1建立防火墙和服务器之间的加密通道。NGFW回应客户端1的加密套件为NGFW支持的加密验证算法套件2,并根据加密验证算法套件2建立客户端和防火墙之间的加密通道。
需要说明的是,当多个客户端访问的服务器发生变化时,由于访问的目的服务器发生了变化,其处理的流程和客户端1访问服务器1相同。
根据本申请提供的实施例可得到的结果例如表1所示,多个客户端访问服务器的过程中,在正常的情况下形成表1中编号1到5的加密套件应用方式,
表1
| 编号 | 客户端IP | 加密密钥 | 加密套件 | NGFW | 加密套件 | 服务器 |
| 1 | IP1 | Key1 | 加密套件1 | NGFW | 加密套件1 | 服务器1 |
| 2 | IP2 | Key2 | 加密套件1 | NGFW | 加密套件1 | 服务器1 |
| 3 | IP3 | Key3 | 加密套件1 | NGFW | 加密套件1 | 服务器1 |
| 4 | IP4 | Key4 | 加密套件1 | NGFW | 加密套件1 | 服务器1 |
| 5 | IP5 | Key5 | 加密套件1 | NGFW | 加密套件1 | 服务器1 |
| 6 | IP6 | Key6 | 加密套件2 | NGFW | 加密套件1 | 服务器2 |
| 7 | IP7 | Key7 | 加密套件2 | NGFW | 加密套件1 | 服务器2 |
| 8 | IP8 | Key8 | 加密套件2 | NGFW | 加密套件1 | 服务器2 |
| 9 | IP9 | Key9 | 加密套件2 | NGFW | 加密套件1 | 服务器2 |
| 10 | IP10 | Key10 | 加密套件2 | NGFW | 加密套件1 | 服务器2 |
即客户端和防火墙之间的加密套件和防火墙和服务器之间使用的加密套件相同。特殊情况下,客户端和防火墙之间的加密套件和防火墙和服务器之间使用的加密套件不同,如表1中编号6到10所示,但不同的客户端使用相同的加密验证算法套件和防火墙进行数据加解密,而防火墙和服务器之间,也使用相同的加密验证算法套件。如此改善了因会话不同,加密验证算法套件不同,导致防火墙上存在大量的加密验证算法套件组合,影响NGFW的吞吐性能。
在本申请实施例中,安全套接字协议卸载装置首先通过客户端生成报文发送至防火墙,再通过防火墙接收客户端发送的报文,报文支持至少一个加密套件,再通过防火墙向服务器发送报文;然后采用服务器接收报文,并基于支持的第一加密套件生成报文发送至防火墙;再根据防火墙接收服务器返回的报文;最后如果第一加密套件属于至少一个加密套件中的一个,通过防火墙则将第一加密套件作为客户端、防火墙和服务器之间的加密套件;如果第一加密套件不属于至少一个加密套件中的一个,通过防火墙则将第一加密套件作为防火墙和服务器之间的加密套件,将至少一个加密套件中的一个作为防火墙和客户端之间的加密套件。由于本申请通过不同客户端访问目的服务器地址时使用相同的加密套件,减少防火墙上加密套件的数量,从而提升防火墙的吞吐性能,降低对CPU的占用率。
请参见图4,为本申请实施例提供了一种安全套接字协议卸载方法的流程示意图,应用于防火墙。如图4所示,本申请实施例的方法可以包括以下步骤:
S201,接收客户端发送的报文,报文支持至少一个加密套件;
S202,向服务器发送报文;
S203,接收服务器返回的报文,返回的报文支持第一加密套件;
S204,如果第一加密套件属于至少一个加密套件中的一个,则将第一加密套件作为客户端、防火墙和服务器之间的加密套件;如果第一加密套件不属于至少一个加密套件中的一个,则将第一加密套件作为防火墙和服务器之间的加密套件,将至少一个加密套件中的一个作为防火墙和客户端之间的加密套件。
进一步地,在确定出加密套件之后,基于第一加密套件和至少一个加密套件中的一个建立客户端、防火墙和服务器之间的加密通道。
进一步地,接收定时器设置指令,基于定时器设置指令设置定时器,确定加密套件的更新周期,当定时器检测到一个更新周期结束时,更新至少一个加密套件和第一加密套件。
具体的,为避免NGFW上一直使用相同的加密验证算法套件和服务器及客户端之间建立连接,导致安全系数的降低,NGFW上可以设置定时器,定时器时间到后,不再接收新的会话使用相同的加密验证算法套件,而需要重新协商新的加密验证算法套件。
进一步地,如果当前硬件设备为多核分布式,对于不同的加密套件使用不同的核进行处理,和/或根据加密通道所使用的加密套件的会话容量大于或等于预设阈值,加密通道禁止增加新的会话。
具体地,在某些硬件环境下,在多核分布式的情况下,为做到负载分担,同时提升NGFW的吞吐性能,往往不同的加解密验证算法由不同的核来处理。为避免极端情况下所有会话都使用相同的加解密验证算法,导致会话及对应的加解密操作都集中在一个核上处理,可以限制每个加解密套件会话容量,根据带宽或者会话的数量进行限制。如根据设备单核的处理能力,如10GBPS,当达到此阈值后,加密套件隧道不再增加新的会话;或者根据会话的数量,如达到10万会话,则加密套件隧道不再增加新的会话。
在本申请实施例中,安全套接字协议卸载装置首先通过客户端生成报文发送至防火墙,再通过防火墙接收客户端发送的报文,报文支持至少一个加密套件,再通过防火墙向服务器发送报文;然后采用服务器接收报文,并基于支持的第一加密套件生成报文发送至防火墙;再根据防火墙接收服务器返回的报文;最后如果第一加密套件属于至少一个加密套件中的一个,通过防火墙则将第一加密套件作为客户端、防火墙和服务器之间的加密套件;如果第一加密套件不属于至少一个加密套件中的一个,通过防火墙则将第一加密套件作为防火墙和服务器之间的加密套件,将至少一个加密套件中的一个作为防火墙和客户端之间的加密套件。由于本申请通过不同客户端访问目的服务器地址时使用相同的加密套件,减少防火墙上加密套件的数量,从而提升防火墙的吞吐性能,降低对CPU的占用率。
请参见图5,为本申请实施例提供了一种安全套接字协议卸载方法的流程示意图,应用于服务器。如图5所示,本申请实施例的方法可以包括以下步骤:
S301,接收防火墙发送报文,报文支持至少一个加密套件;
S302,返回报文给防火墙,返回的报文支持第一加密套件;
S303,如果第一加密套件属于至少一个加密套件中的一个,则将第一加密套件作为客户端、防火墙和服务器之间的加密套件;如果第一加密套件不属于至少一个加密套件中的一个,则将第一加密套件作为防火墙和服务器之间的加密套件,将至少一个加密套件中的一个作为防火墙和客户端之间的加密套件。
在本申请实施例中,安全套接字协议卸载装置首先通过客户端生成报文发送至防火墙,再通过防火墙接收客户端发送的报文,报文支持至少一个加密套件,再通过防火墙向服务器发送报文;然后采用服务器接收报文,并基于支持的第一加密套件生成报文发送至防火墙;再根据防火墙接收服务器返回的报文;最后如果第一加密套件属于至少一个加密套件中的一个,通过防火墙则将第一加密套件作为客户端、防火墙和服务器之间的加密套件;如果第一加密套件不属于至少一个加密套件中的一个,通过防火墙则将第一加密套件作为防火墙和服务器之间的加密套件,将至少一个加密套件中的一个作为防火墙和客户端之间的加密套件。由于本申请通过不同客户端访问目的服务器地址时使用相同的加密套件,减少防火墙上加密套件的数量,从而提升防火墙的吞吐性能,降低对CPU的占用率。
请参见图6,为本申请实施例提供了一种安全套接字协议卸载方法的流程示意图,应用于客户端。如图6所示,本申请实施例的方法可以包括以下步骤:
S401,向防火墙发送报文,报文支持至少一个加密套件;
S402,接收防火墙返回的报文,返回的报文支持第一加密套件;
S403,如果第一加密套件属于至少一个加密套件中的一个,则将第一加密套件作为客户端、防火墙和服务器之间的加密套件;如果第一加密套件不属于至少一个加密套件中的一个,则将第一加密套件作为防火墙和服务器之间的加密套件,将至少一个加密套件中的一个作为防火墙和客户端之间的加密套件。
在本申请实施例中,安全套接字协议卸载装置首先通过客户端生成报文发送至防火墙,再通过防火墙接收客户端发送的报文,报文支持至少一个加密套件,再通过防火墙向服务器发送报文;然后采用服务器接收报文,并基于支持的第一加密套件生成报文发送至防火墙;再根据防火墙接收服务器返回的报文;最后如果第一加密套件属于至少一个加密套件中的一个,通过防火墙则将第一加密套件作为客户端、防火墙和服务器之间的加密套件;如果第一加密套件不属于至少一个加密套件中的一个,通过防火墙则将第一加密套件作为防火墙和服务器之间的加密套件,将至少一个加密套件中的一个作为防火墙和客户端之间的加密套件。由于本申请通过不同客户端访问目的服务器地址时使用相同的加密套件,减少防火墙上加密套件的数量,从而提升防火墙的吞吐性能,降低对CPU的占用率。
下述为本发明装置实施例,可以用于执行本发明方法实施例。对于本发明装置实施例中未披露的细节,请参照本发明方法实施例。
请参见图7,其示出了本发明一个示例性实施例提供的安全套接字协议卸载装置的结构示意图。该安全套接字协议卸载装置可以通过软件、硬件或者两者的结合实现成为电子设备的全部或一部分。该装置1包括第一报文发送模块10、第一报文接收模块20、第二报文发送模块30、第三报文发送模块40、第二报文接收模块50、判断模块60。
第一报文发送模块10,用于客户端生成报文发送至防火墙;
第一报文接收模块20,用于防火墙接收客户端发送的报文,报文支持至少一个加密套件;
第二报文发送模块30,用于防火墙向服务器发送报文;
第三报文发送模块40,用于服务器接收报文,并基于支持的第一加密套件生成报文发送至防火墙;
第二报文接收模块50,用于防火墙接收服务器返回的报文;
判断模块60,用于如果第一加密套件属于至少一个加密套件中的一个,防火墙则将第一加密套件作为客户端、防火墙和服务器之间的加密套件;如果第一加密套件不属于至少一个加密套件中的一个,防火墙则将第一加密套件作为防火墙和服务器之间的加密套件,将至少一个加密套件中的一个作为防火墙和客户端之间的加密套件。
需要说明的是,上述实施例提供的安全套接字协议卸载装置在执行安全套接字协议卸载方法时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的安全套接字协议卸载装置与安全套接字协议卸载方法实施例属于同一构思,其体现实现过程详见方法实施例,这里不再赘述。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请实施例中,安全套接字协议卸载装置首先通过客户端生成报文发送至防火墙,再通过防火墙接收客户端发送的报文,报文支持至少一个加密套件,再通过防火墙向服务器发送报文;然后采用服务器接收报文,并基于支持的第一加密套件生成报文发送至防火墙;再根据防火墙接收服务器返回的报文;最后如果第一加密套件属于至少一个加密套件中的一个,通过防火墙则将第一加密套件作为客户端、防火墙和服务器之间的加密套件;如果第一加密套件不属于至少一个加密套件中的一个,通过防火墙则将第一加密套件作为防火墙和服务器之间的加密套件,将至少一个加密套件中的一个作为防火墙和客户端之间的加密套件。由于本申请通过不同客户端访问目的服务器地址时使用相同的加密套件,减少防火墙上加密套件的数量,从而提升防火墙的吞吐性能,降低对CPU的占用率。
本发明还提供一种计算机可读介质,其上存储有程序指令,该程序指令被处理器执行时实现上述各个方法实施例提供的安全套接字协议卸载方法。本发明还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各个方法实施例的安全套接字协议卸载方法。
请参见图8,为本申请实施例提供了一种电子设备的结构示意图。如图8所示,电子设备1000可以包括:至少一个处理器1001,至少一个网络接口1004,用户接口1003,存储器1005,至少一个通信总线1002。
其中,通信总线1002用于实现这些组件之间的连接通信。
其中,用户接口1003可以包括显示屏(Display)、摄像头(Camera),可选用户接口1003还可以包括标准的有线接口、无线接口。
其中,网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。
其中,处理器1001可以包括一个或者多个处理核心。处理器1001利用各种借口和线路连接整个电子设备1000内的各个部分,通过运行或执行存储在存储器1005内的指令、程序、代码集或指令集,以及调用存储在存储器1005内的数据,执行电子设备1000的各种功能和处理数据。可选的,处理器1001可以采用数字信号处理(Digital Signal Processing,DSP)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、可编程逻辑阵列(Programmable Logic Array,PLA)中的至少一种硬件形式来实现。处理器1001可集成中央处理器(Central Processing Unit,CPU)、图像处理器(Graphics Processing Unit,GPU)和调制解调器等中的一种或几种的组合。其中,CPU主要处理操作系统、用户界面和应用程序等;GPU用于负责显示屏所需要显示的内容的渲染和绘制;调制解调器用于处理无线通信。可以理解的是,上述调制解调器也可以不集成到处理器1001中,单独通过一块芯片进行实现。
其中,存储器1005可以包括随机存储器(Random Access Memory,RAM),也可以包括只读存储器(Read-Only Memory)。可选的,该存储器1005包括非瞬时性计算机可读介质(non-transitory computer-readable storage medium)。存储器1005可用于存储指令、程序、代码、代码集或指令集。存储器1005可包括存储程序区和存储数据区,其中,存储程序区可存储用于实现操作系统的指令、用于至少一个功能的指令(比如触控功能、声音播放功能、图像播放功能等)、用于实现上述各个方法实施例的指令等;存储数据区可存储上面各个方法实施例中涉及到的数据等。存储器1005可选的还可以是至少一个位于远离前述处理器1001的存储装置。如图8所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及安全套接字协议卸载应用程序。
在图8所示的电子设备1000中,用户接口1003主要用于为用户提供输入的接口,获取用户输入的数据;而处理器1001可以用于调用存储器1005中存储的安全套接字协议卸载应用程序,并具体执行以下操作:
客户端生成报文发送至防火墙;
防火墙接收客户端发送的报文,报文支持至少一个加密套件;
防火墙向服务器发送报文;
服务器接收报文,并基于支持的第一加密套件生成报文发送至防火墙;
防火墙接收服务器返回的报文;
如果第一加密套件属于至少一个加密套件中的一个,防火墙则将第一加密套件作为客户端、防火墙和服务器之间的加密套件;如果第一加密套件不属于至少一个加密套件中的一个,防火墙则将第一加密套件作为防火墙和服务器之间的加密套件,将至少一个加密套件中的一个作为防火墙和客户端之间的加密套件。
在本申请实施例中,安全套接字协议卸载装置首先通过客户端生成报文发送至防火墙,再通过防火墙接收客户端发送的报文,报文支持至少一个加密套件,再通过防火墙向服务器发送报文;然后采用服务器接收报文,并基于支持的第一加密套件生成报文发送至防火墙;再根据防火墙接收服务器返回的报文;最后如果第一加密套件属于至少一个加密套件中的一个,通过防火墙则将第一加密套件作为客户端、防火墙和服务器之间的加密套件;如果第一加密套件不属于至少一个加密套件中的一个,通过防火墙则将第一加密套件作为防火墙和服务器之间的加密套件,将至少一个加密套件中的一个作为防火墙和客户端之间的加密套件。由于本申请通过不同客户端访问目的服务器地址时使用相同的加密套件,减少防火墙上加密套件的数量,从而提升防火墙的吞吐性能,降低对CPU的占用率。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,的存储介质可为磁碟、光盘、只读存储记忆体或随机存储记忆体等。
以上所揭露的仅为本申请较佳实施例而已,当然不能以此来限定本申请之权利范围,因此依本申请权利要求所作的等同变化,仍属本申请所涵盖的范围。
Claims (10)
1.一种安全套接字协议卸载方法,应用于防火墙,其特征在于,所述方法包括:
接收客户端发送的报文,所述报文支持至少一个加密套件;
向服务器发送报文;
接收服务器返回的报文,所述返回的报文支持第一加密套件;
如果所述第一加密套件属于所述至少一个加密套件中的一个,则将所述第一加密套件作为所述客户端、防火墙和服务器之间的加密套件;如果所述第一加密套件不属于所述至少一个加密套件中的一个,则将所述第一加密套件作为所述防火墙和服务器之间的加密套件,将所述至少一个加密套件中的一个作为所述防火墙和客户端之间的加密套件。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收定时器设置指令,基于所述定时器设置指令设置定时器;
确定加密套件的更新周期;
当定时器检测到一个更新周期结束时,更新所述至少一个加密套件和第一加密套件。
3.根据权利要求1或2所述的方法,其特征在于,所述方法进一步包括:
基于所述第一加密套件和所述至少一个加密套件中的一个建立客户端、防火墙和服务器之间的加密通道。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
如果当前硬件设备为多核分布式,对于不同的加密套件使用不同的核进行处理;和/或
根据所述加密通道所使用的加密套件的会话容量大于或等于预设阈值,所述加密通道禁止增加新的会话。
5.一种安全套接字协议卸载方法,应用于服务器,其特征在于,所述方法包括:
接收防火墙发送报文,所述报文支持至少一个加密套件;
返回报文给所述防火墙,所述返回的报文支持第一加密套件;
如果所述第一加密套件属于所述至少一个加密套件中的一个,则将所述第一加密套件作为客户端、防火墙和服务器之间的加密套件;如果所述第一加密套件不属于所述至少一个加密套件中的一个,则将所述第一加密套件作为所述防火墙和服务器之间的加密套件,将所述至少一个加密套件中的一个作为所述防火墙和客户端之间的加密套件。
6.一种安全套接字协议卸载方法,应用于客户端,其特征在于,所述方法包括:
向防火墙发送报文,所述报文支持至少一个加密套件;
接收所述防火墙返回的报文,所述返回的报文支持第一加密套件;
如果所述第一加密套件属于所述至少一个加密套件中的一个,则将所述第一加密套件作为所述客户端、防火墙和服务器之间的加密套件;如果所述第一加密套件不属于所述至少一个加密套件中的一个,则将所述第一加密套件作为所述防火墙和服务器之间的加密套件,将所述至少一个加密套件中的一个作为所述防火墙和客户端之间的加密套件。
7.一种安全套接字协议卸载方法,其特征在于,所述方法包括:
客户端生成报文发送至防火墙;
防火墙接收客户端发送的报文,所述报文支持至少一个加密套件;
防火墙向服务器发送报文;
服务器接收报文,并基于支持的第一加密套件生成报文发送至防火墙;
防火墙接收服务器返回的报文;
如果所述第一加密套件属于所述至少一个加密套件中的一个,防火墙则将所述第一加密套件作为所述客户端、防火墙和服务器之间的加密套件;如果所述第一加密套件不属于所述至少一个加密套件中的一个,防火墙则将所述第一加密套件作为所述防火墙和服务器之间的加密套件,将所述至少一个加密套件中的一个作为所述防火墙和客户端之间的加密套件。
8.一种安全套接字协议卸载装置,其特征在于,所述装置包括:
第一报文发送模块,用于客户端生成报文发送至防火墙;
第一报文接收模块,用于防火墙接收客户端发送的报文,所述报文支持至少一个加密套件;
第二报文发送模块,用于防火墙向服务器发送报文;
第三报文发送模块,用于服务器接收报文,并基于支持的第一加密套件生成报文发送至防火墙;
第二报文接收模块,用于防火墙接收服务器返回的报文;
判断模块,用于如果所述第一加密套件属于所述至少一个加密套件中的一个,防火墙则将所述第一加密套件作为所述客户端、防火墙和服务器之间的加密套件;如果所述第一加密套件不属于所述至少一个加密套件中的一个,防火墙则将所述第一加密套件作为所述防火墙和服务器之间的加密套件,将所述至少一个加密套件中的一个作为所述防火墙和客户端之间的加密套件。
9.一种计算机存储介质,其特征在于,所述计算机存储介质存储有多条指令,所述指令适于由处理器加载并执行如权利要求1~7任意一项的方法步骤。
10.一种电子设备,其特征在于,包括:处理器和存储器;其中,所述存储器存储有计算机程序,所述计算机程序适于由所述处理器加载并执行如权利要求1~7任意一项的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011133724.5A CN112217833B (zh) | 2020-10-21 | 2020-10-21 | 一种安全套接字协议卸载方法、装置、存储介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011133724.5A CN112217833B (zh) | 2020-10-21 | 2020-10-21 | 一种安全套接字协议卸载方法、装置、存储介质及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112217833A CN112217833A (zh) | 2021-01-12 |
| CN112217833B true CN112217833B (zh) | 2022-03-25 |
Family
ID=74056397
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011133724.5A Active CN112217833B (zh) | 2020-10-21 | 2020-10-21 | 一种安全套接字协议卸载方法、装置、存储介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112217833B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113746807A (zh) * | 2021-08-11 | 2021-12-03 | 北银金融科技有限责任公司 | 一种区块链节点支持国密算法通信检测方法 |
| CN114785536A (zh) * | 2022-02-28 | 2022-07-22 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN116032545B (zh) * | 2022-12-06 | 2024-03-22 | 北京中睿天下信息技术有限公司 | 一种ssl或tls流量多级过滤方法和系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104735058A (zh) * | 2015-03-04 | 2015-06-24 | 深信服网络科技(深圳)有限公司 | 一种基于安全协议ssl的加密方法及系统 |
| CN104767745A (zh) * | 2015-03-26 | 2015-07-08 | 浪潮集团有限公司 | 一种云端数据安全保护方法 |
| CN108429620A (zh) * | 2018-01-25 | 2018-08-21 | 新华三技术有限公司 | 安全连接的建立方法、系统、以及客户端和服务端 |
| CN109831464A (zh) * | 2019-04-01 | 2019-05-31 | 北京百度网讯科技有限公司 | 用于解密数据的方法和装置 |
| CN110381043A (zh) * | 2019-07-08 | 2019-10-25 | 杭州迪普科技股份有限公司 | 基于ssl的服务器健康检测方法、装置、电子设备 |
| CN110944001A (zh) * | 2019-12-06 | 2020-03-31 | 浙江军盾信息科技有限公司 | 一种服务器安全防护方法、装置及其相关设备 |
| CN111264052A (zh) * | 2017-11-03 | 2020-06-09 | 国际商业机器公司 | 在建立的会话内改变密码和密钥 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020169879A1 (en) * | 2001-05-10 | 2002-11-14 | Kobus Jooste | Method and apparatus for firewall-evading stealth protocol |
| US9998425B2 (en) * | 2015-01-27 | 2018-06-12 | Sonicwall Inc. | Dynamic bypass of TLS connections matching exclusion list in DPI-SSL in a NAT deployment |
-
2020
- 2020-10-21 CN CN202011133724.5A patent/CN112217833B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104735058A (zh) * | 2015-03-04 | 2015-06-24 | 深信服网络科技(深圳)有限公司 | 一种基于安全协议ssl的加密方法及系统 |
| CN104767745A (zh) * | 2015-03-26 | 2015-07-08 | 浪潮集团有限公司 | 一种云端数据安全保护方法 |
| CN111264052A (zh) * | 2017-11-03 | 2020-06-09 | 国际商业机器公司 | 在建立的会话内改变密码和密钥 |
| CN108429620A (zh) * | 2018-01-25 | 2018-08-21 | 新华三技术有限公司 | 安全连接的建立方法、系统、以及客户端和服务端 |
| CN109831464A (zh) * | 2019-04-01 | 2019-05-31 | 北京百度网讯科技有限公司 | 用于解密数据的方法和装置 |
| CN110381043A (zh) * | 2019-07-08 | 2019-10-25 | 杭州迪普科技股份有限公司 | 基于ssl的服务器健康检测方法、装置、电子设备 |
| CN110944001A (zh) * | 2019-12-06 | 2020-03-31 | 浙江军盾信息科技有限公司 | 一种服务器安全防护方法、装置及其相关设备 |
Non-Patent Citations (1)
| Title |
|---|
| 基于反向代理技术的Web防火墙;王叔野等;《软件导刊》;20090730(第07期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112217833A (zh) | 2021-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112217833B (zh) | 一种安全套接字协议卸载方法、装置、存储介质及电子设备 | |
| US11569986B2 (en) | Decryption of secure sockets layer sessions having enabled perfect forward secrecy using a Diffie-Hellman key exchange | |
| US11671402B2 (en) | Service resource scheduling method and apparatus | |
| US7702901B2 (en) | Secure communications between internet and remote client | |
| US11303431B2 (en) | Method and system for performing SSL handshake | |
| US11153343B2 (en) | Generating and analyzing network profile data | |
| US11470060B2 (en) | Private exchange of encrypted data over a computer network | |
| CN112019541B (zh) | 一种数据传输方法、装置、计算机设备及存储介质 | |
| WO2015026336A1 (en) | Processing data privately in the cloud | |
| CN111787038B (zh) | 一种提供边缘服务的方法、系统及计算设备 | |
| EP3197190B1 (en) | Methods for fast, secure and privacy-friendly internet connection discovery in wireless networks | |
| US10505984B2 (en) | Exchange of control information between secure socket layer gateways | |
| CN109005164B (zh) | 一种网络系统、设备、网络数据交互方法及存储介质 | |
| CA3150331A1 (en) | Autoconnect virtual private network | |
| WO2016000473A1 (zh) | 一种业务访问方法、系统及装置 | |
| US20230254146A1 (en) | Cybersecurity guard for core network elements | |
| CN110213346B (zh) | 加密信息的传输方法及装置 | |
| CN106101079A (zh) | 一种实现签名加密的方法和系统 | |
| CN112134843B (zh) | 一种物联网设备的鉴权方法 | |
| CN114500044A (zh) | 一种数据验证方法、装置、存储介质及电子设备 | |
| CN108462681A (zh) | 一种异构网络的通信方法、设备及系统 | |
| CN114389825B (zh) | 一种基于区块链的数据通信方法和相关装置 | |
| US20240073247A1 (en) | Stateless transport layer security proxy session resumption | |
| CN117411701A (zh) | Ssl统一证书卸载系统及设备 | |
| CN106685911B (zh) | 一种数据处理方法及鉴权服务器、客户端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |