CN112714184B - 握手过程处理方法及装置 - Google Patents
握手过程处理方法及装置 Download PDFInfo
- Publication number
- CN112714184B CN112714184B CN202011589584.2A CN202011589584A CN112714184B CN 112714184 B CN112714184 B CN 112714184B CN 202011589584 A CN202011589584 A CN 202011589584A CN 112714184 B CN112714184 B CN 112714184B
- Authority
- CN
- China
- Prior art keywords
- strategy
- handshake
- target
- ssl
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开涉及一种基于SSL协议的握手过程处理方法、装置、电子设备及计算机可读介质。该方法可用于负载均衡设备,包括:获取来自客户端的基于SSL协议的握手请求;根据所述握手请求确定策略名称;基于所述策略名称由两个目标策略中提取一目标策略;基于所述目标策略响应所述客户端的所述握手请求直至完成握手交互过程。本公开涉及的基于SSL协议的握手过程处理方法、装置、电子设备及计算机可读介质,能够有效的避免SSL握手过程中修改负载均衡服务器的SSL策略而造成设备的异常,提高设备的可靠性,减少握手过程中因配置修改而导致的资源浪费。
Description
技术领域
本公开涉及计算机信息处理领域,具体而言,涉及一种基于SSL协议的握手过程处理方法、装置、电子设备及计算机可读介质。
背景技术
随着网络应用越来越多,网络通信的安全性要求也越来越高,金融行业、政府机构以及教育医疗机构对此的需求尤为明显。SSL(Secure Sockets Layer)加密协议,便是在互联网上广泛应用于交易安全性保障的一种主导技术。在SSL通信过程中,首先利用SSL握手进行身份认证,并交换服务器和浏览器之间用于加密数据的会话密钥,然后利用该密钥对通信过程中的信息进行加密和解密。然而对通信内容进行加解密很大程度上提高了服务器的资源消耗,单一的服务器无法满足高并发、高新建和高性能的需求,同时,服务器硬件升级性价比低,为此支持SSL加速功能的服务器负载均衡技术应运而生。服务器不再和客户端进行SSL加解密,取而代之的是负载均衡设备(LB,也称做负载均衡服务器)和客户端进行加解密,负载均衡设备和服务器之间则是进行明文传输,具体如图1所示。
在负载均衡设备上还可以对SSL配置进行调整已适应不用的网络需求,如配置不同的SSL协议,SSL证书等配置。
SSL握手协议是指主要用来让客户端及服务器确认彼此的身份的一类网络协议。握手协议在客户和服务器进程之间协商它们在安全信道中要使用的安全参数,这些参数包括要采用的协议版本、加密算法和密钥。在整个SSL握手过程中,会进行多次报文交互,每次的报文交互过程中都会去读取负载均衡设备上的SSL策略及其配置,完成与客户端的交互。
在所述背景技术部分公开的上述信息仅用于加强对本公开的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
有鉴于此,本公开提供一种基于SSL协议的握手过程处理方法、装置、电子设备及计算机可读介质,能够有效的避免SSL握手过程中修改负载均衡服务器的SSL策略而造成设备的异常,提高设备的可靠性,减少握手过程中因配置修改而导致的资源浪费。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的一方面,提出一种基于SSL协议的握手过程处理方法,该方法可应用负载均衡设备,包括:获取来自客户端的基于SSL协议的握手请求;根据所述握手请求确定策略名称;基于所述策略名称由两个目标策略中提取一目标策略;基于所述目标策略响应所述客户端的所述握手请求直至完成握手交互过程。
在本公开的一种示例性实施例中,基于所述策略名称由两个目标策略中提取一目标策略,包括:基于所述策略名称通过魔数字切换开关由两个目标策略中提取一目标策略。
在本公开的一种示例性实施例中,基于所述目标策略响应所述客户端的所述握手请求直至完成握手交互过程,包括:基于所述目标策略响应所述客户端的client hello报文;基于所述目标策略向所述客户端发送server hello报文;基于所述目标策略向所述客户端发送证书;基于所述目标策略向所述客户端发送server hello done报文。
在本公开的一种示例性实施例中,还包括:确定待修改的策略名称;基于所述策略名称由两个目标策略中提取一待处理策略和其对应的标记位;基于用户的操作对所述待处理策略进行修改;在修改完成后,生成更新策略和更新标记位。
在本公开的一种示例性实施例中,还包括:再修改完成后,更新所述魔数字切换开关的状态。
在本公开的一种示例性实施例中,还包括:在满足预设条件时,将所述两个目标策略均替换为所述更新策略。
在本公开的一种示例性实施例中,根据所述握手请求确定策略名称,包括:根据所述握手请求确定策略名称和其对应的标志位。
在本公开的一种示例性实施例中,基于所述目标策略响应所述客户端的所述握手请求直至完成握手交互过程,包括:在读取所述目标策略时,确定所述目标策略对应的标志位是否存在变更;在所述标志位存在变更时,终止响应所述握手请求;将握手失败消息发送至所述客户端。
根据本公开的一方面,提出一种基于SSL协议的握手过程处理装置,该装置可用于负载均衡设备,包括:请求模块,用于获取来自客户端的基于SSL协议的握手请求;名称模块,用于根据所述握手请求确定策略名称;策略模块,用于基于所述策略名称由两个目标策略中提取一目标策略;响应模块,用于基于所述目标策略响应所述客户端的所述握手请求直至完成握手交互过程。
在本公开的一种示例性实施例中,还包括:确定模块,用于确定待修改的策略名称;提取模块,用于基于所述策略名称由两个目标策略中提取一待处理策略和其对应的标记位;修改模块,用于基于用户的操作对所述待处理策略进行修改;更新模块,用于在修改完成后,生成更新策略和更新标记位。
根据本公开的一方面,提出一种电子设备,该电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序;当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如上文的方法。
根据本公开的一方面,提出一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上文中的方法。
根据本公开的基于SSL协议的握手过程处理方法、装置、电子设备及计算机可读介质,获取来自客户端的基于SSL协议的握手请求;根据所述握手请求确定策略名称;基于所述策略名称由两个目标策略中提取一目标策略;基于所述目标策略响应所述客户端的所述握手请求直至完成握手交互过程的方式,能够有效的避免SSL握手过程中修改负载均衡服务器的SSL策略而造成设备的异常,提高设备的可靠性,减少握手过程中因配置修改而导致的资源浪费。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
通过参照附图详细描述其示例实施例,本公开的上述和其它目标、特征及优点将变得更加显而易见。下面描述的附图仅仅是本公开的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据一示例性实施例示出的一种基于SSL协议的系统框架。
图2是根据一示例性实施例示出的一种基于SSL协议的系统的报文传输示意图。
图3是根据一示例性实施例示出的一种基于SSL协议的握手过程处理方法的流程图。
图4是根据另一示例性实施例示出的一种基于SSL协议的握手过程处理方法的示意图。
图5是根据另一示例性实施例示出的一种基于SSL协议的握手过程处理方法的流程图。
图6是根据另一示例性实施例示出的一种基于SSL协议的握手过程处理方法的流程图。
图7是根据另一示例性实施例示出的一种基于SSL协议的握手过程处理方法的示意图。
图8是根据一示例性实施例示出的一种基于SSL协议的握手过程处理装置的框图。
图9是根据一示例性实施例示出的一种电子设备的框图。
图10是根据一示例性实施例示出的一种计算机可读介质的框图。
具体实施方式
现在将参考附图更全面地描述示例实施例。然而,示例实施例能够以多种形式实施,且不应被理解为限于在此阐述的实施例;相反,提供这些实施例使得本公开将全面和完整,并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本公开的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本公开的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
应理解,虽然本文中可能使用术语第一、第二、第三等来描述各种组件,但这些组件不应受这些术语限制。这些术语乃用以区分一组件与另一组件。因此,下文论述的第一组件可称为第二组件而不偏离本公开概念的教示。如本文中所使用,术语“及/或”包括相关联的列出项目中的任一个及一或多者的所有组合。
本领域技术人员可以理解,附图只是示例实施例的示意图,附图中的模块或流程并不一定是实施本公开所必须的,因此不能用于限制本公开的保护范围。
现有技术方案中,在握手过程中负载均衡服务器读取已经保存在设备中的SSL策略配置信息,如支持的SSL协议、交互过程中的证书内容及其类型、支持的加密套件等信息,来完成握手过程中密钥的协商,实现与客户端的加密通信。
由于握手过程中对SSL策略配置内容的读取并不是只有一次,由于握手过程中需要进行多次交互,期间也需要多次读取负载均衡服务器上配置的SSL策略信息,这导致在整个握手的交互过程中,如果对SSL策略进行了修改,造成协议、加密套件和证书内容不同。由于不同的协议、加密套件的不同会导致密钥协商的算法不同,证书的替换导致证书的类型、内容长度都不再一样,而这些差异会导致在握手过程中由于获取的参数不对,负载均衡服务器很有可能死机。
如图2所示,当处于修改1时,此时负载均衡服务器会去读取设备上的证书,并发给客户端。如果此时正在替换证书,则在读取证书内容时,可能使用了原有证书内容的长度去读取当前的已替换的证书内容,如果原证书长度大于当前证书,设备会因为访问了空地址而死机。
当处于修改2时,此时如果修改配置已经完成,则后续交互继续进行,但是SSL的配置已经修改,负载均衡服务器支持的协议、加密套件等内容已经改变,后续的交互已经没有意义,会造成资源的浪费,并且不同的加密套件其计算对称密钥的过程不一样,之前交互得到的参数在新的加密套件下可能造成设备异常。
由于握手过程的特殊性导致在握手过程中如果修改了SSL策略配置,造成在该握手阶段的后续交互过程中,由于配置的修改会使设备异常,严重的导致设备死机。为了解决此问题,本公开提出了一种基于SSL协议的握手过程处理方法,结合了配置切换技术和在SSL策略中添加标识策略唯一性的标记值,使负载均衡服务器在与客户端的握手交互过程中,不会由于SSL配置的修改以及在握手阶段多次读取负载均衡服务器中的SSL策略配置而导致设备异常。下面借助于具体的实施例对本公开的内容进行详细说明。
图3是根据一示例性实施例示出的一种基于SSL协议的握手过程处理方法的流程图。基于SSL协议的握手过程处理方法30至少包括步骤S302至S308。
如图3所示,在S302中,获取来自客户端的基于SSL协议的握手请求。SSL:SecuritySocket Layer安全套接层,是网络通信使用的一种安全协议,用于保障数据在网络上传输的机密性、可靠性和完整性。SSL的握手过程严格说是SSL协议的子协议,RFC5246(SSLV1.2)分为三个子协议,握手协议,记录协议(加密传输数据)和告警协议(用于告警和关闭连接)。握手过程实际就是握手协议的内容。
在S304中,根据所述握手请求确定策略名称。可根据不同的IP地址设定不同的策略,还可根据不同的用户设定不同的策略。
在S306中,基于所述策略名称由两个目标策略中提取一目标策略。更具体的,可基于所述策略名称通过魔数字切换开关由两个目标策略中提取一目标策略。两个目标策略在初始时,是完全一致的策略。
魔数字切换开关是用来进行切换的虚拟开关,魔数字切换开关可具有两个状态,第一状态和第二状态,更具体的,第一状态可对应与第一个目标策略,第二状态可对应于第二个目标策略。当魔数字开关在第一状态时,通过第一目标策略响应握手请求。当魔数字开关在第二状态时,通过第二目标策略响应握手请求。
在S308中,基于所述目标策略响应所述客户端的所述握手请求直至完成握手交互过程。包括:基于所述目标策略响应所述客户端的client hello报文;基于所述目标策略向所述客户端发送server hello报文;基于所述目标策略向所述客户端发送证书;基于所述目标策略向所述客户端发送server hello done报文。
使用配置切换技术。即在设备中对于每一条SSL策略配置都保存为两份配置。当用户在修改1时间段修改负载均衡服务器上的SSL策略配置时,通过魔数字切换开关选取其中一个配置,并对其进行修改保存,而在读取该SSL策略配置时,读取另一个SSL配置内容,由于没有修改该SSL策略配置的内容,因此不会读取到错误的配置信息,导致负载均衡设备异常。
如图4所示,此时负载均衡服务器中已经配置了一条SSL策略配置,名为A,并在设备将其保存为两份配置,名为a和b。在未修改该SSL策略配置内容时,根据魔数字切换开关在SSL握手阶段读取的配置是a,并使用该配置进行交互。在SSL握手阶段时修改了SSL策略,根据魔数字切换开关,此时修改的配置是b,而后续读取的SSL策略配置仍然是配置a,使得读取到的SSL策略配置是正常有效的内容,避免了因读取错误的SSL配置内容而造成负载均衡设备异常。
根据本公开的基于SSL协议的握手过程处理方法,获取来自客户端的基于SSL协议的握手请求;根据所述握手请求确定策略名称;基于所述策略名称由两个目标策略中提取一目标策略;基于所述目标策略响应所述客户端的所述握手请求直至完成握手交互过程的方式,能够有效的避免SSL握手过程中修改负载均衡服务器的SSL策略而造成设备的异常,提高设备的可靠性,减少握手过程中因配置修改而导致的资源浪费。
应清楚地理解,本公开描述了如何形成和使用特定示例,但本公开的原理不限于这些示例的任何细节。相反,基于本公开公开的内容的教导,这些原理能够应用于许多其它实施例。
图5是根据另一示例性实施例示出的一种基于SSL协议的握手过程处理方法的流程图。图5所示的流程50是对图3所示的流程的补充描述。
如图5所示,在S502中,确定待修改的策略名称。
在S504中,基于所述策略名称由两个目标策略中提取一待处理策略和其对应的标记位。
在S506中,基于用户的操作对所述待处理策略进行修改。
在S508中,在修改完成后,生成更新策略和更新标记位。还包括:在满足预设条件时,将所述两个目标策略均替换为所述更新策略。
可例如,当确认未更新的目标策略此时没有对应着正在进行中的握手请求时,用更新策略替换原有的目标策略。
在S510中,更新所述魔数字切换开关的状态。当此次修改结束后,下一次的握手交互阶段根据魔数字切换开关读取该SSL策略配置时,读取到的是修改后的SSL策略配置内容,避免了在修改过程中读取了正在修改的SSL策略配置内容,导致负载均衡设备异常。
图6是根据另一示例性实施例示出的一种基于SSL协议的握手过程处理方法的流程图。图6所示的流程60是对图2所示流程的补充描述。
如图6所示,在S602中,根据所述握手请求确定策略名称和其对应的标志位。在一次握手过程的开始阶段,即负载均衡服务器收到客户端发送来的client hello报文时,添加一个标记位,标记该策略的唯一性,即每次修改后,都会将该标记值加一,用以表明当配置修改后的握手交互时取到的SSL配置策略已经发生改变。
在S604中,基于所述策略名称由两个目标策略中提取一目标策略。
在S606中,在读取所述目标策略时,确定所述目标策略对应的标志位是否存在变更。在每次读取SSL策略时判读该标记值是否发生变化,如果已经发生变化,即负载均衡服务器的SSL策略已经发生改变,则直接返回此次握手失败,避免后续的资源浪费或设备异常。
在S608中,在所述标志位存在变更时,终止响应所述握手请求,并将握手失败消息发送至所述客户端。
图7是根据另一示例性实施例示出的一种基于SSL协议的握手过程处理方法的示意图。此时负载均衡服务器中已经配置了一条SSL策略配置,名为A,并在设备将其保存为两份配置,名为a和b,并且置该SSL策略的标记值为x。在未修改该SSL策略配置内容时,根据魔数字切换开关在SSL握手阶段读取的配置是a,并且该SSL策略的标记值仍然是x,说明该策略并没有被修改,因此使用该SSL配置进行交互。在SSL握手阶段的修改2时间点对SSL策略进行修改,并且在修改结束后,将该SSL策略的标志值加1,此时标记值为x+1,后续读取该SSL策略配置,由于该标记值已经发送了变化,因此返回该握手过程失败,避免继续进行后续的交互流程。
本公开的基于SSL协议的握手过程处理方法,利用配置切换技术,有效避免设备读取正在被修改的配置;在SSL策略中添加标记值,用以表明策略的唯一性,当修改完成该SSL策略时,就相应的改变该标记值,用以表明后续握手过程获取到的配置和之前交互过程中获取到的配置已经不同。在SSL策略中添加标识策略唯一性的标记值来有效避免负载均衡服务器因修改SSL策略导致设备异常。
本领域技术人员可以理解实现上述实施例的全部或部分步骤被实现为由CPU执行的计算机程序。在该计算机程序被CPU执行时,执行本公开提供的上述方法所限定的上述功能。所述的程序可以存储于一种计算机可读存储介质中,该存储介质可以是只读存储器,磁盘或光盘等。
此外,需要注意的是,上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
下述为本公开装置实施例,可以用于执行本公开方法实施例。对于本公开装置实施例中未披露的细节,请参照本公开方法实施例。
图8是根据一示例性实施例示出的一种基于SSL协议的握手过程处理装置的框图。如图8所示,基于SSL协议的握手过程处理装置80包括:请求模块802,名称模块804,策略模块806,响应模块808,确定模块810,提取模块812,修改模块814,更新模块816。
请求模块802用于获取来自客户端的基于SSL协议的握手请求;
名称模块804用于根据所述握手请求确定策略名称;
策略模块806用于基于所述策略名称由两个目标策略中提取一目标策略;
响应模块808用于基于所述目标策略响应所述客户端的所述握手请求直至完成握手交互过程。
确定模块810用于确定待修改的策略名称;
提取模块812用于基于所述策略名称由两个目标策略中提取一待处理策略和其对应的标记位;
修改模块814用于基于用户的操作对所述待处理策略进行修改;
更新模块816用于在修改完成后,生成更新策略和更新标记位。
根据本公开的基于SSL协议的握手过程处理装置,获取来自客户端的基于SSL协议的握手请求;根据所述握手请求确定策略名称;基于所述策略名称由两个目标策略中提取一目标策略;基于所述目标策略响应所述客户端的所述握手请求直至完成握手交互过程的方式,能够有效的避免SSL握手过程中修改负载均衡服务器的SSL策略而造成设备的异常,提高设备的可靠性,减少握手过程中因配置修改而导致的资源浪费。
图9是根据一示例性实施例示出的一种电子设备的框图。
下面参照图9来描述根据本公开的这种实施方式的电子设备900。图9显示的电子设备900仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图9所示,电子设备900以通用计算设备的形式表现。电子设备900的组件可以包括但不限于:至少一个处理单元910、至少一个存储单元920、连接不同系统组件(包括存储单元920和处理单元910)的总线930、显示单元940等。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元910执行,使得所述处理单元910执行本说明书中描述的根据本公开各种示例性实施方式的步骤。例如,所述处理单元910可以执行如图3,图5,图6中所示的步骤。
所述存储单元920可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)9201和/或高速缓存存储单元9202,还可以进一步包括只读存储单元(ROM)9203。
所述存储单元920还可以包括具有一组(至少一个)程序模块9205的程序/实用工具9204,这样的程序模块9205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线930可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备900也可以与一个或多个外部设备900’(例如键盘、指向设备、蓝牙设备等)通信,使得用户能与该电子设备900交互的设备通信,和/或该电子设备900能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口950进行。并且,电子设备900还可以通过网络适配器960与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器960可以通过总线930与电子设备900的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备900使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,如图10所示,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本公开实施方式的上述方法。
所述软件产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该计算机可读介质实现如下功能:获取来自客户端的基于SSL协议的握手请求;根据所述握手请求确定策略名称;基于所述策略名称由两个目标策略中提取一目标策略;基于所述目标策略响应所述客户端的所述握手请求直至完成握手交互过程。
本领域技术人员可以理解上述各模块可以按照实施例的描述分布于装置中,也可以进行相应变化唯一不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施例的描述,本领域的技术人员易于理解,这里描述的示例实施例可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施例的方法。
以上具体地示出和描述了本公开的示例性实施例。应可理解的是,本公开不限于这里描述的详细结构、设置方式或实现方法;相反,本公开意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。
Claims (6)
1.一种基于SSL协议的握手过程处理方法,可用于负载均衡设备,其特征在于,包括:
获取来自客户端的基于SSL协议的握手请求;
根据所述握手请求确定策略名称;
基于所述策略名称通过魔数字切换开关由两个目标策略中提取一目标策略;
基于所述目标策略响应所述客户端的所述握手请求直至完成握手交互过程;
确定待修改的策略名称;
基于所述策略名称由两个目标策略中提取一待处理策略和其对应的标记位;
基于用户的操作对所述待处理策略进行修改;
在修改完成后,生成更新策略和更新标记位,并更新所述魔数字切换开关的状态。
2.如权利要求1所述的方法,其特征在于,基于所述目标策略响应所述客户端的所述握手请求直至完成握手交互过程,包括:
基于所述目标策略响应所述客户端的client hello报文;
基于所述目标策略向所述客户端发送server hello报文;
基于所述目标策略向所述客户端发送证书;
基于所述目标策略向所述客户端发送server hello done报文。
3.如权利要求1所述的方法,其特征在于,还包括:
在满足预设条件时,将所述两个目标策略均替换为所述更新策略。
4.如权利要求1所述的方法,其特征在于,根据所述握手请求确定策略名称,包括:
根据所述握手请求确定策略名称和其对应的标志位。
5.如权利要求4所述的方法,其特征在于,基于所述目标策略响应所述客户端的所述握手请求直至完成握手交互过程,包括:
在读取所述目标策略时,确定所述目标策略对应的标志位是否存在变更;
在所述标志位存在变更时,终止响应所述握手请求;
将握手失败消息发送至所述客户端。
6.一种基于SSL协议的握手过程处理装置,可用于负载均衡设备,其特征在于,包括:
请求模块,用于获取来自客户端的基于SSL协议的握手请求;
名称模块,用于根据所述握手请求确定策略名称;
策略模块,用于基于所述策略名称通过魔数字切换开关由两个目标策略中提取一目标策略;
响应模块,用于基于所述目标策略响应所述客户端的所述握手请求直至完成握手交互过程;
确定模块,用于确定待修改的策略名称;
提取模块,用于基于所述策略名称由两个目标策略中提取一待处理策略和其对应的标记位;
修改模块,用于基于用户的操作对所述待处理策略进行修改;
更新模块,用于在修改完成后,生成更新策略和更新标记位,并更新所述魔数字切换开关的状态。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011589584.2A CN112714184B (zh) | 2020-12-29 | 2020-12-29 | 握手过程处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011589584.2A CN112714184B (zh) | 2020-12-29 | 2020-12-29 | 握手过程处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112714184A CN112714184A (zh) | 2021-04-27 |
| CN112714184B true CN112714184B (zh) | 2022-07-15 |
Family
ID=75546731
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011589584.2A Active CN112714184B (zh) | 2020-12-29 | 2020-12-29 | 握手过程处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112714184B (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109039615A (zh) * | 2018-10-15 | 2018-12-18 | 北京天融信网络安全技术有限公司 | 利用ssl vpn协议获取量子密钥的方法及相应设备和存储介质 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7512974B2 (en) * | 2004-09-30 | 2009-03-31 | International Business Machines Corporation | Computer system and program to update SSL certificates |
| US8032742B2 (en) * | 2008-12-05 | 2011-10-04 | Unisys Corporation | Dynamic updating of trusted certificates and certificate revocation lists in a computing system |
| CN102546572B (zh) * | 2010-12-31 | 2015-08-12 | 上海格尔软件股份有限公司 | 一种ssl服务端动态选择证书的实现方法 |
| US8738902B2 (en) * | 2012-01-27 | 2014-05-27 | Microsoft Corporation | Implicit SSL certificate management without server name indication (SNI) |
| US10374810B2 (en) * | 2017-01-05 | 2019-08-06 | Bank Of America Corporation | Middleware system validation tool |
| CN106941418B (zh) * | 2017-03-10 | 2019-12-06 | 杭州迪普科技股份有限公司 | Ssl vpn配置信息的同步方法和装置 |
| CN109150844B (zh) * | 2018-07-26 | 2021-07-27 | 网易(杭州)网络有限公司 | 确定数字证书的方法、装置和系统 |
| CN112073433B (zh) * | 2020-09-25 | 2022-09-20 | 微医云(杭州)控股有限公司 | 一种ssl证书更新方法、装置、电子设备及存储介质 |
-
2020
- 2020-12-29 CN CN202011589584.2A patent/CN112714184B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109039615A (zh) * | 2018-10-15 | 2018-12-18 | 北京天融信网络安全技术有限公司 | 利用ssl vpn协议获取量子密钥的方法及相应设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112714184A (zh) | 2021-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3916604B1 (en) | Method and apparatus for processing privacy data of block chain, device, storage medium and computer program product | |
| EP4191430A1 (en) | Data processing method and apparatus applied to blockchain system | |
| US20190182223A1 (en) | Method and system for establishing connection | |
| WO2020252611A1 (zh) | 一种数据交互方法及相关设备 | |
| EP3934295A2 (en) | Key protection processing method, apparatus, device and storage medium | |
| US7636441B2 (en) | Method for secure key exchange | |
| CN112016104B (zh) | 一种金融敏感数据的加密方法、装置和系统 | |
| CN112308236A (zh) | 用于处理用户请求的方法、装置、电子设备及存储介质 | |
| CN113992427B (zh) | 基于相邻节点的数据加密发送方法及装置 | |
| US9112907B2 (en) | System and method for managing TLS connections among separate applications within a network of computing systems | |
| CN113709111A (zh) | 连接的建立方法及装置 | |
| TWI754637B (zh) | 用於整合式儲存媒體之靜態資料(dar)加密 | |
| CN112714184B (zh) | 握手过程处理方法及装置 | |
| US11483164B2 (en) | Dynamic certificate pinning systems and methods | |
| CN110808969A (zh) | 数据传输方法及系统、电子设备、存储介质 | |
| CN114095165B (zh) | 密钥更新方法、服务端设备、客户端设备及存储介质 | |
| CN113037760B (zh) | 报文发送方法和装置 | |
| US11025728B2 (en) | Methods for facilitating secure connections for an operating system kernel and devices thereof | |
| US9112908B2 (en) | System and method for managing TLS connections among separate applications within a network of computing systems | |
| CN113177213B (zh) | 加密卡及其加密报文的处理方法 | |
| CN111970281B (zh) | 基于验证服务器的路由设备远程控制方法、系统及电子设备 | |
| US11502855B1 (en) | Certificate mirroring | |
| CN114915487B (zh) | 终端认证方法、系统、装置、设备及存储介质 | |
| CN114844695B (zh) | 基于区块链的业务数据流转方法、系统及相关设备 | |
| EP4224749A1 (en) | Encrypted message detection method and protective device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |