[发明专利]一种基于SSL会话的方法、装置及系统

说明书

技术领域

本发明涉及网络技术领域，尤其涉及一种基于SSL(SecureSocketsLayer，安全套接层)会话的方法、装置及系统。

背景技术

HTTPS(HyperTextTransferProtocoloverSecureSocketLayer，超文本传输协议安全套接层)，是以安全为目标的HTTP(HyperTextTransferProtocol，超文本传输协议)通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。SSL协议由于需要进行非对称和对称大数计算，因此对资源消耗极大，大型网站需要使用SSLterminator(终结器)集群来处理SSL协议。

在目前的SSL集群实现中，一般采用主备双机方式，或者使用LVS(LinuxVirtualServer，Linux虚拟服务器，是一个虚拟的服务器集群系统)进行分发的方式。

但是，当前常用的这两种方式，并不能很好地兼顾性能和扩展的需要。客户端和SSL服务器第一次连接时，双方需要分别验证对方数字证书和协商生成后续通讯的对称秘钥，然后才可以进行数据通信，整个协商过程不仅需要多次交互，而且计算工作量巨大，会带来5～50ms不能的处理时延(不含网络部分)。因此SSL协议特别定义了SessionIdentification(会话识别)字段，在第一次连接的时候，由服务器端生成，并通过服务器问候消息数据包传送给客户端，进行保存，当客户端再次连接服务器端的时候，在客户问候消息报文中携带，表示重用上次连接的session(会话)信息，session信息里面包含了上次协商中生成的对称秘钥，因此无需再次进行计算，也节约了网络协商的时间。对于目前普遍使用的两种集群方式，VRRP(虚拟路由冗余协议，VirtualRouterRedundancyProtocol)的主备双机方式可以实现SessionIdentification缓存和命中，但是无法实现集群的水平扩展；LVS集群方式可以实现集群的水平扩展，但是LVS的负载均衡是针对TCP(TransmissionControlProtocol，传输控制协议)/UDP(UserDatagramProtocol，用户数据报协议)协议实施的负载均衡算法，无法对SSL协议的SessionIdentification字段进行均衡，会导致同一个客户端多次访问的时候，落在不同的SSL服务器上面，由于session的缓存只存在于SSL单机上面，这种均衡方式会导致SSLSession的命中率非常低，从而导致客户端和SSL服务器还是要重新进行验证和重新生成会话秘钥的过程，即使LVS使用基于客户端的源IP的均衡方式，也会由于每个IP上面用户数量不均匀，而导致后端的SSL服务器上负载不均衡，影响整个集群的效率。

发明内容

本发明实施例提供一种基于SSL会话的方法、装置及系统，以提高SSLSession命中率，并实现集群扩展。

一方面，本发明实施例提供了一种基于安全套接层SSL会话的方法，所述方法包括：接收客户端发送的客户问候消息；根据所述客户问候消息判断是否有会话识别内容，得到判断结果；根据所述判断结果，对与所述客户端SSL会话的SSL集群中的SSL服务器进行调度，将所述客户问候消息发往对应SSL服务器。

另一方面，本发明实施例提供了一种基于安全套接层SSL会话的装置，所述装置包括：接收单元，用于接收客户端发送的客户问候消息；判断单元，用于根据所述客户问候消息判断是否有会话识别内容，得到判断结果；调度单元，用于根据所述判断结果，对与所述客户端SSL会话的SSL集群中的SSL服务器进行调度，将所述客户问候消息发往对应SSL服务器。

再一方面，本发明实施例提供了一种基于安全套接层SSL会话的系统，所述系统包括客户端、SSL负载均衡器和多个SSL服务器，其中，所述SSL负载均衡器包括上述基于安全套接层SSL会话的装置。

上述技术方案具有如下有益效果：不但提高了SSLSession命中率，而且实现了集群扩展。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一种基于安全套接层SSL会话的方法流程图；