[发明专利]SSL/TLS可视化流量的负载均衡方法及其系统

权利要求书

1.一种SSL/TLS可视化流量的负载均衡方法，其特征在于，所述方法应用于客户端与服务端之间的中间网络节点，所述中间网络节点包括第一节点设备、第二节点设备和N台安全设备，所述第一节点设备通过所述N台安全设备与所述第二节点设备连接，其中N为大于1的整数，所述方法包括以下步骤：

当所述客户端向所述服务端发送SSL/TLS流量时，所述第一节点设备解密从所述客户端收到的SSL/TLS流量，并发送明文流量给安全设备M检测，所述安全设备M为所述N台安全设备中的一台；所述安全设备M将检测过的流量发送给所述第二节点设备；所述第二节点设备重新加密经过所述安全设备M检测过的流量，并将加密流量发送给所述服务端；

当所述服务端向所述客户端返回SSL/TLS流量时，所述第二节点设备解密从所述服务端返回的SSL/TLS流量，并发送明文流量给所述安全设备M检测；所述安全设备M将检测过的流量发送给所述第一节点设备；所述第一节点设备重新加密经过所述安全设备M检测过的流量，并将加密流量发送给所述客户端。

2.根据权利要求1所述的SSL/TLS可视化流量的负载均衡方法，其特征在于，还包括以下步骤：

在所述第一节点设备和所述第二节点设备上都建立和保持每一个会话和安全设备之间的对应关系，所述第一节点设备和所述第二节点设备会将同一个会话中的所有流量都根据所述对应关系发送到同一个安全设备进行检测。

3.根据权利要求1或2所述的SSL/TLS可视化流量的负载均衡方法，其特征在于，在所述第一节点设备和所述第二节点设备向所述安全设备M发送流量时，是根据所述安全设备M的IP地址通过三层网络通信设备进行转发或根据所述安全设备M的后端第二节点的MAC地址通过二层网络通信设备进行转发。

4.根据权利要求1所述的SSL/TLS可视化流量的负载均衡方法，其特征在于，在所述客户端发送到所述服务端的SSL/TLS流量之前，还包括以下步骤：

当所述客户端发起和所述服务端的SSL/TLS握手时，所述第一节点设备与所述服务端通信，获取并存储所述服务端证书；

所述第一节点设备根据存储的所述服务端证书伪造新证书并对新证书进行签名；

所述第一节点设备发送签名后的新证书给所述客户端，所述SSL/TLS握手继续进行。

5.根据权利要求1所述的SSL/TLS可视化流量的负载均衡方法，其特征在于，在所述“所述第一节点设备解密从所述客户端收到的SSL/TLS流量，并发送明文流量给安全设备M检测”的步骤中，所述安全设备M为所述N台安全设备中负载最轻或当前剩余资源最多的。

6.一种SSL/TLS可视化流量的负载均衡系统，其特征在于，所述系统连接在客户端与服务端之间，所述系统包括第一节点设备、第二节点设备和N台安全设备，所述第一节点设备通过所述N台安全设备与所述第二节点设备连接，其中N为大于1的整数，

当所述客户端向所述服务端发送SSL/TLS流量时，

所述第一节点设备，用于解密从所述客户端收到的SSL/TLS流量，并发送明文流量给安全设备M检测，所述安全设备M为所述N台安全设备中的一台；

所述安全设备M，用于检测所述第一节点设备发送来的明文流量，并将检测过的流量发送给所述第二节点设备；

所述第二节点设备，用于重新加密经过所述安全设备M检测过的流量，并将加密流量发送给所述服务端；

当所述服务端向所述客户端返回SSL/TLS流量时，

所述第二节点设备，还用于解密从所述服务端返回的SSL/TLS流量，并发送明文流量给所述安全设备M检测；

所述安全设备M，还用于检测所述第二节点设备发送来的明文流量，并将检测过的流量发送给所述第一节点设备；

所述第一节点设备，还用于重新加密经过所述安全设备M检测过的流量，并将加密流量发送给所述客户端。