[发明专利]SSL/TLS可视化流量的负载均衡方法及其系统

说明书

本发明涉及数据安全领域，公开了一种SSL/TLS可视化流量的负载均衡方法及其系统。本发明中，该SSL/TLS可视化流量的负载均衡方法将同一个会话中的所有流量都送到同一个安全设备进行检测，可以方便地对安全设备实现负载均衡，并且该安全设备可以联系上下文进行分析，大大提高了检测的准确性，此外还可以保证客户端和服务端之间通信的透明。

技术领域

本发明涉及数据安全领域，特别涉及一种SSL/TLS可视化流量的负载均衡技术。

背景技术

越来越多的应用和网站使用SSL/TLS来达到应用业务数据的安全加密，各种攻击、病毒同样也可以隐藏在SSL/TLS的秘密保护之下，致使一些安全审查设备如IPS、IDS或WAF等对于SSL/TLS流量无计可施，出现了盲点。虽然一些安全设备可以具备SSL/TLS代理的功能，但是TLS协议、非对称算法、对称算法日益不断的推陈出新且SSL/TLS流量带宽的加大，使得安全设备同时处理SSL/TLS和流量审查顾此失彼，整机的处理性能捉襟见肘，故目前亟需一种能够让安全设备从繁杂的SSL/TLS代理任务中解脱出来的技术与产品，实现SSL/TLS流量可视化的同时又能将可视化流量在多台安全设备实现负载均衡提供了部署的灵活性、机动性。

发明内容

本发明的目的在于提供一种SSL/TLS可视化流量的负载均衡方法及其系统，将同一个会话中的所有流量都送到同一个安全设备进行检测，可以方便地对安全设备实现负载均衡，并且该安全设备可以联系上下文进行分析，大大提高了检测的准确性，此外还可以保证客户端和服务端之间通信的透明。

为了解决上述问题，本申请公开了一种SSL/TLS可视化流量的负载均衡方法，该方法应用于客户端与服务端之间的中间网络节点，该中间网络节点包括第一节点设备、第二节点设备和N台安全设备，该第一节点设备通过该N台安全设备与该第二节点设备连接，其中N为大于1的整数，该方法包括以下步骤：

当该客户端向该服务端发送SSL/TLS流量时，该第一节点设备解密从该客户端收到的SSL/TLS流量，并发送明文流量给安全设备M检测，该安全设备M为该N台安全设备中的一台；该安全设备M将检测过的流量发送给该第二节点设备；该第二节点设备重新加密经过该安全设备M检测过的流量，并将加密流量发送给该服务端；

当该服务端向该客户端返回SSL/TLS流量时，该第二节点设备解密从该服务端返回的SSL/TLS流量，并发送明文流量给该安全设备M检测；该安全设备M将检测过的流量发送给该第一节点设备；该第一节点设备重新加密经过该安全设备M检测过的流量，并将加密流量发送给该客户端。

本申请还公开了一种SSL/TLS可视化流量的负载均衡系统，该系统连接在客户端与服务端之间，该系统包括第一节点设备、第二节点设备和N台安全设备，该第一节点设备通过该N台安全设备与该第二节点设备连接，其中N为大于1的整数，

当该客户端向该服务端发送SSL/TLS流量时，

该第一节点设备，用于解密从该客户端收到的SSL/TLS流量，并发送明文流量给安全设备M检测，该安全设备M为该N台安全设备中的一台；

该安全设备M，用于检测该第一节点设备发送来的明文流量，并将检测过的流量发送给该第二节点设备；

该第二节点设备，用于重新加密经过该安全设备M检测过的流量，并将加密流量发送给该服务端；

当该服务端向该客户端返回SSL/TLS流量时，

该第二节点设备，还用于解密从该服务端返回的SSL/TLS流量，并发送明文流量给该安全设备M检测；

该安全设备M，还用于检测该第二节点设备方来的明文流量，将检测过的流量发送给该第一节点设备；

该第一节点设备，还用于重新加密经过该安全设备M检测过的流量，并将加密流量发送给该客户端。