一种基于SSL/TLS握手过程中协商使用的证书和算法做负载均衡的方法与流程

本发明属于反向代理和负载均衡、adc，尤其涉及一种基于ssl/tls握手过程中协商使用的证书和算法做负载均衡的方法。

背景技术：

1、随着对数据隐私和安全性的关注不断增加，以及tls/ssl技术的普及和成熟，https(http overssl)逐渐成为当今互联网上最常见和标准的通信协议之一，许多网站、应用程序和服务都采用https来保护用户数据的安全性和隐私性。

2、随着互联网流量和网络应用的快速增长，以及对性能、高可用性和容错需求不断提高的背景下，负载均衡技术应运而生，它通过将流量分发到多个服务器上，以平衡服务器负载，提高性能和可用性，确保网络服务的稳定运行，解决了单一服务器的性能不足和单点故障的风险，按照负载均衡技术划分有2层负载均衡、网络层负载均衡、应用层负载均衡方法。

3、应用层负载均衡方法多是基于http协议中涉及的内容来做负载均衡，近年来也有少量的提出在tls/ssl层(ssl/tls在tcp/ip体系结构中也属于应用层)根据sni做负载均衡的方法以及专利，这种方法是根据tls扩展中携带的sni信息决定命中了哪个域名服务，然后在这个选定的域名服务上配置的服务器组之间做负载均衡；也有基于ssl/tls协议号字段区分国密协议号和商密协议号来决定使用国密证书还是商密证书进行tls/ssl握手完成tls/ssl卸载的方案(基于开源的反向代理程序如nginx)和专利，该方法如同基于sni做负载均衡方法一样，先决条件(这里的协议号)决定了使用哪种证书完成ssl/tls卸载，然后在这个选定的域名服务上配置的服务器组之间做负载均衡。

技术实现思路

1、本发明要解决的技术问题是现有设备无法做到不同算法和证书配置不同的后端服务器组，达到算法升级后或使用国密算法后已有的业务保持不变，使用新升级的算法或者国密算法的业务使用新的后端服务器组，做到新老业务或者商密业务和国密业务的隔离，从而方便调试、运营和维护的效果。

2、为解决上述技术问题，本发明采取的技术方案如下：一种基于ssl/tls握手过程中协商使用的证书和算法做负载均衡的方法，其特征在于：

3、步骤101，所述客户端(浏览器或者其他程序)发送clienthello报文到反向代理设备，报文中或者携带sni扩展信息或者不携带该扩展信息；

4、步骤102，所述反向代理设备获取步骤101中携带的ciphersuites和sni扩展信息，如果不携带sni扩展信息，则选择默认域名服务；

5、步骤103，所述反向代理设备根据步骤102中的信息和设备上配置的密码套件和证书决定使用哪种算法及其证书；

6、步骤104，所述反向代理设备根据步骤103中选择的算法和证书分别构建serverhello信息和certificate信息并发送给客户端；

7、步骤105，所述客户端和反向代理设备完成后续的tls/ssl握手流程；

8、步骤106，所述反向代理设备根据在步骤103中选择的证书和算法确定对应的服务器组；

9、步骤107，所述反向代理设备在步骤106中确定的服务器组内根据该服务器组定义的负载均衡算法选择一个具体的服务器并与之建立连接完成代理的工作。

10、采用上述结构后，本发明有益效果如下：

11、(1)在https反向代理场景中基于选择的证书做负载均衡的方法。

12、(2)在https反向代理场景中基于协商的算法做负载均衡的方法。

13、(3)在反向代理设备、负载均衡设备、和adc设备中使用基于选择的证书做负载均衡的方法和基于协商的算法做负载均衡的方法相互配合的技术方法，达到算法升级后或使用国密算法后已有的业务保持不变，使用新升级的算法或者国密算法的业务使用新的后端服务器组，做到新老业务或者商密业务和国密业务的隔离，方便调试、运营和维护的效果。

技术特征：

1.一种基于ssl/tls握手过程中协商使用的证书和算法做负载均衡的方法，其特征在于：步骤101，所述客户端(浏览器或者其他程序)发送clienthello报文到反向代理设备，报文中或者携带sni扩展信息或者不携带该扩展信息；

2.根据权利要求1所述的一种基于ssl/tls握手过程中协商使用的证书和算法做负载均衡的方法，其特征在于：在步骤103、106、107中根据选择的证书和算法确定了一组服务器组，然后在这组选定的服务器组上做负载均衡。

3.根据权利要求1所述的一种基于ssl/tls握手过程中协商使用的证书和算法做负载均衡的方法，其特征在于：代替方案1，以ssl/tls握手协商的非对称算法区分为由绕过本方案实现不同的算法使用不同的服务器组，如果替代方案中以rsa、ecdhe、sm2为非对称算法的作为区分实际上仍然是根据不同的证书确定服务器组继而完成负载均衡的方法。

4.根据权利要求1所述的一种基于ssl/tls握手过程中协商使用的证书和算法做负载均衡的方法，其特征在于：代替方案2，以ssl/tls握手协商的对称算法区分为由绕过本方案实现不同的算法使用不同的服务器组，商密的对称算法有rc4、3des、aes，国密算法是sm4,如果替代方案中以国密对称算法和其他商密对称算法作为区分实际上仍然是根据不同的算法和证书确定服务器组继而完成负载均衡的方法。

5.根据权利要求1所述的一种基于ssl/tls握手过程中协商使用的证书和算法做负载均衡的方法，其特征在于：代替方案3，以ssl/tls协议区分为由绕过本方案实现不同的协议使用不同的服务器组，商密协议值ssl3.0/tls1.0/tls1.1/tls1.2/tls1.3的协议号是3.0/3.1/3.2/3.3/3.4，国密协议是1.1，如果替代方案中以国密协议号和其他协议号作为区分实际上仍然是根据不同的算法和证书确定服务器组继而完成负载均衡的方法。

6.根据权利要求1所述的一种基于ssl/tls握手过程中协商使用的证书和算法做负载均衡的方法，其特征在于：代替方案4以ssl/tls握手协商的hash算法区分为由绕过本方案实现不同的算法和证书使用不同的服务器组，商密的hash算法有md5、sha1、sha2、sha384、sha512,国密的hash算法有sm3，替代方案中以国密hash算法和商密hash算法作为区分实际上仍然是根据不同的算法和证书确定服务器组继而完成负载均衡的方法。

7.根据权利要求1所述的一种基于ssl/tls握手过程中协商使用的证书和算法做负载均衡的方法，其特征在于：代替方案5，以通过会话复用或者会话票据等方法区分为由绕过本方案实现不同的协议使用不同的服务器组，该方法是利用之前完整的带有证书传递和算法协商的ssl/tls握手流程过程中建立的信息来快速完成本次安全传输通道的建立，如果替代方案中以复用之前协商信息完成ssl/tls握手后做服务负载均衡作为区分实际上仍然是根据不同的算法和证书确定服务器组继而完成负载均衡的方法。

8.根据权利要求1所述的一种基于ssl/tls握手过程中协商使用的证书和算法做负载均衡的方法，其特征在于：代替方案6，以上面5中代替方案中的两种或者更多作为组合的方法为由绕过本方案实现不同的组合使用不同的服务器组继而完成负载均衡的方法。

技术总结本发明公开的一种基于SSL/TLS握手过程中协商使用的证书和算法做负载均衡的方法，通过根据在SSL/TLS握手过程中协商使用的证书和算法信息来确定一个服务器组后在这组选定的服务器组之间做负载均衡，达到不同的证书和算法选择不同的服务器组进而完成负载均衡的方法。本发明属于反向代理和负载均衡、ADC技术领域，具体是一种基于SSL/TLS握手过程中协商使用的证书和算法做负载均衡的方法。技术研发人员：刘旭受保护的技术使用者：艾如梦科技（南京）有限公司技术研发日：技术公布日：2024/9/12