技術領域

本發明涉及網絡應用交付控制領域，特別涉及一種國密SSL協議和標準SSL協議智能轉發系統。

背景技術

SSL(Secure Sockets Layer安全套接層),及其繼任者傳輸層安全(Transport Layer Security，TLS)是為網絡通信提供安全及數據完整性的一種安全協議。其中S SL，為Netscape所研發，用以保障在Internet上數據傳輸之安全，利用數據加密技術，可確保數據在網絡上之傳輸過程中不會被截取及竊聽。當前版本為TLSv1.2。它已被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數據傳輸，本發明方案中稱之為標準SSL協議。https協議是由SSL+http協議構建的可進行加密傳輸、身份認證的網絡協議，比http協議安全。

國家密碼局在2014年頒布了國標GM/T 0024-2014，該國標定義了一種新的SSL協議(以下簡稱國密SSL協議)。國密SSL協議定義了新的協議號，新的密碼套件，并修改了標準SSL協議中某些消息的格式，使得國密SSL協議與標準SSL協議不兼容。

目前很多已有的SSL服務器只能支持標準SSL協議，例如SSLv3，TLSv1，TLSv1.1，TLSv1.2等，不支持國密SSL協議。當一個https站點需要同時支持國密SSL協議和標準SSL協議，則需要采購能同時支持國密SSL協議和標準SSL協議的服務器。這樣將導致大批只支持標準SSL協議的服務器因不支持國密SSL協議而招致淘汰，這將導致實行國密SSL協議的成本大幅上升。中國專利申請 文件CN201410796479中公開了一種“支持國密算法的安全套接層協議擴展方法”，包括：在所述安全套接層協議的安全套接字擴展的源代碼中添加支持國密算法的密碼套件；為所述密碼套件設置對應的參數與別名；建立實現所述國密算法的算法提供者；建立所述密碼套件的別名與所述算法提供者的實現類的對應關系。該方法只支持老的國密SSL協議，對于新的國密SSL協議可能不適用，另外該方法的擴展性不好，當單臺設備的性能不夠的時候，則需要購買新的設備和負載均衡設備，而且還需要在負載均衡設備上重新配置https的服務，給用戶帶來諸多不便。

發明內容

為克服已有技術中存在的問題，本發明目的是提出一種使用方便且低成本的國密SSL協議和標準SSL協議智能轉發系統及方法。

為此，一種國密SSL協議和標準SSL協議智能轉發系統，包括：

協議轉發器，用于接收https的所有連接信息，解析所有https信息中的SSL協議標識數據，和根據解析后的SSL協議標識數據將信息轉發給相應的https站點裝置，它包括接收https信息模塊，解析SSL協議標識數據模塊，和https信息轉發模塊；

https站點裝置，用于接受來自協議轉發器轉發的相應https信息；

標準SSL協議數據服務器，用于處理來自https站點裝置轉發的標準SSL協議的https信息；

國密SSL協議數據服務器，用于處理來自https站點裝置轉發的國密SSL協議的https信息。

進一步地，所述的接收https信息模塊用于接收https的所有連接信息；

進一步地，所述的解析SSL協議標識數據模塊用于解析所有https信息中的SSL協議標識數據；

進一步地，所述的https信息轉發模塊用于根據上述SSL協議標識數據將信息轉發給相應SSL協議服務器。

在已有支持標準SSL協議信息服務器的基礎上，根據需要添加若干支持國密SSL協議的服務器，本發明的方法由以下步驟實現：

步驟1，在https站點前部署協議轉發器；

步驟2，所述協議轉發器接收https的所有連接信息，并解析https信息中的SSL協議標識數據；

步驟3，所述協議轉發器根據SSL協議標識數據將信息對應轉發給相應SSL協議的服務器。

所述的SSL協議標識數據可以是SSL版本號。

本發明方法與現有技術相比有以下優點：只需要部署一臺SSL協議轉發器，并在后臺分別部署支持標準SSL協議和國密SSL協議的服務器，就能讓https站點能同時支持標準SSL協議和國密SSL協議；SSL協議轉發器不需要處理SSL握手消息，也不用加解密應用數據，只需要解析SSL協議版本號，所以SSL協議分發服務器的處理速度會很快；同時本發明系統性能擴展性好，當后臺的SSL性能不夠的時候，只需簡單的添加SSL服務器。

附圖說明