[发明专利]一种安全通信的负载均衡方法及系统

说明书

技术领域

本发明涉及一种安全通信的负载均衡方法及系统。

背景技术

近年来随着各种信息终端的增多，单个应用服务器已经很难为众多终端同时提供服务，而负载均衡和云技术的发展为解决这个问题提供了可能性。负载均衡技术中的负载均衡器能把众多的终端服务请求分配到多个应用服务器节点上，从而实现为尽可能多的终端提供服务的目的。它具有高可靠、可伸缩、易扩展和费用相对低廉的特点。但是随着这种技术的应用，安全问题也逐渐浮现出来，其中安全通信问题相比传统单个应用服务器通信具有更复杂的环境。

现在通常把SSL技术应用于安全通信，在集群系统中利用专有设备或服务器处理数据加解密，再由后台服务器处理具体请求，但这种方法常常导致进行数据加解密的设备或服务器成为瓶颈，无法满足大数据量的通讯。

发明内容

本发明所要解决的第一个技术问题是针对上述现有技术提供一种安全通信的负载均衡方法，该方法既能防止非授权终端进入应用服务器请求服务，同时能为大量授权终端提供安全通信。

本发明所要解决的第二个技术问题是技术提供一种安全通信的负载均衡系统，该方系统既能防止非授权终端进入应用服务器请求服务，同时能为大量授权终端提供安全通信。

本发明解决上述第一个技术问题所采用的技术方案为：该安全通信的负载均衡方法，其特征在于：设置多个终端、多个负载均衡器和多个应用服务器，在每个终端内存储其相应的用户ID和终端密钥，在每个负载均衡器内储存所有终端的用户ID、终端密钥、所有应用服务器的ID，在每个负载均衡器和每个应用服务器内存储负载均衡器和应用服务器进行加密通信的通信密钥，同时将多个负载均衡器和多个应用服务器时间同步；另外，在每个终端、每个负载均衡器和每个应用服务器内均保存相互事先约定的授权请求命令、认证请求命令、认证回复命令、授权命令和增加授权命令；上述安全通信的负载均衡方法包括如下步骤：

步骤一、终端产生一个终端随机数并存储，把授权请求命令、用户ID和终端随机数发送给负载均衡器；

步骤二、负载均衡器收到终端发送的上述授权请求命令、用户ID和终端随机数后，查找负载均衡器内是否存储有该用户ID，如果没有就产生一个负载均衡随机数，把该用户ID和负载均衡随机数保存起来；如果负载均衡器保存有该用户ID，读取该用户ID和其对应的负载均衡随机数，然后把认证请求命令、用户ID、终端随机数和负载均衡随机数发送给终端；

步骤三、终端收到负载均衡器发送的上述认证请求命令、用户ID、终端随机数和负载均衡随机数后，比较终端随机数，如果不符就丢弃上述认证请求命令、用户ID、终端随机数和负载均衡随机数，如果符合，就对认证回复命令、用户ID、终端随机数、负载均衡随机数和终端密钥进行散列，得到第一散列值，并把认证回复命令、用户ID、终端随机数、负载均衡随机数和第一散列值发送给负载均衡器；

步骤四、负载均衡器收到终端发送的上述认证回复命令、用户ID、终端随机数、负载均衡随机数和第一散列值后，查找负载均衡器内是否存储有对应的用户ID和负载均衡随机数，如果没有就丢弃上述认证回复命令、用户ID、终端随机数、负载均衡随机数和第一散列值，否则就用散列算法计算出认证回复命令、用户ID、终端随机数、负载均衡随机数和终端密钥的散列值，得到第二散列值，如果第二散列值与终端发送的第一散列值不同就丢弃上述认证回复命令、用户ID、终端随机数、负载均衡随机数和第一散列值，否则就转到下一步；

步骤五、负载均衡器选择一个应用服务器，记录该应用服务器的ID、IP地址及端口号，产生一个随机数的授权码和一个随机数的密码因子，对增加授权命令、应用服务器ID、授权码、终端IP地址和当前时间戳进行散列，得到第三散列值；并用应用服务器保存的通信密钥和密码因子进行散列，得到第四散列值；将第四散列值作为密钥对增加授权命令、服务器ID、授权码、终端IP地址、当前时间戳和第三散列值进行加密，得到第一加密数据，然后把密码因子和第一加密数据发送给应用服务器；对用户ID、终端随机数、负载均衡随机数、授权码和应用服务器的IP地址及端口号进行散列，得到第五散列值，用终端密钥和密码因子的散列值作为密钥对用户ID、终端随机数、负载均衡随机数、授权码、应用服务器的IP地址及端口号和第五散列值进行加密，得到第二加密数据，然后把授权命令、密码因子和第二加密数据发送给终端；最后负载均衡器把用户ID和负载均衡随机数删除；