[发明专利]支持国密算法的软负载均衡方法、系统、设备及存储介质

说明书

本发明提供了一种支持国密算法的软负载均衡方法、系统、设备及存储介质，本发明基于OpenSSL的GMSSL分支，添加国密证书的生成以及解析，原有的国际证书流程维持不变，从而实现国密、国际浏览器的自动适配，兼容大部分的主流浏览器，保证了HTTPS应用的适配性以及扩展性。本发明支持国际、国密算法下的HTTPS卸载，加速后端web应用，节省应用程序处理时间的同时，提供了高性能的负载均衡方案。同时基于先进的架构以及自动化的双证书管理体系，一键化部署云内软负载均衡，便于维护、管理。此方案可以自动识别浏览器类型，与国密浏览器使用国密算法建立加密连接，与非国密浏览器使用RSA算法建立加密连接。

技术领域

本发明涉及云计算技术领域，特别是一种支持国密算法的软负载均衡方法、系统、设备及存储介质。

背景技术

SSL(Secure Sockets Layer，安全套接层)及其继任者传输层安全 (TransportLayer Security，TLS)是为网络通信提供安全及数据完整性的一种安全协议。其中，SSL为Netscape所研发，用以保障在网络上数据传输的安全，利用数据加密技术可确保数据在网络上的传输过程不会被截取及窃听。其已被广泛的用于Web浏览器与服务器之间的身份认证和加密数据传输，https 协议是由SSL+http协议构建的可进行加密传输、身份认证的网络协议，比http 协议安全。

国密算法是我国在密码核心领域自主研发的技术成果，在应用环境不可控的情况下，使用自主可控的国产密码技术加密数据，是保护我国网络信息安全最有效的方式。在目前的形势下，必须尽快推动基于国密算法的HTTPS加密“备胎”计划，针对可能出现的“断供”窗口期，提供无缝切换使用国密算法HTTPS 加密的应对方案，持续保护重要领域网站数据传输安全。

同时HTTPS开启SSL会增加服务器的开销，所以在Web应用中，一般使用负载均衡器作为前端的HTTPS代理，并且代理和后台应用服务器的普通HTTP 连接，这样可大幅度降低应用服务器处理SSL时加解密的资源消耗需求。在云计算领域，云内的软负载均衡部署已经较为普遍，一般基于开源的、成熟的软件实现HTTP、HTTPS、TCP等协议的负载均衡。其中大部分的软负载均衡已支持基于RSA国际密码算法的SSL/TLS卸载，但是对国密算法支持有限。

由于国密算法尚未实现广泛兼容，在主流浏览器、操作系统等应用环境中不受信任，若只采用基于国密算法的SSL证书实现HTTPS加密，将直接导致网站系统在用户端无法正常访问。部署基于国密算法的HTTPS加密，需要建立从数字证书、浏览器到服务器的国密全生态应用环境，确保国密算法全流程应用，必须同步兼容全球浏览器，确保网站系统的可用性和全球通用性，只有兼顾国密合规和全球信任的解决方案才能真正落地实施。

发明内容

本发明的目的是提供一种支持国密算法的软负载均衡方法、系统、设备及存储介质，旨在解决现有技术中只采用国密算法的SSL证书会导致网站用户端无法正常访问的问题，实现支持国际、国密算法下的HTTPS卸载，加速后端web 应用。

为达到上述技术目的，本发明提供了一种支持国密算法的软负载均衡方法，所述方法包括以下操作：

基于开源HAProxy(使用C语言编写的自由及开放源代码软件)，重新适配OpenSSL(Open Secure Sockets Layer，开放式安全套接层协议)的分支 GMSSL(支持国密的开源密码工具箱)，将调整后的GMSSL作为HAProxy底层 SSL通信的依赖库；

基于云内双证书管理系统，对软负载均衡配置部署国密以及国际证书；

修改HAProxy的配置源码文件以调用GMSSL，修改HAProxy前端通信模块中TLS握手中的版本判断逻辑，加入国密、国际算法分支，识别浏览器协议版本，自适应兼容所有浏览器；

修改HAProxy SSL/TLS处理逻辑，强制要求选择支持正向加密的加密套件及秘钥交换协议；