CN106411893A - 一种https服务的部署方法 - Google Patents
一种https服务的部署方法 Download PDFInfo
- Publication number
- CN106411893A CN106411893A CN201610867328.2A CN201610867328A CN106411893A CN 106411893 A CN106411893 A CN 106411893A CN 201610867328 A CN201610867328 A CN 201610867328A CN 106411893 A CN106411893 A CN 106411893A
- Authority
- CN
- China
- Prior art keywords
- private key
- server
- client
- cdn node
- https
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
本发明公开了一种HTTPS服务的部署方法,包括以下步骤:设置私钥服务器,CDN节点从私钥服务器下载经过加密的私钥和解密方法,并存放在CDN节点的内存中;客户端与服务器进行握手时,服务器使用私钥进行解密,使用内存中的解密方法解密密钥,完成握手过程;结束握手过程,立即清空明文私钥;握手成功后,客户端与CDN节点通过对称密钥进行通信;CDN节点向源站转发客户端请求,并将源站反馈结果返回到客户端,完成访问过程。本发明不在CDN节点部署私钥,将加密后的私钥部署在私钥服务器,将私钥进行加密和对应解密方法作为数据进行传输和存贮,客户端接入过程使用内存中的数据,不需要私钥服务器介入,提高了系统的性能和可靠性。
Description
技术领域
本发明涉及HTTPS服务领域,具体涉及一种无需部署源站私钥的HTTPS服务的部署方法。
背景技术
随着HTTP服务使用越来越广泛,通过明文传输内容的HTTP服务面临着越来越大的安全问题,尤其是支付、交易等敏感信息。HTTPS作为一种基于公私钥技术的加密传输协议应用应运而生,通过在TCP和HTTP层中间加入了SSL加密数据传输层防止HTTP服务的数据被盗窃和篡改。目前,大多数主流网站均使用了该技术,使用该技术的网站越来越多。
该技术的使用需要在服务端部署公钥、私钥和证书。通过公钥加密的数据可以通过私钥解密,反之亦然,私钥加密的数据也可以通过公钥解密。当用户通过客户端访问网站服务器时,首先需要进行握手操作,握手过程中服务端将公钥核证书以及服务端的信息发送给客户端,客户端将自己的信息通过公钥加密发送给服务器端,服务器端通过私钥解密客户端信息。然后,双方根据这些信息,生成对称加密密钥,用于内存传输。在每次握手过程中,服务器需要使用私钥进行解密,之后不再需要。
CDN技术通过反向代理的方式实现内容分发,进行访问加速。目前,针对HTTPS网站服务,需要在CDN节点部署源站的证书、公钥以及私钥才能正确的完成握手过程。但对于源站,私钥属于高度敏感数据,一旦丢失,网站能够被仿冒,私钥窃取者可以轻松获得用户机密数据(如网银密码等)。将私钥直接部署到多台CDN服务器的方式面临更大的丢失风险(如黑客入侵,人为泄露等)。
现有技术之一Keyless,通过建立一个keyserver服务器存放私钥,将握手过程中设计到私钥的过程放置到keyserver上进行,CDN节点通过网络与keyserver进行通信,而keyserver服务器被部署在源站机房内,处于防火墙的保护下只允许CDN节点进行访问。这样CDN节点不在需要存放私钥,私钥仅存放在少数keyserver服务器上,便于私钥管理,降低了私钥被盗的可能性。但该方法每次握手过程都需要与keyserver进行网络通信,延长了握手过程的时间,也降低了用户体验。同时,keyserver的可靠性和性能成为整个系统的瓶颈。详情可参考https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical- details/。
HTTPS:Hyper Text Transfer Protocol over Secure Socket Layer,是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此,加密的详细内容就需要SSL。它是一个URI scheme(抽象标识符体系),句法类同HTTP:体系,用于安全的HTTP数据传输。HTTPS:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。
发明内容
本发明所要解决的技术问题是提供一种HTTPS服务的部署方法,不在CDN节点部署私钥,将加密后的私钥部署在私钥服务器,将私钥进行加密和对应解密方法作为数据进行传输和存贮,客户端接入过程使用内存中的数据,不需要私钥服务器介入,提高系统的性能和可靠性。
为解决上述问题,本发明采用的技术方案是:
一种HTTPS服务的部署方法,包括以下步骤:
步骤1:设置私钥服务器,CDN节点从私钥服务器下载经过加密的私钥和解密方法,并存放在CDN节点的内存中;
步骤2:客户端与服务器进行握手时,服务器使用私钥进行解密,使用内存中的解密方法解密密钥,完成握手过程;
步骤3:结束握手过程,立即清空明文私钥;
步骤4:握手成功后,客户端与CDN节点通过对称密钥进行通信;
步骤5:CDN节点向源站转发客户端请求,并将源站反馈结果返回到客户端,完成访问过程。
进一步的,还包括步骤6:每隔一定时长或者收到管理员手动下达的指令后,CDN节点从私钥服务器重新下载并更新本地数据。
进一步的,所述更新包括手动更新和定时自动更新。
与现有技术相比,本发明的有益效果是:
1)无论是CDN节点还是私钥服务器都不部署明文私钥,通过登录服务器获得私钥几乎不可能。
2)源站管理员不需要将私钥交给CDN服务提供商,减少高密级数据扩散范围。
3)私钥服务器通过防火墙控制访问IP和内容,具有更高的安全性。
4)不需要每次访问都与私钥服务器交互,减弱私钥服务器性能和可靠性对整个系统的影响,不使私钥服务器成为性能瓶颈。
5)不需要逐个CDN服务器进行私钥部署,降低CDN厂商的运维成本。
附图说明
图1是本发明一种HTTPS服务的部署方法中私钥下载/更新流程示意图。
图2是本发明一种HTTPS服务的部署方法中用户访问流程示意图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。本发明方法不在CDN节点部署私钥,而是将加密后的私钥部署在密钥服务器上,CDN节点从该密钥服务器上获取加密后的密钥和解密方法,保存在内存中。在握手的过程中将私钥解密进行握手,握手完成后立即从内存中清除。由于节点上没有部署明文私钥,内存中也只有在握手瞬间存在明文私钥,即使登录节点极难获得私钥。不需要每次访问都与密钥服务器进行交互,对系统的性能和可靠性影响极小。
如图1所示,私钥服务器存储加密后的私钥和对应的解密方法,CDN节点启动后会主动从私钥服务器下载加密后的私钥和解密方法并存放在节点的内存中,每隔一定时长或者收到管理员手动下达的指令后,CDN节点也会从私钥服务器重新下载并更新本地数据。节点和私钥服务器都只有加密后的数据。
如图2所示,客户端与服务器进行握手时,服务器需要使用私进行解密。此时,使用内存中的解密方法解密加密后的密钥完成握手过程,握手过程结束后,立即清空明文私钥。由于使用私钥的时间相对于整个用户访问流程可以忽略不计,通过抓取运行中内存中的数据进行逆向提取密钥几乎不可能。
握手成功后,客户端与CDN节点通过协商后的对称密钥进行通信。与正常访问过程一样,CDN节点向源站转发客户端请求并将源站反馈结果返回到客户端,完成访问过程。握手过程中,不需要与私钥服务器进行交互,与直接在节点部署私钥性能相差不多。
Claims (3)
1.一种HTTPS服务的部署方法,其特征在于,包括以下步骤:
步骤1:设置私钥服务器,CDN节点从私钥服务器下载经过加密的私钥和解密方法,并存放在CDN节点的内存中;
步骤2:客户端与服务器进行握手时,服务器使用私钥进行解密,使用内存中的解密方法解密密钥,完成握手过程;
步骤3:结束握手过程,立即清空明文私钥;
步骤4:握手成功后,客户端与CDN节点通过对称密钥进行通信;
步骤5:CDN节点向源站转发客户端请求,并将源站反馈结果返回到客户端,完成访问过程。
2.如权利要求1所述的一种HTTPS服务的部署方法,其特征在于,还包括步骤6:每隔一定时长或者收到管理员手动下达的指令后,CDN节点从私钥服务器重新下载并更新本地数据。
3.如权利要求2所述的一种HTTPS服务的部署方法,其特征在于,所述更新包括手动更新和定时自动更新。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610867328.2A CN106411893B (zh) | 2016-09-30 | 2016-09-30 | 一种https服务的部署方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610867328.2A CN106411893B (zh) | 2016-09-30 | 2016-09-30 | 一种https服务的部署方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106411893A true CN106411893A (zh) | 2017-02-15 |
CN106411893B CN106411893B (zh) | 2019-08-13 |
Family
ID=59228605
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610867328.2A Active CN106411893B (zh) | 2016-09-30 | 2016-09-30 | 一种https服务的部署方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106411893B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107070998A (zh) * | 2017-03-20 | 2017-08-18 | 广东工业大学 | 一种安全的物联网通讯协议及方法 |
CN107707517A (zh) * | 2017-05-09 | 2018-02-16 | 贵州白山云科技有限公司 | 一种HTTPs握手方法、装置和系统 |
CN110324365A (zh) * | 2018-03-28 | 2019-10-11 | 网易(杭州)网络有限公司 | 无密钥前端集群系统、应用方法、存储介质、电子装置 |
WO2022063213A1 (zh) * | 2020-09-24 | 2022-03-31 | 贵州白山云科技股份有限公司 | 基于云分发的网络访问方法及其系统、介质、设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101951315A (zh) * | 2010-09-10 | 2011-01-19 | 中国联合网络通信集团有限公司 | 密钥处理方法及装置 |
CN102624711A (zh) * | 2012-02-27 | 2012-08-01 | 福建联迪商用设备有限公司 | 一种敏感信息传输方法及系统 |
US8782774B1 (en) * | 2013-03-07 | 2014-07-15 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
CN104883256A (zh) * | 2014-02-27 | 2015-09-02 | 中国科学院数据与通信保护研究教育中心 | 一种抵抗物理攻击和系统攻击的密钥保护方法 |
CN105959105A (zh) * | 2016-04-25 | 2016-09-21 | 乐视控股(北京)有限公司 | 一种数据传输方法及设备 |
-
2016
- 2016-09-30 CN CN201610867328.2A patent/CN106411893B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101951315A (zh) * | 2010-09-10 | 2011-01-19 | 中国联合网络通信集团有限公司 | 密钥处理方法及装置 |
CN102624711A (zh) * | 2012-02-27 | 2012-08-01 | 福建联迪商用设备有限公司 | 一种敏感信息传输方法及系统 |
US8782774B1 (en) * | 2013-03-07 | 2014-07-15 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
CN104883256A (zh) * | 2014-02-27 | 2015-09-02 | 中国科学院数据与通信保护研究教育中心 | 一种抵抗物理攻击和系统攻击的密钥保护方法 |
CN105959105A (zh) * | 2016-04-25 | 2016-09-21 | 乐视控股(北京)有限公司 | 一种数据传输方法及设备 |
Non-Patent Citations (2)
Title |
---|
NICK SULLIVAN: ""Keyless SSL:The Nitty Gritty Technical Details"", 《HTTPS://BLOG.CLOUDFLARE.COM/KEYLESS-SSL-THE-NITTY-GRITTY-TECHNICAL-DETAILS/》 * |
郑伟: ""如何为https网站传输加速还兼顾安全?"", 《HTTP://NET.ZOL.COM.CN/543/5431591_ALL.HTML》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107070998A (zh) * | 2017-03-20 | 2017-08-18 | 广东工业大学 | 一种安全的物联网通讯协议及方法 |
CN107070998B (zh) * | 2017-03-20 | 2019-11-29 | 广东工业大学 | 一种安全的物联网通讯协议及方法 |
CN107707517A (zh) * | 2017-05-09 | 2018-02-16 | 贵州白山云科技有限公司 | 一种HTTPs握手方法、装置和系统 |
CN110324365A (zh) * | 2018-03-28 | 2019-10-11 | 网易(杭州)网络有限公司 | 无密钥前端集群系统、应用方法、存储介质、电子装置 |
WO2022063213A1 (zh) * | 2020-09-24 | 2022-03-31 | 贵州白山云科技股份有限公司 | 基于云分发的网络访问方法及其系统、介质、设备 |
Also Published As
Publication number | Publication date |
---|---|
CN106411893B (zh) | 2019-08-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11483143B2 (en) | Enhanced monitoring and protection of enterprise data | |
CN106254324B (zh) | 一种存储文件的加密方法及装置 | |
CN1885771B (zh) | 用于建立安全通信会话的方法与装置 | |
US8966243B2 (en) | Method and system for data encryption and decryption in data transmission through the web | |
CN104137466B (zh) | 操作计算设备的方法及计算设备 | |
TW202103029A (zh) | 用於將分散識別符映射到真實世界實體的系統及方法 | |
US8185942B2 (en) | Client-server opaque token passing apparatus and method | |
EP1280317B1 (en) | Multi-domain authorisation and authentication | |
CN109155781A (zh) | 对托管应用程序的动态访问 | |
CN107666383A (zh) | 基于https协议的报文处理方法以及装置 | |
CN108243176B (zh) | 数据传输方法和装置 | |
WO2006021661A2 (fr) | Procede d'authentification securisee pour la mise en œuvre de services sur un reseau de transmission de donnees | |
WO2013007525A1 (en) | Method and system to share or storage personal data without loss of privacy | |
CN109413201A (zh) | Ssl通信方法、装置及存储介质 | |
CN106411893B (zh) | 一种https服务的部署方法 | |
EP3375133A1 (fr) | Procede de securisation et d'authentification d'une telecommunication | |
CN105049448B (zh) | 单点登录装置和方法 | |
CN106657002A (zh) | 一种新型防撞库关联时间多密码的身份认证方法 | |
WO2001047176A1 (en) | Method and apparatus for a revolving encrypting and decrypting process | |
CN102714653B (zh) | 用于访问私人数字内容的系统和方法 | |
US10992741B2 (en) | System and method for providing a configuration file to client devices | |
CN104811421A (zh) | 基于数字版权管理的安全通信方法及装置 | |
US11425122B2 (en) | System and method for providing a configuration file to client devices | |
EP1227640B1 (fr) | Procédé et système de communication d'un certificat entre un module de sécurisation et un serveur | |
WO2003003691A1 (fr) | Procede et dispositif de securisation des communications dans un reseau informatique |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP02 | Change in the address of a patent holder | ||
CP02 | Change in the address of a patent holder |
Address after: 9/F, Building C, No. 28, North Tianfu Avenue, China (Sichuan) Pilot Free Trade Zone, Hi tech Zone, Chengdu, 610000, Sichuan Patentee after: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd. Address before: 8th Floor, Building 5, No. 801, Middle Section of Tianfu Avenue, High tech Zone, Chengdu City, Sichuan Province, 610000 Patentee before: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd. |