CN107707514A - 一种用于cdn节点间加密的方法及系统及装置 - Google Patents

一种用于cdn节点间加密的方法及系统及装置 Download PDF

Info

Publication number
CN107707514A
CN107707514A CN201710069825.2A CN201710069825A CN107707514A CN 107707514 A CN107707514 A CN 107707514A CN 201710069825 A CN201710069825 A CN 201710069825A CN 107707514 A CN107707514 A CN 107707514A
Authority
CN
China
Prior art keywords
key
cipher key
cdn node
node
index
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710069825.2A
Other languages
English (en)
Other versions
CN107707514B (zh
Inventor
杨洋
苗辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guizhou Baishan cloud Polytron Technologies Inc
Original Assignee
Guizhou White Cloud Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guizhou White Cloud Technology Co Ltd filed Critical Guizhou White Cloud Technology Co Ltd
Priority to CN201710069825.2A priority Critical patent/CN107707514B/zh
Priority to PCT/CN2018/075221 priority patent/WO2018145606A1/zh
Priority to US16/484,538 priority patent/US11252133B2/en
Priority to SG11201907233QA priority patent/SG11201907233QA/en
Publication of CN107707514A publication Critical patent/CN107707514A/zh
Application granted granted Critical
Publication of CN107707514B publication Critical patent/CN107707514B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Abstract

本发明公开了一种用于CDN节点间加密的方法及系统及装置,此方法包括:密钥中心生成对称密钥集合和密钥索引,将密钥集合和密钥索引发送至各内容分发网络CDN节点;CDN节点从密钥中心接收密钥集合和密钥索引,根据密钥索引从对称密钥集合中确定密钥,在与其它CDN节点进行超文本传输协议HTTP数据传输时使用此密钥进行加密和解密处理。本案跳过消耗最大的HTTPS握手过程,利用两端节点可控的特点,进行对称密钥的直接使用,实现轻量级的加密过程,达到同标准HTTPS一致的加密效果,降低了CDN边缘节点和二级节点之间的加密开销,减轻两端服务器的负载。本发明还采用随机生成并周期性动态更新对称密钥的机制,比传统的HTTPS使用证书中的公钥以及对应的私钥更加安全。

Description

一种用于CDN节点间加密的方法及系统及装置
技术领域
本发明涉及云计算处理领域,尤其涉及一种用于CDN节点间加密的方法及系统及装置。
背景技术
随着以安全为目标的HTTP通道(Hyper Text Transfer Protocol over SecureSocket Layer,HTTPS)在网络应用中的比例越来越大,迁移到HTTPS的网站数量也越来越多,对于在互联网中承担基础设施作用的内容分发网络(Content Delivery Network,简称CDN)来说,如何高效的提供全链路加密成为一个难题。CDN节点大多采用多级缓存的机制,有边缘节点,也有按照地理位置大区划分的二级节点。全链路的HTTPS是指客户端、边缘节点、二级节点、源站之间的所有环节均采用HTTPS通信。由于客户端到边缘节点以及二级节点到源站这两个环节均涉及到和第三方通信,导致优化手段有限。尤其在边缘节点和二级节点之间也需实施完整的HTTPS流程,这样对于两端参与运算的节点压力较大。
发明内容
为了解决上述技术问题,本发明提供了一种用于CDN节点间加密的方法及系统及装置。
本发明提供了一种用于CDN节点间加密的方法,包括:
密钥中心生成对称密钥集合和密钥索引,将所述密钥集合和所述密钥索引发送至各内容分发网络CDN节点;
CDN节点从密钥中心接收所述密钥集合和所述密钥索引,根据所述密钥索引从所述对称密钥集合中确定密钥,在与其它CDN节点进行超文本传输协议HTTP数据传输时使用所述密钥进行加密和解密处理。
上述方法还具有以下特点:
所述密钥中心将所述密钥集合和所述密钥索引发送至各CDN节点包括:通过加密通道将所述密钥集合和所述密钥索引发送至各CDN节点。
上述方法还具有以下特点:
所述CDN节点在与其它CDN节点进行HTTP数据传输时使用所述密钥进行加密和解密处理包括:所述CDN节点为边缘节点时,使用所述密钥对HTTP请求进行加密,将加密后的HTTP请求向二级节点发送;在从二级节点接收到HTTP应答后,使用所述密钥对HTTP应答进行解密;和/或;所述CDN节点为二级节点时,在从边缘节点接收到HTTP请求后,使用所述密钥对HTTP请求进行解密,使用所述密钥对HTTP应答进行加密,将加密后的HTTP应答向边缘节点发送。
上述方法还具有以下特点:
所述密钥中心以第一时间间隔随机或根据预设算法生成密钥索引,向CDN节点发送所生成的密钥索引;所述密钥中心以第二时间间隔随机或根据预设算法生成对称密钥集合,向CDN节点发送所生成的对称密钥集合;所述第二时间间隔大于所述第一时间间隔;
或者,所述密钥中心以第一时间间隔随机或根据预设算法生成密钥索引,向CDN节点发送所生成的密钥索引;所述密钥中心以第二时间间隔随机或根据预设算法生成对称密钥集合以及随机或根据预设算法生成密钥索引,向CDN节点发送所生成的对称密钥集合和密钥索引;所述第二时间间隔大于所述第一时间间隔。
上述方法还具有以下特点:
所述密钥索引的范围为[x,y],x和y均为整数,y与x的差值加1为所述对称密钥集合中对称密钥的个数。
本发明还提供了一种用于CDN节点间加密的系统,包括密钥中心和CDN节点;
所述密钥中心,用于生成对称密钥集合和密钥索引,将所述对称密钥集合和所述密钥索引发送至各CDN节点;
所述CDN节点,用于根据从所述密钥中心获取的索引从对称密钥集合中确定密钥,在与其它CDN节点进行HTTP数据传输时使用所述密钥进行加密和解密处理。
本发明还提供了一种用于CDN节点间加密的装置,应用于密钥中心;包括生成模块和发送模块;
所述生成模块,用于生成对称密钥集合和密钥索引;
所述发送模块,用于将所述生成模块生成的密钥集合发送至各CDN节点,还用于将所述生成模块生成的密钥索引发送至各CDN节点。
上述装置方法还具有以下特点:
所述发送模块,还用于通过加密通道将所述密钥集合和所述密钥索引发送至各CDN节点。
上述装置方法还具有以下特点:
所述生成模块,还用于以第一时间间隔随机或根据预设算法生成密钥索引,以第二时间间隔随机或根据预设算法生成对称密钥集合,所述第二时间间隔大于所述第一时间间隔;或者,还用于以第一时间间隔随机或根据预设算法生成密钥索引,以第二时间间隔随机或根据预设算法生成对称密钥集合以及随机或根据预设算法生成密钥索引,所述第二时间间隔大于所述第一时间间隔。
本发明还提供了一种用于CDN节点间加密的装置,应用于CDN节点;包括接收模块和加密处理模块;
所述接收模块,用于从密钥中心接收密钥集合,还用于从密钥中心接收密钥索引;
所述加密处理模块,用于根据所述密钥索引从所述对称密钥集合中确定密钥,在与其它CDN节点进行HTTP数据传输时使用所述密钥进行加密和解密处理。
上述装置方法还具有以下特点:
所述加密处理模块,还用于在所述CDN节点为边缘节点时,使用所述密钥对HTTP请求进行加密,将加密后的HTTP请求向二级节点发送,在从二级节点接收到HTTP应答后,使用所述密钥对HTTP应答进行解密;还用于在所述CDN节点为二级节点时,在从边缘节点接收到HTTP请求后,使用所述密钥对HTTP请求进行解密,使用所述密钥对HTTP应答进行加密,将加密后的HTTP应答向边缘节点发送。
本发明的方案跳过消耗最大的HTTPS握手过程,利用两端节点可控的特点,进行对称密钥的直接使用,实现轻量级的加密过程,达到同标准HTTPS一致的加密效果,降低了CDN边缘节点和二级节点之间的加密开销,减轻两端服务器的负载。本发明还采用随机生成并周期性动态更新对称密钥的机制,比传统的HTTPS使用证书中的公钥以及对应的私钥更加安全。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是实施例中用于CDN节点间加密的方法的流程图;
图2是实施例中应用于密钥中心的用于CDN节点间加密的装置的结构图;
图3是实施例中应用于CDN节点的用于CDN节点间加密的装置的结构图。
具体实施方式
下面结合附图详细描述本发明的示例性实施例。
图1是实施例中用于CDN节点间加密的方法的流程图;此方法包括:
步骤101,密钥中心生成对称密钥集合和密钥索引,将此密钥集合和此密钥索引发送至各CDN节点;
步骤102,CDN节点从密钥中心接收密钥集合和密钥索引,根据此密钥索引从此对称密钥集合中确定密钥,在与其它CDN节点进行HTTP数据传输时使用此密钥进行加密和解密处理。
其中,
步骤101中对称密钥集合存储于密钥中心的内存中,不存放于固定存储介质,可提高密钥的安全性。
步骤101中,密钥中心将密钥集合和密钥索引发送至各CDN节点包括:通过加密通道将密钥集合和密钥索引发送至各CDN节点。
步骤101中,密钥中心以第一时间间隔随机或根据预设算法生成密钥索引,向CDN节点发送生成的密钥索引,典型的发送方式为向各CDN节点同步发送;密钥中心以第二时间间隔随机或根据预设算法生成对称密钥集合,向CDN节点发送所生成的对称密钥集合,典型的发送方式为向各CDN节点同步发送;其中,第二时间间隔大于第一时间间隔。或者,密钥中心以第一时间间隔随机或根据预设算法生成密钥索引,向CDN节点发送所生成的密钥索引;密钥中心以第二时间间隔随机或根据预设算法生成对称密钥集合以及随机或根据预设算法生成密钥索引,向CDN节点发送所生成的对称密钥集合和密钥索引;第二时间间隔大于第一时间间隔。
本发明申请人考虑到边缘节点和二级节点之间这个环节中的通信双方均是CDN厂商可控的计算设施,因此重点对此两种类型节点之间通信进行优化。步骤102中,CDN节点在与其它CDN节点进行HTTP数据传输时使用此密钥进行加密和解密包括:CDN节点为边缘节点时,使用此密钥对HTTP请求进行加密,将加密后的HTTP请求向二级节点发送,在从二级节点接收到HTTP应答后,使用此密钥对HTTP应答进行解密;和/或;CDN节点为二级节点时,在从边缘节点接收到HTTP请求后,使用此密钥对HTTP请求进行解密,使用此密钥对HTTP应答进行加密,将加密后的HTTP应答向边缘节点发送。
本方法中密钥索引的范围为[x,y],x和y均为整数,y与x的差值加1为对称密钥集合中对称密钥的个数。例如,密钥索引的范围为[0,(n-1)],n为对称密钥集合中对称密钥的个数;再例如,密钥索引的范围为[1,n],n为对称密钥集合中对称密钥的个数。
本发明中的用于CDN节点间加密的系统包括密钥中心和CDN节点。
密钥中心用于生成对称密钥集合和密钥索引,将密钥集合和密钥索引发送至各CDN节点。
CDN节点用于根据从密钥中心获取的索引从对称密钥集合中确定密钥,在与其它CDN节点进行HTTP数据传输时使用此密钥进行加密和解密处理。
图2是用于CDN节点间加密的装置的结构图,此装置应用于密钥中心,包括生成模块和发送模块。
生成模块用于生成对称密钥集合和密钥索引;
发送模块用于将生成模块生成的密钥集合发送至各CDN节点,还用于将生成模块生成的密钥索引发送至各CDN节点。
其中,
发送模块具体用于通过加密通道将密钥集合和密钥索引发送至各CDN节点。
生成模块还用于以第一时间间隔随机或根据预设算法生成密钥索引,以第二时间间隔随机或根据预设算法生成对称密钥集合,第二时间间隔大于第一时间间隔;或者,还用于以第一时间间隔随机或根据预设算法生成密钥索引,以第二时间间隔随机或根据预设算法生成对称密钥集合以及随机或根据预设算法生成密钥索引,第二时间间隔大于第一时间间隔。
图3是用于CDN节点间加密的装置的结构图,此装置应用于CDN节点,包括接收模块和加密处理模块。
接收模块用于从密钥中心接收密钥集合,还用于从密钥中心接收密钥索引。
加密处理模块用于根据密钥索引从对称密钥集合中确定密钥,在与其它CDN节点进行HTTP数据传输时使用此密钥进行加密和解密处理。
其中,加密处理模块还用于在CDN节点为边缘节点时,使用此密钥对HTTP请求进行加密,将加密后的HTTP请求向二级节点发送;在从二级节点接收到HTTP应答后,使用此密钥对HTTP应答进行解密;还用于在CDN节点为二级节点时,在从边缘节点接收到HTTP请求后,使用此密钥对HTTP请求进行解密,使用此密钥对HTTP应答进行加密,将加密后的HTTP应答向边缘节点发送。
具体实施例
步骤1),密钥中心随机生成对称密钥集合K,此对称密钥集合中包含若干个对称密钥。
步骤2),对称密钥中心使用加密通道将对称密钥集合K同步发送到所有的边缘节点和二级节点上。
步骤3),对称密钥中心随机生成对称密钥索引I,索引范围[0,(n-1)],n为密钥集合K中对称密钥的数量。
步骤4),对称密钥中心使用加密通道将对称密钥索引I同步发送到所有的边缘节点和二级节点上。
步骤5),边缘节点向二级节点发送HTTP请求时,使用K[I]作为密钥,对HTTP请求进行加密。
步骤6),二级节点收到加密的HTTP请求时,同样使用K[I]作为密钥对数据进行解密,得到HTTP请求原文。
步骤7),二级节点向边缘节点发送HTTP应答时,使用K[I]作为密钥对HTTP应答进行加密。
步骤8),边缘节点收到加密的HTTP应答时,同样使用K[I]作为密钥对数据进行解密,得到HTTP应答原文。
步骤9),对称密钥中心每隔时间间隔T1,重新执行步骤3)和4),生成新的密钥索引I并同步发送给所有的边缘节点和二级节点。
步骤10),对称密钥中心每隔时间间隔T2(T2>T1),重新执行步骤1)、2),生成新的密钥集合K并同步发送给所有的边缘节点和二级节点。或者,对称密钥中心每隔时间间隔T2(T2>T1),重新执行步骤1)、2)、3)、4),生成新的密钥集合K和新的密钥索引I并同步发送给所有的边缘节点和二级节点。
本发明的方案跳过消耗最大的HTTPS握手过程,利用两端节点可控的特点,进行对称密钥的直接使用,实现轻量级的加密过程,达到同标准HTTPS一致的加密效果,降低了CDN边缘节点和二级节点之间的加密开销,减轻两端服务器的负载。本发明还采用随机生成并周期性动态更新对称密钥的机制,比传统的HTTPS使用证书中的公钥以及对应的私钥更加安全。
上面描述的内容可以单独地或者以各种方式组合起来实施,而这些变型方式都在本发明的保护范围之内。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现,相应地,上述实施例中的各装置/单元可以采用硬件的形式实现,也可以采用软件功能装置的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的物品或者设备中还存在另外的相同要素。
以上实施例仅用以说明本发明的技术方案而非限制,仅仅参照较佳实施例对本发明进行了详细说明。本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,均应涵盖在本发明的权利要求范围当中。

Claims (11)

1.一种用于CDN节点间加密的方法,其特征在于,包括:
密钥中心生成对称密钥集合和密钥索引,将所述密钥集合和所述密钥索引发送至各内容分发网络CDN节点;
CDN节点从密钥中心接收所述密钥集合和所述密钥索引,根据所述密钥索引从所述对称密钥集合中确定密钥,在与其它CDN节点进行超文本传输协议HTTP数据传输时使用所述密钥进行加密和解密处理。
2.如权利要求1所述的用于CDN节点间加密的方法,其特征在于,
所述密钥中心将所述密钥集合和所述密钥索引发送至各CDN节点包括:通过加密通道将所述密钥集合和所述密钥索引发送至各CDN节点。
3.如权利要求1所述的用于CDN节点间加密的方法,其特征在于,
所述CDN节点在与其它CDN节点进行HTTP数据传输时使用所述密钥进行加密和解密处理包括:所述CDN节点为边缘节点时,使用所述密钥对HTTP请求进行加密,将加密后的HTTP请求向二级节点发送;在从二级节点接收到HTTP应答后,使用所述密钥对HTTP应答进行解密;和/或;所述CDN节点为二级节点时,在从边缘节点接收到HTTP请求后,使用所述密钥对HTTP请求进行解密,使用所述密钥对HTTP应答进行加密,将加密后的HTTP应答向边缘节点发送。
4.如权利要求1所述的用于CDN节点间加密的方法,其特征在于,
所述密钥中心以第一时间间隔随机或根据预设算法生成密钥索引,向CDN节点发送所生成的密钥索引;所述密钥中心以第二时间间隔随机或根据预设算法生成对称密钥集合,向CDN节点发送所生成的对称密钥集合;所述第二时间间隔大于所述第一时间间隔;
或者,所述密钥中心以第一时间间隔随机或根据预设算法生成密钥索引,向CDN节点发送所生成的密钥索引;所述密钥中心以第二时间间隔随机或根据预设算法生成对称密钥集合以及随机或根据预设算法生成密钥索引,向CDN节点发送所生成的对称密钥集合和密钥索引;所述第二时间间隔大于所述第一时间间隔。
5.如权利要求1所述的用于CDN节点间加密的方法,其特征在于,
所述密钥索引的范围为[x,y],x和y均为整数,y与x的差值加1为所述对称密钥集合中对称密钥的个数。
6.一种用于CDN节点间加密的系统,其特征在于,包括密钥中心和CDN节点;
所述密钥中心,用于生成对称密钥集合和密钥索引,将所述对称密钥集合和所述密钥索引发送至各CDN节点;
所述CDN节点,用于根据从所述密钥中心获取的索引从对称密钥集合中确定密钥,在与其它CDN节点进行HTTP数据传输时使用所述密钥进行加密和解密处理。
7.一种用于CDN节点间加密的装置,其特征在于,应用于密钥中心;包括生成模块和发送模块;
所述生成模块,用于生成对称密钥集合和密钥索引;
所述发送模块,用于将所述生成模块生成的密钥集合发送至各CDN节点,还用于将所述生成模块生成的密钥索引发送至各CDN节点。
8.如权利要求7所述的用于CDN节点间加密的装置,其特征在于,
所述发送模块,还用于通过加密通道将所述密钥集合和所述密钥索引发送至各CDN节点。
9.如权利要求7所述的用于CDN节点间加密的装置,其特征在于,
所述生成模块,还用于以第一时间间隔随机或根据预设算法生成密钥索引,以第二时间间隔随机或根据预设算法生成对称密钥集合,所述第二时间间隔大于所述第一时间间隔;或者,还用于以第一时间间隔随机或根据预设算法生成密钥索引,以第二时间间隔随机或根据预设算法生成对称密钥集合以及随机或根据预设算法生成密钥索引,所述第二时间间隔大于所述第一时间间隔。
10.一种用于CDN节点间加密的装置,其特征在于,应用于CDN节点;包括接收模块和加密处理模块;
所述接收模块,用于从密钥中心接收密钥集合,还用于从密钥中心接收密钥索引;
所述加密处理模块,用于根据所述密钥索引从所述对称密钥集合中确定密钥,在与其它CDN节点进行HTTP数据传输时使用所述密钥进行加密和解密处理。
11.如权利要求10所述的用于CDN节点间加密的装置,其特征在于,
所述加密处理模块,还用于在所述CDN节点为边缘节点时,使用所述密钥对HTTP请求进行加密,将加密后的HTTP请求向二级节点发送,在从二级节点接收到HTTP应答后,使用所述密钥对HTTP应答进行解密;还用于在所述CDN节点为二级节点时,在从边缘节点接收到HTTP请求后,使用所述密钥对HTTP请求进行解密,使用所述密钥对HTTP应答进行加密,将加密后的HTTP应答向边缘节点发送。
CN201710069825.2A 2017-02-08 2017-02-08 一种用于cdn节点间加密的方法及系统及装置 Active CN107707514B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201710069825.2A CN107707514B (zh) 2017-02-08 2017-02-08 一种用于cdn节点间加密的方法及系统及装置
PCT/CN2018/075221 WO2018145606A1 (zh) 2017-02-08 2018-02-05 一种用于cdn节点间加密的方法、系统、装置、介质及设备
US16/484,538 US11252133B2 (en) 2017-02-08 2018-02-05 Method, device, medium and apparatus for CDN inter-node encryption
SG11201907233QA SG11201907233QA (en) 2017-02-08 2018-02-05 Method, system, device, medium and device for cdn inter-node encryption

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710069825.2A CN107707514B (zh) 2017-02-08 2017-02-08 一种用于cdn节点间加密的方法及系统及装置

Publications (2)

Publication Number Publication Date
CN107707514A true CN107707514A (zh) 2018-02-16
CN107707514B CN107707514B (zh) 2018-08-21

Family

ID=61169450

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710069825.2A Active CN107707514B (zh) 2017-02-08 2017-02-08 一种用于cdn节点间加密的方法及系统及装置

Country Status (4)

Country Link
US (1) US11252133B2 (zh)
CN (1) CN107707514B (zh)
SG (1) SG11201907233QA (zh)
WO (1) WO2018145606A1 (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109347637A (zh) * 2018-08-01 2019-02-15 华为技术有限公司 一种认证方法、内容分发网络cdn和内容服务器
CN109861828A (zh) * 2018-12-11 2019-06-07 全球能源互联网研究院有限公司 一种基于边缘计算的节点接入和节点认证方法
CN111600879A (zh) * 2020-05-14 2020-08-28 杭州海康威视数字技术股份有限公司 一种数据输出/获取方法、装置和电子设备
CN112688954A (zh) * 2020-12-28 2021-04-20 上海创能国瑞数据系统有限公司 一种敏感数据传输的保护方法

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11429753B2 (en) * 2018-09-27 2022-08-30 Citrix Systems, Inc. Encryption of keyboard data to avoid being read by endpoint-hosted keylogger applications
US11295024B2 (en) * 2019-01-18 2022-04-05 Red Hat, Inc. Providing smart contracts including secrets encrypted with oracle-provided encryption keys using threshold cryptosystems
US11593493B2 (en) * 2019-01-18 2023-02-28 Red Hat, Inc. Providing smart contracts including secrets encrypted with oracle-provided encryption keys
US11316660B2 (en) 2019-02-21 2022-04-26 Red Hat, Inc. Multi-stage secure smart contracts
US11451380B2 (en) 2019-07-12 2022-09-20 Red Hat, Inc. Message decryption dependent on third-party confirmation of a condition precedent
US11729187B2 (en) 2020-02-24 2023-08-15 Microsoft Technology Licensing, Llc Encrypted overlay network for physical attack resiliency

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020154782A1 (en) * 2001-03-23 2002-10-24 Chow Richard T. System and method for key distribution to maintain secure communication
CN1898621A (zh) * 2003-12-17 2007-01-17 松下电器产业株式会社 内容输出设备、内容分发服务器及密钥发布中心
CN101009553A (zh) * 2006-12-30 2007-08-01 中兴通讯股份有限公司 实现多网融合移动多媒体广播系统密钥安全的方法和系统
CN1653743B (zh) * 2002-05-17 2010-08-11 诺基亚有限公司 用于安排数据加密的方法和系统及其对应的服务器
CN101848401A (zh) * 2009-03-25 2010-09-29 中兴通讯股份有限公司 密钥交换方法和装置
CN102217225A (zh) * 2008-10-03 2011-10-12 杰出网络公司 内容递送网络加密
CN103152733A (zh) * 2011-12-07 2013-06-12 华为技术有限公司 一种通信方法、装置
CN105141636A (zh) * 2015-09-24 2015-12-09 网宿科技股份有限公司 适用于cdn增值业务平台的http安全通信方法及系统
US20160066354A1 (en) * 2014-08-28 2016-03-03 Kabushiki Kaisha Toshiba Communication system
US20160080340A1 (en) * 2014-09-12 2016-03-17 Kabushiki Kaisha Toshiba Communication control device
CN105743637A (zh) * 2016-03-30 2016-07-06 国网山东省电力公司荣成市供电公司 一种变电站智能巡检系统
CN106302422A (zh) * 2016-08-08 2017-01-04 腾讯科技(深圳)有限公司 业务加密、解密方法和装置
CN106341417A (zh) * 2016-09-30 2017-01-18 贵州白山云科技有限公司 一种基于内容分发网络的https加速方法和系统

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6965674B2 (en) 2002-05-21 2005-11-15 Wavelink Corporation System and method for providing WLAN security through synchronized update and rotation of WEP keys
US7631361B2 (en) 2003-08-20 2009-12-08 Panasonic Corporation Content reproduction system
US7783777B1 (en) * 2003-09-09 2010-08-24 Oracle America, Inc. Peer-to-peer content sharing/distribution networks
US8059817B2 (en) * 2006-06-20 2011-11-15 Motorola Solutions, Inc. Method and apparatus for encrypted communications using IPsec keys
CN102238002A (zh) * 2010-04-30 2011-11-09 国际商业机器公司 用于网络通信的动态加密和解密的方法和设备
EP2659423A4 (en) * 2010-12-31 2014-09-17 Akamai Tech Inc EXPANSION OF DATA CONFIDENTIALITY IN A GAME APPLICATION
US9438415B2 (en) 2011-02-23 2016-09-06 Broadcom Corporation Method and system for securing communication on a home gateway in an IP content streaming system
CN102281136B (zh) 2011-07-28 2015-04-29 中国电力科学研究院 用于电动汽车智能充电网络安全通信的量子密钥分配系统
US20140310527A1 (en) 2011-10-24 2014-10-16 Koninklijke Kpn N.V. Secure Distribution of Content
WO2015063933A1 (ja) * 2013-10-31 2015-05-07 株式会社 東芝 コンテンツ再生装置、コンテンツ再生方法及びコンテンツ再生システム
CN105991635A (zh) * 2015-07-08 2016-10-05 成都惠申科技有限公司 一种确保cdn内容访问安全性及一致性的方法和装置
CN105933318A (zh) 2016-05-26 2016-09-07 乐视控股(北京)有限公司 数据保密方法、装置及系统

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020154782A1 (en) * 2001-03-23 2002-10-24 Chow Richard T. System and method for key distribution to maintain secure communication
CN1653743B (zh) * 2002-05-17 2010-08-11 诺基亚有限公司 用于安排数据加密的方法和系统及其对应的服务器
CN1898621A (zh) * 2003-12-17 2007-01-17 松下电器产业株式会社 内容输出设备、内容分发服务器及密钥发布中心
CN101009553A (zh) * 2006-12-30 2007-08-01 中兴通讯股份有限公司 实现多网融合移动多媒体广播系统密钥安全的方法和系统
CN102217225A (zh) * 2008-10-03 2011-10-12 杰出网络公司 内容递送网络加密
CN101848401A (zh) * 2009-03-25 2010-09-29 中兴通讯股份有限公司 密钥交换方法和装置
CN103152733A (zh) * 2011-12-07 2013-06-12 华为技术有限公司 一种通信方法、装置
US20160066354A1 (en) * 2014-08-28 2016-03-03 Kabushiki Kaisha Toshiba Communication system
US20160080340A1 (en) * 2014-09-12 2016-03-17 Kabushiki Kaisha Toshiba Communication control device
CN105141636A (zh) * 2015-09-24 2015-12-09 网宿科技股份有限公司 适用于cdn增值业务平台的http安全通信方法及系统
CN105743637A (zh) * 2016-03-30 2016-07-06 国网山东省电力公司荣成市供电公司 一种变电站智能巡检系统
CN106302422A (zh) * 2016-08-08 2017-01-04 腾讯科技(深圳)有限公司 业务加密、解密方法和装置
CN106341417A (zh) * 2016-09-30 2017-01-18 贵州白山云科技有限公司 一种基于内容分发网络的https加速方法和系统

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109347637A (zh) * 2018-08-01 2019-02-15 华为技术有限公司 一种认证方法、内容分发网络cdn和内容服务器
CN109347637B (zh) * 2018-08-01 2021-01-15 华为技术有限公司 一种认证方法、内容分发网络cdn和内容服务器
CN109861828A (zh) * 2018-12-11 2019-06-07 全球能源互联网研究院有限公司 一种基于边缘计算的节点接入和节点认证方法
CN109861828B (zh) * 2018-12-11 2021-10-08 全球能源互联网研究院有限公司 一种基于边缘计算的节点接入和节点认证方法
CN111600879A (zh) * 2020-05-14 2020-08-28 杭州海康威视数字技术股份有限公司 一种数据输出/获取方法、装置和电子设备
CN111600879B (zh) * 2020-05-14 2023-02-17 杭州海康威视数字技术股份有限公司 一种数据输出/获取方法、装置和电子设备
CN112688954A (zh) * 2020-12-28 2021-04-20 上海创能国瑞数据系统有限公司 一种敏感数据传输的保护方法
CN112688954B (zh) * 2020-12-28 2022-08-05 上海创能国瑞数据系统有限公司 一种敏感数据传输的保护方法

Also Published As

Publication number Publication date
WO2018145606A1 (zh) 2018-08-16
CN107707514B (zh) 2018-08-21
SG11201907233QA (en) 2019-09-27
US20200059454A1 (en) 2020-02-20
US11252133B2 (en) 2022-02-15

Similar Documents

Publication Publication Date Title
CN107707514B (zh) 一种用于cdn节点间加密的方法及系统及装置
US11706026B2 (en) Location aware cryptography
CN110419193B (zh) 用于安全智能家居环境的基于ksi的认证和通信方法及其系统
US9407432B2 (en) System and method for efficient and secure distribution of digital content
Misra et al. Secure content delivery in information-centric networks: Design, implementation, and analyses
US10581599B2 (en) Cloud storage method and system
CN110661620B (zh) 一种基于虚拟量子链路的共享密钥协商方法
CN105847228A (zh) 用于信息中心网络的访问控制框架
CN111523133B (zh) 一种区块链与云端数据协同共享方法
EP3459202A1 (en) Method and system for secure data transmission
EP3465578A1 (en) Methods and systems to establish trusted peer-to-peer communications between nodes in a blockchain network
US20160226829A1 (en) Systems and methods for secure data exchange
CN113193957A (zh) 一种与量子网络分离的量子密钥服务方法与系统
WO2017200791A1 (en) Method and system for secure data transmission
CN104270350B (zh) 一种密钥信息的传输方法和设备
CN113193958B (zh) 一种量子密钥服务方法与系统
WO2022068362A1 (zh) 一种基于区块链的信息处理方法、装置、设备及介质
CN112202555B (zh) 基于信息的属性生成随机数的信息处理方法、装置及设备
CN104935588A (zh) 一种安全云存储系统的分层密钥管理方法
Araki et al. High-throughput secure three-party computation of kerberos ticket generation
JP2009038416A (ja) マルチキャスト通信システム、並びにグループ鍵管理サーバ
CN114710359B (zh) 工业网络动态密钥管理方法及工业网络加密通信方法
CN105207969A (zh) 一种应用于物联网低功耗环境下的轻量级流式加密方法
CN115001824B (zh) 一种面向区块链的数据加密共享方法、装置及存储介质
US20230041783A1 (en) Provision of digital content via a communication network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 100015 5 floor, block E, 201 IT tower, electronic city, 10 Jiuxianqiao Road, Chaoyang District, Beijing.

Patentee after: Guizhou Baishan cloud Polytron Technologies Inc

Address before: 100015 5 floor, block E, 201 IT tower, electronic city, 10 Jiuxianqiao Road, Chaoyang District, Beijing.

Patentee before: Guizhou white cloud Technology Co., Ltd.