CN107707517A - 一种HTTPs握手方法、装置和系统 - Google Patents
一种HTTPs握手方法、装置和系统 Download PDFInfo
- Publication number
- CN107707517A CN107707517A CN201710319670.3A CN201710319670A CN107707517A CN 107707517 A CN107707517 A CN 107707517A CN 201710319670 A CN201710319670 A CN 201710319670A CN 107707517 A CN107707517 A CN 107707517A
- Authority
- CN
- China
- Prior art keywords
- keyless
- server
- https
- private key
- fringe node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Lock And Its Accessories (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供了一种HTTPs握手方法、装置和系统。涉及网络传输领域;解决了客户侧部署Keyless服务器带来的效率低下、成本高的问题。该方法包括:边缘节点在接收到用户的安全套接层SSL/安全传输层TLS握手请求时,从所述至少两个Keyless Server中选择一个Keyless Server建立连接;接收所述Keyless Server发送的解密或签名后的报文。本发明提供的技术方案适用于CDN,实现了高效高稳定性的HTTPs握手过程。
Description
技术领域
本发明涉及网络传输领域,尤其涉及一种以安全为目标的超文本传输协议通道(HTTPs)握手方法、装置和系统。
背景技术
在内容分发网络(CDN)场景下使用HTTPS,面临的最大挑战之一就是私钥的安全性问题。CDN的边缘节点承担着和客户端进行安全套接层(SSL)/安全传输层(TLS)握手的任务,因此CDN边缘节点需要有使用私钥的能力,最常见的方式是将私钥部署到边缘节点缓存服务器上,这样一来,私钥的拷贝数量会十分庞大(因为CDN边缘节点数量众多),从安全的角度来看这无疑增大了私钥泄露的风险。现有技术一般采用无密钥加载Keyless的方法授权CDN厂商使用私钥,通过建立一个Keyless server服务器存放私钥,将握手过程中涉及到私钥的过程放置到Keyless server上进行,CDN节点通过网络与Keyless server进行通信,而Keyless server服务器被部署在源站机房内,处于防火墙的保护下只允许CDN节点进行访问。这样CDN节点不在需要存放私钥,私钥仅存放在少数Keyless server服务器上,便于私钥管理,降低了私钥被盗的可能性。但远程的Keyless方案(指无密钥加载服务器(Keyless Server)与CDN边缘节点距离较远)会增加SSL握手的延迟,并且对于用户来说,需要额外维护Keyless Server,从而增加了用户的运维成本。因此,如何降低私钥泄漏风险,降低运维成本,同时提高HTTPs加解密的效率、提高整个系统的稳定性和服务性能成为在CDN场景下使用HTTPs需要关注的主要问题。
现有技术一般采用Keyless的方法授权CDN厂商使用私钥,即,客户把私钥留在自己部署的一台Keyless服务器上,用来解密对话密钥,其他步骤都让CDN服务商去完成。该方案存在如下缺点:
1)CDN边缘节点连接Keyless Server会增加SSL握手的延迟;
2)客户需要额外维护Keyless Server,从而增加了用户的运维成本;
3)面向大量的CDN边缘节点,对Keyless Server提出很高的要求,一旦KeylessServer出现连接断开或硬件故障时,会导致解密功能的失效,这种时候需要重定向至另外的备份服务器进行重新连接和非对称加解密,工作效率较低。
发明内容
本发明旨在解决上面描述的问题。
根据本发明的一方面,提供了一种HTTPs握手方法,在CDN内部署有至少两台无密钥加载服务器Keyless Server和一个存储至少一个私钥的证书中心,该方法包括:
边缘节点在接收到用户的SSL/TLS握手请求时,从所述至少两个Keyless Server中选择一个Keyless Server建立连接;
接收所述Keyless Server发送的解密或签名后的报文。
优选的,在CDN内部署Keyless Server具体为在每个边缘节点内部署至少两台Keyless Server。
优选的,该方法还包括:
针对所述边缘节点,配置各个Keyless Server的权重信息,以指示所述边缘节点根据所述权重信息选择Keyless Server。
优选的,该方法还包括:
设置所述边缘节点与所述Keyless Server的长连接时间,指示所述边缘节点在与所述Keyless Server建立连接时依照所述长连接时间建立长连接。
优选的,该方法还包括:
所述边缘节点在当前连接的Keyless Server无法提供服务时,按照所述权重信息选择其他Keyless Server进行连接。所述无法提供服务是指,Keyless Server设备故障或者边缘节点与Keyless Server之间的网络中断等情况。
根据本发明的另一方面,提供了一种HTTPs握手方法,在CDN内部署有至少两台Keyless Server和一个存储至少一个私钥的证书中心,该方法包括:
被边缘节点选择的Keyless Server根据从所述证书中心获取的私钥,对报文进行解密或签名;
所述Keyless Server将解密或签名后的报文发送给所述边缘节点。
优选的,该方法还包括:
所述至少两个Keyless Server分别与所述证书中心建立HTTPs协议加密连接,预先按需读取私钥。
优选的,该方法还包括:
所述Keyless Server将自所述证书中心读取的私钥存储在内存中。
优选的,该方法还包括:
在至少一个Keyless Server上安装硬件加速卡。
根据本发明的另一方面,提供了一种HTTPs握手方法,在CDN内部署有至少两台Keyless Server和一个存储至少一个私钥的证书中心,该方法包括:
所述证书中心接收Keyless Server读取私钥的请求;
所述证书中心从本地存储中提取与所述Keyless Serve对应的私钥,向所述Keyless Server返回所述私钥。
优选的,该方法还包括:
所述证书中心使用芯片对私钥进行硬件加密,将加密后的私钥存放于本地的存储介质中。
根据本发明的另一方面,提供了一种HTTPs握手装置,包括:
选择模块,用于在接收到用户的安全套接层SSL握手请求时,从CDN内部署的至少两个Keyless Server中选择一个Keyless Server建立连接;
信息接收模块,用于接收所述Keyless Server发送的解密或签名后的报文。
优选的,该装置还包括:
配置模块,用于接收对各个Keyless Server权重信息的配置文件,以指示所述选择模块根据所述权重信息选择Keyless Server。
优选的,所述配置模块,还用于接收对边缘节点与所述Keyless Server的长连接时间的设置,以指示所述选择模块在与所述Keyless Server建立连接时依照所述长连接时间建立长连接。
优选的,所述选择模块,还用于在当前连接的Keyless Server无法提供服务时,按照所述权重信息,选择其他Keyless Server进行连接。
根据本发明的另一方面,提供了一种HTTPs握手装置,包括:
解密模块,用于根据从CDN中部署的证书中心获取的私钥,对边缘节点接收的报文进行解密或签名;
信息发送模块,用于将解密或签名后的报文发送给所述边缘节点。
优选的,该装置还包括:
密钥获取模块,用于与证书中心建立HTTPs协议加密连接,预先按需读取私钥。
优选的,该装置还包括:
存储模块,用于将自所述证书中心读取的私钥存储在内存中。
根据本发明的另一方面,提供了一种HTTPs握手装置,包括:
信息接收模块,用于接收CDN中部署的至少两台Keyless Server中任一KeylessServer发送的读取私钥的请求;
密钥下发模块,用于从本地存储中提取与所述Keyless Serve对应的私钥,向所述Keyless Server返回所述私钥。
优选的,该装置还包括:
存储模块,用于使用芯片对私钥进行硬件加密,将加密后的私钥存放于本地的存储介质中。
根据本发明的另一方面,提供了一种HTTPs握手系统,包含至少一个CDN的边缘节点,该系统还包含部署于所述CDN中的至少两台Keyless Server和一个存储至少一个私钥的证书中心;
所述边缘节点,用于在接收到用户的安全套接层SSL握手请求时,从所述至少两个Keyless Server中选择一个Keyless Server建立连接,接收所述Keyless Server发送的解密或签名后的报文;
所述Keyless Server,用于根据从所述证书中心获取的私钥,对报文进行解密或签名,将解密或签名后的报文发送给所述边缘节点;
所述证书中心,用于接收所述Keyless Server读取私钥的请求,从本地存储中提取与所述Keyless Serve对应的私钥,向所述Keyless Server返回所述私钥。
优选的,在每个边缘节点内部署有至少两台Keyless Server,所述至少两台Keyless Server为所在的边缘节点提供服务。
优选的,所述边缘节点,还用于配置各个Keyless Server的权重信息,以指示所述边缘节点根据所述权重信息选择Keyless Server。
优选的,所述边缘节点,还用于设置与所述Keyless Server的长连接时间,在与所述Keyless Server建立连接时依照所述长连接时间建立长连接。
优选的,所述边缘节点,还用于在当前连接的Keyless Server故障时,根据所述权重信息,选择其他Keyless Server进行连接。
优选的,所述Keyless Server,还用于与所述证书中心建立HTTPs协议加密连接,预先按需读取私钥。
优选的,所述Keyless Server,还用于将自所述证书中心读取的私钥存储在内存中。
优选的,在至少一个Keyless Server上安装有硬件加速卡。
优选的,所述证书中心,还用于使用芯片对私钥进行硬件加密,将加密后的私钥存放于本地的存储介质中。
本发明提供了一种HTTPs握手方法、装置和系统,边缘节点在接收到用户的安全套接层SSL握手请求时,从所述至少两个Keyless Server中选择一个Keyless Server建立连接,被边缘节点选择的Keyless Server根据从所述证书中心获取的私钥,对报文进行解密或签名,将解密或签名后的报文发送给所述边缘节点,边缘节点接收所述Keyless Server发送的解密或签名后的报文,完成握手过程。解决了客户侧部署Keyless服务器带来的效率低下、成本高的问题,实现了高效高稳定性的HTTPs解密。
参照附图来阅读对于示例性实施例的以下描述,本发明的其他特性特征和优点将变得清晰。
附图说明
并入到说明书中并且构成说明书的一部分的附图示出了本发明的实施例,并且与描述一起用于解释本发明的原理。在这些附图中,类似的附图标记用于表示类似的要素。下面描述中的附图是本发明的一些实施例,而不是全部实施例。对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,可以根据这些附图获得其他的附图。
图1示例性地示出了本发明的实施例一提供的一种HTTPs握手方法的流程;
图2示例性地示出了本发明的实施例二提供的一种HTTPs装置的结构;
图3示例性地示出了本发明的实施例二提供的又一种HTTPs装置的结构;
图4示例性地示出了本发明的实施例二提供的又一种HTTPs装置的结构;
图5示例性地示出了本发明的实施例三提供的一种HTTPs系统的架构。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
HTTPs的使用需要在服务端部署公钥、私钥和证书。通过公钥加密的数据可以通过私钥解密,反之亦然,私钥加密的数据也可以通过公钥解密。当用户通过客户端访问网站服务器时,首先需要进行握手操作,握手过程中服务端将公钥和证书以及服务端的信息发送给客户端,客户端将对称密钥通过公钥加密发送给服务器端,服务器端通过私钥解密对称密钥。然后,双方使用对称密钥对内容进行加解密传输。在每次握手过程中,服务器需要使用私钥进行解密,之后不再需要。
现有技术一般采用Keyless的方法授权CDN厂商使用私钥,即,客户把私钥留在自己部署的一台Keyless服务器上,用来解密对话密钥,其他步骤都让CDN服务商去完成。该方案存在如下缺点:
1)CDN边缘节点连接Keyless Server会增加SSL握手的延迟;
2)客户需要额外维护Keyless Server,从而增加了用户的运维成本;
3)面向大量的CDN边缘节点,对Keyless Server提出很高的要求,一旦KeylessServer出现连接断开或硬件故障时,会导致解密功能的失效,这种时候需要重定向至另外的备份服务器进行重新连接和非对称加解密,工作效率较低。
针对上述问题,需要一种能够降低私钥泄漏风险,降低运维成本,同时提高HTTPs加解密效率、提高整个系统的稳定性和服务性能的HTTPs解密机制。
本发明的实施例提供了一种HTTPs握手方法、装置和系统,在CDN中部署多个分别与各个边缘节点对应的Keyless Server,客户的私钥存储在证书中心,使用芯片进行硬件加密后,将加密后的私钥存放在存储介质中。多台Keyless sever从证书中心采用HTTPs协议加密连接,预先按需读取私钥,将私钥信息存储在内存中,防止私钥泄漏。通过证书中心统一发布私钥,由Keyless Server完成对报文的解密或签名,实现了高效高稳定性的HTTPs解密。
首先结合附图,对本发明的实施例一进行说明。
本发明实施例提供了一种HTTPs握手方法,在现有CDN的基础上,部署至少两台Keyless Server和一个存储至少一个私钥的证书中心。优选的,在各个边缘节点内分别部署至少两台Keyless Server。使用该方法实现HTTPs解密的流程如图1所示,包括:
步骤101、CDN边缘节点接收到来自最终用户的SSL握手请求;
本步骤中,CDN边缘节点接收用户的SSL握手请求,触发解密流程。
边缘节点由多个设备构成,该边缘节点对应的Keyless Server部署于部分或全部构成该边缘节点的设备之上。
优选的,针对所述边缘节点,配置各个Keyless Server的权重信息,以指示所述边缘节点根据所述权重信息选择Keyless Server。可根据各设备对非对称加解密的处理能力来配置部署于该设备上的Keyless Server权重信息。不同权重的Keyless Server能接收到的请求报文数不同,达到负载均衡的作用。可选的,对至少一台Keyless Sever安装硬件加速卡,提升该Keyless Server的加解密性能。
优选的,还可以设置所述边缘节点与所述Keyless Server的长连接时间,指示所述边缘节点在与所述Keyless Server建立连接时依照所述长连接时间建立长连接。优选的长连接时间为120s/60s。当报文数量巨大时,长连接能够共享已经建立连接的传输通道,减少握手环节,提高传输的效率。
步骤102、边缘节点在接收到用户的安全套接层SSL握手请求时,从所述至少两个Keyless Server中选择一个Keyless Server建立连接;
本步骤中,边缘节点根据预先配置的权重信息,选择一台Keyless Server建立连接,使用该Keyless Server完成对报文的解密或签名。
在成功建立连接后,进入步骤103;在选择的Keyless Server由于故障等原因无法成功连接时,进入步骤106。
步骤103、被边缘节点选择的Keyless Server根据从证书中心获取的私钥,对报文进行解密或签名;
Keyless Server根据请求类型(解密/签名)使用存储的非对称私钥对报文进行解密或签名。
Keyless Server在启动时,通过与所述证书中心建立HTTPs协议加密连接,预先按需读取私钥。为了提高安全性,优选的,Keyless Server将私钥保存在内存中,一旦发生宕机或重启,内存信息即丢失,保证了私钥在Keyless Server发生故障后不会被其他人获取。例如,可以将证书中心通过网站实现,Keyless Server通过API向这个网站请求需要的信息。
证书中心在接收到Keyless Server读取私钥的请求时从本地存储中提取与所述Keyless Serve对应的私钥,向所述Keyless Server返回所述私钥。
为了增强安全性,优选的,所述证书中心使用芯片对私钥进行硬件加密,将加密后的私钥存放于本地的存储介质中。
步骤104、所述Keyless Server将解密或签名后的报文发送给所述边缘节点。
步骤105、边缘节点接收到所述Keyless Server发送的解密或签名后的报文后继续处理余下的握手逻辑,完成SSL握手过程。
步骤106、所述边缘节点在当前连接的Keyless Server故障时,根据所述权重信息,选择其他Keyless Server进行连接;
Keyless Server在边缘节点中是部署在多个设备上的,其中有部分设备是备选的,正常情况下没有请求发送到这些备选设备上,但是当边缘节点探测出当前选择工作的Keyless Server无法提供服务时,则从备选设备中选择权重相当的设备投入使用。例如:权重为2的Keyless Server发生故障时,查找备选设备中是否有权重为2的Keyless Server,有的话直接让这台Keyless Server投入使用;如果没有匹配到权重相当的KeylessServer,也可以找出若干台权重之和等于该故障Keyless Server的其他Keyless Server投入使用。
下面结合附图,对本发明的实施例二进行说明。
本发明实施例提供了一种HTTPs握手装置,其结构如图2所示,包括:
选择模块201,用于在接收到用户的安全套接层SSL握手请求时,从CDN内部署的至少两个Keyless Server中选择一个Keyless Server建立连接;
信息接收模块202,用于接收所述Keyless Server发送的解密或签名后的报文。
优选的,该装置还包括:
配置模块203,用于接收对各个Keyless Server权重信息的配置文件,以指示所述选择模块根据所述权重信息选择Keyless Server。
优选的,所述配置模块203,还用于接收对边缘节点与所述Keyless Server的长连接时间的设置,以指示所述选择模块在与所述Keyless Server建立连接时依照所述长连接时间建立长连接。
优选的,所述选择模块201,还用于在当前连接的Keyless Server故障时,根据所述权重信息,选择其他Keyless Server进行连接。
如图2所示的HTTPs握手装置,可集成于边缘节点中。具体的,可以专用客户端Keyless Client的形式运行于边缘节点内的任一设备之上,实现相应功能。
本发明实施例还提供了一种HTTPs握手装置,其结构如图3所示,包括:
解密模块301,用于根据从CDN中部署的证书中心获取的私钥,对边缘节点接收的报文进行解密或签名;
信息发送模块302,用于将解密或签名后的报文发送给所述边缘节点。
优选的,该装置还包括:
密钥获取模块303,用于与证书中心建立HTTPs协议加密连接,预先按需读取私钥。
优选的,该装置还包括:
存储模块304,用于将自所述证书中心读取的私钥存储在内存中。
如图3所示的HTTPs握手装置,可集成于边缘节点中。优选的,可以Keyless Server的形式运行于边缘节点内的多个或全部设备之上,实现相应功能。
本发明实施例还提供了一种HTTPs握手装置,其结构如图4所示,包括:
信息接收模块401,用于接收CDN中部署的至少两台Keyless Server中任一Keyless Server发送的读取私钥的请求;
密钥下发模块402,用于从本地存储中提取与所述Keyless Serve对应的私钥,向所述Keyless Server返回所述私钥。
优选的,该装置还包括:
存储模块403,用于使用芯片对私钥进行硬件加密,将加密后的私钥存放于本地的存储介质中。
如图4所示的HTTPs握手装置,可集成于证书中心中。优选的,该证书中心以网站形式实现,可与CDN中各设备建立HTTPs加密连接。
下面结合附图,对本发明的实施例三进行说明。
本发明实施例提供了一种HTTPs握手系统,如图5所示,包含至少一个CDN的边缘节点,该系统还包含部署于所述CDN中的至少两台Keyless Server和一个存储至少一个私钥的证书中心;
所述边缘节点,用于在接收到用户的安全套接层SSL握手请求时,从所述至少两个Keyless Server中选择一个Keyless Server建立连接,接收所述Keyless Server发送的解密或签名后的报文;
所述Keyless Server,用于根据从所述证书中心获取的私钥,对报文进行解密或签名,将解密或签名后的报文发送给所述边缘节点;
所述证书中心,用于接收所述Keyless Server读取私钥的请求,从本地存储中提取与所述Keyless Serve对应的私钥,向所述Keyless Server返回所述私钥。
所述边缘节点可通过如图2所示的HTTPs握手装置实现,所述Keyless Server可通过如图3所示的HTTPs握手装置实现,所述证书中心可通过如图4所示的HTTPs握手装置实现。
优选的,在每个边缘节点内部署有至少两台Keyless Server,所述至少两台Keyless Server为所在的边缘节点提供服务。
优选的,所述边缘节点,还用于配置各个Keyless Server的权重信息,以指示所述边缘节点根据所述权重信息选择Keyless Server。
优选的,所述边缘节点,还用于设置与所述Keyless Server的长连接时间,在与所述Keyless Server建立连接时依照所述长连接时间建立长连接。
优选的,所述边缘节点,还用于在当前连接的Keyless Server故障时,根据所述权重信息,选择其他Keyless Server进行连接。
优选的,所述Keyless Server,还用于与所述证书中心建立HTTPs协议加密连接,预先按需读取私钥。
优选的,所述Keyless Server,还用于将自所述证书中心读取的私钥存储在内存中。
优选的,在至少一个Keyless Server上安装有硬件加速卡。
优选的,所述证书中心,还用于使用芯片对私钥进行硬件加密,将加密后的私钥存放于本地的存储介质中。
本发明的实施例提供的HTTPs握手装置与系统,能够与本发明的实施例提供的HTTPs握手方法相结合,边缘节点在接收到用户的安全套接层SSL握手请求时,从所述至少两个Keyless Server中选择一个Keyless Server建立连接,被边缘节点选择的KeylessServer根据从所述证书中心获取的私钥,对报文进行解密或签名,将解密或签名后的报文发送给所述边缘节点,边缘节点接收所述Keyless Server发送的解密或签名后的报文,完成握手过程。采用硬件加密的证书中心存储密钥,提高了密钥的安全性。Keyless Server部署在CDN网络中,降低远程通信的时长,缩短SSL握手的延时,降低客户的运维成本。对不同Keyless Server进行权重配置,做到负载均衡的目的,在请求数量巨大时,也能保证处理的效率。Keyless Server将要使用的密钥存储在内存中而不是存储在磁盘,既保证了安全性又提高私钥的读取效率。多台Keyless Server同时工作可防止单台Keyless Server故障或断开连接时影响整个系统的稳定性和服务性能。边缘节点与Keyless Server上的长连接配置能够减少握手环节,提高传输效率。解决了客户侧部署Keyless服务器带来的效率低下、成本高的问题,实现了高效高稳定性的HTTPs解密。
上面描述的内容可以单独地或者以各种方式组合起来实施,而这些变型方式都在本发明的保护范围之内。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制。尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (29)
1.一种以安全为目标的超文本传输协议通道HTTPs握手方法,其特征在于,在内容分发网络CDN内部署有至少两台无密钥加载服务器Keyless Server和一个存储至少一个私钥的证书中心,该方法包括:
边缘节点在接收到用户的安全套接层SSL/安全传输层TLS握手请求时,从所述至少两个Keyless Server中选择一个Keyless Server建立连接;
接收所述Keyless Server发送的解密或签名后的报文。
2.根据权利要求1所述的HTTPs握手方法,其特征在于,在CDN内部署Keyless Server具体为在每个边缘节点内部署至少两台Keyless Server。
3.根据权利要求1或2所述的HTTPs握手方法,其特征在于,该方法还包括:
针对所述边缘节点,配置各个Keyless Server的权重信息,以指示所述边缘节点根据所述权重信息选择Keyless Server。
4.根据权利要求1所述的HTTPs握手方法,其特征在于,该方法还包括:
设置所述边缘节点与所述Keyless Server的长连接时间,指示所述边缘节点在与所述Keyless Server建立连接时依照所述长连接时间建立长连接。
5.根据权利要求3所述的HTTPs握手方法,其特征在于,该方法还包括:
所述边缘节点在当前连接的Keyless Server故障时,根据所述权重信息,选择其他Keyless Server进行连接。
6.一种HTTPs握手方法,其特征在于,在CDN内部署有至少两台Keyless Server和一个存储至少一个私钥的证书中心,该方法包括:
被边缘节点选择的Keyless Server根据从所述证书中心获取的私钥,对报文进行解密或签名;
所述Keyless Server将解密或签名后的报文发送给所述边缘节点。
7.根据权利要求6所述的HTTPs握手方法,其特征在于,该方法还包括:
所述至少两个Keyless Server分别与所述证书中心建立HTTPs协议加密连接,预先按需读取私钥。
8.根据权利要求6所述的HTTPs握手方法,其特征在于,该方法还包括:
所述Keyless Server将自所述证书中心读取的私钥存储在内存中。
9.根据权利要求6所述的HTTPs握手方法,其特征在于,该方法还包括:
在至少一个Keyless Server上安装硬件加速卡。
10.一种HTTPs握手方法,其特征在于,在CDN内部署有至少两台Keyless Server和一个存储至少一个私钥的证书中心,该方法包括:
所述证书中心接收Keyless Server读取私钥的请求;
所述证书中心从本地存储中提取与所述Keyless Serve对应的私钥,向所述KeylessServer返回所述私钥。
11.根据权利要求10所述的HTTPs握手方法,其特征在于,该方法还包括:
所述证书中心使用芯片对私钥进行硬件加密,将加密后的私钥存放于本地的存储介质中。
12.一种HTTPs握手装置,其特征在于,包括:
选择模块,用于在接收到用户的安全套接层SSL/TLS握手请求时,从CDN内部署的至少两个Keyless Server中选择一个Keyless Server建立连接;
信息接收模块,用于接收所述Keyless Server发送的解密或签名后的报文。
13.根据权利要求12所述的HTTPs握手装置,其特征在于,该装置还包括:
配置模块,用于接收对各个Keyless Server权重信息的配置文件,以指示所述选择模块根据所述权重信息选择Keyless Server。
14.根据权利要求12或13所述的HTTPs握手装置,其特征在于,
所述配置模块,还用于接收对边缘节点与所述Keyless Server的长连接时间的设置,以指示所述选择模块在与所述Keyless Server建立连接时依照所述长连接时间建立长连接。
15.根据权利要求12或13所述的HTTPs握手装置,其特征在于,
所述选择模块,还用于在当前连接的Keyless Server故障时,按照所述权重信息,选择其他Keyless Server进行连接。
16.一种HTTPs握手装置,其特征在于,包括:
解密模块,用于根据从CDN中部署的证书中心获取的私钥,对边缘节点接收的报文进行解密或签名;
信息发送模块,用于将解密或签名后的报文发送给所述边缘节点。
17.根据权利要求16所述的HTTPs握手装置,其特征在于,该装置还包括:
密钥获取模块,用于与证书中心建立HTTPs协议加密连接,预先按需读取私钥。
18.根据权利要求16所述的HTTPs握手装置,其特征在于,该装置还包括:
存储模块,用于将自所述证书中心读取的私钥存储在内存中。
19.一种HTTPs握手装置,其特征在于,包括:
信息接收模块,用于接收CDN中部署的至少两台Keyless Server中任一KeylessServer发送的读取私钥的请求;
密钥下发模块,用于从本地存储中提取与所述Keyless Serve对应的私钥,向所述Keyless Server返回所述私钥。
20.根据权利要求19所述的HTTPs握手装置,其特征在于,该装置还包括:
存储模块,用于使用芯片对私钥进行硬件加密,将加密后的私钥存放于本地的存储介质中。
21.一种HTTPs握手系统,包含至少一个CDN的边缘节点,其特征在于,该系统还包含部署于所述CDN中的至少两台Keyless Server和一个存储至少一个私钥的证书中心;
所述边缘节点,用于在接收到用户的安全套接层SSL/TLS握手请求时,从所述至少两个Keyless Server中选择一个Keyless Server建立连接,接收所述Keyless Server发送的解密或签名后的报文;
所述Keyless Server,用于根据从所述证书中心获取的私钥,对报文进行解密或签名,将解密或签名后的报文发送给所述边缘节点;
所述证书中心,用于接收所述Keyless Server读取私钥的请求,从本地存储中提取与所述Keyless Serve对应的私钥,向所述Keyless Server返回所述私钥。
22.根据如权利要求21所述的HTTPs握手系统,其特征在于,在每个边缘节点内部署有至少两台Keyless Server,所述至少两台Keyless Server为所在的边缘节点提供服务。
23.根据权利要求21或22所述的HTTPs握手系统,其特征在于,
所述边缘节点,还用于配置各个Keyless Server的权重信息,以指示所述边缘节点根据所述权重信息选择Keyless Server。
24.根据权利要求21所述的HTTPs握手系统,其特征在于,
所述边缘节点,还用于设置与所述Keyless Server的长连接时间,在与所述KeylessServer建立连接时依照所述长连接时间建立长连接。
25.根据权利要求23所述的HTTPs握手系统,其特征在于,
所述边缘节点,还用于在当前连接的Keyless Server故障时,根据所述权重信息,选择其他Keyless Server进行连接。
26.根据权利要求21所述的HTTPs握手方法,其特征在于,
所述Keyless Server,还用于与所述证书中心建立HTTPs协议加密连接,预先按需读取私钥。
27.根据权利要求21所述的HTTPs握手系统,其特征在于,
所述Keyless Server,还用于将自所述证书中心读取的私钥存储在内存中。
28.根据权利要求21所述的HTTPs握手系统,其特征在于,在至少一个Keyless Server上安装有硬件加速卡。
29.根据权利要求21所述的HTTPs握手系统,其特征在于,
所述证书中心,还用于使用芯片对私钥进行硬件加密,将加密后的私钥存放于本地的存储介质中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710319670.3A CN107707517B (zh) | 2017-05-09 | 2017-05-09 | 一种HTTPs握手方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710319670.3A CN107707517B (zh) | 2017-05-09 | 2017-05-09 | 一种HTTPs握手方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107707517A true CN107707517A (zh) | 2018-02-16 |
| CN107707517B CN107707517B (zh) | 2018-11-13 |
Family
ID=61169505
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710319670.3A Active CN107707517B (zh) | 2017-05-09 | 2017-05-09 | 一种HTTPs握手方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107707517B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108200104A (zh) * | 2018-03-23 | 2018-06-22 | 网宿科技股份有限公司 | 一种进行ssl握手的方法和系统 |
| CN109150844A (zh) * | 2018-07-26 | 2019-01-04 | 网易(杭州)网络有限公司 | 确定数字证书的方法、装置和系统 |
| CN110324365A (zh) * | 2018-03-28 | 2019-10-11 | 网易(杭州)网络有限公司 | 无密钥前端集群系统、应用方法、存储介质、电子装置 |
| CN112564912A (zh) * | 2020-11-24 | 2021-03-26 | 北京金山云网络技术有限公司 | 建立安全连接的方法、系统、装置和电子设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101296238A (zh) * | 2008-06-17 | 2008-10-29 | 杭州华三通信技术有限公司 | 一种保持安全套接层会话持续性的方法及设备 |
| US20120089700A1 (en) * | 2010-10-10 | 2012-04-12 | Contendo, Inc. | Proxy server configured for hierarchical caching and dynamic site acceleration and custom object and associated method |
| US20130138957A1 (en) * | 2011-11-30 | 2013-05-30 | Microsoft Corporation | Migrating authenticated content towards content consumer |
| CN104081711A (zh) * | 2011-12-16 | 2014-10-01 | 阿卡麦科技公司 | 在不用局部可访问的私有密钥的情况下终止ssl连接 |
| CN105871797A (zh) * | 2015-11-19 | 2016-08-17 | 乐视云计算有限公司 | 客户端与服务器进行握手的方法、装置及系统 |
| CN106341417A (zh) * | 2016-09-30 | 2017-01-18 | 贵州白山云科技有限公司 | 一种基于内容分发网络的https加速方法和系统 |
| CN106411893A (zh) * | 2016-09-30 | 2017-02-15 | 成都知道创宇信息技术有限公司 | 一种https服务的部署方法 |
-
2017
- 2017-05-09 CN CN201710319670.3A patent/CN107707517B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101296238A (zh) * | 2008-06-17 | 2008-10-29 | 杭州华三通信技术有限公司 | 一种保持安全套接层会话持续性的方法及设备 |
| US20120089700A1 (en) * | 2010-10-10 | 2012-04-12 | Contendo, Inc. | Proxy server configured for hierarchical caching and dynamic site acceleration and custom object and associated method |
| US20130138957A1 (en) * | 2011-11-30 | 2013-05-30 | Microsoft Corporation | Migrating authenticated content towards content consumer |
| CN104081711A (zh) * | 2011-12-16 | 2014-10-01 | 阿卡麦科技公司 | 在不用局部可访问的私有密钥的情况下终止ssl连接 |
| EP2792102A1 (en) * | 2011-12-16 | 2014-10-22 | Akamai Technologies, Inc. | Terminating ssl connections without locally-accessible private keys |
| CN105871797A (zh) * | 2015-11-19 | 2016-08-17 | 乐视云计算有限公司 | 客户端与服务器进行握手的方法、装置及系统 |
| CN106341417A (zh) * | 2016-09-30 | 2017-01-18 | 贵州白山云科技有限公司 | 一种基于内容分发网络的https加速方法和系统 |
| CN106411893A (zh) * | 2016-09-30 | 2017-02-15 | 成都知道创宇信息技术有限公司 | 一种https服务的部署方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108200104A (zh) * | 2018-03-23 | 2018-06-22 | 网宿科技股份有限公司 | 一种进行ssl握手的方法和系统 |
| US11303431B2 (en) | 2018-03-23 | 2022-04-12 | Wangsu Science & Technology Co., Ltd. | Method and system for performing SSL handshake |
| CN110324365A (zh) * | 2018-03-28 | 2019-10-11 | 网易(杭州)网络有限公司 | 无密钥前端集群系统、应用方法、存储介质、电子装置 |
| CN109150844A (zh) * | 2018-07-26 | 2019-01-04 | 网易(杭州)网络有限公司 | 确定数字证书的方法、装置和系统 |
| CN109150844B (zh) * | 2018-07-26 | 2021-07-27 | 网易(杭州)网络有限公司 | 确定数字证书的方法、装置和系统 |
| CN112564912A (zh) * | 2020-11-24 | 2021-03-26 | 北京金山云网络技术有限公司 | 建立安全连接的方法、系统、装置和电子设备 |
| WO2022111102A1 (zh) * | 2020-11-24 | 2022-06-02 | 北京金山云网络技术有限公司 | 建立安全连接的方法、系统、装置、电子设备和机器可读存储介质 |
| CN112564912B (zh) * | 2020-11-24 | 2023-03-24 | 北京金山云网络技术有限公司 | 建立安全连接的方法、系统、装置和电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107707517B (zh) | 2018-11-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102316094B (zh) | 用于移动设备的具有集成加速的多服务vpn网络客户端 | |
| CN107707517B (zh) | 一种HTTPs握手方法、装置和系统 | |
| CN101232372B (zh) | 认证方法、认证系统和认证装置 | |
| CN107579998A (zh) | 基于区块链、数字身份和智能合约的个人数据中心及数字身份认证方法 | |
| CN105516980B (zh) | 一种基于Restful架构的无线传感器网络令牌认证方法 | |
| US20090199277A1 (en) | Credential arrangement in single-sign-on environment | |
| US7260841B2 (en) | System and method for maintaining access to content in an encrypted network environment | |
| US20210144017A1 (en) | Method and apparatus for replacing identity certificate in blockchain network, storage medium, and computer device | |
| CN107113319A (zh) | 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器 | |
| CN108200155A (zh) | Docker镜像仓库的镜像同步方法和镜像同步系统 | |
| CN109413201A (zh) | Ssl通信方法、装置及存储介质 | |
| CN112199726A (zh) | 一种基于区块链的联盟信任分布式身份认证方法及系统 | |
| US8291214B2 (en) | Apparatus and method for secure remote processing | |
| CN107426339A (zh) | 一种数据连接通道的接入方法、装置及系统 | |
| US20220210130A1 (en) | Method and apparatus for maintaining a resilient vpn connection | |
| CN105183402B (zh) | 数据存储方法 | |
| US11271945B2 (en) | Localized access control for authorized modifications of data using a cryptographic hash | |
| CN104426864B (zh) | 跨域远程命令的实现方法及系统 | |
| US7233981B2 (en) | System and method for multi-site load-balancing of encrypted traffic | |
| CN113132976B (zh) | 一种分布式无线通信配电网差动保护方法及系统 | |
| CN108377245A (zh) | 一种网络接入请求的优化认证方法及系统 | |
| CN108959908A (zh) | 一种与接入sdk的移动平台进行认证的方法、计算机设备及存储介质 | |
| EP2979435B1 (fr) | Procédé de traitement de donnés d'utilisateur d'un réseau social | |
| CN102256252A (zh) | 移动互联网中接入认证的安全模型实现方法 | |
| CN202309766U (zh) | 一种基于活动目录验证的在线服务系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100015 5 floor, block E, 201 IT tower, electronic city, 10 Jiuxianqiao Road, Chaoyang District, Beijing. Patentee after: Guizhou Baishan cloud Polytron Technologies Inc Address before: 100015 5 floor, block E, 201 IT tower, electronic city, 10 Jiuxianqiao Road, Chaoyang District, Beijing. Patentee before: Guizhou white cloud Technology Co., Ltd. |