CN108011888A - 一种实现证书重构的方法、装置及存储介质、程序产品 - Google Patents
一种实现证书重构的方法、装置及存储介质、程序产品 Download PDFInfo
- Publication number
- CN108011888A CN108011888A CN201711347561.9A CN201711347561A CN108011888A CN 108011888 A CN108011888 A CN 108011888A CN 201711347561 A CN201711347561 A CN 201711347561A CN 108011888 A CN108011888 A CN 108011888A
- Authority
- CN
- China
- Prior art keywords
- domain name
- certificate
- reconstruct
- server domain
- ssl
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Abstract
本申请公开了一种实现证书重构的方法,通过预先在重构证书数据库中保存有常用服务器域名对应的第一重构证书,当查询得到重构证书数据库中保存有客户端发送的SSL请求中的服务器域名对应的第一重构证书时,可以直接使用该第一重构证书与客户端建立SSL连接,无需在每次和客户端建立SSL连接时,都重新构建重构证书,免去了访问常用域名时每次重新构建证书的步骤,节约了SSL中间代理服务器的计算资源,同时大大提高了与客户端之间SSL连接的建立速度;另一方面,一个第一重构证书可以对应于多个常用服务器域名,从而可以节约重构证书的数量,进一步提升性能。本申请还公开了一种实现证书重构的装置。
Description
技术领域
本申请涉及通信技术领域,具体涉及一种实现证书重构的方法、装置及存储介质、程序产品。
背景技术
为了保护敏感数据在传送过程中的安全,可以应用SSL(Secure Sockets Layer,安全套接层)协议在客户端和服务器之间构造安全通道来进行数据传输。在SSL协议中,客户端与服务器之间交换的应用数据包都会使用会话加密予以保护,以保证客户端和服务器之间的通信不被攻击者窃听、攻击。但是另一方面,也使得第三方安全检测工具无法获取传输内容,无法对网络数据进行检测及阻断。
因此,为了获得SSL加密通信的内容,需要使用SSL中间代理服务器来完成对客户端与服务器之间交换数据的解密及加密操作。在传统技术中,SSL中间代理服务器可以以目标服务器身份,向客户端出示一个重构的数字证书,通过该重构证书与客户端建立SSL连接,同时,SSL中间代理服务器与目标服务器建立一个正常的SSL连接,从而使客户端与服务器之间的交换数据可以在SSL中间代理服务器中进行安全检测。但是,在传统方式中,SSL中间代理服务器每次与客户端建立SSL连接的过程中,均需要重新构建证书,重构证书会消耗大量计算资源,尤其是SSL中间代理服务器出现大量并发SSL连接时,会导致SSL中间代理服务器性能下降的问题。
发明内容
有鉴于此,本申请提供一种实现证书重构的方法、装置及存储介质、程序产品,以解决传统技术中SSL中间代理服务器重构证书会消耗大量计算资源的技术问题。
为解决上述问题,本申请实施例提供的技术方案如下:
一种实现证书重构的方法,建立或更新重构证书数据库,所述重构证书数据库中保存有至少一个第一重构证书,每个所述第一重构证书对应于至少一个满足第一条件的服务器域名,所述方法包括:
接收客户端发送的第一安全套接层SSL请求,获取所述第一SSL请求中的服务器域名;
查询所述重构证书数据库中是否存在所述第一SSL请求中的服务器域名对应的第一重构证书;
如果所述重构证书数据库中存在所述第一SSL请求中的服务器域名对应的第一重构证书,使用所述第一SSL请求中的服务器域名对应的第一重构证书与所述客户端建立SSL连接。
可选的,所述方法还包括:
如果所述重构证书数据库中不存在所述第一SSL请求中的服务器域名对应的第一重构证书,查询重构证书缓存中是否存在所述第一SSL请求中的服务器域名对应的第二重构证书;
如果重构证书缓存中存在所述第一SSL请求中的服务器域名对应的第二重构证书,使用所述第一SSL请求中的服务器域名对应的第二重构证书与所述客户端建立SSL连接;
如果重构证书缓存中不存在所述第一SSL请求中的服务器域名对应的第二重构证书,根据服务器SSL证书构建第二重构证书,使用所述第一SSL请求中的服务器域名对应的第二重构证书与所述客户端建立SSL连接,并将所述第一SSL请求中的服务器域名以及所述第一SSL请求中的服务器域名对应的第二重构证书添加到所述重构证书缓存中,所述服务器SSL证书是向服务器发送第二SSL请求后所述服务器发送的。
可选的,所述方法还包括:
如果所述重构证书数据库中不存在所述第一SSL请求中的服务器域名对应的重构证书,将所述第一SSL请求中的服务器域名在未命中域名列表中的访问次数加一。
可选的,所述建立或更新重构证书数据库,包括:
获取所述未命中域名列表中访问次数满足第二条件的一组服务器域名;
生成该组服务器域名对应的第一重构证书,将该组服务器域名对应的第一重构证书添加到所述重构证书数据库中,并将该组服务器域名从所述未命中域名列表中删除。
可选的,所述获取所述未命中域名列表中访问次数满足第二条件的一组服务器域名,包括:
将所述未命中域名列表中的服务器域名按照访问次数从高到低排序,当达到预设时长或者在所述未命中域名列表中排序前n位的服务器域名的访问总次数达到第一阈值时,将所述未命中域名列表中排序前n位的服务器域名作为访问次数满足第二条件的一组服务器域名,其中,n为大于1的整数。
可选的,所述获取所述未命中域名列表中访问次数满足第二条件的一组服务器域名,包括:
当所述未命中域名列表中的服务器域名的访问次数达到第二阈值时,将该服务器域名标记为常用服务器域名,当所述常用服务器域名达到n个,将n个所述常用服务器域名作为访问次数满足第二条件的一组服务器域名,其中,n为大于1的整数。
可选的,所述建立或更新重构证书数据库,包括:
当所述未命中域名列表中的服务器域名的访问次数达到第二阈值时,将该服务器域名添加到常用服务器域名列表中;
当所述常用服务器域名列表中的服务器域名每增加m个,生成所述常用服务器域名列表中的服务器域名对应的第一重构证书,将所述常用服务器域名列表中的服务器域名对应的第一重构证书更新到重构证书数据库中,直到常用服务器域名列表中的服务器域名达到n个,并将所述常用服务器域名列表中的服务器域名从将所述常用服务器域名列表以及所述未命中域名列表中删除,其中,m为大于或等于1的整数,n为大于1的整数,n大于m。
一种实现证书重构的装置,所述装置包括:
建立单元,用于建立或更新重构证书数据库,所述重构证书数据库中保存有至少一个第一重构证书,每个所述第一重构证书对应于至少一个满足第一条件的服务器域名,
接收单元,用于接收客户端发送的第一安全套接层SSL请求,获取所述第一SSL请求中的服务器域名;
查询单元,用于查询所述重构证书数据库中是否存在所述第一SSL请求中的服务器域名对应的第一重构证书;
使用单元,用于如果所述重构证书数据库中存在所述第一SSL请求中的服务器域名对应的第一重构证书,使用所述第一SSL请求中的服务器域名对应的第一重构证书与所述客户端建立SSL连接。
可选的,所述查询单元,还用于如果所述重构证书数据库中不存在所述第一SSL请求中的服务器域名对应的第一重构证书,查询重构证书缓存中是否存在所述第一SSL请求中的服务器域名对应的第二重构证书;
所述使用单元,还用于如果重构证书缓存中存在所述第一SSL请求中的服务器域名对应的第二重构证书,使用所述第一SSL请求中的服务器域名对应的第二重构证书与所述客户端建立SSL连接;
所述装置还包括:构建单元以及所述添加单元;
所述构建单元,用于如果重构证书缓存中不存在所述第一SSL请求中的服务器域名对应的第二重构证书,根据服务器SSL证书构建第二重构证书;
所述添加单元,用于将所述第一SSL请求中的服务器域名以及所述第一SSL请求中的服务器域名对应的第二重构证书添加到所述重构证书缓存中,所述服务器SSL证书是向服务器发送第二SSL请求后所述服务器发送的;
所述使用单元,还用于使用所述第一SSL请求中的服务器域名对应的第二重构证书与所述客户端建立SSL连接。
可选的,所述装置还包括:
访问次数记录单元,用于如果所述重构证书数据库中不存在所述第一SSL请求中的服务器域名对应的重构证书,将所述第一SSL请求中的服务器域名在未命中域名列表中的访问次数加一。
可选的,所述建立单元包括:
域名获取子单元,用于获取所述未命中域名列表中访问次数满足第二条件的一组服务器域名;
生成子单元,用于生成该组服务器域名对应的第一重构证书;
第一重构证书添加子单元,用于将该组服务器域名对应的第一重构证书添加到所述重构证书数据库中;
删除子单元,用于将该组服务器域名从所述未命中域名列表中删除。
可选的,所述域名获取子单元包括:
排序子单元,用于将所述未命中域名列表中的服务器域名按照访问次数从高到低排序;
第一确定子单元,用于当达到预设时长或者在所述未命中域名列表中排序前n位的服务器域名的访问总次数达到第一阈值时,将所述未命中域名列表中排序前n位的服务器域名作为访问次数满足第二条件的一组服务器域名,其中,n为大于1的整数。
可选的,所述域名获取子单元包括:
标记子单元,用于当所述未命中域名列表中的服务器域名的访问次数达到第二阈值时,将该服务器域名标记为常用服务器域名;
第二确定子单元,用于当所述常用服务器域名达到n个,将n个所述常用服务器域名作为访问次数满足第二条件的一组服务器域名,其中,n为大于1的整数。
可选的,所述建立单元包括:
域名添加子单元,用于当所述未命中域名列表中的服务器域名的访问次数达到第二阈值时,将该服务器域名添加到常用服务器域名列表中;
第一重构证书生成子单元,用于当所述常用服务器域名列表中的服务器域名每增加m个,生成所述常用服务器域名列表中的服务器域名对应的第一重构证书;
重构证书数据库更新子单元,用于将所述常用服务器域名列表中的服务器域名对应的第一重构证书更新到重构证书数据库中,直到常用服务器域名列表中的服务器域名达到n个;
域名删除子单元,用于将所述常用服务器域名列表中的服务器域名从将所述常用服务器域名列表以及所述未命中域名列表中删除,其中,m为大于或等于1的整数,n为大于1的整数,n大于m。
一种计算机可读存储介质,所述机算机可读存储介质中存储有指令,当所述指令在终端设备上运行时,使得所述终端设备执行上述的实现证书重构的方法。
一种计算机程序产品,所述计算机程序产品在终端设备上运行时,使得所述终端设备执行上述的实现证书重构的方法。
由此可见,本申请实施例具有如下有益效果:
本申请实施例预先在重构证书数据库中保存有常用服务器域名对应的第一重构证书,当查询得到重构证书数据库中保存有客户端发送的SSL请求中的服务器域名对应的第一重构证书时,可以直接使用该第一重构证书与客户端建立SSL连接,无需在每次和客户端建立SSL连接时,都重新构建重构证书,免去了访问常用域名时每次重新构建证书的步骤,节约了SSL中间代理服务器的计算资源,同时大大提高了与客户端之间SSL连接的建立速度;另一方面,一个第一重构证书可以对应于多个常用服务器域名,从而可以节约重构证书的数量,进一步提升性能。
附图说明
图1为本申请实施例提供的示例性应用场景的框架示意图;
图2为本申请实施例提供的一示例性应用场景的交互示意图;
图3为本申请实施例提供的一种实现证书重构方法实施例的流程图;
图4为本申请实施例提供的一种建立或更新重构证书数据库过程的流程示意图;
图5为本申请另一实施例提供的一种建立或更新重构证书数据库过程的流程示意图;
图6为本申请实施例提供的一种实现证书重构的装置的结构示意图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请实施例作进一步详细的说明。
在传统技术中,为了获得SSL加密通信的内容,SSL中间代理服务器可以以目标服务器身份,向客户端出示一个重构的数字证书,通过该重构证书与客户端建立SSL连接,同时,SSL中间代理服务器与目标服务器建立一个正常的SSL连接,从而使客户端与服务器之间的交换数据可以在SSL中间代理服务器中进行安全检测。
然而,SSL中间代理服务器每次与客户端建立SSL连接的过程中,均需要重新构建证书,重构证书会消耗大量计算资源,尤其是SSL中间代理服务器出现大量并发SSL连接时,会导致SSL中间代理服务器性能下降的问题。
有鉴于此,本申请实施例提供了一种实现证书重构的方法,通过预先在重构证书数据库中保存有常用服务器域名对应的第一重构证书,当查询得到重构证书数据库中保存有客户端发送的SSL请求中的服务器域名对应的第一重构证书时,可以直接使用该第一重构证书与客户端建立SSL连接,无需在每次和客户端建立SSL连接时,都重新构建重构证书,免去了访问常用域名时每次重新构建证书的步骤,节约了SSL中间代理服务器的计算资源,同时大大提高了与客户端之间SSL连接的建立速度;另一方面,一个第一重构证书可以对应于多个常用服务器域名,从而可以节约重构证书的数量,进一步提升性能。
参见图1所示,示出了本申请实施例的一示例性应用场景的框架示意图。其中,用户可以使用客户端10发送访问目标网站的SSL请求,该请求并不会直接被目标网站对应的目标服务器20所接收,而是通过SSL中间代理服务器30分别与客户端10和目标服务器20建立SSL连接。其中,SSL中间代理服务器30在与客户端10建立SSL连接时,是通过目标服务器20的身份建立的,为此,SSL中间代理服务器30可以向客户端10示出一个重构证书。为使重构证书可以通过客户端的检验可以预先部署将签发该重构证书的CA(CertificationAuthority,电子认证机构)的根证书进入客户端的受信任列表。作为一种可能的实现方式,该重构证书可以是从重构证书数据库40中获取的。
如此,可以避免每次建立客户端10与SSL中间代理服务器30的SSL连接时,均需要重新构建证书的步骤,节约了SSL中间代理服务器的计算资源,同时大大提高了与客户端之间SSL连接的建立速度。此外,本申请实施例中的重构证书可以对应多个常用服务器域名,从而可以节约重构证书的数量,进一步提升性能。
为了便于理解后续实施例,简要说明SSL中间代理服务器30分别与客户端10和目标服务器20建立SSL连接的过程。
重构证书中包括公钥和私钥,客户端10在检验重构证书后,会使用重构证书公钥加密自身产生的会话密钥,经过SSL中间代理服务器30向目标服务器20发送加密的会话密钥。SSL中间代理服务器30收到使用重构证书公钥加密的会话密钥后,使用重构证书私钥即可解密恢复出明文会话密钥,由此SSL中间代理服务器30可以与客户端10使用该会话密钥进行通信。
SSL中间代理服务器30在以服务器身份与客户端10建立SSL连接的同时,会与目标服务器20建立一个正常的SSL连接,也即SSL中间代理服务器30可以通过目标服务器20反馈的服务器SSL证书中的公钥加密会话密钥,目标服务器20通过服务器SSL证书中的私钥解密会话密钥,SSL中间代理服务器30与目标服务器20继续通过上述会话密钥通信。客户端10之后发出的经过会话密钥加密的数据包,SSL中间代理服务器30都会先通过会话密钥解密成明文,进行安全检测,然后再使用会话密钥加密发给目标服务器20。服务器20返回给客户端10的数据,SSL中间代理服务器30也是照此处理。这样在存在SSL中间代理服务器30时,客户端10与目标服务器20的通信实际上是由两段SSL安全连接串联起来的。
图2示出了本申请实施例的一示例性应用场景的交互示意图。以某一个客户端与服务器进行交互的过程为例,对本申请实施例提供的实现证书重构的过程进行说明。客户端可以发送访问目标服务器的第一SSL请求,在客户端的角度,SSL中间代理服务器相当于目标服务器,SSL中间代理服务器以目标服务器的身份接收客户端发送的第一SSL请求,SSL中间代理服务器可以获取第一SSL请求中的服务器域名,查询重构证书数据库中是否存在第一SSL请求中的服务器域名对应的第一重构证书,如果重构证书数据库中存在第一SSL请求中的服务器域名对应的第一重构证书,使用第一SSL请求中的服务器域名对应的第一重构证书与客户端建立SSL连接。
此外,站在目标服务器的角度,SSL中间代理服务器相当于客户端,还可以以客户端的身份向目标服务器发送第二SSL请求,目标服务器可以返回服务器SSL证书,SSL中间代理服务器可以根据服务器SSL证书与目标服务器建立SSL连接。基于中间代理服务器与客户端和目标服务器的连接关系,实现了客户端与目标服务器的交互。需要说明的是,SSL中间代理服务器与目标服务器的交互过程并未在图2中示出。
本申请实施例中的客户端10可以是现有的、正在研发的或将来研发的、能够通过任何形式的有线和/或无线连接(例如,Wi-Fi、LAN、蜂窝、同轴电缆等)实现与目标服务器20交互的任何用户设备,包括但不限于:现有的、正在研发的或将来研发的智能手机、非智能手机、平板电脑、膝上型个人计算机、桌面型个人计算机、小型计算机、中型计算机、大型计算机等。
由上可知,通过在重构证书数据库中查找与服务器域名相对应的第一重构证书,而不是每次建立客户端与SSL中间代理服务器时均执行证书重构步骤,大大节省了SSL中间代理服务器的计算资源,同时大大提高了与客户端之间SSL连接的建立速度。并且,由于第一重构证书可以对应多个常用服务器域名,从而可以节约重构证书的数量,进一步提升性能。
以下将结合附图对本申请实施例提供的实现证书重构的方法进行详细说明。
参见图3所示,示出了本申请实施例中提供的一实现证书重构的方法实施例,该证书重构方法实施例可以应用于SSL中间代理服务器,在该实施例中,可以预先建立或更新重构证书数据库,重构证书数据库中保存有至少一个第一重构证书,每个第一重构证书对应于至少一个满足第一条件的服务器域名,该方法可以包括以下步骤:
S301:接收客户端发送的第一SSL请求,获取第一SSL请求中的服务器域名。
在本步骤中,由于客户端的目的在于和服务器建立SSL连接,以实现客户端和服务器的信息交互,因此,客户端发送的第一SSL请求中携带有服务器域名。而客户端和服务器实际是通过SSL中间代理服务器进行交互的,即SSL中间代理服务器分别与客户端以及服务器建立SSL连接,因此,SSL中间代理服务器可以接收客户端发送的第一SSL请求,进一步地可以获取第一SSL请求中的服务器域名。
在一些可能的实现方式中,可以从第一SSL请求的请求报文中获取服务器域名,或者可以获取服务器的IP地址,将IP地址解析得到服务器域名。为了便于理解,举例说明。用户通过客户端发送了一个访问新浪新闻的HTTPS(Hyper Text Transfer Protocol overSecure Socket Layer,超文本传输安全协议)请求,SSL中间代理服务器接收到该请求报文后,可以从报文的请求行的URL(UniformResource Locator,统一资源定位符)字段,也即“/news.sina.com.cn/china/xlxw/2017-11-29/doc-ifypathz7143708.shtml”中提取域名“news.sina.com.cn”。
S302:查询重构证书数据库中是否存在第一SSL请求中的服务器域名对应的第一重构证书。
可以理解,为了建立客户端与SSL中间代理服务器的SSL连接,SSL中间代理服务器可以返回一个重构证书,以便客户端对SSL中间代理服务器进行验证,避免该请求报文被第三方劫持所造成的安全隐患。
在本步骤中,为了避免每次建立客户端与SSL中间代理服务器的SSL连接均需要重构证书,导致大量计算资源消耗,可以查询重构证书数据库中是否存在第一SSL请求中的服务器域名对应的第一重构证书。其中,重构证书数据库可以预先建立,还可以不断更新。重构证书数据库中保存有至少一个第一重构证书。
每个第一重构证书对应于至少一个满足第一条件的服务器域名。作为一个示例,可以将常用的服务器域名作为满足第一条件的服务器域名。例如,可以将用户访问比较频繁的百度、腾讯等网站的域名作为满足第一条件的服务器域名,进一步地,可以预先设置第一重构证书对应于用户访问较为频繁的服务器域名。作为本申请实施例的扩展,第一条件还可以包括访问次数条件。可以为满足访问次数条件的一个或多个服务器域名生成第一重构证书,以便在访问这些服务器时,可以调用重构证书数据库中对应的第一重构证书,而不必重新执行证书重构步骤。
第一重构证书对应多个服务器域名时,还可以考虑传输开销,以确定第一重构证书对应的服务器域名的数量。作为一个示例,一个第一重构证书对应的服务器域名的数量可以为128。需要说明的是,第一重构证书对应的服务器域名的数量可以不固定。例如,重构证书数据库中可以包括至少两个第一重构证书,其中一个对应的服务器域名的数量为128,另一个第一重构证书对应的服务器域名的数量可以为120。
第一重构证书的生成,以及重构证书数据库建立或更新的过程将在后文进行详细说明,这里不再详述。
S303:如果重构证书数据库中存在第一SSL请求中的服务器域名对应的第一重构证书,使用第一SSL请求中的服务器域名对应的第一重构证书与客户端建立SSL连接。
在本步骤中,如果重构证书数据库中存在第一SSL请求中的服务器域名对应的第一重构证书,可以直接从重构证书数据库中调用该第一重构证书,与客户端建立SSL连接,实现客户端与SSL中间代理服务器的交互。进一步地,当服务器与SSL中间代理服务器根据服务器SSL证书建立一个正常的SSL连接后,客户端与服务器就可以通过SSL中间代理服务器建立连接,实现安全的信息交互。
在一些可能的实现方式中,如果重构证书数据库中不存在第一SSL请求中的服务器域名对应的第一重构证书,可以查询重构证书缓存中是否存在第一SSL请求中的服务器域名对应的第二重构证书;如果重构证书缓存中存在第一SSL请求中的服务器域名对应的第二重构证书,使用第一SSL请求中的服务器域名对应的第二重构证书与客户端建立SSL连接。
如果重构证书缓存中不存在第一SSL请求中的服务器域名对应的第二重构证书,根据服务器SSL证书构建第二重构证书,使用第一SSL请求中的服务器域名对应的第二重构证书与客户端建立SSL连接,并将第一SSL请求中的服务器域名以及第一SSL请求中的服务器域名对应的第二重构证书添加到重构证书缓存中。
可以理解,在一些情况下,针对某些网站,用户访问并不频繁,但在某一段时间内访问次数较多,对于临时多次访问域名可以通过重构证书缓存避免每次均重新构建重构证书。例如,在开学季时,学生需要登录学校的官方网站进行学籍注册,注册过程中需要多次由客户端访问学校的官方网站的服务器,在该过程中如果SSL中间代理服务器针对每次访问均重构证书,显然会造成大量计算资源消耗,而若将对应的重构证书存储在重构证书数据库中,则在开学季外的其他时间段内,该重构证书的利用率会显著降低,占用了重构证书数据库中的资源。为此,可以在SSL中间代理服务器的缓存中存储与学校官方网站的服务器域名对应的第二重构证书,方便学生在进行学籍注册时直接使用,而不必在每次建立SSL过程中均重新构建。
第二重构证书可以是由SSL中间代理服务器签发的,与第一SSL请求中的服务器域名对应的SSL证书相同的证书。第二重构证书可以根据服务器域名创建,也可以与真实的服务器SSL证书一致,除了签发机构变更为SSL中间代理服务器,其它部分如有效期、主题以及公钥算法等与真实服务器SSL证书一致。也就是说,第二重构证书可以根据服务器SSL证书生成。作为一种可能的实现方式,SSL中间代理服务器可以向服务器发送第二SSL请求,服务器接收到该请求后,可以返回服务器SSL证书给SSL中间代理服务器,以便SSL中间代理服务器根据服务器SSL证书生成第二重构证书。
需要说明的是,第二重构证书可以是首次访问网站服务器时生成的,并且存储在重构证书缓存中,而重构证书缓存的存储空间是有限的,当存储空间用尽,在先生成的第二重构证书可以被在后生成的第二重构证书所覆盖。也就是说,第二重构证书的生存时间是有限的。当第二重构证书被覆盖后,再次访问网站服务器时需要重新生成第二重构证书。为了提高用户体验,可以根据用户的使用习惯确定一个合适的重构证书缓存的存储空间。
以上为本申请实施例提供的一种实现证书重构的方法的具体实现方式,预先在重构证书数据库中保存有常用服务器域名对应的第一重构证书,当查询得到重构证书数据库中保存有客户端发送的SSL请求中的服务器域名对应的第一重构证书时,可以直接使用该第一重构证书与客户端建立SSL连接,无需在每次和客户端建立SSL连接时,都重新构建重构证书,免去了访问常用域名时每次重新构建证书的步骤,节约了SSL中间代理服务器的计算资源,同时大大提高了与客户端之间SSL连接的建立速度;另一方面,一个第一重构证书可以对应于多个常用服务器域名,从而可以节约重构证书的数量,进一步提升性能。
在上述实施例中,重构证书数据库可以不断更新,也就是可以在重构证书数据库中添加新的第一重构证书。在一些可能的实现方式中,如果重构证书数据库中不存在第一SSL请求中的服务器域名对应的第一重构证书,可以将第一SSL请求中的服务器域名在未命中域名列表中的访问次数加一。作为一种可能的实现方式,可以先判断第一SSL请求中的服务器域名是否在未命中域名列表中,如果在,则将该服务器域名的访问次数加一,如果不在,可以先将第一SSL请求中的服务器域名添加到未命中域名列表中,再将该服务器域名的访问次数加一。作为本申请实施例的扩展,可以根据未命中域名列表中服务器域名的访问次数确定是否生成第一重构证书,并更新至重构证书数据库中。
建立或更新重构证书数据库可以有多种实现方式。以下将结合实例,说明本申请实施例中建立或更新重构证书数据库的过程。
参见图4所示,在本申请一些可能的方式中,根据未命中域名列表中服务器域名的访问次数,建立或更新重构证书数据库,可以包括如下步骤:
S401:获取未命中域名列表中访问次数满足第二条件的一组服务器域名。
未命中域名列表可以理解为第一SSL请求中的服务器域名在重构证书数据库中未命中的域名列表。可以从中获取访问较为频繁的一组服务器域名,用于生成第一重构证书。在本步骤中,可以将访问较为频繁的一组服务器域名确定为访问次数满足第二条件的一种服务器域名。
在一些可能的实现方式中,可以将未命中域名列表中的服务器域名按照访问次数从高到低排序,当达到预设时长或者在未命中域名列表中排序前n位的服务器域名的访问总次数达到第一阈值时,将未命中域名列表中排序前n位的服务器域名作为访问次数满足第二条件的一组服务器域名。其中,预设时长、第一阈值可以根据经验值设置,n可以视为第一重构证书对应的服务器域名的数量,可以为大于1的整数,可以结合传输开销确定n的取值。
为了便于理解,举例说明。在该示例中,n可以为128,预设时长可以为24h,第一阈值可以为10000次。若未命中域名列表当前共有1000个服务器域名,对这1000个服务器域名根据访问次数由高到低进行排序,若前128个服务器域名的访问次数达到10000次时,可以将排名前128位的服务器域名确定为访问次数满足第二条件的一组服务器域名。此外,若未命中域名列表中的服务器域名的访问时长达到24h,也可以访问次数排名前128位的服务器域名确定为访问次数满足第二条件的一组服务器域名。
在另一些可能的实现方式中,当未命中域名列表中的服务器域名的访问次数达到第二阈值时,可以将该服务器域名标记为常用服务器域名,当常用服务器域名达到n个,将n个常用服务器域名作为访问次数满足第二条件的一组服务器域名。其中,第二阈值可以根据经验值设置,n可以视为第一重构证书对应服务器域名的数量,可以为大于1的整数,可以考虑传输开销确定一个合适的取值。
为了便于理解,举例说明。在该示例中,n可以为128,第二阈值可以为100次。当未命中域名列表中非服务器域名的访问次数达到100次时,可以将该服务器域名标记为常用服务器域名,若常用服务器域名达到128个,则将这n个常用服务器域名作为访问次数满足第二条件的一组服务器域名。
以上仅为获取未命中域名列表中访问次数满足第二条件的一组服务器域名的一些示例,本申请实施例对获取方式不做限定,还可以采用其他方式获取满足第二条件的一组服务器域名。
S402:生成该组服务器域名对应的第一重构证书,将该组服务器域名对应的第一重构证书添加到重构证书数据库中,并将该组服务器域名从未命中域名列表中删除。
在S401中获取到访问次数满足第二条件的一组服务器域名后,可以根据该组服务器域名生成对应的第一重构证书。为了方便后续访问时使用该第一重构证书,可以将生成的第一重构证书添加到重构证书数据库中。针对该组服务器域名,在将生成的第一重构证书添加到重构证书数据库中之后,相当于该组服务器域名已被命中,可以将该组服务器域名从未命中列表中删除。
以上为本申请实施例提供的一种建立或更新重构证书数据库的具体实现方式,通过获取未命中域名列表中访问次数满足第二条件的一组服务器域名,并生成该组服务器域名对应的第一重构证书,可以减少重构证书的数量。将该组服务器域名对应的第一重构证书添加到重构证书数据库中,可以实现针对用户访问较为频繁的服务器,直接调用重构证书数据库中服务器域名对应的第一重构证书,避免了每次建立SSL连接时均需要重新构建证书的步骤,节约了SSL中间代理服务器的计算资源,同时大大提高了与客户端之间SSL连接的建立速度。
在图4所示的实施例中,第一重构证书是在获取到一组满足第二条件的服务器域名后一次性生成并添加到重构证书数据库中的。可以理解,第一重构证书也可以是获取到一定数量符合条件的服务器域名后生成,然后对第一重构证书更新,直到第一重构证书对应的服务器域名的数量满足要求后,再将其添加到重构证书数据库中。
参见图5所示,在本申请一些可能的方式中,根据未命中域名列表中服务器域名的访问次数,建立或更新重构证书数据库,可以包括如下步骤:
S501:当未命中域名列表中的服务器域名的访问次数达到第二阈值时,将该服务器域名添加到常用服务器域名列表中;
服务器域名是否为常用服务器域名可以通过访问次数进行衡量。针对未命中域名列表中的服务器域名,当服务器域名的访问次数达到第二阈值,可以将该服务器域名添加到常用服务器域名列表中。其中,第二阈值可以根据经验值设定。例如,第二阈值为100,未命中域名列表中某一服务器域名A的访问次数为152,另一服务器域名B的访问次数为87,则将服务器域名A添加到常用服务器域名列表中,而服务器域名B不添加到常用服务器域名列表中。
S502:当常用服务器域名列表中的服务器域名每增加m个,生成常用服务器域名列表中的服务器域名对应的第一重构证书,直到常用服务器域名列表中的服务器域名达到n个,将常用服务器域名列表中的服务器域名对应的第一重构证书更新到重构证书数据库中,并将常用服务器域名列表中的服务器域名从将常用服务器域名列表以及未命中域名列表中删除,其中,m为大于或等于1的整数,n为大于1的整数,n大于m。
随着用户的访问记录增加,常用服务器域名列表中的服务器域名可以不断更新。在某些情况下,常用服务器域名列表中服务器域名的数量与第一重构证书对应的服务器域名数量相差较大。如果不生成第一重构证书,则每次建立SSL连接时,均需要重新构建与这些常用服务器域名相对应的证书,造成较大的计算资源消耗,若仅针对这些常用服务器域名生成第一重构证书并添加到重构证书数据库中,则会导致一定的传输资源浪费。为此,可以先针对一定数量的常用服务器域名生成第一重构证书,然后随着常用服务器域名列表中的服务器域名增加,对第一重构证书进行更新,使得第一重构证书能够对应更多的常用服务器域名,当第一重构证书对应的常用服务器域名满足要求后,将第一重构证书添加到重构证书数据库中,并将常用服务器域名列表中的常用服务器域名从常用服务器域名列表和未命中列表中删除。
在一些可能的实现方式中,可以在常用服务器域名列表中的服务器域名每增加m个时,生成常用服务器域名列表中的服务器域名对应的第一重构证书,直到常用服务器域名列表中的服务器域名达到n个,则将常用服务器域名列表中的服务器域名对应的第一重构证书更新到重构证书数据库中,并将常用服务器域名列表中的服务器域名从将常用服务器域名列表以及未命中域名列表中删除。其中,n可以视为第一重构证书能够对应的服务器域名的数量。n和m可以根据经验值进行设置。
为了便于理解,举例说明。在本示例中,n可以为128,m可以为8,当常用服务器域名列表中的服务器域名每增加8个时,可以生成对应的第一重构证书,具体为当服务器域名为8个时,生成对应于这8个服务器域名的第一重构证书,当服务器域名为16个时,生成对应于这16个服务器域名的第一重构证书,依次类推,当服务器域名为128个时,生成对应于这128个服务器域名的第一重构证书。可以将对应这128个服务器域名的第一重构证书添加到重构证书数据库中,并将这128个服务器域名从常用服务器域名列表以及未命中域名列表中删除。
需要说明的是,在该示例中,在后生成的第一重构证书由于包括了在先生成的第一重构证书所对应的服务器域名,因此,在后生成的第一重构证书在存储空间中可以替换或者说覆盖在先生成的第一重构证书。
还需要说明的是,在更新第一重构证书的过程中,m的数量可以是固定的,也可以是变化的,例如,当服务器域名为8个时,生成对应于这8个服务器域名的第一重构证书,当服务器域名为20个时,生成对应于这20个服务器域名的第一重构证书。这两个第一重构证书生成过程中,常用服务器域名增加的数量分别为8和12。
此外,在更新重构证书数据库的过程中,第一重构证书能够对应的服务器域名的数量可以是固定的,也可以是变化的。举例说明,当常用服务器域名列表中的服务器域名达到128个时,可以生成一个对应这128个服务器域名的第一重构证书,将该第一重构证书添加到重构证书数据库中,并在常用服务器域名列表和未命中域名列表中删除这128个服务器域名。在删除上述服务器域名以后,随着用户的访问记录增加,常用服务器域名列表和未命中域名列表不断更新,当常用服务器域名列表中服务器域名达到125个时,可以生成另一个第一重构证书对应这125个服务器域名。
在上述实施例的基础上,本领域技术人员可以很容易地想到,也可以在常用服务器域名列表中的服务器域名每增加m个时,生成常用服务器域名列表中的服务器域名对应的第一重构证书,将第一重构证书添加到重构证书数据库中,直到常用服务器域名列表中的服务器域名达到n个时,将常用服务器域名列表中的服务器域名从将常用服务器域名列表以及未命中域名列表中删除。
以上为本申请实施例提供的另一种建立或更新重构证书数据库的具体实现方式,根据访问次数确定常用服务器域名,当常用服务器域名每增加m个时,生成对应的第一重构证书,可以避免在常用服务器域名数量不及第一重构证书所能够对应的服务器域名最大数量时,无有效证书可用的情况发生,避免了在更新重构证书数据库之前,需要反复构建证书的情况,节约了SSL中间代理服务器的计算资源,同时大大提高了与客户端之间SSL连接的建立速度。
以上为本申请实施例提供的一种实现证书重构的方法的具体实现方式,基于此,本申请实施例还提供了一种实现证书重构的装置。
图6所示为本申请实施例提供的一种实现证书重构的装置的结构示意图,请参照图6,该装置包括:
建立单元601,用于建立或更新重构证书数据库,重构证书数据库中保存有至少一个第一重构证书,每个第一重构证书对应于至少一个满足第一条件的服务器域名;
接收单元602,用于接收客户端发送的第一安全套接层SSL请求,获取第一SSL请求中的服务器域名;
查询单元603,用于查询重构证书数据库中是否存在第一SSL请求中的服务器域名对应的第一重构证书;
使用单元604,用于如果重构证书数据库中存在第一SSL请求中的服务器域名对应的第一重构证书,使用第一SSL请求中的服务器域名对应的第一重构证书与客户端建立SSL连接。
可选的,查询单元603还用于,如果重构证书数据库中不存在第一SSL请求中的服务器域名对应的第一重构证书,查询重构证书缓存中是否存在第一SSL请求中的服务器域名对应的第二重构证书;
使用单元604还用于,如果重构证书缓存中存在第一SSL请求中的服务器域名对应的第二重构证书,使用第一SSL请求中的服务器域名对应的第二重构证书与客户端建立SSL连接;
该装置还包括构建单元以及添加单元:
构建单元,用于如果重构证书缓存中不存在第一SSL请求中的服务器域名对应的第二重构证书,根据服务器SSL证书构建第二重构证书;
添加单元,用于第一SSL请求中的服务器域名以及第一SSL请求中的服务器域名对应的第二重构证书添加到重构证书缓存中,该服务器SSL证书是向服务器发送第二SSL请求后服务器发送的;
使用单元604,还用于使用构建单元构建的第一SSL请求中的服务器域名对应的第二重构证书与客户端建立SSL连接。
可选的,该装置还包括访问次数记录单元,用于如果重构证书数据库中不存在第一SSL请求中的服务器域名对应的重构证书,将第一SSL请求中的服务器域名在未命中域名列表中的访问次数加一。
可选的,建立单元601包括:
域名获取子单元,用于获取未命中域名列表中访问次数满足第二条件的一组服务器域名;
生成子单元,用于生成该组服务器域名对应的第一重构证书;
第一重构证书添加子单元,用于将该组服务器域名对应的第一重构证书添加到重构证书数据库中;
删除子单元,用于将该组服务器域名从未命中域名列表中删除。
可选的,域名获取子单元包括:
排序子单元,用于将未命中域名列表中的服务器域名按照访问次数从高到低排序;
第一确定子单元,用于当达到预设时长或者在未命中域名列表中排序前n位的服务器域名的访问总次数达到第一阈值时,将未命中域名列表中排序前n位的服务器域名作为访问次数满足第二条件的一组服务器域名,其中,n为大于1的整数。
可选的,域名获取子单元包括:
标记子单元,用于当未命中域名列表中的服务器域名的访问次数达到第二阈值时,将该服务器域名标记为常用服务器域名;
第二确定子单元,用于当常用服务器域名达到n个,将n个常用服务器域名作为访问次数满足第二条件的一组服务器域名,其中,n为大于1的整数。
可选的,建立单元601包括:
域名添加子单元,用于当未命中域名列表中的服务器域名的访问次数达到第二阈值时,将该服务器域名添加到常用服务器域名列表中;
第一重构证书生成子单元,用于当常用服务器域名列表中的服务器域名每增加m个,生成常用服务器域名列表中的服务器域名对应的第一重构证书;
重构证书数据库更新子单元,用于将常用服务器域名列表中的服务器域名对应的第一重构证书更新到重构证书数据库中,直到常用服务器域名列表中的服务器域名达到n个;
域名删除子单元,用于将常用服务器域名列表中的服务器域名从将常用服务器域名列表以及未命中域名列表中删除,其中,m为大于或等于1的整数,n为大于1的整数,n大于m。
以上为本申请实施例提供的一种实现证书重构的装置的具体实现方式,预先在重构证书数据库中保存有常用服务器域名对应的第一重构证书,当查询得到重构证书数据库中保存有客户端发送的SSL请求中的服务器域名对应的第一重构证书时,可以直接使用该第一重构证书与客户端建立SSL连接,无需在每次和客户端建立SSL连接时,都重新构建重构证书,免去了访问常用域名时每次重新构建证书的步骤,节约了SSL中间代理服务器的计算资源,同时大大提高了与客户端之间SSL连接的建立速度;另一方面,一个第一重构证书可以对应于多个常用服务器域名,从而可以节约重构证书的数量,进一步提升性能。
基于上述实施例提供的实现证书重构的方法及装置,本申请实施例还提供了一种计算机可读存储介质。
该计算机可读存储介质上,存储有计算机程序,该计算机程序被处理器执行时实现如上述实施例所述的实现证书重构的方法。
基于上述实施例提供的实现证书重构的方法及装置,本申请实施例还提供了一种SSL代理服务器,该SSL代理服务器,包括:
存储器和处理器;
该存储器,用于存储程序代码,并将该程序代码传输至该处理器;
该处理器,用于根据存储器传输的程序代码中的指令,执行如上述实施例提供的实现证书重构的方法。
需要说明的是,本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统或装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种实现证书重构的方法,其特征在于,建立或更新重构证书数据库,所述重构证书数据库中保存有至少一个第一重构证书,每个所述第一重构证书对应于至少一个满足第一条件的服务器域名,所述方法包括:
接收客户端发送的第一安全套接层SSL请求,获取所述第一SSL请求中的服务器域名;
查询所述重构证书数据库中是否存在所述第一SSL请求中的服务器域名对应的第一重构证书;
如果所述重构证书数据库中存在所述第一SSL请求中的服务器域名对应的第一重构证书,使用所述第一SSL请求中的服务器域名对应的第一重构证书与所述客户端建立SSL连接。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果所述重构证书数据库中不存在所述第一SSL请求中的服务器域名对应的第一重构证书,查询重构证书缓存中是否存在所述第一SSL请求中的服务器域名对应的第二重构证书;
如果重构证书缓存中存在所述第一SSL请求中的服务器域名对应的第二重构证书,使用所述第一SSL请求中的服务器域名对应的第二重构证书与所述客户端建立SSL连接;
如果重构证书缓存中不存在所述第一SSL请求中的服务器域名对应的第二重构证书,根据服务器SSL证书构建第二重构证书,使用所述第一SSL请求中的服务器域名对应的第二重构证书与所述客户端建立SSL连接,并将所述第一SSL请求中的服务器域名以及所述第一SSL请求中的服务器域名对应的第二重构证书添加到所述重构证书缓存中,所述服务器SSL证书是向服务器发送第二SSL请求后所述服务器发送的。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
如果所述重构证书数据库中不存在所述第一SSL请求中的服务器域名对应的重构证书,将所述第一SSL请求中的服务器域名在未命中域名列表中的访问次数加一。
4.根据权利要求3所述的方法,其特征在于,所述建立或更新重构证书数据库,包括:
获取所述未命中域名列表中访问次数满足第二条件的一组服务器域名;
生成该组服务器域名对应的第一重构证书,将该组服务器域名对应的第一重构证书添加到所述重构证书数据库中,并将该组服务器域名从所述未命中域名列表中删除。
5.根据权利要求4所述的方法,其特征在于,所述获取所述未命中域名列表中访问次数满足第二条件的一组服务器域名,包括:
将所述未命中域名列表中的服务器域名按照访问次数从高到低排序,当达到预设时长或者在所述未命中域名列表中排序前n位的服务器域名的访问总次数达到第一阈值时,将所述未命中域名列表中排序前n位的服务器域名作为访问次数满足第二条件的一组服务器域名,其中,n为大于1的整数。
6.根据权利要求4所述的方法,其特征在于,所述获取所述未命中域名列表中访问次数满足第二条件的一组服务器域名,包括:
当所述未命中域名列表中的服务器域名的访问次数达到第二阈值时,将该服务器域名标记为常用服务器域名,当所述常用服务器域名达到n个,将n个所述常用服务器域名作为访问次数满足第二条件的一组服务器域名,其中,n为大于1的整数。
7.根据权利要求3所述的方法,其特征在于,所述建立或更新重构证书数据库,包括:
当所述未命中域名列表中的服务器域名的访问次数达到第二阈值时,将该服务器域名添加到常用服务器域名列表中;
当所述常用服务器域名列表中的服务器域名每增加m个,生成所述常用服务器域名列表中的服务器域名对应的第一重构证书,将所述常用服务器域名列表中的服务器域名对应的第一重构证书更新到重构证书数据库中,直到常用服务器域名列表中的服务器域名达到n个,并将所述常用服务器域名列表中的服务器域名从将所述常用服务器域名列表以及所述未命中域名列表中删除,其中,m为大于或等于1的整数,n为大于1的整数,n大于m。
8.一种实现证书重构的装置,其特征在于,所述装置包括:
建立单元,用于建立或更新重构证书数据库,所述重构证书数据库中保存有至少一个第一重构证书,每个所述第一重构证书对应于至少一个满足第一条件的服务器域名,
接收单元,用于接收客户端发送的第一安全套接层SSL请求,获取所述第一SSL请求中的服务器域名;
查询单元,用于查询所述重构证书数据库中是否存在所述第一SSL请求中的服务器域名对应的第一重构证书;
使用单元,用于如果所述重构证书数据库中存在所述第一SSL请求中的服务器域名对应的第一重构证书,使用所述第一SSL请求中的服务器域名对应的第一重构证书与所述客户端建立SSL连接。
9.一种计算机可读存储介质,其特征在于,所述机算机可读存储介质中存储有指令,当所述指令在终端设备上运行时,使得所述终端设备执行权利要求1-7任一项所述的实现证书重构的方法。
10.一种计算机程序产品,其特征在于,所述计算机程序产品在终端设备上运行时,使得所述终端设备执行权利要求1-7任一项所述的实现证书重构的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711347561.9A CN108011888B (zh) | 2017-12-15 | 2017-12-15 | 一种实现证书重构的方法、装置及存储介质、程序产品 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711347561.9A CN108011888B (zh) | 2017-12-15 | 2017-12-15 | 一种实现证书重构的方法、装置及存储介质、程序产品 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108011888A true CN108011888A (zh) | 2018-05-08 |
| CN108011888B CN108011888B (zh) | 2020-12-29 |
Family
ID=62059385
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711347561.9A Active CN108011888B (zh) | 2017-12-15 | 2017-12-15 | 一种实现证书重构的方法、装置及存储介质、程序产品 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108011888B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109257365A (zh) * | 2018-10-12 | 2019-01-22 | 深信服科技股份有限公司 | 一种信息处理方法、装置、设备和存储介质 |
| CN109413201A (zh) * | 2018-11-27 | 2019-03-01 | 东软集团股份有限公司 | Ssl通信方法、装置及存储介质 |
| CN110730189A (zh) * | 2019-10-23 | 2020-01-24 | 深信服科技股份有限公司 | 一种通信认证方法、装置、设备及存储介质 |
| CN110825400A (zh) * | 2018-08-14 | 2020-02-21 | 杭州萤石软件有限公司 | 一种应用程序客户端的证书更新方法和系统 |
| CN111049789A (zh) * | 2018-10-15 | 2020-04-21 | 北京京东尚科信息技术有限公司 | 域名访问的方法和装置 |
| CN111526161A (zh) * | 2020-05-27 | 2020-08-11 | 联想(北京)有限公司 | 一种通信方法、通信设备及代理系统 |
| CN114745199A (zh) * | 2022-05-06 | 2022-07-12 | 北京中睿天下信息技术有限公司 | 一种ssl解密设备上的证书替换方法 |
| CN115314274A (zh) * | 2022-08-01 | 2022-11-08 | 北京天空卫士网络安全技术有限公司 | 一种访问服务端的方法和装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1756193A (zh) * | 2004-09-30 | 2006-04-05 | 国际商业机器公司 | 更新ssl证书的计算机系统和方法 |
| US20060168116A1 (en) * | 2004-06-25 | 2006-07-27 | The Go Daddy Group, Inc. | Methods of issuing a domain name certificate |
| CN103765809A (zh) * | 2011-06-10 | 2014-04-30 | 塞尔蒂卡姆公司 | 隐式认证的公钥 |
| CN106411528A (zh) * | 2016-10-17 | 2017-02-15 | 重庆邮电大学 | 一种基于隐式证书的轻量级认证密钥协商方法 |
| CN106603519A (zh) * | 2016-12-07 | 2017-04-26 | 中国科学院信息工程研究所 | 一种基于证书特征泛化和服务器变迁行为的ssl/tls加密恶意服务发现方法 |
| CN106817250A (zh) * | 2016-12-23 | 2017-06-09 | 东软集团股份有限公司 | 一种动态选举方法及系统 |
| CN107135233A (zh) * | 2017-06-28 | 2017-09-05 | 百度在线网络技术(北京)有限公司 | 信息的安全传输方法和装置、服务器和存储介质 |
-
2017
- 2017-12-15 CN CN201711347561.9A patent/CN108011888B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060168116A1 (en) * | 2004-06-25 | 2006-07-27 | The Go Daddy Group, Inc. | Methods of issuing a domain name certificate |
| CN1756193A (zh) * | 2004-09-30 | 2006-04-05 | 国际商业机器公司 | 更新ssl证书的计算机系统和方法 |
| CN103765809A (zh) * | 2011-06-10 | 2014-04-30 | 塞尔蒂卡姆公司 | 隐式认证的公钥 |
| CN106411528A (zh) * | 2016-10-17 | 2017-02-15 | 重庆邮电大学 | 一种基于隐式证书的轻量级认证密钥协商方法 |
| CN106603519A (zh) * | 2016-12-07 | 2017-04-26 | 中国科学院信息工程研究所 | 一种基于证书特征泛化和服务器变迁行为的ssl/tls加密恶意服务发现方法 |
| CN106817250A (zh) * | 2016-12-23 | 2017-06-09 | 东软集团股份有限公司 | 一种动态选举方法及系统 |
| CN107135233A (zh) * | 2017-06-28 | 2017-09-05 | 百度在线网络技术(北京)有限公司 | 信息的安全传输方法和装置、服务器和存储介质 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110825400B (zh) * | 2018-08-14 | 2024-04-23 | 杭州萤石软件有限公司 | 一种应用程序客户端的证书更新方法和系统 |
| CN110825400A (zh) * | 2018-08-14 | 2020-02-21 | 杭州萤石软件有限公司 | 一种应用程序客户端的证书更新方法和系统 |
| CN109257365A (zh) * | 2018-10-12 | 2019-01-22 | 深信服科技股份有限公司 | 一种信息处理方法、装置、设备和存储介质 |
| CN109257365B (zh) * | 2018-10-12 | 2021-08-13 | 深信服科技股份有限公司 | 一种信息处理方法、装置、设备和存储介质 |
| CN111049789B (zh) * | 2018-10-15 | 2023-05-12 | 北京京东尚科信息技术有限公司 | 域名访问的方法和装置 |
| CN111049789A (zh) * | 2018-10-15 | 2020-04-21 | 北京京东尚科信息技术有限公司 | 域名访问的方法和装置 |
| CN109413201B (zh) * | 2018-11-27 | 2021-06-29 | 东软集团股份有限公司 | Ssl通信方法、装置及存储介质 |
| CN109413201A (zh) * | 2018-11-27 | 2019-03-01 | 东软集团股份有限公司 | Ssl通信方法、装置及存储介质 |
| CN110730189B (zh) * | 2019-10-23 | 2022-06-21 | 深信服科技股份有限公司 | 一种通信认证方法、装置、设备及存储介质 |
| CN110730189A (zh) * | 2019-10-23 | 2020-01-24 | 深信服科技股份有限公司 | 一种通信认证方法、装置、设备及存储介质 |
| CN111526161A (zh) * | 2020-05-27 | 2020-08-11 | 联想(北京)有限公司 | 一种通信方法、通信设备及代理系统 |
| CN114745199A (zh) * | 2022-05-06 | 2022-07-12 | 北京中睿天下信息技术有限公司 | 一种ssl解密设备上的证书替换方法 |
| CN115314274A (zh) * | 2022-08-01 | 2022-11-08 | 北京天空卫士网络安全技术有限公司 | 一种访问服务端的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108011888B (zh) | 2020-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108011888A (zh) | 一种实现证书重构的方法、装置及存储介质、程序产品 | |
| CN103581108B (zh) | 一种登录验证方法、客户端、服务器及系统 | |
| CN102769529B (zh) | Dnssec签名服务器 | |
| US8966243B2 (en) | Method and system for data encryption and decryption in data transmission through the web | |
| CN109873815A (zh) | 基于边缘计算的异构物联网认证方法、物联网安全平台 | |
| CN102055768B (zh) | 一种网络登录方法及登录系统 | |
| US20100131764A1 (en) | System and method for secured data transfer over a network from a mobile device | |
| US20020152378A1 (en) | Key-based secure network user states | |
| CN103051647B (zh) | 一种会话实现的方法、设备及系统 | |
| CN101179382B (zh) | 一种登录方法及系统 | |
| CN113067699B (zh) | 基于量子密钥的数据共享方法、装置和计算机设备 | |
| CN107251528A (zh) | 作为服务的网络标识 | |
| CN107172001B (zh) | 网站代理服务器的控制方法及装置、密钥代理服务器 | |
| CN105981009A (zh) | 加密内容的缓存 | |
| Recabarren et al. | Tithonus: A bitcoin based censorship resilient system | |
| CN104283680A (zh) | 一种数据传输的方法、客户端、服务器及其系统 | |
| US20080306875A1 (en) | Method and system for secure network connection | |
| CN102143131A (zh) | 用户注销方法及认证服务器 | |
| WO2016155495A1 (zh) | 数据交换方法、装置及设备 | |
| CN107347073B (zh) | 一种资源信息处理方法 | |
| CN113111386A (zh) | 一种区块链交易数据的隐私保护方法 | |
| CN106453399B (zh) | 一种面向用户隐私保护的域名解析服务方法和系统 | |
| CN102714653A (zh) | 用于访问私人数字内容的系统和方法 | |
| CN108781367A (zh) | 减少Cookie注入和Cookie重放攻击的方法 | |
| JP5960690B2 (ja) | ネットワークアクセスシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |