CN109040318B - Cdn网络的https连接方法及cdn节点服务器 - Google Patents
Cdn网络的https连接方法及cdn节点服务器 Download PDFInfo
- Publication number
- CN109040318B CN109040318B CN201811114578.4A CN201811114578A CN109040318B CN 109040318 B CN109040318 B CN 109040318B CN 201811114578 A CN201811114578 A CN 201811114578A CN 109040318 B CN109040318 B CN 109040318B
- Authority
- CN
- China
- Prior art keywords
- algorithm
- https connection
- certificate
- national
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
- H04L69/162—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3249—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Abstract
本发明实施例涉及通信技术领域,公开了一种CDN网络的HTTPS连接方法及CDN节点服务器。本发明实施例中,CDN网络的HTTPS连接方法包括:接收到终端的HTTPS连接请求后,根据所述HTTPS连接请求判断所述终端是否支持国密算法;若所述终端支持所述国密算法,采用预存的国密算法套件与国密证书,和所述终端建立HTTPS连接。本发明实施例还提供了一种CDN节点服务器。本发明实施例尽可能提高CDN网络中HTTPS连接的建立速度,并提高网络服务质量与安全性,同时减少消耗。
Description
技术领域
本发明实施例涉及通信技术领域,特别涉及一种CDN网络的HTTPS连接方法及CDN节点服务器。
背景技术
HTTPS安全协议是以安全为目标的HTTP通道,通过在HTTP下加入SSL层,实现传输加密,其作为一种基于公私钥技术的加密传输协议广泛应用于CDN网络中,针对HTTPS网站服务,通过反向代理的方式实现内容分发的CDN技术需要在CDN节点部署源站的证书、公钥及私钥以与客户端完成握手。
现有在CDN网络的HTTPS连接中,采用RSA算法完成HTTPS从握手到加密数据传输的整个过程。然而,发明人发现现有技术中至少存在如下问题:CDN网络已经是绝大多数企业网站的标配,客户对网络服务质量与安全性的要求越来越高,在CDN网络的HTTPS连接中采用RSA算法,握手过程中加解密速度较慢导致网络连接较慢、CPU及内存消耗较大(尤其是RSA的非对称加解密算法),网络服务质量堪忧,安全强度也不够高。
发明内容
本发明实施方式的目的在于提供一种CDN网络的HTTPS连接方法及CDN节点服务器,尽可能提高CDN网络中HTTPS连接的建立速度,并提高网络服务质量与安全性,同时减少消耗。
为解决上述技术问题,本发明的实施方式提供了一种CDN网络的HTTPS连接方法,应用于CDN节点服务器;所述CDN网络的HTTPS连接方法包括:接收到终端的HTTPS连接请求后,根据所述HTTPS连接请求判断所述终端是否支持国密算法;若所述终端支持所述国密算法,采用预存的国密算法套件与国密证书,和所述终端建立HTTPS连接。
本发明的实施方式还提供了一种CDN节点服务器,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如上述的CDN网络的HTTPS连接方法。
本发明的实施方式还提供了一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现上述的CDN网络的HTTPS连接方法。
本发明实施方式相对于现有技术而言,提供了一种CDN网络的HTTPS连接方法,即接收到终端的HTTPS连接请求后,若判断出终端支持国密算法,则采用预存的国密算法套件与国密证书,和终端建立HTTPS连接;即将国密算法应用在CDN网络的HTTPS连接中,替代了传统的RSA算法,尽可能提高CDN网络中HTTPS连接的建立速度,并提高网络服务质量与安全性,同时减少消耗。
另外,采用预存的国密算法套件与国密证书,和所述终端建立HTTPS连接,具体包括:采用预存的所述国密算法套件与国密证书,和所述终端进行SSL握手;在所述SSL握手的过程中,采用第一国密算法作为所述国密证书的非对称加解密算法;采用第二国密算法对所述SSL握手过程中的握手数据进行哈希运算,并完成所述SSL握手以建立所述HTTPS连接。本实施例中,提供了CDN节点服务器与终端建立HTTPS连接的一种具体实现方式。
另外,完成所述SSL握手以建立所述HTTPS连接之前,还包括:在需要采用所述第一国密算法的私钥解密待解密数据的环节,发送私钥解密请求至私钥服务器,以供所述私钥服务器通过存储的所述国密证书的私钥解密所述待解密数据并生成解密结果;从所述私钥服务器接收所述解密结果以继续进行所述SSL握手。本实施例中,在握手过程中需要使用私钥进行解密的环节中,通过私钥服务器对加密后的随机数进行解密,从而使得企业没有为CDN服务方提供私钥的情况下,CDN节点服务器与终端能够完成握手并建立HTTPS连接,满足了企业的对私钥的安全需求与私密需求,提高了企业数据的安全性。
另外,所述第一国密算法为SM2算法,所述第二国密算法为SM3算法,所述第三国密算法采用SM4算法。本实施例中,提供了各国密算法的一种具体算法类型。
另外,所述HTTPS连接请求包括所述终端支持的加密算法套件列表;所述根据所述HTTPS连接请求判断所述终端是否支持国密算法,具体包括:判断所述加密算法套件列表中是否存在所述国密算法套件的表征信息;若存在,则判定所述终端支持所述国密算法。本实施例中,提供了终端是否支持国密算法的一种具体判断方式。
另外,若所述终端不支持所述国密算法,采用RSA算法套件与预存的由RSA算法加密的数字证书与所述终端进建立HTTPS连接。本实施例中,CDN节点服务器上预先部署双证书,当判断出终端不支持国密算法时,则采用终端支持的传统算法与终端进行握手与建立HTTPS连接,从而使得所有终端都能够顺利完成握手并建立HTTPS连接,进行数据传输。
另外,所述采用预存的国密算法套件与国密证书,和所述终端建立HTTPS连接之前,还包括:从证书服务器接收所述国密证书的秘钥;所述国密证书的秘钥经所述证书服务器利用第一预设算法加密;所述秘钥包括公钥或所述公钥与私钥;加密存储所述国密证书的秘钥。本实施例中,通过证书服务器对国密证书的秘钥进行加密且下发加密后的国密证书的秘钥至CDN节点服务器,从而避免秘钥在传输过程中被窃取的风险;并且加密存储国密证书的秘钥,从而避免秘钥在存储过程中被窃取的风险。
另外,加密存储所述国密证书的秘钥,具体为:将所述国密证书的秘钥存储在具访问权限限制的预设存储盘中。本实施例中,提供了国密证书的秘钥的一种加密存储的方式。
另外,国密证书的秘钥还经所述证书服务器利用第二预设算法加密。本实施例中,国密证书的秘钥经第一预设算法与第二预设算法双重加密,从而进一步提高了国密证书的秘钥在传输过程中的安全性。
附图说明
一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定,附图中具有相同参考数字标号的元件表示为类似的元件,除非有特别申明,附图中的图不构成比例限制。
图1是根据第一实施方式的CDN网络的HTTPS连接方法的具体流程图;
图2是根据第二实施方式的CDN网络的HTTPS连接方法的具体流程图;
图3是根据第三实施方式的CDN网络的HTTPS连接方法的具体流程图;
图4是根据第四实施方式的CDN网络的HTTPS连接方法的一个例子的具体流程图;
图5是根据第四实施方式的CDN网络的HTTPS连接方法的另一个例子的具体流程图;
图6是根据第五实施方式的CDN网络的HTTPS连接方法的具体流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施方式中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请所要求保护的技术方案。
本发明的第一实施方式涉及一CDN网络的HTTPS连接方法,应用于CDN节点服务器;如图1所示,CDN网络的HTTPS连接方法包括:
步骤101,接收到终端的HTTPS连接请求后,根据HTTPS连接请求判断终端是否支持国密算法;若支持,执行步骤102,否则直接结束。
本实施方式中,终端发送HTTPS连接请求至CDN节点服务器,为明文传输。HTTPS连接请求中包括支持的TSL版本信息、加密套件候选列表、压缩算法候选列表、随机数及扩展字段等信息。其中,支持国密算法的终端中预先安装了国密算法套件,国密算法即为国家密码管理局制定的自主可控的国产算法。
步骤102,采用预存的国密算法套件与国密证书,和终端建立HTTPS连接。
本实施例相对于现有技术而言,提供了一种CDN网络的HTTPS连接方法,即接收到终端的HTTPS连接请求后,若判断出终端支持国密算法,则采用预存的国密算法套件与国密证书,和终端建立HTTPS连接;即将国密算法应用在CDN网络的HTTPS连接中,替代了传统的RSA算法,尽可能提高CDN网络中HTTPS连接的建立速度,并提高网络服务质量与安全性,同时减少消耗(例如内存消耗与CPU处理消耗),推广了国密算法的应用范围并加速了国密算法的深层应用。
上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
本发明的第二实施方式涉及一种CDN网络的HTTPS连接方法。第二实施方式在第一实施方式的基础上进行改进,主要改进之处在于:在本发明第二实施方式中,提供了CDN节点服务器与终端建立HTTPS连接的一种具体实现方式。
本实施方式的CDN网络的HTTPS连接方法如图2所示,步骤201与步骤101对应相同,本实施方式的步骤202包括以下子步骤:
子步骤2021,采用预存的国密算法套件与国密证书,和终端进行SSL握手。
子步骤2022,在SSL握手的过程中,采用第一国密算法作为国密证书的非对称加解密算法。
本实施方式中,国密证书中至少包括非对称加解密算法的公钥。
子步骤2023,采用第二国密算法对SSL握手过程中的握手数据进行哈希运算,并完成SSL握手以建立HTTPS连接。
可选地,本实施方式中,还包括子步骤2024:
子步骤2024,采用第三国密算法对传输数据进行加密传输。
在一个例子中,第一国密算法为SM2算法,第二国密算法为SM3算法,第三国密算法为SM4算法,然实际不限于此,本实施例对各国密算法的算法类型不作任何限制。
在一个例子中,CDN节点服务器与终端在握手过程中,CDN节点服务器发送协商结果与国密证书至终端,协商结果至少包括国密算法套件的选择结果。CDN节点服务器接收终端利用国密证书的公钥加密后的随机数,并接收终端利用第一国密算法与协商秘钥加密后的第一数据段。CDN节点服务器利用国密证书的私钥对加密后的随机数进行解密,并利用第一国密算法对随机数进行计算并得到协商密钥。CDN节点服务器利用第二国密算法验证第一数据段,并利用协商密钥解密加密后的第一数据段。CDN节点服务器还利用通信数据的哈希值生成第二数据段,利用协商密钥与第二国密算法对第二数据段进行加密并发送至终端,供终端利用协商密钥解密第二数据段并利用第二国密算法验证第二数据段。该协商秘钥即为双方握手后约定好的一份对称加密的秘钥,双方在握手完成之后,采用该协商秘钥进行数据加密传输。然这里只是示例性说明,实际的握手过程不限于此。
在一个例子中,CDN节点服务器预存的国密证书中还包括非对称加解密的私钥;CDN节点服务器利用接收到的私钥对加密后的随机数直接进行解密;然这里只是示例性说明,本实施例对加密后的随机数的解密方式不作任何限制。
本发明的实施例相对于第一实施方式而言,提供了CDN节点服务器与终端建立HTTPS连接的一种具体实现方式,即采用预存的国密算法套件与国密证书,和终端进行SSL握手,在SSL握手的过程中,采用第一国密算法作为国密证书的非对称加解密算法,采用第二国密算法对SSL握手过程中的握手数据进行哈希运算,并完成SSL握手以建立HTTPS连接,从而实现国密算法的具体应用。
本发明的第三实施方式涉及一种CDN网络的HTTPS连接方法。第三实施方式在第二实施方式的基础上进行改进,主要改进之处在于:在本发明第三实施方式中,提供了握手过程中,国密证书的私钥的一种获取方式。
本实施方式的CDN网络的HTTPS连接方法如图3所示,本实施方式的步骤301与302包括的子步骤3021-3022、3025-3026与第二实施方式中的步骤201、202包括的子步骤2021-2022、2023-2024对应相同,在此不再赘述,本实施方式的子步骤302新增了以下子步骤:
子步骤3023,在需要采用第一国密算法的私钥解密待解密数据的环节,发送私钥解密请求至私钥服务器,以供私钥服务器通过存储的国密证书的私钥解密待解密数据并生成解密结果。
本实施方式中,CDN节点服务器上未存储国密证书的私钥;企业自身可以预先在源站中部署私钥服务器,并在该私钥服务器中预先存储国密证书的私钥。另外,解密请求中至少包括待解密数据。
本实施方式中,若企业向CDN服务方的证书服务器提供了国密证书的私钥,证书服务器则开启无私钥模式,无需向CDN节点服务器下发国密证书的私钥,并且将存储的国密证书的私钥按照预先设定的加密规则进行加密存储。
子步骤3024,从私钥服务器接收解密结果以继续进行SSL握手。
本发明的实施例相对于第二实施方式而言,在握手过程中需要使用私钥进行解密的环节中,通过私钥服务器对待解密数据进行解密,从而使得在企业没有为CDN服务方提供私钥的情况下,CDN节点服务器与终端能够完成握手并建立HTTPS连接,满足了企业的对私钥的安全需求与私密需求,提高了企业数据的安全性。
本发明的第四实施方式涉及一种CDN网络的HTTPS连接方法。第四实施方式在第三实施方式的基础上进行改进,主要改进之处在于:在本发明第四实施方式中,提供了终端是否支持国密算法的一种具体判断方式,并且使得不支持国密算法的终端也能够顺利建立HTTPS连接。
在一个例子中,本实施方式的CDN网络的HTTPS连接方法如图4所示,步骤402与步骤302对应相同,在此不再赘述,本实施方式的步骤401具体为:
步骤401,判断加密算法套件列表中是否存在国密算法套件的表征信息;若是,执行步骤402,否则直接结束。
本实施方式中,HTTPS连接请求包括终端支持的加密算法套件列表,加密算法套件列表中包括终端支持的加密算法套件的表征信息(例如加密算法套件的名称,然不限于此)。
在一个具体的例子中,加密算法套件的表征信息为加密算法套件的名称,在加密算法套件列表中查找到国密算法套件的名称,即判定为加密算法套件列表中存在国密算法套件的表征信息;然这里只是示例性说明,实际中不限于此。
实际上,本例子还可以为在第一或第二实施方式的基础上的改进方案。
在另一个例子中,本实施方式的CDN网络的HTTPS连接方法如图5所示,步骤501-502与步骤401-402对应相同,在此不再赘述,本实施方式新增了以下步骤:
步骤503,采用RSA算法套件与预存的由RSA算法加密的数字证书,和终端建立HTTPS连接。
本实施方式中,CDN节点服务器中预先部署了RSA算法加密的数字证书,即CDN节点服务器中同时部署了传统算法加密的数字证书(例如RSA算法加密的数字证书)与国密证书。若CDN节点服务器根据SSL请求判断出终端不支持国密算法,即终端支持传统的RSA算法,CDN节点服务器直接采用RSA算法套件与RSA算法加密的数字证书与终端进行SSL握手并建立连接。
可选的,本实施方式中,在本步骤之前,CDN节点服务器从证书服务器接收数字证书的秘钥,数字证书的秘钥经证书服务器利用第一预设算法加密;CDN节点服务器加密存储数字证书的秘钥。本实施例中,提供了数字证书的秘钥的一种获取方式。
在一个具体的例子中,第一预设加密算法可以为3DES、RC2或RC4,然实际中不限于此,本实施例对第一预设算法的类型不作任何限制。
实际上,本例子还可以为在第一、第二或上一个例子的基础上的改进方案。
本实施方式相对于第三实施方式而言,提供了终端是否支持国密算法的一种具体判断方式,即判断加密算法套件列表中是否存在国密算法套件的表征信息,若存在,则判定为该终端支持国密算法。另外,CDN节点服务器上预先部署双证书,当判断出终端不支持国密算法时,则采用终端支持的传统算法与终端建立HTTPS连接,从而使得所有终端都能够顺利建立HTTPS连接,进行数据传输,避免不支持国密算法的终端无法进行网络连接的困境出现。
本发明的第五实施方式涉及一种CDN网络的HTTPS连接方法。第五实施方式在第四实施方式的基础上进行改进,主要改进之处在于:在本发明第五实施方式中,提供了国密证书的秘钥的一种获取方式与存储方式。
在一个例子中,本实施方式的CDN网络的HTTPS连接方法如图6所示,步骤603-605与步骤501-503对应相同,在此不再赘述,本实施方式新增了以下步骤:
步骤601,从证书服务器接收国密证书的秘钥。
本实施方式中,秘钥包括公钥或公钥与私钥。国密证书的秘钥经证书服务器利用第一预设算法加密。
在一个具体的例子中,第一预设加密算法可以为3DES、RC2或RC4,然实际中不限于此,本实施例对第一预设算法的类型不作任何限制。
本实施方式中,接收到国密证书的秘钥后,将国密证书的秘钥与CDN节点服务器的域名进行绑定,从而实现将国密证书的秘钥与该CDN节点服务器的地址绑定在一起。
较佳的,本例子中,国密证书的秘钥还经证书服务器利用第二预设算法加密。CDN节点服务器接收到加密后的秘钥后,通过解密第二预设算法获取经第一预设算法加密后的秘钥。本实施例中,国密证书的秘钥经第一预设算法与第二预设算法双重加密,从而进一步提高了国密证书的秘钥在传输过程中的安全性。
在一个具体的例子中,第二预设加密算法可以为MD5、MD4或MD2,本实施例对第二预设算法不作任何限制。
步骤602,加密存储国密证书的秘钥。
在一个例子中,将国密证书的秘钥对国密证书的秘钥的加密存储的方式存储在具访问权限限制的预设存储盘中;然这里只是示例性说明,本实施例不作任何限制。
实际上,本实施例还可以为在第一、第二或第三实施方式的基础上的改进方案。
本实施方式相对于第三实施方式而言,提供了国密证书的秘钥的一种获取方式与存储方式,即从证书服务器接收国密证书的秘钥,且国密证书的秘钥经证书服务器利用第一预设算法加密,并加密存储国密证书的秘钥;本实施例中,通过证书服务器下发已加密的国密证书的秘钥至CDN节点服务器,从而避免秘钥在传输过程中被窃取的风险;加密存储国密证书的秘钥,从而避免秘钥在存储过程中被窃取的风险。
本发明第六实施方式涉及一种CDN节点服务器,包括:至少一个处理器;以及,与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行第一至第五实施方式中任一实施方式中的CDN网络的HTTPS连接方法。
其中,存储器和处理器采用总线方式连接,总线可以包括任意数量的互联的总线和桥,总线将一个或多个处理器和存储器的各种电路连接在一起。总线还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路连接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器处理的数据通过天线在无线介质上进行传输,进一步,天线还接收数据并将数据传送给处理器。
处理器负责管理总线和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器可以被用于存储处理器在执行操作时所使用的数据。
本发明的实施方式相对于现有技术而言,提供了一种CDN网络的HTTPS连接方法,即接收到终端的HTTPS连接请求后,若判断出终端支持国密算法,则采用预存的国密算法套件与国密证书,和终端建立HTTPS连接;即将国密算法应用在CDN网络的HTTPS连接中,替代了传统的RSA算法,尽可能提高CDN网络中HTTPS连接的建立速度,并提高网络服务质量与安全性,同时减少消耗(例如内存消耗与CPU处理消耗),推广了国密算法的应用范围并加速了国密算法的深层应用。
本发明第七实施方式涉及一种计算机可读存储介质,存储有计算机程序。计算机程序被处理器执行时实现能够执行第一至第五实施方式中任一实施方式中的CDN网络的HTTPS连接方法。
本发明的实施方式相对于现有技术而言,提供了一种CDN网络的HTTPS连接方法,即接收到终端的HTTPS连接请求后,若判断出终端支持国密算法,则采用预存的国密算法套件与国密证书,和终端建立HTTPS连接;即将国密算法应用在CDN网络的HTTPS连接中,替代了传统的RSA算法,尽可能提高CDN网络中HTTPS连接的建立速度,并提高网络服务质量与安全性,同时减少消耗(例如内存消耗与CPU处理消耗),推广了国密算法的应用范围并加速了国密算法的深层应用。
即,本领域技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域的普通技术人员可以理解,上述各实施方式是实现本发明的具体实施例,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (13)
1.一种CDN网络的HTTPS连接方法,其特征在于,应用于CDN节点服务器;所述CDN网络的HTTPS连接方法包括:
接收到终端的HTTPS连接请求后,根据所述HTTPS连接请求判断所述终端是否支持国密算法;
若所述终端支持所述国密算法,采用预存的国密算法套件与国密证书,和所述终端建立HTTPS连接;
其中,所述采用预存的国密算法套件与国密证书,和所述终端建立HTTPS连接,具体包括:
采用预存的所述国密算法套件与国密证书,和所述终端进行SSL握手;
在所述SSL握手的过程中,采用第一国密算法作为所述国密证书的非对称加解密算法;
采用第二国密算法对所述SSL握手过程中的握手数据进行哈希运算,并完成所述SSL握手以建立所述HTTPS连接。
2.根据权利要求1所述的CDN网络的HTTPS连接方法,其特征在于,所述完成所述SSL握手以建立所述HTTPS连接之前,还包括:
在需要采用所述第一国密算法的私钥解密待解密数据的环节,发送私钥解密请求至私钥服务器,以供所述私钥服务器通过存储的所述国密证书的私钥解密所述待解密数据并生成解密结果;
从所述私钥服务器接收所述解密结果以继续进行所述SSL握手。
3.根据权利要求1所述的CDN网络的HTTPS连接方法,其特征在于,所述采用预存的国密算法套件与国密证书,和所述终端建立HTTPS连接之后,还包括:
采用第三国密算法对传输数据进行加密传输。
4.根据权利要求3所述的CDN网络的HTTPS连接方法,所述第一国密算法为SM2算法,所述第二国密算法为SM3算法,所述第三国密算法为SM4算法。
5.根据权利要求1所述的CDN网络的HTTPS连接方法,其特征在于,所述HTTPS连接请求包括所述终端支持的加密算法套件列表;所述根据所述HTTPS连接请求判断所述终端是否支持国密算法,具体包括:
判断所述加密算法套件列表中是否存在所述国密算法套件的表征信息;
若存在,则判定所述终端支持所述国密算法。
6.根据权利要求1所述的CDN网络的HTTPS连接方法,其特征在于,若所述终端不支持所述国密算法,采用预存的RSA算法套件与由RSA算法加密的数字证书,和所述终端建立HTTPS连接。
7.根据权利要求6所述的CDN网络的HTTPS连接方法,其特征在于,所述采用预存的RSA算法套件与由RSA算法加密的数字证书,和所述终端建立HTTPS连接之前,还包括:
从证书服务器接收所述数字证书的秘钥,所述数字证书的秘钥经所述证书服务器利用第一预设算法加密;
加密存储所述数字证书的秘钥。
8.根据权利要求1所述的CDN网络的HTTPS连接方法,其特征在于,所述采用预存的国密算法套件与国密证书,和所述终端建立HTTPS连接之前,还包括:
从证书服务器接收所述国密证书的秘钥;所述国密证书的秘钥经所述证书服务器利用第一预设算法加密;所述秘钥包括公钥或所述公钥与私钥;
加密存储所述国密证书的秘钥。
9.根据权利要求8所述的CDN网络的HTTPS连接方法,其特征在于,所述加密存储所述国密证书的秘钥,具体为:
将所述国密证书的秘钥存储在具访问权限限制的预设存储盘中。
10.根据权利要求8所述的CDN网络的HTTPS连接方法,其特征在于,所述国密证书的秘钥还经所述证书服务器利用第二预设算法加密。
11.根据权利要求8所述的CDN网络的HTTPS连接方法,其特征在于,所述加密存储所述国密证书的秘钥之前,还包括:
将所述国密证书的秘钥与所述CDN节点服务器的域名进行绑定。
12.一种CDN节点服务器,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至11中任一所述的CDN网络的HTTPS连接方法。
13.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至11中任一项所述的CDN网络的HTTPS连接方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811114578.4A CN109040318B (zh) | 2018-09-25 | 2018-09-25 | Cdn网络的https连接方法及cdn节点服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811114578.4A CN109040318B (zh) | 2018-09-25 | 2018-09-25 | Cdn网络的https连接方法及cdn节点服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109040318A CN109040318A (zh) | 2018-12-18 |
| CN109040318B true CN109040318B (zh) | 2021-05-04 |
Family
ID=64617776
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811114578.4A Active CN109040318B (zh) | 2018-09-25 | 2018-09-25 | Cdn网络的https连接方法及cdn节点服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109040318B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109818946B (zh) * | 2019-01-11 | 2022-07-26 | 网宿科技股份有限公司 | Ca证书申请和部署的方法和系统 |
| CN112152978B (zh) * | 2019-06-28 | 2021-07-20 | 北京金山云网络技术有限公司 | 一种秘钥管理方法、装置、设备及存储介质 |
| CN110311923A (zh) * | 2019-07-16 | 2019-10-08 | 丁晓东 | 一种自适应、双通道的国密算法https访问方法和系统 |
| CN112235274B (zh) * | 2020-09-30 | 2023-01-24 | 上海艾融软件股份有限公司 | 支持多种加密算法进行安全通信的银企直连系统和方法 |
| CN115460083B (zh) * | 2021-06-09 | 2024-04-19 | 贵州白山云科技股份有限公司 | 安全加速服务部署方法、装置、介质及设备 |
| CN113992432A (zh) * | 2021-12-24 | 2022-01-28 | 南京中孚信息技术有限公司 | 消息处理方法、消息总线系统、计算机设备及存储介质 |
| CN114553476A (zh) * | 2022-01-10 | 2022-05-27 | 网宿科技股份有限公司 | 基于国密和国际算法的https请求的处理方法和装置 |
| CN114499897B (zh) * | 2022-04-14 | 2022-08-02 | 成都边界元科技有限公司 | Sm2安全证书的自适应验证方法和验证系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103118027A (zh) * | 2013-02-05 | 2013-05-22 | 中金金融认证中心有限公司 | 基于国密算法建立tls通道的方法 |
| CN103338215A (zh) * | 2013-07-26 | 2013-10-02 | 中金金融认证中心有限公司 | 基于国密算法建立tls通道的方法 |
| CN105282153A (zh) * | 2015-09-30 | 2016-01-27 | 北京奇虎科技有限公司 | 一种实现数据传输的方法及终端设备 |
| CN105530090A (zh) * | 2015-12-31 | 2016-04-27 | 中国建设银行股份有限公司 | 密钥协商的方法及设备 |
| EP3133560A1 (en) * | 2008-01-04 | 2017-02-22 | E-Government Consulting Group, Inc. | System and method for secure voting |
| CN106656939A (zh) * | 2015-11-03 | 2017-05-10 | 华耀(中国)科技有限公司 | 国密ssl协议和标准ssl协议转发系统及方法 |
| CN108401011A (zh) * | 2018-01-30 | 2018-08-14 | 网宿科技股份有限公司 | 内容分发网络中握手请求的加速方法、设备及边缘节点 |
-
2018
- 2018-09-25 CN CN201811114578.4A patent/CN109040318B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3133560A1 (en) * | 2008-01-04 | 2017-02-22 | E-Government Consulting Group, Inc. | System and method for secure voting |
| CN103118027A (zh) * | 2013-02-05 | 2013-05-22 | 中金金融认证中心有限公司 | 基于国密算法建立tls通道的方法 |
| CN103338215A (zh) * | 2013-07-26 | 2013-10-02 | 中金金融认证中心有限公司 | 基于国密算法建立tls通道的方法 |
| CN105282153A (zh) * | 2015-09-30 | 2016-01-27 | 北京奇虎科技有限公司 | 一种实现数据传输的方法及终端设备 |
| CN106656939A (zh) * | 2015-11-03 | 2017-05-10 | 华耀(中国)科技有限公司 | 国密ssl协议和标准ssl协议转发系统及方法 |
| CN105530090A (zh) * | 2015-12-31 | 2016-04-27 | 中国建设银行股份有限公司 | 密钥协商的方法及设备 |
| CN108401011A (zh) * | 2018-01-30 | 2018-08-14 | 网宿科技股份有限公司 | 内容分发网络中握手请求的加速方法、设备及边缘节点 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109040318A (zh) | 2018-12-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109040318B (zh) | Cdn网络的https连接方法及cdn节点服务器 | |
| EP4040717B1 (en) | Method and device for secure communications over a network using a hardware security engine | |
| EP3723399A1 (en) | Identity verification method and apparatus | |
| US9385996B2 (en) | Method of operating a computing device, computing device and computer program | |
| US9356994B2 (en) | Method of operating a computing device, computing device and computer program | |
| US8583809B2 (en) | Destroying a secure session maintained by a server on behalf of a connection owner | |
| JP2018519706A (ja) | ネットワークアクセスデバイスをワイヤレスネットワークアクセスポイントにアクセスさせるための方法、ネットワークアクセスデバイス、アプリケーションサーバ、および不揮発性コンピュータ可読記憶媒体 | |
| US9203614B2 (en) | Method, apparatus, and system for protecting cloud data security | |
| US9319219B2 (en) | Method of operating a computing device, computing device and computer program | |
| WO2019149097A1 (zh) | 一种待配网设备接入网络热点设备的方法和系统 | |
| EP3232632A1 (en) | Method and system for acquiring plaintext of network secret data | |
| WO2018202109A1 (zh) | 一种证书请求消息发送方法、接收方法和装置 | |
| CN105959281B (zh) | 文件加密传输方法和装置 | |
| KR101508859B1 (ko) | 클라이언트와 서버 간 보안 세션을 수립하기 위한 방법 및 장치 | |
| CN105007254A (zh) | 数据传输方法和系统、终端 | |
| EP3038307B1 (en) | Method and device for distributing traffic by using plurality of network interfaces in wireless communication system | |
| US20190116027A1 (en) | Service processing method and apparatus | |
| EP3026594B1 (en) | Cryptographic security profiles | |
| CN115550041A (zh) | 数据的传输方法、装置、计算机设备和存储介质 | |
| TW201724800A (zh) | 資料通信裝置、通信系統、資料中繼方法及程式 | |
| CN105471896A (zh) | 基于ssl的代理方法、装置及系统 | |
| JP5784562B2 (ja) | 通信装置およびプログラム | |
| CN110213346B (zh) | 加密信息的传输方法及装置 | |
| CN117501653A (zh) | 操作无线网络的装置、系统和方法 | |
| JP2009071481A (ja) | 通信制御システム、端末、及び、プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |