CN111404668B - 一种信息处理方法、设备及存储介质 - Google Patents
一种信息处理方法、设备及存储介质 Download PDFInfo
- Publication number
- CN111404668B CN111404668B CN201910000532.8A CN201910000532A CN111404668B CN 111404668 B CN111404668 B CN 111404668B CN 201910000532 A CN201910000532 A CN 201910000532A CN 111404668 B CN111404668 B CN 111404668B
- Authority
- CN
- China
- Prior art keywords
- private key
- key service
- service
- authentication
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 22
- 238000003672 processing method Methods 0.000 title claims abstract description 18
- 238000000034 method Methods 0.000 claims abstract description 51
- 238000007726 management method Methods 0.000 claims abstract description 27
- 238000012545 processing Methods 0.000 claims description 28
- 238000004891 communication Methods 0.000 claims description 26
- 238000004590 computer program Methods 0.000 claims description 25
- 230000015654 memory Effects 0.000 claims description 19
- 238000010586 diagram Methods 0.000 description 16
- 230000006870 function Effects 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 5
- 230000001133 acceleration Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000012856 packing Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- KLDZYURQCUYZBL-UHFFFAOYSA-N 2-[3-[(2-hydroxyphenyl)methylideneamino]propyliminomethyl]phenol Chemical compound OC1=CC=CC=C1C=NCCCN=CC1=CC=CC=C1O KLDZYURQCUYZBL-UHFFFAOYSA-N 0.000 description 1
- 208000033748 Device issues Diseases 0.000 description 1
- 201000001098 delayed sleep phase syndrome Diseases 0.000 description 1
- 208000033921 delayed sleep phase type circadian rhythm sleep disease Diseases 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种信息处理方法、设备及存储介质,所述方法包括:接收内容分发网络CDN证书管理服务器下发的私钥文件;基于所述私钥文件生成对应的私钥服务;下发所述私钥服务给至少一个第二设备,以使所述第二设备基于所述私钥服务为CDN边缘节点提供加密或解密服务。
Description
技术领域
本发明涉及互联网技术,尤其涉及一种信息处理方法、设备及存储介质。
背景技术
安全套接字层的超文本传输协议(Hyper Text Transfer Protocol over SecureSocket Layer,HTTPS)是由超文本传输协议(Hypertext TransferProtocol,HTTP)加上安全套接层(Secure Sockets Layer,SSL)/安全传输层(Transport Layer Security,TLS)所构建的可进行加密传输以及身份认证的网络协议。在加密传输的初始过程需要进行SSL/TLS协商,协商时需要服务器端使用证书私钥进行加解密运算,因此私钥的安全是HTTPS安全性的重要保证。
内容分发网络(Content Delivery Network,CDN)在提供HTTPS加速服务时需要使用私钥,并且要保证私钥的安全性。现有CDN在支持HTTPS加速服务时使用私钥的方案有两种,第一种方案是将私钥部署在直接提供HTTPS服务的CDN边缘节点上,用以提供加解密服务。但是随着边缘节点的增多,私钥拷贝的数量十分庞大,会增加私钥泄露的风险。第二种方案,是在客户的服务器端部署keyless私钥服务器,并授权CDN厂商使用私钥解密服务,当终端用户向CDN边缘节点发起HTTPS请求时,在协商过程中需要用到私钥进行加解密时,CDN边缘节点与keyless私钥服务器进行通信,获取私钥加解密后的结果完成与终端用户的协商过程。这种方式不需要在CDN本地部署私钥,降低了私钥被盗的可能性,由于CDN网络的庞大,集中部署一个keyless服务器还是会有一定的时延,且随着CDN边缘节点不断下沉趋势的推进,边缘节点将下沉到区县甚至宽带远程接入服务器(Broadband Remote AccessServer,BRAS)、基站侧,keyless私钥服务器与CDN边缘节点的距离增大,从而增加通信时延。
发明内容
为解决上述技术问题,本发明实施例期望提供一种信息处理方法、设备及存储介质,即能保证私钥文件的安全性,又能减小HTTPS请求时延。
本发明的技术方案是这样实现的:
本发明实施例提供了第一种信息处理方法,应用于第一设备,所述方法包括:
接收内容分发网络CDN证书管理服务器下发的私钥文件;
基于所述私钥文件生成对应的私钥服务;
下发所述私钥服务给至少一个第二设备,以使所述第二设备基于所述私钥服务为CDN边缘节点提供加密或解密服务。
上述方案中,所述方法还包括:向所述CDN证书管理服务器发送私钥文件请求消息,以请求至少一个域名对应的私钥文件。
上述方案中,所述基于所述私钥文件生成对应的私钥服务,包括:利用容器封装所述私钥文件,生成对应的私钥服务。
上述方案中,所述方法还包括:基于预设的下发策略,下发新的私钥服务给所述至少一个第二设备,使所述第二设备停止使用旧的私钥服务。
上述方案中,所述基于预设的下发策略,下发新的私钥服务给所述至少一个第二设备,包括:预设的间隔时间到时,下发所述新的私钥服务给所述至少一个第二设备;获取到下发指示消息时,下发所述新的私钥服务给所述至少一个第二设备。
上述方案中,所述至少一个第二设备采用分布式部署方式部署在至少一个层级节点上。
本发明实施例中还提供了第二种信息处理方法,应用于第二设备,所述方法包括:
接收第一设备下发的基于私钥文件生成的私钥服务;
在接收到CDN边缘节点发送的报文信息后,访问所述私钥服务对所述报文信息进行加密或解密;
发送加密或解密后的报文信息至所述CDN边缘节点。
上述方案中,所述方法还包括:基于预设的鉴权信息对所述第二设备执行鉴权操作;在所述第二设备鉴权认证通过后,启动所述私钥服务。
上述方案中,所述鉴权信息包括预设密钥、白名单或者黑名单;其中,所述白名单中包含至少一个第二设备的标识信息;所述黑名单中包含至少一个第二设备的标识信息;所述基于预设的鉴权信息对所述第二设备执行鉴权操作,包括:接收到的密钥与所述预设密钥匹配时,确定所述第二设备鉴权认证通过;或者,所述白名单中包含所述第二设备的标识信息,确定所述第二设备认证通过;或者,所述黑名单中不包含所述第二设备的标识信息,确定所述第二设备认证通过。
上述方案中,所述方法还包括:在预设的时间段内,未访问所述私钥服务时,停止所述私钥服务;和/或,在接收到新的私钥服务时,停止所述私钥服务。
上述方案中,所述至少一个第二设备采用分布式部署方式部署在至少一个层级节点上。
本发明实施例中还提供了一种第一设备,其特征在于,所述第一设备包括:第一通信单元和第一处理单元;其中,
所述第一通信单元,用于接收内容分发网络CDN证书管理服务器下发的私钥文件;
所述第一处理单元,用于基于所述私钥文件生成对应的私钥服务;
所述第一通信单元,还用于下发所述私钥服务给至少一个第二设备,以使所述第二设备基于所述私钥服务为CDN边缘节点提供加密或解密服务。
本发明实施例中还提供了一种第二设备,其特征在于,所述第二设备包括:第二通信单元和第二处理单元;其中,
所述第二通信单元,用于接收第一设备下发的基于私钥文件生成的私钥服务,以及接收CDN边缘节点发送的报文信息;
所述第二处理单元,用于访问所述私钥服务对所述报文信息进行加密或解密;
所述第二通信单元,还用于发送加密或解密后的报文信息至所述CDN边缘节点。
本发明实施例中还提供了另一种第一设备,所述第一设备包括:第一处理器和配置为存储能够在处理器上运行的计算机程序的第一存储器,
其中,所述第一处理器配置为运行所述计算机程序时,执行前述第一种信息处理所述方法的步骤。
本发明实施例中还提供了另一种第二设备,所述第二设备包括:第二处理器和配置为存储能够在处理器上运行的计算机程序的第二存储器,
其中,所述第二处理器配置为运行所述计算机程序时,执行前述第二种所述方法的步骤。
本发明实施例中还提供了一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现前述任一项所述的方法的步骤。
采用上述技术方案,第一设备从CDN证书管理服务器获取到私钥文件后,把私钥文件转化成私钥服务,将私钥服务下发给第二设备,使第二设备以私钥服务的方式向CDN边缘节点提供加密或解密服务,在保证私钥文件安全的基础上,通过灵活部署第二设备的位置,来减小HTTPS请求时延。
附图说明
图1为本发明实施例中信息处理方法的第一流程示意图;
图2为本发明实施例中信息处理方法的第二流程示意图;
图3为本发明实施例中信息处理方法的第三流程示意图;
图4为本发明实施例中第二设备的部署结构示意图;
图5为本发明实施例中信息处理方法的第四流程示意图;
图6为本发明实施例中HTTPS系统框架的结构示意图;
图7为本发明实施例中第一设备的第一组成结构示意图;
图8为本发明实施例中第一设备的第二组成结构示意图;
图9为本发明实施例中第二设备的第一组成结构示意图;
图10为本发明实施例中第二设备的第二组成结构示意图。
具体实施方式
为了能够更加详尽地了解本发明实施例的特点与技术内容,下面结合附图对本发明实施例的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本发明实施例。
实施例一
如图1所示,信息处理方法包括:
步骤101:接收内容分发网络CDN证书管理服务器下发的私钥文件;
步骤102:基于私钥文件生成对应的私钥服务;
步骤103:下发私钥服务给至少一个第二设备,以使第二设备基于私钥服务为CDN边缘节点提供加密或解密服务。
这里,步骤101至步骤103的执行主体可以为第一设备的处理器。第一设备用于生成私钥服务,第二设备用于基于私钥服务参与实现终端设备与CDN边缘节点的SSL/TLS握手请求。
实际应用中,获取域名对应的私钥文件的方法包括:向CDN证书管理服务器发送私钥文件请求消息,以请求至少一个域名对应的私钥文件。或者,由CDN证书管理服务器主动下发至少一个域名对应的私钥文件。
这里,私钥文件至少可以包括证书或者私钥。终端发起HTTPS请求,请求消息的初始阶段是SSL/TLS协商过程,在SSL/TLS协商阶段,需要私钥文件中包含的私钥来解密会话秘钥或对相关数据进行签名。
实际应用中,私钥服务的生成方法可以有多种,比如,使用容器技术生成私钥服务。私钥服务包括统一的服务接口,第二设备通过私钥服务的服务接口向CDN边缘节点提供加密或解密服务,将私钥打包成私钥服务提高了安全性,避免CDN证书管理服务器直接下发私钥文件时存在密钥泄露的安全隐患。
实际应用中,该方法还包括:根据业务需求,采用分布式部署方式在层级节点上部署至少一个第二设备。也就是说,至少一个第二设备采用分布式部署方式部署在至少一个层级节点上。这里,层级节点可以为省级节点、地市级节点、区县级节点或者基站侧。
这里,采用分布式部署方案,根据业务需要将第二设备部署在合适的层级节点中,使私钥服务提供点距离边缘节点更近,可以有效降低时延,解决了集中式部署keyless服务器存在较大时延的问题。
采用上述技术方案,第一设备从CDN证书管理服务器获取到私钥文件后,把私钥文件转化成私钥服务,将私钥服务下发给第二设备,使第二设备以私钥服务的方式向CDN边缘节点提供加密或解密服务,在保证私钥文件安全的基础上,通过灵活部署第二设备的位置,来减小HTTPS请求时延。
实施例二
为了能更加体现本发明的目的,在本发明实施例一的基础上,进行进一步的举例说明,如图2所示,信息处理方法具体包括:
步骤201:向CDN证书管理服务器发送私钥文件请求消息,以请求至少一个域名对应的私钥文件。
步骤202:接收内容分发网络CDN证书管理服务器下发的私钥文件;
步骤203:将私钥文件转化成对应的私钥服务;
步骤204:下发私钥服务给至少一个第二设备,以使第二设备基于私钥服务为CDN边缘节点提供加密或解密服务。
这里,步骤201至步骤204的执行主体可以为第一设备的处理器。第一设备用于生成私钥服务,第二设备用于基于私钥服务参与实现终端设备与CDN边缘节点的SSL/TLS握手请求。
这里,私钥文件可以为证书或者私钥。终端发起HTTPS请求,请求消息的初始阶段是SSL/TLS协商过程,在SSL/TLS协商阶段,需要私钥文件中包含的私钥来解密会话秘钥或对相关数据进行签名。
步骤203中,第一设备具体可以利用容器技术将接收到的私钥文件进行封装,生成私钥服务,私钥服务以文件的方式存储在第一设备中,基于预设的下发策略,下发私钥服务给至少一个第二设备。第二设备通过私钥服务的服务接口向CDN边缘节点提供加密或解密服务,如此,提高了私钥文件的安全性。
进一步地,在下发私钥服务至第二设备之后,该方法还包括:为私钥服务设置生命周期;在生命周期结束时,停止私钥服务或者删除私钥服务。设置私钥服务生命周期的目的是为了提高私钥服务的安全性,削弱私钥服务被盗用的风险。
这里,基于预设的下发策略,下发新的私钥服务给至少一个第二设备,使第二设备停止使用旧的私钥服务。具体的,基于预设的下发策略,下发新的私钥服务给至少一个第二设备,包括:预设的间隔时间到时,下发新的私钥服务给至少一个第二设备;获取到下发指示消息时,下发新的私钥服务给至少一个第二设备。
这里,预设的时间间隔即为私钥服务的生命周期,在生命周期结束后,停止使用旧的私钥服务,接收并启动新的私钥服务。发指示消息用于指示第一设备下发新的私钥服务,下发指示消息可以是第二设备发送的下发请求消息,或者,私钥服务泄露消息。
如此,通过设置私钥服务的生命周期,提高私钥服务的安全性,削弱私钥服务被盗用的风险。
采用上述技术方案,第一设备从CDN证书管理服务器获取到私钥文件后,把私钥文件转化成私钥服务,将私钥服务下发给第二设备,使第二设备以私钥服务的方式向CDN边缘节点提供加密或解密服务,在保证私钥文件安全的基础上,通过灵活部署第二设备的位置,来减小HTTPS请求时延。
实施例三
基于同一发明构思,本发明实施例中还提供了另一种信息处理方法,应用于第二设备,如图3所示,该信息处理方法包括:
步骤301:接收第一设备下发的基于私钥文件生成的私钥服务;
步骤302:在接收到CDN边缘节点发送的报文信息后,访问私钥服务对报文信息进行加密或解密;
步骤303:发送加密或解密后的报文信息至CDN边缘节点。
这里,步骤301至步骤303的执行主体可以为第二设备的处理器。第一设备用于生成私钥服务,第二设备用于基于私钥服务参与实现终端设备与CDN边缘节点的SSL/TLS握手请求。
这里,私钥文件至少可以包括证书或者私钥。终端发起HTTPS请求,请求消息的初始阶段是SSL/TLS协商过程,在SSL/TLS协商阶段,需要私钥文件中包含的私钥来解密会话秘钥或对相关数据进行签名。
实际应用中,私钥服务的生成方法可以有多种。私钥服务包括统一的服务接口,第二设备通过私钥服务的服务接口向CDN边缘节点提供加密或解密服务,将私钥打包成私钥服务提高了安全性,避免CDN证书管理服务器直接下发私钥文件时存在密钥泄露的安全隐患。
实际应用中,该方法还包括:根据业务需求,采用分布式部署方式在层级节点上部署至少一个第二设备。也就是说,至少一个第二设备采用分布式部署方式部署在至少一个层级节点上。这里,层级节点可以为省级节点、地市级节点、区县级节点或者基站侧。
这里,随着数目庞大的CDN边缘节点不断下沉,通过分布式部署方式将第二设备灵活的分布式部署在省级节点、地市级节点、区县级节点或者基站侧,缩短了第二设备与CDN边缘节点之间的距离,减小了时延。
如图4示出了一种第二设备的部署结构示意图,图中CDN证书管理服务器41与第一设备42进行通信交互,完成私钥文件的获取,以及私钥服务的生成,第二设备根据业务需求分别部署在不同层级节点上,具体包括:A省第二设备43、B市第二设备44、C县第二设备45和D县第二设备46,不同层级节点的第二设备参与实现所属范围内终端设备与CDN边缘节点的SSL/TLS握手请求。
实际应用中,该方法还包括:在预设的时间段内,未访问私钥服务时,停止私钥服务;和/或,在接收到新的私钥服务时,停止旧的私钥服务。
也就是说,当私钥服务长时间未被访问时,停止私钥服务可以保证安全性。或者,在接收到同一域名对应的新的私钥服务时,启动新的私钥服务,停止该域名正在使用的旧的私钥服务,避免由于旧的私钥服务泄露带来的安全隐患。
步骤303具体包括:发送签名后的报文信息或解密后的报文信息至CDN边缘节点。也就是说,第二设备在利用私钥服务向CDN边缘节点提供加密服务和解密服务时,加密服务具体可以包括私钥签名服务。
实际应用中,终端设备与CDN边缘节点实现SSL/TLS握手请求时,CDN边缘节点在接收到终端设备发送的HTTPS请求时,向所属的第二设备发送相应的报文信息,以请求第二设备解密会话密钥或者对相关数据进行签名。
也就是说,第二设备在接收到CDN边缘节点发送的报文信息后,通过访问私钥服务解密会话密钥或者对相关数据进行签名;并且将解密计算后的结果或者已签名的数据返回给CDN边缘节点,以使CDN边缘节点根据解密计算后的结果或者已签名的数据完成与终端设备的SSL/TLS握手。
采用上述技术方案,第二设备接收第一设备基于私钥文件生成的私钥服务,第二设备以私钥服务的方式向CDN边缘节点提供加密或解密服务,在保证私钥文件安全的基础上,通过灵活部署第二设备的位置,来减小HTTPS请求时延。
实施例四
为了能更加体现本发明的目的,在本发明实施例二的基础上,进行进一步的举例说明,如图5所示,信息处理方法具体包括:
步骤501:接收第一设备下发的基于私钥文件生成的私钥服务;
步骤502:在第一设备鉴权认证通过后,启动私钥服务;
步骤503:在接收到CDN边缘节点发送的报文信息后,访问私钥服务对报文信息进行加密或解密;
步骤504:发送加密或解密后的报文信息至CDN边缘节点。
这里,步骤501至步骤504的执行主体可以为第二设备的处理器。第一设备用于生成私钥服务,第二设备用于基于私钥服务参与实现终端设备与CDN边缘节点的SSL/TLS握手请求。
这里,第一设备的鉴权方法具体可以包括:基于预设的鉴权信息对第二设备执行鉴权操作。鉴权信息包括预设密钥、白名单或者黑名单;其中,白名单中包含至少一个第二设备的标识信息;黑名单中包含至少一个第二设备的标识信息。
具体的,接收到的密钥与预设密钥匹配时,确定第二设备鉴权认证通过;或者,白名单中包含第二设备的标识信息,确定第二设备认证通过;或者,黑名单中不包含第二设备的标识信息,确定第二设备认证通过。
分别来说,第一设备将密钥和私钥服务分别下发给第二设备,只有接收到的密钥与预设的密钥匹配时,第二设备才能通过接收到的密钥启动私钥服务,否则密钥和私钥服务任何一个被篡改都无法正常启动私钥服务。
白名单中包括至少一个允许启动私钥服务的第二设备的标识信息,黑名单中包括至少一个不允许启动私钥服务的第二设备的标识信息。如此,通过预先设置白名单或者黑名单来限制使用私钥服务的范围。
实际应用中,该方法还包括:在预设的时间段内,未访问私钥服务时,停止私钥服务;和/或,在接收到新的私钥服务时,停止旧的私钥服务。
也就是说,当私钥服务长时间未被访问时,停止私钥服务可以保证安全性。或者,在接收到同一域名对应的新的私钥服务时,启动新的私钥服务,停止该域名正在使用的旧的私钥服务,避免由于旧的私钥服务泄露带来的安全隐患。
采用上述技术方案,第二设备接收第一设备基于私钥文件生成的私钥服务,第二设备以私钥服务的方式向CDN边缘节点提供加密或解密服务,在保证私钥文件安全的基础上,通过灵活部署第二设备的位置,来减小HTTPS请求时延。
实施例五
基于上述实施例一至实施例四提供了一种应用场景,上述信息处理方法可以应用于CDN实现HTTPS加速服务中,在现有的HTTPS系统框架中新增第一设备和第二设备,以实现终端设备与CDN边缘节点的SSL/TLS握手请求。
如图6所示,HTTPS系统框架中包括CDN证书管理服务器61、CDN中心私钥服务管理器62(简称“管理器”)、CDN分布式私钥服务部署器63(简称“部署器”)、CDN边缘节点64和终端65。其中,
CDN证书管理服务器61用于管理不同域名对应的证书或私钥。
“管理器”和“部署器”属于原有HTTPS系统中的新增网元,其中,管理器的功能是从CDN证书管理服务器61中提取域名对应的证书,并生成该域名对应的私钥服务,私钥服务以文件的方式存储在管理器中。管理器将私钥服务分发至部署器,部署器根据业务的需要可以部署在省级节点,也可部署在更下级的地市节点、区县节点等。部署器收到服务部署命令后,从管理器获取私钥服务文件,并在私钥服务部署成功后为CDN边缘节点64提供私钥加解密服务。
这里,管理器实现了第一设备的功能,部署器实现了第二设备的功能。
基于上述HTTPS系统框架实现信息处理的具体流程如下所示:
私钥服务生成流程包括以下:
1、管理器向CDN证书管理服务器请求对应域名的私钥文件;
2、CDN证书管理服务器向管理器返回私钥文件。
3、管理器基于获取的私钥文件生成域名对应的私钥服务,并存储在管理器中。
这里,私钥服务的生成方式可以有多种,比如,利用容器封装私钥文件,生成对应的私钥服务。
私钥服务部署流程包括以下:
4、管理器向私钥服务部署器下发私钥服务文件;
具体的,部署器根据业务需要做分布式部署,部署器可以部署在省级,也可以部署在地市级或区县级。
秘钥服务可以设置生命周期,定期或不定期重新下发,增加安全性。
5、部署器向管理器返回响应报文;
6、部署器收到私钥服务文件后,可根据业务需要在本地部署,并启动私钥服务。
具体的,启动私钥服务的方法包括:基于预设的鉴权信息对第二设备执行鉴权操作;在第二设备鉴权认证通过后,启动私钥服务。
示例性的,鉴权信息可以为:密钥、IP白名单或者IP黑名单等。这里,部署器的标识信息可以为部署器的IP地址,IP白名单中包括至少一个允许启动私钥服务的部署器的IP地址,IP黑名单中包括至少一个不允许启动私钥服务的部署器的IP地址。
也就是说,部署器只有在鉴权认证通过后,才能启动私钥服务;否则,即使部署器或者其他设备获得了私钥服务,也无法使用私钥服务参与实现终端设备与CDN边缘节点的SSL/TLS握手请求。从而加强了私钥服务的安全保障。
进一步地,私钥服务超过预设的时间段没有被访问时,需要停止秘钥服务,同样可以增加私钥服务的安全性。
私钥服务使用流程:
7、终端向CDN边缘节点发起HTTPS请求,请求的初始阶段是SSL/TLS协商阶段,在SSL/TLS协商阶段需要私钥来解密会话秘钥或对相关数据进行签名。
8、当需要使用秘钥服务时,CDN边缘节点将SSL/TLS协商阶段需要解密的会话秘钥或待签名的数据等相关信息传送到部署器;
9、部署器收到信息后,对CDN边缘节点完成相关鉴权认证,随后进行私钥服务计算,返回解密计算后的结果或已签名的数据。
10、CDN边缘节点收到私钥服务解密计算后的结果或已签名的数据后,完成与终端之间的SSL/TLS协商,并返回HTTPS请求响应。
采用上述技术方案,第一、不需要在众多边缘节点中部署私钥文件,只需要在相对集中的层级节点中部署私钥服务,降低私钥文件被盗用的风险;
第二、对私钥文件进行封装得到私钥服务,采用秘钥服务方式参与SSL/TLS协商,提高了私钥文件的安全性,而且采用密钥或黑白名单的方式启动私钥服务、或者以生命周期管理等手段加强了私钥服务使用的安全性;
第三、私钥服务提供点(即部署器)采用分布式部署的方式,可以虽短与边缘节点之间的距离,有效降低时延。
实施例六
基于同一发明构思,本发明实施例还提供了一种第一设备。如图7所示,该第一设备70包括:第一通信单元701和第一处理单元702,其中,
第一通信单元701,用于接收内容分发网络CDN证书管理服务器下发的私钥文件;
第一处理单元702,用于基于所述私钥文件生成对应的私钥服务;
第一通信单元701,还用于下发所述私钥服务给至少一个第二设备,以使所述第二设备基于所述私钥服务为CDN边缘节点提供加密或解密服务。
在一些实施例中,第一通信单元701,还用于向所述CDN证书管理服务器发送私钥文件请求消息,以请求至少一个域名对应的私钥文件。
在一些实施例中,第一处理单元702,具体用于利用容器封装所述私钥文件,生成对应的私钥服务。
在一些实施例中,第一通信单元701,具体用于基于预设的下发策略,下发新的私钥服务给所述至少一个第二设备,使所述第二设备停止使用旧的私钥服务。
在一些实施例中,第一通信单元701,具体用于预设的间隔时间到时,下发所述新的私钥服务给所述至少一个第二设备;或者,获取到下发指示消息时,下发所述新的私钥服务给所述至少一个第二设备。
在一些实施例中,所述至少一个第二设备采用分布式部署方式部署在至少一个层级节点上。
本发明实施例中还提供了另一种第一设备。如图8所示,该第一设备80包括:第一处理器801和配置为存储能够在处理器上运行的计算机程序的第一存储器802;
其中,第一处理器801配置为运行计算机程序时,执行前述实施例中的方法步骤。
当然,实际应用时,如图8所示,该第一设备80中的各个组件通过第一总线系统803耦合在一起。可理解,第一总线系统803用于实现这些组件之间的连接通信。第一总线系统803除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图8中将各种总线都标为第一总线系统803。
实施例七
基于同一发明构思,本发明实施例还提供了一种第二设备。如图9所示,该第一设备90包括:第二通信单元901和第二处理单元902,其中,
第二通信单元901,用于接收第一设备下发的基于私钥文件生成的私钥服务,以及接收到CDN边缘节点发送的报文信息
第二处理单元902,用于在接收到CDN边缘节点发送的报文信息后,访问所述私钥服务对所述报文信息进行加密或解密;
第二通信单元901,还用于发送加密或解密后的报文信息至所述CDN边缘节点。
在一些实施例中,第二处理单元902,还用于基于预设的鉴权信息对所述第二设备执行鉴权操作;在所述第二设备鉴权认证通过后,启动所述私钥服务。
在一些实施例中,所述鉴权信息包括预设密钥、白名单或者黑名单;其中,所述白名单中包含至少一个第二设备的标识信息;所述黑名单中包含至少一个第二设备的标识信息;
第二处理单元902,还用于接收到的密钥与所述预设密钥匹配时,确定所述第二设备鉴权认证通过;或者,所述白名单中包含所述第二设备的标识信息,确定所述第二设备认证通过;或者,所述黑名单中不包含所述第二设备的标识信息,确定所述第二设备认证通过。
在一些实施例中,第二处理单元902,还用于在预设的时间段内,未访问所述私钥服务时,停止所述私钥服务;和/或,在接收到新的私钥服务时,停止所述私钥服务。
在一些实施例中,所述至少一个第二设备采用分布式部署方式部署在至少一个层级节点上。
本发明实施例中还提供了另一种第二设备。如图10所示,该第二设备100包括:第二处理器1001和配置为存储能够在处理器上运行的计算机程序的第二存储器1002;
其中,第二处理器1001配置为运行计算机程序时,执行前述实施例中的方法步骤。
当然,实际应用时,如图10所示,该第二设备100中的各个组件通过第二总线系统1003耦合在一起。可理解,第二总线系统1003用于实现这些组件之间的连接通信。第二总线系统1003除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图10中将各种总线都标为第二总线系统1003。
在实际应用中,上述处理器可以为特定用途集成电路(ASIC,ApplicationSpecific Integrated Circuit)、数字信号处理装置(DSPD,Digital Signal ProcessingDevice)、可编程逻辑装置(PLD,Programmable Logic Device)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、控制器、微控制器、微处理器中的至少一种。可以理解地,对于不同的设备,用于实现上述处理器功能的电子器件还可以为其它,本申请实施例不作具体限定。
上述存储器可以是易失性存储器(volatile memory),例如随机存取存储器(RAM,Random-Access Memory);或者非易失性存储器(non-volatile memory),例如只读存储器(ROM,Read-Only Memory),快闪存储器(flash memory),硬盘(HDD,Hard Disk Drive)或固态硬盘(SSD,Solid-State Drive);或者上述种类的存储器的组合,并向处理器提供指令和数据。
在示例性实施例中,本申请实施例还提供了一种计算机可读存储介质,例如包括计算机程序的第一存储器,上述计算机程序可由第一设备的第一处理器执行,以完成前述方法步骤。或者,包括计算机程序的第二存储器,上述计算机程序可由第二设备的第二处理器执行,以完成前述方法步骤。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程示意图和/或方框图来描述的。应理解可由计算机程序指令实现流程示意图和/或方框图中的每一流程和/或方框、以及流程示意图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程示意图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程示意图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程示意图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (23)
1.一种信息处理方法,应用于第一设备,所述方法包括:
接收内容分发网络CDN证书管理服务器下发的私钥文件;
基于所述私钥文件生成对应的私钥服务;所述私钥服务是利用容器封装所述私钥文件生成的;
下发所述私钥服务给至少一个第二设备,以使所述第二设备基于所述私钥服务为CDN边缘节点提供加密或解密服务。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
向所述CDN证书管理服务器发送私钥文件请求消息,以请求至少一个域名对应的私钥文件。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于预设的下发策略,下发新的私钥服务给所述至少一个第二设备,使所述第二设备停止使用旧的私钥服务。
4.根据权利要求3所述的方法,其特征在于,所述基于预设的下发策略,下发新的私钥服务给所述至少一个第二设备,包括:
预设的间隔时间到时,下发所述新的私钥服务给所述至少一个第二设备;
或者,获取到下发指示消息时,下发所述新的私钥服务给所述至少一个第二设备。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述至少一个第二设备采用分布式部署方式部署在至少一个层级节点上。
6.一种信息处理方法,应用于第二设备,所述方法包括:
接收第一设备下发的基于私钥文件生成的私钥服务;所述私钥服务是利用容器封装所述私钥文件生成的;
在接收到CDN边缘节点发送的报文信息后,访问所述私钥服务对所述报文信息进行加密或解密;
发送加密或解密后的报文信息至所述CDN边缘节点。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
基于预设的鉴权信息对所述第二设备执行鉴权操作;
在所述第二设备鉴权认证通过后,启动所述私钥服务。
8.根据权利要求7所述的方法,其特征在于,所述鉴权信息包括预设密钥、白名单或者黑名单;其中,所述白名单中包含至少一个第二设备的标识信息;所述黑名单中包含至少一个第二设备的标识信息;
所述基于预设的鉴权信息对所述第二设备执行鉴权操作,包括:
接收到的密钥与所述预设密钥匹配时,确定所述第二设备鉴权认证通过;
或者,所述白名单中包含所述第二设备的标识信息,确定所述第二设备认证通过;
或者,所述黑名单中不包含所述第二设备的标识信息,确定所述第二设备认证通过。
9.根据权利要求6所述的方法,其特征在于,所述方法还包括:在预设的时间段内,未访问所述私钥服务时,停止所述私钥服务;
和/或,在接收到新的私钥服务时,停止所述私钥服务。
10.根据权利要求6-9任一项所述的方法,其特征在于,至少一个第二设备采用分布式部署方式部署在至少一个层级节点上。
11.一种第一设备,其特征在于,所述第一设备包括:第一通信单元和第一处理单元;其中,
所述第一通信单元,用于接收内容分发网络CDN证书管理服务器下发的私钥文件;
所述第一处理单元,用于基于所述私钥文件生成对应的私钥服务;所述私钥服务是利用容器封装所述私钥文件生成的;
所述第一通信单元,还用于下发所述私钥服务给至少一个第二设备,以使所述第二设备基于所述私钥服务为CDN边缘节点提供加密或解密服务。
12.根据权利要求11所述的设备,其特征在于,所述第一通信单元,还用于向所述CDN证书管理服务器发送私钥文件请求消息,以请求至少一个域名对应的私钥文件。
13.根据权利要求11所述的设备,其特征在于,所述第一处理单元,还用于基于预设的下发策略,下发新的私钥服务给所述至少一个第二设备,使所述第二设备停止使用旧的私钥服务。
14.根据权利要求13所述的设备,其特征在于,所述第一处理单元,具体用于预设的间隔时间到时,下发所述新的私钥服务给所述至少一个第二设备;或者,获取到下发指示消息时,下发所述新的私钥服务给所述至少一个第二设备。
15.根据权利要求11-14任一项所述的设备,其特征在于,所述至少一个第二设备采用分布式部署方式部署在至少一个层级节点上。
16.一种第二设备,其特征在于,所述第二设备包括:第二通信单元和第二处理单元;其中,
所述第二通信单元,用于接收第一设备下发的基于私钥文件生成的私钥服务,以及接收CDN边缘节点发送的报文信息;所述私钥服务是利用容器封装所述私钥文件生成的;
所述第二处理单元,用于访问所述私钥服务对所述报文信息进行加密或解密;
所述第二通信单元,还用于发送加密或解密后的报文信息至所述CDN边缘节点。
17.根据权利要求16所述的设备,其特征在于,所述第二处理单元,还用于基于预设的鉴权信息对所述第二设备执行鉴权操作;在所述第二设备鉴权认证通过后,启动所述私钥服务。
18.根据权利要求17所述的设备,其特征在于,所述鉴权信息包括预设密钥、白名单或者黑名单;其中,所述白名单中包含至少一个第二设备的标识信息;所述黑名单中包含至少一个第二设备的标识信息;
所述第二处理单元,具体用于接收到的密钥与所述预设密钥匹配时,确定所述第二设备鉴权认证通过;
或者,所述白名单中包含所述第二设备的标识信息,确定所述第二设备认证通过;
或者,所述黑名单中不包含所述第二设备的标识信息,确定所述第二设备认证通过。
19.根据权利要求16所述的设备,其特征在于,所述第二处理单元,还用于在预设的时间段内,未访问所述私钥服务时,停止所述私钥服务;和/或,在接收到新的私钥服务时,停止所述私钥服务。
20.根据权利要求16-19任一项所述的设备,其特征在于,至少一个第二设备采用分布式部署方式部署在至少一个层级节点上。
21.一种第一设备,所述第一设备包括:第一处理器和配置为存储能够在处理器上运行的计算机程序的第一存储器,
其中,所述第一处理器配置为运行所述计算机程序时,执行权利要求1至5任一项所述方法的步骤。
22.一种第二设备,所述第二设备包括:第二处理器和配置为存储能够在处理器上运行的计算机程序的第二存储器,
其中,所述第二处理器配置为运行所述计算机程序时,执行权利要求6至10任一项所述方法的步骤。
23.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至10任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910000532.8A CN111404668B (zh) | 2019-01-02 | 2019-01-02 | 一种信息处理方法、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910000532.8A CN111404668B (zh) | 2019-01-02 | 2019-01-02 | 一种信息处理方法、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111404668A CN111404668A (zh) | 2020-07-10 |
CN111404668B true CN111404668B (zh) | 2023-07-21 |
Family
ID=71431982
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910000532.8A Active CN111404668B (zh) | 2019-01-02 | 2019-01-02 | 一种信息处理方法、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111404668B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115460083B (zh) * | 2021-06-09 | 2024-04-19 | 贵州白山云科技股份有限公司 | 安全加速服务部署方法、装置、介质及设备 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9647835B2 (en) * | 2011-12-16 | 2017-05-09 | Akamai Technologies, Inc. | Terminating SSL connections without locally-accessible private keys |
CN103227801B (zh) * | 2013-05-14 | 2017-02-08 | 网宿科技股份有限公司 | 基于内容分发网络的https证书部署方法及系统 |
US10110592B2 (en) * | 2013-10-09 | 2018-10-23 | Digicert, Inc. | Reducing latency for certificate validity messages using private content delivery networks |
CN104702611B (zh) * | 2015-03-15 | 2018-05-25 | 西安电子科技大学 | 一种保护安全套接层会话密钥的设备及方法 |
-
2019
- 2019-01-02 CN CN201910000532.8A patent/CN111404668B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN111404668A (zh) | 2020-07-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108886468B (zh) | 用于分发基于身份的密钥资料和证书的系统和方法 | |
JP4709815B2 (ja) | 認証方法および装置 | |
US20210224407A1 (en) | Information processing device, information processing method, and distributed component | |
EP2954448B1 (en) | Provisioning sensitive data into third party network-enabled devices | |
CN109302369B (zh) | 一种基于密钥验证的数据传输方法及装置 | |
US10075439B1 (en) | Programmable format for securely configuring remote devices | |
WO2014059136A2 (en) | Techniqued for secure data exchange | |
JPWO2018070242A1 (ja) | 車載ゲートウェイ、鍵管理装置 | |
CN108809907B (zh) | 一种证书请求消息发送方法、接收方法和装置 | |
CN104580180A (zh) | 数据加密方法、数据解密方法及装置 | |
CN104836784A (zh) | 一种信息处理方法、客户端和服务器 | |
CN113438205B (zh) | 区块链数据访问控制方法、节点以及系统 | |
CN112860791A (zh) | 一种跨网数据同步控制系统、方法及存储介质 | |
CN111814131B (zh) | 一种设备注册和配置管理的方法和装置 | |
CN104462874A (zh) | 一种支持离线共享数字资源的drm方法与系统 | |
CN106161363B (zh) | 一种ssl连接建立的方法及系统 | |
CN104767766A (zh) | 一种Web Service接口验证方法、Web Service服务器、客户端 | |
CN110138765B (zh) | 数据处理方法、装置、计算机设备和计算机可读存储介质 | |
CN111654503A (zh) | 一种远程管控方法、装置、设备及存储介质 | |
CN111404668B (zh) | 一种信息处理方法、设备及存储介质 | |
CN114189337A (zh) | 一种固件烧录方法、装置、设备以及存储介质 | |
CN110771087B (zh) | 私钥更新 | |
KR102266654B1 (ko) | Mqtt-sn 프로토콜의 보안을 위한 mqtt-sn 보안 관리 방법 및 시스템 | |
CN115834064B (zh) | 一种安全多方计算方法、装置、系统、设备及存储介质 | |
CN116599719A (zh) | 一种用户登录认证方法、装置、设备、存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |