CN111866172A - 会话票证的处理方法、装置及电子设备 - Google Patents
会话票证的处理方法、装置及电子设备 Download PDFInfo
- Publication number
- CN111866172A CN111866172A CN202010754910.4A CN202010754910A CN111866172A CN 111866172 A CN111866172 A CN 111866172A CN 202010754910 A CN202010754910 A CN 202010754910A CN 111866172 A CN111866172 A CN 111866172A
- Authority
- CN
- China
- Prior art keywords
- session
- session ticket
- ticket
- key
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种会话票证的处理方法、装置及电子设备,涉及通信技术领域,该方法包括接收该管理服务器发送的新会话票证;更新会话配置,将会话配置中的原会话票证确定为主密钥,将该新会话票证确定为次密钥;其中,该主密钥和该次密钥均用于对通信会话进行解密,且优先使用该主密钥对通信会话进行解密,该主密钥还用于对在接收到该新会话票证之后创建的通信会话进行加密;如果接收到该分布式集群完成更新会话配置的确认信息,将该新会话票证确定为主密钥,将该原会话票证确定为次密钥;当预设时间到达时,删除该原会话票证。本发明实施例提供的会话票证的处理方法,可以提高全网简短握手率,节约CPU消耗,提升集群通信的安全性。
Description
技术领域
本发明涉及通信技术领域,尤其是涉及一种会话票证的处理方法、装置及电子设备。
背景技术
随着HTTPS(Hyper Text Transfer Protocol over SecureSocket Layer,超文本传输安全协议)的访问占互联网访问的比率越来越大,对于CDN(Content DeliveryNetwork,内容分发网络)而言,如何降低因为HTTPS造成的CPU消耗成为重要课题,这就需要提高简短握手率,而其中很重要的一个方案即为简短握手的会话票证(ticket)机制。
目前,分布式集群的网页服务器Nginx可以支持分布式会话票证(ticket)机制,但不支持分布式会话标识(session id)机制。在实际操作中,当网页服务器中旧的会话票证达到设定的安全期限时,需要获取新的会话票证,如果用新的会话票证直接替代旧的会话票证,由于集群中各服务器更换会话票证的时间有迟延差异,而在更换会话票证期间,同一客户端的两次通信连接请求可能到达两台不同的服务器,如果这两台服务器的会话票证不一致,则会造成该客户端与其中一台服务器可以简短握手,但与另一台服务器却不能简短握手,这种情况将使得全网简短握手率骤降,并增大服务器CPU的消耗。
整体而言,现有分布式集群中的会话票证部署方式,会降低集群全网的简短握手率,增大服务器CPU的消耗,并降低集群通信的安全性。
发明内容
有鉴于此,本发明的目的在于提供一种会话票证的处理方法、装置及电子设备,可以提高分布式集群全网的简短握手率,降低CPU的消耗,并提升集群通信的安全性。
第一方面,本发明实施例提供了一种会话票证的处理方法,应用于分布式集群的服务器,该服务器与预设的管理服务器通信连接,该管理服务器用于生成会话票证,并将该会话票证发送至该分布式集群的各台服务器,该方法包括:接收该管理服务器发送的新会话票证;更新会话配置,将会话配置中的原会话票证确定为主密钥,将该新会话票证确定为次密钥;其中,该主密钥和该次密钥均用于对通信会话进行解密,且优先使用该主密钥对通信会话进行解密,该主密钥还用于对在接收到该新会话票证之后创建的通信会话进行加密;如果接收到该分布式集群完成更新会话配置的确认信息,将该新会话票证确定为主密钥,将该原会话票证确定为次密钥;当预设时间到达时,删除该原会话票证。
在本发明较佳的实施例中,上述通信会话为安全套接字层SSL会话和传输层安全TLS会话中的一种。
在本发明较佳的实施例中,上述预设时间不少于该原会话票证的有效期时长。
在本发明较佳的实施例中,在接收该管理服务器发送的新会话票证的步骤之前,该方法还包括:开启会话票证机制的预设开关控件。
在本发明较佳的实施例中,上述服务器与预设的客户端通信连接,该方法还包括:接收客户端发送的通信连接请求,该通信连接请求中携带有会话票证;判断该会话票证是否在有效期内;如果是,通过该主密钥对该会话票证进行验证;如果通过该主密钥对该会话票证验证通过,与该客户端建立通信会话。
在本发明较佳的实施例中,上述方法还包括:如果通过该主密钥对该会话票证验证未通过,通过该次密钥对该会话票证进行验证;如果通过该次密钥对该会话票证验证通过,与该客户端建立通信会话。
第二方面,本发明实施例还包括一种会话票证的处理装置,应用于分布式集群的服务器,该服务器与预设的管理服务器通信连接,该管理服务器用于生成会话票证,并将该会话票证发送至该分布式集群的各台服务器,该装置包括:新会话票证接收模块,用于接收该管理服务器发送的新会话票证;会话配置更新模块,用于更新会话配置,将会话配置中的原会话票证确定为主密钥,将该新会话票证确定为次密钥;其中,该主密钥和该次密钥均用于对通信会话进行解密,且优先使用该主密钥对通信会话进行解密,该主密钥还用于对在接收到该新会话票证之后创建的通信会话进行加密;主次密钥调整模块,用于如果接收到该分布式集群完成更新会话配置的确认信息,将该新会话票证确定为主密钥,将该原会话票证确定为次密钥;原会话票证删除模块,用于当预设时间到达时,删除该原会话票证。
在本发明较佳的实施例中,上述通信会话为安全套接字层SSL会话和传输层安全TLS会话中的一种。
第三方面,本发明实施例还提供了一种电子设备,该电子设备包括处理器和存储器,该存储器存储有能够被该处理器执行的计算机可执行指令,该处理器执行该计算机可执行指令以实现上述会话票证的处理方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令在被处理器调用和执行时,计算机可执行指令促使处理器实现上述会话票证的处理方法。
本发明实施例带来了以下有益效果:
本发明实施例提供的一种会话票证的处理方法、装置及电子设备,接收该管理服务器发送的新会话票证;更新会话配置,将会话配置中的原会话票证确定为主密钥,将该新会话票证确定为次密钥;其中,该主密钥和该次密钥均用于对通信会话进行解密,且优先使用该主密钥对通信会话进行解密,该主密钥还用于对在接收到该新会话票证之后创建的通信会话进行加密;如果接收到该分布式集群完成更新会话配置的确认信息,将该新会话票证确定为主密钥,将该原会话票证确定为次密钥;当预设时间到达时,删除该原会话票证。该方式中,通过在分布式集群全网中部署统一的会话票证,在会话票证更换期间,不但在集群的服务器上新增了新会话票证,还保留原会话票证,从而可以解密原来通过原会话票证加密的会话,也可解密用新会话票证加密的会话,直至通过原会话票证加密的会话都结束后,删除服务器上的原会话票证,仅保留新会话票证,从而有效缓解了会话票证更换期间,因为硬替换会话票证导致的部分会话因需要原会话票证解密而无法成功解密,使得全网简短握手率骤降的问题,可以提高全网简短握手率,节约CPU消耗,提升集群通信的安全性。
本公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本公开的上述技术即可得知。
为使本公开的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种通过会话票证进行会话通信的应用场景示意图;
图2为本发明实施例提供的一种会话票证的处理方法的流程示意图;
图3为本发明实施例提供的另一种会话票证的处理方法的流程示意图;
图4为本发明实施例提供的一种会话票证的处理装置的结构示意图;
图5为本发明实施例提供的一种电子设备的结构示意图。
图标:100-集群服务器;200-管理服务器;300-客户端;41-新会话票证接收模块;42-会话配置更新模块;43-主次密钥调整模块;44-原会话票证删除模块;51-处理器;52-存储器;53-总线;54-通信接口。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
会话(Session)是一个客户与服务器之间的不中断的请求响应序列,对客户的每个请求,服务器能够识别出请求来自于同一个客户。当一个未知的客户向Web应用程序发送第一个请求时就开始了一个会话;当客户明确结束会话或服务器在一个预定义的时限内不从客户接受任何请求时,会话结束。
在基于web的电子商务环境中,服务器允许客户端访问网站内的受保护资源之前,服务器通常实现作为守卫门形式的认证和/或授权服务,其中,这些认证和授权服务执行的安全处理可以分成以下两个阶段。
在第一阶段,客户端和服务器建立安全通信会话,如安全套接字层(SecureSockets Layer,SSL)会话,这可以包括客户端和远端服务器之间的证书和密钥交换,以便建立信任关系,并协商SSL会话中将用于加密消息的密钥和密码。许多网站都在它们的认证服务中采用SSL协议。SSL或其后续协议,如传输层安全(Transport Layer Security,TLS),是用于建立从客户端到服务器的安全连接,以便防止消息伪造、数据篡改及窃听而广泛使用的协议。其中,SSL握手协议允许客户端与服务器在应用协议发送或接收其第一个数据字节之前协商加密算法和密钥。通过这种方式,SSL握手提供可以由更高网络层用于安全通信的安全通信会话或连接,包括用于后续认证操作或后续授权操作的凭证信息的后续传输。
在第二阶段,在安全通信会话完成以后,凭证信息从客户端传输到服务器,用于后续的认证操作或后续的授权操作。例如,在SSL会话建立后,服务器请求客户端提供用户凭证,而客户端向服务器提供用户凭证,然后服务器在后续的认证或授权操作中验证该用户凭证。基于用户凭证的验证,服务器或者允许或者阻止客户端对受保护资源的访问。
在实际操作中,会话标识(session id)和会话票证(ticket)是简短握手的两种机制,其中,session id通常用于单机模式,而如果在集群全网部署一样的ticket,则可以实现分布式会话票证。
如图1所示,即为一种通过会话票证进行会话通信的应用场景示意图,其中,集群服务器100分别和客户端300以及管理服务器200通信连接,该管理服务器200用于生成会话票证,并将会话票证发送给集群服务器100。在图1示出的实施方式中,当客户端300需要访问集群服务器100上的数据资源时,首先在客户端300和集群服务器100之间建立安全通信会话,具体地,通过上述两个阶段建立安全会话,并且,服务器通过客户端300提供的会话票证对客户端300进行认证,以允许或阻止客户端300对请求资源的快速访问。
在其中一种可能的实施方式中,上述管理服务器200可以是Nginx,Nginx是一个高性能的HTTP和反向代理web服务器,其中,在Nginx中支持分布式会话票证ticket,但不支持分布式会话缓存session id。在实际操作中,同一个会话票证如果一直使用会存在被破解的风险,因而需要对会话通信中的会话票证进行更新替换。
考虑到现有分布式集群中的会话票证部署方式,会降低集群全网的简短握手率,增大服务器CPU的消耗,并降低集群通信的安全性的问题,本发明实施例提供的一种会话票证的处理方法、装置及电子设备,该技术可以应用于需要对会话票证进行更新的各种场景中。为便于对本实施例进行理解,首先对本发明实施例所公开的一种会话票证的处理方法进行详细介绍。
参见图2,所示为一种会话票证的处理方法的流程示意图,其中,该方法应用于分布式集群的服务器,该服务器与预设的管理服务器通信连接,并且,该管理服务器用于生成会话票证,以及将该会话票证发送至该分布式集群的各台服务器。由图2可见,该方法包括以下步骤:
步骤S202:接收该管理服务器发送的新会话票证。
对于分布式集群中的服务器,其从管理服务器获取会话票证,该会话票证用于对集群服务器和客户端之间建立的通信会话进行加密和解密。通常,管理服务器在生成会话票证时,会设定该话票证对应的有效期,通常设定为300秒,在会话票证的有效期内,集群服务器可以通过客户端提供的有效会话票证快速认证客户端的身份,如果验证通过,则建立会话通信,从而实现简短握手,快速建立通信会话。如果没有验证通过,例如该会话票证超过了有效期,则客户端无法与集群服务器快速建立通信会话,而需要通过完整握手过程以建立通信会话,在完整握手过程中,客户端会从集群服务器重新获取会话票证,并在该新获取的会话票证的有效期内,可以再次和集群服务器实现简短握手。
在实际操作中,为了缓解集群服务器因长期使用相同的会话票证而带来的被破解风险,往往在一定期限内会对集群全网的会话票证进行更新。这里,该更新周期也称为会话票证的安全期限,其可以是一个月,半个月,一个星期,或者其他时间周期,可以根据实际应用场景的需要灵活调整该安全期限的长短。
在其中一种应用场景中,当需要更换集群服务器中的会话票证时,由管理服务器生成新会话票证,并将原会话票证和该新会话票证同时下发到集群中的各个服务器。集群服务器接收该管理服务器下发的原会话票证和新会话票证。
步骤S204:更新会话配置,将会话配置中的原会话票证确定为主密钥,将该新会话票证确定为次密钥;其中,该主密钥和该次密钥均用于对通信会话进行解密,且优先使用该主密钥对通信会话进行解密,该主密钥还用于对在接收到该新会话票证之后创建的通信会话进行加密。
其中,上述通信会话可以是安全套接字层SSL会话或者传输层安全TLS会话。这里,SSL会话和TLS会话均是为网络通信提供安全及数据完整性的安全协议,TLS与SSL在传输层与应用层之间对网络连接进行加密。
在本实施例中,集群服务器将接收到的会话票证替换服务器中已有的会话票证,也即保留原会话票证,并在该原会话票证之后新增接收到的新会话票证。从而在集群服务器上同时存储有两个会话票证。
这里,将会话配置中的原会话票证确定为主密钥,并且将该新会话票证确定为次密钥。在集群服务器与客户端建立通信会话时,使用主密钥对在接收到该新会话票证之后创建的通信会话进行加密,也即,如果需要发送会话票证给客户端,依然发送原会话票证,此时仍然使用原会话票证对新创建的通信会话进行加密。并且,如果在通信会话中需要对接收到的客户端的信息进行解密,优先使用主密钥,此时仍然是原会话凭证,进行解密。
步骤S206:如果接收到该分布式集群完成更新会话配置的确认信息,将该新会话票证确定为主密钥,将该原会话票证确定为次密钥。
分布式集群中通常有较多数量的集群服务器,在会话票证更换期间,各个集群服务器从管理服务器接受到新会话票证,以及进行配置更新的时间有先后差异,当集群服务器完成会话配置的更新之后,会向管理服务器返回更新配置完成的信息,这里,在管理服务器确认集群中的所有服务器均已完成会话配置的更新时,通知集群中的服务器。当集群中的服务器接收到分布式集群完成更新会话配置的确认信息时,将该新会话票证确定为主密钥,将该原会话票证确定为次密钥。
也即,对于每个集群服务器,此时该服务器中依然存储有两个会话票证,但是,对两个会话票证(也即密钥)进行了轮换,将新会话票证确定为主密钥,而将原会话票证确定为次密钥。在密钥轮换之后,如果需要向客户端发送会话票证,则会发送新会话票证,以通过新会话票证对之后创建的通信会话进行加密,并且,如果在之后的通信会话中需要对接收到的客户端的信息进行解密时,优先使用新会话票证进行解密,如果解密不成功,再使用原会话票证进行解密。
步骤S208:当预设时间到达时,删除该原会话票证。
由于在进行密钥轮换之前,仍然使用原会话票证对新创建的会话进行加密,在密钥轮换之后,这些使用原会话票证进行加密的会话可能尚未结束,此时,还需要保留原会话票证,以对这部分会话进行解密,以保证客户端可以在此期间凭借原会话票证实现与集群服务器的简短握手。
当使用原会话票证进行加密的所有会话都已经结束时,可以删除该原会话票证。在本实施例中,通过设定预设时间,以触发原会话票证的删除。在至少一种可能的实施方式中,该预设时间不少于原会话票证的有效期时长。例如,假设原会话票证的有效时长为300秒,则在密钥轮换之后至少达300秒时,删除原会话票证,这里,可以设置该预设时间为305秒或者其他大于300秒的时间,此处不作限制。
这样,在删除原会话票证后,集群服务器上仅保留新会话票证,只通过该新会话票证对通信会话进行加密和解密,直至触发下一轮的会话票证替换,继续执行上述步骤S202至步骤S208。
相比于传统用新会话票证直接替代原会话票证的硬替换方式,本实施例提供的会话票证的处理方式,使得在集群服务器上的会话票证更换期间,对于通过原会话票证进行加解密的尚未完成的会话,仍可以正常实现简短握手,有效缓解了硬替换新旧会话票证带来的全网握手率骤降的问题。
本发明实施例提供的一种会话票证的处理方法,接收该管理服务器发送的新会话票证;更新会话配置,将会话配置中的原会话票证确定为主密钥,将该新会话票证确定为次密钥;其中,该主密钥和该次密钥均用于对通信会话进行解密,且优先使用该主密钥对通信会话进行解密,该主密钥还用于对在接收到该新会话票证之后创建的通信会话进行加密;如果接收到该分布式集群完成更新会话配置的确认信息,将该新会话票证确定为主密钥,将该原会话票证确定为次密钥;当预设时间到达时,删除该原会话票证。该方式中,通过在分布式集群全网中部署统一的会话票证,同一客户端的不同请求发送给不同服务器时,都可以成功实现简短握手,从而提高简短握手率;并且,在会话票证更换期间,不但在集群的服务器上新增了新会话票证,还保留原会话票证,从而可以解密原来通过原会话票证加密的会话,也可解密用新会话票证加密的会话,直至通过原会话票证加密的会话都结束后,删除服务器上的原会话票证,仅保留新会话票证,从而有效缓解了会话票证更换期间,因为硬替换会话票证导致的部分会话因需要原会话票证解密而无法成功解密,使得全网简短握手率骤降的问题,可以提高全网简短握手率,节约CPU消耗,提升集群通信的安全性。
在图1所示会话票证的处理方法的基础上,本实施例进一步介绍了在会话票证更换期间,集群服务器通过原会话票证和新会话票证进行加解密通信会话的具体实现过程。参见图3,所示为另一种会话票证的处理方法的流程示意图,其中,该方法应用于分布式集群的服务器,该服务器与预设的管理服务器通信连接,该管理服务器用于生成会话票证,并将该会话票证发送至该分布式集群的各台服务器。由图3可见,该方法包括以下步骤:
步骤S302:接收客户端发送的通信连接请求,该通信连接请求中携带有会话票证。
在本实施例中,集群全网均有管理服务器其下发统一的会话票证,因而,客户端从集群中的集群服务器A获取的会话票证,同样可以用于与集群服务器B之间的简短握手。
步骤S304:判断该会话票证是否在有效期内;如果是,执行步骤S306,否则,执行步骤S316。
当集群服务器接收到客户端的通信连接请求时,判断该连接请求中携带的会话票证是否在有效期内,如果该会话票证在有效期内,则通过服务器中的主密钥对该会话票证进行验证。此时,如果是在密钥轮换之前,则主密钥为原会话票证,即通过原会话票证对该会话票证进行验证,检验其是否符合会话规则;如果此时在密钥轮换之后,则通过新会话票证进行验证。
并且,如果该会话票证不在有效期内,则向客户端返回会话票证错误通知。
步骤S306:通过该主密钥对该会话票证进行验证。
也即,通过主密钥对该会话票证进行解密,以检验其是否符合会话规则。
步骤S308:判断通过该主密钥对该会话票证验证是否通过;如果是,执行步骤S314;如果否,执行步骤S310。
如果通过主密钥对该会话票证验证通过,则与该客户端建立通信会话,从而实现简短握手;如果通过主密钥对该会话票证验证未通过,则需要再通过次密钥对该会话票证进行验证。
这里,以密钥轮换之后且原会话票证尚未删除期间接收到的通信连接请求为例,此时主密钥为新会话票证,次密钥为原会话票证。如果通信连接请求中携带的会话票证是新会话票证,则通过主密钥对该会话票证验证将会通过;而如果通信连接请求中携带的会话票证是原会话票证,则通过主密钥对该会话票证验证将不会通过,此时,需要通过次密钥再对该会话票证进行验证。
步骤S310:通过该次密钥对该会话票证进行验证。
也即,通过次密钥对该会话票证进行解密,以检验其是否符合会话规则。
步骤S312:判断通过该次密钥对该会话票证验证是否通过;如果是,执行步骤S314,否则,执行步骤S316。
如果通过次密钥对该会话票证验证通过,则与该客户端建立通信会话,从而实现简短握手;如果通过次密钥对该会话票证验证未通过,则向客户端返回会话票证错误通知,此时,客户端需要通过完整握手以建立通信会话。
步骤S314:与该客户端建立通信会话。
集群服务器与客户端建立通信会话之后,客户端即可对该集群服务器上的数据资源进行访问等操作。
步骤S316:向客户端返回会话票证错误通知。
如果通信连接请求中携带的会话票证已经超出有效期,或者不符合会话规则,则向客户端返回会话票证错误的通知,此时,客户端需要通过完整握手以与该集群服务器建立通信会话。
在至少一种可能的实施方式中,还可以在集群服务器上设置开关控件,用以控制会话票证机制的启闭。当该开关控件开启时,执行前述实施例中提供的会话票证的处理方法。例如,可以通过下述代码实现分布式会话票证在Nginx服务中的配置:
ssl_session_tickets on;
ssl_session_ticket_keyticket.key。
其中,ticket.key也即是会话票证,其生成代码如下:
openssl rand-out ticket.key 48。
本实施例提供的会话票证的处理方法,在会话票证更换期间,集群服务器上同时保留有原会话票证和新会话票证,既可以解密通过原会话票证加密的会话,也可解密用新会话票证加密的会话,缓解了现有技术中票证硬替换方式造成的全网简短握手率骤降的问题,可以提高全网简短握手率,节约CPU消耗,提升集群通信的安全性。
对应于图1中所示的会话票证的处理方法,本发明实施例还提供了一种会话票证的处理装置,如图4所示,其为一种会话票证的处理装置的结构示意图,其中,该装置应用于分布式集群的服务器,该服务器与预设的管理服务器通信连接,该管理服务器用于生成会话票证,并将该会话票证发送至该分布式集群的各台服务器。
由图4可见,该装置包括依次相连的新会话票证接收模块41、会话配置更新模块42、主次密钥调整模块43和原会话票证删除模块44,其中,各个模块的功能如下:
新会话票证接收模块41,用于接收该管理服务器发送的新会话票证;
会话配置更新模块42,用于更新会话配置,将会话配置中的原会话票证确定为主密钥,将该新会话票证确定为次密钥;其中,该主密钥和该次密钥均用于对通信会话进行解密,且优先使用该主密钥对通信会话进行解密,该主密钥还用于对在接收到该新会话票证之后创建的通信会话进行加密;
主次密钥调整模块43,用于如果接收到该分布式集群完成更新会话配置的确认信息,将该新会话票证确定为主密钥,将该原会话票证确定为次密钥;
原会话票证删除模块44,用于当预设时间到达时,删除该原会话票证。
本发明实施例提供的一种会话票证的处理装置,接收该管理服务器发送的新会话票证;更新会话配置,将会话配置中的原会话票证确定为主密钥,将该新会话票证确定为次密钥;其中,该主密钥和该次密钥均用于对通信会话进行解密,且优先使用该主密钥对通信会话进行解密,该主密钥还用于对在接收到该新会话票证之后创建的通信会话进行加密;如果接收到该分布式集群完成更新会话配置的确认信息,将该新会话票证确定为主密钥,将该原会话票证确定为次密钥;当预设时间到达时,删除该原会话票证。该装置中,通过在分布式集群全网中部署统一的会话票证,在会话票证更换期间,不但在集群的服务器上新增了新会话票证,还保留原会话票证,从而可以解密原来通过原会话票证加密的会话,也可解密用新会话票证加密的会话,直至通过原会话票证加密的会话都结束后,删除服务器上的原会话票证,仅保留新会话票证,从而有效缓解了会话票证更换期间,因为硬替换会话票证导致的部分会话因需要原会话票证解密而无法成功解密,使得全网简短握手率骤降的问题,可以提高全网简短握手率,节约CPU消耗,提升集群通信的安全性。
在其中一种可能的实施方式中,上述通信会话为安全套接字层SSL会话和传输层安全TLS会话中的一种。
在另一种可能的实施方式中,上述预设时间不少于该原会话票证的有效期时长。
在另一种可能的实施方式中,上述装置还包括会话票证机制开启模块,用于开启会话票证机制的预设开关控件。
在另一种可能的实施方式中,上述装置还包括通信连接请求接收模块,用于接收客户端发送的通信连接请求,该通信连接请求中携带有会话票证;判断验证模块,用于判断该会话票证是否在有效期内;如果是,通过该主密钥对该会话票证进行验证;如果通过该主密钥对该会话票证验证通过,与该客户端建立通信会话。
在另一种可能的实施方式中,上述判断验证模块还用于:如果通过该主密钥对该会话票证验证未通过,通过该次密钥对该会话票证进行验证;如果通过该次密钥对该会话票证验证通过,与该客户端建立通信会话。
本发明实施例提供的会话票证的处理装置,其实现原理及产生的技术效果和前述会话票证的处理方法实施例相同,为简要描述,会话票证的处理装置的实施例部分未提及之处,可参考前述会话票证的处理方法实施例中相应内容。
本发明实施例还提供了一种电子设备,如图5所示,为该电子设备的结构示意图,其中,该电子设备包括处理器51和存储器52,该存储器52存储有能够被该处理器51执行的机器可执行指令,该处理器51执行该机器可执行指令以实现上述会话票证的处理方法。
在图5示出的实施方式中,该电子设备还包括总线53和通信接口54,其中,处理器51、通信接口54和存储器52通过总线连接。
其中,存储器52可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口54(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。总线可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
处理器51可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器51中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器51可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器51读取存储器52中的信息,结合其硬件完成前述实施例的会话票证的处理方法的步骤。
本发明实施例还提供了一种机器可读存储介质,该机器可读存储介质存储有机器可执行指令,该机器可执行指令在被处理器调用和执行时,该机器可执行指令促使处理器实现上述会话票证的处理方法,具体实现可参见前述方法实施例,在此不再赘述。
本发明实施例所提供的会话票证的处理方法、会话票证的处理装置和电子设备的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的会话票证的处理方法,具体实现可参见方法实施例,在此不再赘述。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种会话票证的处理方法,其特征在于,应用于分布式集群的服务器,所述服务器与预设的管理服务器通信连接,所述管理服务器用于生成会话票证,并将所述会话票证发送至所述分布式集群的各台服务器,所述方法包括:
接收所述管理服务器发送的新会话票证;
更新会话配置,将会话配置中的原会话票证确定为主密钥,将所述新会话票证确定为次密钥;其中,所述主密钥和所述次密钥均用于对通信会话进行解密,且优先使用所述主密钥对通信会话进行解密,所述主密钥还用于对在接收到所述新会话票证之后创建的通信会话进行加密;
如果接收到所述分布式集群完成更新会话配置的确认信息,将所述新会话票证确定为主密钥,将所述原会话票证确定为次密钥;
当预设时间到达时,删除所述原会话票证。
2.根据权利要求1所述的会话票证的处理方法,其特征在于,所述通信会话为安全套接字层SSL会话和传输层安全TLS会话中的一种。
3.根据权利要求1所述的会话票证的处理方法,其特征在于,所述预设时间不少于所述原会话票证的有效期时长。
4.根据权利要求1所述的会话票证的处理方法,其特征在于,在接收所述管理服务器发送的新会话票证的步骤之前,所述方法还包括:
开启会话票证机制的预设开关控件。
5.根据权利要求1所述的会话票证的处理方法,其特征在于,所述服务器与预设的客户端通信连接,所述方法还包括:
接收所述客户端发送的通信连接请求,所述通信连接请求中携带有会话票证;
判断所述会话票证是否在有效期内;
如果是,通过所述主密钥对所述会话票证进行验证;
如果通过所述主密钥对所述会话票证验证通过,与所述客户端建立通信会话。
6.根据权利要求5所述的会话票证的处理方法,其特征在于,所述方法还包括:
如果通过所述主密钥对所述会话票证验证未通过,通过所述次密钥对所述会话票证进行验证;
如果通过所述次密钥对所述会话票证验证通过,与所述客户端建立通信会话。
7.一种会话票证的处理装置,其特征在于,应用于分布式集群的服务器,所述服务器与预设的管理服务器通信连接,所述管理服务器用于生成会话票证,并将所述会话票证发送至所述分布式集群的各台服务器,所述装置包括:
新会话票证接收模块,用于接收所述管理服务器发送的新会话票证;
会话配置更新模块,用于更新会话配置,将会话配置中的原会话票证确定为主密钥,将所述新会话票证确定为次密钥;其中,所述主密钥和所述次密钥均用于对通信会话进行解密,且优先使用所述主密钥对通信会话进行解密,所述主密钥还用于对在接收到所述新会话票证之后创建的通信会话进行加密;
主次密钥调整模块,用于如果接收到所述分布式集群完成更新会话配置的确认信息,将所述新会话票证确定为主密钥,将所述原会话票证确定为次密钥;
原会话票证删除模块,用于当预设时间到达时,删除所述原会话票证。
8.根据权利要求7所述的会话票证的处理装置,其特征在于,所述通信会话为安全套接字层SSL会话和传输层安全TLS会话中的一种。
9.一种电子设备,其特征在于,所述电子设备包括处理器和存储器,所述存储器存储有能够被所述处理器执行的计算机可执行指令,所述处理器执行所述计算机可执行指令以实现权利要求1至6任一项所述的会话票证的处理方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令在被处理器调用和执行时,计算机可执行指令促使处理器实现权利要求1至6任一项所述的会话票证的处理方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010754910.4A CN111866172A (zh) | 2020-07-30 | 2020-07-30 | 会话票证的处理方法、装置及电子设备 |
| PCT/CN2021/098070 WO2022022057A1 (zh) | 2020-07-30 | 2021-06-03 | 会话票证的处理方法、装置、电子设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010754910.4A CN111866172A (zh) | 2020-07-30 | 2020-07-30 | 会话票证的处理方法、装置及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111866172A true CN111866172A (zh) | 2020-10-30 |
Family
ID=72946339
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010754910.4A Pending CN111866172A (zh) | 2020-07-30 | 2020-07-30 | 会话票证的处理方法、装置及电子设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN111866172A (zh) |
| WO (1) | WO2022022057A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022022057A1 (zh) * | 2020-07-30 | 2022-02-03 | 北京金山云网络技术有限公司 | 会话票证的处理方法、装置、电子设备及计算机可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9591084B1 (en) * | 2013-11-14 | 2017-03-07 | Avi Networks | Network devices using TLS tickets for session persistence |
| CN106790285A (zh) * | 2017-02-27 | 2017-05-31 | 杭州迪普科技股份有限公司 | 一种会话重用方法及装置 |
| CN107846395A (zh) * | 2016-09-20 | 2018-03-27 | 塞尔蒂卡姆公司 | 车载联网 |
| US20190182349A1 (en) * | 2017-12-07 | 2019-06-13 | Akamai Technologies, Inc. | Client side cache visibility with tls session tickets |
| CN110830239A (zh) * | 2018-08-07 | 2020-02-21 | 阿里巴巴集团控股有限公司 | 一种密钥更新方法、装置及系统 |
| CN111132154A (zh) * | 2019-12-26 | 2020-05-08 | 飞天诚信科技股份有限公司 | 一种协商会话密钥的方法及系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101488111A (zh) * | 2009-02-17 | 2009-07-22 | 普天信息技术研究院有限公司 | 一种身份认证方法和系统 |
| US9026784B2 (en) * | 2012-01-26 | 2015-05-05 | Mcafee, Inc. | System and method for innovative management of transport layer security session tickets in a network environment |
| US10542041B2 (en) * | 2017-06-01 | 2020-01-21 | International Business Machines Corporation | Cacheless session ticket support in TLS inspection |
| CN111866172A (zh) * | 2020-07-30 | 2020-10-30 | 北京金山云网络技术有限公司 | 会话票证的处理方法、装置及电子设备 |
-
2020
- 2020-07-30 CN CN202010754910.4A patent/CN111866172A/zh active Pending
-
2021
- 2021-06-03 WO PCT/CN2021/098070 patent/WO2022022057A1/zh active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9591084B1 (en) * | 2013-11-14 | 2017-03-07 | Avi Networks | Network devices using TLS tickets for session persistence |
| CN107846395A (zh) * | 2016-09-20 | 2018-03-27 | 塞尔蒂卡姆公司 | 车载联网 |
| CN106790285A (zh) * | 2017-02-27 | 2017-05-31 | 杭州迪普科技股份有限公司 | 一种会话重用方法及装置 |
| US20190182349A1 (en) * | 2017-12-07 | 2019-06-13 | Akamai Technologies, Inc. | Client side cache visibility with tls session tickets |
| CN110830239A (zh) * | 2018-08-07 | 2020-02-21 | 阿里巴巴集团控股有限公司 | 一种密钥更新方法、装置及系统 |
| CN111132154A (zh) * | 2019-12-26 | 2020-05-08 | 飞天诚信科技股份有限公司 | 一种协商会话密钥的方法及系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022022057A1 (zh) * | 2020-07-30 | 2022-02-03 | 北京金山云网络技术有限公司 | 会话票证的处理方法、装置、电子设备及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022022057A1 (zh) | 2022-02-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11588649B2 (en) | Methods and systems for PKI-based authentication | |
| CN109088889B (zh) | 一种ssl加解密方法、系统及计算机可读存储介质 | |
| JP6612358B2 (ja) | ネットワークアクセスデバイスをワイヤレスネットワークアクセスポイントにアクセスさせるための方法、ネットワークアクセスデバイス、アプリケーションサーバ、および不揮発性コンピュータ可読記憶媒体 | |
| US8532620B2 (en) | Trusted mobile device based security | |
| US20060155855A1 (en) | Apparatus, methods and computer software productus for judging the validity of a server certificate | |
| CN110611569B (zh) | 一种认证方法及相关设备 | |
| CN112714053B (zh) | 通信连接方法及装置 | |
| US11070537B2 (en) | Stateless method for securing and authenticating a telecommunication | |
| CN112600831B (zh) | 一种网络客户端身份认证系统和方法 | |
| KR102591826B1 (ko) | Puf를 이용한 인증서 기반 디바이스 인증 장치 및 방법 | |
| CN113395249A (zh) | 客户端登录认证方法、系统和计算机设备 | |
| US11283629B2 (en) | Automated replacement of renewable server certificates | |
| WO2022022057A1 (zh) | 会话票证的处理方法、装置、电子设备及计算机可读存储介质 | |
| CN114978751B (zh) | 业务证书获取方法、装置和电子设备 | |
| CN114329426A (zh) | 一种客户端认证方法、装置、设备以及存储介质 | |
| KR101962349B1 (ko) | 인증서 기반 통합 인증 방법 | |
| JP6254964B2 (ja) | 認証システム、予備鍵管理装置、予備鍵管理方法および予備鍵管理プログラム | |
| CN115314278B (zh) | 可信网络连接身份认证方法、电子设备及存储介质 | |
| WO2017024588A1 (zh) | 业务处理方法及装置 | |
| KR101737925B1 (ko) | 도전-응답 기반의 사용자 인증 방법 및 시스템 | |
| CN114003892A (zh) | 可信认证方法、安全认证设备及用户终端 | |
| EP4338368A1 (en) | Method for authentication of a service provider device to a user device | |
| KR101161733B1 (ko) | 온라인 서비스를 위한 전자서명 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201030 |
|
| RJ01 | Rejection of invention patent application after publication |