CN115460083B - 安全加速服务部署方法、装置、介质及设备 - Google Patents
安全加速服务部署方法、装置、介质及设备 Download PDFInfo
- Publication number
- CN115460083B CN115460083B CN202110644548.XA CN202110644548A CN115460083B CN 115460083 B CN115460083 B CN 115460083B CN 202110644548 A CN202110644548 A CN 202110644548A CN 115460083 B CN115460083 B CN 115460083B
- Authority
- CN
- China
- Prior art keywords
- domain name
- certificate
- target domain
- acceleration service
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000001133 acceleration Effects 0.000 title claims abstract description 210
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000004590 computer program Methods 0.000 claims description 14
- 230000015654 memory Effects 0.000 claims description 10
- 230000008520 organization Effects 0.000 abstract description 11
- 238000007726 management method Methods 0.000 description 101
- 238000010586 diagram Methods 0.000 description 16
- 230000007246 mechanism Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000004075 alteration Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004083 survival effect Effects 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0823—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
- H04L41/083—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability for increasing network speed
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请是关于一种安全服务部署方法、装置、介质及设备。安全服务部署方法应用于证书管理平台包括:接收边缘节点发送的目标域名的证书获取请求;当确定为目标域名开启安全加速服务时,向CA机构申请所述目标域名的证书;向边缘节点返回目标域名的证书。在需要为目标域名提供安全加速服务时,证书管理中心可以为仅为其用户提供HTTP服务的内容提供商的域名自动实现安全加速服务,不需要内容提供商申请域名的证书或者考虑是否开启安全服务。
Description
技术领域
本申请涉及互联网领域,尤其涉及一种安全加速服务部署方法、装置、介质及设备。
背景技术
安全协议如HTTPS被广泛应用,能够提高在网络中传输的数据的安全性,传统技术中,部分浏览器会开启域名强制安全访问,例如,客户端浏览器开启强制HTTPS访问,将用户输入的HTTP格式的请求修改为HTTPS格式的请求。
如果内容提供商的网站未提供安全访问服务,如网站仅为其用户提供HTTP服务,当CDN厂商为网站提供加速服务时,由于没有域名的证书,CDN厂商无法为网站提供如HTTPS的安全加速服务。如果客户端浏览器开启域名强制HTTPS访问时,客户端将无法从CDN网络获取请求的内容。
发明内容
为克服相关技术中存在的问题,本申请提供一种安全加速服务部署方法、装置、介质及设备。
根据本申请的第一方面,提供一种安全加速服务部署方法,应用于证书管理平台,包括:
接收边缘节点发送的目标域名的证书获取请求;
当确定为目标域名开启安全加速服务时,向CA机构申请目标域名的证书;
向边缘节点返回目标域名的证书。
在本申请的一些实施例中,基于前述方案,确定为目标域名开启安全加速服务包括:
当目标域名的域名信息满足安全加速策略时,确定为目标域名开启安全加速服务,域名信息包括顶级域类型、业务类型中的至少一种;或者,
当目标域名的运营信息满足安全加速策略时,确定为目标域名开启安全加速服务,运营信息包括访问目标域名的安全加速服务的历史次数、访问目标域名的安全加速服务的访问趋势中的至少一种;或者,
接收到为目标域名开启安全加速服务的指令信息时,确定为目标域名开启安全加速服务;或者,
当目标域名为指定域名,且当前时间为指定的时间段内,确定为目标域名开启安全加速服务。
在本申请的一些实施例中,基于前述方案,安全加速策略包括以下策略中的一种或多种:
为预设顶级域类型和/或预设业务类型的域名开启安全加速服务;
为访问安全加速服务的次数大于等于预设阈值的域名和/或访问目标域名的安全加速服务的访问趋势变大的域名开启安全加速服务;
为接收到开启安全加速服务的指令信息的域名开启安全加速服务;
在指定时间段内为指定的域名开启安全加速服务。
在本申请的一些实施例中,基于前述方案,向CA机构申请所述目标域名的证书之前,还包括:获取所述目标域名的配置信息,所述配置信息包括域名名称、域名所有人或管理人相关信息。
在本申请的一些实施例中,基于前述方案,安全加速服务包括HTTPS加速服务或QUIC加速服务。
根据本申请的第一方面,提供一种安全加速服务部署方法,应用于边缘节点,包括:
接收客户端的安全连接建立请求,安全连接建立请求包括目标域名信息;
若本地不存在目标域名的证书,向证书管理平台发送目标域名的证书获取请求。
在本申请的一些实施例中,基于前述方案,安全加速服务部署方法,还包括:
接收所述证书管理平台发送的所述目标域名的证书。
在本申请的一些实施例中,基于前述方案,如果未能从所述证书管理平台获取所述目标域名的证书,则断开与客户端的连接。
根据本申请的另一方面,提供一种安全加速服务部署装置,应用于证书管理平台,包括:
证书获取请求接收模块,用于接收边缘节点发送的目标域名的证书获取请求;
证书申请模块,用于当确定为所述目标域名开启安全加速服务时,向CA机构申请所述目标域名的证书;
证书管理模块,用于向所述边缘节点返回所述目标域名的证书。
在本申请的一些实施例中,基于前述方案,安全加速服务部署装置,还包括:
配置信息接收模块,用于接收目标域名的配置信息,配置信息包括域名名称、域名所有人或管理人相关信息。
根据本申请的另一方面,提供一种安全加速服务部署装置,应用于边缘节点,包括:
请求接收模块,用于接收客户端的安全连接建立请求,所述安全连接建立请求包括目标域名信息;
证书获取请求发送模块,用于若本地不存在所述目标域名的证书,向证书管理平台发送所述目标域名的证书获取请求。
在本申请的一些实施例中,基于前述方案,安全加速服务部署装置,还包括:
证书接收模块,用于接收所述证书管理平台发送的所述目标域名的证书。
根据本申请的另一方面,提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被执行时实现安全加速服务部署方法的步骤。
根据本申请的另一方面,提供一种计算机设备,包括处理器、存储器和存储于所述存储器上的计算机程序,所述处理器执行所述计算机程序时实现安全加速服务部署方法的步骤。
本申请提供一种安全加速服务部署方法,证书管理平台接收到边缘节点发送的目标域名的证书获取请求后,如确定为目标域名开启安全加速服务,自动向CA机构申请目标域名的证书。可以为仅为其用户提供HTTP服务的内容提供商的网站实现安全加速服务,不需要内容提供商申请域名的证书或者考虑是否开启安全服务。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据一示例性实施例示出的一种安全加速服务部署方法的流程图。
图2是根据一示例性实施例示出的一种安全加速服务部署方法的流程图。
图3是根据一示例性实施例示出的一种安全加速服务部署装置的框图。
图4是根据一示例性实施例示出的一种安全加速服务部署装置的框图。
图5是根据一示例性实施例示出的一种安全加速服务部署装置的框图。
图6是根据一示例性实施例示出的一种安全加速服务部署装置的框图。
图7是根据一示例性实施例示出的一种计算机设备的框图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
随着网络发展,出现了多种以安全为目的传输协议,例如:
HTTPS又称HTTP over TLS,即采用HTTP方式通讯,但利用TLS/SSL来加密通讯过程中的数据包,SSL(Secure Sockets Layer安全套接字协议),及传输层安全(TransportLayer Security,TLS)是为网络通信提供安全及数据完整性的安全协议。TLS与SSL在传输层与应用层之间对网络连接进行加密。HTTPS是如今互联网领域中,确保网站真实、保护用户隐私以及信息安全的重要方式。
使用上述安全协议提供安全服务时,服务端需要部署目标域名的证书,供客户端进行认证。
然而,现实中仍有大量网站采用普通协议(例如HTTP)提供服务,其原因为内容提供商对网站资源的安全性不敏感。在CDN厂商为内容提供商的网站提供加速服务时,由于内容提供商未提供网站的域名相关的证书给CDN厂商,CDN厂商的CDN边缘节点也不能向客户端提供网站域名的证书,进而CDN不能提供使用安全协议的加速服务,本申请将CDN系统使用安全协议向用户提供的加速服务定义为安全加速服务。另外,在客户端浏览器开启域名强制HTTPS访问时,客户端浏览器会将用户输入的HTTP协议格式的请求转换为HTTPS协议格式的请求,对于边缘节点来说,当边缘节点接收到客户端的HTTPS协议格式的请求,该HTTPS协议格式的请求如果是针对仅为其用户提供HTTP服务的网站的内容的请求时,由于边缘节点没有该网站域名的证书,不能与客户端建立加密连接,不能对客户端的HTTPS协议格式的请求响应正确的内容。
另外一个方面,如果内容提供商希望在CDN厂商提供CDN加速服务时,CDN厂商能够采用HTTPS或者QUIC提供安全的加速服务,内容提供商需要将网站域名的证书提供给CDN厂商,其过程大致如下:以安全加速服务为HTTPS服务进行说明,内容提供商创建域名相关的服务端公钥以及私钥,然后提交该公钥以及个人或组织信息等至CA(权威证书颁发)机构进行认证申请;CA机构审核信息通过后,生成数字证书,该数字证书包申请者的公钥、申请者信息、CA签名等信息;内容提供商收到该数字证书后,将该证书发送给CDN厂商,由CDN厂商负责部署该证书至边缘节点。当客户端的HTTPS协议格式的请求至CDN边缘节点时,边缘节点便会将证书发送给客户端,客户端认证该证书通过后,进行密钥协商,后续便可继续HTTPS协议格式的请求处理。可见,为了提供HTTPS服务功能,内容提供商需要经历繁琐的过程。
为解决传统技术中存在的问题,本申请提供一种安全加速服务部署方法。
图1示出了根据本申请一示例性实施例的安全加速服务部署方法的流程图。参考图1,安全加速服务部署方法应用于证书管理平台,安全加速服务部署方法至少包括步骤S11至步骤S13,详细介绍如下:
在步骤S11中,接收边缘节点发送的目标域名的证书获取请求。
证书管理平台是CDN服务商设置的,用于对服务的域名的证书进行管理的设备,可以为专用设备,也可以为一般服务器,其上安装用于证书管理的软件或代码。
内容提供商提供网络内容,拥有自己的网站域名,供网民访问。内容提供商可以使用CDN服务商的CDN网络,对网站内容进行加速。CDN服务商可以预先获取内容提供商的域名的相关信息,以便对CDN网络进行配置,例如设置相应的边缘服务器对内容提供商的域名进行加速服务。再如,如果内容提供商采用HTTPS服务,且已申请了域名的证书,在CDN网络提供加速服务前,需要将域名及域名的证书提供给CDN服务商,CDN服务商将域名的证书部署至边缘节点中。例如,部署了目标域名的证书的边缘节点,可以在接收到针对目标域名的HTTPS协议格式的请求时,向客户端提供域名的证书,并在域名的证书验证通过后,与客户端建立安全连接。
一般情况下,CDN厂商为内容提供商的网站内容提供加速服务时,如果网站支持安全协议,CDN厂商能够从内容提供商处获取到目标域名的证书,并将目标域名的证书部署在边缘节点中,以使边缘节点在接收到针对目标域名的安全连接请求时,向客户端发送域名的证书,并与客户端协商对话密钥后,建立加密的安全连接;如果网站只支持HTTP协议,内容提供商并未申请目标域名的证书,CDN厂商也就不能从内容提供商处获取到目标域名的证书,并部署目标域名的证书到边缘节点中,因此边缘节点接收到针对目标域名的安全连接请求时,不能向客户端提供目标域名的证书,也不能与客户端进行有效协商,无法建立加密的安全连接。通常情况下,边缘节点断开与客户端的连接。在此情况下,客户端发出的针对目标域名的安全连接请求,都不能得到正确响应,在此类客户端数量较大时,会严重影响内容提供商的服务质量,降低用户体验。
本实施例中,边缘节点接收到客户端的安全连接请求后,获取请求中的目标域名,在查询本地存储中,没有目标域名的证书时,边缘节点不会第一时间断开与客户端的连接,而是向证书管理平台发送目标域名的证书获取请求。证书管理平台接收边缘节点发送的目标域名的证书获取请求后,可以查询本地存储中是否存在目标域名的证书。
在步骤S12中,当确定为目标域名开启安全加速服务时,向CA机构申请所述目标域名的证书。
证书管理平台接收到边缘节点的证书获取请求后,会查询本地的存储,如果有目标域名的证书,可以将目标域名的证书下发至该边缘节点;如果正书管理平台未在本地存储中查询到目标域名的证书,可以确定目标域名的证书未在CDN厂商的系统中部署过。证书管理平台可以通过查询安全加速策略,确定是否为目标域名开启安全加速服务。安全加速策略是CDN服务商在为目标域名提供域名加速服务时,为目标域名制定的策略。
在一示例性实施例中,安全加速策略包括以下策略中的一种或多种:
为预设顶级域类型和/或预设业务类型的域名开启安全加速服务。
为访问安全加速服务的次数大于等于预设阈值和/或多个预设时段内访问安全加速服务的访问趋势变大的域名开启安全加速服务。
为接收到开启安全加速服务的指令信息的域名开启安全加速服务。
在指定时间段内为指定的域名开启安全加速服务。
安全加速策略由CDN厂商制定,可以根据具体的网络环境制定,或者根据服务平台的客户(内容提供商或内容提供商的代表)的指示信息进行制定。安全加速策略可以有一条,也可以为多条,当有多条安全加速策略时,其中任一安全加速策略条件满足时,都可以确定为目标域名开启安全加速服务。CDN厂商可以在为目标域名提供服务的初始阶段制定相关的安全加速策略,也可以在为目标域名提供服务的过程的中,根据实际的网络环境或管理决策,制定新的安全加速策略,或者,对已经制定的安全加速策略进行调整或删除。本领域技术人员应该明白,除以上安全加速策略外,还可以制订其他安全加速策略。
证书管理平台查询安全加速策略后,判断与目标域名的相关的各类信息是否满足安全加速策略的条件,如果满足安全加速策略的条件,则确定为目标域名开启安全加速服务,由证书管理平台向CA机构申请目标域名的证书。本实施例中,证书管理平台可以直接向CA机构为目标域名申请证书,而不必向内容提供商获取。
在一示例性实施例中,确定为目标域名开启安全加速服务包括:
当目标域名的域名信息满足安全加速策略时,确定为目标域名开启安全加速服务;域名信息包括顶级域类型、业务类型中的至少一种。
例如,目标域名为WWW.ABC.GOV,而安全加速策略为:为顶级域类型为GOV的域名提供加速服务,则目标域名信息中的顶级域类型满足安全加速策略,证书管理平台确定为目标域名WWW.ABC.GOV开启安全加速服务。或者,根据目标域名中的二级域名ABC确定该域名对应的业务类型,例如域名对应的业务类型为财经类型的业务,而安全加速策略为:为业务类型为财经类的域名提供加速服务,则为目标域名开启安全加速服务。也可以综合顶级域的类型和二级域名对应的业务类型是否满足加速策略来确定。域名信息包括但不限于顶级域类型、业务类型。
在一示例性实施例中,当目标域名的运营信息满足安全加速策略时,确定为目标域名开启安全加速服务,运营信息包括访问目标域名的安全加速服务的历史次数、访问目标域名的安全加速服务的访问趋势中的至少一种。
例如,为访问安全加速服务的次数大于等于100次的域名开启安全加速服务。针对目标域名WWW.B.COM,证书管理平台查询CDN系统的管理设备,获得目标域名的运行日志,CDN系统中的边缘节点接收到HTTPS://WWW.B.COM的请求次数超过100次,为目标域名开启安全加速服务。再如,为访问安全加速服务的访问趋势变大的域名开启安全加速服务,通过查询目标域名的运行日志,CDN系统中的边缘节点接收到HTTPS://WWW.B.COM的请求次数为80次,但连续3天内的请求次数分别为10次,13次,17次,说明访问目标域名的HTTPS安全加速服务的访问趋势变大,为域名WWW.B.COM开启安全加速服务。访问趋势还可以根据连续时间段内的访问安全加速服务的次数与总访问次数多占比确定。例如,连续3天中,第一天针对WWW.B.COM的总访问次数为1000次,其中HTTPS的访问次数占比为1%,第一天针对WWW.B.COM的总访问次数为1580次,其中HTTPS的访问次数占比为1.5%,第三天针对WWW.B.COM的总访问次数为1050次,其中HTTPS的访问次数占比为2%,说明访问目标域名的HTTPS安全加速服务的访问趋势变大,为域名WWW.B.COM开启安全加速服务。
在一示例性实施例中,接收到为目标域名开启安全加速服务的指令信息时,确定为目标域名开启安全加速服务。例如安全加速策略中包括,为接收到开启安全加速服务的指令信息的域名开启安全加速服务。证书管理平台从自身或外部平台(如配置中心)获取到为目标域名WWW.B.COM开启安全加速服务的指令信息,该指令信息可以是CDN系统的客户(内容提供商或内容提供商的代表)在证书管理平台或配置平台上通过勾选相应的选项,向CDN系统发出的指令信息;也可以通过其他方式向CDN管理平台或管理人员发出的指令信息,例如WWW.B.COM的内容提供商通过通讯工具向CDN管理人员发出的通知,指示为域名WWW.B.COM开启安全加速服务;还可以是CDN管理人员通过对域名WWW.B.COM进行安全评估,可能存在网络攻击的风险,确定为域名WWW.B.COM开启安全加速服务,并通过管理设备向证书管理平台发出指令。
在一示例性实施例中,当目标域名为指定域名,且当前时间为指定的时间段内,确定为目标域名开启安全加速服务。某些网站的业务会和某些特定的时间段有比较强的相关性,例如成绩查询类网站,在公布成绩的时间段内,会有大量的查询请求,而在其他时段内,可能都不会接收到查询请求。对于请求数量与具体时间段存在较强关联性的网站域名,可以预设与具体时间段相关的安全加速策略。例如安全加速策略中包括,在某月某日至某月某日的指定时间段为域名WWW.B.COM开启安全加速服务。如果证书管理平台判断当前时刻在指定的时段内,则为域名WWW.B.COM开启安全加速服务。CDN系统可以在安全加速策略指定的时间段内,为指定的域名提供安全加速服务,保证指定域名的安全,并提升服务质量。
当确定为目标域名开启安全加速服务时,证书管理平台向CA机构申请目标域名的证书。由CDN厂商为目标域名申请证书,避免了内容提供商向CA机构申请证书的繁琐过程。
在一示例性实施例中,向CA机构申请目标域名的证书之前还包括:获取目标域名的配置信息,配置信息包括域名名称、域名所有人或管理人相关信息。配置信息为申请目标域名的证书所需要的信息。
如果内容提供商本身不提供安全连接服务,或者,内容提供商未申请域名的证书,CDN服务商可以预先从内容提供商处获取域名的配置信息,例如内容提供商的公司名称、内容提供商的管理人信息等,以便CDN厂商在提供加速服务的过程中,根据实际的网络环境,或接收到内容提供商指示CDN厂商为目标域名提供安全加速服务的情况下,需要对目标域名提供安全加速服务时,可以使用目标域名的配置信息向CA机构申请证书。
不同域名的配置信息可以存储在配置中心或管理设备中,在证书管理平台确定为目标域名开启安全加速服务后,向CA机构发送申请前,向配置中心或管理设备获取。
证书管理平台获取到目标域名的配置信息后,还需生成目标域名的公钥和私钥。证书管理平台为了代替内容提供商申请目标域名的证书,由证书管理平台生成目标域名的公钥和私钥。
证书管理平台将目标域名的配置信息和公钥发送至CA机构,CA机构对目标域名的相关信息进行申请者信息验证后,为目标域名生成相应的证书,该证书包括公钥、申请者信息、CA签名等信息。
内容提供商只需将相关信息提供给CDN厂商,即可在目标域名需要提供安全连接服务器时,由CDN厂商的证书管理平台为目标域名申请域名的证书,避免了内容提供商申请域名的证书的繁琐过程。
在一示例性实施例中,安全加速服务包括HTTPS加速服务或QUIC加速服务。
安全加速服务可以是HTTPS加速服务,也可以是QUIC服务。QUIC(Quick UDPInternet Connection)是谷歌制定的一种基于UDP的低时延的互联网传输层协议,其中传输层协议包括TCP和UDP协议。QUIC融合了包括TCP,TLS,HTTP/2等协议的特性,但基于UDP传输,是一种快速安全的传输协议。
除上述安全协议的加速服务外,安全加速服务也可以是其他的协议形式,认证时需要服务端提供证书的场景都可以应用本申请提供的安全加速服务,由CDN厂商在确定为目标域名提供安全加速服务时,由证书管理平台为目标域名申请证书,并将目标域名的证书部署到边缘节点中,实现对目标域名的安全加速服务。
在步骤S13中,向边缘节点返回目标域名的证书。
证书管理平台接收CA机构签发的目标域名的证书,将目标域名的证书存储在本地存储中,然后将目标域名的证书下发至边缘节点,以使边缘节点开启所述目标域名的安全连接服务。
实际应用中,证书管理平台接收CA机构签发的目标域名的证书后,将目标域名的证书和私钥下发至发送证书获取请求的边缘节点中,边缘节点在接收到目标域名的证书后,将目标域名的证书存储在本地,当边缘节点再次接收到针对目标域名的安全连接请求时,边缘节点将目标域名的证书发送给客户端,目标域名的证书包含目标域名的公钥,申请者信息,CA签名等信息。由此,客户端可以拥有目标域名的公钥,边缘节点拥有目标域名的私钥,随后,双方可以进行密钥协商,并建立加密的安全连接。
在一实施例中,如果某些边缘节点的覆盖范围内,客户端浏览器未开启域名强制HTTPS访问功能,这些边缘节点在为仅为其用户提供HTTP服务的目标域名进行加速服务时,不会接收到针对目标域名的HTTPS访问请求。证书管理平台可以将目标域名的证书只下发至发送证书获取请求的边缘节点,既可以保证接收到域名证书的边缘节点可以为更多的客户端提供内容服务,也不会导致大范围下发目标域名的证书对网络资源的占用。
在一实施例中,证书管理平台可以将目标域名的证书下发至CDN系统中的全部边缘节点,任一边缘节点在接收到针对目标域名的HTTPS访问请求时,可以及时向发出请求的客户端发放目标域名的证书,并建立HTTPS连接,及时为客户端提供内容服务。
基于图1所示的实施例,在本申请一示例性实施例中,证书管理平台接收边缘节点发送的目标域名的证书获取请求后,若目标域名的各类信息都不满足安全加速策略时,即不需要为目标域名开启安全连接服务时,向边缘节点发送不存在目标域名的证书的指示信息,以使边缘节点断开与客户端的连接。
基于图1所示的实施例,证书管理平台接收到边缘节点发送的目标域名的证书获取请求后,如确定为目标域名开启安全加速服务,自动向CA机构申请目标域名的证书。可以为仅为其用户提供HTTP服务的内容提供商的网站实现安全加速服务,不需要内容提供商申请域名的证书。
图2示出了根据本申请一示例性实施例的安全加速服务部署方法的流程图。参考图2,安全加速服务部署方法应用于边缘节点,安全加速服务部署方法至少包括步骤S21至步骤S22,详细介绍如下:
在步骤S21中,接收客户端的安全连接建立请求,安全连接建立请求包括目标域名信息。
边缘节点接收客户端的请求,如果请求为HTTP协议格式的请求,边缘节点可以直接与客户端建立HTTP连接,通过HTTP连接向客户端响应请求的内容。
如果请求为安全连接请求,则从请求的URL中获取目标域名,并在本地存储中查询是否存在目标域名对应的证书,如果本地存在目标域名的证书,则可以向客户端发送目标域名的证书及边缘节点的服务器随机数等信息,用以和客户端协商对话密钥,并在生成对话密钥后与客户端建立加密的安全连接,通过加密的安全连接向客户端响应请求的内容。
在步骤S22中,若本地不存在目标域名的证书,向证书管理平台发送目标域名的证书获取请求。
如果本地不存在目标域名的证书,则向证书管理平台发送目标域名的证书获取请求。本地不存在目标域名的证书,有可能是证书管理平台已经从CA机构获取了目标域名的证书,但目标域名的证书并未发送到该边缘节点。例如,证书管理平台在发送目标域名的证书的过程中,未发送成功;或者,证书管理平台还未向边缘节点发送目标域名的证书。此时,边缘节点可以向证书管理平台发送目标域名的证书获取请求,并从证书管理平台获取目标域名的证书,进而与客户端建立安全连接。本地不存在目标域名的证书,还有可能是CDN系统首次接收到针对目标域名的安全连接请求,例如目标域名的网站仅为其用户提供HTTP服务,正常情况下客户端通过向边缘节点发送HTTP协议格式的请求获取数据。当有客户端使用的浏览器开启了域名强制HTTPS访问后,浏览器将HTTP协议格式的请求转换为HTTPS协议格式的请求。此时CDN厂商还没有对目标域名开启安全加速服务,边缘节点向证书管理平台发送目标域名的证书获取请求,由证书管理平台查询安全加速策略并确定是否为目标域名开启HTTPS服务。
在一示例性实施例中,CDN厂商的边缘节点可以在接收到针对目标域名的安全连接请求后,在本地没有存储目标域名的证书的情况下,向证书管理平台发送目标域名证书的获取请求,在证书管理平台已经申请到目标域名的证书的情况下,只需将目标域名的证书发送至请求获取目标域名证书的边缘节点,不需要将目标域名的证书部署到全部边缘节点中,降低HTTPS服务部署的工作量及成本。
在一示例性实施例中,边缘节点在接收到安全连接请求时,如果本地没有存储目标域名的证书,边缘节点并不会第一时间断开与客户端的连接,而是维持与客户端的连接,并向证书管理平台发送获取目标域名证书的请求。如果在连接存活期间,从证书管理平台获取到目标域名的证书,则进一步与客户端建立安全连接,对客户端的请求进行正确响应。使得边缘节点既可以对使用HTTP协议的请求进行响应,也可以对使用HTTPS等安全协议的请求进行响应,提高CDN系统的服务质量。如果在连接存活期间,未能从证书管理平台获取到目标域名的证书,则断开与客户端的连接。以使边缘节点能够接入其他客户端的连接请求,为更多客户端提供服务。
基于图2所示的实施例,在本申请一示例性实施例中,安全加速服务部署方法还包括步骤S23。
在步骤S23中,接收证书管理平台发送的目标域名的证书。如果证书管理平台已经为目标域名申请了证书,则边缘节点能够从证书管理平台获取到目标域名的证书,然后可以将目标域名的证书发送至请求的客户端,并进一步与客户端建立安全连接,通过安全连接向客户端响应请求的内容。如果证书管理平台没有为目标域名申请证书,或者证书管理平台已经向CA机构发送了申请目标域名的证书的请求,还未从CA机构接收到目标域名的证书,边缘节点会接收到证书管理平台发送的不存在目标域名的证书的指示信息,此时边缘节点断开与客户端的连接。
在实际应用中,边缘节点从证书管理平台获取目标域名的证书的同时,还会接收到证书管理平台为目标域名生成的私钥。
当证书管理平台为目标域名开启安全加速服务后,并且证书管理平台已经从CA机构获取了目标域名的证书,当边缘节点向证书管理平台发送目标域名的证书请求后,可以从证书管理平台获取目标域名的证书和私钥。
在一实施例中,证书管理平台获取到目标域名的证书后,可以将目标域名的证书和私钥向CDN系统中的全部边缘节点下发。
接收到客户端建立安全连接请求的当前边缘节点可以为向证书管理平台发送过目标域名的证书获取请求的边缘节点,也可以是未向证书管理平台发送过目标域名的证书获取请求的边缘节点。
如果当前边缘节点为向证书管理平台发送过目标域名的证书获取请求的边缘节点,当再次接收到客户端针对目标域名的安全连接请求时,将目标域名的证书发送至客户端,以使客户端接收目标域名的证书,并在证书中获取目标域名的公钥。同时,边缘节点还可以将服务器随机数等信息一同发送至客户端。
客户端接收到边缘节点发送的目标域名的证书及服务器随机数等信息,可以从目标域名的证书中获取目标域名的公钥,并对客户端随机数等协商信息使用公钥进行加密后发送至边缘节点,边缘节点使用私钥解密客户端的协商信息,并建立对话密钥,将对话密钥使用私钥加密后发送至客户端,客户端再使用公钥解密,从而获取对话密钥,边缘节点和客户端使用对话密钥建立加密的安全连接。
本实施例中,证书管理平台将目标域名的证书部署到边缘节点,整个过程不需要内容提供商的参与,降低内容提供商的工作量,并为仅为其用户提供HTTP服务的域名实现安全加速服务,提高客户端的访问成功率,提高服务质量。
基于图2所示的实施例,在一示例性实施例中,如果边缘节点未能从证书管理平台获取目标域名的证书,边缘节点建立未获取到目标域名的证书的记录,并设置所述记录的有效期,有效期可以根据实际的网络环境设置,比如可以设置为30分钟,或60分钟,在有效期内,边缘节点接收到针对目标域名的安全连接请求后,不再向证书管理平台发送目标域名的证书获取请求。减轻证书管理平台的压力,提高证书管理平台的服务性能。
基于图2所示的实施例,边缘节点在接收到访问安全加速服务的请求时,该安全加速服务的请求为针对仅为其用户提供HTTP服务的域名内容时,边缘节点能够向客户端反馈正确的响应内容。
基于上述实施例的技术方案,以下介绍本申请实施例的一个具体应用场景:
某公司为内容提供商,其网站域名为A,但该公司对网站内容的安全性不敏感,仅为其用户提供HTTP服务。用户只能向网站发送HTTP的请求才能从网站获取内容数据,如果发送HTTPS协议格式的请求,网站将断开与客户端的连接。例如:用户访问网站中的文件1.jpg,用户通过浏览器输入HTTP://A/1.jpg,用户能够获取1.jpg文件;如果用户输入HTTPS://A/1.jpg,用户无法获取请求的内容。
该公司通过CDN网络对网站内容进行加速,将域名的配置信息提供给CDN厂商,例如将网站的域名“A”,内容提供商的公司名称、管理人信息等提供给CDN厂商,由CDN厂商保存在配置中心。CDN厂商开始为域名A提供加速服务,并制定域名A的安全加速策略:
策略1:为访问HTTPS服务的次数大于等于100次的域名开启安全加速服务。
当有客户端向边缘节点发送HTTP://A/1.jpg请求时,边缘节点将缓存中的1.jpg文件作为响应发送至客户端。当有客户端通过浏览器输入HTTP://A/1.jpg,浏览器对域名A强制HTTPS访问,浏览器向边缘节点发出HTTPS://A/1.jpg请求。边缘节点接收到HTTPS协议格式的请求,边缘节点首先查询本地存储中是否有目标域名A的证书。
如果边缘节点中未存储目标域名A的证书,边缘节点会向证书管理平台请求域名A的证书。如果证书管理平台中已经部署了域名A的证书,证书管理平台将域名A的证书发送至边缘节点,边缘节点即可和客户端进行密钥协商。如果证书管理平台未部署域名A的证书,则证书管理平台查询安全加速策略。
经查询,CDN厂商部署了策略1,进一步查询日志数据。假如针对域名A的HTTPS访问次数为20次,小于预设的100次,策略1的条件不满足,证书管理平台确定域名A不需要开启HTTPS服务。证书管理平台向边缘节点发送指示信息,告知边缘节点域名A未开启HTTPS服务。边缘节点断开与客户端的连接。并且边缘节点建立未获取到域名A的证书的记录,设置记录的有效期为30分钟。在30分钟内,边缘节点再次接收到针对域名A的HTTPS协议格式的请求时,不再向证书管理平台发送域名A的证书获取请求。
经过一段时间后,证书管理平台再次接收到边缘节点发送的获取目标域名证书的请求,证书管理平台经过查询日志数据,针对域名A的HTTPS访问次数为105次,大于预设的100次,策略1的条件满足,证书管理平台确定为目标域名A开启安全加速服务。
证书管理平台为域名A生成公钥和私钥。
证书管理平台将域名A的公钥和相关信息发送至CA机构,向CA机构申请域名A的证书。
CA机构对证书管理平台提交的信息进行审核,审核通过后生成域名A的证书,并通过加密的方式将域名A的证书发送至证书管理平台。
证书管理平台将域名A的证书和私钥发送至边缘节点。
当边缘节点再次接收到HTTPS://A/1.jpg请求,边缘节点将域名A的证书及边缘节点随机数等信息发送至该客户端。客户端验证证书安全性,验证通过后,使用域名A的证书中获取的公钥对客户端随机数等信息进行加密,将加密信息发送至边缘节点;边缘节点使用域名A的私钥对客户端的加密信息解密,并根据客户端随机数等信息生成对话密钥,将对话密钥使用私钥加密后发送至该客户端,该客户端使用域名A的公钥解密后获得对话密钥,使用对话密钥与边缘节点建立加密的HTTPS连接,边缘节点将1.jpg通过加密连接反馈给该客户端。
根据以上实施例,本申请提供的安全加速服务部署方法,可以由CDN厂商预先制定安全加速策略,在需要为目标域名提供安全加速服务时,由证书管理平台向CA机构申请目标域名的证书,并将证书部署到边缘节点中,自动为内容提供商的目标域名提供安全加速服务,不需要内容提供商进行繁琐的证书申请。
图3是根据一示例性实施例示出的安全加速服务部署装置的框图。参考图3,安全加速服务部署装置,应用于证书管理平台,包括:证书获取请求接收模块301,证书申请模块302,证书管理模块303。
该证书获取请求接收模块301被配置为用于接收边缘节点发送的目标域名的证书获取请求。
该证书申请模块302被配置为用于当确定为目标域名开启安全加速服务时,向CA机构申请目标域名的证书。
该证书管理模块303被配置为用于向边缘节点返回目标域名的证书。
图4是根据一示例性实施例示出的安全加速服务部署装置的框图。参考图4,安全加速服务部署装置,还包括:配置信息接收模块401。
该配置信息接收模块401被配置为用于接收目标域名的配置信息,所述配置信息包括域名名称、域名所有人或管理人相关信息。
图5是根据一示例性实施例示出的安全加速服务部署装置的框图。参考图5,安全加速服务部署装置,应用于边缘节点,包括:请求接收模块501,证书获取请求发送模块502。
该请求接收模块501被配置为用于接收客户端的安全连接建立请求,安全连接建立请求包括目标域名信息。
该证书获取请求发送模块502用于若本地不存在所述目标域名的证书,向证书管理平台发送所述目标域名的证书获取请求。
图6是根据一示例性实施例示出的安全加速服务部署装置的框图。参考图6,安全加速服务部署装置,还包括:证书接收模块601。
该证书接收模块601被配置为用于接收证书管理平台发送的目标域名的证书。
图7是根据一示例性实施例示出的一种用于安全加速服务部署的计算机设备700的框图。例如,计算机设备700可以被提供为一服务器。参照图7,计算机设备700包括处理器701,处理器的个数可以根据需要设置为一个或者多个。计算机设备700还包括存储器702,用于存储可由处理器701的执行的指令,例如应用程序。存储器的个数可以根据需要设置一个或者多个。其存储的应用程序可以为一个或者多个。处理器701被配置为执行指令,以执行上述安全加速服务部署方法。
本领域技术人员应明白,本申请的实施例可提供为方法、装置(设备)、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质,包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质等。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
本申请是参照根据本申请实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在本申请中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的物品或者设备中还存在另外的相同要素。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请的意图也包含这些改动和变型在内。
Claims (14)
1.一种安全加速服务部署方法,应用于证书管理平台,其特征在于,包括:
接收边缘节点发送的目标域名的证书获取请求,所述目标域名只支持HTTP协议,所述证书获取请求是所述边缘节点在接收到客户端的安全连接请求后,获取请求中的目标域名,在本地存储中未查询到所述目标域名的证书时,向所述证书管理平台发送的;
当确定为所述目标域名开启安全加速服务,未在本地存储中查询到所述目标域名的证书时,为所述目标域名生成公钥和私钥,使用所述目标域名的公钥和配置信息向CA机构申请所述目标域名的证书,以使所述CA机构根据所述公钥和配置信息生成所述目标域名的证书,并将所述目标域名的证书发送至证书管理平台;
向所述边缘节点返回所述目标域名的证书。
2.如权利要求1所述的安全加速服务部署方法,其特征在于,所述确定为所述目标域名开启安全加速服务包括:
当所述目标域名的域名信息满足安全加速策略时,确定为所述目标域名开启安全加速服务,所述域名信息包括顶级域类型、业务类型中的至少一种;或者,
当所述目标域名的运营信息满足安全加速策略时,确定为所述目标域名开启安全加速服务,所述运营信息包括访问所述目标域名的安全加速服务的历史次数、访问所述目标域名的安全加速服务的访问趋势中的至少一种;或者,
接收到为所述目标域名开启安全加速服务的指令信息时,确定为所述目标域名开启安全加速服务;或者,
当所述目标域名为指定域名,且当前时间为指定的时间段内,确定为所述目标域名开启安全加速服务。
3.如权利要求2所述的安全加速服务部署方法,其特征在于,所述安全加速策略包括以下策略中的一种或多种:
为预设顶级域类型和/或预设业务类型的域名开启安全加速服务;
为访问安全加速服务的次数大于等于预设阈值的域名和/或访问目标域名的安全加速服务的访问趋势变大的域名开启安全加速服务;
为接收到开启安全加速服务的指令信息的域名开启安全加速服务;
在指定时间段内为指定的域名开启安全加速服务。
4.如权利要求1所述的安全加速服务部署方法,其特征在于,所述向CA机构申请所述目标域名的证书之前,还包括:获取所述目标域名的配置信息,所述配置信息包括域名名称、域名所有人或管理人相关信息。
5.如权利要求1-4任意一项所述的安全加速服务部署方法,其特征在于,所述安全加速服务包括HTTPS加速服务或QUIC加速服务。
6.一种安全加速服务部署方法,应用于边缘节点,其特征在于,包括:
接收客户端的安全连接建立请求,所述安全连接建立请求包括目标域名的信息,所述目标域名只支持HTTP服务;
若本地不存在所述目标域名的证书,向证书管理平台发送所述目标域名的证书获取请求,以使所述证书管理平台确定为所述目标域名开启安全加速服务, 未在本地存储中查询到所述目标域名的证书时,为所述目标域名生成公钥和私钥,使用所述目标域名的公钥和配置信息向CA机构申请所述目标域名的证书,并使所述CA机构根据所述公钥和配置信息生成所述目标域名的证书,并将所述目标域名的证书发送至证书管理平台。
7.如权利要求6所述的安全加速服务部署方法,其特征在于,还包括:
接收所述证书管理平台发送的所述目标域名的证书。
8.如权利要求6所述的安全加速服务部署方法,其特征在于,如果未能从所述证书管理平台获取所述目标域名的证书,则断开与所述客户端的连接。
9.一种安全加速服务部署装置,应用于证书管理平台,其特征在于,包括:
证书获取请求接收模块,用于接收边缘节点发送的目标域名的证书获取请求,所述目标域名只支持HTTP协议,所述证书获取请求是所述边缘节点在接收到客户端的安全连接请求后,获取请求中的目标域名,在本地存储中未查询到所述目标域名的证书时,向所述证书管理平台发送的;
证书申请模块,用于当确定为所述目标域名开启安全加速服务, 未在本地存储中查询到所述目标域名的证书时,为所述目标域名生成公钥和私钥,使用所述目标域名的公钥和配置信息向CA机构申请所述目标域名的证书,以使所述CA机构根据所述公钥和配置信息生成所述目标域名的证书,并将所述目标域名的证书发送至证书管理平台;
证书管理模块,用于向所述边缘节点返回所述目标域名的证书。
10.如权利要求9所述的安全加速服务部署装置,其特征在于,还包括:
配置信息接收模块,用于接收所述目标域名的配置信息,所述配置信息包括域名名称、域名所有人或管理人相关信息。
11.一种安全加速服务部署装置,应用于边缘节点,其特征在于,包括:
请求接收模块,用于接收客户端的安全连接建立请求,所述安全连接建立请求包括目标域名的信息,所述目标域名只支持HTTP服务;
证书获取请求发送模块,用于若本地不存在所述目标域名的证书,向证书管理平台发送所述目标域名的证书获取请求,以使所述证书管理平台确定为所述目标域名开启安全加速服务, 未在本地存储中查询到所述目标域名的证书时,为所述目标域名生成公钥和私钥,使用所述目标域名的公钥和配置信息向CA机构申请所述目标域名的证书,并使所述CA机构根据所述公钥和配置信息生成所述目标域名的证书,并将所述目标域名的证书发送至证书管理平台。
12.如权利要求11所述的安全加速服务部署装置,其特征在于,还包括:
证书接收模块,用于接收所述证书管理平台发送的所述目标域名的证书。
13.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被执行时实现如权利要求1-8中任意一项所述方法的步骤。
14.一种计算机设备,包括处理器、存储器和存储于所述存储器上的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-8中任意一项所述方法的步骤。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110644548.XA CN115460083B (zh) | 2021-06-09 | 2021-06-09 | 安全加速服务部署方法、装置、介质及设备 |
PCT/CN2022/097407 WO2022257928A1 (zh) | 2021-06-09 | 2022-06-07 | 安全加速服务部署方法、装置、介质及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110644548.XA CN115460083B (zh) | 2021-06-09 | 2021-06-09 | 安全加速服务部署方法、装置、介质及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115460083A CN115460083A (zh) | 2022-12-09 |
CN115460083B true CN115460083B (zh) | 2024-04-19 |
Family
ID=84294404
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110644548.XA Active CN115460083B (zh) | 2021-06-09 | 2021-06-09 | 安全加速服务部署方法、装置、介质及设备 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN115460083B (zh) |
WO (1) | WO2022257928A1 (zh) |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103227801A (zh) * | 2013-05-14 | 2013-07-31 | 网宿科技股份有限公司 | 基于内容分发网络的https证书部署方法及系统 |
CN107493174A (zh) * | 2017-09-05 | 2017-12-19 | 成都知道创宇信息技术有限公司 | 基于cdn网络的ssl证书智能绑定与管理方法 |
WO2018059578A1 (zh) * | 2016-09-30 | 2018-04-05 | 贵州白山云科技有限公司 | 一种基于内容分发网络的https加速方法和系统 |
CN108401011A (zh) * | 2018-01-30 | 2018-08-14 | 网宿科技股份有限公司 | 内容分发网络中握手请求的加速方法、设备及边缘节点 |
CN108418678A (zh) * | 2017-02-10 | 2018-08-17 | 贵州白山云科技有限公司 | 一种私钥安全存储和分发的方法及装置 |
CN108768664A (zh) * | 2018-06-06 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 密钥管理方法、装置、系统、存储介质和计算机设备 |
CN109040318A (zh) * | 2018-09-25 | 2018-12-18 | 网宿科技股份有限公司 | Cdn网络的https连接方法及cdn节点服务器 |
CN109818946A (zh) * | 2019-01-11 | 2019-05-28 | 网宿科技股份有限公司 | Ca证书申请和部署的方法和系统 |
CN111066284A (zh) * | 2017-10-09 | 2020-04-24 | 华为技术有限公司 | 一种业务证书管理方法、终端及服务器 |
CN111224952A (zh) * | 2019-12-24 | 2020-06-02 | 中移(杭州)信息技术有限公司 | 用于定向流量的网络资源获取方法、装置及存储介质 |
CN111404668A (zh) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | 一种信息处理方法、设备及存储介质 |
CN112564912A (zh) * | 2020-11-24 | 2021-03-26 | 北京金山云网络技术有限公司 | 建立安全连接的方法、系统、装置和电子设备 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10110592B2 (en) * | 2013-10-09 | 2018-10-23 | Digicert, Inc. | Reducing latency for certificate validity messages using private content delivery networks |
US20190036908A1 (en) * | 2016-04-15 | 2019-01-31 | Qualcomm Incorporated | Techniques for managing secure content transmissions in a content delivery network |
CN106230782A (zh) * | 2016-07-20 | 2016-12-14 | 腾讯科技(深圳)有限公司 | 一种基于内容分发网络的信息处理方法及装置 |
CN113037888A (zh) * | 2021-03-12 | 2021-06-25 | 北京金山云网络技术有限公司 | 加速域名的配置方法及装置、存储介质、电子设备 |
-
2021
- 2021-06-09 CN CN202110644548.XA patent/CN115460083B/zh active Active
-
2022
- 2022-06-07 WO PCT/CN2022/097407 patent/WO2022257928A1/zh active Application Filing
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103227801A (zh) * | 2013-05-14 | 2013-07-31 | 网宿科技股份有限公司 | 基于内容分发网络的https证书部署方法及系统 |
WO2018059578A1 (zh) * | 2016-09-30 | 2018-04-05 | 贵州白山云科技有限公司 | 一种基于内容分发网络的https加速方法和系统 |
CN108418678A (zh) * | 2017-02-10 | 2018-08-17 | 贵州白山云科技有限公司 | 一种私钥安全存储和分发的方法及装置 |
CN107493174A (zh) * | 2017-09-05 | 2017-12-19 | 成都知道创宇信息技术有限公司 | 基于cdn网络的ssl证书智能绑定与管理方法 |
CN111066284A (zh) * | 2017-10-09 | 2020-04-24 | 华为技术有限公司 | 一种业务证书管理方法、终端及服务器 |
CN108401011A (zh) * | 2018-01-30 | 2018-08-14 | 网宿科技股份有限公司 | 内容分发网络中握手请求的加速方法、设备及边缘节点 |
CN108768664A (zh) * | 2018-06-06 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 密钥管理方法、装置、系统、存储介质和计算机设备 |
CN109040318A (zh) * | 2018-09-25 | 2018-12-18 | 网宿科技股份有限公司 | Cdn网络的https连接方法及cdn节点服务器 |
CN111404668A (zh) * | 2019-01-02 | 2020-07-10 | 中国移动通信有限公司研究院 | 一种信息处理方法、设备及存储介质 |
CN109818946A (zh) * | 2019-01-11 | 2019-05-28 | 网宿科技股份有限公司 | Ca证书申请和部署的方法和系统 |
CN111224952A (zh) * | 2019-12-24 | 2020-06-02 | 中移(杭州)信息技术有限公司 | 用于定向流量的网络资源获取方法、装置及存储介质 |
CN112564912A (zh) * | 2020-11-24 | 2021-03-26 | 北京金山云网络技术有限公司 | 建立安全连接的方法、系统、装置和电子设备 |
Non-Patent Citations (2)
Title |
---|
Toni Gržinić ; Darko Perhoč ; Marko Marić ; Filip Vlašić ; Tibor Kulcsar.CROFlux — Passive DNS method for detecting fast-flux domains.IEEE.2014,全文. * |
基于内容感知雾计算CDN的性能研究;陈步华;陈戈;庄一嵘;梁洁;;广东通信技术(第09期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
WO2022257928A1 (zh) | 2022-12-15 |
CN115460083A (zh) | 2022-12-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9130935B2 (en) | System and method for providing access credentials | |
US9917770B1 (en) | Traffic on-boarding for acceleration through out-of-band security authenticators | |
JP5010608B2 (ja) | リモートリソースとの安全な対話型接続の生成 | |
US11303431B2 (en) | Method and system for performing SSL handshake | |
US20140289839A1 (en) | Resource control method and apparatus | |
US10693879B2 (en) | Methods, devices and management terminals for establishing a secure session with a service | |
US20160373431A1 (en) | Method to enroll a certificate to a device using scep and respective management application | |
WO2016150169A1 (zh) | 一种安全通信方法、网关、网络侧服务器及系统 | |
CN105516163A (zh) | 一种登录方法及终端设备及通信系统 | |
CN105721412A (zh) | 多系统间的身份认证方法及装置 | |
CA3058180A1 (en) | Secure media casting bypassing mobile devices | |
CN115460084B (zh) | 安全加速服务部署方法、装置、介质及设备 | |
CN115460083B (zh) | 安全加速服务部署方法、装置、介质及设备 | |
WO2023093772A1 (zh) | 一种请求调度的方法、装置、电子设备及存储介质 | |
CN115150112B (zh) | 一种安全认证方法、装置、系统、介质及设备 | |
CN113196722A (zh) | 获取与解析通信网络中的域名标识符相关的委托链的方法 | |
KR20190014958A (ko) | 접속 제어 장치 및 방법 | |
CN114553414B (zh) | 基于https服务的内网穿透方法及系统 | |
CN115426392B (zh) | 一种设备网络管理方法、装置、设备及存储介质 | |
JP5920891B2 (ja) | 通信サービス認証・接続システム及びその方法 | |
WO2017024588A1 (zh) | 业务处理方法及装置 | |
CN118054921A (zh) | 一种http校验方法、装置、介质及设备 | |
CN113726807A (zh) | 一种网络摄像机访问方法、设备、系统及存储介质 | |
CN118041642A (zh) | Web认证方法和装置 | |
EP2146534A1 (fr) | Procédé, système, serveur et terminal d'authentification hybride |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |