CN115460084B - 安全加速服务部署方法、装置、介质及设备 - Google Patents
安全加速服务部署方法、装置、介质及设备 Download PDFInfo
- Publication number
- CN115460084B CN115460084B CN202110645788.1A CN202110645788A CN115460084B CN 115460084 B CN115460084 B CN 115460084B CN 202110645788 A CN202110645788 A CN 202110645788A CN 115460084 B CN115460084 B CN 115460084B
- Authority
- CN
- China
- Prior art keywords
- domain name
- target domain
- certificate
- acceleration service
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000001133 acceleration Effects 0.000 title claims abstract description 295
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000001514 detection method Methods 0.000 claims abstract description 25
- 230000007246 mechanism Effects 0.000 claims description 27
- 230000008520 organization Effects 0.000 claims description 21
- 238000004590 computer program Methods 0.000 claims description 14
- 230000008569 process Effects 0.000 claims description 12
- 230000015654 memory Effects 0.000 claims description 10
- 238000003860 storage Methods 0.000 claims description 8
- 230000001172 regenerating effect Effects 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 93
- 238000010586 diagram Methods 0.000 description 14
- 230000006870 function Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000004075 alteration Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0823—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
- H04L41/083—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability for increasing network speed
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本申请是关于一种安全加速服务部署方法、装置、介质及设备。安全加速服务部署方法应用于证书管理平台,包括:当目标域名的域名信息或运营信息满足安全加速策略,或者,接收到目标域名开启安全加速服务的检测结果,确定为目标域名开启安全加速服务;向CA机构申请目标域名的证书,并将所述目标域名的证书部署到边缘节点。本申请提供的安全加速服务部署方法,可以自动为仅为其用户提供HTTP服务的内容提供商的网站实现HTTPS或QUIC安全加速功能,不需要内容提供商申请域名的证书,也不需要内容提供商进行证书的管理、更新等操作,加快内容提供商域名的安全加速服务的部署。
Description
技术领域
本申请涉及互联网领域,尤其涉及一种安全加速服务部署方法、装置、介质及设备。
背景技术
安全协议如HTTPS被广泛应用,如果网站内容采用安全协议提供安全连接,对访问数据进行加密保护,需要首先申请域名的SSL证书,再对SSL证书进行部署,使用过程中,还需要对SSL证书进行管理,导致内容提供商的工作量增加。如果内容提供商的网站未提供安全连接服务,由于没有域名的证书,当CDN厂商为网站提供加速服务时,CDN厂商也无法提供安全加速服务。在客户端浏览器开启域名强制HTTPS访问,强制将HTTP协议格式的请求转换为HTTPS协议格式的请求时,客户端将无法从CDN网络获取请求的内容。
现有技术方案不能自动为只提供HTTP服务的内容提供商的域名根据实际网络环境或实际需求实现安全加速服务。
发明内容
为克服相关技术中存在的问题,本申请提供一种安全加速服务部署方法、装置、介质及设备。
根据本申请的第一方面,提供一种安全加速服务部署方法,应用于证书管理平台,包括:
当目标域名的域名信息或运营信息满足安全加速策略,或者,接收到目标域名开启安全加速服务的检测结果,确定为目标域名开启安全加速服务;
向CA机构申请目标域名的证书,并将所述目标域名的证书部署到边缘节点;
其中,域名信息包括顶级域类型、业务类型中的至少一种;运营信息包括访问目标域名的安全加速服务的历史次数、访问目标域名的安全加速服务的访问趋势中的至少一种。
在本申请的一些实施例中,基于前述方案,安全加速服务部署方法还包括:
获取安全加速策略;
判断目标域名的域名信息或运营信息是否满足安全加速策略;或者,接收到边缘节点发送的目标域名的证书获取请求后,判断目标域名的域名信息或运营信息是否满足所述安全加速策略。
在本申请的一些实施例中,基于前述方案,安全加速策略包括:
为预设顶级域类型和/或预设业务类型的域名提供安全加速服务;或者,
为访问安全加速服务的次数大于等于预设阈值的域名和/或访问目标域名的安全加速服务的访问趋势变大的域名开启安全加速服务。
在本申请的一些实施例中,基于前述方案,确定为目标域名开启安全加速服务之后,还包括:
向配置中心发送获取目标域名的配置信息的请求信息,并接收目标域名的配置信息。
在本申请的一些实施例中,基于前述方案,向CA机构申请目标域名的证书,并将目标域名的证书部署到边缘节点包括:
为目标域名生成公钥和私钥;
发送公钥和配置信息至所述CA机构;
接收CA机构签发的目标域名的证书;
发送目标域名的证书和私钥至边缘节点,以使边缘节点提供目标域名的安全加速服务。
在本申请的一些实施例中,基于前述方案,获取CA机构签发的目标域名的证书之后,还包括:
在目标域名的证书过期时刻前的预设时段内,向CA机构申请目标域名的新的证书。
在本申请的一些实施例中,基于前述方案,向CA机构申请目标域名的新的证书包括:
重新生成目标域名的新的公钥和新的私钥;
发送新的公钥及目标域名的配置信息至CA机构,向CA机构申请目标域名的证书。
在本申请的一些实施例中,基于前述方案,在获取CA机构签发的目标域名的证书之后,还包括:
若目标域名的证书存在安全隐患,向CA机构发送吊销申请。
在本申请的一些实施例中,基于前述方案,安全加速服务包括HTTPS加速服务或QUIC加速服务。
根据本申请的另一方面,提供一种安全加速服务部署方法,应用于配置中心,包括:
接收目标域名开启安全加速服务的指令信息,发送目标域名开启安全加速服务的检测结果至证书管理平台;
从证书管理平台接收获取目标域名的配置信息的请求信息,并发送目标域名的配置信息至证书管理平台。
在本申请的一些实施例中,基于前述方案,目标域名的配置信息用于为目标域名配置安全加速服务,包括:域名名称、域名所有人或管理人相关信息。
根据本申请的另一方面,提供一种安全加速服务部署装置,应用于证书管理平台,包括:
安全加速服务开启模块,用于当目标域名的域名信息或运营信息满足安全加速策略,或者,接收到目标域名开启安全加速服务的检测结果,确定为目标域名开启安全加速服务;
证书管理模块,用于向CA机构申请目标域名的证书,并将目标域名的证书部署到边缘节点。
在本申请的一些实施例中,基于前述方案,安全加速服务部署装置还包括:
配置信息请求模块,用于向配置中心发送获取目标域名的配置信息的请求信息,并接收目标域名的配置信息。
根据本申请的另一方面,提供一种安全加速服务部署装置,应用于配置中心,包括:
信息管理模块,用于接收目标域名开启安全加速服务的指令信息,发送目标域名开启安全加速服务的检测结果至证书管理平台;
配置信息发送模块,发送配置信息至证书管理平台。
根据本申请的另一方面,提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被执行时实现安全加速服务部署方法的步骤。
根据本申请的另一方面,提供一种计算机设备,包括处理器、存储器和存储于所述存储器上的计算机程序,处理器执行所述计算机程序时实现安全加速服务部署方法的步骤。
本申请通过安全加速服务部署方法,可以自动为仅为其用户提供HTTP服务的内容提供商的网站实现HTTPS或QUIC安全加速功能,不需要内容提供商申请域名的证书,也不需要内容提供商进行证书的管理、更新等操作,加快内容提供商域名的安全加速服务的部署。
内容提供商在证书管理平台部署HTTP服务后,由证书管理平台根据安全加速策略决策是否需要提供安全加速服务,如果需要,由证书管理平台自主向CA机构进行证书申请,且该过程不需要内容提供商参与,对内容提供商完全透明。应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据一示例性实施例示出的一种安全加速服务部署方法的流程图。
图2是根据一示例性实施例示出的一种安全加速服务部署方法的流程图。
图3是根据一示例性实施例示出的一种安全加速服务部署装置的框图。
图4是根据一示例性实施例示出的一种安全加速服务部署装置的框图。
图5是根据一示例性实施例示出的一种安全加速服务部署装置的框图。
图6是根据一示例性实施例示出的一种计算机设备的框图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
随着网络发展,出现了多种以安全为目的传输协议,例如:
HTTPS又称HTTP over TLS,即采用HTTP方式通讯,但利用TLS/SSL来加密通讯过程中的数据包,SSL(Secure Sockets Layer安全套接字协议),及传输层安全(TransportLayer Security,TLS)是为网络通信提供安全及数据完整性的安全协议。TLS与SSL在传输层与应用层之间对网络连接进行加密。HTTPS是如今互联网领域中,确保网站真实、保护用户隐私以及信息安全的重要方式。
使用安全协议提供安全服务时,服务端需要部署目标域名的证书,供客户端进行认证。
然而,现实中仍有大量网站采用普通协议(例如HTTP)提供服务,其原因为内容提供商对网站资源的安全性不敏感。在CDN厂商为内容提供商的网站提供加速服务时,由于内容提供商未提供网站的域名相关的证书给CDN厂商,CDN厂商的CDN边缘节点也不能向客户端提供网站域名的证书,进而CDN不能提供使用安全协议的加速服务,本申请将CDN系统使用安全协议向用户提供的加速服务定义为安全加速服务。另外,在客户端浏览器开启域名强制HTTPS访问时,客户端浏览器会将用户输入的HTTP协议格式的请求转换为HTTPS协议格式的请求,对于边缘节点来说,当边缘节点接收到客户端的HTTPS协议格式的请求,该HTTPS协议格式的请求如果是针对仅为其用户提供HTTP服务的网站的内容的请求时,由于边缘节点没有该网站域名的证书,不能与客户端建立加密连接,不能对客户端的HTTPS协议格式的请求响应正确的内容。
另外一个方面,如果内容提供商希望在CDN厂商提供CDN加速服务时,CDN厂商能够采用HTTPS或者QUIC提供安全的加速服务,内容提供商需要将网站域名的SSL证书提供给CDN厂商,其过程大致如下:以安全加速服务为HTTPS服务为例进行说明,内容提供商创建域名相关的服务端公钥以及私钥,然后提交该公钥以及个人或组织信息等至CA(权威证书颁发)机构进行认证申请;CA机构审核信息通过后,生成数字证书,该数字证书包申请者的公钥、申请者信息、CA签名等信息;内容提供商收到该数字证书后,将该证书发送给CDN厂商,由CDN厂商负责部署该证书至边缘节点。当客户端的HTTPS协议格式的请求至CDN边缘节点时,边缘节点便会将证书发送给客户端,客户端认证该证书通过后,进行密钥协商,后续便可继续HTTPS协议格式的请求处理。可见,为了提供HTTPS服务功能,内容提供商需要经历繁琐的过程。
为解决传统技术中存在的问题,本申请提供一种安全加速服务部署方法。
图1示出了根据本申请一示例性实施例的安全加速服务部署方法的流程图。参考图1,安全加速服务部署方法应用于证书管理平台,安全加速服务部署方法至少包括步骤S11至步骤S12,详细介绍如下:
步骤S11可以为步骤S11a,当目标域名的域名信息或运营信息满足安全加速策略,确定为目标域名开启安全加速服务。
证书管理平台是CDN厂商设置的,用于对服务的域名的证书进行管理的设备,可以为专用设备,也可以为一般服务器,其上安装用于证书管理的软件或代码。
证书管理平台可以判断目标域名的域名信息或运营信息是否满足预设于证书管理平台的安全加速策略,如果域名信息或运营信息满足安全加速策略,确定为目标域名开启安全加速服务。
域名信息包括顶级域类型、业务类型中的至少一种。
在一示例性实施例中,安全加速策略包括但不限于:
为预设顶级域类型和/或预设业务类型的域名提供安全加速服务。
例如,目标域名为WWW.ABC.GOV,安全加速策略为:为顶级域类型为GOV的域名提供加速服务。则目标域名信息中的顶级域类型满足安全加速策略,证书管理平台确定为目标域名WWW.ABC.GOV开启安全加速服务。或者,根据目标域名中的二级域名ABC确定该域名对应的业务类型,例如域名对应的业务类型为财经类型的业务,安全加速策略为:为业务类型为财经类的域名提供加速服务,则为目标域名开启安全加速服务。实际应用中,也可以综合顶级域的类型和二级域名对应的业务类型是否满足加速策略来确定。域名信息包括但不限于顶级域类型、业务类型。
运营信息包括访问目标域名的安全加速服务的历史次数、访问目标域名的安全加速服务的访问趋势中的至少一种。
在一示例性实施例中,安全加速策略包括:为访问安全加速服务的次数大于等于预设阈值的域名和/或访问目标域名的安全加速服务的访问趋势变大的域名开启安全加速服务。
例如,安全加速策略为,为访问安全加速服务的次数大于等于100次的域名开启安全加速服务。针对目标域名WWW.B.COM,证书管理平台查询CDN系统的管理设备,获得目标域名的运行日志,CDN系统中的边缘节点接收到HTTPS://WWW.B.COM的请求次数超过100次,为目标域名开启安全加速服务。再如,为访问安全加速服务的访问趋势变大的域名开启安全加速服务,通过查询目标域名的运行日志,CDN系统中的边缘节点接收到HTTPS://WWW.B.COM的请求次数为80次,但连续3天内的请求次数分别为10次,13次,17次,说明访问目标域名的HTTPS安全加速服务的访问趋势变大,为域名WWW.B.COM开启安全加速服务。访问趋势还可以根据连续时间段内的访问安全加速服务的次数与总访问次数多占比确定。例如,连续3天中,第一天针对WWW.B.COM的总访问次数为1000次,其中HTTPS的访问次数占比为1%,第一天针对WWW.B.COM的总访问次数为1580次,其中HTTPS的访问次数占比为1.5%,第三天针对WWW.B.COM的总访问次数为1050次,其中HTTPS的访问次数占比为2%,说明访问目标域名的HTTPS安全加速服务的访问趋势变大,为域名WWW.B.COM开启安全加速服务。
在一示例性实施例中,安全加速服务部署方法,还包括:
获取安全加速策略。证书管理中心可以从CDN管理设备获取由管理人员设置完毕的安全加速策略,也可以获取由管理人员直接在证书管理中心设置的安全驾驶策略。
判断所述目标域名的域名信息或运营信息是否满足所述安全加速策略。
当证书管理平台获取到安全加速策略,确定安全加速策略被配置完毕,证书管理平台即启动对目标域名的域名信息或运营信息是否满足安全加速策略的判断机制,以便于及时判断是否为目标域名开启安全加速服务。
在一示例性实施例中,安全加速服务部署方法,还包括:
获取安全加速策略;
接收到边缘节点发送的所述目标域名的证书获取请求后,判断所述目标域名的域名信息或运营信息是否满足所述安全加速策略。
当证书管理平台获取到安全加速策略,确定目标域名的安全加速策略被配置完毕,证书管理平台暂不启动对域名信息或运营信息是否满足安全加速策略的判断机制,而是等待边缘节点接收到用户发送的安全连接请求,并向证书管理平台发送目标域名的证书获取请求后,再启动对目标域名的域名信息或运营信息是否满足该安全加速策略的判断机制,以减少无实际访问需求的冗余操作,避免证书申请资源的浪费。
在一示例性实施例中,当目标域名的域名信息满足安全加速策略,确定为目标域名开启安全加速服务之后,还包括:
向配置中心发送获取目标域名的配置信息的请求信息,并接收目标域名的配置信息。
配置信息包括域名名称、域名所有人或管理人相关信息,配置信息为申请目标域名的证书所需要的信息,用于申请目标域名的证书并为目标域名开启安全加速服务。
内容提供商提供网络内容,拥有自己的网站域名,供网民访问。内容提供商可以使用CDN厂商的CDN网络,对网站进行加速。CDN厂商可以预先获取内容提供商的域名、域名所有人或管理人相关信息等相关信息,以便对CDN网络进行配置,例如设置相应的边缘服务器对该内容提供商的域名进行HTTP加速服务。再如,如果内容提供商事先决定采用HTTPS服务,且已申请了域名的证书,在CDN网络提供加速服务前,需要将域名及域名的证书提供给CDN厂商,CDN厂商将域名的证书部署至边缘节点中,部署了目标域名的证书的边缘节点,可以在接收到针对目标域名的HTTPS协议格式的请求时,向客户端提供目标域名的证书,并在目标域名的证书验证通过后,与客户端建立HTTPS连接。如果内容提供商本身不提供HTTPS服务,或者,内容提供商未申请域名的证书提供给CDN厂商,CDN厂商可以根据实际的网络环境,或接收到内容提供商指示CDN厂商为目标域名提供HTTPS服务的情况下,CDN厂商可以预先或按需获取内容提供商在为目标域名配置HTTP加速服务时的配置信息,以便在需要为目标域名提供加速服务时,由证书管理平台自主为内容提供商申请目标域名的证书,并针对目标域名提供安全加速服务。
CDN厂商可以将获取的目标域名的配置信息存储在配置中心。
证书管理平台确定为目标域名开启安全加速服务后,为了向CA机构申请目标域名的证书,可以向配置中心请求目标域名的配置信息,只有接收到目标域名的配置信息后,证书管理平台才能向CA机构发送申请信息。
在一示例性实施例中,安全加速服务包括但不限于HTTPS加速服务或QUIC加速服务。
安全加速服务可以是HTTPS加速服务,也可以是QUIC服务。QUIC(Quick UDPInternet Connection)是谷歌制定的一种基于UDP的低时延的互联网传输层协议,其中传输层协议包括TCP和UDP协议。QUIC融合了包括TCP,TLS,HTTP/2等协议的特性,但基于UDP传输,是一种快速安全的传输协议。
除上述安全协议的加速服务外,安全加速服务也可以是其他的协议形式,认证时需要服务端提供证书的场景都可以应用本申请提供的安全加速服务,由CDN厂商在确定为目标域名提供安全加速服务时,由证书管理平台为目标域名申请证书,并将目标域名的证书部署到边缘节点中,实现对目标域名的安全加速服务。
在步骤S12中,向CA机构申请目标域名的证书,并将目标域名的证书部署到边缘节点。
证书管理平台确定为目标域名开启安全加速服务后,主动向CA机构申请目标域名的证书,并将目标域名的证书部署到边缘节点。部署了目标域名的证书的边缘节点,在接收到客户端针对目标域名的安全连接请求时,可以向客户端反馈目标域名的证书,供客户端认证,并在认证通过后,与客户端建立加密的安全连接,提高数据内容的安全性。对于不支持安全协议的网站域名,例如某网站仅为其用户提供HTTP服务,CDN系统可以根据预设的安全加速策略进行判断,在安全加速策略条件满足的情况下,为仅为其用户提供HTTP服务的网站内容,提供安全加速服务。证书管理中心申请目标域名的证书的过程完全不需要内容提供商的参与,降低内容提供商的工作量。
本实施例中,证书管理平台主动获取目标域名的域名信息或运营信息,在域名信息或运营信息满足安全加速策略时,确定为目标域名开启安全加速服务。
在一示例性实施例中,步骤S11可以为步骤S11b,在步骤S11b中,证书管理平台接收到目标域名开启安全加速服务的检测结果,确定为目标域名开启安全加速服务。
本实施例中,配置中心除了存储用于申请证书的目标域名的配置信息,还用于存储相关的数据。例如,CDN服务平台的客户(内容提供商或内容提供商的代表)通过配置页面,勾选了为目标域名开启安全加速服务的选项,配置数据会存储到配置中心的数据库中。或者,CDN厂商根据网络环境,确定为目标域名开启安全加速服务,通过管理页面进行设置,设置好的数据会存储在配置中心的数据库中。配置中心通过检测数据库中的数据,可以获取上述CDN服务平台的客户输入的配置数据,或者CDN厂商设置的数据,生成检测结果,检测结果用于指示为目标域名开启安全加速服务。证书管理中心如果从配置中心接收到目标域名开启安全加速服务的检测结果,可以直接确定为目标域名开启安全加速服务,并执行步骤S12,向CA机构申请目标域名的证书,并将目标域名的证书部署到边缘节点。
在一示例性实施例中,安全加速策略包括但不限于:
为预设顶级域类型和/或预设业务类型的域名提供安全加速服务;或者,
为访问安全加速服务的次数大于等于预设阈值的域名和/或访问目标域名的安全加速服务的访问趋势变大的域名开启安全加速服务。
安全加速策略由CDN厂商制定,可以根据具体的网络环境制定,或者根据服务平台的客户(内容提供商或内容提供商的代表)的指示信息进行制定。安全加速策略可以有一条,也可以为多条,当有多条安全加速策略时,其中任一安全加速策略条件满足时,都可以确定为目标域名开启安全加速服务。
当CDN厂商制定了多条安全加速策略时,还可以为每条安全加速策略指定优先级。例如,可以为每条安全加速策略编制序号,将序号的排列顺序作为优先级的排列顺序,序号小的安全加速策略的优先级高于序号大的安全加速策略的优先级。
例如,CDN厂商制定了两条安全加速策略,并指定优先级。
策略1:为访问安全加速服务的次数大于等于100次的域名开启安全加速服务。
策略2:为顶级域名为GOV的域名开启安全加速服务。
假设,目标域名为WWW.ABC.GOV,当前时刻访问HTTPS://WWW.ABC.GOV的安全加速服务的次数为55次。
由于策略1的优先级高于策略2的优先级,在判断是否为目标域名开启安全加速服务时,首先根据策略1,查询访问安全加速服务的次数为55次,小于100次,策略1的条件不满足。再根据策略2,查询目标域名的顶级域名为GOV,策略2的条件满足。确定为目标域名开启安全加速服务。
再如,CDN厂商制定了两条安全加速策略,并指定优先级。
策略1:为顶级域名为GOV的域名开启安全加速服务。
策略2:为访问安全加速服务的次数大于等于预设阈值的域名开启安全加速服务。
假设,目标域名为WWW.ABC.GOV,当前时刻访问HTTPS://WWW.ABC.GOV安全加速服务的次数为55次。
由于策略1的优先级高于策略2的优先级,在判断是否为目标域名开启安全加速服务时,首先根据策略1,查询目标域名的顶级域名为GOV,策略1的条件满足。确定为目标域名开启安全加速服务。不需要再根据策略2查询访问安全加速服务的次数。
可见,为多条安全加速策略指定不同的优先级,在判断是否为目标域名开启安全加速服务时,可以按优先级从高到底的顺序,依次根据每条安全策略查询对应的条件是否满足,直到某条安全策略的条件满足或者查询完每条安全策略对应的条件。另外,相同条件下,多条安全加速策略的优先级顺序不同,查询的过程不同,消耗的查询时间也可能不同。因此实际应用中,可以根据不同的应用环境,为多条安全加速策略制定合理的优先级顺序,达到缩短查询过程,减少查询耗时的效果。
CDN厂商可以在为目标域名提供服务的初始阶段制定相关的安全加速策略,也可以在为目标域名提供服务的过程中,根据实际的网络环境或管理决策,制定新的安全加速策略,或者,对已经制定的安全加速策略进行调整或删除。本领域技术人员应该明白,除以上安全加速策略外,还可以制订其他安全加速策略。
在一示例性实施例中,向CA机构申请目标域名的证书,并将目标域名的证书部署到边缘节点包括:
为目标域名生成公钥和私钥;
发送公钥和配置信息至所述CA机构;
接收CA机构签发的目标域名的证书;
发送目标域名的证书和私钥至边缘节点,以使边缘节点提供目标域名的安全加速服务。
为目标域名申请证书前,证书管理平台生成目标域名的公钥和私钥。
证书管理平台为目标域名生成相应的公钥和私钥,以便为目标域名申请域名的证书。
发送公钥及目标域名的配置信息至CA机构,向CA机构申请目标域名的证书。证书管理平台生成目标域名的公钥和私钥后,将目标域名的公钥和相关信息发送至CA机构,即可向CA机构申请目标域名的证书。
接收CA机构签发的所述目标域名的证书。
证书管理平台可以从CA机构直接接收目标域名的证书,也可以在CA机构将目标域名的证书提供给CDN厂商后,从CDN管理设备接收目标域名的证书。
证书管理平台接收CA机构签发的目标域名的证书后,将目标域名的证书存储在本地,并将目标域名的证书和私钥发送至边缘节点,以使边缘节点开启目标域名的安全加速服务。
在一个实施例中,证书管理平台可以将目标域名的证书和私钥向系统中所有的边缘节点发送。实现在系统中的全部边缘节点部署安全加速服务,任一边缘节点都可以为目标域名提供安全加速服务,在另一个实施例中,根据部署策略,也可以实现由指定范围的边缘节点为目标域名提供安全加速服务。
在一个实施例中,证书管理平台接收边缘节点发送的域名的证书获取请求,将目标域名的证书和私钥发送至该边缘节点。本实施例中,只向发送证书获取请求段边缘节点反馈目标域名的证书,不需要将目标域名的证书部署到全部边缘节点中,降低安全加速服务部署的工作量及成本。
边缘节点从证书管理平台获取到目标域名的证书和私钥后,将目标域名的证书和私钥存储在本节点中。当接收到客户端针对目标域名的安全连接请求后,边缘节点将目标域名的证书发送给客户端,目标域名的证书包含目标域名的公钥,申请者信息,CA签名等信息。由此,客户端拥有目标域名的公钥,边缘节点拥有目标域名的私钥,随后,双方可以进行密钥协商,并加密的安全连接,边缘节点通过安全连接响应客户端的请求。
本实施例中,证书管理平台获取目标域名的配置信息,并使用目标域名的公钥和相关信息为目标域名申请域名的证书。内容提供商只需将目标域名的配置信息提供给CDN厂商,即可在目标域名需要提供安全加速服务时,由CDN厂商的证书管理平台为目标域名申请域名的证书,避免了内容提供商申请域名的证书的繁琐过程。
CDN厂商的证书管理平台可以自动将目标域名的证书部署到边缘节点中,边缘节点为内容提供商的目标域名提供安全加速服务,即使内容提供商的网站域名不提供安全协议的服务,或者内容提供商未申请网站域名的证书,在CDN厂商为其提供CDN加速服务时,仍可为内容提供商提供安全加速服务,提高网站安全性。对于使用强制HTTPS或QUIC的浏览器的客户端,也能为其提供正常的服务,进一步提高内容提供商的服务质量,提高访问用户的体验。
在一示例性实施例中,在获取CA机构签发的目标域名的证书之后,还包括:
在目标域名的证书过期时刻前的预设时段内,向CA机构申请目标域名的新的证书。
域名的证书设置有有效期,在有效期内的域名的证书才能被客户端浏览器信任,被浏览器验证为有效证书,进而与拥有该域名的证书的服务器建立安全连接。一旦域名的证书过期,客户端浏览器将不能与拥有该域名的证书的服务器建立连接。因此,证书管理平台需要对从CA机构获取的域名的证书进行管理,监测域名的证书的有效期,在目标域名的证书过期时刻前的预设时段内,为目标域名申请新的证书。在本实施例中,预设时段可以为1天、2天、或其他时长,可以根据申请域名的证书的周期确定。
在一示例性实施例中,向CA机构申请所述目标域名的新的证书包括:
重新生成目标域名的新的公钥和新的私钥;
发送新的公钥及目标域名的配置信息至CA机构,向CA机构申请目标域名的证书。
证书管理平台可以在目标证书过期时刻前的预设时段内,为目标域名生成新的公钥和新的私钥,将新的公钥和目标域名的相关信息发送至CA机构,向CA机构申请新的域名的证书。
域名的证书由CDN厂商的证书管理平台进行管理,证书的更新工作,由CDN厂商自主完成,减少内容提供商的工作量。
在一示例性实施例中,在获取所述CA机构签发的目标域名的证书之后,还包括:
在所述目标域名的证书存在安全隐患时,向所述CA机构发送吊销申请,以使所述CA机构吊销所述目标域名的证书。
在目标域名的证书使用过程中,可能存在各种风险,例如:目标域名的私钥丢失,拥有证书的服务方,将不能与客户端进行密钥协商并建立HTTPS连接;或者,目标域名的私钥泄露,当CDN厂商为目标域名生成的私钥泄露,会威胁网站或CDN系统的安全性。或者,CA机构或CDN厂商考虑目标域名的私钥可能存在破解风险等情况,证书管理平台可以随时向CA机构发送证书吊销申请,CA机构吊销目标域名的证书后,该域名的证书不再被信任,即使该域名的证书在有效期内,仍然不可用。从而避免目标域名的私钥泄露后,对网站造成的安全隐患。
证书管理平台申请目标域名的证书后,负责对目标域名的证书进行管理,进一步减轻内容提供商的工作。
图2是根据一示例性实施例示出的安全加速服务部署方法的流程图。参考图2,安全加速服务部署方法应用于配置中心,安全加速服务部署方法至少包括步骤S21-步骤S22,详细介绍如下:
在步骤S21中,接收目标域名开启安全加速服务的指令信息,发送目标域名开启安全加速服务的检测结果至证书管理平台。
如果内容提供商本身不提供安全连接服务,或者,内容提供商未申请域名的证书,证书管理中心可以从配置中心处获取内容提供商对目标域名的相关配置信息,例如内容提供商的公司名称,内容提供商的管理人信息等。
在一示例性实施例中,获取的目标域名的配置信息可用于为目标域名配置安全加速服务,包括:域名名称、域名所有人或管理人相关信息。
通过获取存储在本地的目标域名的配置信息,以便CDN厂商在为目标域名提供加速服务的过程中,根据实际的网络环境,或接收到内容提供商指示CDN厂商为目标域名提供安全加速服务的情况下,需要对目标域名提供安全加速服务时,可以利用目标域名的相关配置信息向CA机构申请证书,为目标域名提供安全加速服务,不会对内容提供商提出额外的信息获取需求,也不需要内容提供商的参与。
为了能及时接收内容提供商的指令信息,CDN厂商可以向客户提供配置页面,用于客户随时向CDN厂商发送指令信息。配置页面连接到配置中心,客户通过配置页面输入的信息,可以存储在配置中心的数据库中。CDN厂商还可以设置管理页面,用于向配置中心发出指令。
如果配置中心接收到目标域名开启安全加速服务的指令信息,例如,CDN系统的客户(内容提供商或内容提供商的代表)在配置中心提供的平台上通过勾选相应的选项,向配置中心发出的指令信息;也可以是通过其他方式向CDN厂商的管理人员发出指令信息,再由管理人员将指令信息输入配置中心;还可以是CDN管理人员通过对目标域名进行安全评估,可能存在网络攻击的风险,确定为目标域名开启安全加速服务,并通过管理设备向配置中心发出指令信息。配置中心通过检测数据库,可以获取与指令信息相关的数据,并生成相应的检测结果,该检测结果用于指示目标域名开启安全加速服务。
配置中心发送目标域名开启安全加速服务的检测结果至证书管理平台,以便通知证书管理平台为目标域名开启安全加速服务。
在步骤S22中,从证书管理平台接收获取目标域名的配置信息的请求信息,并发送目标域名的配置信息至证书管理平台。
当证书管理平台根据安全加速策略确定为目标域名开启安全加速服务时,或者,证书管理平台接收到配置中心发送的目标域名开启安全加速服务的检测结果,会向配置中心发送获取目标域名的配置信息的请求,以便能够使用目标域名的配置信息向CA机构申请证书。在配置中心接收到证书管理平台获取目标域名的请求信息时,发送配置信息至证书管理平台。
在配置中心确定目标域名需要开启安全加速服务后,将目标域名的配置信息发送给证书管理平台,以使证书管理平台向CA机构申请域名证书。
在本实施例中,配置中心用于管理目标域名的配置信息,并在证书管理平台需要为目标域名申请证书时,将配置信息提供给证书管理平台,防止配置信息泄露。配置中心还用于接收客户或CDN管理平台的指令信息,并将指令信息相关的检测结果提供至证书管理平台,以使证书管理平台确定为目标域名开启安全加速服务,并申请目标域名的证书。证书管理平台不对外接收信息,确保证书的安全性。
基于上述实施例的技术方案,以下介绍本申请实施例的一个具体应用场景:
公司A、B为内容提供商,其网站域名分别为域名A、域名B,公司对网站内容的安全性不敏感,仅为其用户提供HTTP服务。用户只能向网站发送HTTP的请求才能获取响应的内容,如果发送HTTPS协议格式的请求,网站将断开与客户端的连接。例如:用户访问公司A网站中的文件1.jpg,用户通过浏览器访问HTTP://A/1.jpg,用户能够获取1.jpg文件;如果用户输入的HTTPS://A/1.jpg,用户无法获取请求的内容。
公司A、B通过CDN网络对网站内容进行加速,会预先将域名的配置信息提供给CDN厂商,例如网站的域名,内容提供商的公司名称、管理人信息等。以使CDN厂商在确定为域名提供安全加速服务时,由CDN厂商自主申请域名的证书。
CDN厂商将域名A和域名B的配置信息存储在配置中心。
CDN厂商制定安全加速策略:
策略1:为访问安全加速服务的次数大于等于100次的域名开启安全加速服务。
策略2:为财经业务类型的域名提供安全加速服务。
策略2的优先级高于策略1的优先级。
证书管理平台首先判断域名A、B是否为财经类业务类型,结果域名A和域名B的域名信息都不满足预设的安全加速策略,则不为域名A、域名B开启安全加速服务。
证书管理平台获取域名A和域名B的运营数据,其中,域名A的运营数据中,访问安全加速服务HTTPS://A的次数大于100次,策略1的条件满足,证书管理平台确定为域名A开启安全加速服务。证书管理平台向配置中心发送获取域名A的配置信息的请求信息,并接收配置中心反馈的域名A的配置信息。然后证书管理平台开始向CA机构申请域名A的证书。证书管理平台为域名A生成公钥和私钥,并将域名A的公钥和域名A的配置信息发送至CA机构,为域名A申请域名证书。
域名B的运营数据中,访问安全加速服务HTTPS://B的次数小于100次,对于域名B,策略1的条件也不满足。证书管理平台确定不为域名B开启安全加速服务。
运营过程中,B公司根据网站运营情况,认为需要为域名B开启安全加速服务,通过登录CDN厂商提供的配置页面,并勾选了配置页面中为域名B开启安全加速服务的选项后,提交了指令信息。配置中心检测到相应的数据后,将检测结果发送至证书管理平台,该检测结果指示为域名B开启安全加速服务。证书管理平台接收到域名B开启安全加速服务的检测结果后,确定为域名B开启安全加速服务。证书管理平台向配置中心发送获取域名B的配置信息的请求信息,并接收配置中心反馈的域名B的配置信息。然后证书管理平台开始向CA机构申请域名B的证书。
在一个实施例中,配置中心在获取到域名B的配置信息后,将其中的域名名称、域名所有人或管理人相关信息同步至证书管理平台。
证书管理平台为域名B生成公钥和私钥,并将域名B的公钥和域名B的配置信息发送至CA机构,为域名B申请域名证书。
根据以上实施例,本申请提供的安全加速服务部署方法,可以由CDN厂商的证书管理平台根据安全加速策略,自动为内容提供商的域名提供安全加速服务,不需要内容提供商进行繁琐的证书申请。
图3是根据一示例性实施例示出的安全加速服务部署装置的框图。参考图3,安全加速服务部署装置应用于证书管理平台,包括安全加速服务开启模块301,证书管理模块302。
该安全加速服务开启模块301被配置为用于当目标域名的域名信息或运营信息满足安全加速策略,或者,接收到目标域名开启安全加速服务的检测结果,确定为目标域名开启安全加速服务。
该证书管理模块302被配置为用于向CA机构申请目标域名的证书,并将目标域名的证书部署到边缘节点。
图4是根据一示例性实施例示出的安全加速服务部署装置的框图。参考图4,安全加速服务部署装置还包括配置信息请求模块401。
该配置信息请求模块401被配置为用于向配置中心发送获取目标域名的配置信息的请求信息,并接收目标域名的配置信息。
图5是根据一示例性实施例示出的安全加速服务部署装置的框图。参考图5,安全加速服务部署装置应用于配置中心,包括:信息管理模块501,配置信息发送模块502。
该信息管理模块501被配置为用于接收目标域名开启安全加速服务的指令信息,发送目标域名开启安全加速服务的检测结果至证书管理平台。
该配置信息发送模块502被配置为用于发送配置信息至证书管理平台。
图6是根据一示例性实施例示出的一种用于安全加速服务部署的计算机设备600的框图。例如,计算机设备600可以被提供为一服务器。参照图6,计算机设备600包括处理器601,处理器的个数可以根据需要设置为一个或者多个。计算机设备600还包括存储器602,用于存储可由处理器601的执行的指令,例如应用程序。存储器的个数可以根据需要设置一个或者多个。其存储的应用程序可以为一个或者多个。处理器601被配置为执行指令,以执行上述安全加速服务部署方法。
本领域技术人员应明白,本申请的实施例可提供为方法、装置(设备)、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质,包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质等。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
本申请是参照根据本申请实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在本申请中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的物品或者设备中还存在另外的相同要素。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请的意图也包含这些改动和变型在内。
Claims (12)
1.一种安全加速服务部署方法,应用于证书管理平台,所述证书管理平台是CDN厂商设置的,其特征在于,包括:
CDN系统在为只提供HTTP服务的目标域名提供加速服务的过程中,当所述目标域名的域名信息或运营信息满足安全加速策略,或者,接收到所述目标域名开启安全加速服务的检测结果,确定为所述目标域名开启安全加速服务,所述安全加速服务为CDN系统使用安全协议提供的加速服务;
向CA机构申请目标域名的证书,并将所述目标域名的证书部署到边缘节点;
其中,所述域名信息包括顶级域类型、业务类型中的至少一种;所述运营信息包括访问所述目标域名的安全加速服务的历史次数、访问所述目标域名的安全加速服务的访问趋势中的至少一种;所述检测结果是配置中心获取配置数据或者CDN厂商设置的数据后生成的,所述配置中心存储用于申请证书的目标域名的配置信息及配置数据;
所述向CA机构申请目标域名的证书,并将所述目标域名的证书部署到边缘节点包括:
为所述目标域名生成公钥和私钥;
发送所述公钥和所述配置信息至所述CA机构;
接收所述CA机构签发的所述目标域名的证书;
发送所述目标域名的证书和所述私钥至边缘节点,以使所述边缘节点提供所述目标域名的安全加速服务。
2.如权利要求1所述的安全加速服务部署方法,其特征在于,还包括:
获取所述安全加速策略;
判断所述目标域名的域名信息或运营信息是否满足所述安全加速策略;或者,接收到边缘节点发送的所述目标域名的证书获取请求后,判断所述目标域名的域名信息或运营信息是否满足所述安全加速策略。
3.如权利要求1所述的安全加速服务部署方法,其特征在于,所述安全加速策略包括:
为预设顶级域类型和/或预设业务类型的域名提供安全加速服务;或者,
为访问安全加速服务的次数大于等于预设阈值的域名和/或访问目标域名的安全加速服务的访问趋势变大的域名开启安全加速服务。
4.如权利要求1所述的安全加速服务部署方法,其特征在于,所述确定为所述目标域名开启安全加速服务之后,还包括:
向所述配置中心发送获取所述目标域名的配置信息的请求信息,并接收所述目标域名的配置信息。
5.如权利要求1所述的安全加速服务部署方法,其特征在于,在获取所述CA机构签发的所述目标域名的证书之后,还包括:
在所述目标域名的证书过期时刻前的预设时段内,向所述CA机构申请所述目标域名的新的证书。
6.如权利要求5所述安全加速服务部署方法,其特征在于,所述向所述CA机构申请所述目标域名的新的证书包括:
重新生成所述目标域名的新的公钥和新的私钥;
发送所述新的公钥及所述目标域名的配置信息至CA机构,向所述CA机构申请目标域名的证书。
7.如权利要求1所述的安全加速服务部署方法,其特征在于,在获取所述CA机构签发的所述目标域名的证书之后,还包括:
若所述目标域名的证书存在安全隐患,向所述CA机构发送吊销申请。
8.如权利要求1-7任意一项所述的安全加速服务部署方法,其特征在于,所述安全加速服务包括HTTPS加速服务或QUIC加速服务。
9.一种安全加速服务部署装置,应用于证书管理平台,所述证书管理平台是CDN厂商设置的,其特征在于,包括:
安全加速服务开启模块,用于CDN系统在为只提供HTTP服务的目标域名提供加速服务的过程中,当所述目标域名的域名信息或运营信息满足安全加速策略,或者,接收到所述目标域名开启安全加速服务的检测结果,确定为所述目标域名开启安全加速服务,所述安全加速服务为CDN系统使用安全协议提供的加速服务;
证书管理模块,用于向CA机构申请目标域名的证书,并将所述目标域名的证书部署到边缘节点;
其中,所述域名信息包括顶级域类型、业务类型中的至少一种;所述运营信息包括访问所述目标域名的安全加速服务的历史次数、访问所述目标域名的安全加速服务的访问趋势中的至少一种;所述检测结果是配置中心获取配置数据或者CDN厂商设置的数据后生成的,所述配置中心存储用于申请证书的目标域名的配置信息及配置数据;
所述向CA机构申请目标域名的证书,并将所述目标域名的证书部署到边缘节点包括:
为所述目标域名生成公钥和私钥;
发送所述公钥和所述配置信息至所述CA机构;
接收所述CA机构签发的所述目标域名的证书;
发送所述目标域名的证书和所述私钥至边缘节点,以使所述边缘节点提供所述目标域名的安全加速服务。
10.如权利要求9所述的安全加速服务部署装置,其特征在于,还包括:
配置信息请求模块,用于向所述配置中心发送获取所述目标域名的配置信息的请求信息,并接收所述目标域名的配置信息。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被执行时实现如权利要求1-8中任意一项所述方法的步骤。
12.一种计算机设备,包括处理器、存储器和存储于所述存储器上的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-8中任意一项所述方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110645788.1A CN115460084B (zh) | 2021-06-09 | 2021-06-09 | 安全加速服务部署方法、装置、介质及设备 |
| PCT/CN2022/097417 WO2022257931A1 (zh) | 2021-06-09 | 2022-06-07 | 安全加速服务部署方法、装置、介质及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110645788.1A CN115460084B (zh) | 2021-06-09 | 2021-06-09 | 安全加速服务部署方法、装置、介质及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115460084A CN115460084A (zh) | 2022-12-09 |
| CN115460084B true CN115460084B (zh) | 2024-05-24 |
Family
ID=84295290
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110645788.1A Active CN115460084B (zh) | 2021-06-09 | 2021-06-09 | 安全加速服务部署方法、装置、介质及设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN115460084B (zh) |
| WO (1) | WO2022257931A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116684382B (zh) * | 2023-07-28 | 2023-10-20 | 深圳市豪斯莱科技有限公司 | 域名检测、自动化申请域名证书方法、系统和存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106230782A (zh) * | 2016-07-20 | 2016-12-14 | 腾讯科技(深圳)有限公司 | 一种基于内容分发网络的信息处理方法及装置 |
| CN108401011A (zh) * | 2018-01-30 | 2018-08-14 | 网宿科技股份有限公司 | 内容分发网络中握手请求的加速方法、设备及边缘节点 |
| CN109417536A (zh) * | 2016-04-15 | 2019-03-01 | 高通股份有限公司 | 用于管理内容递送网络中的安全内容传输的技术 |
| CN109660578A (zh) * | 2017-10-11 | 2019-04-19 | 阿里巴巴集团控股有限公司 | Cdn的回源处理方法及装置、系统 |
| CN109818946A (zh) * | 2019-01-11 | 2019-05-28 | 网宿科技股份有限公司 | Ca证书申请和部署的方法和系统 |
| WO2019178942A1 (zh) * | 2018-03-23 | 2019-09-26 | 网宿科技股份有限公司 | 一种进行ssl握手的方法和系统 |
| CN110324347A (zh) * | 2019-07-08 | 2019-10-11 | 秒针信息技术有限公司 | 一种信息整合方法、装置及电子设备 |
| CN111064795A (zh) * | 2019-12-20 | 2020-04-24 | 腾讯科技(深圳)有限公司 | 网页访问加速方法、系统、计算机设备、服务器及介质 |
| CN112217679A (zh) * | 2020-10-16 | 2021-01-12 | 腾讯科技(深圳)有限公司 | 应用程序加速方法、装置、计算机设备和存储介质 |
| CN112491859A (zh) * | 2020-11-20 | 2021-03-12 | 上海连尚网络科技有限公司 | 域名证书检测方法、装置、电子设备和计算机可读介质 |
| CN112702175A (zh) * | 2020-12-28 | 2021-04-23 | 上海七牛信息技术有限公司 | 一键申请和部署目标服务器证书的方法和系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10110592B2 (en) * | 2013-10-09 | 2018-10-23 | Digicert, Inc. | Reducing latency for certificate validity messages using private content delivery networks |
| CN105846996B (zh) * | 2016-03-17 | 2019-03-12 | 上海携程商务有限公司 | 服务器证书的自动部署系统及方法 |
| US10567348B2 (en) * | 2017-07-06 | 2020-02-18 | Citrix Systems, Inc. | Method for SSL optimization for an SSL proxy |
| CN107733882B (zh) * | 2017-09-30 | 2021-03-19 | 亚数信息科技(上海)有限公司 | Ssl证书自动化部署方法及设备 |
| US10810279B2 (en) * | 2018-02-07 | 2020-10-20 | Akamai Technologies, Inc. | Content delivery network (CDN) providing accelerated delivery of embedded resources from CDN and third party domains |
-
2021
- 2021-06-09 CN CN202110645788.1A patent/CN115460084B/zh active Active
-
2022
- 2022-06-07 WO PCT/CN2022/097417 patent/WO2022257931A1/zh active Application Filing
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109417536A (zh) * | 2016-04-15 | 2019-03-01 | 高通股份有限公司 | 用于管理内容递送网络中的安全内容传输的技术 |
| CN106230782A (zh) * | 2016-07-20 | 2016-12-14 | 腾讯科技(深圳)有限公司 | 一种基于内容分发网络的信息处理方法及装置 |
| CN109660578A (zh) * | 2017-10-11 | 2019-04-19 | 阿里巴巴集团控股有限公司 | Cdn的回源处理方法及装置、系统 |
| CN108401011A (zh) * | 2018-01-30 | 2018-08-14 | 网宿科技股份有限公司 | 内容分发网络中握手请求的加速方法、设备及边缘节点 |
| WO2019178942A1 (zh) * | 2018-03-23 | 2019-09-26 | 网宿科技股份有限公司 | 一种进行ssl握手的方法和系统 |
| CN109818946A (zh) * | 2019-01-11 | 2019-05-28 | 网宿科技股份有限公司 | Ca证书申请和部署的方法和系统 |
| CN110324347A (zh) * | 2019-07-08 | 2019-10-11 | 秒针信息技术有限公司 | 一种信息整合方法、装置及电子设备 |
| CN111064795A (zh) * | 2019-12-20 | 2020-04-24 | 腾讯科技(深圳)有限公司 | 网页访问加速方法、系统、计算机设备、服务器及介质 |
| CN112217679A (zh) * | 2020-10-16 | 2021-01-12 | 腾讯科技(深圳)有限公司 | 应用程序加速方法、装置、计算机设备和存储介质 |
| CN112491859A (zh) * | 2020-11-20 | 2021-03-12 | 上海连尚网络科技有限公司 | 域名证书检测方法、装置、电子设备和计算机可读介质 |
| CN112702175A (zh) * | 2020-12-28 | 2021-04-23 | 上海七牛信息技术有限公司 | 一键申请和部署目标服务器证书的方法和系统 |
Non-Patent Citations (2)
| Title |
|---|
| oni Gržini ; Darko Perho ; Marko Mari ; Filip Vlaši ; Tibor Kulcsar.CROFlux — Passive DNS method for detecting fast-flux domains.IEEE.2014,全文. * |
| 云计算环境下远程安全评估技术研究;许子先;;网络安全技术与应用(第01期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022257931A1 (zh) | 2022-12-15 |
| CN115460084A (zh) | 2022-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11429960B2 (en) | Network configuration management for networked client devices using a distributed ledger service | |
| EP3457627B1 (en) | Automatic login method and device between multiple websites | |
| US20220405750A1 (en) | Network configuration management for networked client devices using a distributed ledger service | |
| US9130935B2 (en) | System and method for providing access credentials | |
| JP5010608B2 (ja) | リモートリソースとの安全な対話型接続の生成 | |
| US20150188779A1 (en) | Split-application infrastructure | |
| US20140289839A1 (en) | Resource control method and apparatus | |
| US20090290715A1 (en) | Security architecture for peer-to-peer storage system | |
| US8136144B2 (en) | Apparatus and method for controlling communication through firewall, and computer program product | |
| US9584523B2 (en) | Virtual private network access control | |
| US20130007867A1 (en) | Network Identity for Software-as-a-Service Authentication | |
| US10263789B1 (en) | Auto-generation of security certificate | |
| CN105516163A (zh) | 一种登录方法及终端设备及通信系统 | |
| CN110069909B (zh) | 一种免密登录第三方系统的方法及装置 | |
| CN114995214A (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| CN113381979A (zh) | 一种访问请求代理方法及代理服务器 | |
| US10404684B1 (en) | Mobile device management registration | |
| CN115460084B (zh) | 安全加速服务部署方法、装置、介质及设备 | |
| US11153099B2 (en) | Reestablishing secure communication with a server after the server's certificate is renewed with a certificate authority unknown to the client | |
| CN114513326B (zh) | 基于动态代理实现通信审计的方法及系统 | |
| CN102045398B (zh) | 一种基于Portal的分布式控制方法和设备 | |
| CN115460083B (zh) | 安全加速服务部署方法、装置、介质及设备 | |
| CN115150112B (zh) | 一种安全认证方法、装置、系统、介质及设备 | |
| US9830207B2 (en) | Message communication system and operation method thereof | |
| US11805117B2 (en) | Onboarding for remote management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |