WO2019148562A1

WO2019148562A1 - 内容分发网络中握手请求的加速方法、设备及边缘节点

Info

Publication number: WO2019148562A1
Application number: PCT/CN2018/077430
Authority: WO
Inventors: 陈杰军; 邓建伟
Original assignee: 网宿科技股份有限公司
Priority date: 2018-01-30
Filing date: 2018-02-27
Publication date: 2019-08-08
Also published as: US20210211504A1; EP3541051A4; CN108401011B; EP3541051A1; CN108401011A; EP3541051B1

Abstract

本发明公开了一种内容分发网络中握手请求的加速方法、设备及边缘节点，其中，所述方法包括：接收客户端发来的指向目标域名的握手请求；向所述客户端反馈与所述目标域名相绑定的目标证书，所述目标证书中包含指定公钥，以使得所述客户端利用所述指定公钥对本次会话的会话密钥进行加密；接收所述客户端提供的加密后的会话密钥，并向加速服务器发送解密请求，所述解密请求中包括所述加密后的会话密钥，以使得所述加速服务器根据与所述目标域名相绑定的私钥对所述加密后的会话密钥进行解密；接收并存储所述加速服务器反馈的解密后的会话密钥，以完成本次的握手过程。本申请提供的技术方案，能够提高HTTPS握手请求的处理效率。

Description

内容分发网络中握手请求的加速方法、设备及边缘节点

技术领域

本发明涉及互联网技术领域，特别涉及一种内容分发网络中握手请求的加速方法、设备及边缘节点。

背景技术

目前，超文本传输协议(Hyper Text Transfer Protocol，HTTP)被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容，通常不提供任何方式的数据加密。如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接识别其中的信息，因此HTTP不适合传输私密信息。

为了解决HTTP协议的上述缺陷，基于安全套接字层的超文本传输协议(Hyper Text Transfer Protocol over Secure Socket Layer，HTPPS)应运而生。为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议或者TLS(Transport Layer Security，安全传输层)协议，SSL/TLS依靠证书来验证服务器的身份，并可以为浏览器和服务器之间的通信加密。

然而，HTTPS在保障数据传输安全的同时，也会给服务器带来较大的开销。具体地，基于HTTPS的通信过程需要经过繁琐的握手过程，并且在握手过程还包括需要消耗大量时间和资源的非对称解密过程。在传统的内容分发网络中，上述繁琐的握手过程通常是在边缘节点中完成。这样，如果边缘节点同时需要处理多个客户端的握手请求，那么会导致边缘节点中服务器的负载较高，从而使得处理握手请求的速度变慢，甚至会产生宕机的风险。因此，传统的内容分发网络中，边缘节点在处理HTTPS的握手请求时，通常具备较低的效率。

发明内容

本申请的目的在于提供一种内容分发网络中握手请求的加速方法、设备及边缘节点，能够提高HTTPS握手请求的处理效率。

为实现上述目的，本申请一方面提供一种内容分发网络中握手请求的加速方法，所述方法应用于边缘节点中的业务服务器，所述业务服务器中存储有多个与域名相绑定的证书，所述方法包括：接收客户端发来的指向目标域名的握手请求；向所述客户端反馈与所述目标域名相绑定的目标证书，所述目标证书中包含指定公钥，以使得所述客户端利用所述指定公钥对本次会话的会话密钥进行加密；接收所述客户端提供的加密后的会话密钥，并向加速服务器发送解密请求，所述解密请求中包括所述加密后的会话密钥，以使得所述加速服务器根据与所述目标域名相绑定的私钥对所述加密后的会话密钥进行解密；接收并存储所述加速服务器反馈的解密后的会话密钥，以完成本次的握手过程。

为实现上述目的，本申请另一方面还提供一种业务服务器，所述业务服务器处于内容分发网络的边缘节点中，所述业务服务器包括存储器和处理器，所述存储器中存储计算机程序和多个与域名相绑定的证书，所述计算机程序被所述处理器执行时，实现以下步骤：接收客户端发来的指向目标域名的握手请求；向所述客户端反馈与所述目标域名相绑定的目标证书，所述目标证书中包含指定公钥，以使得所述客户端利用所述指定公钥对本次会话的会话密钥进行加密；接收所述客户端提供的加密后的会话密钥，并向加速服务器发送解密请求，所述解密请求中包括所述加密后的会话密钥，以使得所述加速服务器根据与所述目标域名相绑定的私钥对所述加密后的会话密钥进行解密；接收并存储所述加速服务器反馈的解密后的会话密钥，以完成本次的握手过程。

为实现上述目的，本申请另一方面还提供一种内容分发网络中握手请求的加速方法，所述方法应用于边缘节点中的加速服务器，所述加速服务器中存储有多个与域名相绑定的私钥，所述方法包括：接收业务服务器发来的解密请求，所述解密请求中包括目标域名以及经过指定公钥加密后的会话密钥；其中，所述指定公钥包含于在所述业务服务器中存储的与所述目标域名相绑定的目标证书中；获取所述目标域名绑定的私钥，并利用获取的所述私钥对所述加密后的会话密钥进行解密；向所述业务服务器反馈解密后的会话密钥；所述解密后的会话密钥用于对所述业务服务器与客户端之间传输的通信数据进行加密。

为实现上述目的，本申请另一方面还提供一种加速服务器，所述加速服务器处于内容分发网络的边缘节点中，所述加速服务器包括存储器和处理器，所述存储器中存储计算机程序和多个与域名相绑定的私钥，所述计算机程序被所述处理器执行时，实现以下步骤：接收业务服务器发来的解密请求，所述解密请求中包括目标域名以及经过指定公钥加密后的会话密钥；其中，所述指定公钥包含于在所述业务服务器中存储的与所述目标域名相绑定的目标证书中；获取所述目标域名绑定的私钥，并利用获取的所述私钥对所述加密后的会话密钥进行解密；向所述业务服务器反馈解密后的会话密钥；所述解密后的会话密钥用于对所述业务服务器与客户端之间传输的通信数据进行加密。

为实现上述目的，本申请另一方面还提供一种内容分发网络中的边缘节点，所述边缘节点中包括业务服务器与加速服务器。

由上可见，本申请提供的技术方案，在边缘节点中，除了包含普通的业务服务器，还包括加速服务器。所述业务服务器中可以存储各个域名的证书，而在加速服务器中则可以存储各个域名的私钥。所述业务服务器可以与用户的客户端进行交互。在接收到客户端发来的指向目标域名的握手请求后，业务服务器可以向客户端反馈所述目标域名对应的证书。该证书中可以包含目标域名对应的公钥。这样，客户端可以从接收到的证书中提取出公钥，并利用该公钥对本次会话的会话密钥进行加密。然后，客户端可以将加密后的会话密钥提供给业务服务器。后续的解密过程由于需要耗费较多资源，因此业务服务器可以向加速服务器发送携带上述加密后的会话密钥的解密请求。加速服务器在对加密后的会话密钥进行解密时，可以先获取目标域名对应的私钥，并利用该私钥进行解密。解密后的会话密钥便可以由加速服务器反馈给业务服务器。业务服务器可以将解密后的会话密钥进行存储，从而完成本次的握手过程。后续业务服务器与客户端之间通信的数据便可以利用会话密钥进行加密。进一步地，在加速服务器中可以安装SSL/TLS的加速卡，上述的解密过程可以通过加速卡进行加速，从而减少解密所需的时间。此外，在业务服务器将握手过程中的解密过程交由加速服务器处理之后，业务服务器可以继续处理后续的算法套件协商过程，这样，将握手过程中的解密请求分离之后，可以保证解密过程和算法套件协商过程可以同时进行，进一步减少了握手过程所需的时间。由上可见，本申请提供的技术方案，能够提高HTTPS握手请求的处理效率，从而减少用户的等待时间。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例中边缘节点的结构示意图；

图2是本发明实施例中业务服务器一侧的握手请求的加速方法流程图；

图3是本发明实施例中客户端、业务服务器以及加速服务器的交互示意图；

图4是本发明实施例中业务服务器的示意图；

图5是本发明实施例中加速服务器一侧的握手请求的加速方法流程图；

图6是本发明实施例中加速服务器的示意图；

图7是本发明实施例中计算机终端的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

实施例一

本申请提供一种内容分发网络中握手请求的加速方法，所述方法可以应用于边缘节点中的业务服务器。在本实施方式中，所述边缘节点中可以包括业务服务器和加速服务器。其中，所述业务服务器可以是与用户的客户端进行交互的服务器，所述加速服务器则可以用于处理HTPPS握手过程中的解密过程。请参阅图1，在一个边缘节点中，可以包括多个业务服务器，这些业务服务器可以根据负载均衡策略，有选择地接收用户的客户端发来的请求。在该边缘节点中，可以包含一个加速服务器，该加速服务器可以与该边缘节点内的多个业务服务器均相连，从而可以处理多个业务服务器发来的解密请求。

在本实施方式中，所述业务服务器中可以存储各个域名相绑定的证书。该证书可以表征用户访问的域名/网站为合法域名/网站。在域名绑定的证书中，可以包含公钥，该公钥可以用于对数据进行加密。请参阅图2，应用于业务服务器中的握手请求的加速方法可以包括以下步骤。

S11：接收客户端发来的指向目标域名的握手请求。

在本实施方式中，所述客户端可以是用户使用的终端设备。该客户端可以通过内容分发网络与源站服务器建立连接，由客户端发出的请求均会被就近的边缘节点接收。用户可以在客户端中输入目标网站的目标域名，从而通过客户端访问目标网站。在访问目标网站时，客户端与就近的边缘节点之间需要完成握手的过程。具体地，客户端可以发出指向目标域名的握手请求，该握手请求中可以携带所述目标域名。该握手请求在发出之后，可以由就近的边缘节点接收。在实际应用场景中，由于边缘节点中具备多个业务服务器，为了充分利用各个业务服务器的计算资源，可以采用负载均衡的策略决定由哪个业务服务器来接收所述客户端发来的握手请求。具体地，可以分别获取所述边缘节点中各个业务服务器的负载参数。所述负载参数可以包括CPU使用率、内存使用率、连接数等参数。然后，可以基于获取的所述负载参数，确定出各个业务服务器的负载值。负载值越高，表明业务服务器处理握手请求的性能越低。这样，根据各个业务服务器的负载值，可以确定出负载最小的目标业务服务器，然后，可以通过所述目标业务服务器接收客户端发来的指向目标域名的握手请求。

S13：向所述客户端反馈与所述目标域名相绑定的目标证书，所述目标证书中包含指定公钥，以使得所述客户端利用所述指定公钥对本次会话的会话密钥进行加密。

在本实施方式中，接收所述握手请求的业务服务器中，可以存储各个域名绑定的证书。业务服务器中的证书可以与对应的域名进行关联存储。具体地，可以将域名作为键(key)，将与该域名绑定的证书作为值(value)，从而构成键值对进行存储。在接收到指向目标域名的握手请求后，业务服务器便可以基于所述目标域名，查询得到与所述目标域名关联存储的目标证书。这样，业务服务器可以将所述目标证书反馈给发送所述握手请求的客户端。

在本实施方式中，客户端在接收到业务服务器发来的目标证书之后，可以从所述目标证书中提取出指定公钥。此外，客户端在发出指向所述目标域名的握手请求时，可以生成与业务服务器本次会话的会话密钥。该会话密钥生成之后，可以存储于客户端本地。该会话密钥可以对客户端与业务服务器之间通信的数据进行加密，以保证数据传输的安全。为了使得业务服务器能够对加密的通信数据进行解密，客户端需要将生成的该会话密钥提供给业务服务器。但如果直接将会话密钥以明文的形式提供给业务服务器，会有被拦截的风险。因此，客户端可以用从目标证书中提取的指定公钥，对所述会话密钥进行加密，然后将加密后的会话密钥发送给业务服务器，从而可以保证会话密钥的安全性。

S15：接收所述客户端提供的加密后的会话密钥，并向加速服务器发送解密请求，所述解密请求中包括所述加密后的会话密钥，以使得所述加速服务器根据与所述目标域名相绑定的私钥对所述加密后的会话密钥进行解密。

在本实施方式中，业务服务器接收到客户端发来的加密后的会话密钥后，需要对其进行解密。然而，对加密后的会话密钥进行解密的过程，需要耗费较多的资源，此外，对加密后的会话密钥进行解密的过程，需要与所述指定公钥配对的私钥才能完成。而在本实施方式中，在业务服务器中仅存储包含公钥的证书，而没有存储对应的私钥，与公钥相匹配的私钥是存储于加速服务器中。因此，解密的过程可以由加速服务器完成。

在本实施方式中，业务服务器可以生成包含所述加密后的会话密钥的解密请求，并将所述解密请求发送至加速服务器。所述加密请求中还可以包含所述目标域名的标识。加速服务器接收到所述加密请求后，可以从中提取出加密后的会话密钥，并且可以识别出该加密后的会话密钥是针对哪个域名发起的。在加速服务器中可以存储各个与域名绑定的私钥。也就是说，与同一个域名相绑定的公钥-私钥对，被拆分后分别存储于业务服务器以及加速服务器中。

在本实施方式中，加速服务器中的私钥可以存放于指定路径下。该指定路径可以与私钥对应的域名相关联。这样，加速服务器从解密请求中识别出目标域名之后，便可以确定所述目标域名指向的目标指定路径。所述目标指定路径下存储的便是与所述指定公钥相匹配的私钥。这样，通过读取所述目标指定路径下存放的私钥，加速服务器便可以获取到所述目标域名绑定的私钥。

在本实施方式中，加速服务器获取到所述目标域名绑定的私钥之后，便可以利用所述私钥，对经过所述指定公钥加密后的会话密钥进行解密，从而得到解密后的会话密钥。

由上可见，业务服务器在处理握手请求时，可以将其中的解密过程拆分出来，并交由加速服务器进行处理。请参阅图3，在一个实施方式中，业务服务器在将解密过程拆分，并将解密请求发送给加速服务器之后，并不会中止处理当前的握手过程，而是会继续与客户端完成握手过程中的算法套件协商过程。具体地，在协商算法套件的过程中，客户端可以向业务服务器汇报自身支持的TLS版本、密码套件(cipher suites)、压缩方法(Compression Methods)等。业务服务器接收到客户端汇报的信息后，可以结合双方支持的加密基础设施，向客户端反馈选择的TLS版本以及密码套件。也就是说，在向加速服务器发送解密请求的同时，业务服务器还可以与所述客户端确定在本次会话中采用的算法套件。这样，算法套件的协商过程和解密过程便可以同时在业务服务器和加速服务器中进行，从而减少整个握手过程所需的时间。

在一个实施方式中，客户端在发送指向所述目标域名的握手请求之后，在一段时间内，还可能会继续针对该目标域名发起其它的访问请求。为了避免每次请求都需要经历握手的过程，可以使得客户端与业务服务器之间，以及业务服务器与加速服务器之间保持长连接(persistent connection)。其中，业务服务器和加速服务器之间额长连接，可以通过HTTP2.0进行优化，以避免大量的重复握手过程。具体地，业务服务器可以通过第一进程接收所述客户端发来的握手请求，此外，业务服务器与加速服务器之间可以通过第二进程进行数据的交互。在本实施方式中，可以在第一进程和所述第二进程之间建立映射关系，该映射关系可以通过哈希表的形式来表示。这样，所述客户端在发送上述的握手请求之后，如果在指定时长内再次发起指向所述目标域名的访问请求，该访问请求依然可以通过所述第一进程被所述业务服务器接收，并且根据第一进程和第二进程之间的映射关系，后续对该访问请求进行处理时，所述业务服务器与所述加速服务器之间依然可以通过所述第二进程处理所述访问请求。这样，通过上述不同进程之间的映射关系，可以实现逻辑上的长连接，用户在短时间内向边缘节点发起第二次或者更多次HTTPS请求时，客户端与业务服务器之间，以及业务服务器与加速服务器之间均可以沿用第一次HTTPS请求时采用的进程，从而可以避免重复的握手过程，提高请求的处理效率。

S17：接收并存储所述加速服务器反馈的解密后的会话密钥，以完成本次的握手过程。

在本实施方式中，加速服务器对会话密钥进行解密之后，便可以将解密后的会话密钥发送给业务服务器。业务服务器可以将会话密钥存储于本地，从而完成本次的握手过程。这样，在客户端已经业务服务器中均存储了本次会话的会话密钥，后续客户端与业务服务器传输通信数据时，便可以利用该会话密钥对传输的通信数据进行加密和解密。

实施例二

请参阅图4，本申请还提供一种业务服务器，所述业务服务器处于内容分发网络的边缘节点中，所述业务服务器包括存储器和处理器，所述存储器中存储计算机程序和多个与域名相绑定的证书，所述计算机程序被所述处理器执行时，实现以下步骤：

S11：接收客户端发来的指向目标域名的握手请求；

S13：向所述客户端反馈与所述目标域名相绑定的目标证书，所述目标证书中包含指定公钥，以使得所述客户端利用所述指定公钥对本次会话的会话密钥进行加密；

S15：接收所述客户端提供的加密后的会话密钥，并向加速服务器发送解密请求，所述解密请求中包括所述加密后的会话密钥，以使得所述加速服务器根据与所述目标域名相绑定的私钥对所述加密后的会话密钥进行解密；

在本实施方式中，所述存储器可以包括用于存储信息的物理装置，通常是将信息数字化后再以利用电、磁或者光学等方法的媒体加以存储。本实施方式所述的存储器又可以包括：利用电能方式存储信息的装置，如RAM、ROM等；利用磁能方式存储信息的装置，如硬盘、软盘、磁带、磁芯存储器、磁泡存储器、U盘；利用光学方式存储信息的装置，如CD或DVD。当然，还有其他方式的存储器，例如量子存储器、石墨烯存储器等等。

在本实施方式中，所述处理器可以按任何适当的方式实现。例如，所述处理器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit，ASIC)、可编程逻辑控制器和嵌入微控制器的形式等等。

本说明书实施方式提供的业务服务器，其处理器和存储器实现的具体功能，可以与本说明书中的前述实施方式相对照解释。

实施例三

本申请还提供一种内容分发网络中握手请求的加速方法，所述方法可以应用于边缘节点中的加速服务器，所述加速服务器可以与多个业务服务器相连，所述加速服务器中可以存储有多个与域名相绑定的私钥，所述私钥对应的公钥可以包含于存储在业务服务器的证书中。请参阅图5，所述方法可以包括以下步骤。

S21：接收业务服务器发来的解密请求，所述解密请求中包括目标域名以及经过指定公钥加密后的会话密钥；其中，所述指定公钥包含于在所述业务服务器中存储的与所述目标域名相绑定的目标证书中。

在本实施方式中，业务服务器接收到客户端发来的加密后的会话密钥之后，可以需要对其进行解密。然而，对加密后的会话密钥进行解密的过程，需要耗费较多的资源，此外，对加密后的会话密钥进行解密的过程，需要与所述指定公钥配对的私钥才能完成。而在本实施方式中，在业务服务器中仅存储包含公钥的证书，而没有存储对应的私钥，与公钥相匹配的私钥是存储于加速服务器中。因此，解密的过程可以由加速服务器完成。

在本实施方式中，加速服务器可以通过预先定义的监听端口来接收所述解密请求。具体地，加速服务器上的监听端口可以与域名相关联，针对指向不同域名的解密请求，可以由不同的监听端口接收。其中，监听端口与域名的关联关系，可以在加速服务器与业务服务器之间的通信协议中规定。这样，业务服务器发送指向目标域名的解密请求时，可以通过识别该解密请求中的目标域名，从而确定应当接收该解密请求的目标监听端口。这样，加速服务器从而可以通过与所述目标域名相关联的目标监听端口接收所述解密请求。

当然，在实际应用中，加速服务器上还可以仅具备一个监听端口，该监听端口可以用于接收指向各个域名的解密请求。在接收到解密请求之后，可以根据解密请求中包含的域名，获取对应的私钥。

在本实施方式中，为了提高加速服务器处理解密请求的效率，可以在所述加速服务器中安装指定协议的加速组件。所述加速组件例如可以是SSL加速卡或者TLS加速卡。在加速服务器处理解密请求时，可以通过所述加速卡进行优化，从而提高解密请求的处理效率。在实际应用中，所述加速组件可以与所述加速服务器中的指定进程相绑定。例如，所述加速服务器中有8个进程，那么可以将这8个进程与加速组件进行绑定，当需要处理解密请求时，便可以通过绑定的这8个进程处理所述解密请求。

在本实施方式中，业务服务器可以生成包含所述加密后的会话密钥的解密请求，并将所述解密请求发送至加速服务器。所述加密请求中还可以包含所述目标域名。加速服务器接收到所述加密请求后，可以从中提取出加密后的会话密钥，并且可以识别出该加密后的会话密钥是针对哪个域名发起的。在加速服务器中可以存储各个与域名绑定的私钥。也就是说，与同一个域名相绑定的公钥-私钥对，被拆分后分别存储于业务服务器以及加速服务器中。

S23：获取所述目标域名绑定的私钥，并利用获取的所述私钥对所述加密后的会话密钥进行解密。

在一个实施方式中，为了进一步保证数据的安全性，存储于加速服务器中的私钥可以进行加密处理。例如，存储于加速服务器中的私钥可以通过MD5码进行加密处理。这样，加速服务器在获取到目标域名绑定的经过加密的私钥之后，可以采用相应的MD5码对其进行解密，从而得到解密后的私钥。

S25：向所述业务服务器反馈解密后的会话密钥；所述解密后的会话密钥用于对所述业务服务器与客户端之间传输的通信数据进行加密。

在一个实施方式中，加速服务器中还可以装配防灾体系。具体地，边缘节点可以由主节点和备用节点构成，上述实施方式中的边缘节点可以是主节点，备用节点与主节点之间可以保持数据的同步。这样，在加速服务器工作时，可以检测所述加速服务器当前的性能指标。该性能指标例如可以是CPU使用率、内存使用率，TCP连接数、输入/输出总线数据等关键指标。当所述性能指标超出允许范围时，表明加速服务器负载过高或者可能出现了故障，此时，为了保证HTTPS请求能够被正常处理，可以将所述边缘节点中的业务切换至所述备用节点中，从而可以在备用节点中继续处理HTTPS请求。同时，可以发出用于表征节点切换的提示信息，以通过管理人员对主节点进行检修。

实施例四

请参阅图6，本申请还提供一种加速服务器，所述加速服务器处于内容分发网络的边缘节点中，所述加速服务器包括存储器和处理器，所述存储器中存储计算机程序和多个与域名相绑定的私钥，所述计算机程序被所述处理器执行时，实现以下步骤：

S21：接收业务服务器发来的解密请求，所述解密请求中包括目标域名以及经过指定公钥加密后的会话密钥；其中，所述指定公钥包含于在所述业务服务器中存储的与所述目标域名相绑定的目标证书中；

S23：获取所述目标域名绑定的私钥，并利用获取的所述私钥对所述加密后的会话密钥进行解密；

本说明书实施方式提供的加速服务器，其处理器和存储器实现的具体功能，可以与本说明书中的前述实施方式相对照解释。

实施例五

请参阅图1，本申请还提供一种内容分发网络中的边缘节点，所述边缘节点中包括业务服务器与加速服务器，所述业务服务器中存储有多个与域名相绑定的证书，所述加速服务器中存储有多个与域名相绑定的私钥，其中：

所述业务服务器，用于接收客户端发来的指向目标域名的握手请求，并向所述客户端反馈与所述目标域名相绑定的目标证书，所述目标证书中包含指定公钥，以使得所述客户端利用所述指定公钥对本次会话的会话密钥进行加密；接收所述客户端提供的加密后的会话密钥，并向加速服务器发送解密请求，所述解密请求中包括所述加密后的会话密钥；接收并存储所述加速服务器反馈的解密后的会话密钥，以完成本次的握手过程；

所述加速服务器，用于接收所述业务服务器发来的所述解密请求，并获取所述目标域名绑定的私钥，并利用获取的所述私钥对所述加密后的会话密钥进行解密；向所述业务服务器反馈解密后的会话密钥。

请参阅图7，在本申请中，上述实施例中的技术方案可以应用于如图7所示的计算机终端10上。计算机终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。本领域普通技术人员可以理解，图7所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，计算机终端10还可包括比图7中所示更多或者更少的组件，或者具有与图7所示不同的配置。

存储器104可用于存储应用软件的软件程序以及模块，处理器102通过运行存储在存储器104内的软件程序以及模块，从而执行各种功能应用以及数据处理。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(Network Interface Controller，NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置106可以为射频(Radio Frequency，RF)模块，其用于通过无线方式与互联网进行通讯。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

一种内容分发网络中握手请求的加速方法，其特征在于，所述方法应用于边缘节点中的业务服务器，所述业务服务器中存储有多个与域名相绑定的证书，所述方法包括：

接收客户端发来的指向目标域名的握手请求；

向所述客户端反馈与所述目标域名相绑定的目标证书，所述目标证书中包含指定公钥，以使得所述客户端利用所述指定公钥对本次会话的会话密钥进行加密；

接收所述客户端提供的加密后的会话密钥，并向加速服务器发送解密请求，所述解密请求中包括所述加密后的会话密钥，以使得所述加速服务器根据与所述目标域名相绑定的私钥对所述加密后的会话密钥进行解密；

接收并存储所述加速服务器反馈的解密后的会话密钥，以完成本次的握手过程。
根据权利要求1所述的方法，其特征在于，所述边缘节点中所述业务服务器的数量为至少两个；相应地，接收客户端发来的指向目标域名的握手请求包括：

分别获取所述边缘节点中各个所述业务服务器的负载参数，并基于获取的所述负载参数，从至少两个业务服务器中确定负载最小的目标业务服务器；

通过所述目标业务服务器接收客户端发来的指向目标域名的握手请求。
根据权利要求1所述的方法，其特征在于，在向加速服务器发送解密请求时，所述方法还包括：

与所述客户端确定在本次会话中采用的算法套件。
根据权利要求1所述的方法，其特征在于，在接收客户端发来的指向目标域名的握手请求之后，所述业务服务器与所述客户端之间通过第一进程保持长连接，所述业务服务器与所述加速服务器之间通过第二进程保持长连接；相应地，所述方法还包括：

建立所述第一进程和所述第二进程之间的映射关系，以使得所述客户端在指定时长内再次发起指向所述目标域名的访问请求时，所述访问请求通过所述第一进程被所述业务服务器接收，并且所述业务服务器与所述加速服务器之间通过所述第二进程处理所述访问请求。
一种业务服务器，其特征在于，所述业务服务器处于内容分发网络的边缘节点中，所述业务服务器包括存储器和处理器，所述存储器中存储计算机程序和多个与域名相绑定的证书，所述计算机程序被所述处理器执行时，实现以下步骤：

接收客户端发来的指向目标域名的握手请求；

向所述客户端反馈与所述目标域名相绑定的目标证书，所述目标证书中包含指定公钥，以使得所述客户端利用所述指定公钥对本次会话的会话密钥进行加密；

接收所述客户端提供的加密后的会话密钥，并向加速服务器发送解密请求，所述解密请求中包括所述加密后的会话密钥，以使得所述加速服务器根据与所述目标域名相绑定的私钥对所述加密后的会话密钥进行解密；

接收并存储所述加速服务器反馈的解密后的会话密钥，以完成本次的握手过程。
一种内容分发网络中握手请求的加速方法，其特征在于，所述方法应用于边缘节点中的加速服务器，所述加速服务器中存储有多个与域名相绑定的私钥，所述方法包括：

接收业务服务器发来的解密请求，所述解密请求中包括目标域名以及经过指定公钥加密后的会话密钥；其中，所述指定公钥包含于在所述业务服务器中存储的与所述目标域名相绑定的目标证书中；

获取所述目标域名绑定的私钥，并利用获取的所述私钥对所述加密后的会话密钥进行解密；

向所述业务服务器反馈解密后的会话密钥；所述解密后的会话密钥用于对所述业务服务器与客户端之间传输的通信数据进行加密。
根据权利要求6所述的方法，其特征在于，所述加速服务器中安装有指定协议的加速组件，所述加速组件与所述加速服务器中的指定进程相绑定，以使得通过所述指定进程处理所述解密请求。
根据权利要求6所述的方法，其特征在于，所述加速服务器中的私钥存放于指定路径下；相应地，获取所述目标域名绑定的私钥包括：

确定所述目标域名指向的目标指定路径，并读取所述目标指定路径下存放的私钥。
根据权利要求6所述的方法，其特征在于，所述加速服务器中设置有与域名相关联的监听端口；相应地，接收业务服务器发来的解密请求包括：

识别业务服务器发来的解密请求中的目标域名，并通过与所述目标域名相关联的目标监听端口接收所述解密请求。
根据权利要求6所述的方法，其特征在于，所述边缘节点具备备用节点，相应地，所述方法还包括：

检测所述加速服务器当前的性能指标，当所述性能指标超出允许范围时，将所述边缘节点中的业务切换至所述备用节点中，并发出用于表征节点切换的提示信息。
一种加速服务器，其特征在于，所述加速服务器处于内容分发网络的边缘节点中，所述加速服务器包括存储器和处理器，所述存储器中存储计算机程序和多个与域名相绑定的私钥，所述计算机程序被所述处理器执行时，实现以下步骤：

接收业务服务器发来的解密请求，所述解密请求中包括目标域名以及经过指定公钥加密后的会话密钥；其中，所述指定公钥包含于在所述业务服务器中存储的与所述目标域名相绑定的目标证书中；

获取所述目标域名绑定的私钥，并利用获取的所述私钥对所述加密后的会话密钥进行解密；

向所述业务服务器反馈解密后的会话密钥；所述解密后的会话密钥用于对所述业务服务器与客户端之间传输的通信数据进行加密。
一种内容分发网络中的边缘节点，其特征在于，所述边缘节点中包括业务服务器与加速服务器，其中：

所述业务服务器，用于执行权利要求1至4中任一项所述的加速方法；

所述加速服务器，用于执行权利要求6至10中任一项所述的加速方法。