專利名稱:基于內(nèi)容分發(fā)網(wǎng)絡(luò)的https證書部署方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及內(nèi)容分發(fā)網(wǎng)絡(luò)的加密技術(shù),尤其涉及一種基于內(nèi)容分發(fā)網(wǎng)絡(luò)的HTTPS證書部署方法及系統(tǒng)。
背景技術(shù):
HTTPS的應(yīng)用范圍涉及需要身份認(rèn)證及數(shù)據(jù)安全的各個(gè)互聯(lián)網(wǎng)領(lǐng)域:電子商務(wù)、金融、通訊、物流運(yùn)輸、旅游、制造業(yè)、醫(yī)療衛(wèi)生、保險(xiǎn)、電力、房地產(chǎn)、政府及事業(yè)單位、電信、教育等。越來越大的HTTPS通信量,給企業(yè)HTTPS源服務(wù)器帶來了沉重負(fù)擔(dān),由此觸發(fā)了利用內(nèi)容分發(fā)網(wǎng)絡(luò)(⑶N)加速進(jìn)行HTTPS服務(wù)的需求。現(xiàn)有技術(shù)中,基于內(nèi)容分發(fā)網(wǎng)絡(luò)的HTTPS加速方案如圖1所示,包括如下步驟:在Sll處開始;在S12處,企業(yè)以明文的方式將證書和私鑰傳遞給⑶N服務(wù)商;在S13處,⑶N服務(wù)商的操作人員驗(yàn)證證書和私鑰是否可用;在S14處判斷驗(yàn)證結(jié)果,如果不可用則轉(zhuǎn)向S15,排查錯(cuò)誤;如果證書和私鑰經(jīng)驗(yàn)證可用后,在S16處,由⑶N服務(wù)商以人工方式將證書和私鑰部署在待部署的各個(gè)邊緣節(jié)點(diǎn)上;
·
在S17處結(jié)束。在將證書和私鑰部署在各個(gè)邊緣節(jié)點(diǎn)之后,CDN服務(wù)商的邊緣節(jié)點(diǎn)直接向訪問用戶提供HTTPS服務(wù)。但是,現(xiàn)有技術(shù)中HTTPS證書部署以及HTTPS加速方案存在如下弊端:1.企業(yè)證書和私鑰采用明文方式傳送,在傳遞過程中容易被人竊取,導(dǎo)致非法使用;2.證書和私鑰在⑶N邊緣節(jié)點(diǎn)部署是以明文方式使用和保存的,存在安全隱患;3.部署全過程需要通過人工手動(dòng)完成,部署周期長(zhǎng),成本高。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種基于內(nèi)容分發(fā)網(wǎng)絡(luò)的HTTPS證書部署方法及系統(tǒng),能夠降低企業(yè)和⑶N服務(wù)商的安全風(fēng)險(xiǎn),而且有利于節(jié)約⑶N服務(wù)商的人工成本。為解決上述技術(shù)問題,本發(fā)明提供了一種基于內(nèi)容分發(fā)網(wǎng)絡(luò)的HTTPS證書部署方法,包括:對(duì)證書和私鑰進(jìn)行加密,生成加密包;⑶N平臺(tái)保存該加密包,并驗(yàn)證該加密包中的證書和私鑰的可用性;若該加密包中的證書和私鑰可用,則所述CDN平臺(tái)自動(dòng)向CDN邊緣節(jié)點(diǎn)部署該加密包。根據(jù)本發(fā)明的一個(gè)實(shí)施例,向所述CDN邊緣節(jié)點(diǎn)部署該加密包之后,還包括:所述CDN邊緣節(jié)點(diǎn)對(duì)該加密包進(jìn)行二次加密。
根據(jù)本發(fā)明的一個(gè)實(shí)施例,對(duì)證書和私鑰進(jìn)行加密,生成加密包包括:對(duì)證書和私鑰進(jìn)行加密,生成加密包,加密方式為靜態(tài)加密或動(dòng)態(tài)加密,若是靜態(tài)加密則使用預(yù)設(shè)的加密密鑰進(jìn)行加密,若是動(dòng)態(tài)加密則隨機(jī)生成加密密鑰進(jìn)行加密;接收用戶輸入的可拉取該加密包的存放路徑以及加速域名;驗(yàn)證該存放路徑是否可用;若所述存放路徑可以用,則將該存放路徑和加速域名下發(fā)至所述CDN平臺(tái)。根據(jù)本發(fā)明的一個(gè)實(shí)施例,⑶N平臺(tái)保存該加密包包括:該CDN平臺(tái)保存下發(fā)的所述存放路徑和加速域名;該CDN平臺(tái)根據(jù)該存放路徑拉取所述加密包并對(duì)其進(jìn)行保存。所述⑶N平臺(tái)自動(dòng)向⑶N邊緣節(jié)點(diǎn)部署該加密包包括:所述⑶N邊緣節(jié)點(diǎn)獲取該加密包,并對(duì)該加密包進(jìn)行完整性校驗(yàn);若該加密包完整,則該⑶N邊緣節(jié)點(diǎn)將該加密包部署至預(yù)設(shè)位置;該⑶N邊緣節(jié)點(diǎn)將部署結(jié)果反饋至所述⑶N平臺(tái)。本發(fā)明還提供了一種基于內(nèi)容分發(fā)網(wǎng)絡(luò)的HTTPS證書部署系統(tǒng),包括:源加密工具,對(duì)證書和私鑰進(jìn)行加密,生成加密包;⑶N平臺(tái),保存該 加密包并驗(yàn)證該加密包中的證書和私鑰的可用性,若該加密包中的證書和私鑰可用,則自動(dòng)向CDN邊緣節(jié)點(diǎn)部署該加密包。根據(jù)本發(fā)明的一個(gè)實(shí)施例,所述⑶N邊緣節(jié)點(diǎn)還對(duì)該加密包進(jìn)行二次加密。根據(jù)本發(fā)明的一個(gè)實(shí)施例,所述源加密工具包括:加密模塊,對(duì)所述證書和私鑰進(jìn)行加密,生成加密包,加密方式為靜態(tài)加密或動(dòng)態(tài)加密,若是靜態(tài)加密則使用預(yù)設(shè)的加密密鑰進(jìn)行加密,若是動(dòng)態(tài)加密則隨機(jī)生成加密密鑰進(jìn)行加密;輸入模塊,接收用戶輸入的可拉取該加密包的存放路徑以及加速域名;驗(yàn)證模塊,驗(yàn)證該存放路徑是否可用;下發(fā)模塊,若所述存放路徑可以用,則將該存放路徑和加速域名下發(fā)至所述CDN
T D O根據(jù)本發(fā)明的一個(gè)實(shí)施例,該⑶N平臺(tái)包括:接收模塊,接收該源加密工具下發(fā)的所述存放路徑和加速域名;保存模塊,根據(jù)該存放路徑拉取所述加密包并對(duì)其進(jìn)行保存。根據(jù)本發(fā)明的一個(gè)實(shí)施例,所述⑶N邊緣節(jié)點(diǎn)包括:校驗(yàn)?zāi)K,從所述⑶N平臺(tái)獲取該加密包,并對(duì)該加密包進(jìn)行完整性校驗(yàn);部署模塊,若該加密包完整,則將該加密包部署至預(yù)設(shè)位置;反饋模塊,將所述部署模塊的部署結(jié)果反饋至所述CDN平臺(tái)。與現(xiàn)有技術(shù)相比,本發(fā)明具有以下優(yōu)點(diǎn):本發(fā)明實(shí)施例的證書部署方法及系統(tǒng)中,首先對(duì)證書和私鑰進(jìn)行加密,然后采用⑶N平臺(tái)對(duì)生成的加密包自動(dòng)進(jìn)行驗(yàn)證,驗(yàn)證通過后,由⑶N自動(dòng)平臺(tái)向⑶N邊緣節(jié)點(diǎn)部署該加密包。一方面由于證書和私鑰是經(jīng)過加密后再傳輸?shù)模虼颂岣吡税踩?,將企業(yè)和CDN服務(wù)商的安全風(fēng)向降到了最低;另一方面采用CDN平臺(tái)自動(dòng)進(jìn)行驗(yàn)證和部署,節(jié)約了⑶N服務(wù)商的內(nèi)部人工成本。
進(jìn)一步而言,⑶N邊緣節(jié)點(diǎn)還可以對(duì)加密包進(jìn)行二次加密保存,從而進(jìn)一步提高安全性。
圖1是現(xiàn)有技術(shù)中HTTPS證書的部署方法的流程示意圖;圖2是本發(fā)明實(shí)施例的基于內(nèi)容分發(fā)網(wǎng)絡(luò)的HTTPS證書部署方法的流程示意圖;圖3是本發(fā)明實(shí)施例的證書部署方法中源加密工具的工作流程示意圖;圖4是本發(fā)明實(shí)施例的證書部署方法中⑶N平臺(tái)驗(yàn)證加密包的流程示意圖;圖5是本發(fā)明實(shí)施例的證書部署方法中CDN平臺(tái)在CDN邊緣節(jié)點(diǎn)部署加密包的流程不意圖。
具體實(shí)施例方式下面結(jié)合具體實(shí)施例和 附圖對(duì)本發(fā)明作進(jìn)一步說明,但不應(yīng)以此限制本發(fā)明的保護(hù)范圍。本實(shí)施例的基于⑶N的HTTPS證書部署方法主要包括如下步驟:對(duì)證書和私鑰進(jìn)行加密,生成加密包;⑶N平臺(tái)保存該加密包,并驗(yàn)證該加密包中的證書和私鑰的可用性; 若該加密包中的證書和私鑰可用,則所述⑶N平臺(tái)自動(dòng)向⑶N邊緣節(jié)點(diǎn)部署該加密包。在向⑶N邊緣節(jié)點(diǎn)部署加密包之后,⑶N邊緣節(jié)點(diǎn)還可以對(duì)該加密包進(jìn)行二次加密,從而進(jìn)一步提高安全性。此外,在向全部CDN邊緣節(jié)點(diǎn)部署加密包之后,CDN平臺(tái)可以發(fā)出關(guān)于部署結(jié)果的通知,該通知可以發(fā)送給相關(guān)工作人員。下面參考圖2對(duì)本實(shí)施例的證書部署方法進(jìn)行詳細(xì)說明。在S21處開始。在S22處,使用源加密工具加密證書和私鑰,并將生成的加密包或者其存放路徑推送出去。優(yōu)選地,在加密完成之后,源加密工具可以主動(dòng)將加密包或者該加密包的存放路徑推送至CDN平臺(tái)。加密方式可以是靜態(tài)加密或者動(dòng)態(tài)加密,如果是靜態(tài)加密則使用預(yù)設(shè)的加密密鑰進(jìn)行加密,如果是動(dòng)態(tài)加密則隨機(jī)生成加密密鑰進(jìn)行加密。在S23處,⑶N平臺(tái)保存加密包,并提取該加密包中的基本信息。在S24處,⑶N平臺(tái)驗(yàn)證加密包中的證書和私鑰的可用性。該驗(yàn)證過程是由⑶N平臺(tái)自動(dòng)完成的,因而操作人員無法直接接觸到加密后的內(nèi)容,提高了安全性。在S25處,判斷證書和私鑰的驗(yàn)證結(jié)果。如果不可用,則轉(zhuǎn)向S26,排查錯(cuò)誤,此處可以采用人工的方式進(jìn)行排查。如果證書和私鑰可用,則前進(jìn)至S27,⑶N平臺(tái)自動(dòng)向⑶N邊緣節(jié)點(diǎn)部署該加密包。在S28處,全部⑶N邊緣節(jié)點(diǎn)部署完畢后,⑶N平臺(tái)發(fā)出通知,例如可以通知工作人員相關(guān)的部署結(jié)果。需要說明的是,在向CDN邊緣節(jié)點(diǎn)部署加密包之后,CDN邊緣節(jié)點(diǎn)可以對(duì)該加密包進(jìn)行二次加密,以進(jìn)一步提高安全性。參考圖3,下面對(duì)本實(shí)施例的源加密工具的工作過程進(jìn)行詳細(xì)描述。
在S31處,元加密工具加密證書和私鑰。在S32處,客戶輸入存放路徑和加速域名。其中,該存放路徑是用于存放加密包的路徑,例如可以是URL。在S33處,將存放路徑和加速域名提交。在S34處,客戶提交之后,源加密工具自動(dòng)驗(yàn)證輸入的存放路徑是否可用。在S35處,對(duì)驗(yàn)證結(jié)果進(jìn)行判斷。如果不可用,則轉(zhuǎn)向S36,源加密工具提示出錯(cuò),并返回S32重新輸入。如果可用,則前進(jìn)至S37,源加密工具將存放路徑和加速域名下發(fā)給⑶N平臺(tái)。需要說明的是,圖3所示的實(shí)例源加密工具是將加密包的存放路徑推送給CDN平臺(tái),但是在其他具體實(shí)施例中,源加密工具也可以直接將加密包推送給⑶N平臺(tái)。參考圖4,下面對(duì)⑶N平臺(tái)對(duì)加密包的驗(yàn)證過程進(jìn)行詳細(xì)說明。在S41處,CDN平臺(tái)保存接收到的存放路徑,另外也可以一并保存接收到的加速域名。 在S42處,⑶N平臺(tái)對(duì)該存放路徑進(jìn)行自動(dòng)審核。在S43處,判斷審核結(jié)果,如果未通過,則轉(zhuǎn)向S44,不做處理或者將審核未通過的存放路徑丟棄。如果審核通過,則前進(jìn)至S45,⑶N平臺(tái)根據(jù)該存放路徑抓取加密包。在S46處,⑶N平臺(tái)驗(yàn)證該加密包的完整性。在S47處,對(duì)加密包是否完整的驗(yàn)證結(jié)果進(jìn)行判斷,如果不完整,則返回S45,重新抓取加密包。如果經(jīng)過驗(yàn)證確認(rèn)該加密包是完整的,則前進(jìn)至S48,⑶N平臺(tái)將狀態(tài)修改為“拉取成功”。例如,可以更改URL對(duì)應(yīng)的狀態(tài)并在數(shù)據(jù)存儲(chǔ)界面更改相應(yīng)的狀態(tài)。之后進(jìn)而前進(jìn)至S49,進(jìn)行參數(shù)的配置。例如,可以利用⑶N平臺(tái)配置系統(tǒng)參數(shù)以及特定的域名參數(shù)等。下面參考圖5,對(duì)⑶N平臺(tái)在⑶N邊緣節(jié)點(diǎn)上部署加密包的過程進(jìn)行詳細(xì)說明。在S51處,⑶N邊緣節(jié)點(diǎn)抓取該加密包。在S52處,⑶N邊緣節(jié)點(diǎn)驗(yàn)證該加密包是否完整。在S53處,對(duì)驗(yàn)證結(jié)果進(jìn)行判斷,如果不完整,則返回S51,重新抓取加密包。如果驗(yàn)證結(jié)果表明該加密包是完整的,則前進(jìn)至S54,將該加密包部署到⑶N邊緣節(jié)點(diǎn)內(nèi)指預(yù)設(shè)的指定位置處。在S55處,⑶N邊緣節(jié)點(diǎn)將部署結(jié)果反饋給⑶N平臺(tái)。在S56處,⑶N平臺(tái)自動(dòng)更改狀態(tài),保存記錄相關(guān)數(shù)據(jù)。在S57處,⑶N平臺(tái)發(fā)出通知,例如可以通知操作人員部署完畢。由上,在本實(shí)施例中,源加密工具可以對(duì)證書和私鑰進(jìn)行高度加密,并將加密后產(chǎn)生的加密包或者該加密包的存放路徑自動(dòng)推送給⑶N平臺(tái)KDN平臺(tái)主動(dòng)進(jìn)行文件的獲取、保存、可用性驗(yàn)證、證書和私鑰基本信息的提取。另外CDN平臺(tái)可以用于相關(guān)參數(shù)的設(shè)置,還可以對(duì)源加密工具和節(jié)點(diǎn)工具進(jìn)行管理,并可以針對(duì)異常進(jìn)行報(bào)警,發(fā)出部署結(jié)果的通知以及記錄全過程的日志。此外,CDN邊緣節(jié)點(diǎn)可以主動(dòng)獲取相關(guān)文件,并對(duì)其進(jìn)行二次加密,進(jìn)一步提高安全性。
本實(shí)施例還提供了一種基于內(nèi)容分發(fā)網(wǎng)絡(luò)的HTTPS證書部署系統(tǒng),主要包括:源加密工具61、⑶N平臺(tái)62以及一個(gè)或多個(gè)⑶N邊緣節(jié)點(diǎn)63。其中,源加密工具61對(duì)證書和私鑰進(jìn)行加密,生成加密包。進(jìn)一步而言,源加密工具61可以包括:加密模塊,對(duì)所述證書和私鑰進(jìn)行加密,生成加密包;輸入模塊,接收用戶輸入的可拉取該加密包的存放路徑以及加速域名;驗(yàn)證模塊,驗(yàn)證該存放路徑是否可用;下發(fā)模塊,若所述存放路徑可以用,則將該存放路徑和加速域名下發(fā)至所述CDN平臺(tái)63。⑶N平臺(tái)62保存該加密包并驗(yàn)證該加密包中的證書和私鑰的可用性,若該加密包中的證書和私鑰可用,則自動(dòng)向⑶N邊緣節(jié)點(diǎn)63部署該加密包。進(jìn)一步而言,該⑶N平臺(tái)62可以包括:接收模塊,接收該源加密工具下發(fā)的所述存放路徑和加速域名;保存模塊,根據(jù)該存放路徑拉取所述加密包并對(duì)其進(jìn)行驗(yàn)證和保存。⑶N邊緣節(jié)點(diǎn)可以包括:校驗(yàn)?zāi)K,從所述⑶N平臺(tái)獲取該加密包,并對(duì)該加密包進(jìn)行完整性校驗(yàn);部署模塊,若該加密包完整,則將該加密包部署至預(yù)設(shè)位置;反饋模塊,將所述部署模塊的部署結(jié)果反饋至所述CDN平臺(tái);二次加密模塊,對(duì)該加密包進(jìn)行二次加密。
關(guān)于該證書部署系統(tǒng)的更多詳細(xì)說明,請(qǐng)參見前述實(shí)施例中關(guān)于證書部署方法的相關(guān)描述。本發(fā)明雖然以較佳實(shí)施例公開如上,但其并不是用來限定本發(fā)明,任何本領(lǐng)域技術(shù)人員在不脫離本發(fā)明的精神和范圍內(nèi),都可以做出可能的變動(dòng)和修改,因此本發(fā)明的保護(hù)范圍應(yīng)當(dāng)以本發(fā)明權(quán)利要求所界定的范圍為準(zhǔn)。
權(quán)利要求
1.一種基于內(nèi)容分發(fā)網(wǎng)絡(luò)的HTTPS證書部署方法,其特征在于,包括: 對(duì)證書和私鑰進(jìn)行加密,生成加密包; CDN平臺(tái)保存該加密包,并驗(yàn)證該加密包中的證書和私鑰的可用性; 若該加密包中的證書和私鑰可用,則所述CDN平臺(tái)自動(dòng)向CDN邊緣節(jié)點(diǎn)部署該加密包。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,向所述CDN邊緣節(jié)點(diǎn)部署該加密包之后,還包括:所述CDN邊緣節(jié)點(diǎn)對(duì)該加密包進(jìn)行二次加密。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,對(duì)證書和私鑰進(jìn)行加密,生成加密包包括: 對(duì)證書和私鑰進(jìn)行加密,生成加密包,加密方式為靜態(tài)加密或動(dòng)態(tài)加密,若是靜態(tài)加密則使用預(yù)設(shè)的加密密鑰進(jìn)行加密,若是動(dòng)態(tài)加密則隨機(jī)生成加密密鑰進(jìn)行加密; 接收用戶輸入的可拉取該加密包的存放路徑以及加速域名; 驗(yàn)證該存放路徑是否可用; 若所述存放路徑可以 用,則將該存放路徑和加速域名下發(fā)至所述CDN平臺(tái)。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,⑶N平臺(tái)保存該加密包包括: 該CDN平臺(tái)保存下發(fā)的所述存放路徑和加速域名; 該CDN平臺(tái)根據(jù)該存放路徑拉取所述加密包并對(duì)其進(jìn)行保存。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述CDN平臺(tái)自動(dòng)向CDN邊緣節(jié)點(diǎn)部署該加密包包括: 所述CDN邊緣節(jié)點(diǎn)獲取該加密包,并對(duì)該加密包進(jìn)行完整性校驗(yàn); 若該加密包完整,則該CDN邊緣節(jié)點(diǎn)將該加密包部署至預(yù)設(shè)位置; 該CDN邊緣節(jié)點(diǎn)將部署結(jié)果反饋至所述CDN平臺(tái)。
6.一種基于內(nèi)容分發(fā)網(wǎng)絡(luò)的HTTPS證書部署系統(tǒng),其特征在于,包括: 源加密工具,對(duì)證書和私鑰進(jìn)行加密,生成加密包; CDN平臺(tái),保存該加密包并驗(yàn)證該加密包中的證書和私鑰的可用性,若該加密包中的證書和私鑰可用,則自動(dòng)向CDN邊緣節(jié)點(diǎn)部署該加密包。
7.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于,所述CDN邊緣節(jié)點(diǎn)還對(duì)該加密包進(jìn)行二次加密。
8.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于,所述源加密工具包括: 加密模塊,對(duì)所述證書和私鑰進(jìn)行加密,生成加密包,加密方式為靜態(tài)加密或動(dòng)態(tài)加密,若是靜態(tài)加密則使用預(yù)設(shè)的加密密鑰進(jìn)行加密,若是動(dòng)態(tài)加密則隨機(jī)生成加密密鑰進(jìn)行加密; 輸入模塊,接收用戶輸入的可拉取該加密包的存放路徑以及加速域名; 驗(yàn)證模塊,驗(yàn)證該存放路徑是否可用; 下發(fā)模塊,若所述存放路徑可以用,則將該存放路徑和加速域名下發(fā)至所述CDN平臺(tái)。
9.根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于,該CDN平臺(tái)包括: 接收模塊,接收該源加密工具下發(fā)的所述存放路徑和加速域名; 保存模塊,根據(jù)該存放路徑拉取所述加密包并對(duì)其進(jìn)行保存。
10.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于,所述CDN邊緣節(jié)點(diǎn)包括: 校驗(yàn)?zāi)K,從所述CDN平臺(tái)獲取該加密包,并對(duì)該加密包進(jìn)行完整性校驗(yàn);部署模塊,若該加密包完整,則將該加密包部署至預(yù)設(shè)位置;反饋模塊,將所述部署模塊的 部署結(jié)果反饋至所述CDN平臺(tái)。
全文摘要
本發(fā)明提供了一種基于內(nèi)容分發(fā)網(wǎng)絡(luò)的HTTPS證書部署方法及系統(tǒng),該方法包括對(duì)證書和私鑰進(jìn)行加密,生成加密包;CDN平臺(tái)保存該加密包,并驗(yàn)證該加密包中的證書和私鑰的可用性;若該加密包中的證書和私鑰可用,則所述CDN平臺(tái)自動(dòng)向CDN邊緣節(jié)點(diǎn)部署該加密包。本發(fā)明能夠降低企業(yè)和CDN服務(wù)商的安全風(fēng)險(xiǎn),而且有利于節(jié)約CDN服務(wù)商的人工成本。
文檔編號(hào)H04L9/32GK103227801SQ20131017836
公開日2013年7月31日 申請(qǐng)日期2013年5月14日 優(yōu)先權(quán)日2013年5月14日
發(fā)明者洪珂, 梁龍虎, 周炬蓉 申請(qǐng)人:網(wǎng)宿科技股份有限公司