亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種HTTPS服務(wù)的部署方法與流程

文檔序號(hào):11138623閱讀:891來(lái)源:國(guó)知局
一種HTTPS服務(wù)的部署方法與制造工藝

本發(fā)明涉及HTTPS服務(wù)領(lǐng)域,具體涉及一種無(wú)需部署源站私鑰的HTTPS服務(wù)的部署方法。



背景技術(shù):

隨著HTTP服務(wù)使用越來(lái)越廣泛,通過明文傳輸內(nèi)容的HTTP服務(wù)面臨著越來(lái)越大的安全問題,尤其是支付、交易等敏感信息。HTTPS作為一種基于公私鑰技術(shù)的加密傳輸協(xié)議應(yīng)用應(yīng)運(yùn)而生,通過在TCP和HTTP層中間加入了SSL加密數(shù)據(jù)傳輸層防止HTTP服務(wù)的數(shù)據(jù)被盜竊和篡改。目前,大多數(shù)主流網(wǎng)站均使用了該技術(shù),使用該技術(shù)的網(wǎng)站越來(lái)越多。

該技術(shù)的使用需要在服務(wù)端部署公鑰、私鑰和證書。通過公鑰加密的數(shù)據(jù)可以通過私鑰解密,反之亦然,私鑰加密的數(shù)據(jù)也可以通過公鑰解密。當(dāng)用戶通過客戶端訪問網(wǎng)站服務(wù)器時(shí),首先需要進(jìn)行握手操作,握手過程中服務(wù)端將公鑰核證書以及服務(wù)端的信息發(fā)送給客戶端,客戶端將自己的信息通過公鑰加密發(fā)送給服務(wù)器端,服務(wù)器端通過私鑰解密客戶端信息。然后,雙方根據(jù)這些信息,生成對(duì)稱加密密鑰,用于內(nèi)存?zhèn)鬏?。在每次握手過程中,服務(wù)器需要使用私鑰進(jìn)行解密,之后不再需要。

CDN技術(shù)通過反向代理的方式實(shí)現(xiàn)內(nèi)容分發(fā),進(jìn)行訪問加速。目前,針對(duì)HTTPS網(wǎng)站服務(wù),需要在CDN節(jié)點(diǎn)部署源站的證書、公鑰以及私鑰才能正確的完成握手過程。但對(duì)于源站,私鑰屬于高度敏感數(shù)據(jù),一旦丟失,網(wǎng)站能夠被仿冒,私鑰竊取者可以輕松獲得用戶機(jī)密數(shù)據(jù)(如網(wǎng)銀密碼等)。將私鑰直接部署到多臺(tái)CDN服務(wù)器的方式面臨更大的丟失風(fēng)險(xiǎn)(如黑客入侵,人為泄露等)。

現(xiàn)有技術(shù)之一Keyless,通過建立一個(gè)keyserver服務(wù)器存放私鑰,將握手過程中設(shè)計(jì)到私鑰的過程放置到keyserver上進(jìn)行,CDN節(jié)點(diǎn)通過網(wǎng)絡(luò)與keyserver進(jìn)行通信,而keyserver服務(wù)器被部署在源站機(jī)房?jī)?nèi),處于防火墻的保護(hù)下只允許CDN節(jié)點(diǎn)進(jìn)行訪問。這樣CDN節(jié)點(diǎn)不在需要存放私鑰,私鑰僅存放在少數(shù)keyserver服務(wù)器上,便于私鑰管理,降低了私鑰被盜的可能性。但該方法每次握手過程都需要與keyserver進(jìn)行網(wǎng)絡(luò)通信,延長(zhǎng)了握手過程的時(shí)間,也降低了用戶體驗(yàn)。同時(shí),keyserver的可靠性和性能成為整個(gè)系統(tǒng)的瓶頸。詳情可參考https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/。

HTTPS:Hyper Text Transfer Protocol over Secure Socket Layer,是以安全為目標(biāo)的HTTP通道,簡(jiǎn)單講是HTTP的安全版,即HTTP下加入SSL層,HTTPS的安全基礎(chǔ)是SSL,因此,加密的詳細(xì)內(nèi)容就需要SSL。它是一個(gè)URI scheme(抽象標(biāo)識(shí)符體系),句法類同HTTP:體系,用于安全的HTTP數(shù)據(jù)傳輸。HTTPS:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默認(rèn)端口及一個(gè)加密/身份驗(yàn)證層(在HTTP與TCP之間)。



技術(shù)實(shí)現(xiàn)要素:

本發(fā)明所要解決的技術(shù)問題是提供一種HTTPS服務(wù)的部署方法,不在CDN節(jié)點(diǎn)部署私鑰,將加密后的私鑰部署在私鑰服務(wù)器,將私鑰進(jìn)行加密和對(duì)應(yīng)解密方法作為數(shù)據(jù)進(jìn)行傳輸和存貯,客戶端接入過程使用內(nèi)存中的數(shù)據(jù),不需要私鑰服務(wù)器介入,提高系統(tǒng)的性能和可靠性。

為解決上述問題,本發(fā)明采用的技術(shù)方案是:

一種HTTPS服務(wù)的部署方法,包括以下步驟:

步驟1:設(shè)置私鑰服務(wù)器,CDN節(jié)點(diǎn)從私鑰服務(wù)器下載經(jīng)過加密的私鑰和解密方法,并存放在CDN節(jié)點(diǎn)的內(nèi)存中;

步驟2:客戶端與服務(wù)器進(jìn)行握手時(shí),服務(wù)器使用私鑰進(jìn)行解密,使用內(nèi)存中的解密方法解密密鑰,完成握手過程;

步驟3:結(jié)束握手過程,立即清空明文私鑰;

步驟4:握手成功后,客戶端與CDN節(jié)點(diǎn)通過對(duì)稱密鑰進(jìn)行通信;

步驟5:CDN節(jié)點(diǎn)向源站轉(zhuǎn)發(fā)客戶端請(qǐng)求,并將源站反饋結(jié)果返回到客戶端,完成訪問過程。

進(jìn)一步的,還包括步驟6:每隔一定時(shí)長(zhǎng)或者收到管理員手動(dòng)下達(dá)的指令后,CDN節(jié)點(diǎn)從私鑰服務(wù)器重新下載并更新本地?cái)?shù)據(jù)。

進(jìn)一步的,所述更新包括手動(dòng)更新和定時(shí)自動(dòng)更新。

與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果是:

1)無(wú)論是CDN節(jié)點(diǎn)還是私鑰服務(wù)器都不部署明文私鑰,通過登錄服務(wù)器獲得私鑰幾乎不可能。

2)源站管理員不需要將私鑰交給CDN服務(wù)提供商,減少高密級(jí)數(shù)據(jù)擴(kuò)散范圍。

3)私鑰服務(wù)器通過防火墻控制訪問IP和內(nèi)容,具有更高的安全性。

4)不需要每次訪問都與私鑰服務(wù)器交互,減弱私鑰服務(wù)器性能和可靠性對(duì)整個(gè)系統(tǒng)的影響,不使私鑰服務(wù)器成為性能瓶頸。

5)不需要逐個(gè)CDN服務(wù)器進(jìn)行私鑰部署,降低CDN廠商的運(yùn)維成本。

附圖說(shuō)明

圖1是本發(fā)明一種HTTPS服務(wù)的部署方法中私鑰下載/更新流程示意圖。

圖2是本發(fā)明一種HTTPS服務(wù)的部署方法中用戶訪問流程示意圖。

具體實(shí)施方式

下面結(jié)合附圖和具體實(shí)施方式對(duì)本發(fā)明作進(jìn)一步詳細(xì)的說(shuō)明。本發(fā)明方法不在CDN節(jié)點(diǎn)部署私鑰,而是將加密后的私鑰部署在密鑰服務(wù)器上,CDN節(jié)點(diǎn)從該密鑰服務(wù)器上獲取加密后的密鑰和解密方法,保存在內(nèi)存中。在握手的過程中將私鑰解密進(jìn)行握手,握手完成后立即從內(nèi)存中清除。由于節(jié)點(diǎn)上沒有部署明文私鑰,內(nèi)存中也只有在握手瞬間存在明文私鑰,即使登錄節(jié)點(diǎn)極難獲得私鑰。不需要每次訪問都與密鑰服務(wù)器進(jìn)行交互,對(duì)系統(tǒng)的性能和可靠性影響極小。

如圖1所示,私鑰服務(wù)器存儲(chǔ)加密后的私鑰和對(duì)應(yīng)的解密方法,CDN節(jié)點(diǎn)啟動(dòng)后會(huì)主動(dòng)從私鑰服務(wù)器下載加密后的私鑰和解密方法并存放在節(jié)點(diǎn)的內(nèi)存中,每隔一定時(shí)長(zhǎng)或者收到管理員手動(dòng)下達(dá)的指令后,CDN節(jié)點(diǎn)也會(huì)從私鑰服務(wù)器重新下載并更新本地?cái)?shù)據(jù)。節(jié)點(diǎn)和私鑰服務(wù)器都只有加密后的數(shù)據(jù)。

如圖2所示,客戶端與服務(wù)器進(jìn)行握手時(shí),服務(wù)器需要使用私進(jìn)行解密。此時(shí),使用內(nèi)存中的解密方法解密加密后的密鑰完成握手過程,握手過程結(jié)束后,立即清空明文私鑰。由于使用私鑰的時(shí)間相對(duì)于整個(gè)用戶訪問流程可以忽略不計(jì),通過抓取運(yùn)行中內(nèi)存中的數(shù)據(jù)進(jìn)行逆向提取密鑰幾乎不可能。

握手成功后,客戶端與CDN節(jié)點(diǎn)通過協(xié)商后的對(duì)稱密鑰進(jìn)行通信。與正常訪問過程一樣,CDN節(jié)點(diǎn)向源站轉(zhuǎn)發(fā)客戶端請(qǐng)求并將源站反饋結(jié)果返回到客戶端,完成訪問過程。握手過程中,不需要與私鑰服務(wù)器進(jìn)行交互,與直接在節(jié)點(diǎn)部署私鑰性能相差不多。

當(dāng)前第1頁(yè)1 2 3 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1