專利名稱:基于內(nèi)容分發(fā)網(wǎng)絡(luò)的https證書部署方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及內(nèi)容分發(fā)網(wǎng)絡(luò)的加密技術(shù),尤其涉及一種基于內(nèi)容分發(fā)網(wǎng)絡(luò)的HTTPS證書部署方法及系統(tǒng)��。
背景技術(shù):
HTTPS的應(yīng)用范圍涉及需要身份認(rèn)證及數(shù)據(jù)安全的各個互聯(lián)網(wǎng)領(lǐng)域:電子商務(wù)���、金融�、通訊��、物流運(yùn)輸���、旅游�、制造業(yè)、醫(yī)療衛(wèi)生����、保險(xiǎn)、電力�����、房地產(chǎn)���、政府及事業(yè)單位�����、電信�����、教育等�。越來越大的HTTPS通信量����,給企業(yè)HTTPS源服務(wù)器帶來了沉重負(fù)擔(dān),由此觸發(fā)了利用內(nèi)容分發(fā)網(wǎng)絡(luò)(⑶N)加速進(jìn)行HTTPS服務(wù)的需求?��,F(xiàn)有技術(shù)中���,基于內(nèi)容分發(fā)網(wǎng)絡(luò)的HTTPS加速方案如圖1所示��,包括如下步驟:在Sll處開始�;在S12處����,企業(yè)以明文的方式將證書和私鑰傳遞給⑶N服務(wù)商���;在S13處����,⑶N服務(wù)商的操作人員驗(yàn)證證書和私鑰是否可用�����;在S14處判斷驗(yàn)證結(jié)果�����,如果不可用則轉(zhuǎn)向S15����,排查錯誤���;如果證書和私鑰經(jīng)驗(yàn)證可用后,在S16處�,由⑶N服務(wù)商以人工方式將證書和私鑰部署在待部署的各個邊緣節(jié)點(diǎn)上;
·
在S17處結(jié)束���。在將證書和私鑰部署在各個邊緣節(jié)點(diǎn)之后����,CDN服務(wù)商的邊緣節(jié)點(diǎn)直接向訪問用戶提供HTTPS服務(wù)�。但是,現(xiàn)有技術(shù)中HTTPS證書部署以及HTTPS加速方案存在如下弊端:1.企業(yè)證書和私鑰采用明文方式傳送��,在傳遞過程中容易被人竊取��,導(dǎo)致非法使用����;2.證書和私鑰在⑶N邊緣節(jié)點(diǎn)部署是以明文方式使用和保存的,存在安全隱患����;3.部署全過程需要通過人工手動完成���,部署周期長,成本高�����。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種基于內(nèi)容分發(fā)網(wǎng)絡(luò)的HTTPS證書部署方法及系統(tǒng)���,能夠降低企業(yè)和⑶N服務(wù)商的安全風(fēng)險(xiǎn)����,而且有利于節(jié)約⑶N服務(wù)商的人工成本���。為解決上述技術(shù)問題,本發(fā)明提供了一種基于內(nèi)容分發(fā)網(wǎng)絡(luò)的HTTPS證書部署方法�����,包括:對證書和私鑰進(jìn)行加密��,生成加密包���;⑶N平臺保存該加密包�����,并驗(yàn)證該加密包中的證書和私鑰的可用性�����;若該加密包中的證書和私鑰可用����,則所述CDN平臺自動向CDN邊緣節(jié)點(diǎn)部署該加密包。根據(jù)本發(fā)明的一個實(shí)施例���,向所述CDN邊緣節(jié)點(diǎn)部署該加密包之后,還包括:所述CDN邊緣節(jié)點(diǎn)對該加密包進(jìn)行二次加密��。
根據(jù)本發(fā)明的一個實(shí)施例��,對證書和私鑰進(jìn)行加密�����,生成加密包包括:對證書和私鑰進(jìn)行加密���,生成加密包,加密方式為靜態(tài)加密或動態(tài)加密,若是靜態(tài)加密則使用預(yù)設(shè)的加密密鑰進(jìn)行加密�����,若是動態(tài)加密則隨機(jī)生成加密密鑰進(jìn)行加密�;接收用戶輸入的可拉取該加密包的存放路徑以及加速域名;驗(yàn)證該存放路徑是否可用��;若所述存放路徑可以用�����,則將該存放路徑和加速域名下發(fā)至所述CDN平臺���。根據(jù)本發(fā)明的一個實(shí)施例����,⑶N平臺保存該加密包包括:該CDN平臺保存下發(fā)的所述存放路徑和加速域名�;該CDN平臺根據(jù)該存放路徑拉取所述加密包并對其進(jìn)行保存��。所述⑶N平臺自動向⑶N邊緣節(jié)點(diǎn)部署該加密包包括:所述⑶N邊緣節(jié)點(diǎn)獲取該加密包��,并對該加密包進(jìn)行完整性校驗(yàn)�;若該加密包完整,則該⑶N邊緣節(jié)點(diǎn)將該加密包部署至預(yù)設(shè)位置;該⑶N邊緣節(jié)點(diǎn)將部署結(jié)果反饋至所述⑶N平臺��。本發(fā)明還提供了一種基于內(nèi)容分發(fā)網(wǎng)絡(luò)的HTTPS證書部署系統(tǒng)��,包括:源加密工具�,對證書和私鑰進(jìn)行加密,生成加密包�;⑶N平臺,保存該 加密包并驗(yàn)證該加密包中的證書和私鑰的可用性�����,若該加密包中的證書和私鑰可用��,則自動向CDN邊緣節(jié)點(diǎn)部署該加密包�����。根據(jù)本發(fā)明的一個實(shí)施例,所述⑶N邊緣節(jié)點(diǎn)還對該加密包進(jìn)行二次加密���。根據(jù)本發(fā)明的一個實(shí)施例���,所述源加密工具包括:加密模塊,對所述證書和私鑰進(jìn)行加密�����,生成加密包,加密方式為靜態(tài)加密或動態(tài)加密���,若是靜態(tài)加密則使用預(yù)設(shè)的加密密鑰進(jìn)行加密���,若是動態(tài)加密則隨機(jī)生成加密密鑰進(jìn)行加密;輸入模塊���,接收用戶輸入的可拉取該加密包的存放路徑以及加速域名����;驗(yàn)證模塊��,驗(yàn)證該存放路徑是否可用�;下發(fā)模塊,若所述存放路徑可以用�����,則將該存放路徑和加速域名下發(fā)至所述CDN
T D O根據(jù)本發(fā)明的一個實(shí)施例�����,該⑶N平臺包括:接收模塊����,接收該源加密工具下發(fā)的所述存放路徑和加速域名;保存模塊����,根據(jù)該存放路徑拉取所述加密包并對其進(jìn)行保存。根據(jù)本發(fā)明的一個實(shí)施例����,所述⑶N邊緣節(jié)點(diǎn)包括:校驗(yàn)?zāi)K,從所述⑶N平臺獲取該加密包���,并對該加密包進(jìn)行完整性校驗(yàn)�����;部署模塊�����,若該加密包完整�����,則將該加密包部署至預(yù)設(shè)位置�;反饋模塊,將所述部署模塊的部署結(jié)果反饋至所述CDN平臺��。與現(xiàn)有技術(shù)相比����,本發(fā)明具有以下優(yōu)點(diǎn):本發(fā)明實(shí)施例的證書部署方法及系統(tǒng)中,首先對證書和私鑰進(jìn)行加密�����,然后采用⑶N平臺對生成的加密包自動進(jìn)行驗(yàn)證�����,驗(yàn)證通過后�����,由⑶N自動平臺向⑶N邊緣節(jié)點(diǎn)部署該加密包���。一方面由于證書和私鑰是經(jīng)過加密后再傳輸?shù)?�,因此提高了安全性�����,將企業(yè)和CDN服務(wù)商的安全風(fēng)向降到了最低�;另一方面采用CDN平臺自動進(jìn)行驗(yàn)證和部署���,節(jié)約了⑶N服務(wù)商的內(nèi)部人工成本����。
進(jìn)一步而言����,⑶N邊緣節(jié)點(diǎn)還可以對加密包進(jìn)行二次加密保存,從而進(jìn)一步提高安全性����。
圖1是現(xiàn)有技術(shù)中HTTPS證書的部署方法的流程示意圖;圖2是本發(fā)明實(shí)施例的基于內(nèi)容分發(fā)網(wǎng)絡(luò)的HTTPS證書部署方法的流程示意圖����;圖3是本發(fā)明實(shí)施例的證書部署方法中源加密工具的工作流程示意圖;圖4是本發(fā)明實(shí)施例的證書部署方法中⑶N平臺驗(yàn)證加密包的流程示意圖����;圖5是本發(fā)明實(shí)施例的證書部署方法中CDN平臺在CDN邊緣節(jié)點(diǎn)部署加密包的流程不意圖�。
具體實(shí)施例方式下面結(jié)合具體實(shí)施例和 附圖對本發(fā)明作進(jìn)一步說明�����,但不應(yīng)以此限制本發(fā)明的保護(hù)范圍�����。本實(shí)施例的基于⑶N的HTTPS證書部署方法主要包括如下步驟:對證書和私鑰進(jìn)行加密����,生成加密包;⑶N平臺保存該加密包����,并驗(yàn)證該加密包中的證書和私鑰的可用性; 若該加密包中的證書和私鑰可用�����,則所述⑶N平臺自動向⑶N邊緣節(jié)點(diǎn)部署該加密包�����。在向⑶N邊緣節(jié)點(diǎn)部署加密包之后,⑶N邊緣節(jié)點(diǎn)還可以對該加密包進(jìn)行二次加密�,從而進(jìn)一步提高安全性。此外���,在向全部CDN邊緣節(jié)點(diǎn)部署加密包之后,CDN平臺可以發(fā)出關(guān)于部署結(jié)果的通知�,該通知可以發(fā)送給相關(guān)工作人員。下面參考圖2對本實(shí)施例的證書部署方法進(jìn)行詳細(xì)說明���。在S21處開始���。在S22處,使用源加密工具加密證書和私鑰���,并將生成的加密包或者其存放路徑推送出去����。優(yōu)選地��,在加密完成之后�����,源加密工具可以主動將加密包或者該加密包的存放路徑推送至CDN平臺�。加密方式可以是靜態(tài)加密或者動態(tài)加密�,如果是靜態(tài)加密則使用預(yù)設(shè)的加密密鑰進(jìn)行加密���,如果是動態(tài)加密則隨機(jī)生成加密密鑰進(jìn)行加密�。在S23處����,⑶N平臺保存加密包,并提取該加密包中的基本信息�。在S24處,⑶N平臺驗(yàn)證加密包中的證書和私鑰的可用性�����。該驗(yàn)證過程是由⑶N平臺自動完成的��,因而操作人員無法直接接觸到加密后的內(nèi)容���,提高了安全性��。在S25處���,判斷證書和私鑰的驗(yàn)證結(jié)果。如果不可用,則轉(zhuǎn)向S26�����,排查錯誤��,此處可以采用人工的方式進(jìn)行排查�。如果證書和私鑰可用,則前進(jìn)至S27����,⑶N平臺自動向⑶N邊緣節(jié)點(diǎn)部署該加密包����。在S28處,全部⑶N邊緣節(jié)點(diǎn)部署完畢后�����,⑶N平臺發(fā)出通知�,例如可以通知工作人員相關(guān)的部署結(jié)果。需要說明的是����,在向CDN邊緣節(jié)點(diǎn)部署加密包之后,CDN邊緣節(jié)點(diǎn)可以對該加密包進(jìn)行二次加密,以進(jìn)一步提高安全性���。參考圖3���,下面對本實(shí)施例的源加密工具的工作過程進(jìn)行詳細(xì)描述。
在S31處��,元加密工具加密證書和私鑰����。在S32處,客戶輸入存放路徑和加速域名�����。其中�����,該存放路徑是用于存放加密包的路徑�����,例如可以是URL����。在S33處�����,將存放路徑和加速域名提交���。在S34處,客戶提交之后�����,源加密工具自動驗(yàn)證輸入的存放路徑是否可用��。在S35處�����,對驗(yàn)證結(jié)果進(jìn)行判斷��。如果不可用����,則轉(zhuǎn)向S36�,源加密工具提示出錯���,并返回S32重新輸入。如果可用����,則前進(jìn)至S37,源加密工具將存放路徑和加速域名下發(fā)給⑶N平臺�����。需要說明的是���,圖3所示的實(shí)例源加密工具是將加密包的存放路徑推送給CDN平臺��,但是在其他具體實(shí)施例中��,源加密工具也可以直接將加密包推送給⑶N平臺�。參考圖4�,下面對⑶N平臺對加密包的驗(yàn)證過程進(jìn)行詳細(xì)說明。在S41處�����,CDN平臺保存接收到的存放路徑���,另外也可以一并保存接收到的加速域名��。 在S42處���,⑶N平臺對該存放路徑進(jìn)行自動審核���。在S43處,判斷審核結(jié)果���,如果未通過�,則轉(zhuǎn)向S44��,不做處理或者將審核未通過的存放路徑丟棄����。如果審核通過�����,則前進(jìn)至S45����,⑶N平臺根據(jù)該存放路徑抓取加密包���。在S46處,⑶N平臺驗(yàn)證該加密包的完整性���。在S47處��,對加密包是否完整的驗(yàn)證結(jié)果進(jìn)行判斷���,如果不完整,則返回S45�����,重新抓取加密包�。如果經(jīng)過驗(yàn)證確認(rèn)該加密包是完整的,則前進(jìn)至S48�,⑶N平臺將狀態(tài)修改為“拉取成功”。例如���,可以更改URL對應(yīng)的狀態(tài)并在數(shù)據(jù)存儲界面更改相應(yīng)的狀態(tài)����。之后進(jìn)而前進(jìn)至S49����,進(jìn)行參數(shù)的配置����。例如��,可以利用⑶N平臺配置系統(tǒng)參數(shù)以及特定的域名參數(shù)等����。下面參考圖5,對⑶N平臺在⑶N邊緣節(jié)點(diǎn)上部署加密包的過程進(jìn)行詳細(xì)說明�����。在S51處�,⑶N邊緣節(jié)點(diǎn)抓取該加密包。在S52處�����,⑶N邊緣節(jié)點(diǎn)驗(yàn)證該加密包是否完整��。在S53處���,對驗(yàn)證結(jié)果進(jìn)行判斷��,如果不完整����,則返回S51��,重新抓取加密包��。如果驗(yàn)證結(jié)果表明該加密包是完整的�����,則前進(jìn)至S54����,將該加密包部署到⑶N邊緣節(jié)點(diǎn)內(nèi)指預(yù)設(shè)的指定位置處。在S55處����,⑶N邊緣節(jié)點(diǎn)將部署結(jié)果反饋給⑶N平臺。在S56處�,⑶N平臺自動更改狀態(tài),保存記錄相關(guān)數(shù)據(jù)�。在S57處,⑶N平臺發(fā)出通知,例如可以通知操作人員部署完畢���。由上����,在本實(shí)施例中�,源加密工具可以對證書和私鑰進(jìn)行高度加密,并將加密后產(chǎn)生的加密包或者該加密包的存放路徑自動推送給⑶N平臺KDN平臺主動進(jìn)行文件的獲取����、保存、可用性驗(yàn)證����、證書和私鑰基本信息的提取。另外CDN平臺可以用于相關(guān)參數(shù)的設(shè)置���,還可以對源加密工具和節(jié)點(diǎn)工具進(jìn)行管理��,并可以針對異常進(jìn)行報(bào)警��,發(fā)出部署結(jié)果的通知以及記錄全過程的日志�����。此外���,CDN邊緣節(jié)點(diǎn)可以主動獲取相關(guān)文件,并對其進(jìn)行二次加密�,進(jìn)一步提高安全性。
本實(shí)施例還提供了一種基于內(nèi)容分發(fā)網(wǎng)絡(luò)的HTTPS證書部署系統(tǒng)��,主要包括:源加密工具61����、⑶N平臺62以及一個或多個⑶N邊緣節(jié)點(diǎn)63。其中����,源加密工具61對證書和私鑰進(jìn)行加密,生成加密包�����。進(jìn)一步而言���,源加密工具61可以包括:加密模塊�����,對所述證書和私鑰進(jìn)行加密����,生成加密包;輸入模塊�����,接收用戶輸入的可拉取該加密包的存放路徑以及加速域名��;驗(yàn)證模塊�,驗(yàn)證該存放路徑是否可用;下發(fā)模塊���,若所述存放路徑可以用����,則將該存放路徑和加速域名下發(fā)至所述CDN平臺63����。⑶N平臺62保存該加密包并驗(yàn)證該加密包中的證書和私鑰的可用性,若該加密包中的證書和私鑰可用���,則自動向⑶N邊緣節(jié)點(diǎn)63部署該加密包����。進(jìn)一步而言,該⑶N平臺62可以包括:接收模塊���,接收該源加密工具下發(fā)的所述存放路徑和加速域名;保存模塊��,根據(jù)該存放路徑拉取所述加密包并對其進(jìn)行驗(yàn)證和保存�。⑶N邊緣節(jié)點(diǎn)可以包括:校驗(yàn)?zāi)K,從所述⑶N平臺獲取該加密包�,并對該加密包進(jìn)行完整性校驗(yàn);部署模塊�,若該加密包完整,則將該加密包部署至預(yù)設(shè)位置���;反饋模塊�����,將所述部署模塊的部署結(jié)果反饋至所述CDN平臺��;二次加密模塊����,對該加密包進(jìn)行二次加密。
關(guān)于該證書部署系統(tǒng)的更多詳細(xì)說明��,請參見前述實(shí)施例中關(guān)于證書部署方法的相關(guān)描述����。本發(fā)明雖然以較佳實(shí)施例公開如上,但其并不是用來限定本發(fā)明����,任何本領(lǐng)域技術(shù)人員在不脫離本發(fā)明的精神和范圍內(nèi),都可以做出可能的變動和修改��,因此本發(fā)明的保護(hù)范圍應(yīng)當(dāng)以本發(fā)明權(quán)利要求所界定的范圍為準(zhǔn)�。
權(quán)利要求
1.一種基于內(nèi)容分發(fā)網(wǎng)絡(luò)的HTTPS證書部署方法,其特征在于����,包括: 對證書和私鑰進(jìn)行加密,生成加密包����; CDN平臺保存該加密包,并驗(yàn)證該加密包中的證書和私鑰的可用性�����; 若該加密包中的證書和私鑰可用,則所述CDN平臺自動向CDN邊緣節(jié)點(diǎn)部署該加密包�����。
2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于��,向所述CDN邊緣節(jié)點(diǎn)部署該加密包之后�����,還包括:所述CDN邊緣節(jié)點(diǎn)對該加密包進(jìn)行二次加密�����。
3.根據(jù)權(quán)利要求1所述的方法����,其特征在于���,對證書和私鑰進(jìn)行加密�,生成加密包包括: 對證書和私鑰進(jìn)行加密,生成加密包�,加密方式為靜態(tài)加密或動態(tài)加密,若是靜態(tài)加密則使用預(yù)設(shè)的加密密鑰進(jìn)行加密���,若是動態(tài)加密則隨機(jī)生成加密密鑰進(jìn)行加密��; 接收用戶輸入的可拉取該加密包的存放路徑以及加速域名�; 驗(yàn)證該存放路徑是否可用�; 若所述存放路徑可以 用,則將該存放路徑和加速域名下發(fā)至所述CDN平臺���。
4.根據(jù)權(quán)利要求3所述的方法���,其特征在于,⑶N平臺保存該加密包包括: 該CDN平臺保存下發(fā)的所述存放路徑和加速域名���; 該CDN平臺根據(jù)該存放路徑拉取所述加密包并對其進(jìn)行保存���。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于�,所述CDN平臺自動向CDN邊緣節(jié)點(diǎn)部署該加密包包括: 所述CDN邊緣節(jié)點(diǎn)獲取該加密包,并對該加密包進(jìn)行完整性校驗(yàn)���; 若該加密包完整����,則該CDN邊緣節(jié)點(diǎn)將該加密包部署至預(yù)設(shè)位置; 該CDN邊緣節(jié)點(diǎn)將部署結(jié)果反饋至所述CDN平臺����。
6.一種基于內(nèi)容分發(fā)網(wǎng)絡(luò)的HTTPS證書部署系統(tǒng),其特征在于����,包括: 源加密工具,對證書和私鑰進(jìn)行加密��,生成加密包�; CDN平臺�,保存該加密包并驗(yàn)證該加密包中的證書和私鑰的可用性,若該加密包中的證書和私鑰可用����,則自動向CDN邊緣節(jié)點(diǎn)部署該加密包。
7.根據(jù)權(quán)利要求6所述的系統(tǒng)��,其特征在于���,所述CDN邊緣節(jié)點(diǎn)還對該加密包進(jìn)行二次加密�。
8.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于����,所述源加密工具包括: 加密模塊,對所述證書和私鑰進(jìn)行加密�,生成加密包,加密方式為靜態(tài)加密或動態(tài)加密���,若是靜態(tài)加密則使用預(yù)設(shè)的加密密鑰進(jìn)行加密�����,若是動態(tài)加密則隨機(jī)生成加密密鑰進(jìn)行加密�; 輸入模塊����,接收用戶輸入的可拉取該加密包的存放路徑以及加速域名; 驗(yàn)證模塊��,驗(yàn)證該存放路徑是否可用���; 下發(fā)模塊���,若所述存放路徑可以用�����,則將該存放路徑和加速域名下發(fā)至所述CDN平臺�。
9.根據(jù)權(quán)利要求8所述的系統(tǒng)�,其特征在于,該CDN平臺包括: 接收模塊�,接收該源加密工具下發(fā)的所述存放路徑和加速域名; 保存模塊�����,根據(jù)該存放路徑拉取所述加密包并對其進(jìn)行保存�。
10.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于��,所述CDN邊緣節(jié)點(diǎn)包括: 校驗(yàn)?zāi)K����,從所述CDN平臺獲取該加密包�,并對該加密包進(jìn)行完整性校驗(yàn);部署模塊,若該加密包完整���,則將該加密包部署至預(yù)設(shè)位置�����;反饋模塊��,將所述部署模塊的 部署結(jié)果反饋至所述CDN平臺���。
全文摘要
本發(fā)明提供了一種基于內(nèi)容分發(fā)網(wǎng)絡(luò)的HTTPS證書部署方法及系統(tǒng),該方法包括對證書和私鑰進(jìn)行加密����,生成加密包;CDN平臺保存該加密包��,并驗(yàn)證該加密包中的證書和私鑰的可用性�����;若該加密包中的證書和私鑰可用�,則所述CDN平臺自動向CDN邊緣節(jié)點(diǎn)部署該加密包。本發(fā)明能夠降低企業(yè)和CDN服務(wù)商的安全風(fēng)險(xiǎn)��,而且有利于節(jié)約CDN服務(wù)商的人工成本。
文檔編號H04L9/32GK103227801SQ20131017836
公開日2013年7月31日 申請日期2013年5月14日 優(yōu)先權(quán)日2013年5月14日
發(fā)明者洪珂, 梁龍虎, 周炬蓉 申請人:網(wǎng)宿科技股份有限公司