2024年5月6日发(作者:)
(19)中华人民共和国国家知识产权局
(12)发明专利说明书
(21)申请号 CN2.7
(22)申请日 2014.03.14
(71)申请人 网宿科技股份有限公司
地址 200030 上海市徐汇区斜土路2899号光启文化广场A幢5楼
(72)发明人 洪珂 梁龙虎 周炬蓉
(74)专利代理机构 上海专利商标事务所有限公司
代理人 胡林岭
(51)
H04L29/06
H04L9/08
(10)申请公布号 CN 103825906 A
(43)申请公布日 2014.05.28
权利要求说明书 说明书 幅图
(54)发明名称
基于内容分发网络的企业私钥自加
密自部署方法
(57)摘要
本发明公开了一种基于内容分发网
络的企业私钥自加密自部署方法。该方法
包括利用私钥加密客户端来加密需要部署
的内容并发送至内容分发网络管理中心,
其中私钥加密客户端允许用户在加密时自
行设定加密密码;若密文发送成功,则内
容分发网络管理中心生成密文ID,并将密
文ID返回给私钥加密客户端;若用户选择
立即进行私钥部署,则用户在私钥加密客
户端输入密文ID和加密密码,并与内容分
发网络管理中心平台连接校验;内容分发
网络管理中心在收到私钥加密客户端的部
署指令后,对密文ID所对应的证书和私钥
进行可用性校验;若证书和私钥通过可用
性校验,则利用内容分发网络管理中心平
台进行自助预部署;以及若预部署成功,
则用户进行全部节点自助部署。
法律状态
法律状态公告日
法律状态信息
法律状态
权 利 要 求 说 明 书
1.一种基于内容分发网络的企业私钥自加密自部署方法,其特征在于,所述方法包
括:
利用一私钥加密客户端来加密需要部署的内容,其中所述私钥加密客户端允许用户
在加密时自行设定加密密码,其中经加密的需要部署的内容为密文;
通过所述私钥加密客户端将所述密文发送至一内容分发网络管理中心;
由所述内容分发网络管理中心判断密文发送是否成功,若发送成功,则所述内容分
发网络管理中心生成密文ID,并将所述密文ID返回给所述私钥加密客户端;
所述内容分发网络管理中心在收到私钥加密客户端的部署指令后,对所述密文ID
所对应的证书和私钥进行可用性校验;
利用所述内容分发网络管理中心平台进行自助预部署,并检查预部署是否通过;以
及
若所述预部署成功,则所述用户进行全部节点自助部署。
2.根据权利要求1所述的方法,其特征在于,所述内容分发网络管理中心将所述密
文ID返回给所述私钥加密客户端后,所述方法还包括:
由所述用户选择立即进行私钥部署或者下次私钥部署;以及
若所述用户选择立即进行私钥部署,则所述用户在所述私钥加密客户端输入所述密
文ID和所述加密密码,并与内容分发网络管理中心平台连接校验。
3.根据权利要求1所述的方法,其特征在于,所述利用平台进行自助预部署,并检
查预部署是否通过的步骤还包括:
若所述密文ID所对应的证书和私钥通过可用性校验,则所述内容分发网络管理中
心将所述证书和私钥的基本信息发送至所述私钥加密客户端;
所述用户点击部署证书和私钥密文;
利用所述内容分发网络管理中心平台进行自助预部署;
所述内容分发网络管理中心检查预部署是否通过,以使得所述用户立即知道在所述
证书和私钥可用的情况下是否可以顺利在所述内容分发网络平台上提供服务。
4.根据权利要求1所述的方法,其特征在于,若所述内容分发网络管理中心判断所
述密文发送失败,则所述内容分发网络管理中心向所述私钥加密客户端发出错误提
示。
5.根据权利要求1所述的方法,其特征在于,若所述证书和私钥未通过可用性校验,
则所述内容分发网络管理中心向所述私钥加密客户端发出错误提示。
6.根据权利要求3所述的方法,其特征在于,若所述内容分发网络管理中心检查发
现预部署出错,则所述内容分发网络管理中心通知所述内容分发网络的工作人员,
并发送错误提示至所述私钥加密客户端。
7.一种基于内容分发网络的私钥加密客户端,其特征在于,所述私钥加密客户端包
括:
选择模块,其中用户选择私钥和证书,并自行设定加密密码;
加密模块,利用所述自行设定的加密密码对所述私钥和证书进行加密,以形成密
文;
密文提交模块,将所述密文或者所述密文存储的路径发送至内容分发网络管理中
心;
验证模块,若所述密文提交模块发送的是所述密文存储的路径,则所述验证模块对
所述密文存储的路径进行可用性验证;
密文ID接收模块,若所述密文存储的路径可用且发送成功或者所述密文发送成功,
则所述内容分发网络管理中心生成并发送密文ID,所述密文ID接收模块接收该密
文ID。
8.如权利要求7所述的私钥加密客户端,其特征在于,所述私钥加密客户端还包
括:
错误信息接收模块,所述密文存储的路径发送不成功或者所述密文发送不成功,则
所述内容分发网络管理中心生成出错提示,所述错误信息接收模块接收该出错提
示。
9.如权利要求7所述的私钥加密客户端,其特征在于,所述密文存储的路径是URL
地址。
10.一种基于内容分发网络的私钥验证方法,其特征在于,所述方法包括:
接收来自私钥加密客户端输入的密文ID和加密密码,并对所述密文ID和加密密
码进行验证,其中所述私钥加密客户端允许用户在加密时自行设定加密密码,其中
经加密的私钥和证书为密文;
对所述密文ID进行合法性验证,若所述密文ID合法且存在,则对所述加密密码
进行验证,若所述密文ID不正确,则返回对应提示;
对所述加密密码进行准确性验证,若所述加密密码可用,则对所述证书进行过期验
证;若所述加密密码不可用,则返回对应错误提示;
对所述证书进行过期验证,若所述证书未过期,则进行域名匹配验证;若所述证书
已过期,则返回对应错误提示;
对证书域名与加速域名进行匹配验证,若域名匹配,则进行私钥密码对匹配性验证;
若域名不匹配,则返回对应错误提示;以及
对私钥密码对进行匹配性验证,若两者相互匹配,则返回证书整体基础信息;若不
匹配,则返回对应错误提示。
说 明 书
技术领域
本发明涉及内容分发网络(CDN)的加密技术,尤其是涉及企业私钥自设密码加
密、
背景技术
SSL(Secure Sockets Layer,安全套接层)是一种安全协议,目的是为网络通信
提供安全及数据完整性保障。SSL技术在传输通信协议(TCP/IP)上实现了安
采用公开密钥技术,它为TCP/IP连接提供数据加密、服务器
可选的客户机认证。因此,SSL普遍应用在互联
联网上保密通讯的工业标准。现行
现安全通信。
全程密文传输、自动部署、部署时间可自控技术。
全协议,
认证、消息完整性以及
网敏感数据的传输加密,目前已成为互
的Web浏览器也普遍将HTTP和SSL相结合,从而实
但SSL技术所带来的频繁的加密和解密过程,给服务器带来负担,因此用户(例
现有的基于内容分发网络的SSL加速方案如图1所示。
步骤101:企业客户端利用源加密工具生成证书和私钥加密包,源工具主动推送
步骤102:内容分发网络平台进行加密包保存及基本信息提取。
步骤103:内容分发网络平台的工作人员验证证书和私钥是否可用。
私钥加密包或者推送存放加密包的路径至内容分发网络平台。
如:企业)选择利用内容分发网络(CDN)进行SSL服务加速。
步骤104:若证书和私钥可用,则由内容分发网络平台的工作人员利用内容分发
步骤105:在全部节点部署完毕后,内容分发网络平台通知工作人员部署结果。
然而,现有的SSL加速方案,例如图1所示的方案,也存在诸多弊端。
首先,加密工具使用的加密密码是由工具自带的、固定单一的。因此,企业无法
自行设置密码,会造成加密后的数据不够安全,尤其在第三方运营和维护期
被恶意人士破解。
网络平台对全部节点进行人工部署,否则进行步骤106,即人工错误排查。
间,容易
其次,企业无法立即知道所发送的证书是否可用,如果不可用,企业收到通知后,
再次,在证书可用的情况下,企业无法知道证书部署到内容分发网络的各节点是
否能正常提供https服务;企业无法控制证书的部署时间,证书部署时需要
发网络工作人员操作部署方能生效,从企业角度看,整个流程
需要重新进行发送,耗时耗力。
由内容分
效率低下。
因此,亟需一种无需人工介入、高效、且安全度更高的基于内容分发网络的SSL
发明内容
本发明的目的在于解决企业SSL加速过程中私钥交付和使用产生的安全隐患问
题、企业无法自行部署私钥问题以及无法控制部署时间的问题。本发明通过
自行输入密码加密企业私钥、自行控制部署时间并参与部署过
加速方案。
提供企业
程、全程私钥加密传输
少人力成本。
自动化部署来降低企业安全顾虑、节约时间、减
本发明提供了一种基于内容分发网络的企业私钥自加密自部署方法,所述方法包
利用一私钥加密客户端来加密需要部署的内容,其中所述私钥加密客户端允许用
通过所述私钥加密客户端将所述密文发送至一内容分发网络管理中心;
由所述内容分发网络管理中心判断密文发送是否成功,若发送成功,则所述内容
分发网络管理中心生成密文ID,并将所述密文ID返回给所述私钥加密客户
户在加密时自行设定加密密码,其中经加密的需要部署的内容为密文;
括以下步骤:
端;
所述内容分发网络管理中心在收到私钥加密客户端的部署指令后,对所述密文ID
利用所述内容分发网络管理中心平台进行自助预部署,并检查预部署是否通过;
若所述预部署成功,则所述用户进行全部节点自助部署。
在一个实施例中,所述内容分发网络管理中心将所述密文ID返回给所述私钥加密
由所述用户选择立即进行私钥部署或者下次私钥部署;以及
客户端后,所述方法还包括:
以及
所对应的证书和私钥进行可用性校验;
若所述用户选择立即进行私钥部署,则所述用户在所述私钥加密客户端输入所述
在一个实施例中,所述利用平台进行自助预部署,并检查预部署是否通过的步骤
若所述密文ID对应的证书和私钥可用,则所述内容分发网络管理中心将所述证书
所述用户点击部署证书和私钥密文;
利用所述内容分发网络管理中心平台进行自助预部署;
所述内容分发网络管理中心检查预部署是否通过,以使得所述用户立即知道在证
在一个实施例中,若所述内容分发网络管理中心判断所述密文发送失败,所述内
在一个实施例中,若所述证书和私钥未通过可用性校验,则所述内容分发网络管
在一个实施例中,若所述内容分发网络管理中心检查发现预部署出错,则所述内
容分发网络管理中心通知所述内容分发网络的工作人员,并发送错误提示至
客户端。
理中心向所述私钥加密客户端发出错误提示。
容分发网络管理中心向所述私钥加密客户端发出错误提示。
书和私钥可用的情况下是否可以顺利在所述内容分发网络平台上提供服务。
和私钥的基本信息发送至所述私钥加密客户端;
进一步包括以下步骤:
密文ID和所述加密密码,并与内容分发网络管理中心平台连接校验。
私钥加密
本发明还提供了一种基于内容分发网络的私钥加密客户端,所述私钥加密客户端
包括以下模块:
选择模块,其中用户选择私钥和证书,并自行设定加密密码;
加密模块,利用所述自行设定的加密密码对私钥和证书进行加密,以形成密文;
密文提交模块,将所述密文或者所述密文存储的路径发送至内容分发网络管理中
验证模块,若所述密文提交模块发送的是所述密文存储的路径,则所述验证模块
密文ID接收模块,若所述密文存储的路径可用且发送成功或者所述密文发送成
功,则所述内容分发网络管理中心生成并发送密文ID,所述密文ID接收模
密文ID。
对所述密文存储的路径进行可用性验证;以及
心;
块接收该
在一个实施例中,所述私钥加密客户端还包括:
错误信息接收模块,所述密文存储的路径发送不成功或者所述密文发送不成功,
则所述内容分发网络管理中心生成出错提示,所述错误信息接收模块接收该
出错提示。
在一个实施例中,所述密文存储的路径是URL地址。
本发明还提供了一种基于内容分发网络的私钥验证方法,其特征在于,所述方法
接收来自私钥加密客户端输入的密文ID和加密密码,并对所述密文ID和加密密
包括以下步骤:
码进行验证,其中所述私钥加密客户端允许用户在加密时自行设定加密密码,
加密的私钥和证书为密文; 其中经
对所述密文ID进行合法性验证,若所述密文ID合法且存在,则对所述加密密码
对所述加密密码进行准确性验证,若所述加密密码可用,则对所述证书进行过期
对所述证书进行过期验证,若所述证书未过期,则进行域名验证;若所述证书已
对证书域名与加速域名进行匹配验证,若域名匹配,则进行私钥密码对匹配性验
对私钥密码对进行匹配性验证,若两者相互匹配,则返回证书整体基础信息;若
附图说明
本发明的以上发明内容以及下面的具体实施方式在结合附图阅读时会得到更好的
理解。需要说明的是,附图仅作为所请求保护的发明的示例。在附图中,相
标记代表相同或类似的元素。
不匹配,则返回对应错误提示。
证;若域名不匹配,则返回对应错误提示;以及
过期,则返回对应错误提示;
验证;若所述加密密码不可用,则返回对应错误提示;
进行验证,若所述密文ID不正确,则返回对应提示;
同的附图
图1示出现有技术的基于内容分发网络的SSL加速方案;
图2示出根据本发明的一个实施例的总体业务流程图;
图3示出根据本发明的一个实施例的客户端的工作流程图;
图4示出根据本发明的一个实施例的内容分发网络调度管理中心进行私钥验证的
图5示出根据本发明的一个实施例的部署过程流程图。
具体实施方式
以下在具体实施方式中详细叙述本发明的详细特征以及优点,其内容足以使任何
本领域技术人员了解本发明的技术内容并据以实施,且根据本说明书所揭露
权利要求及附图,本领域技术人员可轻易地理解本发明相关的
流程图;以及
的说明书、
目的及优点。
本发明的技术方案主要涉及私钥加密客户端、内容分发网络管理中心、内容分发
该方法包括以下几个要点:
(1)私钥加密客户端利用企业自设的加密密码对SSL私钥和证书加密。
(2)私钥加密客户端发送密文至内容分发网络管理中心。
(3)内容分发网络管理中心赋予每个密文单独的ID。
(4)内容分发网络管理中心审核证书和私钥并将审核结果、审核信息返回给私钥
(5)内容分发网络管理中心相关部署参数的设置。
加密客户端。
网络服务器客户端三者相互配合并完成部署的过程。
(6)内容分发网络管理中心对内容分发网络服务器客户端和私钥加密客户端的管
(7)内容分发网络管理中心针对异常进行报警、部署结果通知以及部署过程的日
图2是根据本发明的一个实施例的总体业务流程图。
步骤201:用户(例如:企业)利用私钥加密客户端来加密需要部署的内容,例
如私钥和证书。该私钥加密客户端允许用户在加密时自行设定加密密码,以
证私钥和证书的安全性,使得私钥和证书不易被破解。
志记录。
理。
进一步保
步骤202:私钥加密客户端发送密文至内容分发网络管理中心,其中所述密文为
步骤203:内容分发网络管理中心判断密文发送是否成功。若发送失败,则在步
骤205处,内容分发网络管理中心给出错误提示;若发送成功,则在步骤
容分发网络管理中心生成密文ID并返回给私钥加密客户端。
经加密的需要部署的内容。
204处,内
用户可选择立即进行私钥部署或者下次部署,即操作权限交给用户,用户可根据
若用户选择立即部署时,则在步骤206处,用户需要在私钥加密客户端输入密文
步骤207:收到私钥加密客户端部署指令后,内容分发网络管理中心将对密文ID
所对应的证书和私钥进行可用性校验,用户可以立即知道所发送的证书和私
ID和加密密码并与内容分发网络管理中心平台连接校验。
自己的意愿来决定证书是现在生效还是以后生效。
钥是否可
用。
步骤208:若证书和私钥可用,则利用平台进行自助预部署,并检查预部署是否
通过。用户可以立即知道在证书和私钥可用的情况下,是否可以顺利在内容
平台上提供服务。 分发网络
在一个实施例中,步骤208还可包括以下几个步骤:
步骤208-1:若证书和私钥可用,则内容分发网络管理中心将证书和私钥的基本
步骤208-2:用户点击部署证书和私钥密文。
步骤208-3:利用内容分发网络管理中心平台进行自助预部署。
步骤208-4:内容分发网络管理中心检查预部署是否通过。用户可以立即知道在
步骤209:若加密密码对可用,预部署出错,内容分发网络管理中心通知内容分
发网络工作人员,并在步骤210处,返回错误提示给客户端,由内容分发网
员进行排错。
证书和私钥可用的情况下,是否可以顺利在内容分发网络平台上提供服务。
信息发送至私钥加密客户端。
络工作人
步骤211:若预部署成功,则用户可以进行全部节点自助部署,从而大大提高证
图3是根据本发明的一个实施例的私钥加密客户端的工作流程图。
步骤301:用户选择私钥和证书,自输入密码对文件进行加密。
书和私钥的部署及服务效率。
步骤302:私钥加密客户端对需要部署的内容进行加密。
步骤303:加密完成后,用户直接提交密文或者发送密文存储路径至内容分发网
在一个实施例中,密文存储路径可以是URL地址。
步骤304:若发送URL至内容分发网络管理中心,则私钥加密客户端将对URL
步骤305:若URL可用且发送成功或者密文发送成功,则在步骤306处,内容分
发网络管理中心返回密文ID至私钥加密客户端,否则在步骤307处,提示
进行可用性验证。
络管理中心。
出错。
在一个实施例中,本发明还提供了一种基于内容分发网络的私钥加密客户端。该
选择模块,其中用户选择私钥和证书,并自行设定加密密码;
加密模块,利用所述自行设定的加密密码对需要部署的内容进行加密,以形成密
密文提交模块,将所述密文或者所述密文存储的路径发送至内容分发网络管理中
验证模块,若所述密文提交模块发送的是所述密文存储的路径,则所述验证模块
对所述密文存储的路径进行可用性验证;
心;
文;
私钥加密客户端可以包括以下几个模块:
密文ID接收模块,若所述密文存储的路径可用且发送成功或者所述密文发送成
功,则所述内容分发网络管理中心生成并发送密文ID,所述密文ID接收模
密文ID; 块接收该
错误信息接收模块,所述密文存储的路径发送不成功或者所述密文发送不成功,
则所述内容分发网络管理中心生成出错提示,所述错误信息接收模块接收该
出错提示。
图4是根据本发明一个实施例的内容分发网络管理中心对私钥的验证原理图。
步骤401:内容分发网络管理中心接收来自私钥加密客户端的密文ID和加密密码,
步骤402:进行密文ID合法性验证,若密文ID合法且存在则进行加密密码验证,
步骤403:进行加密密码准确性验证。若加密密码可用,则进行过期验证;若加
步骤404:进行证书过期验证。若证书未过期,则进行域名验证;若证书已过期,
步骤405:进行私钥等绑定域名与加速域名是否匹配验证。若域名匹配,则进行
步骤406:进行密码对匹配性验证。若两者相互匹配,则返回证书整体基础信息;
若不匹配,则返回对应错误提示。
密码对匹配性验证;若域名不匹配,则返回对应错误提示。
则返回对应错误提示。
密密码不可用,则返回对应错误提示。
若ID不正确则返回对应提示。
并对密文ID和加密密码进行验证。
图5是根据本发明的一个实施例的部署过程流程图。
步骤501:由内容分发网络管理中心下发加密包到内容分发网络节点。
步骤502:内容分发网络节点验证加密包是否完整。
步骤503:若加密包完整,则内容分发网络节点将密文存放于指定位置;若不完
步骤504:部署完毕后,内容分发网络节点反馈信息至内容分发网络管理中心。
步骤505:内容分发网络管理中心做日志记录、更改对应状态。
步骤506:通知内容分发网络服务人员。
采用本发明的技术方案,本发明解决了企业SSL加速过程中私钥交付和使用产生
的安全隐患问题、企业无法自行部署私钥问题以及无法控制部署时间的问题。
通过提供企业自行输入密码加密企业私钥、自行控制部署时间
私钥加密传输自动化部署来降低企业安全顾虑、
整,则反馈信息至内容分发网络管理中心,由管理中心重新下发加密包。
本发明
并参与部署过程、全程
节约时间、减少人力成本。
本发明采用的术语和表述方式只是用于描述,本发明并不应局限于这些术语和表
述。使用这些术语和表述并不意味着排除任何示意和描述(或其中部分)的等
应认识到可能存在的各种修改也应包含在权利要求范围内。其
可能存在。相应的,权利要求应视为覆盖所有这
效特征,
他修改、变化和替换也
些等效物。
同样,需要指出的是,虽然本发明已参照当前的具体实施例来描述,但是本技术
领域中的普通技术人员应当认识到,以上的实施例仅是用来说明本发明,在
本发明精神的情况下还可做出各种等效的变化或替换,因此,
神范围内对上述实施例的变化、变型都将落在本
没有脱离
只要在本发明的实质精
申请的权利要求书的范围内。
发布评论