本发明专利技术提供了一种加速HTTPS的方法及装置,该方法包括:建立HTTPS网站与指定运算设备之间的认证关系,所述指定运算设备是预先为所述HTTPS网站配置的运算主机或运算集群;通过网络通信协议,采用具有认证关系的指定运算设备对所述HTTPS网站的SSL/TLS握手过程中需私钥解密或签名的数据进行解密或签名运算。本发明专利技术技术方案通过网络通信协议,采用具有认证关系的指定运算设备对HTTPS网站的SSL/TLS握手过程中需私钥解密或签名的数据进行解密或签名运算,解决了HTTPS网站的密码运算瓶颈问题,进而提升系统性能。
【技术实现步骤摘要】
本专利技术涉及通信
,尤其涉及一种加速HTTPS的方法及装置。
技术介绍
HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer,安全套接字层超文本传输协议),是以安全为目标的HTTP通道,即HTTP的安全版。HTTPS的安全基础是SSL/TLS协议,HTTPS默认使用端口443,而不是像HTTP那样默认使用端口80来通信。HTTPS使用X.509数字认证以确认网站或者用户的身份。HTTPS因为安全可靠,并且由浏览器内置支持,被广泛用于互联网的网站和APP。目前,Web服务器已能够很容易使用证书配置HTTPS,由于HTTPS使用的SSL/TLS涉及大量的密码运算,消耗CPU计算资源严重,所以采用HTTPS的网站会影响用户访问速度,而且更容易受到DDoS攻击,导致系统性能下降严重。对此,现有技术中主要存在以下解决方案,一个解决方案是使用专用的硬件加密卡来完成密码运算,以减轻Web服务器的CPU负担。另外一个解决方案是使用前置HTTPS网关来做所谓的SSL/TLS“卸载”工作,用户使用HTTPS和网关通信,网关使用HTTP和后端Web服务器通信。但是,当用户在云计算环境下时,用户使用的是云主机(虚拟机),一方面,比如在公有云的环境下,可能无法直接为Web服务器的云主机加装硬件加密卡,或者为其部署HTTPS网关。另一方面,硬件加密卡和HTTPS网关是非云环境下的产物,整合到云计算环境需要做大量调整和开发,而且硬件加密资源的利用率不高。
技术实现思路
鉴于上述问题,本专利技术提出了一种加速HTTPS的方法及装置,有效地解决了HTTPS网站的密码运算瓶颈问题,提升系统性能。根据本专利技术的第一方面,提供了一种加速HTTPS的方法,该方法包括:建立HTTPS网站与指定运算设备之间的认证关系,所述指定运算设备是预先为所述HTTPS网站配置的运算主机或运算集群;通过网络通信协议,采用具有认证关系的指定运算设备对所述HTTPS网站的SSL/TLS握手过程中需私钥解密或签名的数据进行解密或签名运算。其中,在所述建立HTTPS网站与指定运算设备之间的认证关系之前,所述方法还包括:获取HTTPS网站的RSA或ECC私钥,并将所述RSA或ECC私钥发送至所述指定运算设备,以供所述指定运算设备根据所述RSA或ECC私钥计算对应的ID和口令;接收所述指定运算设备返回的与所述RSA或ECC私钥相对应的ID和口令;相应地,所述建立HTTPS网站与指定运算设备之间的认证关系,进一步包括:在所述HTTPS网站的SSL/TLS握手过程中通过所述ID和口令完成与所述指定运算设备的认证。其中,所述采用具有认证关系的指定运算设备对所述HTTPS网站的SSL/TLS握手过程中需私钥解密或签名的数据进行解密和签名运算,包括:当客户端访问所述HTTPS网站时,根据客户端发起的SSL/TLS握手请求,建立与所述客户端的SSL或TLS握手过程;当HTTPS网站的SSL/TLS握手过程中需进行私钥解密或签名数据的解密或签名运算时,发送所述ID和需要处理的待解密或签名数据到所述指定运算设备,以使所述指定运算设备在认证通过后,
根据所述ID检索对应的RSA或ECC私钥,并根据所述RSA或ECC私钥对需要处理的待解密或签名数据进行解密或者签名运算,并将得到的解密的明文或者签名数据返回给HTTPS网站;接收所述指定运算设备返回的解密的明文或者签名数据,以使所述HTTPS网站根据所述解密的明文或者签名数据完成与所述客户端的SSL或TLS握手过程。其中,所述指定运算设备为运算集群时;所述方法还包括:发送对所述运算集群的API调用请求,以使所述运算集群根据预设的第一均衡策略实现对所述HTTPS网站的通信数据的密码运算。其中,所述指定运算设备为运算集群时;所述方法还包括:采用预设的第二均衡策略向所述运算集群中对应的运算节点发送API请求,以实现对所述HTTPS网站的通信数据的密码运算。根据本专利技术的第二方面,提供了一种加速HTTPS的装置,该装置包括:认证模块,用于建立HTTPS网站与指定运算设备之间的认证关系,所述指定运算设备是预先为所述HTTPS网站配置的运算主机或运算集群;处理模块,用于通过网络通信协议,采用具有认证关系的指定运算设备对所述HTTPS网站的SSL/TLS握手过程中需私钥解密或签名的数据进行解密或签名运算。其中,所述装置还包括:第一发送模块,用于在所述建立HTTPS网站与指定运算设备之间的认证关系之前,获取HTTPS网站的RSA或ECC私钥,并将所述RSA或ECC私钥发送至所述指定运算设备,以供所述指定运算
设备根据所述RSA或ECC私钥计算对应的ID和口令;接收模块,用于接收所述指定运算设备返回的与所述RSA或ECC私钥相对应的ID和口令;相应地,所述认证模块,具体用于在所述HTTPS网站的SSL/TLS握手过程中通过所述ID和口令完成与所述指定运算设备的认证。其中,所述处理模块,包括:建立单元,用于当客户端访问所述HTTPS网站时,根据客户端发起的SSL/TLS握手请求,建立与所述客户端的SSL或TLS握手过程;发送单元,用于当HTTPS网站的SSL/TLS握手过程中需进行私钥解密或签名数据的解密或签名运算时,发送所述ID和需要处理的待解密或签名数据到所述指定运算设备,以使所述指定运算设备在认证通过后,根据所述ID检索对应的RSA或ECC私钥,并根据所述RSA或ECC私钥对需要处理的待解密或签名数据进行解密或者签名运算,并将得到的解密的明文或者签名数据返回给HTTPS网站;接收单元,用于接收所述指定运算设备返回的解密的明文或者签名数据,以使所述HTTPS网站根据所述解密的明文或者签名数据完成与所述客户端的SSL或TLS握手过程。其中,所述指定运算设备为运算集群时;所述装置还包括:第二发送模块,用于发送对所述运算集群的API调用请求,以使所述运算集群根据预设的第一均衡策略实现对所述HTTPS网站的通信数据的密码运算。其中,所述指定运算设备为运算集群时;所述装置还包括:第三发送模块,用于采用预设的第二均衡策略向所述运算集群
中对应的运算节点发送API请求,以实现对所述HTTPS网站的通信数据的密码运算。本专利技术的有益效果为:本专利技术提供的加速HTTPS的方法及装置,通过网络通信协议,采用具有认证关系的指定运算设备对HTTPS网站的SSL/TLS握手过程中需私钥解密或签名的数据进行解密或签名运算,解决了HTTPS网站的密码运算瓶颈,同时对HTTPS网站不带来任何网络拓扑和应用的改变和影响;实现了密码运算的弹性计算,充分利用了密码计算资源;完美支持云主机HTTPS网站,而且与HTTPS网关操作系统和web服务器类型无关;进一步地,由于HTTPS网站不用设置RSA和ECC私钥,增强了HTTPS的安全性。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1为本专利技术实施例提本文档来自技高网...
【技术保护点】
一种加速HTTPS的方法,其特征在于,该方法包括:建立HTTPS网站与指定运算设备之间的认证关系,所述指定运算设备是预先为所述HTTPS网站配置的运算主机或运算集群;通过网络通信协议,采用具有认证关系的指定运算设备对所述HTTPS网站的SSL/TLS握手过程中需私钥解密或签名的数据进行解密或签名运算。
【技术特征摘要】
1.一种加速HTTPS的方法,其特征在于,该方法包括:建立HTTPS网站与指定运算设备之间的认证关系,所述指定运算设备是预先为所述HTTPS网站配置的运算主机或运算集群;通过网络通信协议,采用具有认证关系的指定运算设备对所述HTTPS网站的SSL/TLS握手过程中需私钥解密或签名的数据进行解密或签名运算。2.根据权利要求1所述的方法,其特征在于,在所述建立HTTPS网站与指定运算设备之间的认证关系之前,所述方法还包括:获取HTTPS网站的RSA或ECC私钥,并将所述RSA或ECC私钥发送至所述指定运算设备,以供所述指定运算设备根据所述RSA或ECC私钥计算对应的ID和口令;接收所述指定运算设备返回的与所述RSA或ECC私钥相对应的ID和口令;相应地,所述建立HTTPS网站与指定运算设备之间的认证关系,进一步包括:在所述HTTPS网站的SSL/TLS握手过程中通过所述ID和口令完成与所述指定运算设备的认证。3.根据权利要求2所述的方法,其特征在于,所述采用具有认证关系的指定运算设备对所述HTTPS网站的SSL/TLS握手过程中需私钥解密或签名的数据进行解密和签名运算,包括:当客户端访问所述HTTPS网站时,根据客户端发起的SSL/TLS握手请求,建立与所述客户端的SSL或TLS握手过程;当HTTPS网站的SSL/TLS握手过程中需进行私钥解密或签名数据的解密或签名运算时,发送所述ID和需要处理的待解密或签名数据到所述指定运算设备,以使所述指定运算设备在认证通过后,根据所述ID检索对应的RSA或ECC私钥,并根据所述RSA或ECC私钥对需要处理的待解密或签名数据进行解密或者签名运算,并将
\t得到的解密的明文或者签名数据返回给HTTPS网站;接收所述指定运算设备返回的解密的明文或者签名数据,以使所述HTTPS网站根据所述解密的明文或者签名数据完成与所述客户端的SSL或TLS握手过程。4.根据权利要求1-3任一项所述的方法,其特征在于,所述指定运算设备为运算集群时;所述方法还包括:发送对所述运算集群的API调用请求,以使所述运算集群根据预设的第一均衡策略实现对所述HTTPS网站的通信数据的密码运算。5.根据权利要求1-3任一项所述的方法,其特征在于,所述指定运算设备为运算集群时;所述方法还包括:采用预设的第二均衡策略向所述运算集群中对应的运算节点发送API请求,以实现对所述HTTPS网站的通信数据...
【专利技术属性】
技术研发人员:杜在东,
申请(专利权)人:杜在东,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。