The invention belongs to the field of Internet CDN, and discloses a highly available secure selfless key CDN supporting HTTPS system and method. The system comprises a TLS handshake agent device, a query agent device and a private key management device. The CDN node where the TLS handshake agent device is located does not save the website private key, but sends the data to the website private key management device when it needs to be used. After processing, the private key management device returns the data to the CDN, and the CDN performs subsequent processing. The query proxy device is provided with a buffer queue, and the query proxy device is provided with two main/standby units, and the private key management device is provided with multiple units. The invention enables the CDN to support HTTPS without deploying the private key on the CDN, keeps the private key owner's absolute private control over the private key, and improves the security. Meanwhile, the device in the system of the invention has high availability and can automatically select the best circuit according to the device load and network condition of the private key management device.
【技术实现步骤摘要】
一种高可用的安全无私钥的CDN支持HTTPS的系统及方法
本专利技术涉及互联网CDN领域,尤其是涉及一种高可用的安全无私钥的CDN支持HTTPS的系统及方法。
技术介绍
CDN(ContentDeliveryNetwork,内容分发网络)通过将资源放置到离客户端更近的互联网节点中,使得客户端访问资源时速度更快,目前已经被广泛应用于互联网领域。对于HTTPS类型的网站,通常需要将网站的私钥部署到CDN的节点中。CDN节点在接收到客户端的https访问请求后,先进行TLS(TransportLayerSecurity,安全传输层协议)握手,建立TLS连接,然后进行后续处理。目前,TLS握手具体过程分为两种,RSA类型和DH类型。RSA类型过程如下:1客户端发送clientrandom,支持的加密套件列表2服务端发送serverrandom,公钥,本次会话使用的加密套件3客户端发送经过公钥加密的premaster4服务端使用私钥将加密的premaster解密,获得premaster,然后根据clientrandom、serverrandom、premaster生成sessionkey5客户端根据clientrandom、serverrandom、premaster生成sessionkey6客户端和服务器使用sessionkey作为后续加密的密钥DH类型过程如下:1客户端发送clientrandom,支持的加密套件列表2服务端发送serverrandom,公钥,本次会话使用的加密套件;生成serverDHparam,然后使用私钥对(clientrandom、ser ...
【技术保护点】
1.一种高可用的安全无私钥的CDN支持HTTPS的系统,其特征在于,所述系统包括:TLS握手代理装置、查询代理装置、私钥管理装置,其中,所述TLS握手代理装置,用于在客户端向CDN边缘节点发起https连接请求时,识别握手类型,并根据不同的握手类型向所述查询代理装置发起解密或签名请求;所述查询代理装置,用于接收所述TLS握手代理装置发送的请求并生成查询请求队列,并从所述私钥管理装置列表中选择位于列表头的私钥管理装置,向其发起请求;所述私钥管理装置,用于当收到某个查询代理装置的请求后,加入到私钥请求队列,然后处理私钥请求并形成响应,再将响应结果返回给所述查询代理装置,所述查询代理装置在查询到响应结果后,完成TLS握手。
【技术特征摘要】
1.一种高可用的安全无私钥的CDN支持HTTPS的系统,其特征在于,所述系统包括:TLS握手代理装置、查询代理装置、私钥管理装置,其中,所述TLS握手代理装置,用于在客户端向CDN边缘节点发起https连接请求时,识别握手类型,并根据不同的握手类型向所述查询代理装置发起解密或签名请求;所述查询代理装置,用于接收所述TLS握手代理装置发送的请求并生成查询请求队列,并从所述私钥管理装置列表中选择位于列表头的私钥管理装置,向其发起请求;所述私钥管理装置,用于当收到某个查询代理装置的请求后,加入到私钥请求队列,然后处理私钥请求并形成响应,再将响应结果返回给所述查询代理装置,所述查询代理装置在查询到响应结果后,完成TLS握手。2.根据权利要求1所述的系统,其特征在于,所述查询代理装置包括:查询请求队列单元、查询响应队列单元、查询引擎、私钥管理装置列表单元及私钥管理装置健康检测单元,其中,所述查询请求队列单元,用于接收并保存从TLS握手代理装置发送的待处理的查询请求;所述查询响应队列单元,用于接收从所述私钥管理装置返回的结果,并保存结果至响应队列,等待TLS握手代理装置的问询;所述查询引擎,用于取走请求队列单元队头的请求,并从私钥管理装置列表中选择靠前的私钥管理装置向其发起请求,同时,所述查询引擎接收该私钥管理装置返回的结果,并将该结果放入所述查询响应队列单元的尾部;所述私钥管理装置列表单元,用于对私钥管理装置按照健康度高低排序;所述私钥管理装置列表健康检测单元,用于定期检测各私钥管理装置的健康度。3.根据权利要求2所述的系统,其特征在于,所述健康度包括:响应时间、当前负载量。4.根据权利要求2所述的系统,其特征在于,所述查询代理装置由主查询模块和备用查询模块组成,其中,所述主查询模块主要提供查询请求服务并维护自...
【专利技术属性】
技术研发人员:姚平,朱恒,李强乙,朱健荣,季峰,
申请(专利权)人:苏宁云商集团股份有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。