基于內容分發網絡的企業私鑰自加密自部署方法

基于內容分發網絡的企業私鑰自加密自部署方法
【專利摘要】本發明公開了一種基于內容分發網絡的企業私鑰自加密自部署方法。該方法包括利用私鑰加密客戶端來加密需要部署的內容并發送至內容分發網絡管理中心，其中私鑰加密客戶端允許用戶在加密時自行設定加密密碼；若密文發送成功，則內容分發網絡管理中心生成密文ID，并將密文ID返回給私鑰加密客戶端；若用戶選擇立即進行私鑰部署，則用戶在私鑰加密客戶端輸入密文ID和加密密碼，并與內容分發網絡管理中心平臺連接校驗；內容分發網絡管理中心在收到私鑰加密客戶端的部署指令后，對密文ID所對應的證書和私鑰進行可用性校驗；若證書和私鑰通過可用性校驗，則利用內容分發網絡管理中心平臺進行自助預部署；以及若預部署成功，則用戶進行全部節點自助部署。
【專利說明】基于內容分發網絡的企業私鑰自加密自部署方法
【技術領域】
[0001 ] 本發明涉及內容分發網絡（⑶N)的加密技術，尤其是涉及企業私鑰自設密碼加密、全程密文傳輸、自動部署、部署時間可自控技術。
【背景技術】
[0002]SSL (Secure Sockets Layer,安全套接層)是一種安全協議，目的是為網絡通信提供安全及數據完整性保障。SSL技術在傳輸通信協議（TCP/IP)上實現了安全協議，采用公開密鑰技術，它為TCP/IP連接提供數據加密、服務器認證、消息完整性以及可選的客戶機認證。因此，SSL普遍應用在互聯網敏感數據的傳輸加密，目前已成為互聯網上保密通訊的工業標準。現行的Web瀏覽器也普遍將HTTP和SSL相結合，從而實現安全通信。
[0003]但SSL技術所帶來的頻繁的加密和解密過程，給服務器帶來負擔，因此用戶（例如：企業）選擇利用內容分發網絡（⑶N)進行SSL服務加速。
[0004]現有的基于內容分發網絡的SSL加速方案如圖1所示。
[0005]步驟101 :企業客戶端利用源加密工具生成證書和私鑰加密包，源工具主動推送私鑰加密包或者推送存放加密包的路徑至內容分發網絡平臺。
[0006]步驟102 :內容分發網絡平臺進行加密包保存及基本信息提取。
[0007]步驟103 :內容分發網絡平臺的工作人員驗證證書和私鑰是否可用。
[0008]步驟104 :若證書和私鑰可用，則由內容分發網絡平臺的工作人員利用內容分發網絡平臺對全部節點進行人工`部署，否則進行步驟106，即人工錯誤排查。
[0009]步驟105 :在全部節點部署完畢后，內容分發網絡平臺通知工作人員部署結果。
[0010]然而，現有的SSL加速方案，例如圖1所示的方案，也存在諸多弊端。
[0011]首先，加密工具使用的加密密碼是由工具自帶的、固定單一的。因此，企業無法自行設置密碼，會造成加密后的數據不夠安全，尤其在第三方運營和維護期間，容易被惡意人士破解。
[0012]其次，企業無法立即知道所發送的證書是否可用，如果不可用，企業收到通知后，需要重新進行發送，耗時耗力。
[0013]再次，在證書可用的情況下，企業無法知道證書部署到內容分發網絡的各節點是否能正常提供https服務；企業無法控制證書的部署時間，證書部署時需要由內容分發網絡工作人員操作部署方能生效，從企業角度看，整個流程效率低下。
[0014]因此，亟需一種無需人工介入、高效、且安全度更高的基于內容分發網絡的SSL加速方案。

【發明內容】

[0015]本發明的目的在于解決企業SSL加速過程中私鑰交付和使用產生的安全隱患問題、企業無法自行部署私鑰問題以及無法控制部署時間的問題。本發明通過提供企業自行輸入密碼加密企業私鑰、自行控制部署時間并參與部署過程、全程私鑰加密傳輸自動化部署來降低企業安全顧慮、節約時間、減少人力成本。
[0016]本發明提供了一種基于內容分發網絡的企業私鑰自加密自部署方法，所述方法包括以下步驟:
[0017]利用一私鑰加密客戶端來加密需要部署的內容，其中所述私鑰加密客戶端允許用戶在加密時自行設定加密密碼，其中經加密的需要部署的內容為密文；
[0018]通過所述私鑰加密客戶端將所述密文發送至一內容分發網絡管理中心；
[0019]由所述內容分發網絡管理中心判斷密文發送是否成功，若發送成功，則所述內容分發網絡管理中心生成密文ID，并將所述密文ID返回給所述私鑰加密客戶端；
[0020]所述內容分發網絡管理中心在收到私鑰加密客戶端的部署指令后，對所述密文ID所對應的證書和私鑰進行可用性校驗；
[0021]利用所述內容分發網絡管理中心平臺進行自助預部署，并檢查預部署是否通過；以及
[0022]若所述預部署成功，則所述用戶進行全部節點自助部署。
[0023]在一個實施例中，所述內容分發網絡管理中心將所述密文ID返回給所述私鑰加密客戶端后，所述方法還包括:
[0024]由所述用戶選擇立即進行私鑰部署或者下次私鑰部署；以及
[0025]若所述用戶選擇立即進行私鑰部署，則所述用戶在所述私鑰加密客戶端輸入所述密文ID和所述加密密碼，并與內容分發網絡管理中心平臺連接校驗。
[0026]在一個實施例中，所述利用平臺進行自助預部署，并檢查預部署是否通過的步驟進一步包括以下步驟:
[0027]若所述密文ID對應的證書和私鑰可用，則所述內容分發網絡管理中心將所述證書和私鑰的基本信息發送至所述私鑰加密客戶端；
[0028]所述用戶點擊部署證書和私鑰密文；
[0029]利用所述內容分發網絡管理中心平臺進行自助預部署；
[0030]所述內容分發網絡管理中心檢查預部署是否通過，以使得所述用戶立即知道在證書和私鑰可用的情況下是否可以順利在所述內容分發網絡平臺上提供服務。
[0031]在一個實施例中，若所述內容分發網絡管理中心判斷所述密文發送失敗，所述內容分發網絡管理中心向所述私鑰加密客戶端發出錯誤提示。
[0032]在一個實施例中，若所述證書和私鑰未通過可用性校驗，則所述內容分發網絡管理中心向所述私鑰加密客戶端發出錯誤提示。
[0033]在一個實施例中，若所述內容分發網絡管理中心檢查發現預部署出錯，則所述內容分發網絡管理中心通知所述內容分發網絡的工作人員，并發送錯誤提示至私鑰加密客戶端。
[0034]本發明還提供了一種基于內容分發網絡的私鑰加密客戶端，所述私鑰加密客戶端包括以下模塊:
[0035]選擇模塊，其中用戶選擇私鑰和證書，并自行設定加密密碼；
[0036]加密模塊，利用所述自行設定的加密密碼對私鑰和證書進行加密，以形成密文；
[0037]密文提交模塊，將所述密文或者所述密文存儲的路徑發送至內容分發網絡管理中心;[0038]驗證模塊，若所述密文提交模塊發送的是所述密文存儲的路徑，則所述驗證模塊對所述密文存儲的路徑進行可用性驗證；以及
[0039]密文ID接收模塊，若所述密文存儲的路徑可用且發送成功或者所述密文發送成功，則所述內容分發網絡管理中心生成并發送密文ID，所述密文ID接收模塊接收該密文ID0
[0040]在一個實施例中，所述私鑰加密客戶端還包括:
[0041]錯誤信息接收模塊，所述密文存儲的路徑發送不成功或者所述密文發送不成功，則所述內容分發網絡管理中心生成出錯提示，所述錯誤信息接收模塊接收該出錯提示。
[0042]在一個實施例中，所述密文存儲的路徑是URL地址。
[0043]本發明還提供了一種基于內容分發網絡的私鑰驗證方法，其特征在于，所述方法包括以下步驟:
[0044]接收來自私鑰加密客戶端輸入的密文ID和加密密碼，并對所述密文ID和加密密碼進行驗證，其中所述私鑰加密客戶端允許用戶在加密時自行設定加密密碼，其中經加密的私鑰和證書為密文；
[0045]對所述密文ID進行合法性驗證，若所述密文ID合法且存在，則對所述加密密碼進行驗證，若所述密文ID不正確，則返回對應提示；
[0046]對所述加密密碼進行準確性驗證，若所述加密密碼可用，則對所述證書進行過期驗證；若所述加密密碼不可用，則返回對應錯誤提示；
[0047]對所述證書進行過期驗證，若所述證書未過期，則進行域名驗證；若所述證書已過期，則返回對應錯誤提示；
[0048]對證書域名與加速域名進行匹配驗證，若域名匹配，則進行私鑰密碼對匹配性驗證；若域名不匹配，則返回對應錯誤提示；以及
[0049]對私鑰密碼對進行匹配性驗證，若兩者相互匹配，則返回證書整體基礎信息；若不匹配，則返回對應錯誤提示。
【專利附圖】

【附圖說明】
[0050]本發明的以上
【發明內容】
以及下面的【具體實施方式】在結合附圖閱讀時會得到更好的理解。需要說明的是，附圖僅作為所請求保護的發明的示例。在附圖中，相同的附圖標記代表相同或類似的元素。
[0051]圖1示出現有技術的基于內容分發網絡的SSL加速方案；
[0052]圖2示出根據本發明的一個實施例的總體業務流程圖；
[0053]圖3示出根據本發明的一個實施例的客戶端的工作流程圖；
[0054]圖4示出根據本發明的一個實施例的內容分發網絡調度管理中心進行私鑰驗證的流程圖；以及
[0055]圖5示出根據本發明的一個實施例的部署過程流程圖。
【具體實施方式】
[0056]以下在【具體實施方式】中詳細敘述本發明的詳細特征以及優點，其內容足以使任何本領域技術人員了解本發明的技術內容并據以實施，且根據本說明書所揭露的說明書、權利要求及附圖，本領域技術人員可輕易地理解本發明相關的目的及優點。
[0057]本發明的技術方案主要涉及私鑰加密客戶端、內容分發網絡管理中心、內容分發網絡服務器客戶端三者相互配合并完成部署的過程。
[0058]該方法包括以下幾個要點:
[0059]( I)私鑰加密客戶端利用企業自設的加密密碼對SSL私鑰和證書加密。
[0060](2)私鑰加密客戶端發送密文至內容分發網絡管理中心。
[0061](3)內容分發網絡管理中心賦予每個密文單獨的ID。
[0062](4)內容分發網絡管理中心審核證書和私鑰并將審核結果、審核信息返回給私鑰加密客戶端。
[0063](5)內容分發網絡管理中心相關部署參數的設置。
[0064](6)內容分發網絡管理中心對內容分發網絡服務器客戶端和私鑰加密客戶端的管理。
[0065](7)內容分發網絡管理中心針對異常進行報警、部署結果通知以及部署過程的日志記錄。
[0066]圖2是根據本發明的一個實施例的總體業務流程圖。
[0067]步驟201:用戶(例如:企業)利用私鑰加密客戶端來加密需要部署的內容，例如私鑰和證書。該私鑰加密客戶端允許用戶在加密時自行設定加密密碼，以進一步保證私鑰和證書的安全性，使得私鑰和證書不易被破解。
[0068]步驟202:私鑰加密客戶端發送密文至內容分發網絡管理中心，其中所述密文為經加密的需要部署的內容。
[0069]步驟203:內容分發網絡管理中心判斷密文發送是否成功。若發送失敗，則在步驟205處，內容分發網絡管理中心給出錯誤提示；若發送成功，則在步驟204處，內容分發網絡管理中心生成密文ID并返回給私鑰加密客戶端。
[0070]用戶可選擇立即進行私鑰部署或者下次部署，即操作權限交給用戶，用戶可根據自己的意愿來決定證書是現在生效還是以后生效。
[0071]若用戶選擇立即部署時，則在步驟206處，用戶需要在私鑰加密客戶端輸入密文ID和加密密碼并與內容分發網絡管理中心平臺連接校驗。
[0072]步驟207:收到私鑰加密客戶端部署指令后，內容分發網絡管理中心將對密文ID所對應的證書和私鑰進行可用性校驗，用戶可以立即知道所發送的證書和私鑰是否可用。
[0073]步驟208:若證書和私鑰可用，則利用平臺進行自助預部署，并檢查預部署是否通過。用戶可以立即知道在證書和私鑰可用的情況下，是否可以順利在內容分發網絡平臺上提供服務。
[0074]在一個實施例中，步驟208還可包括以下幾個步驟:
[0075]步驟208-1:若證書和私鑰可用，則內容分發網絡管理中心將證書和私鑰的基本信息發送至私鑰加密客戶端。
[0076]步驟208-2:用戶點擊部署證書和私鑰密文。
[0077]步驟208-3:利用內容分發網絡管理中心平臺進行自助預部署。
[0078]步驟208-4:內容分發網絡管理中心檢查預部署是否通過。用戶可以立即知道在證書和私鑰可用的情況下，是否可以順利在內容分發網絡平臺上提供服務。[0079]步驟209:若加密密碼對可用，預部署出錯，內容分發網絡管理中心通知內容分發網絡工作人員，并在步驟210處，返回錯誤提示給客戶端，由內容分發網絡工作人員進行排錯。
[0080]步驟211:若預部署成功，則用戶可以進行全部節點自助部署，從而大大提高證書和私鑰的部署及服務效率。
[0081]圖3是根據本發明的一個實施例的私鑰加密客戶端的工作流程圖。
[0082]步驟301:用戶選擇私鑰和證書，自輸入密碼對文件進行加密。
[0083]步驟302:私鑰加密客戶端對需要部署的內容進行加密。
[0084]步驟303:加密完成后，用戶直接提交密文或者發送密文存儲路徑至內容分發網
絡管理中心。
[0085]在一個實施例中，密文存儲路徑可以是URL地址。
[0086]步驟304:若發送URL至內容分發網絡管理中心，則私鑰加密客戶端將對URL進行可用性驗證。
[0087]步驟305:若URL可用且發送成功或者密文發送成功，則在步驟306處，內容分發網絡管理中心返回密文ID至私鑰加密客戶端，否則在步驟307處，提示出錯。
[0088]在一個實施例中，本發明還提供了一種基于內容分發網絡的私鑰加密客戶端。該私鑰加密客戶端可以包括以下幾個模塊:
[0089]選擇模塊，其中用戶選擇私鑰和證書，并自行設定加密密碼；
[0090]加密模塊，利用所述自行設定的加密密碼對需要部署的內容進行加密，以形成密文；
[0091]密文提交模塊，將所述密文或者所述密文存儲的路徑發送至內容分發網絡管理中心;
[0092]驗證模塊，若所述密文提交模塊發送的是所述密文存儲的路徑，則所述驗證模塊對所述密文存儲的路徑進行可用性驗證；
[0093]密文ID接收模塊，若所述密文存儲的路徑可用且發送成功或者所述密文發送成功，則所述內容分發網絡管理中心生成并發送密文ID，所述密文ID接收模塊接收該密文ID ；
[0094]錯誤信息接收模塊，所述密文存儲的路徑發送不成功或者所述密文發送不成功，則所述內容分發網絡管理中心生成出錯提示，所述錯誤信息接收模塊接收該出錯提示。
[0095]圖4是根據本發明一個實施例的內容分發網絡管理中心對私鑰的驗證原理圖。
[0096]步驟401:內容分發網絡管理中心接收來自私鑰加密客戶端的密文ID和加密密碼，并對密文ID和加密密碼進行驗證。
[0097]步驟402:進行密文ID合法性驗證，若密文ID合法且存在則進行加密密碼驗證，若ID不正確則返回對應提示。
[0098]步驟403:進行加密密碼準確性驗證。若加密密碼可用，則進行過期驗證；若加密密碼不可用，則返回對應錯誤提示。
[0099]步驟404:進行證書過期驗證。若證書未過期，則進行域名驗證；若證書已過期，則返回對應錯誤提示。
[0100]步驟405:進行私鑰等綁定域名與加速域名是否匹配驗證。若域名匹配，則進行密碼對匹配性驗證；若域名不匹配，則返回對應錯誤提示。
[0101]步驟406:進行密碼對匹配性驗證。若兩者相互匹配，則返回證書整體基礎信息；若不匹配，則返回對應錯誤提示。
[0102]圖5是根據本發明的一個實施例的部署過程流程圖。
[0103]步驟501:由內容分發網絡管理中心下發加密包到內容分發網絡節點。
[0104]步驟502:內容分發網絡節點驗證加密包是否完整。
[0105]步驟503:若加密包完整，則內容分發網絡節點將密文存放于指定位置；若不完整，則反饋信息至內容分發網絡管理中心，由管理中心重新下發加密包。
[0106]步驟504:部署完畢后，內容分發網絡節點反饋信息至內容分發網絡管理中心。
[0107]步驟505:內容分發網絡管理中心做日志記錄、更改對應狀態。
[0108]步驟506:通知內容分發網絡服務人員。
[0109]采用本發明的技術方案，本發明解決了企業SSL加速過程中私鑰交付和使用產生的安全隱患問題、企業無法自行部署私鑰問題以及無法控制部署時間的問題。本發明通過提供企業自行輸入密碼加密企業私鑰、自行控制部署時間并參與部署過程、全程私鑰加密傳輸自動化部署來降低企業安全顧慮、節約時間、減少人力成本。
[0110]本發明采用的術語和表述方式只是用于描述，本發明并不應局限于這些術語和表述。使用這些術語和表述并不意味著排除任何示意和描述(或其中部分)的等效特征，應認識到可能存在的各種修改也應包含在權利要求范圍內。其他修改、變化和替換也可能存在。相應的，權利要求應視為覆蓋所有這些等效物。
[0111]同樣，需要指出的是，雖然本發明已參照當前的具體實施例來描述，但是本【技術領域】中的普通技術人員應當認識到，以上的實施例僅是用來說明本發明，在沒有脫離本發明精神的情況下還可做出各種等效的變化或替換，因此，只要在本發明的實質精神范圍內對上述實施例的變化、變型都將落在本申請的權利要求書的范圍內。
【權利要求】
1.一種基于內容分發網絡的企業私鑰自加密自部署方法，其特征在于，所述方法包括: 利用一私鑰加密客戶端來加密需要部署的內容，其中所述私鑰加密客戶端允許用戶在加密時自行設定加密密碼，其中經加密的需要部署的內容為密文； 通過所述私鑰加密客戶端將所述密文發送至一內容分發網絡管理中心； 由所述內容分發網絡管理中心判斷密文發送是否成功，若發送成功，則所述內容分發網絡管理中心生成密文ID，并將所述密文ID返回給所述私鑰加密客戶端； 所述內容分發網絡管理中心在收到私鑰加密客戶端的部署指令后，對所述密文ID所對應的證書和私鑰進行可用性校驗； 利用所述內容分發網絡管理中心平臺進行自助預部署，并檢查預部署是否通過；以及 若所述預部署成功，則所述用戶進行全部節點自助部署。
2.根據權利要求1所述的方法，其特征在于，所述內容分發網絡管理中心將所述密文ID返回給所述私鑰加密客戶端后，所述方法還包括: 由所述用戶選擇立即進行私鑰部署或者下次私鑰部署；以及 若所述用戶選擇立即進行私鑰部署，則所述用戶在所述私鑰加密客戶端輸入所述密文ID和所述加密密碼，并與內容分發網絡管理中心平臺連接校驗。
3.根據權利要求1所述的方法，其特征在于，所述利用平臺進行自助預部署，并檢查預部署是否通過的步驟還包括: 若所述密文ID所對應的證書和私鑰通過可用性校驗，則所述內容分發網絡管理中心將所述證書和私鑰的基本信息發送至所述私鑰加密客戶端； 所述用戶點擊部署證書和私鑰密文； 利用所述內容分發網絡管理中心平臺進行自助預部署； 所述內容分發網絡管理中心檢查預部署是否通過，以使得所述用戶立即知道在所述證書和私鑰可用的情況下是否可以順利在所述內容分發網絡平臺上提供服務。
4.根據權利要求1所述的方法，其特征在于，若所述內容分發網絡管理中心判斷所述密文發送失敗，則所述內容分發網絡管理中心向所述私鑰加密客戶端發出錯誤提示。
5.根據權利要求1所述的方法，其特征在于，若所述證書和私鑰未通過可用性校驗，則所述內容分發網絡管理中心向所述私鑰加密客戶端發出錯誤提示。
6.根據權利要求3所述的方法，其特征在于，若所述內容分發網絡管理中心檢查發現預部署出錯，則所述內容分發網絡管理中心通知所述內容分發網絡的工作人員，并發送錯誤提示至所述私鑰加密客戶端。
7.一種基于內容分發網絡的私鑰加密客戶端，其特征在于，所述私鑰加密客戶端包括: 選擇模塊，其中用戶選擇私鑰和證書，并自行設定加密密碼； 加密模塊，利用所述自行設定的加密密碼對所述私鑰和證書進行加密，以形成密文；密文提交模塊，將所述密文或者所述密文存儲的路徑發送至內容分發網絡管理中心；驗證模塊，若所述密文提交模塊發送的是所述密文存儲的路徑，則所述驗證模塊對所述密文存儲的路徑進行可用性驗證； 密文ID接收模塊，若所 述密文存儲的路徑可用且發送成功或者所述密文發送成功，則所述內容分發網絡管理中心生成并發送密文ID，所述密文ID接收模塊接收該密文ID。
8.如權利要求7所述的私鑰加密客戶端，其特征在于，所述私鑰加密客戶端還包括: 錯誤信息接收模塊，所述密文存儲的路徑發送不成功或者所述密文發送不成功，則所述內容分發網絡管理中心生成出錯提示，所述錯誤信息接收模塊接收該出錯提示。
9.如權利要求7所述的私鑰加密客戶端，其特征在于，所述密文存儲的路徑是URL地址。
10.一種基于內容分發網絡的私鑰驗證方法，其特征在于，所述方法包括: 接收來自私鑰加密客戶端輸入的密文ID和加密密碼，并對所述密文ID和加密密碼進行驗證，其中所述私鑰加密客戶端允許用戶在加密時自行設定加密密碼，其中經加密的私鑰和證書為密文； 對所述密文ID進行合法性驗證，若所述密文ID合法且存在，則對所述加密密碼進行驗證，若所述密文ID不正確,則返回對應提示； 對所述加密密碼進行準確性驗證，若所述加密密碼可用，則對所述證書進行過期驗證；若所述加密密碼不可用，則返回對應錯誤提示； 對所述證書進行過期驗證，若所述證書未過期，則進行域名匹配驗證；若所述證書已過期，則返回對應錯誤提示；` 對證書域名與加速域名進行匹配驗證，若域名匹配，則進行私鑰密碼對匹配性驗證；若域名不匹配，則返回對應錯誤提示；以及 對私鑰密碼對進行匹配性驗證，若兩者相互匹配，則返回證書整體基礎信息；若不匹配，則返回對應錯誤提示。
【文檔編號】H04L9/08GK103825906SQ201410097098
【公開日】2014年5月28日 申請日期:2014年3月14日 優先權日:2014年3月14日
【發明者】洪珂, 梁龍虎, 周炬蓉 申請人:網宿科技股份有限公司