CN104967590B - 一种传输通信消息的方法、装置和*** - Google Patents
一种传输通信消息的方法、装置和*** Download PDFInfo
- Publication number
- CN104967590B CN104967590B CN201410480115.5A CN201410480115A CN104967590B CN 104967590 B CN104967590 B CN 104967590B CN 201410480115 A CN201410480115 A CN 201410480115A CN 104967590 B CN104967590 B CN 104967590B
- Authority
- CN
- China
- Prior art keywords
- terminal
- server
- service server
- communication information
- cdn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/563—Data redirection of data network streams
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
- H04L67/63—Routing a service request depending on the request content or context
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种传输通信消息的方法、装置和***,属于互联网技术领域。所述方法包括:接收终端发送的握手请求消息;根据预先存储的域名和业务服务器地址的对应关系,确定所述握手请求消息中携带的目标域名对应的目标业务服务器地址;向所述目标业务服务器地址对应的目标业务服务器转发所述握手请求消息,以使所述目标业务服务器与所述终端进行握手处理过程;对所述终端和所述目标业务服务器之间的后续的通信消息进行透传。采用本发明,可以提高传输通信消息的安全性。
Description
技术领域
本发明涉及互联网技术领域,特别涉及一种传输通信消息的方法、装置和***。
背景技术
随着互联网技术的发展,Web(网络)服务成为互联网上最重要、最广泛的业务方式之一。对于Web服务中数据的传输方式,现有技术提出了HTTPS(Hyper Text TransferProtocol over Secure Socket Layer,超文本传输安全协议),来实现对传输数据的加密,以增强数据传输的安全性。
为了加快终端访问Web服务器(也可称为业务服务器)的响应速度,可以在网络中设置CDN(Content Delivery Network,内容分发网络)服务器,CDN服务器上部署有服务器提供的私钥和证书,证书中包含与私钥对应的公钥以及业务服务器的服务器身份信息,服务器身份信息可以用于终端对CDN的身份验证,私钥和公钥可以用于对传输的数据进行加密和解密。CDN服务器可以在握手处理过程中,将证书发送给终端。当使用HTTPS协议进行数据传输时,终端可以向CDN服务器发送HTTPS请求,CDN服务器接收到HTTPS请求后,使用自身部署的私钥对HTTPS请求进行解密,获取HTTPS请求中的域名,然后根据域名确定业务服务器地址,进而将HTTPS请求发送给业务服务器;业务服务器接收到该请求后,将相应的数据返回给该CDN服务器,CDN服务器使用自身部署的私钥对数据进行加密,然后将数据发送给终端,完成数据传输。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:
CDN服务器需要对HTTPS请求进行解密,以确定业务服务器地址,因此,业务服务器需要将自身的私钥部署在CDN服务器上,容易造成私钥的数据泄露,从而,降低传输数据的安全性。
发明内容
为了解决现有技术的问题,本发明实施例提供了一种传输通信消息的方法、装置和***。所述技术方案如下:
第一方面,提供了一种传输通信消息的方法,所述方法包括:
接收终端发送的握手请求消息;
根据预先存储的域名和业务服务器地址的对应关系,确定所述握手请求消息中携带的目标域名对应的目标业务服务器地址;
向所述目标业务服务器地址对应的目标业务服务器转发所述握手请求消息,以使所述目标业务服务器与所述终端进行握手处理过程;
对所述终端和所述目标业务服务器之间的后续的通信消息进行透传。
第二方面,提供了一种传输通信消息的方法,所述方法包括:
接收内容分发网络CDN服务器转发的终端的握手请求消息;
与所述终端进行握手处理过程;
通过所述CDN服务器的透传,与所述终端进行通信消息的传输。
第三方面,提供了一种CDN服务器,所述CDN服务器包括:
接收模块,用于接收终端发送的握手请求消息;
确定模块,用于根据预先存储的域名和业务服务器地址的对应关系,确定所述握手请求消息中携带的目标域名对应的目标业务服务器地址;
发送模块,用于向所述目标业务服务器地址对应的目标业务服务器转发所述握手请求消息,以使所述目标业务服务器与所述终端进行握手处理过程;对所述终端和所述目标业务服务器之间的后续的通信消息进行透传。
第四方面,提供了一种业务服务器,所述业务服务器包括:
接收模块,用于接收内容分发网络CDN服务器转发的终端的握手请求消息;
处理模块,用于与所述终端进行握手处理过程;通过所述CDN服务器的透传,与所述终端进行通信消息的传输。
第五方面,提供了一种传输通信消息的***,所述***包括终端、内容分发网络CDN服务器和业务服务器,其中:
所述CDN服务器,用于接收所述终端发送的握手请求消息;根据预先存储的域名和业务服务器地址的对应关系,确定所述握手请求消息中携带的目标域名对应的目标业务服务器地址;向所述目标业务服务器地址对应的目标业务服务器转发所述握手请求消息,以使所述目标业务服务器与所述终端进行握手处理过程;对所述终端和所述目标业务服务器之间的后续的通信消息进行透传;
所述业务服务器,用于接收所述CDN服务器转发的终端的握手请求消息;与所述终端进行握手处理过程;通过所述CDN服务器的透传,与所述终端进行通信消息的传输。
本发明实施例提供的技术方案带来的有益效果是:
本发明实施例中,接收终端发送的携带有目标域名的握手请求消息;根据预先存储的域名和业务服务器地址的对应关系,确定目标域名对应的目标业务服务器地址;向目标业务服务器地址对应的目标业务服务器转发该握手请求消息,以使目标业务服务器与终端进行握手处理过程;对终端和目标业务服务器之间的后续的通信消息进行透传。这样,CDN服务器对终端和目标业务服务器之间的通信消息进行透传,因此,无需将私钥部署在CDN服务器上,从而可以提高传输通信消息的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种传输通信消息的方法流程图;
图2是本发明实施例提供的一种传输通信消息的方法流程图;
图3是本发明实施例提供的一种传输通信消息的方法流程图;
图4是本发明实施例提供的一种***框架图;
图5是本发明实施例提供的一种CDN服务器的结构示意图;
图6是本发明实施例提供的一种业务服务器的结构示意图;
图7是本发明实施例提供的一种CDN服务器的结构示意图;
图8是本发明实施例提供的一种业务服务器的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例一
本发明实施例提供了一种传输通信消息的方法,该方法可以由CDN服务器和业务服务器共同实现。
如图1所示,该方法中CDN服务器的处理流程可以包括如下的步骤:
步骤101,接收终端发送的握手请求消息。
步骤102,根据预先存储的域名和业务服务器地址的对应关系,确定所述握手请求消息中携带的目标域名对应的目标业务服务器地址。
步骤103,向目标业务服务器地址对应的目标业务服务器转发该握手请求消息,以使目标业务服务器与终端进行握手处理过程。
步骤104,对终端和目标业务服务器之间的后续的通信消息进行透传。
如图2所示,该方法中业务服务器的处理流程可以包括如下的步骤:
步骤201,接收内容分发网络CDN服务器转发的终端的握手请求消息。
步骤202,与终端进行握手处理过程。
步骤203,通过CDN服务器的透传,与终端进行通信消息的传输。
本发明实施例中,接收终端发送的携带有目标域名的握手请求消息;根据预先存储的域名和业务服务器地址的对应关系,确定目标域名对应的目标业务服务器地址;向目标业务服务器地址对应的目标业务服务器转发该握手请求消息,以使目标业务服务器与终端进行握手处理过程;对终端和目标业务服务器之间的后续的通信消息进行透传。这样,CDN服务器对终端和目标业务服务器之间的通信消息进行透传,因此,无需将私钥部署在CDN服务器上,从而可以提高传输通信消息的安全性。
实施例二
本发明实施例提供了一种传输通信消息的方法,该方法可以由CDN服务器和业务服务器共同实现。其中,业务服务器可以是某网站的服务器。如图4所示,为本发明实施例的***框架图,其中包括终端、CDN服务器和业务服务器。
如图3所示,该方法的处理流程可以包括如下的步骤:
步骤301,CDN服务器接收终端发送的握手请求消息。
其中,握手请求消息是终端向CDN服务器发送的发起握手处理的消息,用于获取数据加密传输时使用的证书,该握手处理可以为SSL(Secure SocketsLayer,安全套接层)握手处理,握手请求消息可以为Client Hello(客户端问候)消息。
在实施中,当用户需要在终端访问某网站时,可以在浏览器中点击该网站对应的链接,终端则会检测到对应该链接的点击指令,此时可以触发终端向CDN服务器发送握手请求消息,握手请求消息中,可以携带有该网站的域名(即目标域名),CDN服务器可以接收该握手请求消息,并对握手请求消息进行解析,获取握手请求消息中的域名,握手请求消息中还可以携带终端支持的加密算法列表等信息。例如,用户在终端的浏览器中,点击拍拍网对应的链接,则终端可以检测到对应该链接的点击指令,此时可以触发终端向CDN服务器发送携带有域名为www.paipai.com的握手请求消息,CDN服务器可以接收该握手请求消息,并对握手请求消息进行解析,获取其中的域名www.paipai.com。
可选的,如果握手请求消息中未携带有目标域名,则可以拒绝该握手请求消息。
在实施中,如果终端的浏览器不支持SNI(Server Name Indication服务器名字指示),则终端向CDN服务器发送握手请求消息中,不携带网站的域名(即目标域名),CDN服务器接收到该握手请求消息后,对接收到的握手请求消息进行解析,如果确定该握手请求消息中未携带有目标域名,则CDN服务器可以拒绝该握手请求消息。CDN服务器拒绝握手请求消息的方式可以多种多样,可以向终端返回拒绝消息,或者,可以忽略该握手请求消息,或者,可以向预设的默认服务器地址发送该握手请求消息,默认服务器可以返回携带有自身的证书的握手反馈消息,终端可以接收握手反馈消息,对握手反馈消息进行解析,获取证书中的域名,如果该证书中的域名不是用户访问的域名,则向用户提示访问出错。
步骤302,CDN服务器根据预先存储的域名和业务服务器地址的对应关系,确定握手请求消息中携带的目标域名对应的目标业务服务器地址。
在实施中,网站的业务服务器可以预先在CDN服务器登记自身的服务器信息,如网站的域名和业务服务器的IP(Internet Protocol,网络之间互连的协议)地址等信息,其中,业务服务器的IP地址即业务服务器地址。CDN服务器可以建立域名和IP地址的对应关系表,如表1:
表1域名和业务服务器的IP地址的对应关系表
| 域名 | 业务服务器的IP地址 |
| www.paipai.com | 240.395.0.2 |
| www.sohu.com | 240.186.3.2 |
| www.***.com | 240.514.1.7 |
当CDN服务器获取目标域名后,可以在上述对应关系表中查询目标域名是否为已记录的域名,如果目标域名为已记录的域名,则可以获取目标域名对应的业务服务器地址(即目标业务服务器地址)。例如,CDN服务器获取目标域名www.paipai.com之后,可以在上述对应关系表中进行查询,经查询,www.paipai.com为已记录的域名,则CDN服务器可以获取www.paipai.com对应的业务服务器地址240.395.0.2。
可选的,CDN服务器根据预先存储的域名和业务服务器地址的对应关系,确定目标域名对应的目标业务服务器地址之后,还可以存储终端与目标业务服务器的对应关系。
在实施中,终端向CDN服务器发送握手请求消息之前,可以通过网络与CDN服务器之间建立TCP(Transmission Control Protocol,传输控制协议)连接,CDN服务器可以为该TCP连接分配第一端口,并记录相应的第一端口标识。当CDN服务器确定目标域名对应的目标业务服务器地址之后,可以通过网络与目标业务服务器之间建立TCP连接,并为该TCP连接分配第二端口,并记录相应的第二端口标识。CDN服务器可以将第一端口标识与第二端口标识对应的进行存储,建立端口标识的对应关系,即终端与目标业务服务器的对应关系。CDN服务器还可以接收多个终端发送的携带有同一目标域名的握手请求消息,每接收到一个握手请求消息,CDN服务器都可以建立一个与目标业务服务器之间的TCP连接,进而CDN服务器可以存储多对端口标识的对应关系。
步骤303,CDN服务器向目标业务服务器地址对应的目标业务服务器转发该握手请求消息,以使目标业务服务器与终端进行握手处理过程。
在实施中,当CDN服务器获取目标域名对应的目标业务服务器地址之后,CDN服务器可以向该目标业务服务器地址发送相应的握手请求消息。例如,CDN服务器获取www.paipai.com对应的目标业务服务器地址240.395.0.2之后,可以根据240.395.0.2与拍拍网服务器建立TCP连接,然后可以将握手请求消息通过该TCP连接发送给拍拍网服务器。
步骤304,目标业务服务器接收CDN服务器转发的终端的握手请求消息。
在实施中,目标业务服务器可以接收CDN服务器转发的终端的握手请求消息,并对握手请求消息进行解析,获取握手请求消息中携带的终端支持的加密算法列表等信息,以便在握手处理过程中,使用相应的加密算法,对传输的数据进行加解密处理。
步骤305,目标业务服务器与终端进行握手处理过程。
其中,握手处理过程是终端获取目标业务服务器的公钥、业务服务器与终端之间确认传输数据时采用的加密算法以及终端对业务服务器进行身份认证的过程。
在实施中,业务服务器可以预先设置一对公钥和私钥,私钥由业务服务器保存在本地,用于业务服务器对传输数据进行加解密,公钥则存储在证书中,以便发送给终端,用于终端对传输数据进行加解密,证书中还包含有业务服务器的服务器身份信息,服务器身份信息可以用于终端对CDN服务器的身份验证。目标业务服务器接收到握手请求消息之后,可以将终端支持的加密算法列表中的一种或几种加密算法确定为握手处理过程期间使用的加密算法,并向终端发送携带有确定出的握手处理过程期间使用的加密算法和证书等信息的握手反馈消息(或称Server Hello消息,服务器问候消息)。终端接收到握手反馈消息后,可以对握手反馈消息中的证书中的服务器身份信息进行校验,验证服务器身份信息的合法性,并获取证书中目标业务服务器的公钥,以便后续对数据进行加密或解密处理。
可选的,可以由CDN服务器来转发终端与目标业务服务器之间的通信消息,相应的,步骤305的处理可以如下:目标业务服务器通过CDN服务器的透传,与终端进行握手处理过程。
在实施中,目标业务服务器接收到握手请求消息之后,可以将握手反馈消息发送给CDN服务器,CDN服务器的第二端口则可以接收到目标业务服务器发送的信息,CDN服务器可以获取该信息和第二端口标识,然后在已存储的端口标识的对应关系中,查询与第二端口标识对应的端口标识(即第一端口标识),进而确定第一端口标识对应的第一端口,然后向第一端口发送握手反馈消息。这样,该握手反馈消息可以通过CDN服务器与终端之间的TCP连接发送给终端。同理,当终端通过CDN服务器向目标业务服务器发送消息时,处理过程相同,即CDN服务器可以实现对目标业务服务器和终端之间的通信消息的透传,以使目标业务服务器和终端可以快速的完成握手处理过程。
步骤306,CDN服务器对终端和目标业务服务器之间的后续的通信消息进行透传。
其中,通信消息可以是数据请求消息、数据响应消息等任意类型的消息。
在实施中,终端和目标业务服务器完成握手处理过程之后,CDN服务器在接收到终端和目标业务服务器的通讯消息时,可以不对通讯消息进行解析处理,将通信消息进行透传,以加快终端访问目标业务服务器的响应速度。
可选的,步骤306的处理过程可以如下:当CDN服务器接收到终端向目标业务服务器发送的第一通信消息时,将第一通信消息透传给目标业务服务器;当CDN服务器接收到目标业务服务器向终端发送的第二通信消息时,将第二通信消息透传给终端。
在实施中,终端可以通过与CDN服务器建立的TCP连接发送通信消息,CDN服务器的第一端口则可以接收到终端发送的通信消息,CDN服务器可以获取该通信消息和第一端口标识,然后在已存储的端口标识的对应关系中,查询与第一端口标识对应的端口标识(即第二端口标识),进而确定第二端口标识对应的第二端口,然后向第二端口发送接收到的终端的通信消息,这样,该通信消息可以通过CDN服务器与业务服务器之间的TCP连接发送给业务服务器。同理,目标业务服务器可以通过与CDN服务器建立的TCP连接向CDN服务器发送通信消息,CDN服务器的第二端口则可以接收到目标业务服务器发送的通信消息,CDN服务器可以获取该通信消息和第二端口标识,然后在已存储的端口标识的对应关系中,查询与第二端口标识对应的端口标识(即第一端口标识),进而确定第一端口标识对应的第一端口,然后向第一端口发送接收到的目标业务服务器的通信消息,这样,该通信消息可以通过CDN服务器与终端之间的TCP连接发送给终端。
步骤307,目标业务服务器通过CDN服务器的透传,与终端进行通信消息的传输。
可选的,目标业务服务器可以对通信消息进行加密或解密的处理,相应的,步骤307的处理过程可以如下:当目标业务服务器接收到CDN服务器透传的终端的第一通信消息时,使用预先存储的私钥对第一通信消息进行解密,对解密后的第一通信消息进行处理;当目标业务服务器存在需要发送给终端的第二通信消息时,使用预先存储的私钥对第二通信消息进行加密,将加密后的第二通信消息通过CDN服务器透传给终端。
在实施中,当终端向目标业务服务器地址发送数据时,终端可以使用公钥对数据进行加密,生成可以在网络中安全传输的通信消息,进而可以向CDN服务器发送该通信消息(即第一通信消息),CDN服务器可以接收到第一通信消息,并按照上述步骤中的处理方式将第一通信消息透传给目标业务服务器,目标业务服务器接收到第一通信消息后,可以使用自身存储的私钥对第一通信消息进行解密,获取其中的信息,进而进行相应的处理。例如,用户通过终端在拍拍网的登录页面上进行登录操作,当用户输入用户名和登录密码之后,用户可以点击登录按钮,终端则会检测到相应的登录指令,然后终端可以使用公钥对登录请求、用户名和用户密码等信息进行加密处理,生成可以在网络中安全传输的通信消息(即第一通信消息),并向CDN服务器发送第一通信消息,CDN服务器可以接收第一通信消息,并将第一通信消息透传给拍拍网服务器,拍拍网服务器可以接收第一通信消息,并使用自身存储的私钥对第一通信消息中的内容进行解密处理,获取第一通信消息中的登录请求、用户名和用户密码,拍拍网服务器可以对用户名和用户密码进行验证,如果用户名和用户密码正确,则对该用户名对应的账户进行登陆处理。
当目标业务服务器接收到终端发送的数据请求后,目标业务服务器可以将相应的数据发送给终端,目标业务服务器可以使用自身存储的私钥对待传输的数据进行加密处理,生成可以在网络中安全传输的通信消息(即第二通信消息),并向CDN服务器发送第二通信消息,CDN服务器可以接收到第二通信消息,并将第二通信消息透传给终端。例如,拍拍网服务器接收到某用户的登陆请求后,将该用户的账户信息(如头像信息等)发送给终端,拍拍网服务器可以使用自身存储的私钥对该用户的账户信息进行加密处理,生成第二通信消息,并向CDN服务器发送第二通信消息,CDN服务器可以接收第二通信消息,并将第二通信消息透传给终端,终端可以接收第二通信消息,并使用之前在握手处理过程从证书中获取的公钥对第二通信消息进行解密处理,获取第二通信消息中的账户信息。
本发明实施例中,接收终端发送的携带有目标域名的握手请求消息;根据预先存储的域名和业务服务器地址的对应关系,确定目标域名对应的目标业务服务器地址;向目标业务服务器地址对应的目标业务服务器转发该握手请求消息,以使目标业务服务器与终端进行握手处理过程;对终端和目标业务服务器之间的后续的通信消息进行透传。这样,CDN服务器对终端和目标业务服务器之间的通信消息进行透传,因此,无需将私钥部署在CDN服务器上,从而可以提高传输通信消息的安全性。
实施例三
基于相同的技术构思,本发明实施例还提供了一种CDN服务器,如图5所示,所述CDN服务器包括:
接收模块510,用于接收终端发送的握手请求消息;
确定模块520,用于根据预先存储的域名和业务服务器地址的对应关系,确定所述握手请求消息中携带的目标域名对应的目标业务服务器地址;
发送模块530,用于向所述目标业务服务器地址对应的目标业务服务器转发所述握手请求消息,以使所述目标业务服务器与所述终端进行握手处理过程;对所述终端和所述目标业务服务器之间的后续的通信消息进行透传。
可选的,所述发送模块530,用于:
当接收到所述终端向所述目标业务服务器发送的第一通信消息时,将所述第一通信消息透传给所述目标业务服务器;
当接收到所述目标业务服务器向所述终端发送的第二通信消息时,将所述第二通信消息透传给所述终端。
可选的,所述确定模块520,还用于:
如果所述握手请求消息中未携带有目标域名,则拒绝所述握手请求消息。
基于相同的技术构思,本发明实施例还提供了一种业务服务器,如图6所示,所述业务服务器包括:
接收模块610,用于接收内容分发网络CDN服务器转发的终端的握手请求消息;
处理模块620,用于与所述终端进行握手处理过程;通过所述CDN服务器的透传,与所述终端进行通信消息的传输。
可选的,所述处理模块620,用于:
通过所述CDN服务器的透传,与所述终端进行握手处理过程。
可选的,所述处理模块620,用于:
当接收到所述CDN服务器透传的所述终端的第一通信消息时,使用预先存储的私钥对所述第一通信消息进行解密,对解密后的第一通信消息进行处理;
当存在需要发送给所述终端的第二通信消息时,使用所述预先存储的私钥对所述第二通信消息进行加密,将加密后的第二通信消息通过所述CDN服务器透传给所述终端。
本发明实施例中,接收终端发送的携带有目标域名的握手请求消息;根据预先存储的域名和业务服务器地址的对应关系,确定目标域名对应的目标业务服务器地址;向目标业务服务器地址对应的目标业务服务器转发该握手请求消息,以使目标业务服务器与终端进行握手处理过程;对终端和目标业务服务器之间的后续的通信消息进行透传。这样,CDN服务器对终端和目标业务服务器之间的通信消息进行透传,因此,无需将私钥部署在CDN服务器上,从而可以提高传输通信消息的安全性。
实施例四
基于相同的技术构思,本发明实施例还提供了一种传输通信消息的***,所述***包括终端、CDN服务器和业务服务器,其中:
所述CDN服务器,用于接收所述终端发送的握手请求消息;根据预先存储的域名和业务服务器地址的对应关系,确定所述握手请求消息中携带的目标域名对应的目标业务服务器地址;向所述目标业务服务器地址对应的目标业务服务器转发所述握手请求消息,以使所述目标业务服务器与所述终端进行握手处理过程;对所述终端和所述目标业务服务器之间的后续的通信消息进行透传;
所述业务服务器,用于接收所述CDN服务器转发的终端的握手请求消息;与所述终端进行握手处理过程;通过所述CDN服务器的透传,与所述终端进行通信消息的传输。
本发明实施例中,接收终端发送的携带有目标域名的握手请求消息;根据预先存储的域名和业务服务器地址的对应关系,确定目标域名对应的目标业务服务器地址;向目标业务服务器地址对应的目标业务服务器转发该握手请求消息,以使目标业务服务器与终端进行握手处理过程;对终端和目标业务服务器之间的后续的通信消息进行透传。这样,CDN服务器对终端和目标业务服务器之间的通信消息进行透传,因此,无需将私钥部署在CDN服务器上,从而可以提高传输通信消息的安全性。
实施例五
图7是本发明实施例提供的CDN服务器的结构示意图。该CDN服务器1900可因配置或性能不同而产生比较大的差异,可以包括一个或一个以***处理器(centralprocessing units,CPU)1922(例如,一个或一个以上处理器)和存储器1932,一个或一个以上存储应用程序1942或数据1944的存储介质1930(例如一个或一个以上海量存储设备)。其中,存储器1932和存储介质1930可以是短暂存储或持久存储。存储在存储介质1930的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对CDN服务器中的一系列指令操作。更进一步地,中央处理器1922可以设置为与存储介质1930通信,在CDN服务器1900上执行存储介质1930中的一系列指令操作。
CDN服务器1900还可以包括一个或一个以上电源1926,一个或一个以上有线或无线网络接口1950,一个或一个以上输入输出接口1958,一个或一个以上键盘1956,和/或,一个或一个以上操作***1941,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
CDN服务器1900可以包括有存储器,以及一个或者一个以上的程序,其中一个或者一个以上程序存储于存储器中,且经配置以由一个或者一个以上处理器执行所述一个或者一个以上程序包含用于进行以下操作的指令:
接收终端发送的握手请求消息;
根据预先存储的域名和业务服务器地址的对应关系,确定所述握手请求消息中携带的目标域名对应的目标业务服务器地址;
向所述目标业务服务器地址对应的目标业务服务器转发所述握手请求消息,以使所述目标业务服务器与所述终端进行握手处理过程;
对所述终端和所述目标业务服务器之间的后续的通信消息进行透传。
可选的,所述对所述终端和所述目标业务服务器之间的后续的通信消息进行透传,包括:
当接收到所述终端向所述目标业务服务器发送的第一通信消息时,将所述第一通信消息透传给所述目标业务服务器;
当接收到所述目标业务服务器向所述终端发送的第二通信消息时,将所述第二通信消息透传给所述终端。
可选的,所述方法还包括:
如果所述握手请求消息中未携带有目标域名,则拒绝所述握手请求消息。
本发明实施例中,接收终端发送的携带有目标域名的握手请求消息;根据预先存储的域名和业务服务器地址的对应关系,确定目标域名对应的目标业务服务器地址;向目标业务服务器地址对应的目标业务服务器转发该握手请求消息,以使目标业务服务器与终端进行握手处理过程;对终端和目标业务服务器之间的后续的通信消息进行透传。这样,CDN服务器对终端和目标业务服务器之间的通信消息进行透传,因此,无需将私钥部署在CDN服务器上,从而可以提高传输通信消息的安全性。
实施例六
图8是本发明实施例提供的业务服务器的结构示意图。该业务服务器2000可因配置或性能不同而产生比较大的差异,可以包括一个或一个以***处理器(centralprocessing units,CPU)2022(例如,一个或一个以上处理器)和存储器2032,一个或一个以上存储应用程序2042或数据2044的存储介质2030(例如一个或一个以上海量存储设备)。其中,存储器2032和存储介质2030可以是短暂存储或持久存储。存储在存储介质2030的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对业务服务器中的一系列指令操作。更进一步地,中央处理器2022可以设置为与存储介质2030通信,在业务服务器2000上执行存储介质2030中的一系列指令操作。
业务服务器2000还可以包括一个或一个以上电源2026,一个或一个以上有线或无线网络接口2050,一个或一个以上输入输出接口2058,一个或一个以上键盘2056,和/或,一个或一个以上操作***2041,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
业务服务器2000可以包括有存储器,以及一个或者一个以上的程序,其中一个或者一个以上程序存储于存储器中,且经配置以由一个或者一个以上处理器执行所述一个或者一个以上程序包含用于进行以下操作的指令:
接收内容分发网络CDN服务器转发的终端的握手请求消息;
与所述终端进行握手处理过程;
通过所述CDN服务器的透传,与所述终端进行通信消息的传输。
可选的,所述与所述终端进行握手处理过程,包括:
通过所述CDN服务器的透传,与所述终端进行握手处理过程。
可选的,所述通过所述CDN服务器的透传,与所述终端进行通信消息的传输,包括:
当接收到所述CDN服务器透传的所述终端的第一通信消息时,使用预先存储的私钥对所述第一通信消息进行解密,对解密后的第一通信消息进行处理;
当存在需要发送给所述终端的第二通信消息时,使用所述预先存储的私钥对所述第二通信消息进行加密,将加密后的第二通信消息通过所述CDN服务器透传给所述终端。
本发明实施例中,接收终端发送的携带有目标域名的握手请求消息;根据预先存储的域名和业务服务器地址的对应关系,确定目标域名对应的目标业务服务器地址;向目标业务服务器地址对应的目标业务服务器转发该握手请求消息,以使目标业务服务器与终端进行握手处理过程;对终端和目标业务服务器之间的后续的通信消息进行透传。这样,CDN服务器对终端和目标业务服务器之间的通信消息进行透传,因此,无需将私钥部署在CDN服务器上,从而可以提高传输通信消息的安全性。
需要说明的是:上述实施例提供的传输通信消息的装置在传输通信消息时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的传输通信消息的装置与传输通信消息的方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种传输通信消息的方法,其特征在于,所述方法应用于内容分发网络CDN服务器,所述方法包括:
接收终端发送的握手请求消息;
根据预先存储的域名和业务服务器地址的对应关系,确定所述握手请求消息中携带的目标域名对应的目标业务服务器地址;
向所述目标业务服务器地址对应的目标业务服务器转发所述握手请求消息,以使所述目标业务服务器与所述终端进行握手处理过程;
对所述终端和所述目标业务服务器之间的后续的通信消息进行透传;
其中,所述对所述终端和所述目标业务服务器之间的后续的通信消息进行透传,包括:根据第一端口标识与第二端口标识的对应关系,对所述终端和所述目标业务服务器之间的后续的通信消息进行透传;所述第一端口标识为所述CDN服务器为所述CDN服务器与所述终端的TCP连接分配的第一端口的标识,所述第二端口标识为所述CDN服务器为所述CDN服务器与所述目标业务服务器的TCP连接分配的第二端口的标识。
2.根据权利要求1所述的方法,其特征在于,所述对所述终端和所述目标业务服务器之间的后续的通信消息进行透传,包括:
当接收到所述终端向所述目标业务服务器发送的第一通信消息时,将所述第一通信消息透传给所述目标业务服务器;
当接收到所述目标业务服务器向所述终端发送的第二通信消息时,将所述第二通信消息透传给所述终端。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果所述握手请求消息中未携带有目标域名,则拒绝所述握手请求消息。
4.一种传输通信消息的方法,其特征在于,所述方法应用于业务服务器,所述方法包括:
接收内容分发网络CDN服务器转发的终端的握手请求消息;
与所述终端进行握手处理过程;
通过所述CDN服务器的透传,与所述终端进行通信消息的传输;
其中,所述通过所述CDN服务器的透传,与所述终端进行通信消息的传输,包括:通过所述CDN服务器预先存储的第一端口标识与第二端口标识的对应关系,与所述终端进行通信消息的传输;所述第一端口标识为所述CDN服务器为所述CDN服务器与所述终端的TCP连接分配的第一端口的标识,所述第二端口标识为所述CDN服务器为所述CDN服务器与目标业务服务器的TCP连接分配的第二端口的标识,所述CDN服务器预先存储有域名和业务服务器的对应关系,所述握手请求消息中携带有目标域名对应的目标业务服务器。
5.根据权利要求4所述的方法,其特征在于,所述与所述终端进行握手处理过程,包括:
通过所述CDN服务器的透传,与所述终端进行握手处理过程。
6.根据权利要求4所述的方法,其特征在于,所述通过所述CDN服务器的透传,与所述终端进行通信消息的传输,包括:
当接收到所述CDN服务器透传的所述终端的第一通信消息时,使用预先存储的私钥对所述第一通信消息进行解密,对解密后的第一通信消息进行处理;
当存在需要发送给所述终端的第二通信消息时,使用所述预先存储的私钥对所述第二通信消息进行加密,将加密后的第二通信消息通过所述CDN服务器透传给所述终端。
7.一种CDN服务器,其特征在于,所述CDN服务器包括:
接收模块,用于接收终端发送的握手请求消息;
确定模块,用于根据预先存储的域名和业务服务器地址的对应关系,确定所述握手请求消息中携带的目标域名对应的目标业务服务器地址;
发送模块,用于向所述目标业务服务器地址对应的目标业务服务器转发所述握手请求消息,以使所述目标业务服务器与所述终端进行握手处理过程;对所述终端和所述目标业务服务器之间的后续的通信消息进行透传;
其中,所述发送模块,还用于:根据第一端口标识与第二端口标识的对应关系,对所述终端和所述目标业务服务器之间的后续的通信消息进行透传;所述第一端口标识为所述CDN服务器为所述CDN服务器与所述终端的TCP连接分配的第一端口的标识,所述第二端口标识为所述CDN服务器为所述CDN服务器与所述目标业务服务器的TCP连接分配的第二端口的标识。
8.根据权利要求7所述的CDN服务器,其特征在于,所述发送模块,用于:
当接收到所述终端向所述目标业务服务器发送的第一通信消息时,将所述第一通信消息透传给所述目标业务服务器;
当接收到所述目标业务服务器向所述终端发送的第二通信消息时,将所述第二通信消息透传给所述终端。
9.根据权利要求7所述的CDN服务器,其特征在于,所述确定模块还用于:
如果所述握手请求消息中未携带有目标域名,则拒绝所述握手请求消息。
10.一种业务服务器,其特征在于,所述业务服务器包括:
接收模块,用于接收内容分发网络CDN服务器转发的终端的握手请求消息;
处理模块,用于与所述终端进行握手处理过程;通过所述CDN服务器的透传,与所述终端进行通信消息的传输;
其中,所述处理模块,还用于通过所述CDN服务器预先存储的第一端口标识与第二端口标识的对应关系,与所述终端进行通信消息的传输;所述第一端口标识为所述CDN服务器为所述CDN服务器与所述终端的TCP连接分配的第一端口的标识,所述第二端口标识为所述CDN服务器为所述CDN服务器与目标业务服务器的TCP连接分配的第二端口的标识,所述CDN服务器预先存储有域名和业务服务器的对应关系,所述握手请求消息中携带有目标域名对应的目标业务服务器。
11.根据权利要求10所述的业务服务器,其特征在于,所述处理模块,用于:
通过所述CDN服务器的透传,与所述终端进行握手处理过程。
12.根据权利要求10所述的业务服务器,其特征在于,所述处理模块,用于:
当接收到所述CDN服务器透传的所述终端的第一通信消息时,使用预先存储的私钥对所述第一通信消息进行解密,对解密后的第一通信消息进行处理;
当存在需要发送给所述终端的第二通信消息时,使用所述预先存储的私钥对所述第二通信消息进行加密,将加密后的第二通信消息通过所述CDN服务器透传给所述终端。
13.一种传输通信消息的***,其特征在于,所述***包括终端、内容分发网络CDN服务器和业务服务器,其中:
所述CDN服务器,用于接收所述终端发送的握手请求消息;根据预先存储的域名和业务服务器地址的对应关系,确定所述握手请求消息中携带的目标域名对应的目标业务服务器地址;向所述目标业务服务器地址对应的目标业务服务器转发所述握手请求消息,以使所述目标业务服务器与所述终端进行握手处理过程;对所述终端和所述目标业务服务器之间的后续的通信消息进行透传,所述对所述终端和所述目标业务服务器之间的后续的通信消息进行透传,包括:根据第一端口标识与第二端口标识的对应关系,对所述终端和所述目标业务服务器之间的后续的通信消息进行透传;所述第一端口标识为所述CDN服务器为所述CDN服务器与所述终端的TCP连接分配的第一端口的标识,所述第二端口标识为所述CDN服务器为所述CDN服务器与所述目标业务服务器的TCP连接分配的第二端口的标识;
所述业务服务器,用于接收所述CDN服务器转发的终端的握手请求消息;与所述终端进行握手处理过程;通过所述CDN服务器的透传,与所述终端进行通信消息的传输。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410480115.5A CN104967590B (zh) | 2014-09-18 | 2014-09-18 | 一种传输通信消息的方法、装置和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410480115.5A CN104967590B (zh) | 2014-09-18 | 2014-09-18 | 一种传输通信消息的方法、装置和*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104967590A CN104967590A (zh) | 2015-10-07 |
| CN104967590B true CN104967590B (zh) | 2017-10-27 |
Family
ID=54221536
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410480115.5A Active CN104967590B (zh) | 2014-09-18 | 2014-09-18 | 一种传输通信消息的方法、装置和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104967590B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105871797A (zh) * | 2015-11-19 | 2016-08-17 | 乐视云计算有限公司 | 客户端与服务器进行握手的方法、装置及*** |
| CN107979481A (zh) * | 2016-10-25 | 2018-05-01 | 航天信息股份有限公司 | 一种发送端、接收端、数据交换平台及其执行的方法 |
| CN108418678B (zh) * | 2017-02-10 | 2019-05-07 | 贵州白山云科技股份有限公司 | 一种私钥安全存储和分发的方法及装置 |
| CN108494720B (zh) * | 2017-02-23 | 2021-02-12 | 华为软件技术有限公司 | 一种基于会话迁移的调度方法及服务器 |
| CN108156160B (zh) * | 2017-12-27 | 2021-05-28 | 杭州迪普科技股份有限公司 | 连接建立方法和装置 |
| CN108551477B (zh) * | 2018-03-28 | 2020-11-20 | 深圳市网心科技有限公司 | 数据传输通道建立***、网络存储设备、服务器及方法 |
| CN109660543A (zh) * | 2018-12-26 | 2019-04-19 | 山东浪潮商用***有限公司 | 一种消息安全机制的实现方法 |
| CN111064713B (zh) | 2019-02-15 | 2021-05-25 | 腾讯科技(深圳)有限公司 | 一种分布式***中的节点控制方法和相关装置 |
| CN111314288B (zh) * | 2019-12-23 | 2022-08-05 | 深信服科技股份有限公司 | 中继处理方法、装置、服务器和存储介质 |
| CN112104605B (zh) * | 2020-08-10 | 2023-02-03 | 深信服科技股份有限公司 | 网络管理方法、设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101567784A (zh) * | 2008-04-21 | 2009-10-28 | 成都市华为赛门铁克科技有限公司 | 一种获取密钥的方法、***和设备 |
| CN101640684A (zh) * | 2009-08-21 | 2010-02-03 | 中国电信股份有限公司 | 内容分发方法、网络***、gslb设备和域名服务器 |
| CN103442224A (zh) * | 2013-09-09 | 2013-12-11 | 杭州巨峰科技有限公司 | 一种基于nat穿透的视频监控访问策略和实现方法 |
| CN103532852A (zh) * | 2013-10-11 | 2014-01-22 | 小米科技有限责任公司 | 一种路由调度方法、装置及网络设备 |
| CN103841150A (zh) * | 2012-11-26 | 2014-06-04 | 华为技术有限公司 | 基于内容分发网络cdn分发数据的方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9237168B2 (en) * | 2012-05-17 | 2016-01-12 | Cisco Technology, Inc. | Transport layer security traffic control using service name identification |
-
2014
- 2014-09-18 CN CN201410480115.5A patent/CN104967590B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101567784A (zh) * | 2008-04-21 | 2009-10-28 | 成都市华为赛门铁克科技有限公司 | 一种获取密钥的方法、***和设备 |
| CN101640684A (zh) * | 2009-08-21 | 2010-02-03 | 中国电信股份有限公司 | 内容分发方法、网络***、gslb设备和域名服务器 |
| CN103841150A (zh) * | 2012-11-26 | 2014-06-04 | 华为技术有限公司 | 基于内容分发网络cdn分发数据的方法及装置 |
| CN103442224A (zh) * | 2013-09-09 | 2013-12-11 | 杭州巨峰科技有限公司 | 一种基于nat穿透的视频监控访问策略和实现方法 |
| CN103532852A (zh) * | 2013-10-11 | 2014-01-22 | 小米科技有限责任公司 | 一种路由调度方法、装置及网络设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104967590A (zh) | 2015-10-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104967590B (zh) | 一种传输通信消息的方法、装置和*** | |
| CN107980216B (zh) | 通信方法、装置、***、电子设备及计算机可读存储介质 | |
| US9749292B2 (en) | Selectively performing man in the middle decryption | |
| CN105993146B (zh) | 用于与客户端设备建立安全会话的方法和装置 | |
| JP6181303B2 (ja) | 暗号化通信方法、及び、暗号化通信システム | |
| JP2020080530A (ja) | データ処理方法、装置、端末及びアクセスポイントコンピュータ | |
| CN108881308B (zh) | 一种用户终端及其认证方法、***、介质 | |
| WO2018145605A1 (zh) | 鉴权方法及服务器、访问控制装置 | |
| WO2018010146A1 (zh) | 一种虚拟网络计算认证中应答的方法、装置、***和代理服务器 | |
| CN106209838B (zh) | Ssl vpn的ip接入方法及装置 | |
| WO2016106560A1 (zh) | 一种实现远程接入的方法、装置及*** | |
| WO2019178942A1 (zh) | 一种进行ssl握手的方法和*** | |
| US20170126623A1 (en) | Protected Subnet Interconnect | |
| CN112804354B (zh) | 跨链进行数据传输的方法、装置、计算机设备和存储介质 | |
| CN108306872B (zh) | 网络请求处理方法、装置、计算机设备和存储介质 | |
| US9843561B2 (en) | MiTM proxy having client authentication support | |
| WO2013166696A1 (zh) | 数据传输方法、***及装置 | |
| CN110401641A (zh) | 用户认证方法、装置、电子设备 | |
| CN103716280B (zh) | 数据传输方法、服务器及*** | |
| CN114584386B (zh) | 全局多级加密网络通信方法 | |
| WO2014180431A1 (zh) | 一种网管安全认证方法、装置、***及计算机存储介质 | |
| CN112825521A (zh) | 区块链应用可信身份管理方法、***、设备及存储介质 | |
| CN104243488A (zh) | 一种跨网站服务器的登录认证方法 | |
| US11611541B2 (en) | Secure method to replicate on-premise secrets in a cloud environment | |
| CN103607403A (zh) | 一种nat网络环境下使用安全域的方法、装置和*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180906 Address after: 100191 Beijing Haidian District Zhichun Road 49 No. 3 West 309 Patentee after: Tencent cloud computing (Beijing) limited liability company Address before: 518000 East 403 room, Sai Ge science and Technology Park, Futian District Zhenxing Road, Shenzhen, Guangdong, China, 2 Patentee before: Tencent Technology (Shenzhen) Co., Ltd. |
|
| TR01 | Transfer of patent right |