CN107172001B - 网站代理服务器的控制方法及装置、密钥代理服务器 - Google Patents
网站代理服务器的控制方法及装置、密钥代理服务器 Download PDFInfo
- Publication number
- CN107172001B CN107172001B CN201610128392.9A CN201610128392A CN107172001B CN 107172001 B CN107172001 B CN 107172001B CN 201610128392 A CN201610128392 A CN 201610128392A CN 107172001 B CN107172001 B CN 107172001B
- Authority
- CN
- China
- Prior art keywords
- key
- proxy server
- server
- website
- domain name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/562—Brokering proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请公开了一种网站代理服务器的控制方法及装置、密钥代理服务器。其中,该方法包括:密钥代理服务器接收网站代理服务器发送的预主密钥解密请求和被代理网站的域名,其中,预主密钥解密请求包含加密后的预主密钥;密钥代理服务器根据域名,查找与域名对应的密钥服务器,并将预主密钥解密请求发送至对应的密钥服务器;密钥代理服务器接收密钥服务器通过解密加密后的预主密钥而返回的解密结果;密钥代理服务器将解密结果发送给网站代理服务器。本申请解决了现有技术中网站代理服务器控制效率较低的技术问题。
Description
技术领域
本申请涉及计算机领域,具体而言,涉及一种网站代理服务器的控制方法及装置、密钥代理服务器。
背景技术
HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer,超文本传输安全协议),是一种广泛应用于互联网的应用层协议,经常被用于万维网上的交易支付和企业信息***中敏感信息的传输。客户端浏览器与网络服务器之间通过HTTPS连接,能够对网络服务器的身份做验证,并保护了交换数据的隐私和完整性。HTTPS服务器上会安装一个私钥和一个由CA签发的证书。在通信过程中,服务器利用私钥和证书对交换数据加密解密,并对服务器的身份做验证。
随着互联网的发展,互联网的结构也愈加复杂。在很多情况下,需要在浏览器和服务器之间加入一层或多层代理(又名代理层),通过代理层可以对交换内容进行网络加速、安全检测和防护。由于HTTPS的数据交换内容是完全加密的,在代理层进行网络加速或者安全检测时,需要对交换内容进行解密。最简单的办法是将HTTPS服务器的私钥部署在代理层的服务器上。然而在很多情况下,私钥不能部署在代理层服务器上。针对此问题,现有技术允许用户自行创建一个密钥服务器,但是,在实际环境中,通常会有多台网站代理服务器服务于多个网站或用户,如图1(a)所示,网站代理服务器101A、101B和101C中的任意一台服务器都可以与密钥服务器103A、103B和103C 中的任意一台服务器建立连接关系,具体地,每个网站代理服务器都需要持有所有的被代理网站或用户的密钥服务器列表,并且网站代理服务器需要监控与密钥服务器之间的连接状态,其次,所有网站代理服务器上的私钥和证书都需要保证一致。随着服务规模的扩大,会有数十至数百台网站代理服务器同时为几万甚至几十万个客户或被代理网站提供代理服务。网站代理服务器的运维和监控将变得非常复杂,具体地,在实际运行过程中,网站代理服务器存在下述缺陷:
第一、需要有自动化***保证所有网站代理服务器以及后期新增的网站代理服务器的配置一致。
第二、网站代理服务器的配置随着被代理网站数量的增加变得非常庞大,性能开销较大。
第三、网站代理服务器需要维护和监控与大量密钥服务器的连接关系,性能开销较大。
第四、网站代理服务器与密钥服务器建立连接关系后,需要为密钥服务器增加负载均衡服务器,成本较高。
第五、网站代理服务器的版本升级难度较大。
综上,现有技术中的网站代理服务器存在成本、管理、配置和版本升级上的诸多缺陷,网站代理服务器版本不同、管理不当、配置不一、连接有误等因素都会影响到代理层的数据交互效率,基于上述,现有技术中存在网站代理服务器控制效率较低的技术问题。
针对上述的问题,目前尚未提出有效的解决方案。
申请内容
本申请实施例提供了一种网站代理服务器的控制方法及装置、密钥代理服务器,以至少解决现有技术中网站代理服务器控制效率较低的技术问题。
根据本申请实施例的一个方面,提供了一种网站代理服务器的控制方法,包括:密钥代理服务器接收网站代理服务器发送的预主密钥解密请求和被代理网站的域名,其中,所述预主密钥解密请求包含加密后的预主密钥;所述密钥代理服务器根据所述域名,查找与所述域名对应的密钥服务器,并将所述预主密钥解密请求发送至所述对应的密钥服务器;所述密钥代理服务器接收所述密钥服务器通过解密所述加密后的预主密钥而返回的所述解密结果;所述密钥代理服务器将所述解密结果发送给所述网站代理服务器。
根据本申请实施例的另一方面,还提供了一种网站代理服务器的控制方法,包括:网站代理服务器接收客户端发送的加密后的预主密钥;所述网站代理服务器将预主密钥解密请求和被代理网站的域名发送至密钥代理服务器,其中,所述预主密钥解密请求包含所述加密后的预主密钥,由所述密钥代理服务器根据所述域名,查找与所述域名对应的密钥服务器,并将所述预主密钥解密请求发送至所述对应的密钥服务器,所述密钥代理服务器接收所述密钥服务器通过解密所述加密后的预主密钥而返回的所述解密结果;所述网站代理服务器接收所述密钥代理服务器发送的所述解密结果。
根据本申请实施例的又一方面,还提供了一种密钥代理服务器,包括:第一接收单元,接收网站代理服务器发送的预主密钥解密请求和被代理网站的域名,其中,所述预主密钥解密请求包含加密后的预主密钥;处理单元,用于根据所述域名,查找与所述域名对应的密钥服务器,并将所述预主密钥解密请求发送至所述对应的密钥服务器;第二接收单元,用于接收所述密钥服务器通过解密所述加密后的预主密钥而返回的所述解密结果;第一发送单元,用于将所述解密结果发送给所述网站代理服务器。
可选地,所述预主密钥解密请求还包含会话标识、服务端随机数以及客户端随机数;其中,所述密钥代理服务器还包括:第一生成单元,用于根据所述解密结果、所述服务端随机数以及所述客户端随机数,生成加密密钥;第一存储单元,用于将所述加密密钥以及所述会话标识对应存储至所述密钥代理服务器的缓存中。
可选地,所述密钥代理服务器还包括:第三接收单元,用于接收所述网站代理服务器发送的所述会话标识;第一查找单元,用于在所述密钥代理服务器的缓存中查找与所述会话标识对应的所述加密密钥;第二发送单元,用于将所述加密密钥发送至所述网站代理服务器。
可选地,所述处理单元包括:查找子单元,用于在预先存储的对应表中查找与所述域名对应的密钥服务器的地址;判断子单元,用于根据所述地址判断所述密钥代理服务器与所述对应的密钥服务器之间是否存在网络连接;发送子单元,用于若存在所述网络连接,则将所述预主密钥解密请求发送至所述对应的密钥服务器;处理子单元,用于若不存在所述网络连接,则与所述对应的密钥服务器建立网络连接,并将所述预主密钥解密请求发送至所述对应的密钥服务器。
可选地,若无法与所述密钥服务器建立网络连接,所述第一发送单元,还用于通过短信和/或日志向所述网站代理服务器发送告警消息。
根据本申请实施例的又一方面,还提供了一种网站代理服务器,包括:第四接收单元,用于接收客户端发送的加密后的预主密钥;第三发送单元,用于将预主密钥解密请求和被代理网站的域名发送至密钥代理服务器,其中,所述预主密钥解密请求包含所述加密后的预主密钥,由所述密钥代理服务器根据所述域名,查找与所述域名对应的密钥服务器,并将所述预主密钥解密请求发送至所述对应的密钥服务器,所述密钥代理服务器接收所述密钥服务器通过解密所述加密后的预主密钥而返回的所述解密结果;第五接收单元,用于接收所述密钥代理服务器发送的所述解密结果。
可选地,所述网站代理服务器还包括:第六接收单元,用于接收所述客户端发送的握手请求和客户端随机数;第四发送单元,用于将携带有会话标识以及服务端随机数的握手请求响应发送至所述客户端;其中,由所述客户端生成所述预主密钥,并利用公钥对所述预主密钥进行加密,生成所述加密后的预主密钥。
可选地,所述网站代理服务器还包括:第二生成单元,用于根据所述解密结果、所述服务端随机数以及所述客户端随机数,生成加密密钥;第二存储单元,用于将所述加密密钥以及所述会话标识对应存储至所述网站代理服务器的缓存中。
可选地,所述网站代理服务器还包括:第七接收单元,用于接收所述客户端发送的所述会话标识;第二查找单元,用于从所述网站代理服务器的缓存中查找与所述会话标识对应的所述加密密钥;交互单元,用于在查找到所述加密密钥的情况下,使用所述加密密钥与所述客户端进行交互。
可选地,在未查找到所述加密密钥的情况下,所述第三发送单元,还用于将所述会话标识发送至所述密钥代理服务器,以便从所述密钥代理服务器获取所述加密密钥。
在本申请实施例中,采用密钥代理服务器接收网站代理服务器发送的预主密钥解密请求和被代理网站的域名,其中,预主密钥解密请求包含加密后的预主密钥;密钥代理服务器根据域名,查找与域名对应的密钥服务器,并将预主密钥解密请求发送至对应的密钥服务器;密钥代理服务器接收密钥服务器通过解密加密后的预主密钥而返回的解密结果;密钥代理服务器将解密结果发送给网站代理服务器的方式,通过密钥代理服务器接收网站代理服务器发送的预主密钥解密请求和被代理网站的域名,进而密钥代理服务器根据域名查找与该域名对应的密钥服务器,并将预主密钥解密请求发送至对应的密钥服务器,达到了密钥代理服务器接收密钥服务器通过解密加密后的预主密钥而返回的解密结果并将该解密结果发送给网站代理服务器的目的,从而实现了降低服务器的配置运维成本、简化服务器之间的连接关系、提高服务器数据交互效率以及优化服务器集群的管理架构的技术效果,进而解决了现有技术中网站代理服务器控制效率较低的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1(a)是根据现有技术的网站代理服务的拓扑结构图;
图1(b)是根据本申请实施例的一种网站代理服务器的控制方法的计算机终端的硬件结构框图;
图2(a)是根据本申请实施例的一种可选的网站代理服务器的控制方法的流程示意图;
图2(b)是根据本申请实施例的一种可选的应用于网站代理服务器的控制方法的网络拓扑结构示意图;
图2(c)根据本申请实施例的一种可选的网站代理服务器的控制方法的时序示意图;
图3是根据本申请实施例的另一种可选的网站代理服务器的控制方法的流程示意图;
图4是根据本申请实施例的又一种可选的网站代理服务器的控制方法的流程示意图;
图5是根据本申请实施例的又一种可选的网站代理服务器的控制方法的流程示意图;
图6是根据本申请实施例的又一种可选的网站代理服务器的控制方法的流程示意图;
图7是根据本申请实施例的又一种可选的网站代理服务器的控制方法的流程示意图;
图8是根据本申请实施例的又一种可选的网站代理服务器的控制方法的流程示意图;
图9(a)是根据本申请实施例的又一种可选的网站代理服务器的控制方法的流程示意图;
图9(b)是根据本申请实施例的又一种可选的网站代理服务器的控制方法的流程示意图;
图10据本申请实施例的一种可选的密钥代理服务器的结构示意图;
图11据本申请实施例的另一种可选的密钥代理服务器的结构示意图;
图12据本申请实施例的又一种可选的密钥代理服务器的结构示意图;
图13据本申请实施例的又一种可选的密钥代理服务器的结构示意图;
图14据本申请实施例的一种可选的网站代理服务器的结构示意图;
图15据本申请实施例的另一种可选的网站代理服务器的结构示意图;
图16据本申请实施例的又一种可选的网站代理服务器的结构示意图;
图17据本申请实施例的又一种可选的网站代理服务器的结构示意图;
图18根据本申请实施例的一种计算机终端的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
HTTPS:Hyper Text Transfer Protocol over Secure Socket Layer,超文本传输安全协议,是一种广泛应用于互联网的应用层协议,经常被用于万维网上的交易支付和企业信息***中敏感信息的传输。
对称加密:采用单钥密码***的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。
非对称加密:非对称加密算法需要两个密钥来进行加密和解密,这两个密钥是公开密钥(public key,简称公钥)和私有密钥(private key,简称私钥)。
Session Key:在HTTPS数据交换过程中的对称加密密钥。Session Key在HTTPS 握手过程中由客户端和服务器通过三个随机字符串(client random,server random,premaster secret)组合生成。
Origin Server:源服务器,提供HTTP(s)内容的服务器。如果Origin Server提供https服务,服务器必须配置有私钥和证书。
Proxy Server:网站代理服务器,接收客户端传来的请求,将请求转发给OriginServer。可以内置内容安全检测等模块。
Key Server:密钥服务器,Proxy Server使用Key Server解密HTTPS握手过程中使用Origin Server的私钥解密客户端传来的Premaster secret。
随机数:一种用复杂的方法计算得到的序列值,每一运算时需要一个不同的种子值,种子值不同,得到的序列值也不同。
域名:是互联网上企业或机构的名字,是互联网上各网站间相互联系的地址,是由一串用点分割的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位。
会话标识(session ID):用来追踪每个用户的会话,使用服务器生成session ID进行标识,用以区分用户。
实施例1
根据本申请实施例,还提供了一种网站代理服务器的控制方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例,图1(b)是本申请实施例的一种网站代理服务器的控制方法的计算机终端的硬件结构框图。如图1(b)所示,计算机终端10 可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。本领域普通技术人员可以理解,图1(b)所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1(b)中所示更多或者更少的组件,或者具有与图1(b)所示不同的配置。
存储器104可用于存储应用软件的软件程序以及模块,如本申请实施例中的网站代理服务器的控制方法对应的程序指令/模块,处理器102通过运行存储在存储器104 内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的应用程序的网站代理服务器的控制方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
在上述运行环境下,本申请提供了如图2(a)所示的网站代理服务器的控制方法。图2(a)是根据本申请实施例一的网站代理服务器的控制方法的流程图。
如图2(a)所示,本申请实施例一的网站代理服务器的控制方法可以包括如下实施步骤:
步骤S202,密钥代理服务器接收网站代理服务器发送的预主密钥解密请求和被代理网站的域名,其中,预主密钥解密请求包含加密后的预主密钥;
步骤S204,密钥代理服务器根据域名,查找与域名对应的密钥服务器,并将预主密钥解密请求发送至对应的密钥服务器;
步骤S206,密钥代理服务器接收密钥服务器通过解密加密后的预主密钥而返回的解密结果;
步骤S208,密钥代理服务器将解密结果发送给网站代理服务器。
在本申请上述实施例中,通过密钥代理服务器(key proxy server)接收网站代理服务器(proxy server)发送的预主密钥解密请求和被代理网站的域名,进而密钥代理服务器根据域名查找与该域名对应的密钥服务器,并将预主密钥解密请求发送至对应的密钥服务器,达到了密钥代理服务器接收密钥服务器通过解密加密后的预主密钥(premastersecret)而返回的解密结果并将该解密结果发送给网站代理服务器的目的,从而实现了降低服务器的配置运维成本、简化服务器之间的连接关系、提高服务器数据交互效率以及优化服务器集群的管理架构的技术效果,进而解决了现有技术中网站代理服务器控制效率较低的技术问题。
可选地,本申请上述实施例中的数据交互可以为数据的代理转发,例如,多台密钥代理服务器同时为多个密钥服务器提供代理转发服务,密钥代理服务器与密钥服务器之间存在数据交互,若密钥代理服务器或者密钥服务器的数量较大,则密钥代理服务器的运维和监控将异常复杂。网站代理服务器基于性能考虑,通常使用c语言编写,但是,密钥代理服务器因无需太大的性能开销,因此可以采用Java等开发效率较高的语言编写,将不同版本或支持不同通信协议的密钥服务器之间的通信问题由密钥代理服务器完成,能够大幅降低其复杂度和开发维护成本。
可选地,本申请上述步骤S202中,预主密钥是一个随机字符串,预主密钥的生成是支持https的客户端的一项基本功能,通常,预主密钥通过tls/ssl的库(lib)生成,预主密钥的格式和长度在此不做限制。密钥代理服务器可以接收客户端传来的请求,并将请求转发给源服务器(Origin Server)。密钥代理服务器中可以内置内容安全检测等模块。
可选地,本申请上述步骤S204中,密钥代理服务器可以设置在网站代理服务器和密钥服务器之间,在上述三者建立连接关系之后,所有的网站代理服务器都可以将预主密钥解密请求发送给由多台密钥代理服务器构成的密钥代理服务器集群。在本申请的上述实施例中,密钥代理服务器仅需对请求做简单的转发处理,因此少数几台密钥代理服务器就可以服务大量的网站,此外,密钥代理服务器还可以承担负载均衡功能,因此无需部署或维护负载均衡服务器的,因此,极大的降低了上述服务器管理和运维的成本。
可选地,本申请上述步骤S206中,密钥服务器可以对加密后的预主密钥进行解密。
可选地,本申请上述步骤S208中,该解密结果可以为预主密钥的明文,密钥代理服务器可以将预主密钥的明文发送给网站代理服务器。
可选地,图2(b)是根据本申请实施例的一种可选的网站代理服务器的控制方法的示意图,如图2(b)所示,网站代理服务器集群201可以由多个网站代理服务器组成,密钥服务器集群205也可以由多个密钥服务器组成,网站代理服务器集群201通过密钥代理服务器203向密钥服务器205发送预主密钥解密请求和被代理网站的域名。如图2(b)所示的连接方式将监控任务、配置管理等任务转移到了密钥代理服务器203 上,从而降低了网站代理服务器集群201的性能开销,此外,密钥代理服务器203仅对预主密钥解密请求做简单的转发处理,因此仅需一台或几台密钥代理服务器203就可以服务大量的网站代理服务器,从而极大的降低了管理运维成本。
可选地,密钥代理服务器203还可以承担负载均衡功能,从而免除了负载均衡服务器的部署和维护开销。
可选地,图2(c)是根据本申请实施例的另一种可选的网站代理服务器的控制方法的时序示意图,如图2(c)所示,该网站代理服务器的控制方法可以包括如下步骤:
步骤S1,客户端向网站代理服务器发出握手请求;
步骤S2,网站代理服务器回应客户端的握手请求;
步骤S3,客户端向网站代理服务器发送预主密钥的解密请求;
步骤S4,网站代理服务器向密钥代理服务器发送预主密钥的解密请求及客户端的域名;
步骤S5,密钥代理服务器根据域名查找与该域名对应的密钥服务器,并向该密钥服务器发送预主密钥的解密请求;
步骤S6,密钥服务器生成解密结果,并向密钥代理服务器发送该解密结果;
步骤S7,密钥代理服务器向网站代理服务器发送该解密结果;
步骤S8,网站代理服务器根据该解密结果生成加密密钥,从而完成握手。
可选地,通过执行上述步骤S1至步骤S8,可以在客户端、网站代理服务器、密钥代理服务器、密钥服务器之间完成预主密钥的解密请求以及解密结果的传递。密钥代理服务器具有预主密钥的解密请求以及解密结果的转发功能。
可选地,图3是根据本申请实施例的另一种可选的网站代理服务器的控制方法的流程示意图,如图3所示,预主密钥解密请求还包含会话标识、服务器端随机数以及客户端随机数;其中,在密钥代理服务器接收密钥服务器通过解密加密后的预主密钥而返回的解密结果之后,方法还包括:
步骤S302,密钥代理服务器根据解密结果、服务器端随机数以及客户端随机数,生成加密密钥。
可选地,本申请上述步骤S302中,解密结果中可以包括解密后的预主密钥,因此,密钥代理服务器根据预主密钥(premaster secret)、服务器端随机数(server random) 以及客户端随机数(client random),生成对称加密密钥(session key)。其中,session key在HTTPS握手过程中由客户端和服务器通过三个随机字符串(client random, serverrandom,premaster secret)组合生成。
步骤S304,密钥代理服务器将加密密钥以及会话标识对应存储至密钥代理服务器的缓存中。
可选地,本申请上述步骤S304中,密钥代理服务器可以将加密密钥session key以及会话标识session ID存储至密钥代理服务器的本地缓存中。
可选地,图4是根据本申请实施例的又一种可选的网站代理服务器的控制方法的流程示意图,如图4所示,在密钥代理服务器将加密密钥以及会话标识对应存储至密钥代理服务器的缓存中之后,方法还包括:
步骤S402,密钥代理服务器接收网站代理服务器发送的会话标识。
可选地,本申请上述步骤S402中,密钥代理服务器接收网站代理服务器发送的会话标识可以被视为一个https握手过程的开始,在此握手过程中,会生成一个session key,即一个随机生成的密钥。在密钥代理服务器和网站代理服务器https通信过程中, 双方都需要使用session key加密和解密通信的内容。
步骤S404,密钥代理服务器在密钥代理服务器的缓存中查找与会话标识对应的加密密钥;
可选地,本申请上述步骤S404中,密钥代理服务器的缓存中可能存储有会话标识对应的加密密钥,若密钥代理服务器在其缓存中查找与该会话标识对应的加密密钥,则直接进行数据交换,否则进行再次握手。
步骤S406,密钥代理服务器将加密密钥发送至网站代理服务器。
可选地,本申请上述步骤S406中,密钥代理服务器(key proxy server)可以将加密密钥发送至网站代理服务器。
可选地,图4是根据本申请实施例的又一种可选的网站代理服务器的控制方法的流程示意图,如图4所示,上述步骤S204,密钥代理服务器根据域名,查找与域名对应的密钥服务器,并将预主密钥解密请求发送至对应的密钥服务器包括:
步骤S502,密钥代理服务器在预先存储的对应表中查找与域名对应的密钥服务器的地址。
步骤S504,密钥代理服务器根据地址判断密钥代理服务器与对应的密钥服务器之间是否存在网络连接。
步骤S506,若存在网络连接,则将预主密钥解密请求发送至对应的密钥服务器。
步骤S508,若不存在网络连接,则与对应的密钥服务器建立网络连接,并将预主密钥解密请求发送至对应的密钥服务器。
可选地,本申请上述步骤S502至步骤S508中,密钥代理服务器会具备有一个域名和密钥服务器地址的对应表。该对应表的存储形式包括但不限于内存,配置文件或数据库中,当密钥代理服务器收到一个解密请求时,会根据请求中的域名在对应表中查找密钥服务器的地址,若该密钥服务器的地址存在,则将预主密钥解密请求直接发送至对应的密钥服务器,若该密钥服务器的地址存在,则密钥代理服务器需要与该密钥服务器建立网络连接,进而将预主密钥解密请求发送至对应的密钥服务器。
可选地,若无法与密钥服务器建立网络连接,密钥代理服务器则通过短信和/或日志向网站代理服务器发送告警消息。
具体地,密钥代理服务器可以集中管理所有与密钥服务器之间的配置或连接关系,密钥代理服务器还可以在无法连接到密钥服务器时,通过短信和/或日志向网站代理服务器发送告警消息。此外,如果客户配置了多台密钥服务器,密钥代理服务器还可以利用各种负载均衡算法,将请求分发至多台密钥服务器上。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
根据本发明实施例,还提供了一种网站代理服务器的控制方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例二所提供的方法实施例仍旧可以在移动终端、计算机终端或者类似的运算装置中执行。此处需要说明的是,实施例二所提供的方法实施例仍旧可以运行在图1(b)所示的计算机终端上。
在上述运行环境下,本申请提供了如图6所示的网站代理服务器的控制方法。图 6是根据本发明实施例二的网站代理服务器的控制方法的流程示意图。
如图6所示,该网站代理服务器的控制方法可以包括如下实现步骤:
步骤S602,网站代理服务器接收客户端发送的加密后的预主密钥。
可选地,本申请上述步骤S602中,网站代理服务器可以通过浏览器接收客户端发送的加密后的预主密钥,即客户端浏览器向网站代理服务器发起https握手请求。
步骤S604,网站代理服务器将预主密钥解密请求和被代理网站的域名发送至密钥代理服务器。
其中,预主密钥解密请求包含加密后的预主密钥,由密钥代理服务器根据域名,查找与域名对应的密钥服务器,并将预主密钥解密请求发送至对应的密钥服务器,密钥代理服务器接收密钥服务器通过解密加密后的预主密钥而返回的解密结果。
可选地,本申请上述步骤S604中,密钥代理服务器可以根据被代理网站的域名查找或建立与密钥服务器的连接关系,密钥代理服务器还可以将密钥服务器的解密结果发送至网站代理服务器,该解密结果可以为解密加密后的预主密钥所得到的结果。网站代理服务器可以利用该解密结果生成加密密钥session key,从而完成一次握手过程。
步骤S606,网站代理服务器接收密钥代理服务器发送的解密结果。
可选地,本申请上述步骤S606中,密钥代理服务器发送的解密结果可以为明文的预主密钥。
在本申请上述实施例中,通过密钥代理服务器接收网站代理服务器发送的预主密钥解密请求和被代理网站的域名,进而密钥代理服务器根据域名查找与该域名对应的密钥服务器,并将预主密钥解密请求发送至对应的密钥服务器,达到了密钥代理服务器接收密钥服务器通过解密加密后的预主密钥而返回的解密结果并将该解密结果发送给网站代理服务器的目的,从而实现了降低服务器的配置运维成本、简化服务器之间的连接关系、提高服务器数据交互效率以及优化服务器集群的管理架构的技术效果,进而解决了现有技术中网站代理服务器控制效率较低的技术问题。
可选地,图7是根据本申请实施例的又一种可选的网站代理服务器的控制方法的流程示意图,如图7所示,在网站代理服务器接收客户端发送的加密后的预主密钥之前,方法还包括:
步骤S702,接收客户端发送的握手请求和客户端随机数。
可选地,本申请上述步骤S702中,客户端发送的握手请求可以为“hello”请求。
步骤S704,将携带有会话标识以及服务端随机数的握手请求响应发送至客户端。
其中,由客户端生成预主密钥,并利用公钥对预主密钥进行加密,生成加密后的预主密钥。
可选地,本申请上述步骤S704中,网站代理服务器可以发送“hello”请求的回应、服务端随机数server random和会话标识session id至客户端。此外,预主密钥可以由客户端随机生成,并可以经服务器的公钥进行加密,从而得到加密后的预主密钥。
可选地,图8是根据本申请实施例的又一种可选的网站代理服务器的控制方法的流程示意图,如图8所示,在网站代理服务器接收密钥代理服务器发送的解密结果之后,方法还包括:
步骤S802,网站代理服务器根据解密结果、服务端随机数以及客户端随机数,生成加密密钥。
可选地,本申请上述步骤S802中,解密结果中可以包含明文的预主密钥,网站代理服务器可以根据客户端随机数client random、服务端随机数server random和预主密钥premaster secret生成加密密钥session key。需要说明的是,网站代理服务器可以使用与密钥代理服务器相同的客户端随机数client random、服务端随机数 server random和预主密钥premaster secret生成加密密钥session key。
步骤S804,网站代理服务器将加密密钥以及会话标识对应存储至网站代理服务器的缓存中。
可选地,本申请上述步骤S804中,网站代理服务器将加密密钥以及会话标识对应存储至网站代理服务器的缓存中,可以借助网站代理服务器辅助的缓存服务器完成。
可选地,图9(a)是根据本申请实施例的又一种可选的网站代理服务器的控制方法的流程示意图,如图9(a)所示,在网站代理服务器将加密密钥以及会话标识对应存储至网站代理服务器的缓存中之后,方法还包括:
步骤S902,网站代理服务器接收客户端发送的会话标识。
可选地,本申请上述步骤S902中,网站代理服务器可以接收客户端发送的“hello”请求,并从该请求中获取到会话标识。也就是说,会话标识session ID可以存储在客户端的缓存中,客户端可以将该会话标识session ID置入“hello”请求中。
步骤S904,网站代理服务器从网站代理服务器的缓存中查找与会话标识对应的加密密钥。
可选地,本申请上述步骤S904中,网站代理服务器可以使用会话标识session ID在其本地缓存中查找与该会话标识session ID对应的加密密钥session key。
步骤S906,在查找到加密密钥的情况下,使用加密密钥与客户端进行交互。
可选地,本申请上述步骤S906中,网站代理服务器可以与客户端进行数据交互,具体地,客户端可以使用其缓存中的加密密钥session key,与网站代理服务器交换通过加密密钥session key加密过的数据。客户端还可以使用客户端随机数client random、服务端随机数server random和预主密钥premaster secret生成加密密钥 session key,与网站代理服务器交换通过加密密钥session key加密过的数据。
可选地,在未查找到加密密钥的情况下,网站代理服务器将会话标识发送至密钥代理服务器,以便从密钥代理服务器获取加密密钥。
具体地,若网站代理服务器在其本地缓存中未查找与该会话标识session ID对应的加密密钥session key,则可以将会话标识session ID发送至密钥代理服务器,进而密钥代理服务器在其本地缓存中查找与该session ID对应的加密密钥session key。密钥代理服务器在其本地缓存中查找到与该session ID对应的加密密钥session key 时,则将该加密密钥session key发送至网站代理服务器。
本申请上述实施例提供的一种可选方案中,如图9(b)所示,本申请实施例的网站代理服务器的控制方法可以包括以下步骤:
步骤a,网站代理服务器接收客户端发送的加密后的预主密钥。
步骤b,密钥代理服务器接收网站代理服务器发送的预主密钥解密请求和被代理网站的域名。
其中,预主密钥解密请求包含加密后的预主密钥。
步骤c,密钥代理服务器根据域名,查找与域名对应的密钥服务器。
步骤d,密钥代理服务器将预主密钥解密请求发送至对应的密钥服务器。
步骤e,密钥代理服务器接收密钥服务器通过解密加密后的预主密钥而返回的解密结果。
步骤f,密钥代理服务器将解密结果发送给网站代理服务器。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
实施例3
根据本申请实施例,还提供了一种用于实施上述网站代理服务器的控制方法的密钥代理服务器,如图10所示,该密钥代理服务器包括:第一接收单元1001、处理单元1003、第二接收单元1005、第一发送单元1007。
其中,第一接收单元1001,用于接收网站代理服务器发送的预主密钥解密请求和被代理网站的域名,其中,预主密钥解密请求包含加密后的预主密钥;处理单元1003,用于根据域名,查找与域名对应的密钥服务器,并将预主密钥解密请求发送至对应的密钥服务器;第二接收单元1005,用于接收密钥服务器通过解密加密后的预主密钥而返回的解密结果;第一发送单元1007,用于将解密结果发送给网站代理服务器。
此处需要说明的是,上述第一接收单元1001、处理单元1003、第二接收单元1005、第一发送单元1007对应于实施例一中的步骤S202至步骤S208,四个单元与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述单元作为密钥代理服务器的一部分可以运行在实施例一提供的计算机终端10 中,可以通过软件实现,也可以通过硬件实现。
在本申请上述实施例中,通过密钥代理服务器接收网站代理服务器发送的预主密钥解密请求和被代理网站的域名,进而密钥代理服务器根据域名查找与该域名对应的密钥服务器,并将预主密钥解密请求发送至对应的密钥服务器,达到了密钥代理服务器接收密钥服务器通过解密加密后的预主密钥而返回的解密结果并将该解密结果发送给网站代理服务器的目的,从而实现了降低服务器的配置运维成本、简化服务器之间的连接关系、提高服务器数据交互效率以及优化服务器集群的管理架构的技术效果,进而解决了现有技术中网站代理服务器控制效率较低的技术问题。
可选地,如图11所示,预主密钥解密请求还包含会话标识、服务端随机数以及客户端随机数;其中,密钥代理服务器还包括:第一生成单元1101、第一存储单元1103。
其中,第一生成单元1101,用于根据解密结果、服务端随机数以及客户端随机数,生成加密密钥;第一存储单元1103,用于将加密密钥以及会话标识对应存储至密钥代理服务器的缓存中。
此处需要说明的是,上述第一生成单元1101、第一存储单元1103对应于实施例一中的步骤S302至步骤S304,两个单元与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述单元作为密钥代理服务器的一部分可以运行在实施例一提供的计算机终端10中,可以通过软件实现,也可以通过硬件实现。
可选地,如图12所示,密钥代理服务器还包括:第三接收单元1201、第一查找单元1203、第二发送单元1205。
其中,第三接收单元1201,用于接收网站代理服务器发送的会话标识;第一查找单元1203,用于在密钥代理服务器的缓存中查找与会话标识对应的加密密钥;第二发送单元1205,用于将加密密钥发送至网站代理服务器。
此处需要说明的是,上述第三接收单元1201、第一查找单元1203、第二发送单元1205对应于实施例一中的步骤S402至步骤S406,三个单元与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述单元作为密钥代理服务器的一部分可以运行在实施例一提供的计算机终端10中,可以通过软件实现,也可以通过硬件实现。
可选地,如图13所示,处理单元1003还包括:查找子单元1301、判断子单元1303、发送子单元1305、处理子单元1307。
其中,查找子单元1301,用于在预先存储的对应表中查找与域名对应的密钥服务器的地址;判断子单元1303,用于根据地址判断密钥代理服务器与对应的密钥服务器之间是否存在网络连接;发送子单元1305,用于若存在网络连接,则将预主密钥解密请求发送至对应的密钥服务器;处理子单元1307,用于若不存在网络连接,则与对应的密钥服务器建立网络连接,并将预主密钥解密请求发送至对应的密钥服务器。
此处需要说明的是,上述查找子单元1301、判断子单元1303、发送子单元1305、处理子单元1307对应于实施例一中的步骤S502至步骤S508,四个子单元与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述子单元作为密钥代理服务器的一部分可以运行在实施例一提供的计算机终端 10中,可以通过软件实现,也可以通过硬件实现。
可选地,若无法与密钥服务器建立网络连接,第一发送单元1007,还用于通过短信和/或日志向网站代理服务器发送告警消息。
实施例4
根据本发明实施例,还提供了一种用于实施上述网站代理服务器的控制方法的网站代理服务器的实施例,如图14所示,该网站代理服务器包括:第四接收单元1401、第三发送单元1403、第五接收单元1405。
其中,第四接收单元1401,用于接收客户端发送的加密后的预主密钥;第三发送单元1403,用于将预主密钥解密请求和被代理网站的域名发送至密钥代理服务器,其中,预主密钥解密请求包含加密后的预主密钥,由密钥代理服务器根据域名,查找与域名对应的密钥服务器,并将预主密钥解密请求发送至对应的密钥服务器,密钥代理服务器接收密钥服务器通过解密加密后的预主密钥而返回的解密结果;第五接收单元 1405,用于接收密钥代理服务器发送的解密结果。
此处需要说明的是,上述第四接收单元1401、第三发送单元1403、第五接收单元1405对应于实施例二中的步骤S602至步骤S606,三个单元与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例二所公开的内容。需要说明的是,上述单元作为网站代理服务器的一部分可以运行在实施例一提供的计算机终端10中,可以通过软件实现,也可以通过硬件实现。
在本申请上述实施例中,通过密钥代理服务器接收网站代理服务器发送的预主密钥解密请求和被代理网站的域名,进而密钥代理服务器根据域名查找与该域名对应的密钥服务器,并将预主密钥解密请求发送至对应的密钥服务器,达到了密钥代理服务器接收密钥服务器通过解密加密后的预主密钥而返回的解密结果并将该解密结果发送给网站代理服务器的目的,从而实现了降低服务器的配置运维成本、简化服务器之间的连接关系、提高服务器数据交互效率以及优化服务器集群的管理架构的技术效果,进而解决了现有技术中网站代理服务器控制效率较低的技术问题。
可选地,如图15所示,网站代理服务器还包括:第六接收单元1501、第四发送单元1503。
其中,第六接收单元1501,用于接收客户端发送的握手请求和客户端随机数;第四发送单元1503,用于将携带有会话标识以及服务端随机数的握手请求响应发送至客户端;其中,由客户端生成预主密钥,并利用公钥对预主密钥进行加密,生成加密后的预主密钥。
此处需要说明的是,上述第六接收单元1501、第四发送单元1503对应于实施例二中的步骤S702至步骤S704,两个单元与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例二所公开的内容。需要说明的是,上述单元作为网站代理服务器的一部分可以运行在实施例一提供的计算机终端10中,可以通过软件实现,也可以通过硬件实现。
可选地,如图16所示,网站代理服务器还包括:第二生成单元1601、第二存储单元1603。
其中,第二生成单元1601,用于根据解密结果、服务端随机数以及客户端随机数,生成加密密钥;第二存储单元1603,用于将加密密钥以及会话标识对应存储至网站代理服务器的缓存中。
此处需要说明的是,上述第二生成单元1601、第二存储单元1603对应于实施例二中的步骤S802至步骤S804,两个单元与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例二所公开的内容。需要说明的是,上述单元作为网站代理服务器的一部分可以运行在实施例一提供的计算机终端10中,可以通过软件实现,也可以通过硬件实现。
可选地,如图17所示,网站代理服务器还包括:第七接收单元1701、第二查找单元1703、交互单元1705。
其中,第七接收单元1701,用于接收客户端发送的会话标识;第二查找单元1703,用于从网站代理服务器的缓存中查找与会话标识对应的加密密钥;交互单元1705,用于在查找到加密密钥的情况下,使用加密密钥与客户端进行交互。
此处需要说明的是,上述第七接收单元1701、第二查找单元1703、交互单元1705对应于实施例二中的步骤S902至步骤S906,三个单元与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例二所公开的内容。需要说明的是,上述单元作为网站代理服务器的一部分可以运行在实施例一提供的计算机终端10中,可以通过软件实现,也可以通过硬件实现。
可选地,在未查找到加密密钥的情况下,第三发送单元,还用于将会话标识发送至密钥代理服务器,以便从密钥代理服务器获取加密密钥。
实施例5
本申请的实施例可以提供一种计算机终端,该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终端等终端设备。
可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。
在本实施例中,上述计算机终端可以执行应用程序的网站代理服务器的控制方法中以下步骤的程序代码:密钥代理服务器接收网站代理服务器发送的预主密钥解密请求和被代理网站的域名,其中,预主密钥解密请求包含加密后的预主密钥;密钥代理服务器根据域名,查找与域名对应的密钥服务器,并将预主密钥解密请求发送至对应的密钥服务器;密钥代理服务器接收密钥服务器通过解密加密后的预主密钥而返回的解密结果;密钥代理服务器将解密结果发送给网站代理服务器。
在本申请上述实施例中,通过密钥代理服务器接收网站代理服务器发送的预主密钥解密请求和被代理网站的域名,进而密钥代理服务器根据域名查找与该域名对应的密钥服务器,并将预主密钥解密请求发送至对应的密钥服务器,达到了密钥代理服务器接收密钥服务器通过解密加密后的预主密钥而返回的解密结果并将该解密结果发送给网站代理服务器的目的,从而实现了降低服务器的配置运维成本、简化服务器之间的连接关系、提高服务器数据交互效率以及优化服务器集群的管理架构的技术效果,进而解决了现有技术中网站代理服务器控制效率较低的技术问题。
可选地,图18是根据本申请实施例的一种计算机终端的结构框图。如图18所示,该计算机终端A可以包括:一个或多个(图中仅示出一个)处理器1801、存储器1803、以及传输装置1805。
其中,存储器1803可用于存储软件程序以及模块,如本申请实施例中的网站代理服务器的控制方法、密钥代理服务器以及网站代理服务器对应的程序指令/模块,处理器1801通过运行存储在存储器内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的网站代理服务器的控制方法。存储器1803可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器1803可进一步包括相对于处理器1801远程设置的存储器,这些远程存储器1803可以通过网络连接至终端A。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
处理器1801可以通过传输装置1805调用存储器1803存储的信息及应用程序,以执行下述步骤:密钥代理服务器接收网站代理服务器发送的预主密钥解密请求和被代理网站的域名,其中,预主密钥解密请求包含加密后的预主密钥;密钥代理服务器根据域名,查找与域名对应的密钥服务器,并将预主密钥解密请求发送至对应的密钥服务器;密钥代理服务器接收密钥服务器通过解密加密后的预主密钥而返回的解密结果;密钥代理服务器将解密结果发送给网站代理服务器。
可选的,上述处理器1801还可以执行如下步骤的程序代码:根据解密结果、服务端随机数以及客户端随机数,生成加密密钥;将加密密钥以及会话标识对应存储至密钥代理服务器的缓存中。
可选的,上述处理器1801还可以执行如下步骤的程序代码:接收网站代理服务器发送的会话标识;在密钥代理服务器的缓存中查找与会话标识对应的加密密钥;将加密密钥发送至网站代理服务器。
可选的,上述处理器1801还可以执行如下步骤的程序代码:在预先存储的对应表中查找与域名对应的密钥服务器的地址;根据地址判断密钥代理服务器与对应的密钥服务器之间是否存在网络连接;若存在网络连接,则将预主密钥解密请求发送至对应的密钥服务器;若不存在网络连接,则与对应的密钥服务器建立网络连接,并将预主密钥解密请求发送至对应的密钥服务器。
可选的,上述处理器1801还可以执行如下步骤的程序代码:若无法与密钥服务器建立网络连接,则通过短信和/或日志向网站代理服务器发送告警消息。
本领域普通技术人员可以理解,图18所示的结构仅为示意,计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备 (MobileInternet Devices,MID)、PAD等终端设备。图18其并不对上述电子装置的结构造成限定。例如,计算机终端18还可包括比图18中所示更多或者更少的组件 (如网络接口、显示装置等),或者具有与图18所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
实施例6
本申请的实施例还可以提供一种计算机终端,该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终端等终端设备。
可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。
在本实施例中,上述计算机终端可以执行应用程序的网站代理服务器的控制方法中以下步骤的程序代码:接收客户端发送的加密后的预主密钥;将预主密钥解密请求和被代理网站的域名发送至密钥代理服务器,其中,预主密钥解密请求包含加密后的预主密钥,由密钥代理服务器根据域名,查找与域名对应的密钥服务器,并将预主密钥解密请求发送至对应的密钥服务器,密钥代理服务器接收密钥服务器通过解密加密后的预主密钥而返回的解密结果;接收密钥代理服务器发送的解密结果。
在本申请上述实施例中,通过密钥代理服务器接收网站代理服务器发送的预主密钥解密请求和被代理网站的域名,进而密钥代理服务器根据域名查找与该域名对应的密钥服务器,并将预主密钥解密请求发送至对应的密钥服务器,达到了密钥代理服务器接收密钥服务器通过解密加密后的预主密钥而返回的解密结果并将该解密结果发送给网站代理服务器的目的,从而实现了降低服务器的配置运维成本、简化服务器之间的连接关系、提高服务器数据交互效率以及优化服务器集群的管理架构的技术效果,进而解决了现有技术中网站代理服务器控制效率较低的技术问题。
可选地,本实施例中的计算机终端也可以为如图18所示的终端A,处理器1801 可以通过传输装置1805调用存储器1803存储的信息及应用程序,以执行下述步骤:接收客户端发送的加密后的预主密钥;将预主密钥解密请求和被代理网站的域名发送至密钥代理服务器,其中,预主密钥解密请求包含加密后的预主密钥,由密钥代理服务器根据域名,查找与域名对应的密钥服务器,并将预主密钥解密请求发送至对应的密钥服务器,密钥代理服务器接收密钥服务器通过解密加密后的预主密钥而返回的解密结果;接收密钥代理服务器发送的解密结果。
可选的,上述处理器1801还可以执行如下步骤的程序代码:接收客户端发送的握手请求和客户端随机数;将携带有会话标识以及服务端随机数的握手请求响应发送至客户端;其中,由客户端生成预主密钥,并利用公钥对预主密钥进行加密,生成加密后的预主密钥。
可选的,上述处理器1801还可以执行如下步骤的程序代码:根据解密结果、服务端随机数以及客户端随机数,生成加密密钥;将加密密钥以及会话标识对应存储至网站代理服务器的缓存中。
可选的,上述处理器1801还可以执行如下步骤的程序代码:接收客户端发送的会话标识;从网站代理服务器的缓存中查找与会话标识对应的加密密钥;在查找到加密密钥的情况下,使用加密密钥与客户端进行交互。
可选的,上述处理器1801还可以执行如下步骤的程序代码:在未查找到加密密钥的情况下,将会话标识发送至密钥代理服务器,以便从密钥代理服务器获取加密密钥。
本领域普通技术人员可以理解,图18所示的结构仅为示意,计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备 (MobileInternet Devices,MID)、PAD等终端设备。图18其并不对上述电子装置的结构造成限定。例如,计算机终端18还可包括比图18中所示更多或者更少的组件 (如网络接口、显示装置等),或者具有与图18所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
实施例7
本申请的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例一所提供的网站代理服务器的控制方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:接收网站代理服务器发送的预主密钥解密请求和被代理网站的域名,其中,预主密钥解密请求包含加密后的预主密钥;根据域名,查找与域名对应的密钥服务器,并将预主密钥解密请求发送至对应的密钥服务器;接收密钥服务器通过解密加密后的预主密钥而返回的解密结果;将解密结果发送给网站代理服务器。
在本申请上述实施例中,通过密钥代理服务器接收网站代理服务器发送的预主密钥解密请求和被代理网站的域名,进而密钥代理服务器根据域名查找与该域名对应的密钥服务器,并将预主密钥解密请求发送至对应的密钥服务器,达到了密钥代理服务器接收密钥服务器通过解密加密后的预主密钥而返回的解密结果并将该解密结果发送给网站代理服务器的目的,从而实现了降低服务器的配置运维成本、简化服务器之间的连接关系、提高服务器数据交互效率以及优化服务器集群的管理架构的技术效果,进而解决了现有技术中网站代理服务器控制效率较低的技术问题。
实施例8
本申请的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例一所提供的网站代理服务器的控制方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:接收客户端发送的加密后的预主密钥;将预主密钥解密请求和被代理网站的域名发送至密钥代理服务器,其中,预主密钥解密请求包含加密后的预主密钥,由密钥代理服务器根据域名,查找与域名对应的密钥服务器,并将预主密钥解密请求发送至对应的密钥服务器,密钥代理服务器接收密钥服务器通过解密加密后的预主密钥而返回的解密结果;接收密钥代理服务器发送的解密结果。
在本申请上述实施例中,通过密钥代理服务器接收网站代理服务器发送的预主密钥解密请求和被代理网站的域名,进而密钥代理服务器根据域名查找与该域名对应的密钥服务器,并将预主密钥解密请求发送至对应的密钥服务器,达到了密钥代理服务器接收密钥服务器通过解密加密后的预主密钥而返回的解密结果并将该解密结果发送给网站代理服务器的目的,从而实现了降低服务器的配置运维成本、简化服务器之间的连接关系、提高服务器数据交互效率以及优化服务器集群的管理架构的技术效果,进而解决了现有技术中网站代理服务器控制效率较低的技术问题。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (12)
1.一种网站代理服务器的控制方法,其特征在于,包括:
密钥代理服务器接收网站代理服务器发送的预主密钥解密请求和被代理网站的域名,其中,所述预主密钥解密请求包含加密后的预主密钥;
所述密钥代理服务器根据所述域名,查找与所述域名对应的密钥服务器,并将所述预主密钥解密请求发送至所述对应的密钥服务器;
所述密钥代理服务器接收所述密钥服务器通过解密所述加密后的预主密钥而返回的解密结果;
所述密钥代理服务器将所述解密结果发送给所述网站代理服务器。
2.根据权利要求1所述的方法,其特征在于,所述预主密钥解密请求还包含会话标识、服务端随机数以及客户端随机数;
其中,在所述密钥代理服务器接收所述密钥服务器通过解密所述加密后的预主密钥而返回的所述解密结果之后,所述方法还包括:
所述密钥代理服务器根据所述解密结果、所述服务端随机数以及所述客户端随机数,生成加密密钥;
所述密钥代理服务器将所述加密密钥以及所述会话标识对应存储至所述密钥代理服务器的缓存中。
3.根据权利要求2所述的方法,其特征在于,在所述密钥代理服务器将所述加密密钥以及所述会话标识对应存储至所述密钥代理服务器的缓存中之后,所述方法还包括:
所述密钥代理服务器接收所述网站代理服务器发送的所述会话标识;
所述密钥代理服务器在所述密钥代理服务器的缓存中查找与所述会话标识对应的所述加密密钥;
所述密钥代理服务器将所述加密密钥发送至所述网站代理服务器。
4.根据权利要求1所述的方法,其特征在于,所述密钥代理服务器根据所述域名,查找与所述域名对应的密钥服务器,并将所述预主密钥解密请求发送至所述对应的密钥服务器包括:
所述密钥代理服务器在预先存储的对应表中查找与所述域名对应的密钥服务器的地址;
所述密钥代理服务器根据所述地址判断所述密钥代理服务器与所述对应的密钥服务器之间是否存在网络连接;
若存在所述网络连接,则将所述预主密钥解密请求发送至所述对应的密钥服务器;
若不存在所述网络连接,则与所述对应的密钥服务器建立网络连接,并将所述预主密钥解密请求发送至所述对应的密钥服务器。
5.根据权利要求4所述的方法,其特征在于,若无法与所述密钥服务器建立网络连接,所述密钥代理服务器则通过短信和/或日志向所述网站代理服务器发送告警消息。
6.一种网站代理服务器的控制方法,其特征在于,包括:
网站代理服务器接收客户端发送的加密后的预主密钥;
所述网站代理服务器将预主密钥解密请求和被代理网站的域名发送至密钥代理服务器,其中,所述预主密钥解密请求包含所述加密后的预主密钥,由所述密钥代理服务器根据所述域名,查找与所述域名对应的密钥服务器,并将所述预主密钥解密请求发送至所述对应的密钥服务器,所述密钥代理服务器接收所述密钥服务器通过解密所述加密后的预主密钥而返回的解密结果;
所述网站代理服务器接收所述密钥代理服务器发送的所述解密结果。
7.根据权利要求6所述的方法,其特征在于,在所述网站代理服务器接收客户端发送的加密后的预主密钥之前,所述方法还包括:
接收所述客户端发送的握手请求和客户端随机数;
将携带有会话标识以及服务端随机数的握手请求响应发送至所述客户端;
其中,由所述客户端生成所述预主密钥,并利用公钥对所述预主密钥进行加密,生成所述加密后的预主密钥。
8.根据权利要求7所述的方法,其特征在于,在所述网站代理服务器接收所述密钥代理服务器发送的所述解密结果之后,所述方法还包括:
所述网站代理服务器根据所述解密结果、所述服务端随机数以及所述客户端随机数,生成加密密钥;
所述网站代理服务器将所述加密密钥以及所述会话标识对应存储至所述网站代理服务器的缓存中。
9.根据权利要求8所述的方法,其特征在于,在所述网站代理服务器将所述加密密钥以及所述会话标识对应存储至所述网站代理服务器的缓存中之后,所述方法还包括:
所述网站代理服务器接收所述客户端发送的所述会话标识;
所述网站代理服务器从所述网站代理服务器的缓存中查找与所述会话标识对应的所述加密密钥;
在查找到所述加密密钥的情况下,使用所述加密密钥与所述客户端进行交互。
10.根据权利要求9所述的方法,其特征在于,在未查找到所述加密密钥的情况下,所述网站代理服务器将所述会话标识发送至所述密钥代理服务器,以便从所述密钥代理服务器获取所述加密密钥。
11.一种密钥代理服务器,其特征在于,包括:
第一接收单元,用于接收网站代理服务器发送的预主密钥解密请求和被代理网站的域名,其中,所述预主密钥解密请求包含加密后的预主密钥;
处理单元,用于根据所述域名,查找与所述域名对应的密钥服务器,并将所述预主密钥解密请求发送至所述对应的密钥服务器;
第二接收单元,用于接收所述密钥服务器通过解密所述加密后的预主密钥而返回的解密结果;
第一发送单元,用于将所述解密结果发送给所述网站代理服务器。
12.一种网站代理服务器,其特征在于,包括:
第四接收单元,用于接收客户端发送的加密后的预主密钥;
第三发送单元,用于将预主密钥解密请求和被代理网站的域名发送至密钥代理服务器,其中,所述预主密钥解密请求包含所述加密后的预主密钥,由所述密钥代理服务器根据所述域名,查找与所述域名对应的密钥服务器,并将所述预主密钥解密请求发送至所述对应的密钥服务器,所述密钥代理服务器接收所述密钥服务器通过解密所述加密后的预主密钥而返回的解密结果;
第五接收单元,用于接收所述密钥代理服务器发送的所述解密结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610128392.9A CN107172001B (zh) | 2016-03-07 | 2016-03-07 | 网站代理服务器的控制方法及装置、密钥代理服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610128392.9A CN107172001B (zh) | 2016-03-07 | 2016-03-07 | 网站代理服务器的控制方法及装置、密钥代理服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107172001A CN107172001A (zh) | 2017-09-15 |
| CN107172001B true CN107172001B (zh) | 2020-09-01 |
Family
ID=59848523
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610128392.9A Active CN107172001B (zh) | 2016-03-07 | 2016-03-07 | 网站代理服务器的控制方法及装置、密钥代理服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107172001B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109451043B (zh) * | 2018-12-12 | 2022-02-08 | 北京升鑫网络科技有限公司 | 一种通过代理访问来保护用户隐私的服务器访问方法 |
| CN110276000B (zh) * | 2019-06-19 | 2023-09-26 | 腾讯科技(深圳)有限公司 | 媒体资源的获取方法和装置、存储介质及电子装置 |
| CN110278127B (zh) * | 2019-07-02 | 2020-12-01 | 成都安恒信息技术有限公司 | 一种基于安全传输协议的Agent部署方法及*** |
| CN112769868A (zh) * | 2021-02-07 | 2021-05-07 | 深圳市欧瑞博科技股份有限公司 | 通信方法、装置、电子设备及存储介质 |
| CN113783867B (zh) * | 2021-09-07 | 2023-07-25 | 福建天泉教育科技有限公司 | 一种请求认证方法及终端 |
| CN114390027B (zh) * | 2022-03-24 | 2022-07-12 | 恒生电子股份有限公司 | 一种网络通信方法、装置、设备及介质 |
| CN115174204A (zh) * | 2022-07-01 | 2022-10-11 | 京东科技控股股份有限公司 | 数据传输方法、装置和*** |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102932350A (zh) * | 2012-10-31 | 2013-02-13 | 华为技术有限公司 | 一种tls扫描的方法和装置 |
| CN104081711A (zh) * | 2011-12-16 | 2014-10-01 | 阿卡麦科技公司 | 在不用局部可访问的私有密钥的情况下终止ssl连接 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7543051B2 (en) * | 2003-05-30 | 2009-06-02 | Borland Software Corporation | Method of non-intrusive analysis of secure and non-secure web application traffic in real-time |
| US20070074282A1 (en) * | 2005-08-19 | 2007-03-29 | Black Jeffrey T | Distributed SSL processing |
| US8190875B2 (en) * | 2007-03-22 | 2012-05-29 | Cisco Technology, Inc. | Reducing processing load in proxies for secure communications |
| KR20140052703A (ko) * | 2012-10-25 | 2014-05-07 | 삼성전자주식회사 | 프록시 서버를 이용한 웹 서비스 가속 방법 및 장치 |
| CN103220344B (zh) * | 2013-03-29 | 2016-08-31 | 新浪技术(中国)有限公司 | 微博授权使用方法和*** |
| CN104348838B (zh) * | 2014-11-18 | 2017-08-25 | 深圳市大成天下信息技术有限公司 | 一种文档管理***和方法 |
-
2016
- 2016-03-07 CN CN201610128392.9A patent/CN107172001B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104081711A (zh) * | 2011-12-16 | 2014-10-01 | 阿卡麦科技公司 | 在不用局部可访问的私有密钥的情况下终止ssl连接 |
| CN102932350A (zh) * | 2012-10-31 | 2013-02-13 | 华为技术有限公司 | 一种tls扫描的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107172001A (zh) | 2017-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107172001B (zh) | 网站代理服务器的控制方法及装置、密钥代理服务器 | |
| US11626979B2 (en) | ECDHE key exchange for mutual authentication using a key server | |
| CN110493261B (zh) | 基于区块链的验证码获取方法、客户端、服务器及存储介质 | |
| Kalra et al. | Secure authentication scheme for IoT and cloud servers | |
| US9912644B2 (en) | System and method to communicate sensitive information via one or more untrusted intermediate nodes with resilience to disconnected network topology | |
| CN105007577B (zh) | 一种虚拟sim卡参数管理方法、移动终端及服务器 | |
| US11303431B2 (en) | Method and system for performing SSL handshake | |
| CN111740966B (zh) | 一种基于区块链网络的数据处理方法及相关设备 | |
| CN106788989B (zh) | 一种建立安全加密信道的方法及设备 | |
| CN111131416B (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
| US12003629B2 (en) | Secure server digital signature generation for post-quantum cryptography key encapsulations | |
| CN113497778A (zh) | 一种数据的传输方法和装置 | |
| CN112804354B (zh) | 跨链进行数据传输的方法、装置、计算机设备和存储介质 | |
| CN113992427B (zh) | 基于相邻节点的数据加密发送方法及装置 | |
| CN113472634B (zh) | 即时通讯方法、装置及***、存储介质、电子装置 | |
| CN106031097A (zh) | 业务处理方法及装置 | |
| CN110213346B (zh) | 加密信息的传输方法及装置 | |
| EP4206906A1 (en) | Processing system and method for updating firmware online | |
| CN114390027B (zh) | 一种网络通信方法、装置、设备及介质 | |
| CN113452513B (zh) | 密钥分发方法、装置和*** | |
| CN115022012A (zh) | 一种数据传输方法、装置、***、设备及存储介质 | |
| CN111797417A (zh) | 文件的上传方法和装置、存储介质及电子装置 | |
| CN111404901A (zh) | 信息验证方法及装置 | |
| US20230205507A1 (en) | Processing system and method for updating firmware online | |
| CN116248416B (zh) | 一种身份认证的方法、装置、计算机设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |