CN112564912A - 建立安全连接的方法、***、装置和电子设备 - Google Patents
建立安全连接的方法、***、装置和电子设备 Download PDFInfo
- Publication number
- CN112564912A CN112564912A CN202011341971.4A CN202011341971A CN112564912A CN 112564912 A CN112564912 A CN 112564912A CN 202011341971 A CN202011341971 A CN 202011341971A CN 112564912 A CN112564912 A CN 112564912A
- Authority
- CN
- China
- Prior art keywords
- private key
- management server
- security certificate
- client
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种建立安全连接的方法、***、装置和电子设备,接收到客户端发送的目标网站的访问请求时,从保存有目标网站的安全证书和安全证书的私钥的管理服务器中获取安全证书,将安全证书发送至客户端;在需要使用安全证书的私钥签名或者解密时,向管理服务器发送私钥使用请求,管理服务器使用安全证书的私钥对私钥使用请求进行签名或者解密;接收管理服务器返回的处理结果,基于该处理结果与客户端建立安全连接。该方式中,网站的安全证书和该安全证书的私钥仅保存在管理服务器,无需预先下发安全证书和私钥,当客户端访问目标网站时,通过管理服务器使用安全证书和私钥与客户端建立连接,从而避免了私钥和证书的泄露,提高了数据的安全性。
Description
技术领域
本发明涉及数据安全技术领域,尤其是涉及一种建立安全连接的方法、***、装置和电子设备。
背景技术
HTTPS(Hyper Text Transfer Protocol over SecureSocket Layer,超文本传输安全协议)是以安全为目标的HTTP通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS的使用遵从PKI(Public-Key Infrastructure,公钥基础设施)的要求,需要服务的提供方提供证书和对应的私钥,然后同客户端建立安全连接。在实际应用中,当源站使用CDN(Content Delivery Network,内容分发网络)后,客户端同源站建立的HTTPS连接由源站转移到了CDN节点,也即是由CDN节点来代表源站进行握手,因此,需要将源站的证书和私钥部署在CDN节点上,但由于CDN节点数量较多,整体的服务器数量巨大,在每台CDN节点的缓存服务器上都保存有证书和私钥,容易造成私钥和证书的泄露,进而威胁到用户的数据安全。
发明内容
本发明的目的在于提供一种建立安全连接的方法、***、装置和电子设备,以降低私钥和证书泄露的风险,进而保证用户的数据安全。
第一方面,本发明实施例提供了一种建立安全连接的方法,该方法包括:如果接收到客户端发送的针对目标网站的访问请求,从管理服务器中获取目标网站的安全证书;其中,该管理服务器中保存有目标网站的安全证书和安全证书对应的私钥;将该安全证书发送至客户端;在需要使用安全证书对应的私钥进行签名或者解密时,向管理服务器发送私钥使用请求,以通过管理服务器使用安全证书对应的私钥对私钥使用请求进行签名或者解密处理,返回处理结果;接收管理服务器返回的处理结果,基于该处理结果与客户端建立安全连接。
在可选的实施方式中,上述目标网站的访问请求中携带有目标网站的域名;上述如果接收到客户端发送的针对目标网站的访问请求,从管理服务器中获取目标网站的安全证书的步骤,包括:如果接收到客户端发送的针对目标网站的访问请求,提取访问请求携带的目标网站的域名;将目标网站的域名发送至管理服务器;接收管理服务器根据目标网站的域名返回的目标网站的安全证书。
在可选的实施方式中,上述将安全证书发送至客户端的步骤之后,该方法还包括:接收客户端使用安全证书对客户端的预主密钥加密后得到的加密后的预主密钥;上述在需要使用安全证书对应的私钥进行签名或者解密时,向管理服务器发送私钥使用请求,以通过管理服务器使用安全证书对应的私钥对私钥使用请求进行签名或者解密处理的步骤,包括:将加密后的预主密钥发送至管理服务器,以通过管理服务器使用安全证书对应的私钥解密加密后的预主密钥;上述接收管理服务器返回的处理结果,基于处理结果与客户端建立安全连接的步骤,包括:接收管理服务器返回的解密后的预主密钥,基于该预主密钥与客户端建立安全连接。
在可选的实施方式中,上述私钥使用请求中携带有指定参数;上述向管理服务器发送私钥使用请求,以通过管理服务器使用安全证书对应的私钥对私钥使用请求进行签名或者解密处理的步骤,包括:向管理服务器发送携带有指定参数的私钥使用请求,以通过管理服务器使用安全证书对应的私钥对指定参数进行签名,返回签名信息;上述接收管理服务器返回的处理结果,基于处理结果与客户端建立安全连接的步骤,包括:接收管理服务器返回的签名信息,并将该签名信息发送至客户端,以使客户端通过安全证书验签签名信息,得到指定参数;基于该指定参数与客户端建立安全连接。
在可选的实施方式中,上述私钥使用请求中携带有访问请求中包含的目标参数;上述向所述管理服务器发送私钥使用请求,以通过所述管理服务器使用所述安全证书对应的私钥对所述私钥使用请求进行签名或者解密处理的步骤,包括:向管理服务器发送私钥使用请求,以通过管理服务器使用安全证书对应的私钥对私钥使用请求进行签名,基于目标参数生成临时公钥,并结合临时公钥和目标参数计算出共享密钥,返回签名信息、临时公钥和共享密钥;上述接收管理服务器返回的处理结果,基于处理结果与客户端建立安全连接的步骤,包括:接收管理服务器返回的签名信息、临时公钥和共享密钥,将签名信息和临时公钥发送至客户端,以使客户端通过安全证书验签签名信息,验签成功后,基于临时公钥和目标参数生成共享密钥;基于共享密钥与客户端建立安全连接。
在可选的实施方式中,上述如果接收到客户端发送的针对目标网站的访问请求,从管理服务器中获取目标网站的安全证书的步骤之前,上述方法还包括:通过保存的第一证书和第一证书对应的私钥,与管理服务器保存的第二证书和第二证书对应的私钥进行认证,建立与管理服务器的安全连接。
第二方面,本发明实施例提供了一种建立安全连接的方法,该方法包括:如果接收到网页服务器发送的针对目标网站的访问请求,将保存的目标网站的安全证书发送至网页服务器;其中,该访问请求为客户端发送至网页服务器的;接收网页服务器发送的私钥使用请求,使用保存的安全证书对应的私钥,对私钥使用请求进行签名或者解密处理,得到处理结果;将该处理结果发送至网页服务器,以使网页服务器基于该处理结果与客户端建立安全连接。
在可选的实施方式中,上述目标网站的访问请求中携带有目标网站的域名;上述如果接收到网页服务器发送的针对目标网站的访问请求,将保存的目标网站的安全证书发送至网页服务器的步骤,包括:根据接收到的访问请求中携带的目标网站的域名,在保存的安全证书和安全证书对应的私钥中,查找目标网站的安全证书;将查找到的安全证书发送至网页服务器。
第三方面,本发明实施例提供了一种建立安全连接的***,该***包括:通信连接的管理服务器和网页服务器;管理服务器用于保存网站的安全证书和安全证书对应的私钥;网页服务器用于在接收到客户端发送的针对目标网站的访问请求时,从管理服务器中获取目标网站的安全证书,并将获取的安全证书发送至客户端;网页服务器还用于在需要使用安全证书对应的私钥进行签名或者解密时,向管理服务器发送私钥使用请求;管理服务器用于接收私钥使用请求,使用安全证书对应的私钥对私钥使用请求进行签名或者解密处理,并将处理结果发送至所述网页服务器;网页服务器还用于基于接收的处理结果与客户端建立安全连接。
第四方面,本发明实施例提供了一种建立安全连接的装置,该装置包括:证书获取模块,用于如果接收到客户端发送的针对目标网站的访问请求,从管理服务器中获取目标网站的安全证书;其中,该管理服务器中保存有目标网站的安全证书和安全证书对应的私钥;证书发送模块,用于将安全证书发送至客户端,以通过客户端使用安全证书加密客户端的预主密钥;私钥使用模块,用于在需要使用安全证书对应的私钥进行签名或者解密时,向管理服务器发送私钥使用请求,以通过管理服务器使用安全证书对应的私钥对私钥使用请求进行签名或者解密处理,返回处理结果;连接建立模块,用于接收管理服务器返回的处理结果,基于该处理结果与客户端建立安全连接。
第五方面,本发明实施例提供了一种建立安全连接的装置,该装置包括:证书确定模块,用于如果接收到网页服务器发送的针对目标网站的访问请求,将保存的目标网站的安全证书发送至网页服务器;其中,该访问请求为客户端发送至网页服务器的;私钥处理模块,用于接收网页服务器发送的私钥使用请求,使用保存的安全证书对应的私钥,对私钥使用请求进行签名或者解密处理,得到处理结果;结果返回模块,用于将处理结果发送至网页服务器,以使该网页服务器基于处理结果与客户端建立安全连接。
第六方面,本发明实施例提供了一种电子设备,该电子设备包括处理器和存储器,该存储器存储有能够被处理器执行的机器可执行指令,该处理器执行机器可执行指令以实现上述第一方面所述的建立安全连接的方法或者第二方面所述的建立安全连接的方法。
第七方面,本发明实施例提供了一种机器可读存储介质,该机器可读存储介质存储有机器可执行指令,该机器可执行指令在被处理器调用和执行时,该机器可执行指令促使处理器实现上述第一方面所述的建立安全连接的方法或者第二方面所述的建立安全连接的方法。
本发明实施例带来了以下有益效果:
本发明提供的一种建立安全连接的方法、***、装置和电子设备,如果接收到客户端发送的针对目标网站的访问请求,从保存有目标网站的安全证书和安全证书对应的私钥的管理服务器中获取目标网站的安全证书;进而将获取的安全证书发送至客户端;在需要使用安全证书对应的私钥进行签名或者解密时,向管理服务器发送私钥使用请求,以通过管理服务器使用安全证书对应的私钥对所述私钥使用请求进行签名或者解密处理,返回处理结果;然后接收管理服务器返回的处理结果,基于该处理结果与客户端建立安全连接。该方式中,网站的安全证书和该安全证书的私钥均保存在管理服务器中,无需预先下发安全证书和私钥,当客户端访问目标网站时,通过与管理服务器实时通信的方式使用安全证书和私钥,建立与客户端的连接,从而避免了私钥和证书的泄露,提高了用户数据的安全性。
本发明的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本发明的上述技术即可得知。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施方式,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种建立安全连接的方法的流程图;
图2为本发明实施例提供的另一种建立安全连接的方法的流程图;
图3为本发明实施例提供的另一种建立安全连接的方法的流程图;
图4为本发明实施例提供的另一种建立安全连接的方法的流程图;
图5为本发明实施例提供的另一种建立安全连接的方法的流程图;
图6为本发明实施例提供的一种建立安全连接的***的结构示意图;
图7为本发明实施例提供的一种建立安全连接的装置的结构示意图;
图8为本发明实施例提供的另一种建立安全连接的装置的结构示意图;
图9为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
HTTPS可以对HTTP请求和应答实施加密,从而保证数据的完整性、私密性以及认证性。HTTPS的使用遵从PKI的要求,需要服务的提供方提供证书和该证书对应的私钥,然后同客户端建立安全连接。在实际应用中,当网站使用CDN后,客户端同网站建立的HTTPS连接由源站转移到了CDN节点,也即是由CDN节点来代表源站进行握手,因此,需要将网站的证书和私钥部署在CDN节点上,以便CDN节点完成SSL(Secure Sockets Layer,安全套接字协议)/TLS(Transport Layer Security,传输层安全)握手。但由于CDN节点数量较多,整体的服务器数量巨大,在每台CDN节点的缓存服务器上都保存证书和私钥,导致私钥和证书被攻击的几率变大,存在泄露的风险,进而也威胁到了用户的数据安全。
相关技术中,需要源站将证书和私钥均发送给服务端(相当于上述CDN节点),以使服务端通过证书和私钥与客户端进行SSL/TLS握手,基于RSA算法的握手过程为:
1、客户端问候,可称为“client hello”,即客户端向服务端发送域名访问请求,该访问请求中包含有SNI(Server Name Indication,服务器名称指示)信息和客户端支持的加密算法等。
2、服务端问候,可称为“sever hello”,即服务端接收到访问请求后,给予客户端响应握手信息,包括匹配好的协商加密算法和数字证书等,该数字证书其实就是公钥,只是包含了很多信息,如证书的颁发机构、过期时间、服务端的公钥、第三方证书认证机构的签名和服务端的域名信息等内容。
3、客户端解析数字证书,首先验证数字证书中的公钥是否有效,比如颁发机构、过期时间等;如果发现异常,则会弹出一个警告框,提示证书存在问题,如果证书没有问题,则随机生成一个预主密钥,并通过数字证书中的公钥加密该预主密钥,将加密后的预主密钥发送至服务端。
4、服务端用该数字证书对应的私钥解密接收到的加密后的预主密钥,得到解密后的预主密钥,此时,客户端和服务端都有了预主密钥,它们能共同获得一个会话密钥。
5、客户端通过会话密钥加密一条消息发送给服务端,主要验证服务端是否可以正常接收客户端加密的消息。
6、服务端也会通过会话密钥加密一条消息回传给客户端,如果客户端能够正常接收的话,表明SSL/TLS层连接建立完成了。
基于DH(Diffie-Hellman,密钥交换)算法的握手过程中,前两个步骤与基于RSA算法的握手过程相同,第三步为服务端会通过数字证书对应的私钥对指定参数进行签名,并将签名信息发送至客户端,以使客户端通过数字证书验证签名信息,验证成功后客户端得到指定参数,从而通过该指定参数建立客户端与服务端的会话密钥。
基于TLS1.3算法的握手过程中,首先客户端发送client hello,该client hello消息主要包括客户端支持的协议版本、会话标识、密码套件、压缩算法、扩展消息(密钥共享、预共享密钥、预共享密钥模式等)和待加密参数;然后服务端回复sever hello消息,包含:选定的加密套件、发送证书给客户端;使用证书对应的私钥对握手消息签名,将结果发送给客户端;选用客户端提供的参数生成临时公钥,结合选定的参数计算出用于加密HTTP消息的共享密钥;服务端生成的临时公钥通过KeyShare消息发送给客户端。客户端接收到KeyShare消息后,使用证书公钥进行签名验证,获取服务器端的临时公钥,生成会话所需要的共享密钥;双方使用生成的共享密钥对消息加密传输,保证消息安全。
一般来讲,对于安全要求更为严苛的客户,不希望将私钥暴露给CDN节点,如果对于安全要求更高或者部署条件更为苛刻的情况下,客户希望将证书和私钥都不暴露给CDN节点。
基于上述问题,本发明实施例提供了一种建立安全连接的方法、***、装置和电子设备,该技术可以应用于HTTPS接入场景中,尤其是SSL/TSL握手场景。为便于对本实施例进行理解,首先对本发明实施例所公开的一种建立安全连接的方法进行详细介绍,该方法应用于网页服务器,该网页服务器相当于上述CDN节点,该网页服务器分别与客户端和管理服务器通信,该客户端可以是移动终端,例如,手机、平板电脑、智能手环等,也可以是计算机;管理服务器可以是一台单独的物理服务器,该管理服务器中预先保存有至少一个网站的安全证书(相当于上述数字证书),以及该安全证书对应的私钥。
如图1所示,上述建立安全连接的方法包括如下步骤:
步骤S102,如果接收到客户端发送的针对目标网站的访问请求,从管理服务器中获取目标网站的安全证书。
上述目标网站通常是客户想要访问的网站,该目标网站可以为客户提供相应的服务,具体提供什么服务可以根据研发人员对目标网站的研发需求设定。在具体实现时,当网页服务器接收到客户端发送的针对目标网站的访问请求后,会向管理服务器转发该目标网站的访问请求,或者基于该访问请求向管理服务器发送证书获取请求,以使管理服务器从保存的安全证书中查找目标网站的安全证书,并将查找到的目标网站的安全证书返回给网页服务器。
在具体实现时,用户通过客户端访问目标网站时,向网页服务器发起HTTPS GET请求(相当于上述访问请求)。HTTPS GET请求的过程中,根据SSL/TLS协议,首先要进行“握手”,在SSL/TLS握手过程中,目标网站的访问请求的具体格式可以为一个客户端问候(client hello)消息。
步骤S104,将上述安全证书发送至客户端。
网页服务器接收到目标网站的安全证书后,会将该安全证书发送至客户端。在SSL/TLS握手过程中,网页服务器向客户端发送的安全证书的具体格式可以为一个服务端问候(sever hello)消息。
步骤S106,在需要使用安全证书对应的私钥进行签名或者解密时,向管理服务器发送私钥使用请求,以通过该管理服务器使用安全证书对应的私钥对私钥使用请求进行签名或者解密处理,返回处理结果。
由于在网页服务器建立与客户端的安全连接时,需要使用安全证书对应的私钥进行签名或者解密,因而网页服务器需要向管理服务器发送私钥使用请求,该私钥使用请求中可以携带有需要签名的信息或者需要解密的信息,以使管理服务器使用安全证书对应的私钥对需要签名的信息进行签名处理,或者对需要解密的信息进行解密处理,并将处理结果返回给网页服务器。
步骤S108,接收管理服务器返回的处理结果,基于该处理结果与客户端建立安全连接。
网页服务器接收到管理服务器返回的处理结果后,会基于该处理结果生成会话密钥,从而通过该会话密钥建立与客户端的安全连接。
本发明实施例提供的一种建立安全连接的方法,如果接收到客户端发送的针对目标网站的访问请求,从保存有目标网站的安全证书和安全证书对应的私钥的管理服务器中获取目标网站的安全证书;进而将获取的安全证书发送至客户端;在需要使用安全证书对应的私钥进行签名或者解密时,向管理服务器发送私钥使用请求,以通过管理服务器使用安全证书对应的私钥对所述私钥使用请求进行签名或者解密处理,返回处理结果;然后接收管理服务器返回的处理结果,基于该处理结果与客户端建立安全连接。该方式中,网站的安全证书和该安全证书的私钥均保存在管理服务器中,无需预先下发安全证书和私钥,当客户端访问目标网站时,通过与管理服务器实时通信的方式使用安全证书和私钥,建立与客户端的连接,从而避免了私钥和证书的泄露,提高了用户数据的安全性。
本发明实施例还提供了另一种建立安全连接的方法,该方法在上述实施例方法的基础上实现;该方法重点描述如果接收到客户端发送的针对目标网站的访问请求,从管理服务器中获取目标网站的安全证书的具体过程(通过下述步骤S204-S208实现),在需要使用安全证书对应的私钥进行签名或者解密时,向管理服务器发送私钥使用请求,以通过该管理服务器使用安全证书对应的私钥对私钥使用请求进行签名或者解密处理,返回处理结果的具体过程(通过下述步骤S212实现),以及接收管理服务器返回的处理结果,基于该处理结果与客户端建立安全连接的具体过程(通过下述步骤S214实现);如图2所示,该方法包括如下步骤:
步骤S202,通过保存的第一证书和第一证书对应的私钥,与管理服务器保存的第二证书和第二证书对应的私钥进行认证,建立与管理服务器的安全连接。
上述第一证书和第一证书对应的私钥是用于证明网页服务器的身份的,预先保存在网页服务器中;上述第二证书和第二证书对应的私钥是用于证明管理服务器的身份的,预先保存在管理服务器中。在建立网页服务器和管理服务器的安全连接时,需要网页服务器将第一证书发送至管理服务器,管理服务器将第二证书发送至网页服务器进行互相认证,认证通过后,网页服务器可以通过第一证书对应的私钥加密会话信息,以使管理服务器通过第一证书中的公钥进行解密;管理服务器也可以通过第二证书对应的私钥加密会话信息,以使网页服务器通过第二证书中的公钥进行解密。
步骤S204,如果接收到客户端发送的针对目标网站的访问请求,提取该访问请求携带的目标网站的域名。
在具体实现时,上述目标网站的访问请求中可以携带有目标网站的域名和SNI信息等信息。
步骤S206,将目标网站的域名发送至管理服务器。
步骤S208,接收管理服务器根据目标网站的域名返回的目标网站的安全证书。
当管理服务器接收到目标网站的域名时,可以在管理服务器保存的安全证书和安全证书对应的私钥中,查找该域名对应的安全证书,也即是目标网站的安全证书,并将查找到的安全证书发送至网页服务器。
步骤S210,将上述安全证书发送至客户端,以通过客户端使用该安全证书加密该客户端的预主密钥。
当客户端接收到安全证书后,会验证该安全证书中的公钥是否有效,比如颁发机构、过期时间等等,如果发现异常,则会弹出一个警告框,提示安全证书存在问题;如果证书没有问题,则会随机生成一个预主密钥,并通过安全证书中的公钥加密该预主密钥,将加密后的预主密钥发送至网页服务器。该预主密钥通常是一个48位的数据块,它能合并客户端和网页服务器随机,并且用伪随机函数在网页服务器中随机创建一个会话密钥。
在具体实现时,网页服务器在接收到管理服务器发送的目标网站的安全证书时,将该安全证书发送至客户端,同时,也可以将接收到的目标网站的安全证书缓存指定时间,以便有其他客户端在该指定时间内发送目标网站的访问请求时,直接返回给客户端。
步骤S212,接收客户端发送的加密后的预主密钥,将加密后的预主密钥发送至管理服务器,以通过该管理服务器使用安全证书对应的私钥解密加密后的预主密钥。
当网页服务器接收客户端发送的加密后的预主密钥后,将该加密后的预主密钥发送至管理服务器,该管理服务器将使用目标网站的安全证书对应的私钥对加密后的预主密钥进行解密,得到解密后的预主密钥。
步骤S214,接收管理服务器返回的解密后的预主密钥,基于该预主密钥与客户端建立安全连接。
网页服务器接收到管理服务器返回的解密后的预主密钥后,会保存该预主密钥,此时,客户端和网页服务器中拥有了相同的预主密钥,他们可以共同获得一个会话密钥,然后客户端通过该会话密钥加密一条消息发送给网页服务器,以验证服务端是否可以正常接收客户端发送的加密消息;网页服务器也会通过该会话密钥加密一条消息回传给客户端,如果客户端能够正常接收的话,表明SSL/TLS握手完成,也即是建立了网页服务器与客户端的安全连接。
在具体实现时,上述步骤S204-S214是在整个SSL/TLS握手阶段***的逻辑,SSL/TLS握手阶段本质上是为了计算对称密钥,安全证书是为了向客户端确认目标网站的合法性,安全证书对应的私钥是为了最终计算对称密钥。在握手阶段,客户端向网页服务器发起HTTPS请求(相当于上述目标网站的访问请求),网页服务器作为服务端在整个握手过程中目的是和客户端约定对称密钥;在计算对称密钥的过程中,需要用私钥签名或私钥解密的方式和相关信息去计算一些关键信息,用于最终的对称密钥生成,具体过程为:客户端在接收到安全证书后,使用该安全证书中的公钥加密该随机生成的预主密钥,然后将该加密后的预主密钥发送至网页服务器,网页服务器会将加密后的预主密钥和相关密钥唯一标识通过私有协议编码后传给管理服务器,管理服务器计算完成(也即是使用安全证书对应的私钥解密加密后的预主密钥,得到解密后的预主密钥)后回传给网页服务器。网页服务器接收到解密后的预主密钥,基于该预主密钥与客户端建立安全连接。上述私有协议通常是一套企业内部自定的协议标准,只适用于本企业生产的设备产品。
在整个握手过程中,将安全证书和私钥通过管理服务器保存,而不是下发并保存在网页服务器中,一方面将安全证书和私钥的管理权限交给了管理服务器,便于管理,从而也可以让客户完全掌握安全证书和私钥的管理;另一方面也杜绝了网页服务器泄露安全证书进和私钥的可能性。
上述建立安全连接的方法,该方式由管理服务器保存和管理网站的安全证书和私钥,无需向网页服务器提供安全证书和私钥,在使用安全证书和私钥时,由网页服务器从管理服务器中获取,从而避免了安全证书和私钥的泄露,且客户可以完全掌控安全证书和私钥的管理;同时,对于网页服务器的部署也更为简短,安全性也更高。该方式中,网站的安全证书和该安全证书的私钥均保存在管理服务器中,无需预先下发给网页服务器,当客户端访问目标网站时,网页服务器通过与管理服务器实时通信的方式使用安全证书和私钥,以建立与客户端的安全连接,从而可以避免私钥和证书的泄露,提高用户数据的安全性。
本发明实施例还提供了另一种建立安全连接的方法,该方法在上述实施例方法的基础上实现;该方法重点描述在需要使用安全证书对应的私钥进行签名或者解密时,向管理服务器发送私钥使用请求,以通过该管理服务器使用安全证书对应的私钥对私钥使用请求进行签名或者解密处理,返回处理结果的具体过程(通过下述步骤S306实现),以及接收管理服务器返回的处理结果,基于该处理结果与客户端建立安全连接的具体过程(通过下述步骤S308实现);如图3所示,该方法包括如下步骤:
步骤S302,如果接收到客户端发送的针对目标网站的访问请求,从管理服务器中获取目标网站的安全证书。
步骤S304,将上述安全证书发送至客户端。
步骤S306,向管理服务器发送携带有指定参数的私钥使用请求,以通过管理服务器使用安全证书对应的私钥对指定参数进行签名,返回签名信息。
当网页服务器向客户端发送安全证书后,会向管理服务器发送携带有指定参数的私钥使用请求;该管理服务器接收到该私钥使用请求后,会使用安全证书对应的私钥对指定参数进行签名,得到签名信息,并将该签名信息返回给页面服务器。该指定参数可以是赫尔曼参数。
步骤S308,接收管理服务器返回的签名信息,并将该签名信息发送至客户端,以使该客户端通过安全证书验签签名信息,得到指定参数;基于该指定参数与客户端建立安全连接。
页面服务器将接收到的管理服务器返回的签名信息发送至客户端,客户端将使用接收的安全证书验证签名信息,验证成功后,得到指定参数,从而网页服务器和客户端都保存有指定参数,以使网页服务器和客户端均可根据指定参数建立会话密钥,也即是建立了网页服务器与客户端的安全连接。
上述建立安全连接的方法,网站的安全证书和该安全证书的私钥均保存在管理服务器中,无需预先下发给网页服务器,当客户端访问目标网站时,网页服务器通过与管理服务器实时通信的方式使用安全证书和私钥,以建立与客户端的安全连接,从而可以避免私钥和证书的泄露,提高用户数据的安全性。
本发明实施例还提供了另一种建立安全连接的方法,该方法在上述实施例方法的基础上实现;该方法重点描述在需要使用安全证书对应的私钥进行签名或者解密时,向管理服务器发送私钥使用请求,以通过该管理服务器使用安全证书对应的私钥对私钥使用请求进行签名或者解密处理,返回处理结果的具体过程(通过下述步骤S404实现),以及接收管理服务器返回的处理结果,基于该处理结果与客户端建立安全连接的具体过程(通过下述步骤S406实现);如图4所示,该方法包括如下步骤:
步骤S402,如果接收到客户端发送的针对目标网站的访问请求,从管理服务器中获取目标网站的安全证书,该访问请求中携带有目标参数。
上述目标参数是客户端提供的用于生成客户端与网页服务器会话密钥的参数。
步骤S404,将上述安全证书发送至客户端,并向向管理服务器发送携带有目标参数的私钥使用请求,以通过管理服务器使用安全证书对应的私钥对私钥使用请求进行签名,基于目标参数生成临时公钥,并结合该临时公钥和目标参数计算出共享密钥,返回签名信息、临时公钥和共享密钥。
步骤S406,接收管理服务器返回的签名信息、临时公钥和共享密钥,将签名信息和临时公钥发送至客户端,以使客户端通过安全证书验签签名信息,验签成功后,基于临时公钥和目标参数生成共享密钥;基于该共享密钥与客户端建立安全连接。
当客户端生成共享密钥后,客户端和网页服务器中均保存有共享密钥,客户端和网页服务器可以根据该共享密钥进行会话。
上述建立安全连接的方法,网站的安全证书和该安全证书的私钥均保存在管理服务器中,无需预先下发安全证书和私钥,当客户端访问目标网站时,通过与管理服务器实时通信的方式使用安全证书和私钥,建立与客户端的连接,从而避免了私钥和证书的泄露,提高了用户数据的安全性。
针对于上述实施例,本发明实施例还提供了另一种建立安全连接的方法,该方法应用于管理服务器,如图5所示,该方法包括如下步骤:
步骤S502,如果接收到网页服务器发送的针对目标网站的访问请求,将保存的目标网站的安全证书发送至网页服务器。
上述访问请求是客户端发送至网页服务器后,该网页服务器转发给管理服务器的。
步骤S504,接收网页服务器发送的私钥使用请求,使用保存的安全证书对应的私钥,对私钥使用请求进行签名或者解密处理,得到处理结果。
步骤S506,将上述处理结果发送至网页服务器,以使该网页服务器基于处理结果与客户端建立安全连接。
在具体实现时,上述目标网站的访问请求中携带有目标网站的域名;上述步骤S502,可以通过下述步骤10-11实现:
步骤10,根据接收到的访问请求中携带的目标网站的域名,在保存的安全证书和安全证书对应的私钥中,查找目标网站的安全证书。
步骤11,将查找到的安全证书发送至网页服务器。
上述建立安全连接的方法,如果接收到网页服务器发送的针对目标网站的访问请求,将保存的目标网站的安全证书发送至网页服务器;进而该网页服务器将接收到的安全证书发送至客户端;然后接收网页服务器发送的私钥使用请求,使用保存的安全证书对应的私钥,对私钥使用请求进行签名或者解密处理,得到处理结果,并将该处理结果发送至网页服务器,以使该网页服务器基于处理结果与客户端建立安全连接。该方式中,网站的安全证书和该安全证书的私钥均保存在管理服务器中,无需预先下发安全证书和私钥值网页服务器,当客户端访问目标网站时,网页服务器通过与管理服务器实时通信的方式使用安全证书和私钥,建立与客户端的连接,从而避免了私钥和证书的泄露,提高了用户数据的安全性。
对应于上述方法实施例,本发明实施例还提供了一种建立安全连接的***,如图6所示,该***包括:通信连接的管理服务器60和网页服务器61,该网页服务器61还与客户端通信连接;该管理服务器60用于保存网站的安全证书和安全证书对应的私钥。
上述网页服务器61用于在接收到客户端发送的针对目标网站的访问请求时,从管理服务器60中获取目标网站的安全证书,并将获取的安全证书发送至客户端。
网页服务器61还用于在需要使用安全证书对应的私钥进行签名或者解密时,向管理服务器60发送私钥使用请求。
管理服务器60用于接收私钥使用请求,使用安全证书对应的私钥对私钥使用请求进行签名或者解密处理,并将处理结果发送至网页服务器61。
网页服务器61还用于基于接收的处理结果与客户端建立安全连接。网页服务器61接收到管理服务器60返回的处理结果后,会基于该处理结果生成会话密钥,从而通过该会话密钥建立与客户端的安全连接。
本发明实施例所提供的建立安全连接的***,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,***实施例部分未提及之处,可参考前述方法实施例中相应内容。
对应于上述图1-图4所述的方法实施例,本发明实施例提供了一种建立安全连接的装置,该装置设置于页面服务器,如图7所示,该装置包括:
证书获取模块70,用于如果接收到客户端发送的针对目标网站的访问请求,从管理服务器中获取目标网站的安全证书;其中,该管理服务器中保存有目标网站的安全证书和安全证书对应的私钥。
证书发送模块71,用于将所述安全证书发送至客户端。
私钥使用模块72,用于在需要使用安全证书对应的私钥进行签名或者解密时,向管理服务器发送私钥使用请求,以通过该管理服务器使用安全证书对应的私钥对私钥使用请求进行签名或者解密处理,返回处理结果。
连接建立模块73,用于接收管理服务器返回的处理结果,基于该处理结果与客户端建立安全连接。
上述建立安全连接的装置,如果接收到客户端发送的针对目标网站的访问请求,从保存有目标网站的安全证书和安全证书对应的私钥的管理服务器中获取目标网站的安全证书;进而将获取的安全证书发送至客户端;在需要使用安全证书对应的私钥进行签名或者解密时,向管理服务器发送私钥使用请求,以通过管理服务器使用安全证书对应的私钥对所述私钥使用请求进行签名或者解密处理,返回处理结果;然后接收管理服务器返回的处理结果,基于该处理结果与客户端建立安全连接。该方式中,网站的安全证书和该安全证书的私钥均保存在管理服务器中,无需预先下发安全证书和私钥,当客户端访问目标网站时,通过与管理服务器实时通信的方式使用安全证书和私钥,建立与客户端的连接,从而避免了私钥和证书的泄露,提高了用户数据的安全性。
具体地,上述目标网站的访问请求中携带有目标网站的域名;上述证书获取模块70,用于:如果接收到客户端发送的针对目标网站的访问请求,提取该访问请求携带的目标网站的域名;将该目标网站的域名发送至管理服务器;接收管理服务器根据目标网站的域名返回的目标网站的安全证书。
进一步地,上述装置还包括密钥接收模块,用于:接收客户端使用安全证书对客户端的预主密钥加密后得到的加密后的所述预主密钥。上述私钥使用模块72,用于:将加密后的预主密钥发送至管理服务器,以通过该管理服务器使用安全证书对应的私钥解密加密后的预主密钥;上述连接建立模块73,用于:接收管理服务器返回的解密后的预主密钥,基于该预主密钥与客户端建立安全连接。
具体地,上述私钥使用请求中携带有指定参数;上述私钥使用模块72,用于:向管理服务器发送携带有指定参数的私钥使用请求,以通过该管理服务器使用安全证书对应的私钥对指定参数进行签名,返回签名信息;上述连接建立模块73,用于:接收管理服务器返回的签名信息,并将该签名信息发送至客户端,以使该客户端通过安全证书验签签名信息,得到指定参数,基于该指定参数与客户端建立安全连接。
进一步地,上述私钥使用请求中携带有访问请求中包含的目标参数;上述私钥使用模块72,用于:向管理服务器发送私钥使用请求,以通过管理服务器使用安全证书对应的私钥对私钥使用请求进行签名,基于目标参数生成临时公钥,并结合临时公钥和目标参数计算出共享密钥,返回签名信息、临时公钥和共享密钥;上述连接建立模块73,用于:接收管理服务器返回的签名信息、临时公钥和共享密钥,将签名信息和临时公钥发送至客户端,以使客户端通过安全证书验签签名信息,验签成功后,基于临时公钥和目标参数生成共享密钥;基于共享密钥与客户端建立安全连接。
进一步地,上述装置还包括认证模块,用于:在从管理服务器中获取目标网站的安全证书之前,通过保存的第一证书和第一证书对应的私钥,与管理服务器保存的第二证书和第二证书对应的私钥进行认证,建立与管理服务器的安全连接。
本发明实施例所提供的建立安全连接的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
对应于上述图5所述的方法实施例,本发明实施例提供了另一种建立安全连接的装置,该装置设置于管理服务器,如图8所示,该装置包括:
证书确定模块80,用于如果接收到网页服务器发送的针对目标网站的访问请求,将保存的目标网站的安全证书发送至网页服务器;其中,该访问请求为客户端发送至网页服务器的。
私钥处理模块81,用于接收网页服务器发送的私钥使用请求,使用保存的安全证书对应的私钥,对私钥使用请求进行签名或者解密处理,得到处理结果。
结果返回模块82,用于将处理结果发送至网页服务器,以网页服务器基于处理结果与客户端建立安全连接。
上述建立安全连接的装置,该方式由管理服务器保存和管理网站的安全证书和私钥,无需向网页服务器提供安全证书和私钥,在使用安全证书和私钥时,由网页服务器从管理服务器中获取,从而避免了安全证书和私钥的泄露,且客户可以完全掌控安全证书和私钥的管理;同时,对于网页服务器的部署也更为简短,安全性也更高。该方式中,网站的安全证书和该安全证书的私钥均保存在管理服务器中,无需预先下发安全证书和私钥值网页服务器,当客户端访问目标网站时,网页服务器通过与管理服务器实时通信的方式使用安全证书和私钥,建立与客户端的连接,从而避免了私钥和证书的泄露,提高了用户数据的安全性。
具体地,上述目标网站的访问请求中携带有目标网站的域名;上述证书确定模块80,用于:根据接收到的访问请求中携带的目标网站的域名,在保存的安全证书和安全证书对应的私钥中,查找目标网站的安全证书;将查找到的安全证书发送至网页服务器。
本发明实施例所提供的建立安全连接的装置,其实现原理及产生的技术效果和前述的建立安全连接的方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
本发明实施例还提供了一种电子设备,参见图9所示,该电子设备包括处理器101和存储器100,该存储器100存储有能够被处理器101执行的机器可执行指令,该处理器101执行机器可执行指令以实现上述建立安全连接的方法。
进一步地,图9所示的电子设备还包括总线102和通信接口103,处理器101、通信接口103和存储器100通过总线102连接。
其中,存储器100可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口103(可以是有线或者无线)实现该***网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。总线102可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
处理器101可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器101中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器101可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DigitalSignal Processor,简称DSP)、专用集成电路(Application Specific IntegratedCircuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器100,处理器101读取存储器100中的信息,结合其硬件完成前述实施例的方法的步骤。
本发明实施例还提供一种机器可读存储介质,该机器可读存储介质存储有机器可执行指令,该机器可执行指令在被处理器调用和执行时,该机器可执行指令促使处理器实现上述建立安全连接的方法,具体实现可参见方法实施例,在此不再赘述。
本发明实施例所提供的建立安全连接的方法、***、装置和电子设备的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。
基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,电子设备,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random AccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (13)
1.一种建立安全连接的方法,其特征在于,所述方法包括:
如果接收到客户端发送的针对目标网站的访问请求,从管理服务器中获取所述目标网站的安全证书;其中,所述管理服务器中保存有所述目标网站的安全证书和所述安全证书对应的私钥;
将所述安全证书发送至所述客户端;
在需要使用所述安全证书对应的私钥进行签名或者解密时,向所述管理服务器发送私钥使用请求,以通过所述管理服务器使用所述安全证书对应的私钥对所述私钥使用请求进行签名或者解密处理,返回处理结果;
接收所述管理服务器返回的处理结果,基于所述处理结果与所述客户端建立安全连接。
2.根据权利要求1所述的方法,其特征在于,所述目标网站的访问请求中携带有所述目标网站的域名;
所述如果接收到客户端发送的针对目标网站的访问请求,从管理服务器中获取所述目标网站的安全证书的步骤,包括:
如果接收到所述客户端发送的针对目标网站的访问请求,提取所述访问请求携带的目标网站的域名;
将所述目标网站的域名发送至所述管理服务器;
接收所述管理服务器根据所述目标网站的域名返回的所述目标网站的安全证书。
3.根据权利要求1所述的方法,其特征在于,所述将所述安全证书发送至所述客户端的步骤之后,所述方法还包括:
接收所述客户端使用所述安全证书对所述客户端的预主密钥加密后得到的加密后的所述预主密钥;
所述在需要使用所述安全证书对应的私钥进行签名或者解密时,向所述管理服务器发送私钥使用请求,以通过所述管理服务器使用所述安全证书对应的私钥对所述私钥使用请求进行签名或者解密处理的步骤,包括:
将加密后的所述预主密钥发送至所述管理服务器,以通过所述管理服务器使用所述安全证书对应的私钥解密加密后的所述预主密钥;
所述接收所述管理服务器返回的处理结果,基于所述处理结果与所述客户端建立安全连接的步骤,包括:
接收所述管理服务器返回的解密后的所述预主密钥,基于所述预主密钥与所述客户端建立安全连接。
4.根据权利要求1所述的方法,其特征在于,所述私钥使用请求中携带有指定参数;所述向所述管理服务器发送私钥使用请求,以通过所述管理服务器使用所述安全证书对应的私钥对所述私钥使用请求进行签名或者解密处理的步骤,包括:
向所述管理服务器发送携带有所述指定参数的私钥使用请求,以通过所述管理服务器使用所述安全证书对应的私钥对所述指定参数进行签名,返回签名信息;
所述接收所述管理服务器返回的处理结果,基于所述处理结果与所述客户端建立安全连接的步骤,包括:
接收所述管理服务器返回的签名信息,并将所述签名信息发送至所述客户端,以使所述客户端通过所述安全证书验签所述签名信息,得到所述指定参数;
基于所述指定参数与所述客户端建立安全连接。
5.根据权利要求1所述的方法,其特征在于,所述私钥使用请求中携带有所述访问请求中包含的目标参数;
所述向所述管理服务器发送私钥使用请求,以通过所述管理服务器使用所述安全证书对应的私钥对所述私钥使用请求进行签名或者解密处理的步骤,包括:
向所述管理服务器发送所述私钥使用请求,以通过所述管理服务器使用所述安全证书对应的私钥对所述私钥使用请求进行签名,基于所述目标参数生成临时公钥,并结合所述临时公钥和所述目标参数计算出共享密钥,返回签名信息、所述临时公钥和所述共享密钥;
所述接收所述管理服务器返回的处理结果,基于所述处理结果与所述客户端建立安全连接的步骤,包括:
接收所述管理服务器返回的签名信息、所述临时公钥和所述共享密钥,将所述签名信息和所述临时公钥发送至所述客户端,以使所述客户端通过所述安全证书验签所述签名信息,验签成功后,基于所述临时公钥和所述目标参数生成所述共享密钥;
基于所述共享密钥与所述客户端建立安全连接。
6.根据权利要求1所述的方法,其特征在于,所述如果接收到客户端发送的针对目标网站的访问请求,从管理服务器中获取所述目标网站的安全证书的步骤之前,所述方法还包括:
通过保存的第一证书和所述第一证书对应的私钥,与所述管理服务器保存的第二证书和所述第二证书对应的私钥进行认证,建立与所述管理服务器的安全连接。
7.一种建立安全连接的方法,其特征在于,所述方法包括:
如果接收到网页服务器发送的针对目标网站的访问请求,将保存的所述目标网站的安全证书发送至所述网页服务器;其中,所述访问请求为客户端发送至所述网页服务器的;
接收所述网页服务器发送的私钥使用请求,使用保存的所述安全证书对应的私钥,对所述私钥使用请求进行签名或者解密处理,得到处理结果;
将所述处理结果发送至所述网页服务器,以使所述网页服务器基于所述处理结果与所述客户端建立安全连接。
8.根据权利要求7所述的方法,其特征在于,所述目标网站的访问请求中携带有所述目标网站的域名;
所述如果接收到网页服务器发送的针对目标网站的访问请求,将保存的所述目标网站的安全证书发送至所述网页服务器的步骤,包括:
根据接收到的所述访问请求中携带的目标网站的域名,在保存的安全证书和所述安全证书对应的私钥中,查找所述目标网站的安全证书;
将查找到的所述安全证书发送至所述网页服务器。
9.一种建立安全连接的***,其特征在于,所述***包括:通信连接的管理服务器和网页服务器;
所述管理服务器用于保存网站的安全证书和所述安全证书对应的私钥;
所述网页服务器用于在接收到客户端发送的针对目标网站的访问请求时,从管理服务器中获取所述目标网站的安全证书,并将获取的所述安全证书发送至所述客户端;
所述网页服务器还用于在需要使用所述安全证书对应的私钥进行签名或者解密时,向所述管理服务器发送私钥使用请求;
所述管理服务器用于接收所述私钥使用请求,使用所述安全证书对应的私钥对所述私钥使用请求进行签名或者解密处理,并将处理结果发送至所述网页服务器;
所述网页服务器还用于基于接收的所述处理结果与所述客户端建立安全连接。
10.一种建立安全连接的装置,其特征在于,所述装置包括:
证书获取模块,用于如果接收到客户端发送的针对目标网站的访问请求,从管理服务器中获取所述目标网站的安全证书;其中,所述管理服务器中保存有所述目标网站的安全证书和所述安全证书对应的私钥;
证书发送模块,用于将所述安全证书发送至所述客户端;
私钥使用模块,用于在需要使用所述安全证书对应的私钥进行签名或者解密时,向所述管理服务器发送私钥使用请求,以通过所述管理服务器使用所述安全证书对应的私钥对所述私钥使用请求进行签名或者解密处理,返回处理结果;
连接建立模块,用于接收所述管理服务器返回的处理结果,基于所述处理结果与所述客户端建立安全连接。
11.一种建立安全连接的装置,其特征在于,所述装置包括:
证书确定模块,用于如果接收到网页服务器发送的针对目标网站的访问请求,将保存的所述目标网站的安全证书发送至所述网页服务器;其中,所述访问请求为客户端发送至所述网页服务器的;
私钥处理模块,用于接收所述网页服务器发送的私钥使用请求,使用保存的所述安全证书对应的私钥,对所述私钥使用请求进行签名或者解密处理,得到处理结果;
结果返回模块,用于将所述处理结果发送至所述网页服务器,以使所述网页服务器基于所述处理结果与所述客户端建立安全连接。
12.一种电子设备,其特征在于,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器执行所述机器可执行指令以实现权利要求1至6任一项所述的建立安全连接的方法,或者权利要求7-8任一项所述的建立安全连接的方法。
13.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使处理器实现权利要求1至6任一项所述的建立安全连接的方法,或者权利要求7-8任一项所述的建立安全连接的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011341971.4A CN112564912B (zh) | 2020-11-24 | 2020-11-24 | 建立安全连接的方法、***、装置和电子设备 |
| PCT/CN2021/123636 WO2022111102A1 (zh) | 2020-11-24 | 2021-10-13 | 建立安全连接的方法、***、装置、电子设备和机器可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011341971.4A CN112564912B (zh) | 2020-11-24 | 2020-11-24 | 建立安全连接的方法、***、装置和电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112564912A true CN112564912A (zh) | 2021-03-26 |
| CN112564912B CN112564912B (zh) | 2023-03-24 |
Family
ID=75043803
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011341971.4A Active CN112564912B (zh) | 2020-11-24 | 2020-11-24 | 建立安全连接的方法、***、装置和电子设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN112564912B (zh) |
| WO (1) | WO2022111102A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113346990A (zh) * | 2021-05-11 | 2021-09-03 | 科大讯飞股份有限公司 | 安全通信方法及***、相关设备和装置 |
| CN113381855A (zh) * | 2021-06-11 | 2021-09-10 | 上海哔哩哔哩科技有限公司 | 通信方法和*** |
| CN114090981A (zh) * | 2021-11-29 | 2022-02-25 | 深圳前海微众银行股份有限公司 | 一种针对远程主机的访问方法及装置 |
| WO2022111102A1 (zh) * | 2020-11-24 | 2022-06-02 | 北京金山云网络技术有限公司 | 建立安全连接的方法、***、装置、电子设备和机器可读存储介质 |
| CN115460083A (zh) * | 2021-06-09 | 2022-12-09 | 贵州白山云科技股份有限公司 | 安全加速服务部署方法、装置、介质及设备 |
| CN115622719A (zh) * | 2021-07-13 | 2023-01-17 | 中移物联网有限公司 | 一种物联网数据处理方法、装置及*** |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115333748B (zh) * | 2022-07-26 | 2023-10-10 | 深圳市明源云科技有限公司 | 防伪造通信方法、***、电子设备及计算机可读存储介质 |
| CN116015961B (zh) * | 2023-01-05 | 2024-05-28 | 中国联合网络通信集团有限公司 | 下挂终端设备的控制处理方法、安全cpe、***及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1533970A1 (en) * | 2003-11-24 | 2005-05-25 | Akamai Technologies, Inc. | Method and system for secure content delivery |
| CN107707517A (zh) * | 2017-05-09 | 2018-02-16 | 贵州白山云科技有限公司 | 一种HTTPs握手方法、装置和*** |
| CN108200104A (zh) * | 2018-03-23 | 2018-06-22 | 网宿科技股份有限公司 | 一种进行ssl握手的方法和*** |
| CN108234114A (zh) * | 2016-12-22 | 2018-06-29 | 中标软件有限公司 | 一种基于硬件加密算法的ssl的实现方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9531691B2 (en) * | 2011-12-16 | 2016-12-27 | Akamai Technologies, Inc. | Providing forward secrecy in a terminating TLS connection proxy |
| US8782774B1 (en) * | 2013-03-07 | 2014-07-15 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
| CN105991622A (zh) * | 2015-03-05 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 一种报文验证方法及设备 |
| CN105871797A (zh) * | 2015-11-19 | 2016-08-17 | 乐视云计算有限公司 | 客户端与服务器进行握手的方法、装置及*** |
| AU2016402775A1 (en) * | 2016-04-15 | 2018-09-27 | Qualcomm Incorporated | Techniques for managing secure content transmissions in a content delivery network |
| CN112564912B (zh) * | 2020-11-24 | 2023-03-24 | 北京金山云网络技术有限公司 | 建立安全连接的方法、***、装置和电子设备 |
-
2020
- 2020-11-24 CN CN202011341971.4A patent/CN112564912B/zh active Active
-
2021
- 2021-10-13 WO PCT/CN2021/123636 patent/WO2022111102A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1533970A1 (en) * | 2003-11-24 | 2005-05-25 | Akamai Technologies, Inc. | Method and system for secure content delivery |
| CN108234114A (zh) * | 2016-12-22 | 2018-06-29 | 中标软件有限公司 | 一种基于硬件加密算法的ssl的实现方法 |
| CN107707517A (zh) * | 2017-05-09 | 2018-02-16 | 贵州白山云科技有限公司 | 一种HTTPs握手方法、装置和*** |
| CN108200104A (zh) * | 2018-03-23 | 2018-06-22 | 网宿科技股份有限公司 | 一种进行ssl握手的方法和*** |
Non-Patent Citations (1)
| Title |
|---|
| D. KUTSCHER等: "Information-Centric Networking (ICN) Research Challenges", 《IETF RFC7927》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022111102A1 (zh) * | 2020-11-24 | 2022-06-02 | 北京金山云网络技术有限公司 | 建立安全连接的方法、***、装置、电子设备和机器可读存储介质 |
| CN113346990A (zh) * | 2021-05-11 | 2021-09-03 | 科大讯飞股份有限公司 | 安全通信方法及***、相关设备和装置 |
| CN113346990B (zh) * | 2021-05-11 | 2022-12-23 | 科大讯飞股份有限公司 | 安全通信方法及***、相关设备和装置 |
| CN115460083A (zh) * | 2021-06-09 | 2022-12-09 | 贵州白山云科技股份有限公司 | 安全加速服务部署方法、装置、介质及设备 |
| CN115460083B (zh) * | 2021-06-09 | 2024-04-19 | 贵州白山云科技股份有限公司 | 安全加速服务部署方法、装置、介质及设备 |
| CN113381855A (zh) * | 2021-06-11 | 2021-09-10 | 上海哔哩哔哩科技有限公司 | 通信方法和*** |
| CN113381855B (zh) * | 2021-06-11 | 2022-12-27 | 上海哔哩哔哩科技有限公司 | 通信方法和*** |
| CN115622719A (zh) * | 2021-07-13 | 2023-01-17 | 中移物联网有限公司 | 一种物联网数据处理方法、装置及*** |
| CN114090981A (zh) * | 2021-11-29 | 2022-02-25 | 深圳前海微众银行股份有限公司 | 一种针对远程主机的访问方法及装置 |
| CN114090981B (zh) * | 2021-11-29 | 2023-04-07 | 深圳前海微众银行股份有限公司 | 一种针对远程主机的访问方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022111102A1 (zh) | 2022-06-02 |
| CN112564912B (zh) | 2023-03-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112564912B (zh) | 建立安全连接的方法、***、装置和电子设备 | |
| WO2017045552A1 (zh) | 一种在ssl或tls通信中加载数字证书的方法和装置 | |
| JP4709815B2 (ja) | 認証方法および装置 | |
| WO2017084273A1 (zh) | 客户端与服务器进行握手的方法、装置及*** | |
| CN111556025A (zh) | 基于加密、解密操作的数据传输方法、***和计算机设备 | |
| CN112737779B (zh) | 一种密码机服务方法、装置、密码机及存储介质 | |
| CN111030814B (zh) | 秘钥协商方法及装置 | |
| EP2173055A1 (en) | A method, a system, a client and a server for key negotiating | |
| CN106941404B (zh) | 密钥保护方法及装置 | |
| WO2010078755A1 (zh) | 电子邮件的传送方法、***及wapi终端 | |
| CN110839240B (zh) | 一种建立连接的方法及装置 | |
| CN113382002B (zh) | 数据请求方法、请求应答方法、数据通信***及存储介质 | |
| CN110493272B (zh) | 使用多重密钥的通信方法和通信*** | |
| CN112165386B (zh) | 一种基于ecdsa的数据加密方法及*** | |
| CN115499250B (zh) | 一种数据加密方法及装置 | |
| US20240064011A1 (en) | Identity authentication method and apparatus, device, chip, storage medium, and program | |
| CN115021932A (zh) | 用于tlcp协议的握手过程的身份验证方法 | |
| CN113221188B (zh) | Ais数据存证方法、取证方法、装置和存储介质 | |
| CN110611679A (zh) | 一种数据传输方法、装置、设备及*** | |
| CN109995723B (zh) | 一种域名解析***dns信息交互的方法、装置及*** | |
| CN105471896A (zh) | 基于ssl的代理方法、装置及*** | |
| CN114760046A (zh) | 一种身份鉴别方法和装置 | |
| JP2014147039A (ja) | 暗号通信装置、代行サーバ、暗号通信システム、暗号通信装置プログラム及び代行サーバプログラム | |
| CN115766119A (zh) | 通信方法、装置、通信***及存储介质 | |
| KR101256114B1 (ko) | 다수의 mac검증서버에 의한 메시지인증코드 검증 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |