技術領域

本發明涉及內容分發網絡領域，特別是涉及一種CDN服務器及其與客戶端連接方法、私鑰服務器及系統。

背景技術

內容分發網絡(Content Delivery Network，CDN)，通過在網絡各處放置緩存服務器，在現有的互聯網基礎之上構建一層智能虛擬網絡，將網站的內容發布到最接近用戶的網絡“邊緣”，使用戶可以就近取得所需的內容，以緩解網絡擁擠的狀況，提高網站的響應速度。

為了確保通信安全，CDN網絡中一般采用加密算法對傳輸的數據進行加密和解密。其中，加密算法一般包括對稱加密算法和非對稱加密算法。對稱加密算法在加密和解密時使用的是同一個秘鑰，而非對稱加密算法需要兩個密鑰來進行加密和解密，這兩個秘鑰中，一個是公開密鑰(public key，簡稱RSA公鑰)，另一個是私有密鑰(private key，簡稱RSA私鑰)。

其中，非對稱加密算法中的RSA私鑰需要絕對的保密，不能外泄，而對于一些特殊的場景，如需要接入CDN服務的客戶端在與CDN服務器建立加密連接時，需要使用對應的RSA私鑰信息方可與客戶端之間完成加密連接，此時，CDN服務器則必須獲取客戶的RSA私鑰信息，因此，請求接入CDN服務的客戶端在與CDN服務器建立加密連接時，存在著安全性差的問題。

發明內容

本發明實施例解決的問題是如何提高客戶端與CDN服務器之間建立加密連接的安全性。

為解決上述問題，本發明實施例提供了一種CDN服務器與客戶端連接方法，所述方法包括：當與客戶端建立加密連接時，將所接收的客戶端發送的加密數據發送至對應的私鑰服務器；所述加密數據為所述客戶端采用公鑰進行加密得到；接收所述私鑰服務器采用對應的私鑰對所述加密數據進行解密得到的解密數據；使用所述解密數據對與所述客戶端之間的交互數據進行加密和解密。

可選地，所述將所接收的客戶端采用公鑰加密的數據發送至對應的私鑰服務器，包括：采用異步非阻塞方式將所接收的客戶端采用公鑰加密的加密數據發送至對應的私鑰服務器。

可選地，所述解密數據為共享秘密數據。

可選地，所述私鑰服務器中存儲有一個以上的客戶的私鑰信息。

本發明實施例還提供了一種CDN服務器與客戶端連接方法，所述方法包括：當接收到CDN服務器發送的加密數據時，采用對應的私鑰對所述加密數據進行解密得到的解密數據；所述加密數據為請求與CDN服務器建立加密連接的客戶端采用公鑰進行加密得到；將所述解密數據發送至所述CDN服務器，以使得所述CDN服務器使用所述解密數據對與所述客戶端之間的交互數據進行加密和解密。

本發明實施例還提供了一種CDN服務器，所述CDN服務器包括：第一發送單元，適于當與客戶端建立加密連接時，將所接收的客戶端發送的加密數據發送至對應的私鑰服務器；所述加密數據為所述客戶端采用公鑰進行加密得到；接收單元，適于接收所述私鑰服務器采用對應的私鑰對所述加密數據進行解密得到的解密數據；加解密單元，適于使用所述解密數據對與所述客戶端之間的交互數據進行加密和解密。

可選地，所述發送單元，適于采用異步非阻塞方式將所接收的客戶端采用RSA公鑰加密的加密數據發送至對應的私鑰服務器。

可選地，所述解密數據為共享秘密數據。

可選地，所述私鑰服務器中存儲有一個以上的客戶的私鑰信息。

本發明實施例還提供了一種私鑰服務器，所述私鑰服務器包括：解密單元，適于當接收到CDN服務器發送的加密數據時，采用對應的私鑰對所述加密數據進行解密得到的解密數據；所述加密數據為請求與CDN服務器建立加密連接的客戶端采用公鑰進行加密得到；第二發送單元，適于將所述解密數據發送至所述CDN服務器，以使得所述CDN服務器使用所述解密數據對與所述客戶端之間的交互數據進行加密和解密。

本發明實施例還提供了一種CDN系統，所述CDN系統包括客戶端、上述的CDN服務器、上述的私鑰服務器和客戶源站；所述CDN服務器分別與所述客戶端和所述私鑰服務器耦接。

與現有技術相比，本發明的技術方案具有以下的優點：

上述的方案，在與客戶端之間建立加密連接，且接收到的客戶端發送的采用公鑰加密的加密數據時，將所述加密數據發送至對應的私鑰服務器進行解密，并從所述私鑰服務器接收對應的解密數據，在不需要獲取對應的客戶的私鑰的情況下，即可與客戶端之間建立加密連接，因而可以提高CDN服務器與客戶端之間建立加密連接的安全性。

附圖說明

圖1是本發明實施例中的一種CDN服務器與客戶端連接方法的流程圖；