本發(fā)明公開了一種私鑰安全存儲(chǔ)和分發(fā)的方法及裝置，此方法包括：私鑰安全存儲(chǔ)中心接收目標(biāo)域名和與目標(biāo)域名對應(yīng)的私鑰，將私鑰進(jìn)行加密，存儲(chǔ)所述目標(biāo)域名和與所述目標(biāo)域名對應(yīng)的加密私鑰；所述私鑰安全存儲(chǔ)中心從邊緣節(jié)點(diǎn)接收私鑰獲取請求，從所述私鑰獲取請求中解析出目標(biāo)域名，查詢并提取與所述目標(biāo)域名對應(yīng)的加密私鑰，對所述加密私鑰進(jìn)行解密后獲得私鑰，將此私鑰發(fā)送至所述邊緣節(jié)點(diǎn)。本發(fā)明將所有私鑰均加密后集中統(tǒng)一存儲(chǔ)于私鑰安全存儲(chǔ)中心，不存在將私鑰明文直接存儲(chǔ)在介質(zhì)上的情況，可以有效保護(hù)私鑰的安全性，并且無需在邊緣節(jié)點(diǎn)上部署專用硬件，節(jié)省成本。

技術(shù)領(lǐng)域

本發(fā)明涉及云計(jì)算處理領(lǐng)域，尤其涉及一種私鑰安全存儲(chǔ)和分發(fā)的方法及裝置。

背景技術(shù)

在內(nèi)容分發(fā)網(wǎng)絡(luò)(Content Delivery Network，簡稱CDN)場景下使用以安全為目標(biāo)的HTTP通道(Hyper Text Transfer Protocol over Secure Socket Layer，HTTPS)面臨的最大挑戰(zhàn)之一就是私鑰的安全性問題。CDN的邊緣節(jié)點(diǎn)承擔(dān)著和用戶端進(jìn)行安全套接層(Secure Sockets Layer，簡稱SSL)握手的任務(wù)，因此CDN邊緣節(jié)點(diǎn)需要有使用私鑰的能力，最常見的方式是將私鑰部署到邊緣節(jié)點(diǎn)的緩存服務(wù)器上，這樣一來，CDN邊緣節(jié)點(diǎn)數(shù)量眾多的情況下私鑰的拷貝數(shù)量會(huì)十分龐大，從安全的角度來看這無疑增大了私鑰泄露的風(fēng)險(xiǎn)。

現(xiàn)有技術(shù)中解決此問題的方法有兩種，第一種，客戶自己保留私鑰并以類似于無密鑰(keyless)的方法授權(quán)CDN廠商使用其私鑰，但不能讀取私鑰內(nèi)容。第二種，私鑰仍然由CDN廠商保管，但CDN廠商在邊緣節(jié)點(diǎn)的緩存服務(wù)器上增加特定的安全芯片，將私鑰存儲(chǔ)在芯片中，借助硬件手段來保證私鑰安全。

對于上述兩種方法，均存在不同程度的缺點(diǎn)，具體來說：對于第一種，keyless服務(wù)器與CDN邊緣節(jié)點(diǎn)距離較遠(yuǎn)時(shí)，遠(yuǎn)程的keyless方案會(huì)增加SSL握手的延遲，并且對于用戶來說，需要額外維護(hù)keyless服務(wù)器，從而增加了用戶的運(yùn)維成本。對于方法二，由于邊緣節(jié)點(diǎn)緩存服務(wù)器數(shù)量巨大，增加硬件安全芯片會(huì)提高廠商的成本。此外，數(shù)量巨大的邊緣節(jié)點(diǎn)緩存服務(wù)器也考驗(yàn)著CDN廠商安全管理的能力，如果緩存服務(wù)器本身存在漏洞，則即使增加安全芯片也存在私鑰泄露的可能。

發(fā)明內(nèi)容

為了解決上述技術(shù)問題，本發(fā)明提供了一種私鑰安全存儲(chǔ)和分發(fā)的方法及裝置。

本發(fā)明提供了一種私鑰安全處理方法，包括：

私鑰安全存儲(chǔ)中心接收目標(biāo)域名和與目標(biāo)域名對應(yīng)的私鑰，將私鑰進(jìn)行加密，存儲(chǔ)所述目標(biāo)域名和與所述目標(biāo)域名對應(yīng)的加密私鑰；

所述私鑰安全存儲(chǔ)中心從邊緣節(jié)點(diǎn)接收私鑰獲取請求，從所述私鑰獲取請求中解析出目標(biāo)域名，查詢并提取與所述目標(biāo)域名對應(yīng)的加密私鑰，對所述加密私鑰進(jìn)行解密后獲得私鑰，將此私鑰發(fā)送至所述邊緣節(jié)點(diǎn)。

上述私鑰安全處理方法還具有以下特點(diǎn)：

所述私鑰安全存儲(chǔ)中心包括API模塊、處理模塊、存儲(chǔ)設(shè)備和加解密設(shè)備；

所述方法包括：

所述API模塊接收目標(biāo)域名和與目標(biāo)域名對應(yīng)的私鑰，將目標(biāo)域名和與目標(biāo)域名對應(yīng)的私鑰發(fā)送至所述處理模塊，所述處理模塊將所述私鑰發(fā)送至加解密設(shè)備進(jìn)行加密，從加解密設(shè)備接收到加密私鑰后將所述目標(biāo)域名和與所述目標(biāo)域名對應(yīng)的加密私鑰存儲(chǔ)于所述存儲(chǔ)設(shè)備；

所述API模塊從邊緣節(jié)點(diǎn)接收到攜帶目標(biāo)域名的私鑰獲取請求后，將所述目標(biāo)域名發(fā)送至所述處理模塊，所述處理模塊從所述存儲(chǔ)設(shè)備查詢并提取與所述目標(biāo)域名對應(yīng)的加密私鑰，將此加密私鑰發(fā)送至所述加解密設(shè)備進(jìn)行解密，從加解密設(shè)備接收到私鑰后，將此私鑰發(fā)送至所述API模塊，所述API模塊將此私鑰發(fā)送至所述邊緣節(jié)點(diǎn)。

上述私鑰安全處理方法還具有以下特點(diǎn)：