本發明提供了一種HTTPs握手方法、裝置和系統。涉及網絡傳輸領域；解決了客戶側部署Keyless服務器帶來的效率低下、成本高的問題。該方法包括：邊緣節點在接收到用戶的安全套接層SSL/安全傳輸層TLS握手請求時，從所述至少兩個Keyless Server中選擇一個Keyless Server建立連接；接收所述Keyless Server發送的解密或簽名后的報文。本發明提供的技術方案適用于CDN，實現了高效高穩定性的HTTPs握手過程。

技術領域

本發明涉及網絡傳輸領域，尤其涉及一種以安全為目標的超文本傳輸協議通道(HTTPs)握手方法、裝置和系統。

背景技術

在內容分發網絡(CDN)場景下使用HTTPS，面臨的最大挑戰之一就是私鑰的安全性問題。CDN的邊緣節點承擔著和客戶端進行安全套接層(SSL)/安全傳輸層(TLS)握手的任務，因此CDN邊緣節點需要有使用私鑰的能力，最常見的方式是將私鑰部署到邊緣節點緩存服務器上，這樣一來，私鑰的拷貝數量會十分龐大(因為CDN邊緣節點數量眾多)，從安全的角度來看這無疑增大了私鑰泄露的風險。現有技術一般采用無密鑰加載Keyless的方法授權CDN廠商使用私鑰，通過建立一個Keyless server服務器存放私鑰，將握手過程中涉及到私鑰的過程放置到Keyless server上進行，CDN節點通過網絡與Keyless server進行通信，而Keyless server服務器被部署在源站機房內，處于防火墻的保護下只允許CDN節點進行訪問。這樣CDN節點不在需要存放私鑰，私鑰僅存放在少數Keyless server服務器上，便于私鑰管理，降低了私鑰被盜的可能性。但遠程的Keyless方案(指無密鑰加載服務器(Keyless Server)與CDN邊緣節點距離較遠)會增加SSL握手的延遲，并且對于用戶來說，需要額外維護Keyless Server，從而增加了用戶的運維成本。因此，如何降低私鑰泄漏風險，降低運維成本，同時提高HTTPs加解密的效率、提高整個系統的穩定性和服務性能成為在CDN場景下使用HTTPs需要關注的主要問題。

現有技術一般采用Keyless的方法授權CDN廠商使用私鑰，即，客戶把私鑰留在自己部署的一臺Keyless服務器上，用來解密對話密鑰，其他步驟都讓CDN服務商去完成。該方案存在如下缺點：

1)CDN邊緣節點連接Keyless Server會增加SSL握手的延遲；

2)客戶需要額外維護Keyless Server，從而增加了用戶的運維成本；

3)面向大量的CDN邊緣節點，對Keyless Server提出很高的要求，一旦KeylessServer出現連接斷開或硬件故障時，會導致解密功能的失效，這種時候需要重定向至另外的備份服務器進行重新連接和非對稱加解密，工作效率較低。

發明內容

本發明旨在解決上面描述的問題。

根據本發明的一方面，提供了一種HTTPs握手方法，在CDN內部署有至少兩臺無密鑰加載服務器Keyless Server和一個存儲至少一個私鑰的證書中心，該方法包括：

邊緣節點在接收到用戶的SSL/TLS握手請求時，從所述至少兩個Keyless Server中選擇一個Keyless Server建立連接；

接收所述Keyless Server發送的解密或簽名后的報文。

優選的，在CDN內部署Keyless Server具體為在每個邊緣節點內部署至少兩臺Keyless Server。

優選的，該方法還包括：

針對所述邊緣節點，配置各個Keyless Server的權重信息，以指示所述邊緣節點根據所述權重信息選擇Keyless Server。

優選的，該方法還包括：