本發明公開了一種基于內容分發網絡的HTTPS加速方法和系統，采用SSL加速板卡方案，解決了基于軟件的SSL實現的性能承受壓力大、事務處理能力低效的問題；并將SSL加速板卡部署在CDN網絡邊緣節點的服務器上，對證書實現集中式管理，且一張SSL加速板卡能夠服務多個客戶進行加解密工作，解決了每個加速板卡只綁定特定客戶端請求的資源浪費、管理成本高的問題。

本申請是2016年09月30日提交中國國家知識產權局專利局、申請號為201610873442.6、發明名稱為“一種基于內容分發網絡的HTTPS加速方法和系統”的中國專利申請的分案申請。

技術領域

本發明涉及網站優化方法，尤其涉及一種基于內容分發網絡的HTTPS加速方法和系統。

背景技術

HTTPS安全協議是以安全為目標的HTTP通道，通過在HTTP下加入SSL層，能夠實現傳輸加密，避免用戶數據、交易數據等重要數據被竊取。HTTPS 在保護用戶隱私，防止流量劫持方面發揮著非常關鍵的作用，但與此同時，HTTPS 也會降低用戶訪問速度，增加網站服務器的計算資源消耗。

在SSL會話中 ，計算量最大的部分當屬SSL握手階段，SSL有兩種主要的握手類型，一種是基于RSA，一種是基于Deiffie-Hellman（DH）。RSA 和DH的公鑰算法使用了很多CPU且是握手中最慢的部分。一個筆記本電腦上可以每秒進行幾百次RSA加密，對比每秒大約一千萬次對稱加密AES。這個階段的主要工作是協商會話密鑰，該密鑰通常是對稱密鑰，將被貫穿應用于相應的會話過程中；與此同時，SSL握手本身的加密和簽名則是包含在證書中的非對稱密鑰，使用這種非對稱密鑰比對稱密鑰對計算資源的消耗更大。

基于軟件的SSL實現，服務器的處理器負責各個會話初始的密鑰交換以及后續的數據加解密，這種密集的計算過程會使服務器承受極大的壓力，使得其他事務處理能力大大降低。因此基于軟件的SSL實現，只適用于管理少量SSL流量的場景；而CDN網絡的特點，是節點規模小，每個節點的服務器數量較少，然而CDN節點分布較多，呈地理性發散分布。在CDN網絡中做HTTPS加速，基于軟件的SSL實現明顯不能滿足加速需求。

基于上述現狀，CDN廠商提出了基于硬件的SSL加速方案，如SSL加速板卡或SSL加速設備。

SSL加速板卡能夠有效分擔服務器CPU處理SSL事務的壓力，一個或多個協處理器用于實現SSL計算，這些協處理器可能采用通用CPU，也可能采用定制的ASIC芯片和RISC指令集芯片。但是，對每個客戶訪問，都要分配一個插SSL加速板卡的服務器完成握手、加解密過程，浪費資源的同時，單機管理成本也高。另外，每臺服務器上必須具備唯一性數字證書，這么多證書容易泄露，存在安全問題。

其次，SSL加速設備是嵌入SSL加速板卡的獨立設備，對加密流量進行解密，并將解過密的數據信息發送給后臺服務器；在相反方向上，負責加密由后臺服務器發來的明文數據再將其轉發給客戶端；SSL加速設備終結了SSL會話，后臺服務器可以完全被釋放出來用于數據服務或者運行應用程序，但是SSL加速設備整體成本偏高，并不是一個理想的替代方案。

發明內容

為了解決上述問題，本發明提出了一種基于內容分發網絡（Content DeliveryNetwork，簡稱CDN）的HTTPS加速方法和系統，采用SSL加速板卡方案，解決了基于軟件的SSL實現的性能承受壓力大、事務處理能力低效的問題；并將SSL加速板卡部署在CDN網絡邊緣節點的服務器上，對證書實現集中式管理，且一張SSL加速板卡能夠服務多個客戶進行加解密工作，解決了每個加速板卡只綁定特定客戶端請求的資源浪費、管理成本高的問題。