[发明专利]一种私钥安全存储和分发的方法及装置

说明书

本发明公开了一种私钥安全存储和分发的方法及装置，此方法包括：私钥安全存储中心接收目标域名和与目标域名对应的私钥，将私钥进行加密，存储所述目标域名和与所述目标域名对应的加密私钥；所述私钥安全存储中心从边缘节点接收私钥获取请求，从所述私钥获取请求中解析出目标域名，查询并提取与所述目标域名对应的加密私钥，对所述加密私钥进行解密后获得私钥，将此私钥发送至所述边缘节点。本发明将所有私钥均加密后集中统一存储于私钥安全存储中心，不存在将私钥明文直接存储在介质上的情况，可以有效保护私钥的安全性，并且无需在边缘节点上部署专用硬件，节省成本。

技术领域

本发明涉及云计算处理领域，尤其涉及一种私钥安全存储和分发的方法及装置。

背景技术

在内容分发网络(Content Delivery Network，简称CDN)场景下使用以安全为目标的HTTP通道(Hyper Text Transfer Protocol over Secure Socket Layer，HTTPS)面临的最大挑战之一就是私钥的安全性问题。CDN的边缘节点承担着和用户端进行安全套接层(Secure Sockets Layer，简称SSL)握手的任务，因此CDN边缘节点需要有使用私钥的能力，最常见的方式是将私钥部署到边缘节点的缓存服务器上，这样一来，CDN边缘节点数量众多的情况下私钥的拷贝数量会十分庞大，从安全的角度来看这无疑增大了私钥泄露的风险。

现有技术中解决此问题的方法有两种，第一种，客户自己保留私钥并以类似于无密钥(keyless)的方法授权CDN厂商使用其私钥，但不能读取私钥内容。第二种，私钥仍然由CDN厂商保管，但CDN厂商在边缘节点的缓存服务器上增加特定的安全芯片，将私钥存储在芯片中，借助硬件手段来保证私钥安全。

对于上述两种方法，均存在不同程度的缺点，具体来说：对于第一种，keyless服务器与CDN边缘节点距离较远时，远程的keyless方案会增加SSL握手的延迟，并且对于用户来说，需要额外维护keyless服务器，从而增加了用户的运维成本。对于方法二，由于边缘节点缓存服务器数量巨大，增加硬件安全芯片会提高厂商的成本。此外，数量巨大的边缘节点缓存服务器也考验着CDN厂商安全管理的能力，如果缓存服务器本身存在漏洞，则即使增加安全芯片也存在私钥泄露的可能。

发明内容

为了解决上述技术问题，本发明提供了一种私钥安全存储和分发的方法及装置。

本发明提供了一种私钥安全处理方法，包括：

私钥安全存储中心接收目标域名和与目标域名对应的私钥，将私钥进行加密，存储所述目标域名和与所述目标域名对应的加密私钥；

所述私钥安全存储中心从边缘节点接收私钥获取请求，从所述私钥获取请求中解析出目标域名，查询并提取与所述目标域名对应的加密私钥，对所述加密私钥进行解密后获得私钥，将此私钥发送至所述边缘节点。

上述私钥安全处理方法还具有以下特点：

所述私钥安全存储中心包括API模块、处理模块、存储设备和加解密设备；

所述方法包括：

所述API模块接收目标域名和与目标域名对应的私钥，将目标域名和与目标域名对应的私钥发送至所述处理模块，所述处理模块将所述私钥发送至加解密设备进行加密，从加解密设备接收到加密私钥后将所述目标域名和与所述目标域名对应的加密私钥存储于所述存储设备；

所述API模块从边缘节点接收到携带目标域名的私钥获取请求后，将所述目标域名发送至所述处理模块，所述处理模块从所述存储设备查询并提取与所述目标域名对应的加密私钥，将此加密私钥发送至所述加解密设备进行解密，从加解密设备接收到私钥后，将此私钥发送至所述API模块，所述API模块将此私钥发送至所述边缘节点。

上述私钥安全处理方法还具有以下特点：