一种秘钥管理方法、装置、设备及存储介质转让专利
申请号 : CN201910576599.6
文献号 : CN112152978B
文献日 : 2021-07-20
发明人 : 王永强
申请人 : 北京金山云网络技术有限公司 , 北京金山云科技有限公司
摘要 :
本发明实施例提供了一种秘钥管理方法、装置、设备及存储介质,其中,所述方法包括:内容分发网络CDN中的边缘节点,确定待获取秘钥的域名对应的标识信息,向CDN中的中心服务器发送携带有待获取秘钥的域名对应的标识信息的请求报文;CDN中的中心服务器,接收CDN中的边缘节点发送的携带有待获取秘钥的域名对应的标识信息的请求报文,并返回信息;CDN中的边缘节点,接收中心服务器返回的信息,并在信息中包括与标识信息对应的秘钥的情况下,将秘钥存储至预设存储区域中。本发明实施例,能够提高秘钥存储的安全性。
权利要求 :
1.一种秘钥管理方法,其特征在于,应用于内容分发网络CDN中的边缘节点,所述方法包括:
确定待获取秘钥的域名对应的标识信息;
向CDN中的中心服务器发送请求报文,所述请求报文中携带所述标识信息;其中,所述标识信息用于所述中心服务器基于所述中心服务器预先存储的标识与秘钥的对应关系确定与所述标识信息对应的秘钥;
接收所述中心服务器返回的信息,在所述信息中包括与所述标识信息对应的秘钥的情况下,将所述秘钥存储至预设存储区域中;其中,所述预设存储区域为所述边缘节点的存储介质中不具有文件系统的区域。
2.根据权利要求1所述的方法,其特征在于,所述确定待获取秘钥的域名对应的标识信息的步骤,包括:
根据所述待获取秘钥的域名、所述边缘节点中预先存储的域名与标识之间的对应关系确定所述标识信息。
3.根据权利要求1所述的方法,其特征在于,所述向CDN中的中心服务器发送请求报文的步骤,包括:
确定在所述预设存储区域中是否存储有待获取秘钥的域名对应的秘钥;
在确定存在所述秘钥的情况下,判断所述秘钥的有效期是否超过预设有效期限,在超过预设有效期限的情况下,向所述中心服务器发送所述请求报文,所述请求报文用于请求所述中心服务器验证所述标识信息对应的秘钥是否存在更新;
在确定不存在所述秘钥的情况下,向所述中心服务器发送所述请求报文,所述请求报文用于向所述中心服务器请求所述秘钥。
4.根据权利要求3所述的方法,其特征在于,所述接收所述中心服务器返回的信息的步骤,包括:
在确定存储有所述秘钥且所述中心服务器验证所述标识信息对应的秘钥存在更新的情况下,接收所述中心服务器返回的信息,其中,所述信息包括:所述标识信息对应的更新后的秘钥;
在确定存储有所述秘钥且所述中心服务器验证所述标识信息对应的秘钥未更新的情况下,接收所述中心服务器返回的信息,其中,所述信息包括:第一指定码,所述第一指定码用于指示所述标识信息对应的秘钥未更新;
在确定不存在所述秘钥的情况下,接收所述中心服务器返回的信息,其中,所述信息包括:所述标识信息对应的秘钥。
5.根据权利要求3所述的方法,其特征在于,所述确定在所述预设存储区域中是否存储有待获取秘钥的域名对应的秘钥的步骤,包括:每隔第一预设时间段,检测所述预设存储区域是否存储有待获取秘钥的域名对应的秘钥。
6.根据权利要求3所述的方法,其特征在于,所述判断所述秘钥的有效期是否超过预设有效期限的步骤,包括:
每隔第二预设时间段,判断所述秘钥的有效期是否超过预设有效期限。
7.根据权利要求1所述的方法,其特征在于,所述信息还包括:合法性验证标识,在接收所述中心服务器返回的信息之后,所述方法还包括:根据所述合法性验证标识确定所述信息的来源是否合法。
8.一种秘钥管理方法,其特征在于,应用于内容分发网络CDN中的中心服务器,所述方法包括:
接收CDN中的边缘节点发送的请求报文,所述请求报文中携带有待获取秘钥的域名对应的标识信息;其中,所述标识信息用于所述中心服务器基于所述中心服务器预先存储的标识与秘钥的对应关系确定与所述标识信息对应的秘钥;
向所述边缘节点返回信息,在所述信息中包括与所述标识信息对应的秘钥的情况下,以使所述秘钥存储至所述边缘节点的预设存储区域中;其中,所述预设存储区域为所述边缘节点的存储介质中不具有文件系统的区域。
9.根据权利要求8所述的方法,其特征在于,在所述接收CDN中的边缘节点发送的请求报文之后,所述方法还包括:在所述请求报文用于请求验证所述标识信息对应的秘钥是否存在更新的情况下,验证所述标识信息对应的秘钥是否存在更新;
所述向所述边缘节点返回信息的步骤,包括:在验证所述标识信息对应的秘钥存在更新的情况下,向所述边缘节点返回信息,其中,所述信息包括:所述标识信息对应的更新后的秘钥;
在验证所述标识信息对应的秘钥不存在更新的情况下,向所述边缘节点返回信息,其中,所述信息包括:第一指定码,所述第一指定码用于指示所述标识信息对应的秘钥未更新。
10.根据权利要求8所述的方法,其特征在于,在所述请求报文用于请求所述秘钥的情况下,向所述边缘节点返回的所述信息包括:所述标识信息对应的秘钥。
11.根据权利要求8所述的方法,其特征在于,所述请求报文还包括:验证标识信息,在接收CDN中的边缘节点发送的请求报文之后,所述方法还包括:根据所述验证标识信息确定所述请求报文是否为合法;
当验证所述请求报文为合法时,向所述边缘节点返回信息,其中,所述信息中包括合法性验证标识,所述合法性验证标识用于使所述边缘节点基于所述合法性验证标识确定所述信息的来源是否合法。
12.根据权利要求10所述的方法,其特征在于,所述秘钥中包括多组子秘钥,不同的子秘钥对应不同的有效期,所述方法还包括:在接收针对所述秘钥的操作指令后,生成新的秘钥,所述操作指令包括:子秘钥删除指令、子秘钥添加指令或者子秘钥修改指令;
利用所述新的秘钥,对所述多组子秘钥中有效期距离预设有效期限最近的子秘钥进行更新;
其中,利用所述新的秘钥,对所述多组子秘钥中有效期距离预设有效期限最近的子秘钥进行更新包括:
利用所述新的秘钥,将所述秘钥中所包含的多组子秘钥中有效期距离预设有效期限最近的子秘钥进行替换,以实现秘钥的更新。
13.一种秘钥管理装置,其特征在于,应用于内容分发网络CDN中的边缘节点,所述装置包括:
确定模块,用于确定待获取秘钥的域名对应的标识信息;
第一发送模块,用于向CDN中的中心服务器发送请求报文,所述请求报文中携带所述标识信息;其中,所述标识信息用于所述中心服务器基于所述中心服务器预先存储的标识与秘钥的对应关系确定与所述标识信息对应的秘钥;
第一接收模块,用于接收所述中心服务器返回的信息,在所述信息中包括与所述标识信息对应的秘钥的情况下,将所述秘钥存储至预设存储区域中;其中,所述预设存储区域为所述边缘节点的存储介质中不具有文件系统的区域。
14.一种秘钥管理装置,其特征在于,应用于内容分发网络CDN中的中心服务器,所述装置包括:
第二接收模块,用于接收CDN中的边缘节点发送的请求报文,所述请求报文中携带有待获取秘钥的域名对应的标识信息;其中,所述标识信息用于所述中心服务器基于所述中心服务器预先存储的标识与秘钥的对应关系确定与所述标识信息对应的秘钥;
第二发送模块,用于向所述边缘节点返回信息,在所述信息中包括与所述标识信息对应的秘钥的情况下,以使所述秘钥存储至所述边缘节点的预设存储区域中;其中,所述预设存储区域为所述边缘节点的存储介质中不具有文件系统的区域。
15.一种边缘节点服务器设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器执行所述机器可执行指令以实现权利要求1‑7任一项所述的秘钥管理方法的方法步骤。
16.一种中心服务器设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器执行所述机器可执行指令以实现权利要求8‑12任一项所述的秘钥管理方法的方法步骤。
17.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1‑7任一项所述的秘钥管理方法的方法步骤。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求8‑12任一项所述的秘钥管理方法的方法步骤。
说明书 :
一种秘钥管理方法、装置、设备及存储介质
技术领域
[0001] 本发明涉及信息安全技术领域,特别是涉及一种秘钥管理方法、装置、设备及存储介质。
背景技术
[0002] 随着信息技术的发展,用户可以将源代码、数据等资料存储于云存储系统中,这些资料一般是加密之后以密文的形式存储在云存储系统中,而将对应的秘钥存储于其他设备
中,将资料对应的密文和秘钥分开存储以提高资料的安全性。秘钥,也称密钥,在密码学中,
秘钥(key)指某个用来完成加密、解密、完整性验证等密码学应用的秘密信息。
中,将资料对应的密文和秘钥分开存储以提高资料的安全性。秘钥,也称密钥,在密码学中,
秘钥(key)指某个用来完成加密、解密、完整性验证等密码学应用的秘密信息。
[0003] 现有技术中针对秘钥的存储方法为:将秘钥以直接显示的方式或者通过简单的对称加密,存储于CDN(Content Delivery Network,内容分发网络)边缘节点的配置文件中。
例如,将客户域名a.com对应的秘钥sadgsdafbgxcnhfg,以直接显示的方式或者通过简单的
对称加密,存储于该客户域名对应的配置文件nginx_a_com.conf中,其中nginx是一个高性
能的HTTP(HyperText Transfer Protocol,超文本传输协议)和反向代理web(World Wide
Web,万维网)服务器;.conf是config的简写,也就是配置文件,多用于存取边缘节点的硬件
驱动程序的安装等配置信息。
例如,将客户域名a.com对应的秘钥sadgsdafbgxcnhfg,以直接显示的方式或者通过简单的
对称加密,存储于该客户域名对应的配置文件nginx_a_com.conf中,其中nginx是一个高性
能的HTTP(HyperText Transfer Protocol,超文本传输协议)和反向代理web(World Wide
Web,万维网)服务器;.conf是config的简写,也就是配置文件,多用于存取边缘节点的硬件
驱动程序的安装等配置信息。
[0004] 现有技术中将秘钥存储于CDN边缘节点中客户域名对应的配置文件中,然而,当配置文件被泄露时,该配置文件中所存储的客户的秘钥就可能会被泄露,使得秘钥存储的安
全性较低,进而当客户的秘钥被泄露时,客户的相关资料就会被泄露,导致对客户造成潜在
的损失。
全性较低,进而当客户的秘钥被泄露时,客户的相关资料就会被泄露,导致对客户造成潜在
的损失。
发明内容
[0005] 本发明实施例的目的在于提供一种秘钥管理方法、装置、设备及存储介质,以提高秘钥存储的安全性。具体技术方案如下:
[0006] 第一方面,本发明实施例提供了一种秘钥管理方法,应用于内容分发网络CDN中的边缘节点,所述方法包括:
[0007] 确定待获取秘钥的域名对应的标识信息;
[0008] 向CDN中的中心服务器发送请求报文,所述请求报文中携带所述标识信息;其中,所述标识信息用于所述中心服务器基于所述中心服务器预先存储的标识与秘钥的对应关
系确定与所述标识信息对应的秘钥;
系确定与所述标识信息对应的秘钥;
[0009] 接收所述中心服务器返回的信息,在所述信息中包括与所述标识信息对应的秘钥的情况下,将所述秘钥存储至预设存储区域中;其中,所述预设存储区域为所述边缘节点的
存储介质中不具有文件系统的区域。
存储介质中不具有文件系统的区域。
[0010] 可选地,所述确定待获取秘钥的域名对应的标识信息的步骤,包括:
[0011] 根据所述待获取秘钥的域名、所述边缘节点中预先存储的域名与标识之间的对应关系确定所述标识信息。
[0012] 可选地,所述向CDN中的中心服务器发送请求报文的步骤,包括:
[0013] 确定在所述预设存储区域中是否存储有待获取秘钥的域名对应的秘钥;
[0014] 在确定存在所述秘钥的情况下,判断所述秘钥的有效期是否超过预设有效期限,在超过预设有效期限的情况下,向所述中心服务器发送所述请求报文,所述请求报文用于
请求所述中心服务器验证所述标识信息对应的秘钥是否存在更新;
请求所述中心服务器验证所述标识信息对应的秘钥是否存在更新;
[0015] 在确定不存在所述秘钥的情况下,向所述中心服务器发送所述请求报文,所述请求报文用于向所述中心服务器请求所述秘钥。
[0016] 可选地,所述接收所述中心服务器返回的信息的步骤,包括:
[0017] 在确定存储有所述秘钥且所述中心服务器验证所述标识信息对应的秘钥存在更新的情况下,接收所述中心服务器返回的信息,其中,所述信息包括:所述标识信息对应的
更新后的秘钥;
更新后的秘钥;
[0018] 在确定存储有所述秘钥且所述中心服务器验证所述标识信息对应的秘钥未更新的情况下,接收所述中心服务器返回的信息,其中,所述信息包括:第一指定码,所述第一指
定码用于指示所述标识信息对应的秘钥未更新;
定码用于指示所述标识信息对应的秘钥未更新;
[0019] 在确定不存在所述秘钥的情况下,接收所述中心服务器返回的信息,其中,所述信息包括:所述标识信息对应的秘钥。
[0020] 可选地,所述确定在所述预设存储区域中是否存储有待获取秘钥的域名对应的秘钥的步骤,包括:
[0021] 每隔第一预设时间段,检测所述预设存储区域是否存储有待获取秘钥的域名对应的秘钥。
[0022] 可选地,所述判断所述秘钥的有效期是否超过预设有效期限的步骤,包括:
[0023] 每隔第二预设时间段,判断所述秘钥的有效期是否超过预设有效期限。
[0024] 可选地,所述信息还包括:合法性验证标识,在接收所述中心服务器返回的信息之后,所述方法还包括:
[0025] 根据所述合法性验证标识确定所述信息的来源是否合法。
[0026] 第二方面,本发明实施例提供了一种秘钥管理方法,应用于内容分发网络CDN中的中心服务器,所述方法包括:
[0027] 接收CDN中的边缘节点发送的请求报文,所述请求报文中携带有待获取秘钥的域名对应的标识信息;其中,所述标识信息用于所述中心服务器基于所述中心服务器预先存
储的标识与秘钥的对应关系确定与所述标识信息对应的秘钥;
储的标识与秘钥的对应关系确定与所述标识信息对应的秘钥;
[0028] 向所述边缘节点返回信息,在所述信息中包括与所述标识信息对应的秘钥的情况下,以使所述秘钥存储至所述边缘节点的预设存储区域中;其中,所述预设存储区域为所述
边缘节点的存储介质中不具有文件系统的区域。
边缘节点的存储介质中不具有文件系统的区域。
[0029] 可选地,在所述接收CDN中的边缘节点发送的请求报文之后,所述方法还包括:在所述请求报文用于请求验证所述标识信息对应的秘钥是否存在更新的情况下,验证所述标
识信息对应的秘钥是否存在更新;
识信息对应的秘钥是否存在更新;
[0030] 所述向所述边缘节点返回信息的步骤,包括:
[0031] 在验证所述标识信息对应的秘钥存在更新的情况下,向所述边缘节点返回信息,其中,所述信息包括:所述标识信息对应的更新后的秘钥;
[0032] 在验证所述标识信息对应的秘钥不存在更新的情况下,向所述边缘节点返回信息,其中,所述信息包括:第一指定码,所述第一指定码用于指示所述标识信息对应的秘钥
未更新。
未更新。
[0033] 可选地,在所述请求报文用于请求所述秘钥的情况下,向所述边缘节点返回的所述信息包括:所述标识信息对应的秘钥。
[0034] 可选地,所述请求报文还包括:验证标识信息,在接收CDN中的边缘节点发送的请求报文之后,所述方法还包括:
[0035] 根据所述验证标识信息确定所述请求报文是否为合法;
[0036] 当验证所述请求报文为合法时,向所述边缘节点返回信息,其中,所述信息中包括合法性验证标识,所述合法性验证标识用于使所述边缘节点基于所述合法性验证标识确定
所述信息的来源是否合法。
所述信息的来源是否合法。
[0037] 可选地,所述秘钥中包括多组子秘钥,不同的子秘钥对应不同的有效期,所述方法还包括:
[0038] 在接收针对所述秘钥的操作指令后,生成新的秘钥,所述操作指令包括:子秘钥删除指令、子秘钥添加指令,或者子秘钥修改指令;
[0039] 利用所述新的秘钥,对所述多组子秘钥中有效期距离预设有效期限最近的子秘钥进行更新。
[0040] 第三方面,本发明实施例提供了一种秘钥管理装置,应用于内容分发网络CDN中的边缘节点,所述装置包括:
[0041] 确定模块,用于确定待获取秘钥的域名对应的标识信息;
[0042] 第一发送模块,用于向CDN中的中心服务器发送请求报文,其中,所述请求报文中携带所述标识信息,所述标识信息用于所述中心服务器基于所述中心服务器预先存储的标
识与秘钥的对应关系确定与所述标识信息对应的秘钥;
识与秘钥的对应关系确定与所述标识信息对应的秘钥;
[0043] 第一接收模块,用于接收所述中心服务器返回的信息,其中,在所述信息中包括与所述标识信息对应的秘钥的情况下,将所述秘钥存储至预设存储区域中,所述预设存储区
域为所述边缘节点的存储介质中不具有文件系统的区域。
域为所述边缘节点的存储介质中不具有文件系统的区域。
[0044] 可选地,所述确定模块,具体用于:
[0045] 根据所述待获取秘钥的域名、所述边缘节点中预先存储的域名与标识之间的对应关系确定所述标识信息。
[0046] 可选地,所述第一发送模块,包括:
[0047] 第一确定子模块,用于确定在所述预设存储区域中是否存储有待获取秘钥的域名对应的秘钥;
[0048] 第一发送子模块,用于在确定存在所述秘钥的情况下,判断所述秘钥的有效期是否超过预设有效期限,在超过预设有效期限的情况下,向所述中心服务器发送所述请求报
文,所述请求报文用于请求所述中心服务器验证所述标识信息对应的秘钥是否存在更新;
文,所述请求报文用于请求所述中心服务器验证所述标识信息对应的秘钥是否存在更新;
[0049] 第二发送子模块,用于在确定不存在所述秘钥的情况下,向所述中心服务器发送所述请求报文,所述请求报文用于向所述中心服务器请求所述秘钥。
[0050] 可选地,所述第一接收模块,包括:
[0051] 第一接收子模块,用于在确定存储有所述秘钥且所述中心服务器验证所述标识信息对应的秘钥存在更新的情况下,接收所述中心服务器返回的信息,其中,所述信息包括:
所述标识信息对应的更新后的秘钥;
所述标识信息对应的更新后的秘钥;
[0052] 第二接收子模块,用于在确定存储有所述秘钥且所述中心服务器验证所述标识信息对应的秘钥未更新的情况下,接收所述中心服务器返回的信息,其中,所述信息包括:第
一指定码,所述第一指定码用于指示所述标识信息对应的秘钥未更新;
一指定码,所述第一指定码用于指示所述标识信息对应的秘钥未更新;
[0053] 第三接收子模块,用于在确定不存在所述秘钥的情况下,接收所述中心服务器返回的信息,其中,所述信息包括:所述标识信息对应的秘钥。
[0054] 可选地,所述第一确定子模块,具体用于:
[0055] 每隔第一预设时间段,检测所述预设存储区域是否存储有有待获取秘钥的域名对应的秘钥。
[0056] 可选地,所述第一发送子模块,具体用于:
[0057] 每隔第二预设时间段,判断所述秘钥的有效期是否超过预设有效期限。
[0058] 可选地,所述信息还包括:合法性验证标识,所述装置还包括:
[0059] 第一验证模块,用于根据所述合法性验证标识确定所述信息的来源是否合法。
[0060] 第四方面,本发明实施例提供了一种秘钥管理装置,应用于内容分发网络CDN中的中心服务器,所述装置包括:
[0061] 第二接收模块,用于接收CDN中的边缘节点发送的请求报文;其中,所述请求报文中携带有待获取秘钥的域名对应的标识信息,所述标识信息用于所述中心服务器基于所述
中心服务器预先存储的标识与秘钥的对应关系确定与所述标识信息对应的秘钥;
中心服务器预先存储的标识与秘钥的对应关系确定与所述标识信息对应的秘钥;
[0062] 第二发送模块,用于向所述边缘节点返回信息,在所述信息中包括与所述标识信息对应的秘钥的情况下,以使所述秘钥存储至所述边缘节点的预设存储区域中;其中,所述
预设存储区域为所述边缘节点的存储介质中不具有文件系统的区域。
预设存储区域为所述边缘节点的存储介质中不具有文件系统的区域。
[0063] 可选地,所述装置还包括:
[0064] 第二验证模块,用于在所述请求报文用于请求验证所述标识信息对应的秘钥是否存在更新的情况下,验证所述标识信息对应的秘钥是否存在更新;
[0065] 所述第二发送模块,包括:
[0066] 第三发送子模块,用于在验证所述标识信息对应的秘钥存在更新的情况下,向所述边缘节点返回信息,其中,所述信息包括:所述标识信息对应的更新后的秘钥;
[0067] 第四发送子模块,用于在验证所述标识信息对应的秘钥不存在更新的情况下,向所述边缘节点返回信息,其中,所述信息包括:第一指定码,所述第一指定码用于指示所述
标识信息对应的秘钥未更新。
标识信息对应的秘钥未更新。
[0068] 可选地,在所述请求报文用于请求所述秘钥的情况下,向所述边缘节点返回的所述信息包括:所述标识信息对应的秘钥。
[0069] 可选地,所述请求报文还包括:验证标识信息,所述装置还包括:
[0070] 第三验证模块,用于根据所述验证标识信息确定所述请求报文是否为合法;
[0071] 第三发送模块,用于当验证所述请求报文为合法时,向所述边缘节点返回信息,其中,所述信息中包括合法性验证标识,所述合法性验证标识用于使所述边缘节点基于所述
合法性验证标识确定所述信息的来源是否合法。
合法性验证标识确定所述信息的来源是否合法。
[0072] 可选地,所述秘钥中包括多组子秘钥,不同的子秘钥对应不同的有效期,所述装置还包括:
[0073] 生成模块,用于在接收针对所述秘钥的操作指令后,生成新的秘钥,所述操作指令包括:子秘钥删除指令、子秘钥添加指令,或者子秘钥修改指令;
[0074] 更新模块,用于利用所述新的秘钥,对所述多组子秘钥中有效期距离预设有效期限最近的子秘钥进行更新。
[0075] 第五方面,本发明实施例提供了一种边缘节点服务器设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所
述处理器执行所述机器可执行指令以实现上述第一方面提供的秘钥管理方法的方法步骤。
述处理器执行所述机器可执行指令以实现上述第一方面提供的秘钥管理方法的方法步骤。
[0076] 第六方面,本发明实施例提供了一种中心服务器设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处
理器执行所述机器可执行指令以实现上述第二方面提供的秘钥管理方法的方法步骤。
理器执行所述机器可执行指令以实现上述第二方面提供的秘钥管理方法的方法步骤。
[0077] 第七方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时,实现上述第一方面提供的秘
钥管理方法的方法步骤。
钥管理方法的方法步骤。
[0078] 第八方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时,实现上述第二方面提供的秘
钥管理方法的方法步骤。
钥管理方法的方法步骤。
[0079] 第九方面,本发明实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面提供的秘钥管理方法的方法步骤。
[0080] 第十方面,本发明实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第二方面提供的秘钥管理方法的方法步骤。
[0081] 第十一方面,本发明实施例还提供了一种计算机程序,当其在计算机上运行时,使得计算机执行上述第一方面提供的秘钥管理方法的方法步骤。
[0082] 第十二方面,本发明实施例还提供了一种计算机程序,当其在计算机上运行时,使得计算机执行上述第二方面提供的秘钥管理方法的方法步骤。
[0083] 本发明实施例提供的一种秘钥管理方法、装置、设备及存储介质,当应用于CDN中的边缘节点时,通过确定待获取秘钥的域名对应的标识信息,向中心服务器发送携带标识
信息的请求报文,接收中心服务器返回的信息,在信息中包括与标识信息对应的秘钥的情
况下,将秘钥存储至预设存储区域中,由于预设存储区域为边缘节点的存储介质中不具有
文件系统的区域,因该存储区域只能通过边缘节点自身识别及访问,而不能被其他设备识
别,因此,能够提高其中所存储秘钥的安全性。
信息的请求报文,接收中心服务器返回的信息,在信息中包括与标识信息对应的秘钥的情
况下,将秘钥存储至预设存储区域中,由于预设存储区域为边缘节点的存储介质中不具有
文件系统的区域,因该存储区域只能通过边缘节点自身识别及访问,而不能被其他设备识
别,因此,能够提高其中所存储秘钥的安全性。
[0084] 本发明实施例提供的一种秘钥管理方法、装置、设备及存储介质,当应用于CDN的中心服务器时,通过接收CDN中的边缘节点发送的携带有待获取秘钥的域名对应的标识信
息的请求报文,中心服务器基于预先存储的标识与秘钥的对应关系确定与标识信息对应的
秘钥,向CDN中的边缘节点返回信息,在信息中包括与标识信息对应的秘钥的情况下,以使
秘钥存储至边缘节点的预设存储区域中。由于基于请求报文中携带的标识信息确定与标识
信息对应的秘钥,并返回给边缘节点,进而使得边缘节点可以将该秘钥存储在边缘节点的
预设存储区域中,由于预设存储区域为边缘节点的存储介质中不具有文件系统的区域,因
该存储区域只能通过边缘节点自身识别及访问,而不能被其他设备识别,因此,能够提高秘
钥存储的安全性。
息的请求报文,中心服务器基于预先存储的标识与秘钥的对应关系确定与标识信息对应的
秘钥,向CDN中的边缘节点返回信息,在信息中包括与标识信息对应的秘钥的情况下,以使
秘钥存储至边缘节点的预设存储区域中。由于基于请求报文中携带的标识信息确定与标识
信息对应的秘钥,并返回给边缘节点,进而使得边缘节点可以将该秘钥存储在边缘节点的
预设存储区域中,由于预设存储区域为边缘节点的存储介质中不具有文件系统的区域,因
该存储区域只能通过边缘节点自身识别及访问,而不能被其他设备识别,因此,能够提高秘
钥存储的安全性。
[0085] 当然,实施本发明的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
[0086] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本
发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以
根据这些附图获得其他的附图。
发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以
根据这些附图获得其他的附图。
[0087] 图1为本发明实施例提供的一种秘钥管理方法的流程示意图;
[0088] 图2为本发明实施例提供的一种请求秘钥的实施方式流程示意图;
[0089] 图3为本发明实施例提供的一种接收秘钥的实施方式流程示意图;
[0090] 图4为本发明实施例提供的另一种秘钥管理方法的流程示意图;
[0091] 图5为本发明实施例提供的一种发送秘钥的实施方式流程示意图;
[0092] 图6为本发明实施例提供的一种验证请求的实施方式流程示意图;
[0093] 图7为本发明实施例提供的一种秘钥更新实施方式的流程示意图;
[0094] 图8为本发明实施例提供的一种秘钥管理装置的结构示意图;
[0095] 图9为本发明实施例提供的一种请求秘钥的实施装置的结构示意图;
[0096] 图10为本发明实施例提供的一种接收秘钥的实施装置的结构示意图;
[0097] 图11为本发明实施例提供的另一种秘钥管理装置的结构示意图;
[0098] 图12本发明实施例提供的一种发送秘钥的实施装置的结构示意图;
[0099] 图13为本发明实施例提供的一种验证请求的实施装置的结构示意图;
[0100] 图14为本发明实施例提供的一种秘钥更新实施装置的结构示意图;
[0101] 图15为本发明实施例提供的一种边缘节点服务器设备的结构示意图;
[0102] 图16为本发明实施例提供的一种中心服务器设备的结构示意图。
具体实施方式
[0103] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于
本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他
实施例,都属于本发明保护的范围。
本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他
实施例,都属于本发明保护的范围。
[0104] 现有技术中将秘钥存储于CDN边缘节点中客户域名对应的配置文件中,因秘钥是存储于客户域名对应的配置文件中的,更新秘钥即对秘钥进行修改,而修改秘钥意味着需
要修改配置文件,在对配置文件修改之后,当需要秘钥时就需要对配置文件进行重新加载,
也即每更新一次秘钥都需要重新加载配置文件,而实际应用中CDN边缘节点的数据量较大,
重新加载配置文件的时间会不一致,使得秘钥更新的实时性较低。且当配置文件被泄露时,
该配置文件中所存储的客户的秘钥就可能会被泄露,使得秘钥存储的安全性较低,进而当
客户的秘钥被泄露时,客户的相关资料就会被泄露,导致对客户造成潜在的损失。
要修改配置文件,在对配置文件修改之后,当需要秘钥时就需要对配置文件进行重新加载,
也即每更新一次秘钥都需要重新加载配置文件,而实际应用中CDN边缘节点的数据量较大,
重新加载配置文件的时间会不一致,使得秘钥更新的实时性较低。且当配置文件被泄露时,
该配置文件中所存储的客户的秘钥就可能会被泄露,使得秘钥存储的安全性较低,进而当
客户的秘钥被泄露时,客户的相关资料就会被泄露,导致对客户造成潜在的损失。
[0105] 有鉴如此,本发明实施例首先提供了一种秘钥管理方法,如图1所示,本发明实施例提供的一种秘钥管理方法,应用于CDN中的边缘节点,该方法可以包括以下步骤:
[0106] S101、确定待获取秘钥的域名对应的标识信息。
[0107] 本发明实施例中,可以将域名与标识之间的对应关系预先存储于CDN中的边缘节点中。当需要使用秘钥或对秘钥进行管理时,可以通过待获取秘钥的域名来确定该域名对
应的标识信息,其中,一种确定标识信息的实施方式可以为:
应的标识信息,其中,一种确定标识信息的实施方式可以为:
[0108] 根据待获取秘钥的域名、边缘节点中预先存储的域名与标识之间的对应关系确定标识信息。
[0109] 具体的,可以在边缘节点中预先存储的域名与标识之间的对应关系中,查找待获取秘钥的域名所对应的标识,来确定标识信息。示例性的,域名具体可以为用户域名或客户
端域名等,例如:baidu.com、ksyun.com、souhu.com等。标识信息可以是A、B、C或1、2、3等,具
体的,域名及标识信息的表示形式,本发明实施例在此不作限定。
端域名等,例如:baidu.com、ksyun.com、souhu.com等。标识信息可以是A、B、C或1、2、3等,具
体的,域名及标识信息的表示形式,本发明实施例在此不作限定。
[0110] 本发明实施例中,将域名与标识之间的对应关系存储于CDN中的边缘节点中,而在中心服务器中存储标识与秘钥的对应关系,即将两个对应关系分离存储,使得在中心服务
器被攻击时,泄露的是标识与秘钥的对应关系,即使攻击者能够拿到秘钥,也仅能够获知该
秘钥是哪个标识的秘钥,也不会获知是哪个域名的秘钥,安全性得到了进一步的提高。
器被攻击时,泄露的是标识与秘钥的对应关系,即使攻击者能够拿到秘钥,也仅能够获知该
秘钥是哪个标识的秘钥,也不会获知是哪个域名的秘钥,安全性得到了进一步的提高。
[0111] S102、向CDN中的中心服务器发送请求报文,请求报文中携带标识信息。
[0112] 当确定待获取秘钥的域名对应的标识信息之后,向CDN中的中心服务器发送携带标识信息的请求报文,其中,请求报文中所携带的标识信息用于中心服务器基于中心服务
器预先存储的标识与秘钥的对应关系确定与标识信息对应的秘钥,以使中心服务器根据该
标识信息找到该标识信息对应的秘钥。
器预先存储的标识与秘钥的对应关系确定与标识信息对应的秘钥,以使中心服务器根据该
标识信息找到该标识信息对应的秘钥。
[0113] 本发明实施例中,向CDN中的中心服务器发送请求报文的实施方式可参见图2,该实施方式可以包括:
[0114] S1021、确定在预设存储区域中是否存储有待获取秘钥的域名对应的秘钥。
[0115] 本发明实施例中,可以通过检测的方式来确定预设存储区域中是否存储有待获取秘钥的域名对应的秘钥,具体的,一种检测秘钥是否存储的实施方式可以为:
[0116] 每隔第一预设时间段,检测预设存储区域是否存储有待获取秘钥的域名对应的秘钥。
[0117] 本发明实施例中,可以根据待获取秘钥的域名,每隔第一预设时间段,检测预设存储区域是否存储有有待获取秘钥的域名对应的秘钥,来确定是否存储有待获取秘钥的域名
对应的秘钥。该预设存储区域可以为CDN边缘节点的存储介质中的一个区域,每一边缘节点
可以有多个预设存储区域。该第一预设时间段可以是预先设定的一个时间段,也可以是CDN
中的边缘节点与中心服务器约定好的一个时间段,例如,可以是20分钟、30分钟、60分钟等,
当预设存储区域中存储有秘钥时,还可以是所存储的秘钥的有效期,例如,该秘钥的有效期
可以是1个小时或2个小时等,具体的,本领域技术人员可根据实际需求进行设置。
对应的秘钥。该预设存储区域可以为CDN边缘节点的存储介质中的一个区域,每一边缘节点
可以有多个预设存储区域。该第一预设时间段可以是预先设定的一个时间段,也可以是CDN
中的边缘节点与中心服务器约定好的一个时间段,例如,可以是20分钟、30分钟、60分钟等,
当预设存储区域中存储有秘钥时,还可以是所存储的秘钥的有效期,例如,该秘钥的有效期
可以是1个小时或2个小时等,具体的,本领域技术人员可根据实际需求进行设置。
[0118] CDN中的边缘节点检测预设存储区域是否存储有待获取秘钥的域名对应的秘钥的结果有两种情况:一种是:检测结果为确定预设存储区域存在待获取秘钥的域名对应的秘
钥,此时,判断秘钥的有效期是否超过预设有效期限,在超过预设有效期限的情况下,执行
步骤S1022。另一种是:检测结果为确定预设存储区域不存在待获取秘钥的域名对应的秘
钥,执行步骤S1023。
钥,此时,判断秘钥的有效期是否超过预设有效期限,在超过预设有效期限的情况下,执行
步骤S1022。另一种是:检测结果为确定预设存储区域不存在待获取秘钥的域名对应的秘
钥,执行步骤S1023。
[0119] S1022、在确定存在秘钥的情况下,判断秘钥的有效期是否超过预设有效期限,在超过预设有效期限的情况下,向中心服务器发送请求报文。
[0120] 在确定预设存储区域存在待获取秘钥的域名对应的秘钥的情况下,可以判断秘钥的有效期是否超过预设有效期限。该预设有效期限可以为生成该秘钥时一并生成的秘钥的
有效期,例如该有效期可以是1个小时或2个小时等。其中,一种判断秘钥的有效期是否超过
预设有效期限的实施方式可以为:
有效期,例如该有效期可以是1个小时或2个小时等。其中,一种判断秘钥的有效期是否超过
预设有效期限的实施方式可以为:
[0121] 每隔第二预设时间段,判断秘钥的有效期是否超过预设有效期限。
[0122] 在预设存储区域中已经存储有待获取秘钥的域名对应的秘钥时,因实际应用中秘钥是有有效期限的,为了保证该秘钥为有效的秘钥,或者该秘钥为最新的秘钥,可以每隔第
二预设时间段,对秘钥的有效期进行判断。示例性的,可以判断该秘钥所剩余的有效时间是
否超过了预设有效期限。该第二预设时间段可以是预先设定的一个时间段,也可以是CDN中
的边缘节点与中心服务器约定好的一个时间段,例如,可以是20分钟、30分钟、60分钟等,还
可以是所存储的秘钥的预设有效期限,该第二预设时间段可以与第一预设时间段相同,具
体的,本领域技术人员可根据实际需求进行设置。
二预设时间段,对秘钥的有效期进行判断。示例性的,可以判断该秘钥所剩余的有效时间是
否超过了预设有效期限。该第二预设时间段可以是预先设定的一个时间段,也可以是CDN中
的边缘节点与中心服务器约定好的一个时间段,例如,可以是20分钟、30分钟、60分钟等,还
可以是所存储的秘钥的预设有效期限,该第二预设时间段可以与第一预设时间段相同,具
体的,本领域技术人员可根据实际需求进行设置。
[0123] 如果秘钥的有效期超过预设有效期限,表明该秘钥已经不是有效的秘钥,或者不是最新的秘钥。此时,向中心服务器发送请求报文,该请求报文用于请求中心服务器验证标
识信息对应的秘钥是否存在更新,以使中心服务器对该请求报文中的标识信息对应的秘钥
是否存在更新进行验证。
识信息对应的秘钥是否存在更新,以使中心服务器对该请求报文中的标识信息对应的秘钥
是否存在更新进行验证。
[0124] 作为本发明实施例一种可选的实施方式,向CDN中的中心服务器发送携带标识信息的请求报文可以是:基于HTTPS(Hyper Text Transfer Protocol over Secure Socket
Layer或Hypertext Transfer Protocol Secure,超文本传输安全协议)的请求报文,以增
加请求报文的安全性。该请求报文中携带有HTTPS协议的头标签,例如该头标签可以是If‑
Modified‑Since,以便于中心服务器收到请求报文后对秘钥是否存在更新进行验证。示例
性的,该HTTPS协议头标签If‑Modified‑Since的作用可以为:发送HTTPS请求报文时,把边
缘节点的预设存储区域中所存储的秘钥的最后修改时间一起发到中心服务器,以便于中心
服务器将最后修改时间与中心服务器上秘钥的实际最后修改时间进行比较,来验证秘钥是
否存在更新。
Layer或Hypertext Transfer Protocol Secure,超文本传输安全协议)的请求报文,以增
加请求报文的安全性。该请求报文中携带有HTTPS协议的头标签,例如该头标签可以是If‑
Modified‑Since,以便于中心服务器收到请求报文后对秘钥是否存在更新进行验证。示例
性的,该HTTPS协议头标签If‑Modified‑Since的作用可以为:发送HTTPS请求报文时,把边
缘节点的预设存储区域中所存储的秘钥的最后修改时间一起发到中心服务器,以便于中心
服务器将最后修改时间与中心服务器上秘钥的实际最后修改时间进行比较,来验证秘钥是
否存在更新。
[0125] 如果秘钥的有效期没有超过预设有效期限,表明该秘钥还是有效的秘钥,此时,不需要向中心服务器发送请求报文。
[0126] S1023、在确定不存在秘钥的情况下,向中心服务器发送请求报文。
[0127] 在确定预设存储区域不存在待获取秘钥的域名对应的秘钥的情况下,可以向中心服务器发送请求报文,该请求报文用于向中心服务器请求秘钥。
[0128] 参见图1,S103、接收中心服务器返回的信息,在信息中包括与标识信息对应的秘钥的情况下,将秘钥存储至预设存储区域中。
[0129] 在向CDN中的中心服务器发送携带标识信息的请求报文之后,中心服务器响应该请求报文,返回相应的信息,此时,接收中心服务器返回的信息。并在中心服务器返回的信
息中包括与标识信息对应的秘钥的情况下,将秘钥存储至预设存储区域中。其中,预设存储
区域为边缘节点的存储介质中不具有文件系统的区域。示例性的,边缘节点的存储介质中
不具有文件系统的区域,可以为边缘节点的裸盘,每一边缘节点可以有多个裸盘。
息中包括与标识信息对应的秘钥的情况下,将秘钥存储至预设存储区域中。其中,预设存储
区域为边缘节点的存储介质中不具有文件系统的区域。示例性的,边缘节点的存储介质中
不具有文件系统的区域,可以为边缘节点的裸盘,每一边缘节点可以有多个裸盘。
[0130] 本发明实施例中,将秘钥存储至预设存储区域中,由于预设存储区域为边缘节点的存储介质中不具有文件系统的区域,因此该存储区域只能通过边缘节点自身识别及访
问,而不能被其他设备识别,故而能够提高其中所存储秘钥的安全性。
问,而不能被其他设备识别,故而能够提高其中所存储秘钥的安全性。
[0131] 本发明实施例中,接收中心服务器返回的信息的实施方式可参见图3,该实施方式可以包括:
[0132] S1031、在确定存储有秘钥且中心服务器验证标识信息对应的秘钥存在更新的情况下,接收中心服务器返回的信息。
[0133] 在确定预设存储区域存在待获取秘钥的域名对应的秘钥,并且中心服务器验证标识信息对应的秘钥存在更新的情况下,接收中心服务器返回的信息,其中,该信息中可以包
括:标识信息对应的更新后的秘钥。进一步的,可以利用更新后的秘钥对预设存储区域中所
存储的秘钥进行替换,以确保预设存储区域中所存储的秘钥与中心服务器中所存储的秘钥
一致,都为最新的秘钥。
括:标识信息对应的更新后的秘钥。进一步的,可以利用更新后的秘钥对预设存储区域中所
存储的秘钥进行替换,以确保预设存储区域中所存储的秘钥与中心服务器中所存储的秘钥
一致,都为最新的秘钥。
[0134] 作为本发明一种可选的实施方式,在确定预设存储区域存在待获取秘钥的域名对应的秘钥,并且中心服务器验证标识信息对应的秘钥存在更新的情况下,接收中心服务器
返回的包含第二指定码的信息,该第二指定码用于告知CND边缘节点,预设存储区域中所存
储的秘钥不是最新的,需要对预设存储区域中所存储的秘钥进行更新。示例性的,该第二指
定码可以是200状态码。
返回的包含第二指定码的信息,该第二指定码用于告知CND边缘节点,预设存储区域中所存
储的秘钥不是最新的,需要对预设存储区域中所存储的秘钥进行更新。示例性的,该第二指
定码可以是200状态码。
[0135] S1032、在确定存储有秘钥且中心服务器验证标识信息对应的秘钥未更新的情况下,接收中心服务器返回的信息。
[0136] 在确定预设存储区域存在待获取秘钥的域名对应的秘钥,并且中心服务器验证标识信息对应的秘钥不存在更新的情况下,接收中心服务器返回的信息,其中,该信息中可以
包括:第一指定码。该第一指定码用于指示标识信息对应的秘钥未更新,此时,不需要对预
设存储区域中存储的秘钥进行更新。示例性的,该第一指定码可以是304状态码。
包括:第一指定码。该第一指定码用于指示标识信息对应的秘钥未更新,此时,不需要对预
设存储区域中存储的秘钥进行更新。示例性的,该第一指定码可以是304状态码。
[0137] S1033、在确定不存在秘钥的情况下,接收中心服务器返回的信息。
[0138] 在确定预设存储区域不存在待获取秘钥的域名对应的秘钥的情况下,需要向中心服务器获取秘钥,接收中心服务器返回的信息。其中,该信息中可以包括:标识信息对应的
秘钥,以便预设存储区域对未存储的秘钥进行存储。
秘钥,以便预设存储区域对未存储的秘钥进行存储。
[0139] 在上述实施例的基础上,中心服务器返回的信息中还可以包括:合法性验证标识,则在接收中心服务器返回的信息之后,还可以根据合法性验证标识确定信息的来源是否合
法。
法。
[0140] 示例性的,合法性验证标识可以是CND厂商的标识等,如果中心服务器返回的信息中包括CND厂商的标识,则表示该信息的来源是合法的,该信息中所包含的秘钥也是合法
的。
的。
[0141] 本发明实施例提供的一种秘钥管理方法,通过确定待获取秘钥的域名对应的标识信息,向中心服务器发送携带标识信息的请求报文,接收中心服务器返回的信息,在信息中
包括与标识信息对应的秘钥的情况下,将秘钥存储至预设存储区域中,由于预设存储区域
为边缘节点的存储介质中不具有文件系统的区域,因该存储区域只能通过边缘节点自身识
别及访问,而不能被其他设备识别,因此,能够提高其中所存储秘钥的安全性。
包括与标识信息对应的秘钥的情况下,将秘钥存储至预设存储区域中,由于预设存储区域
为边缘节点的存储介质中不具有文件系统的区域,因该存储区域只能通过边缘节点自身识
别及访问,而不能被其他设备识别,因此,能够提高其中所存储秘钥的安全性。
[0142] 需要说明的是,本发明实施例中所涉及的中心服务器可以为用于存储秘钥的服务器,进一步的,所涉及的中心服务器可以是CDN中的秘钥服务器,也可以是中控服务器和秘
钥服务器的组合。
钥服务器的组合。
[0143] 本发明实施例还提供了一种秘钥管理方法,如图4所示,本发明实施例提供的一种秘钥管理方法,应用于内容分发网络CDN中的中心服务器,该方法可以包括以下步骤:
[0144] S201、接收CDN中的边缘节点发送的请求报文,请求报文中携带有待获取秘钥的域名对应的标识信息。
[0145] 中心服务器接收CDN中的边缘节点发送的携带有待获取秘钥的域名对应的标识信息的请求报文,其中,该标识信息可以用于中心服务器基于中心服务器预先存储的标识与
秘钥的对应关系确定与标识信息对应的秘钥。
秘钥的对应关系确定与标识信息对应的秘钥。
[0146] 中心服务器中可以预先存储标识与秘钥的对应关系,在接收到CDN中的边缘节点发送的携带有待获取秘钥的域名对应的标识信息的请求报文时,可以基于该标识信息,查
找预先存储的标识与秘钥的对应关系,进而确定该标识信息对应的秘钥,即确定待获取秘
钥的域名对应的标识信息所对应的秘钥。
找预先存储的标识与秘钥的对应关系,进而确定该标识信息对应的秘钥,即确定待获取秘
钥的域名对应的标识信息所对应的秘钥。
[0147] S202、向边缘节点返回信息,在信息中包括与标识信息对应的秘钥的情况下,以使秘钥存储至边缘节点的预设存储区域中。
[0148] 在接收到CDN中的边缘节点发送的携带有待获取秘钥的域名对应的标识信息的请求报文之后,对该请求报文作出对应的响应,向边缘节点返回信息,在所返回的信息中包括
与标识信息对应的秘钥的情况下,以使秘钥存储至边缘节点的预设存储区域中。其中,预设
存储区域为边缘节点的存储介质中不具有文件系统的区域。
与标识信息对应的秘钥的情况下,以使秘钥存储至边缘节点的预设存储区域中。其中,预设
存储区域为边缘节点的存储介质中不具有文件系统的区域。
[0149] 本发明实施例中,在接收CDN中的边缘节点发送的请求报文之后,还可以包括:
[0150] 在请求报文用于请求验证标识信息对应的秘钥是否存在更新的情况下,验证标识信息对应的秘钥是否存在更新。
[0151] 当中心服务器接收的是请求验证标识信息对应的秘钥是否存在更新的请求报文的情况下,表明边缘节点中存储有秘钥,此时,对标识信息对应的秘钥是否存在更新进行验
证。
证。
[0152] 示例性的,该请求报文为基于HTTPS协议的请求报文,且该请求报文中携带协议头标签If‑Modified‑Since,在边缘节点发送该请求报文时,该请求报文中所携带的标识信息
对应的秘钥的最后修改时间也一起发送至中心服务器,中心服务器将请求报文中所携带的
最后修改时间,与中心服务器中所存储的该秘钥的实际修改时间进行比较,以验证该秘钥
是否存在更新。当请求报文中所携带的最后修改时间,与中心服务器中所存储的该秘钥的
实际修改时间相同时,表明该秘钥并没有更新;当请求报文中所携带的最后修改时间,与中
心服务器中所存储的该秘钥的实际修改时间不相同时,表明该秘钥存在更新。
对应的秘钥的最后修改时间也一起发送至中心服务器,中心服务器将请求报文中所携带的
最后修改时间,与中心服务器中所存储的该秘钥的实际修改时间进行比较,以验证该秘钥
是否存在更新。当请求报文中所携带的最后修改时间,与中心服务器中所存储的该秘钥的
实际修改时间相同时,表明该秘钥并没有更新;当请求报文中所携带的最后修改时间,与中
心服务器中所存储的该秘钥的实际修改时间不相同时,表明该秘钥存在更新。
[0153] 本发明实施例中,将标识与秘钥的对应关系存储于中心服务器中,在中心服务器被攻击时,泄露的是标识与秘钥的对应关系,而不清楚该标识所对应的域名,使得即使丢失
了秘钥,也不清楚该秘钥是哪个域名所对应的秘钥,保证了秘钥的安全性。
了秘钥,也不清楚该秘钥是哪个域名所对应的秘钥,保证了秘钥的安全性。
[0154] 在上述实施例的基础上,向边缘节点返回信息的实施方式可参见图5,该实施方式可以包括:
[0155] S2021、在验证标识信息对应的秘钥存在更新的情况下,向边缘节点返回信息。
[0156] 在验证边缘节点发送的请求报文中所携带的标识信息对应的秘钥存在更新的情况下,向边缘节点返回信息,其中,该信息中可以包括:标识信息对应的更新后的秘钥。以便
边缘节点对其预设存储区域中所存储的秘钥进行更新,确保边缘节点的预设存储区域中所
存储的秘钥与中心服务器中所存储的秘钥一致,都为最新的秘钥。
边缘节点对其预设存储区域中所存储的秘钥进行更新,确保边缘节点的预设存储区域中所
存储的秘钥与中心服务器中所存储的秘钥一致,都为最新的秘钥。
[0157] 作为本发明一种可选的实施方式,请求报文为基于HTTPS协议的请求报文,在中心服务器验证边缘节点所请求验证的标识信息对应的秘钥存在更新时,可以将包含第二指定
码的信息发送至边缘节点,该第二指定码用于告知CND边缘节点,预设存储区域中所存储的
秘钥不是最新的,需要对预设存储区域中所存储的秘钥进行更新。示例性的,该第二指定码
可以是200状态码。
码的信息发送至边缘节点,该第二指定码用于告知CND边缘节点,预设存储区域中所存储的
秘钥不是最新的,需要对预设存储区域中所存储的秘钥进行更新。示例性的,该第二指定码
可以是200状态码。
[0158] S2022、在验证标识信息对应的秘钥不存在更新的情况下,向边缘节点返回信息。
[0159] 在验证边缘节点发送的请求报文中所携带的标识信息对应的秘钥不存在更新的情况下,向边缘节点返回信息,其中,该信息中可以包括:第一指定码,第一指定码用于指示
标识信息对应的秘钥未更新,此时,边缘节点不需要对预设存储区域中存储的秘钥进行更
新。示例性的,该第一指定码可以是304状态码。
标识信息对应的秘钥未更新,此时,边缘节点不需要对预设存储区域中存储的秘钥进行更
新。示例性的,该第一指定码可以是304状态码。
[0160] 本发明实施例中,在请求报文用于请求秘钥的情况下,向边缘节点返回的信息包括:标识信息对应的秘钥。
[0161] 在中心服务器接收到的是请求秘钥的请求报文的情况下,表明在边缘节点的预设存储区域中没有存储秘钥,此时,向边缘节点返回信息,该信息中可以包括:标识信息对应
的秘钥,以便边缘节点的预设存储区域对秘钥进行存储。
的秘钥,以便边缘节点的预设存储区域对秘钥进行存储。
[0162] 在上述实施例的基础上,CDN中的边缘节点发送的请求报文中还可以包括:验证标识信息,则在接收CDN中的边缘节点发送的请求报文之后,如图6所示,本发明实施例还可以
包括以下步骤:
包括以下步骤:
[0163] S203、根据验证标识信息确定请求报文是否为合法。
[0164] 根据CDN中的边缘节点发送的请求报文中的验证标识信息,确定边缘节点所发送的请求报文是否合法。示例性的,该验证标识信息可以是发送请求报文的边缘节点的IP
(Internet Protocol Address,互联网协议地址)地址。中心服务器中可以预先存储一定数
量的表示合法的IP地址,当接收到边缘节点发送的请求报文时,验证该请求报文中的IP地
址是否为预先存储的表示合法的IP地址,如果是,则表示该请求报文为合法的,此时,可以
向发送请求报文的边缘节点作出响应返回信息;如果不是,则表示该请求报文不是合法的,
此时,可以向发送请求报文的边缘节点返回告知请求报文不是合法的信息,或者不返回信
息。
(Internet Protocol Address,互联网协议地址)地址。中心服务器中可以预先存储一定数
量的表示合法的IP地址,当接收到边缘节点发送的请求报文时,验证该请求报文中的IP地
址是否为预先存储的表示合法的IP地址,如果是,则表示该请求报文为合法的,此时,可以
向发送请求报文的边缘节点作出响应返回信息;如果不是,则表示该请求报文不是合法的,
此时,可以向发送请求报文的边缘节点返回告知请求报文不是合法的信息,或者不返回信
息。
[0165] S204、当验证请求报文为合法时,向边缘节点返回信息。
[0166] 当验证请求报文为合法时,可以向边缘节点返回信息,其中,该信息中可以包括:合法性验证标识,该合法性验证标识用于使边缘节点基于合法性验证标识确定信息的来源
是否合法。
是否合法。
[0167] 示例性的,中心服务器中标识信息对应的秘钥的存储方式可以表示为:
[0168] {"code":"ksyun","key":["617dbc2b71c7c49af684158536124ee8","de9980f4bda e847eb3a80d4686bbac7c","265bc318a9eb1dd8bfd0b7303760b713"]}。
[0169] 其中,code表示其后为合法性验证标识,ksyun表示合法性验证标识为ksyun,key表示其后为秘钥,"617dbc2b71c7c49af684158536124ee8",
[0170] "de9980f4bdae847eb3a80d4686bbac7c",和
[0171] "265bc318a9eb1dd8bfd0b7303760b713"分别表示子秘钥。
[0172] 示例性的,请求报文可以表示为:
[0173] http://www.ksyun.get.key.com/1.key?domainid=1234。
[0174] 当判断该请求报文中的IP地址为预先存储的表示合法的IP地址时,表明请求报文中为合法的,才向发送该请求报文的边缘节点返回响应信息。
[0175] 示例性的,向边缘节点返回的信息可以表示为:
[0176] {"code":"ksyun","key":["617dbc2b71c7c49af684158536124ee8","de9980f4bda e847eb3a80d4686bbac7c","265bc318a9eb1dd8bfd0b7303760b713"]}。
[0177] 本发明实施例中,秘钥中可以包括多组子秘钥,每一组子秘钥都对应有有效期,当需要对秘钥进行更新时,可以每次更新该秘钥中的一组子秘钥,以实现秘钥更新的平滑过
渡,这样该秘钥中不同的子秘钥对应有不同的有效期。
渡,这样该秘钥中不同的子秘钥对应有不同的有效期。
[0178] 作为本发明实施例一种可选的实施方式,在接收针对秘钥的操作指令后,如图7所示,本发明实施例的密钥管理方法还可以包括:
[0179] S205、生成新的秘钥。
[0180] 本发明实施例中,用户可以与中心服务器进行交互,用户可以向中心服务器发送针对秘钥的操作指令,中心服务器接收用户发送的针对秘钥的操作指令。该操作指令可以
包括:子秘钥删除指令、子秘钥添加指令,或者子秘钥修改指令。
包括:子秘钥删除指令、子秘钥添加指令,或者子秘钥修改指令。
[0181] 需要说明的是,本发明实施例中所涉及的中心服务器可以是CDN中的秘钥服务器,也可以是中控服务器和秘钥服务器的组合,比如在中心服务器可以认为是中控服务器和秘
钥服务器的组合的情况下,用户可以与中心服务器进行交互可以表现为:用户可以与中控
服务器交互,中控服务器再与秘钥服务器交互;但并不限于此。
钥服务器的组合的情况下,用户可以与中心服务器进行交互可以表现为:用户可以与中控
服务器交互,中控服务器再与秘钥服务器交互;但并不限于此。
[0182] 作为本发明实施例一种可选的实施方式,在中心服务器接收针对秘钥的操作指令后,可以生成新的秘钥。示例性的,如果接收到的是针对秘钥的子秘钥删除指令,则将所针
对的子秘钥删除,并生成新的秘钥,该生成的新的秘钥中不包括所删除的子秘钥;如果接收
到的是针对秘钥的子秘钥添加指令,则在所针对的秘钥中添加新的子秘钥,并生成新的秘
钥,该生成的新的秘钥中包括新添加的子秘钥;如果接收到的是针对秘钥的子秘钥修改指
令,则对所针对的子秘钥进行修改,并生成新的秘钥,该生成的新的秘钥中包括修改后的子
秘钥。
对的子秘钥删除,并生成新的秘钥,该生成的新的秘钥中不包括所删除的子秘钥;如果接收
到的是针对秘钥的子秘钥添加指令,则在所针对的秘钥中添加新的子秘钥,并生成新的秘
钥,该生成的新的秘钥中包括新添加的子秘钥;如果接收到的是针对秘钥的子秘钥修改指
令,则对所针对的子秘钥进行修改,并生成新的秘钥,该生成的新的秘钥中包括修改后的子
秘钥。
[0183] S206、利用新的秘钥,对多组子秘钥中有效期距离预设有效期限最近的子秘钥进行更新。
[0184] 本发明实施例中,可以使用根据用户所发送的针对秘钥的操作指令,所生成的新的秘钥,将秘钥中所包含的多组子秘钥中有效期距离预设有效期限最近的子秘钥进行替
换,以实现秘钥的更新。其中,该预设有效期限可以为生成该秘钥时一并生成的有效时间。
换,以实现秘钥的更新。其中,该预设有效期限可以为生成该秘钥时一并生成的有效时间。
[0185] 示例性的,秘钥中包括3组子秘钥,该秘钥表示为:{“key”:{key1,key2,key3}},该秘钥中包括的3组子秘钥也已存储于CDN的边缘节点的预设存储区域中,当该秘钥中的3组
子秘钥中有一组更新时,更新后的秘钥表示为:{“key”:{key2,key3,key4,}}。因为边缘节
点发送请求报文的时间不同,则边缘节点的预设存储区域中所存储的秘钥可能也不同,比
如,边缘节点1的预设存储区域中存储的秘钥是{“key”:{key1,key2,key3}},边缘节点2的
预设存储区域中存储的秘钥是{“key”:{key2,key3,key4,}},但因秘钥中都包含有key2,
key3,可以使用key2,key3进行加密或者解密,以实现秘钥更新的平滑过渡。
子秘钥中有一组更新时,更新后的秘钥表示为:{“key”:{key2,key3,key4,}}。因为边缘节
点发送请求报文的时间不同,则边缘节点的预设存储区域中所存储的秘钥可能也不同,比
如,边缘节点1的预设存储区域中存储的秘钥是{“key”:{key1,key2,key3}},边缘节点2的
预设存储区域中存储的秘钥是{“key”:{key2,key3,key4,}},但因秘钥中都包含有key2,
key3,可以使用key2,key3进行加密或者解密,以实现秘钥更新的平滑过渡。
[0186] 本发明实施例提供的一种秘钥管理方法,通过接收CDN中的边缘节点发送的携带有待获取秘钥的域名对应的标识信息的请求报文,中心服务器基于预先存储的标识与秘钥
的对应关系确定与标识信息对应的秘钥,向CDN中的边缘节点返回信息,在信息中包括与标
识信息对应的秘钥的情况下,以使秘钥存储至边缘节点的预设存储区域中。由于基于请求
报文中携带的标识信息确定与标识信息对应的秘钥,并返回给边缘节点,进而使得边缘节
点可以将该秘钥存储在边缘节点的预设存储区域中,由于预设存储区域为边缘节点的存储
介质中不具有文件系统的区域,因该存储区域只能通过边缘节点自身识别及访问,而不能
被其他设备识别,因此,能够提高秘钥存储的安全性。且,中心服务器可以与用户进行交互,
用户对中心服务器上所存储的秘钥进行操作,以更新秘钥,中心服务器将更新的秘钥发送
至边缘节点,以提高秘钥更新的实时性。
的对应关系确定与标识信息对应的秘钥,向CDN中的边缘节点返回信息,在信息中包括与标
识信息对应的秘钥的情况下,以使秘钥存储至边缘节点的预设存储区域中。由于基于请求
报文中携带的标识信息确定与标识信息对应的秘钥,并返回给边缘节点,进而使得边缘节
点可以将该秘钥存储在边缘节点的预设存储区域中,由于预设存储区域为边缘节点的存储
介质中不具有文件系统的区域,因该存储区域只能通过边缘节点自身识别及访问,而不能
被其他设备识别,因此,能够提高秘钥存储的安全性。且,中心服务器可以与用户进行交互,
用户对中心服务器上所存储的秘钥进行操作,以更新秘钥,中心服务器将更新的秘钥发送
至边缘节点,以提高秘钥更新的实时性。
[0187] 相应于图1所示的方法实施例,本发明实施例还提供了相应的装置实施例。
[0188] 如图8所示,本发明实施例提供了一种秘钥管理装置,应用于内容分发网络CDN中的边缘节点,该装置可以包括:
[0189] 确定模块301,用于确定待获取秘钥的域名对应的标识信息。
[0190] 第一发送模块302,用于向CDN中的中心服务器发送请求报文,请求报文中携带标识信息;其中,标识信息用于中心服务器基于中心服务器预先存储的标识与秘钥的对应关
系确定与标识信息对应的秘钥。
系确定与标识信息对应的秘钥。
[0191] 第一接收模块303,用于接收中心服务器返回的信息,在信息中包括与标识信息对应的秘钥的情况下,将秘钥存储至预设存储区域中;其中,预设存储区域为边缘节点的存储
介质中不具有文件系统的区域。
介质中不具有文件系统的区域。
[0192] 本发明实施例提供的一种秘钥管理装置,当应用于CDN中的边缘节点时,通过确定待获取秘钥的域名对应的标识信息,向中心服务器发送携带标识信息的请求报文,接收中
心服务器返回的信息,在信息中包括与标识信息对应的秘钥的情况下,将秘钥存储至预设
存储区域中,由于预设存储区域为边缘节点的存储介质中不具有文件系统的区域,因该存
储区域只能通过边缘节点自身识别及访问,而不能被其他设备识别,因此,能够提高其中所
存储秘钥的安全性。
心服务器返回的信息,在信息中包括与标识信息对应的秘钥的情况下,将秘钥存储至预设
存储区域中,由于预设存储区域为边缘节点的存储介质中不具有文件系统的区域,因该存
储区域只能通过边缘节点自身识别及访问,而不能被其他设备识别,因此,能够提高其中所
存储秘钥的安全性。
[0193] 需要说明的是,本发明实施例的装置是与图1所示的一种秘钥管理方法对应的装置,图1所示的一种秘钥管理方法的所有实施例均适用于该装置,且均能达到相同的有益效
果。
果。
[0194] 可选地,确定模块301,具体用于:
[0195] 根据待获取秘钥的域名、边缘节点中预先存储的域名与标识之间的对应关系确定标识信息。
[0196] 可选地,如图9所示,第一发送模块302,包括:
[0197] 第一确定子模块3021,用于确定在预设存储区域中是否存储有待获取秘钥的域名对应的秘钥。
[0198] 第一发送子模块3022,用于在确定存在秘钥的情况下,判断秘钥的有效期是否超过预设有效期限,在超过预设有效期限的情况下,向中心服务器发送请求报文,请求报文用
于请求中心服务器验证标识信息对应的秘钥是否存在更新。
于请求中心服务器验证标识信息对应的秘钥是否存在更新。
[0199] 第二发送子模块3023,用于在确定不存在秘钥的情况下,向中心服务器发送请求报文,请求报文用于向中心服务器请求秘钥。
[0200] 可选地,如图10所示,第一接收模块303,包括:
[0201] 第一接收子模块3031,用于在确定存储有秘钥且中心服务器验证标识信息对应的秘钥存在更新的情况下,接收中心服务器返回的信息,其中,信息包括:标识信息对应的更
新后的秘钥。
新后的秘钥。
[0202] 第二接收子模块3032,用于在确定存储有秘钥且中心服务器验证标识信息对应的秘钥未更新的情况下,接收中心服务器返回的信息,其中,信息包括:第一指定码,第一指定
码用于指示标识信息对应的秘钥未更新。
码用于指示标识信息对应的秘钥未更新。
[0203] 第三接收子模块3033,用于在确定不存在秘钥的情况下,接收中心服务器返回的信息,其中,信息包括:标识信息对应的秘钥。
[0204] 可选地,第一确定子模块3021,具体用于:
[0205] 每隔第一预设时间段,检测预设存储区域是否存储有待获取秘钥的域名对应的秘钥。
[0206] 可选地,第一发送子模块3022,具体用于:
[0207] 每隔第二预设时间段,判断秘钥的有效期是否超过预设有效期限。
[0208] 可选地,信息还包括:合法性验证标识,装置还包括:
[0209] 第一验证模块,用于根据合法性验证标识确定信息的来源是否合法。该模块在图中未示出。
[0210] 相应于图4所示的方法实施例,本发明实施例还提供了相应的装置实施例。如图11所示,本发明实施例提供了一种秘钥管理装置,应用于内容分发网络CDN中的中心服务器,
该装置可以包括:
该装置可以包括:
[0211] 第二接收模块401,用于接收CDN中的边缘节点发送的请求报文,请求报文中携带有待获取秘钥的域名对应的标识信息;其中,标识信息用于中心服务器基于中心服务器预
先存储的标识与秘钥的对应关系确定与标识信息对应的秘钥。
先存储的标识与秘钥的对应关系确定与标识信息对应的秘钥。
[0212] 第二发送模块402,用于向边缘节点返回信息,在信息中包括与标识信息对应的秘钥的情况下,以使秘钥存储至边缘节点的预设存储区域中;其中,预设存储区域为边缘节点
的存储介质中不具有文件系统的区域。
的存储介质中不具有文件系统的区域。
[0213] 本发明实施例提供的一种秘钥管理装置,当应用于CDN的中心服务器时,通过接收CDN中的边缘节点发送的携带有待获取秘钥的域名对应的标识信息的请求报文,中心服务
器基于预先存储的标识与秘钥的对应关系确定与标识信息对应的秘钥,向CDN中的边缘节
点返回信息,在信息中包括与标识信息对应的秘钥的情况下,以使秘钥存储至边缘节点的
预设存储区域中。由于基于请求报文中携带的标识信息确定与标识信息对应的秘钥,并返
回给边缘节点,进而使得边缘节点可以将该秘钥存储在边缘节点的预设存储区域中,由于
预设存储区域为边缘节点的存储介质中不具有文件系统的区域,因该存储区域只能通过边
缘节点自身识别及访问,而不能被其他设备识别,因此,能够提高秘钥存储的安全性。
器基于预先存储的标识与秘钥的对应关系确定与标识信息对应的秘钥,向CDN中的边缘节
点返回信息,在信息中包括与标识信息对应的秘钥的情况下,以使秘钥存储至边缘节点的
预设存储区域中。由于基于请求报文中携带的标识信息确定与标识信息对应的秘钥,并返
回给边缘节点,进而使得边缘节点可以将该秘钥存储在边缘节点的预设存储区域中,由于
预设存储区域为边缘节点的存储介质中不具有文件系统的区域,因该存储区域只能通过边
缘节点自身识别及访问,而不能被其他设备识别,因此,能够提高秘钥存储的安全性。
[0214] 需要说明的是,本发明实施例的装置是与图4所示的一种秘钥管理方法对应的装置,图4所示的一种秘钥管理方法的所有实施例均适用于该装置,且均能达到相同的有益效
果。
果。
[0215] 可选地,装置还包括:
[0216] 第二验证模块,用于在请求报文用于请求验证标识信息对应的秘钥是否存在更新的情况下,验证标识信息对应的秘钥是否存在更新。该模块在图中未示出。
[0217] 如图12所示,第二发送模块402,包括:
[0218] 第三发送子模块4021,用于在验证标识信息对应的秘钥存在更新的情况下,向边缘节点返回信息,其中,信息包括:标识信息对应的更新后的秘钥。
[0219] 第四发送子模块4022,用于在验证标识信息对应的秘钥不存在更新的情况下,向边缘节点返回信息,其中,信息包括:第一指定码,第一指定码用于指示标识信息对应的秘
钥未更新。
钥未更新。
[0220] 可选地,在请求报文用于请求秘钥的情况下,向边缘节点返回的信息包括:标识信息对应的秘钥。
[0221] 在图11所示装置的基础上,如图13所示,图13为本发明实施例提供的一种验证请求的实施装置的结构示意图,该装置还可以包括:
[0222] 第三验证模块404,用于根据验证标识信息确定请求报文是否为合法。
[0223] 第三发送模块405,用于当验证请求报文为合法时,向边缘节点返回信息,其中,信息中包括合法性验证标识,合法性验证标识用于使边缘节点基于合法性验证标识确定信息
的来源是否合法。
的来源是否合法。
[0224] 可选地,在图11或13所示装置的基础上,秘钥中可以包括多组子秘钥,不同的子秘钥对应不同的有效期,如图14所示,图14为本发明实施例提供的一种秘钥更新实施装置的
结构示意图,该装置还可以包括:
结构示意图,该装置还可以包括:
[0225] 生成模块406,用于在接收针对秘钥的操作指令后,生成新的秘钥,操作指令包括:子秘钥删除指令、子秘钥添加指令,或者子秘钥修改指令。
[0226] 更新模块407,用于利用新的秘钥,对多组子秘钥中有效期距离预设有效期限最近的子秘钥进行更新。
[0227] 本发明实施例还提供了一种边缘节点服务器设备,如图15所示,该设备500包括处理器501和机器可读存储介质502,机器可读存储介质存储有能够被处理器执行的机器可执
行指令,处理器执行机器可执行指令实现本发明实施例所提供的应用于内容分发网络CDN
中的边缘节点的秘钥管理方法。
行指令,处理器执行机器可执行指令实现本发明实施例所提供的应用于内容分发网络CDN
中的边缘节点的秘钥管理方法。
[0228] 本发明实施例提供的一种边缘节点服务器设备,当应用于CDN中的边缘节点时,通过确定待获取秘钥的域名对应的标识信息,向中心服务器发送携带标识信息的请求报文,
接收中心服务器返回的信息,在信息中包括与标识信息对应的秘钥的情况下,将秘钥存储
至预设存储区域中,由于预设存储区域为边缘节点的存储介质中不具有文件系统的区域,
因该存储区域只能通过边缘节点自身识别及访问,而不能被其他设备识别,因此,能够提高
其中所存储秘钥的安全性。
接收中心服务器返回的信息,在信息中包括与标识信息对应的秘钥的情况下,将秘钥存储
至预设存储区域中,由于预设存储区域为边缘节点的存储介质中不具有文件系统的区域,
因该存储区域只能通过边缘节点自身识别及访问,而不能被其他设备识别,因此,能够提高
其中所存储秘钥的安全性。
[0229] 本发明实施例还提供了一种中心服务器设备,如图16所示,该设备600包括处理器601和机器可读存储介质602,机器可读存储介质存储有能够被处理器执行的机器可执行指
令,处理器执行机器可执行指令实现本发明实施例所提供的应用于内容分发网络CDN中的
中心服务器的秘钥管理方法。
令,处理器执行机器可执行指令实现本发明实施例所提供的应用于内容分发网络CDN中的
中心服务器的秘钥管理方法。
[0230] 本发明实施例提供的一种中心服务器设备,当应用于CDN的中心服务器时,通过接收CDN中的边缘节点发送的携带有待获取秘钥的域名对应的标识信息的请求报文,中心服
务器基于预先存储的标识与秘钥的对应关系确定与标识信息对应的秘钥,向CDN中的边缘
节点返回信息,在信息中包括与标识信息对应的秘钥的情况下,以使秘钥存储至边缘节点
的预设存储区域中。由于基于请求报文中携带的标识信息确定与标识信息对应的秘钥,并
返回给边缘节点,进而使得边缘节点可以将该秘钥存储在边缘节点的预设存储区域中,由
于预设存储区域为边缘节点的存储介质中不具有文件系统的区域,因该存储区域只能通过
边缘节点自身识别及访问,而不能被其他设备识别,因此,能够提高秘钥存储的安全性。
务器基于预先存储的标识与秘钥的对应关系确定与标识信息对应的秘钥,向CDN中的边缘
节点返回信息,在信息中包括与标识信息对应的秘钥的情况下,以使秘钥存储至边缘节点
的预设存储区域中。由于基于请求报文中携带的标识信息确定与标识信息对应的秘钥,并
返回给边缘节点,进而使得边缘节点可以将该秘钥存储在边缘节点的预设存储区域中,由
于预设存储区域为边缘节点的存储介质中不具有文件系统的区域,因该存储区域只能通过
边缘节点自身识别及访问,而不能被其他设备识别,因此,能够提高秘钥存储的安全性。
[0231] 机器可读存储介质可以包括随机存取存储器(Random Access Memory,简称RAM),也可以包括非易失性存储器(non‑volatile memory),例如至少一个磁盘存储器。可选的,
存储器还可以是至少一个位于远离前述处理器的存储装置。
存储器还可以是至少一个位于远离前述处理器的存储装置。
[0232] 上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器
(Digital Signal Processing,简称DSP)、专用集成电路(Application Specific
Integrated Circuit,简称ASIC)、现场可编程门阵列(Field‑Programmable Gate Array,
简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
(Digital Signal Processing,简称DSP)、专用集成电路(Application Specific
Integrated Circuit,简称ASIC)、现场可编程门阵列(Field‑Programmable Gate Array,
简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
[0233] 本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质内存储有计算机程序,计算机程序被处理器执行时,用以执行本发明实施例所提供的应用于内容分
发网络CDN中的边缘节点的秘钥管理方法的步骤。
发网络CDN中的边缘节点的秘钥管理方法的步骤。
[0234] 本发明实施例提供的计算机可读存储介质,当应用于CDN中的边缘节点时,通过确定待获取秘钥的域名对应的标识信息,向中心服务器发送携带标识信息的请求报文,接收
中心服务器返回的信息,在信息中包括与标识信息对应的秘钥的情况下,将秘钥存储至预
设存储区域中,由于预设存储区域为边缘节点的存储介质中不具有文件系统的区域,因该
存储区域只能通过边缘节点自身识别及访问,而不能被其他设备识别,因此,能够提高其中
所存储秘钥的安全性。
中心服务器返回的信息,在信息中包括与标识信息对应的秘钥的情况下,将秘钥存储至预
设存储区域中,由于预设存储区域为边缘节点的存储介质中不具有文件系统的区域,因该
存储区域只能通过边缘节点自身识别及访问,而不能被其他设备识别,因此,能够提高其中
所存储秘钥的安全性。
[0235] 本发明实施例还提供了另一种计算机可读存储介质,计算机可读存储介质内存储有计算机程序,计算机程序被处理器执行时,用以执行本发明实施例所提供的应用于内容
分发网络CDN中的中心服务器的秘钥管理方法的步骤。
分发网络CDN中的中心服务器的秘钥管理方法的步骤。
[0236] 本发明实施例提供的计算机可读存储介质,当应用于CDN的中心服务器时,通过接收CDN中的边缘节点发送的携带有待获取秘钥的域名对应的标识信息的请求报文,中心服
务器基于预先存储的标识与秘钥的对应关系确定与标识信息对应的秘钥,向CDN中的边缘
节点返回信息,在信息中包括与标识信息对应的秘钥的情况下,以使秘钥存储至边缘节点
的预设存储区域中。由于基于请求报文中携带的标识信息确定与标识信息对应的秘钥,并
返回给边缘节点,进而使得边缘节点可以将该秘钥存储在边缘节点的预设存储区域中,由
于预设存储区域为边缘节点的存储介质中不具有文件系统的区域,因该存储区域只能通过
边缘节点自身识别及访问,而不能被其他设备识别,因此,能够提高秘钥存储的安全性。
务器基于预先存储的标识与秘钥的对应关系确定与标识信息对应的秘钥,向CDN中的边缘
节点返回信息,在信息中包括与标识信息对应的秘钥的情况下,以使秘钥存储至边缘节点
的预设存储区域中。由于基于请求报文中携带的标识信息确定与标识信息对应的秘钥,并
返回给边缘节点,进而使得边缘节点可以将该秘钥存储在边缘节点的预设存储区域中,由
于预设存储区域为边缘节点的存储介质中不具有文件系统的区域,因该存储区域只能通过
边缘节点自身识别及访问,而不能被其他设备识别,因此,能够提高秘钥存储的安全性。
[0237] 本发明实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行本发明实施例所提供的应用于内容分发网络CDN中的边缘节点的秘钥
管理方法的步骤。
管理方法的步骤。
[0238] 本发明实施例提供的包含指令的计算机程序产品,当应用于CDN中的边缘节点时,通过确定待获取秘钥的域名对应的标识信息,向中心服务器发送携带标识信息的请求报
文,接收中心服务器返回的信息,在信息中包括与标识信息对应的秘钥的情况下,将秘钥存
储至预设存储区域中,由于预设存储区域为边缘节点的存储介质中不具有文件系统的区
域,因该存储区域只能通过边缘节点自身识别及访问,而不能被其他设备识别,因此,能够
提高其中所存储秘钥的安全性。
文,接收中心服务器返回的信息,在信息中包括与标识信息对应的秘钥的情况下,将秘钥存
储至预设存储区域中,由于预设存储区域为边缘节点的存储介质中不具有文件系统的区
域,因该存储区域只能通过边缘节点自身识别及访问,而不能被其他设备识别,因此,能够
提高其中所存储秘钥的安全性。
[0239] 本发明实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行本发明实施例所提供的应用于内容分发网络CDN中的中心服务器的秘
钥管理方法的步骤。
钥管理方法的步骤。
[0240] 本发明实施例提供的包含指令的计算机程序产品,当应用于CDN的中心服务器时,通过接收CDN中的边缘节点发送的携带有待获取秘钥的域名对应的标识信息的请求报文,
中心服务器基于预先存储的标识与秘钥的对应关系确定与标识信息对应的秘钥,向CDN中
的边缘节点返回信息,在信息中包括与标识信息对应的秘钥的情况下,以使秘钥存储至边
缘节点的预设存储区域中。由于基于请求报文中携带的标识信息确定与标识信息对应的秘
钥,并返回给边缘节点,进而使得边缘节点可以将该秘钥存储在边缘节点的预设存储区域
中,由于预设存储区域为边缘节点的存储介质中不具有文件系统的区域,因该存储区域只
能通过边缘节点自身识别及访问,而不能被其他设备识别,因此,能够提高秘钥存储的安全
性。
中心服务器基于预先存储的标识与秘钥的对应关系确定与标识信息对应的秘钥,向CDN中
的边缘节点返回信息,在信息中包括与标识信息对应的秘钥的情况下,以使秘钥存储至边
缘节点的预设存储区域中。由于基于请求报文中携带的标识信息确定与标识信息对应的秘
钥,并返回给边缘节点,进而使得边缘节点可以将该秘钥存储在边缘节点的预设存储区域
中,由于预设存储区域为边缘节点的存储介质中不具有文件系统的区域,因该存储区域只
能通过边缘节点自身识别及访问,而不能被其他设备识别,因此,能够提高秘钥存储的安全
性。
[0241] 本发明实施例还提供了一种计算机程序,当其在计算机上运行时,使得计算机执行本发明实施例所提供的应用于内容分发网络CDN中的边缘节点的秘钥管理方法的步骤。
[0242] 本发明实施例提供的包含指令的计算机程序,当应用于CDN中的边缘节点时,通过确定待获取秘钥的域名对应的标识信息,向中心服务器发送携带标识信息的请求报文,接
收中心服务器返回的信息,在信息中包括与标识信息对应的秘钥的情况下,将秘钥存储至
预设存储区域中,由于预设存储区域为边缘节点的存储介质中不具有文件系统的区域,因
该存储区域只能通过边缘节点自身识别及访问,而不能被其他设备识别,因此,能够提高其
中所存储秘钥的安全性。
收中心服务器返回的信息,在信息中包括与标识信息对应的秘钥的情况下,将秘钥存储至
预设存储区域中,由于预设存储区域为边缘节点的存储介质中不具有文件系统的区域,因
该存储区域只能通过边缘节点自身识别及访问,而不能被其他设备识别,因此,能够提高其
中所存储秘钥的安全性。
[0243] 本发明实施例还提供了一种计算机程序,当其在计算机上运行时,使得计算机执行本发明实施例所提供的应用于内容分发网络CDN中的中心服务器的秘钥管理方法的步
骤。
骤。
[0244] 本发明实施例提供的包含指令的计算机程序,当应用于CDN的中心服务器时,通过接收CDN中的边缘节点发送的携带有待获取秘钥的域名对应的标识信息的请求报文,中心
服务器基于预先存储的标识与秘钥的对应关系确定与标识信息对应的秘钥,向CDN中的边
缘节点返回信息,在信息中包括与标识信息对应的秘钥的情况下,以使秘钥存储至边缘节
点的预设存储区域中。由于基于请求报文中携带的标识信息确定与标识信息对应的秘钥,
并返回给边缘节点,进而使得边缘节点可以将该秘钥存储在边缘节点的预设存储区域中,
由于预设存储区域为边缘节点的存储介质中不具有文件系统的区域,因该存储区域只能通
过边缘节点自身识别及访问,而不能被其他设备识别,因此,能够提高秘钥存储的安全性。
服务器基于预先存储的标识与秘钥的对应关系确定与标识信息对应的秘钥,向CDN中的边
缘节点返回信息,在信息中包括与标识信息对应的秘钥的情况下,以使秘钥存储至边缘节
点的预设存储区域中。由于基于请求报文中携带的标识信息确定与标识信息对应的秘钥,
并返回给边缘节点,进而使得边缘节点可以将该秘钥存储在边缘节点的预设存储区域中,
由于预设存储区域为边缘节点的存储介质中不具有文件系统的区域,因该存储区域只能通
过边缘节点自身识别及访问,而不能被其他设备识别,因此,能够提高秘钥存储的安全性。
[0245] 对于装置/设备/存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
[0246] 需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存
在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖
非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要
素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备
所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在
包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖
非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要
素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备
所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在
包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0247] 本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置/
设备/存储介质/系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相
关之处参见方法实施例的部分说明即可。
设备/存储介质/系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相
关之处参见方法实施例的部分说明即可。
[0248] 以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围
内。
内。