[发明专利]建立安全连接的方法、系统、装置和电子设备

说明书

本发明提供一种建立安全连接的方法、系统、装置和电子设备，接收到客户端发送的目标网站的访问请求时，从保存有目标网站的安全证书和安全证书的私钥的管理服务器中获取安全证书，将安全证书发送至客户端；在需要使用安全证书的私钥签名或者解密时，向管理服务器发送私钥使用请求，管理服务器使用安全证书的私钥对私钥使用请求进行签名或者解密；接收管理服务器返回的处理结果，基于该处理结果与客户端建立安全连接。该方式中，网站的安全证书和该安全证书的私钥仅保存在管理服务器，无需预先下发安全证书和私钥，当客户端访问目标网站时，通过管理服务器使用安全证书和私钥与客户端建立连接，从而避免了私钥和证书的泄露，提高了数据的安全性。

技术领域

本发明涉及数据安全技术领域，尤其是涉及一种建立安全连接的方法、系统、装置和电子设备。

背景技术

HTTPS(Hyper Text Transfer Protocol over SecureSocket Layer，超文本传输安全协议)是以安全为目标的HTTP通道，在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS的使用遵从PKI(Public-Key Infrastructure，公钥基础设施)的要求，需要服务的提供方提供证书和对应的私钥，然后同客户端建立安全连接。在实际应用中，当源站使用CDN(Content Delivery Network，内容分发网络)后，客户端同源站建立的HTTPS连接由源站转移到了CDN节点，也即是由CDN节点来代表源站进行握手，因此，需要将源站的证书和私钥部署在CDN节点上，但由于CDN节点数量较多，整体的服务器数量巨大，在每台CDN节点的缓存服务器上都保存有证书和私钥，容易造成私钥和证书的泄露，进而威胁到用户的数据安全。

发明内容

本发明的目的在于提供一种建立安全连接的方法、系统、装置和电子设备，以降低私钥和证书泄露的风险，进而保证用户的数据安全。

第一方面，本发明实施例提供了一种建立安全连接的方法，该方法包括：如果接收到客户端发送的针对目标网站的访问请求，从管理服务器中获取目标网站的安全证书；其中，该管理服务器中保存有目标网站的安全证书和安全证书对应的私钥；将该安全证书发送至客户端；在需要使用安全证书对应的私钥进行签名或者解密时，向管理服务器发送私钥使用请求，以通过管理服务器使用安全证书对应的私钥对私钥使用请求进行签名或者解密处理，返回处理结果；接收管理服务器返回的处理结果，基于该处理结果与客户端建立安全连接。

在可选的实施方式中，上述目标网站的访问请求中携带有目标网站的域名；上述如果接收到客户端发送的针对目标网站的访问请求，从管理服务器中获取目标网站的安全证书的步骤，包括：如果接收到客户端发送的针对目标网站的访问请求，提取访问请求携带的目标网站的域名；将目标网站的域名发送至管理服务器；接收管理服务器根据目标网站的域名返回的目标网站的安全证书。

在可选的实施方式中，上述将安全证书发送至客户端的步骤之后，该方法还包括：接收客户端使用安全证书对客户端的预主密钥加密后得到的加密后的预主密钥；上述在需要使用安全证书对应的私钥进行签名或者解密时，向管理服务器发送私钥使用请求，以通过管理服务器使用安全证书对应的私钥对私钥使用请求进行签名或者解密处理的步骤，包括：将加密后的预主密钥发送至管理服务器，以通过管理服务器使用安全证书对应的私钥解密加密后的预主密钥；上述接收管理服务器返回的处理结果，基于处理结果与客户端建立安全连接的步骤，包括：接收管理服务器返回的解密后的预主密钥，基于该预主密钥与客户端建立安全连接。

在可选的实施方式中，上述私钥使用请求中携带有指定参数；上述向管理服务器发送私钥使用请求，以通过管理服务器使用安全证书对应的私钥对私钥使用请求进行签名或者解密处理的步骤，包括：向管理服务器发送携带有指定参数的私钥使用请求，以通过管理服务器使用安全证书对应的私钥对指定参数进行签名，返回签名信息；上述接收管理服务器返回的处理结果，基于处理结果与客户端建立安全连接的步骤，包括：接收管理服务器返回的签名信息，并将该签名信息发送至客户端，以使客户端通过安全证书验签签名信息，得到指定参数；基于该指定参数与客户端建立安全连接。