技术领域
[0001] 本
发明涉及证书加载技术领域,尤其涉及一种基于请求粒度的证书动态加载方法、装置和服务器。
背景技术
[0002] 在为客户端提供服务时,服务器在与客户端建立连接后,通常需要进行相互验证,验证通过后才能继续进行数据传输,因此,服务器需要预先加载相应的证书,才能与客户端进行验证。
[0003] 当前,常用的证书加载方法可以分为静态加载和动态加载。证书部署平台预先将全部证书的证书配置信息发送给服务器,静态加载一般是当服务器启动时,根据证书配置信息加载相应的证书;动态加载则通常在服务器运行过程中,根据证书配置信息加载相应的证书。但是,不论静态加载还是动态加载,都会一次性加载完全部证书配置信息对应的证书。
[0004] 在实现本发明的过程中,
发明人发现
现有技术中至少存在以下问题:
[0005] 无论静态加载或者动态加载,往往都会同时加载大量证书,不能按需加载,这样会降低服务器性能,并且由于加载大量证书耗时较长,也会影响用户体验。
发明内容
[0006] 为了解决现有技术的问题,本发明
实施例提供了一种基于请求粒度的证书动态加载方法、装置和服务器。所述技术方案如下:
[0007] 第一方面,提供了一种基于请求粒度的证书动态加载方法,所述方法包括:
[0008] 接收数据请求,获取所述数据请求中包含的请求信息;
[0009] 根据所述请求信息,在本地预存的证书配置信息中确定目标证书的证书配置信息;
[0010] 根据所述目标证书的证书配置信息,加载所述目标证书。
[0011] 进一步的,所述接收数据请求,获取所述数据请求中包含的请求信息,包括:
[0012] 与客户端建立TCP连接后,接收所述客户端发来的TCP请求,获取所述TCP请求中包含的目的IP。
[0013] 进一步的,所述接收数据请求,获取所述数据请求中包含的请求信息,包括:
[0014] 与客户端建立TCP连接后,接收所述客户端发来的SSL握手请求,获取所述SSL握手请求中包含的源站服务器名称。
[0015] 进一步的,所述根据所述请求信息,在本地预存的证书配置信息中确定目标证书的证书配置信息,包括:
[0016] 根据所述请求信息,在预设的证书加载信息表中确定所述请求信息对应的证书加载信息,其中,所述证书加载信息包括所述证书配置信息存储路径;
[0017] 根据所述证书配置信息存储路径,在本地预存的证书配置信息中确定所述目标证书的证书配置信息。
[0018] 进一步的,在所述接收数据请求,获取所述数据请求中包含的请求信息之前,所述方法还包括:
[0019] 接收证书部署平台发来的证书配置信息,并将所述证书配置信息存储在本地;
[0020] 根据所述证书配置信息,得到证书加载信息,并将所述证书加载信息存储在预设的证书加载信息表中,其中,所述证书加载信息包括:证书名称、对应的请求信息和对应的证书配置信息存储路径。
[0021] 进一步的,所述证书加载信息还包括目标证书的证书版本号,所述方法还包括:
[0022] 周期性比较已加载的所述目标证书的证书版本号与所述目标证书对应证书加载信息中的证书版本号是否一致,根据比较结果判断所述目标证书是否更新;
[0023] 如果一致,则所述目标证书未更新,否则,所述目标证书已更新;
[0024] 如果所述目标证书已更新,则卸载所述目标证书。
[0025] 第二方面,提供了一种基于请求粒度的证书动态加载装置,所述装置包括:
[0026] 接收模
块,用于接收数据请求,获取所述数据请求中包含的请求信息;
[0027] 查找模块,用于根据所述请求信息,在本地预存的证书配置信息中确定目标证书的证书配置信息;
[0028] 加载模块,用于根据所述目标证书的证书配置信息,加载所述目标证书。
[0029] 进一步的,所述接收模块,具体用于:
[0030] 与客户端建立TCP连接后,接收所述客户端发来的TCP请求,获取所述TCP请求中包含的目的IP。
[0031] 进一步的,所述接收模块,具体用于:
[0032] 与客户端建立TCP连接后,接收所述客户端发来的SSL握手请求,获取所述SSL握手请求中包含的源站服务器名称。
[0033] 进一步的,所述查找模块,具体用于:
[0034] 根据所述请求信息,在预设的证书加载信息表中确定所述请求信息对应的证书加载信息,其中,所述证书加载信息包括所述证书配置信息存储路径;
[0035] 根据所述证书配置信息存储路径,在本地预存的证书配置信息中确定所述目标证书的证书配置信息。
[0036] 进一步的,所述装置还包括:
[0037] 存储模块,用于接收证书部署平台发来的证书配置信息,并将所述证书配置信息存储在本地;根据所述证书配置信息,得到证书加载信息,并将所述证书加载信息存储在预设的证书加载信息表中,其中,所述证书加载信息包括:证书名称、对应的请求信息和对应的证书配置信息存储路径。
[0038] 进一步的,所述证书加载信息还包括目标证书的证书版本号,所述装置还包括:
[0039] 卸载模块,用于周期性比较已加载的所述目标证书的证书版本号与所述目标证书对应证书加载信息中的证书版本号是否一致,根据比较结果判断所述目标证书是否更新;如果一致,则所述目标证书未更新,否则,所述目标证书已更新;如果所述目标证书已更新,则卸载所述目标证书。
[0040] 第三方面,提供了一种服务器,所述服务器包括
存储器和处理器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现上述第一方面所述的基于请求粒度的证书动态加载方法。
[0041] 本发明实施例提供的技术方案带来的有益效果是:
[0042] 本发明实施例中,接收数据请求,获取所述数据请求中包含的请求信息;根据所述请求信息,在本地预存的证书配置信息中确定目标证书的证书配置信息;根据所述目标证书的证书配置信息,加载所述目标证书。这样,服务器可以在接收到数据请求后,根据数据请求包含的请求信息,确定需要加载的证书,加载过程只需要加载所需的证书即可,做到按需加载,而不需要一次性加载全部证书,从而降低了加载证书对服务器性能的影响,也提高了证书加载速度,尤其对于有海量证书需要加载和更新的服务器,这种按请求触发、分散加载的证书加载方式有利于提高证书加载效率。
附图说明
[0043] 为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0044] 图1是本发明实施例提供的一种基于请求粒度的证书动态加载方法的
流程图;
[0045] 图2是本发明实施例提供的一种基于请求粒度的证书动态加载装置的结构示意图;
[0046] 图3是本发明实施例提供的一种基于请求粒度的证书动态加载装置的结构示意图;
[0047] 图4是本发明实施例提供的一种基于请求粒度的证书动态加载装置的结构示意图。
具体实施方式
[0048] 为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
[0049] 本发明实施例提供了一种基于请求粒度的证书动态加载方法,该方法可以适用于服务器上。服务器与证书部署平台相连接,能够接收证书部署平台批量下发的证书配置信息,并根据接收到的证书配置信息加载证书,完成证书部署。服务器还与客户端连接,能够接收客户端发来的数据请求,并通过加载的证书与客户端进行身份验证。服务器中可以包括处理器、存储器、收发器,处理器可以用于进行下述流程中的确定目标证书的证书配置信息以及加载目标证书的处理,存储器可以用于存储证书配置信息、处理过程中需要的数据以及产生的数据,收发器可以用于接收和发送数据请求以及证书配置信息。本实施例的应用场景可以是:服务器预先接收证书部署平台发来的证书配置信息,但不根据这些证书配置信息加载证书,即不创建证书上下文,而将这些证书配置信息存储在服务器本地。当服务器接收到来自客户端的数据请求后,获取数据请求中包含的请求信息,然后根据请求信息,在服务器本地预存的证书配置信息中确定目标证书的证书配置信息。服务器根据确定的目标证书的证书配置信息,加载目标证书。
[0050] 下面将结合具体实施方式,对图1所示的一种基于请求粒度的证书动态加载流程进行详细的说明,内容可以如下:
[0051] 步骤101:接收数据请求,获取数据请求中包含的请求信息。
[0052] 在实施中,服务器与客户端建立连接,然后,客户端向服务器发送数据请求。服务器接收到客户端发来的数据请求后,解析该数据请求,获取该数据请求中包含的请求信息。
[0053] 可选的,在服务器与客户端建立连接后,如果服务器接收到客户端发来的数据请求是TCP请求,相应的处理可以如下:与客户端建立TCP(Transmission Control Protocol,传输控制协议)连接后,接收客户端发来的TCP请求,获取TCP请求中包含的目的IP。
[0054] 在实施中,服务器在接收到客户端发来的TCP连接请求后,与客户端进行TCP三次握手,之后,服务器与客户端之间的TCP连接建立完成。客户端继续通过TCP连接向服务器发送TCP请求。服务器在接收到客户端发来的TCP请求后,对TCP请求进行解析,获取TCP请求中包含的源IP、源端口、目的IP和目的端口等请求信息。
[0055] 可选的,在服务器与客户端建立连接后,客户端还可以与服务器进行SSL(Secure Sockets Layer,安全套接层)验证,因此,客户端可以向服务器发送SSL握手请求,故而,相应的处理可以如下:与客户端建立TCP连接后,接收客户端发来的SSL握手请求,获取SSL握手请求中包含的源站服务器名称。
[0056] 在实施中,如前文所述,客户端在通过TCP三次握手与服务器建立TCP连接之后,如果客户端与服务器之间需要通过HTTPS协议(Hypertext Transfer Protocol Secure,超文本传输安全协议)进行数据传输,客户端就需要与服务器进行SSL验证。在进行SSL验证时,客户端首先与服务器进行SSL握手,向服务器发送SSL握手请求(client hello数据包)。服务器在接收到客户端发来的client hello数据包后,对client hello数据包进行解析,获取客户端协议信息、密码套件信息、数据请求对应的源站服务器名称(server_name)、客户端随机数、压缩信息、扩展信息等请求信息。
[0057] 可选的,为了能够在需要时再加载证书,服务器还可以在本地存储证书配置信息,相应的处理可以如下:接收证书部署平台发来的证书配置信息,并将证书配置信息存储在本地;根据证书配置信息,得到证书加载信息,并将证书加载信息存储在预设的证书加载信息表中。
[0058] 其中,证书加载信息包括:证书名称、对应的请求信息和对应的证书配置信息存储路径。
[0059] 在实施中,管理人员在证书部署平台上设置证书的加载参数信息、支持协议信息、套件信息等作为证书配置信息,然后,根据不同服务器所服务客户端的不同,将相应的证书配置信息发送给服务器。在接收到证书部署平台发来的证书配置信息后,服务器并不立即根据接收到的证书配置信息加载证书,而是将证书配置信息存储到服务器本地。同时,服务器根据接收到的证书配置信息,将每个证书配置信息对应的证书名称、对应的请求信息、对应的证书配置信息存储路径和对应的证书版本号等信息作为该证书配置信息对应证书的证书加载信息,存储在服务器预设的证书加载信息表中,以备加载证书时使用。
[0060] 步骤102:根据请求信息,在本地预存的证书配置信息中确定目标证书的证书配置信息。
[0061] 在实施中,如前文所述,服务器在本地预先存储有证书配置信息。在通过解析数据请求,得到数据请求中包含的请求信息之后,服务器可以进一步根据得到的请求信息,在本地预存的全部证书配置信息中确定目标证书的证书配置信息。
[0062] 可选的,服务器可以通过本地预设的证书加载信息表获取目标证书的证书配置信息,故而,步骤102的处理,具体可以如下:根据请求信息,在预设的证书加载信息表中确定请求信息对应的证书加载信息,其中,证书加载信息包括证书配置信息存储路径;根据证书配置信息存储路径,在本地预存的证书配置信息中确定目标证书的证书配置信息。
[0063] 在实施中,如前文所述,服务器根据不同类型的数据请求,获取得到不同的请求信息,例如目的IP(TCP请求)或者源站服务器名称(SSL握手请求)。对于TCP请求,服务器通过目的IP最终可以得到相应的传统证书的证书配置信息;对于SSL握手请求,由于源站服务器名称与SNI(Server Name Indication)证书相互绑定,服务器可以通过源站服务器名称,找到相应的SNI证书的证书配置信息。因此,服务器在本地预设的证书加载信息表中,查找目的IP、源站服务器名称或者其他请求信息,得到对应的证书加载信息。如前所述,证书加载信息可以包括证书名称、请求信息、证书配置信息存储路径和证书版本号等信息,因此,服务器可以从证书加载信息中得到目标证书的证书配置信息存储路径,之后,进一步根据证书配置信息存储路径,从服务器本地预存的全部证书配置信息中,确定目标证书的证书配置信息。
[0064] 步骤103:根据目标证书的证书配置信息,加载目标证书。
[0065] 在实施中,服务器在确定了目标证书的证书配置信息后,就可以根据该证书配置信息的具体内容,加载目标证书。如前文所述,对于TCP请求,服务器通过目的IP最终得到相应的传统证书的证书配置信息,然后在服务器上加载该传统证书。对于SSL握手请求,服务器通过源站服务器名称,找到相应的SNI证书的证书配置信息,然后在服务器上加载该SNI证书。在加载完成该SNI证书之后,服务器根据接收到的client hello数据包和加载的SNI证书,向客户端返回server hello数据包和相应的证书,并继续与客户端完成SSL握手过程。
[0066] 可选的,当证书发生版本更新后,服务器上已加载或未加载的证书,可以采用不同的处理方法,因此,为了判断证书是否更新,证书加载信息还可以包括目标证书的证书版本号,相应的处理可以如下:周期性比较已加载的目标证书的证书版本号与目标证书对应证书加载信息中的证书版本号是否一致,根据比较结果判断目标证书是否更新;如果一致,则目标证书未更新,否则,目标证书已更新;如果目标证书已更新,则卸载目标证书。
[0067] 在实施中,当管理人员在证书部署平台上对证书进行版本更新后,证书部署平台会将更新后的证书配置信息发送给服务器。服务器接收到更新后的证书配置信息后,首先用更新后的证书配置信息替换之前存储的更新前的证书配置信息,然后根据更新后的证书配置信息,更新对应的证书加载信息。服务器每隔固定时间间隔会检查全部已加载的证书是否存在更新,具体的检查方式可以是:从已加载的目标证书中获取证书版本号,获取当前目标证书对应证书加载信息中包含的证书版本号,然后通过比较已加载的目标证书的证书版本号和目标证书对应证书加载信息中包含的证书版本号是否一致,来判断目标证书是否发生更新。如果两个证书版本号一致,说明已加载的目标证书和证书加载信息对应的目标证书版本相同,目标证书未发生更新;如果两个证书版本号不一致,表示已加载的目标证书和证书加载信息对应的目标证书版本不相,目标证书已发生更新,此时,服务器可以立即卸载更新前的目标证书,然后等待接收到相应的数据请求后,根据获取的请求信息,在服务器本地预存的证书配置信息中确定目标证书更新后的证书配置信息,再根据目标证书更新后的证书配置信息,加载更新后的目标证书。需要说明的是,对于未加载的证书,由于服务器在接收到更新后的证书配置信息后会立即替换之前存储的更新前的证书配置信息,当需要加载这类证书时,服务器能够直接加载这类证书的最新版本,故而,服务器不需要检查未加载的证书是否存在更新。
[0068] 本发明实施例中,接收数据请求,获取所述数据请求中包含的请求信息;根据所述请求信息,在本地预存的证书配置信息中确定目标证书的证书配置信息;根据所述目标证书的证书配置信息,加载所述目标证书。这样,服务器可以在接收到数据请求后,根据数据请求包含的请求信息,确定需要加载的证书,加载过程只需要加载所需的证书即可,做到按需加载,而不需要一次性加载全部证书,从而降低了加载证书对服务器性能的影响,也提高了证书加载速度,尤其对于有海量证书需要加载和更新的服务器,这种按请求触发、分散加载的证书加载方式有利于提高证书加载效率。
[0069] 基于相同的技术构思,本发明实施例还提供了一种基于请求粒度的证书动态加载装置,如图2所示,所述装置包括:
[0070] 接收模块201,用于接收数据请求,获取所述数据请求中包含的请求信息。
[0071] 查找模块202,用于根据所述请求信息,在本地预存的证书配置信息中确定目标证书的证书配置信息。
[0072] 加载模块203,用于根据所述目标证书的证书配置信息,加载所述目标证书。
[0073] 进一步的,所述接收模块201,具体用于:
[0074] 与客户端建立TCP连接后,接收所述客户端发来的TCP请求,获取所述TCP请求中包含的目的IP。
[0075] 进一步的,所述接收模块201,具体用于:
[0076] 与客户端建立TCP连接后,接收所述客户端发来的SSL握手请求,获取所述SSL握手请求中包含的源站服务器名称。
[0077] 进一步的,所述查找模块202,具体用于:
[0078] 根据所述请求信息,在预设的证书加载信息表中确定所述请求信息对应的证书加载信息,其中,所述证书加载信息包括所述证书配置信息存储路径;
[0079] 根据所述证书配置信息存储路径,在本地预存的证书配置信息中确定所述目标证书的证书配置信息。
[0080] 进一步的,如图3所示,所述装置还包括:
[0081] 存储模块204,用于接收证书部署平台发来的证书配置信息,并将所述证书配置信息存储在本地;根据所述证书配置信息,得到证书加载信息,并将所述证书加载信息存储在预设的证书加载信息表中,其中,所述证书加载信息包括:证书名称、对应的请求信息和对应的证书配置信息存储路径。
[0082] 进一步的,所述证书加载信息还包括目标证书的证书版本号,如图4所示,所述装置还包括:
[0083] 卸载模块205,用于周期性比较已加载的所述目标证书的证书版本号与所述目标证书对应证书加载信息中的证书版本号是否一致,根据比较结果判断所述目标证书是否更新;如果一致,则所述目标证书未更新,否则,所述目标证书已更新;如果所述目标证书已更新,则卸载所述目标证书。
[0084] 基于相同的技术构思,本发明实施例还提供了一种服务器,所述服务器可因配置或性能不同而产生比较大的差异,包括一个或一个以上存储器和处理器,其中,存储器可以是短暂存储或永久存储。存储器可以存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现上述基于请求粒度的证书动态加载方法。
[0085] 需要说明的是:上述实施例提供的基于请求粒度的证书动态加载装置在实现基于请求粒度的证书动态加载时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将推基于请求粒度的证书动态加载装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。同时,上述实施例提供的基于请求粒度的证书动态加载装置与基于请求粒度的证书动态加载方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
[0086] 通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助
软件加必需的通用
硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务端,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
[0087] 以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何
修改、等同替换、改进等,均应包含在本发明的保护范围之内。
