SSL统一证书卸载系统及设备的制作方法

本发明涉及网络安全，具体为ssl统一证书卸载系统及设备。

背景技术：

1、ssl证书是遵守ssl协议，由受信任的数字证书颁发机构ca，在验证服务器身份后颁发，具有服务器身份验证和数据传输加密功能。ssl证书通过在客户端浏览器和web服务器之间建立一条ssl安全通道，安全协议是由netscape communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证；对传送的数据进行加密和隐藏；确保数据在传送中不被改变，即数据的完整性，现已成为该领域中全球化的标准。由于ssl技术已建立到所有主要的浏览器和web服务器程序中，因此，仅需安装服务器证书就可以激活该功能了)，即通过它可以激活ssl协议，实现数据信息在客户端和服务器之间的加密传输，可以防止数据信息的泄露，保证了双方传递信息的安全性，而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。

2、随着ssl通信量规模的日益庞大，其弊端也日益显现，其首要便是ssl延迟。在https中，完成tcp握手协议后还需完成ssl握手，因此，https比http耗时；同时，握手之后，服务器须使用额外的处理能力来对传输的数据进行加密和解密，于是ssl的联机加密运算不可避免会消耗服务器的处理性能，直观地说，一台服务器启用ssl加密之后，其性能往往只达到原来的20％，其余80％的计算性能都消耗在了ssl的加密运算方面。所以，需要对一下不常用甚至不用的ssl证书进行临时卸载或永久卸载。

3、cn115529186a公开基于软负载均衡的ssl证书卸载方法、装置及系统，该方法包括：通过响应于目标客户端通过负载均衡转发服务器发送的https请求，在软负载均衡服务器的本地内存中，获取与目标客户端对应的目标解密密钥；通过目标解密密钥对https请求进行ssl证书卸载处理，得到与目标客户端对应的http请求；将http请求发送至移动办公服务系统中，以控制目标客户端以软负载均衡的方式至移动办公服务系统。通过上述方法，解决了由于不能够使用通用负载均衡而造成的请求解析困难的问题，从而使得解密密钥不需要存储在目标客户端，能够提高系统通信的保密性和安全性。上述发明是针对银行系统的ssl证书卸载，并不具有普遍应用性。

4、现有的ssl证书通常可以为包含多个层级的证书链结构。在此情况下，客户端进行ssl证书校验的过程中，需要服务器对应的ssl证书链保持完整，才可以通过ssl证书校验，使客户端可以正常访问服务器，基于此，对于ssl证书的加载、更新或卸载，基本上是通过人工，分别对各个节点的ssl证书进行加载或更新，工作量大、且操作繁琐，稍有错误就会影响整个网络的数据安全，为此，我们提出ssl统一证书卸载系统及设备。

技术实现思路

1、本发明的目的在于提供ssl统一证书卸载系统及设备，以解决上述背景技术中提出的问题。

2、为实现上述目的，本发明提供如下技术方案：

3、根据本发明的一方面，提供了ssl统一证书卸载方法，由ssl证书管理服务器执行，包括以下步骤：

4、s1获取ssl证书，响应于目标客户端通过ssl证书管理服务器发送的传输安全协议发出的请求，从ssl证书管理系统获取ssl证书；

5、s2验证ssl证书，将获取到的ssl证书发送到对应组内的节点，节点分别与相应的域名和后端应用服务器对应，基于对应节点信息对单个ssl证书进行验证，节点返回验证结果；

6、s3解密ssl证书，在ssl证书管理服务器的本地内存中，对通过验证的ssl证书进行解密，获取与目标客户端对应的目标解密密钥；

7、s4卸载ssl证书，通过目标解密密钥对传输安全协议发出的请求进行ssl证书卸载处理，得到与目标客户端对应的传输安全协议发出的请求的响应，并将响应发送至目标客户端和ssl证书管理系统；

8、s5日志及监控，卸载ssl证书过程中，系统实时监控，监控项目包括cpu和内存情况。

9、优选的，s1中，传输安全协议包括https、pop3s、smtps和imaps。

10、优选的，s2中，验证时，单独对每个ssl业务进行负载均衡，验证项目包括但不限于轮询、加权轮询、最少连接数、静态就近性、动态就近性。

11、优选的，s3中，支持配置基于源安全域、目的安全域、源地址、目的地址、ssl协议服务的解密策略，动作设置解密或不解密，并可基于安全域、ipv4和ipv6地址进行例外设置，同时支持将解密后流量镜像到其他设备进行分析统计。

12、优选的，s3中，通过内置的算法包进行解密，算法包包括对称密码算法、非对称密码算法和散列算法，对称密码算法包括但不限于des(56位)、3des(168位)、aes(128位)和blowfish算法，非对称密码算法包括但不限于rsa、dsa和dh算法，散列算法包括但不限于md5、sha、base64和crc算法。

13、优选的，s5中，支持以图表的形式实时动态显示设备的上行和下行流量，支持自动刷新，支持显示各模块日志信息，可以查看用户登录日志和资源访问日志。

14、根据本发明的另一方面，提供了ssl统一证书卸载系统，包括：

15、ssl证书获取模块，用于响应于目标客户端通过ssl证书管理服务器发送的传输安全协议发出的请求，从ssl证书管理系统获取ssl证书；

16、ssl证书验证模块，用于将获取到的ssl证书发送到对应组内的节点，节点分别与相应的域名和后端应用服务器对应，基于对应节点信息对单个ssl证书进行验证，节点返回验证结果；

17、ssl证书解密模块，用于在ssl证书管理服务器的本地内存中，对通过验证的ssl证书进行解密，获取与目标客户端对应的目标解密密钥；

18、请求响应模块，用于通过目标解密密钥对传输安全协议发出的请求进行ssl证书卸载处理，得到与目标客户端对应的传输安全协议发出的请求的响应；

19、响应发送模块，用于将传输安全协议发出的请求的响应发送至目标客户端和ssl证书管理系统；

20、日志监控模块，用于卸载ssl证书过程中，系统实时监控，监控项目包括cpu和内存情况；

21、ssl证书批量执行模块，用于ssl证书批量导入、批量解密和批量卸载。

22、优选的，还包括：告警显示模块，用于支持包括cpu告警、内存告警、ssl连接数告警、管理员账号登陆锁定告警、用户账号登陆锁定告警，告警方式为邮件、短信、邮件和短信。

23、优选的，还包括：接口集成模块，支持按照客户要求，集成与第三方平台或系统的接口。

24、根据本发明的另一方面，提供了ssl统一证书卸载设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现本发明所述的ssl统一证书卸载方法。

25、根据本发明的另一方面，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现本发明所述的ssl统一证书卸载方法。

26、与现有技术相比，本发明的有益效果是：

27、本发明提供一种ssl证书卸载方法，包括获取ssl证书，响应于目标客户端通过ssl证书管理服务器发送的传输安全协议发出的请求，从ssl证书管理系统获取ssl证书；验证ssl证书，将获取到的ssl证书发送到对应组内的节点，节点分别与相应的域名和后端应用服务器对应，基于对应节点信息对单个ssl证书进行验证，节点返回验证结果；解密ssl证书，在ssl证书管理服务器的本地内存中，对通过验证的ssl证书进行解密，获取与目标客户端对应的目标解密密钥；卸载ssl证书，通过目标解密密钥对传输安全协议发出的请求进行ssl证书卸载处理，得到与目标客户端对应的传输安全协议发出的请求的响应，并将响应发送至目标客户端和ssl证书管理系统；日志及监控，卸载ssl证书过程中，系统实时监控，监控项目包括cpu和内存情况。

28、通过上述方法和系统，解决了ssl证书卸载时验证解密困难的问题，从而卸载时对其进行验证，验证无误后执行卸载，能够提高系统通信的保密性和安全性。