一種ssl/tls連接的實現方法、裝置及系統的製作方法
2023-04-24 21:44:41 1
專利名稱:一種ssl/tls連接的實現方法、裝置及系統的製作方法
技術領域:
本發明涉及網絡安全的技術領域,具體地,涉及一種SSL/TLS連接的實現方法、裝置及系統。
背景技術:
隨著網絡技術的發展,越來越多的人通過網絡來進行信息交流,包括網上購物、網上銀行等個人金融服務方式也得到了廣泛應用,隨之而來的網絡信息的安全問題也日益凸顯。例如,在用戶使用網上銀行時,電腦病毒等黑客程序威脅著網上銀行的用戶的信息安全。目前,客戶端和伺服器端通常採用安全套接層(Secure Socket Layer, SSL)協議或者傳輸層安全(Transport Layer Security, TLS)協議建立連接,以確保客戶端訪問伺服器端的過程中的信息安全問題。 現有技術中,客戶端向遠程的伺服器端請求SSL/TLS連接以進行信息交流時,客戶端和伺服器端之間通過使用密碼技術完成雙方的密鑰協商,密鑰協商的內容包括會話所使用的數據壓縮算法、對稱加密算法、Hash算法以及相應的加密密鑰、MAC密鑰等。在客戶端和伺服器端得到相對應的加密密鑰和MAC密鑰後,便可以建立安全通道,該通道保護伺服器端與客戶端之間數據的安全性和完整性。然而,在客戶端與伺服器端的密鑰協商過程中,預主密鑰、主密鑰、加密密鑰和MAC密鑰的生成均為客戶端或伺服器端的應用程式調用默認的SSL/TLS模塊,在內存中利用軟體處理來實現,並且對數據的加密和解密。黑客程序一旦從客戶端內存中捕獲到預主密鑰或主密鑰,則可以計算出加密密鑰與MAC密鑰,或者黑客程序直接捕獲到加密密鑰與MAC密鑰,則黑客程序可以在網絡上直接竊取加密傳輸的明文數據,甚至直接篡改明文數據,導致用客戶端或伺服器端的數據被竊取,數據的安全性較低。
發明內容
為解決上述問題,本發明提供一種SSL/TLS連接的實現方法、裝置及系統,用於解決現有技術中客戶端與伺服器端之間採用SSL/TLS協議連接時,信息的安全性較低的問題。為此,本發明提供一種SSL/TLS連接的實現方法,其中,包括在客戶端與伺服器端完成證書驗證之後,客戶端的應用程式調用專用安全模塊向硬體單元發送密鑰運算的指令;所述硬體單元根據密鑰運算的指令,計算出預主密鑰、主密鑰、加密密鑰和MAC密鑰中的至少一個,從而在所述客戶端與所述伺服器端之間建立傳輸數據的安全通道。其中,所述客戶端與伺服器端完成證書驗證包括所述客戶端向所述伺服器端發出握手請求,所述客戶端與所述伺服器端之間相互進行證書驗證。其中,在所述客戶端與所述伺服器端之間建立傳輸數據的安全通道之後還包括
所述客戶端的硬體單元利用密鑰對客戶端發送的請求數據進行加密操作,以及對接收到的所述伺服器端發送的響應數據進行解密操作。其中,在所述客戶端與所述伺服器端建立傳輸數據的安全通道之後還包括所述伺服器端的硬體單元對接收的客戶端發送的數據進行解密操作,以及對將要發送的數據進行加密操作。本發明還提供一種SSL/TLS連接的實現裝置,其中包括客戶端的應用程式、專用安全模塊和硬體單元;所述客戶端的應用程式調用專用安全模塊,所述專用安全模塊向硬體單元發送密鑰運算的指令;所述硬體單元根據密鑰運算的指令,計算預主密鑰、主密鑰、加密密鑰和MAC密鑰中的至少一個。 其中,所述硬體單元利用密鑰對客戶端發送的請求數據進行加密操作,以及對接收到的所述伺服器端發送的響應數據進行解密操作。其中,所述客戶端或伺服器終端設備包括如下中的至少一種計算機、加密機、手機、PDA。其中,所述硬體單元包括如下中的至少一種智慧卡、CPU卡、USBkey、安全SD卡、音頻接口硬體、Dock接口硬體、OTG接口硬體、SM卡和PCI硬體卡。本發明還提供一種SSL/TLS連接的實現系統,其中包括伺服器端與上述的任意一種SSL/TLS連接的實現裝置。本發明具有下述有益效果本發明提供的SSL/TLS連接的實現方法的實施例中,客戶端通過客戶端的應用程式調用專用安全模塊,專用安全模塊再調用硬體單元來進行密鑰運算,避免在計算機內存中計算密鑰所帶來的風險,有效防止黑客程序竊取甚至篡改密鑰,提高了密鑰的安全性,從而確保客戶端和伺服器端之間傳輸的數據的安全性。本發明提供的SSL/TLS連接的實現裝置及系統也具有上述的有益效果。
圖I為本發明SSL/TLS連接的實現方法第一實施例的流程圖;圖2為本發明SSL/TLS連接的實現方法第二實施例客戶端和伺服器端的架構圖;圖3為本發明SSL/TLS連接的實現方法第二實施例的流程圖;圖4為本發明SSL/TLS連接的實現裝置實施例的結構示意圖。
具體實施例方式為使本領域的技術人員更好地理解本發明的技術方案,下面結合附圖對本發明提供的SSL/TLS連接的實現方法、裝置及系統進行詳細描述。圖I為本發明SSL/TLS連接的實現方法第一實施例的流程圖。如圖I所示,本實施例SSL/TLS連接的實現方法的流程具體包括如下步驟步驟101、在客戶端與伺服器端完成證書驗證之後,客戶端的應用程式調用專用安全模塊向硬體單元發送密鑰運算的指令。
在本步驟中,在客戶端與伺服器端完成證書驗證之後,客戶端的應用程式不是在計算機內存中進行密鑰計算,而是調用專用安全模塊向硬體單元發送密鑰運算的指令,然後進入步驟102。步驟102、硬體單元根據密鑰運算的指令計算出預主密鑰、主密鑰、加密密鑰和MAC密鑰中的至少一種,從而在客戶端與伺服器端之間建立傳輸數據的安全通道。在本步驟中,硬體單元接收到密鑰運算的指令之後,硬體單元將進行密鑰運算,由於黑客程序可以容易竊取內存中的數據,而難以竊取硬體單元中的密鑰,從而提高密鑰運算的安全性,確保密鑰的安全,同時也確保利用密鑰加密的數據的安全。其中,加密密鑰可以確保數據機密性,MAC密鑰可以確保數據完整性的,客戶端和伺服器端同時計算得到加密密鑰和MAC密鑰之後,在客戶端與伺服器端之間建立傳輸數據的安全通道。在本步驟中,客戶端根據硬體單元計算得到密鑰之後,可以對發送的請求數據進行加密,也可以對接收到的響應數據進行解密操作。利用加密密鑰對數據進行加密,可以確保數據的機密性,利用MAC密鑰對數據加密,可以確保數據的完整性,從而確保數據的安全 性。在實際應用中,硬體單元也可以只計算預主密鑰、主密鑰、加密密鑰和MAC密鑰中的部分密鑰,例如,只計算加密密鑰和MAC密鑰。本實施例中,客戶端通過應用程式調用專用安全模塊,專用安全模塊再調用硬體單元來進行密鑰運算,避免在計算機內存中計算密鑰所帶來的風險,有效防止黑客程序竊取甚至篡改加密密鑰和MAC密鑰,提高了密鑰的安全性,從而確保客戶端和伺服器端之間傳輸數據的安全性。圖2為本發明SSL/TLS連接的實現方法第二實施例客戶端和伺服器端的架構圖,圖3為本發明SSL/TLS連接的實現方法第二實施例的流程圖。如圖2所示,客戶端10包括客戶端應用程式101、SSL/TLS模塊102、專用安全模塊103和硬體單元104,專用安全模塊103可以設置在SSL/TLS模塊102中,也可以與SSL/TLS模塊102相對獨立地設置,本實施例以專用安全模塊103設置在SSL/TLS模塊102中為例來介紹技術方案。伺服器端20包括伺服器端應用程式模塊201、伺服器端SSL/TLS模塊202、伺服器端專用安全模塊203和伺服器端硬體單元204。客戶端10和伺服器端20在發送數據時,需要對將要發送的數據進行加密操作,以及對接收到的數據進行解密操作。在本實施例中,在客戶端10需要與伺服器端20利用SSL/TLS協議建立連接時,客戶端的應用程式101將調用專用安全模塊103,專用安全模塊103向硬體單元104發出密鑰運算的指令,硬體單元104計算出加密密鑰和MAC密鑰,伺服器端應用程式201將調用專用伺服器端安全模塊203,伺服器端專用安全模塊203向伺服器端硬體單元204發出密鑰運算的指令,伺服器端硬體單元204計算出加密密鑰和MAC密鑰,伺服器端硬體單元204將利用加密密鑰和MAC密鑰對數據進行加密操作或解密操作。如圖3所示,本實施例SSL/TLS連接的實現方法的流程具體包括如下步驟步驟301、客戶端向伺服器端發送請求。在本步驟中,客戶端10向伺服器端20發送請求,以請求伺服器端20的相應數據,然後進入步驟302。步驟302、客戶端與伺服器端之間進行算法協商。在本步驟中,客戶端10內部的SSL/TLS協議棧向伺服器端20發起SSL握手請求參數,握手請求參數中包括SSL/TLS協議的版本號、會話ID、隨機數、客戶端10支持的非對稱算法、對稱算法、Hash算法以及其它相關信息。伺服器端20接收到客戶端10發送的握手請求參數後,從中選擇一個SSL/TLS協議的版本號,並選擇非對稱算法、對稱算法和Hash算法,接著伺服器端20生成會話ID、隨機數以及其它相關信息等握手響應參數,然後伺服器端20將上述握手響應參數發送給客戶端10,從而在客戶端10和伺服器端20之間完成完成算法協商,然後進入步驟303。步驟303、客戶端與伺服器端之間進行證書驗證。在本步驟,客戶端10與伺服器端20完成算法協商之後,伺服器端20把自己的數字證書發送給客戶端10,客戶端10驗證伺服器20的數字證書的合法性,數字證書可以為一個X509證書,也可以是一個證書鏈。如果客戶端10驗證伺服器端20發送的數字證書不合法,則將與伺服器端20終止SSL/TLS協議,如果驗證伺服器端20的數字證書合法,則將繼續執行SSL/TLS協議。在實際應用中,如果伺服器端20要求驗證客戶端10的數字證書,則需要客戶端10 對步驟302中的握手請求數據進行籤名,並將客戶端10的數字證書和籤名發送給伺服器,伺服器端20在收到客戶端10的數字證書和籤名後,對客戶端10的數字證書和籤名進行驗證,如果驗證到客戶端10的籤名是非法的,則伺服器端20將終止SSL/TLS協議,如果驗證到客戶端10的籤名是合法的,則將繼續執行SSL/TLS協議。本步驟中,如果在客戶端10驗證伺服器端20的數字證書合法,則完成證書驗證;進一步的,伺服器端20還可以驗證客戶端10的籤名是否合法,如果伺服器端20驗證客戶端10的籤名合法,則完成證書驗證。在客戶端10與伺服器端20之間完成證書驗證之後,進入步驟304。步驟304、客戶端與伺服器端進行密鑰協商。在本步驟中,在客戶端10與伺服器端20之間完成證書驗證之後,客戶端10與伺服器端20進行密鑰協商。客戶端10與伺服器端20之間首先完成預主密鑰的協商,由於依據不同的非對稱算法,所以客戶端10與伺服器端20進行協商預主密鑰的過程不完全相同,最終,客戶端10與伺服器端20將得到相同的預主密鑰;然後,雙方執行相同的計算步驟,根據預主密鑰計算得到主密鑰,再根據主密鑰計算得到加密密鑰與MAC密鑰,以使客戶端10與伺服器端20得到對應的加密密鑰與MAC密鑰,從而在客戶端10與伺服器端20之間完成密鑰協商。在本步驟中,客戶端10將預主密鑰、主密鑰、加密密鑰和MAC密鑰的生成過程均交給硬體單元104來計算處理,從而大大提高黑客程序竊取密鑰的難度,確保加密密鑰和MAC密鑰的安全。伺服器端20也將預主密鑰、主密鑰、加密密鑰和MAC密鑰的生成過程均交給伺服器端硬體單元204來計算處理,以及利用硬體單元對數據進行加密或解密。進一步的,本實施例中的客戶端10中的SSL/TLS模塊102、客戶端應用程式101設置在計算機等終端設備或者終端設備的外接存儲設備上,終端設備和硬體單元104連接,連接方式可以為活動式連接或非活動式連接,在客戶端10與伺服器端20沒有連接的時候,可以將硬體單元從終端設備上拔出或者斷開連接,避免硬體單元遭受黑客程序的攻擊,從而進一步確保主密鑰、加密密鑰和MAC密鑰的安全性。在本步驟中,客戶端10也可以將預主密鑰、主密鑰、加密密鑰和MAC密鑰中部分密鑰的生成過程交給硬體單元104來計算處理。在客戶端10與伺服器端20完成密鑰協商之後,進入步驟305。步驟305、客戶端與伺服器端之間建立安全的數據通道。在本步驟中,客戶端10與伺服器端20之間的算法、密鑰協商完成後,客戶端10與伺服器端20均需要發送「交換密鑰聲明」和「結束握手」消息來完成握手過程,握手過程的結束標誌著安全通道的建立成功。步驟306、客戶端利用安全通道向伺服器端發送數據。在本步驟中,客戶端10向伺服器端20發送請求數據時,客戶端應用程式101調用專用安全模塊103,專用安全模塊103指令硬體單元利用加密密鑰和MAC密鑰對請求數據進行加密操作,加密密鑰可以確保請求數據的機密性,MAC密鑰可以確保請求數據的完整性。 在本實施例中,客戶端10通過專用安全模塊103將計算加密密鑰、MAC密鑰以及進行對數據進行加密操作都交給硬體單元104來處理,由於黑客程序難以進入硬體單元104,從而確保硬體單元中的各個密鑰的安全,同時也確保利用密鑰加密的數據的安全。步驟307、客戶端利用安全通道接收伺服器端發送的數據。在本步驟中,客戶端10接收到伺服器端20發送的響應數據後,通過專用安全模塊103指令硬體單元104利用加密密鑰和MAC密鑰來解密響應數據。在實際應用中,客戶端應用程式101、SSL/TLS模塊102和專用安全模塊103可以為集成在計算機、手機或PDA等終端設備上或者設置於和終端設備相連的存儲設備上,硬體單元104可以通過多種接口與終端設備進行活動式或非活動式連接。本實施例中,在與伺服器端進行加密數據的交互時,客戶端通過客戶端應用程式調用專用安全模塊,專用安全模塊調用硬體單元進行密鑰運算,避免在計算機內存中計算密鑰所帶來的風險,有效防止黑客程序竊取甚至篡改加密密鑰和MAC密鑰,提高了密鑰的安全性,從而確保客戶端和伺服器端之間傳輸數據的安全性。圖4為本發明SSL/TLS連接的實現裝置實施例的結構示意圖。如圖4所示,本實施例SSL/TLS連接的實現裝置包括客戶端應用程式101、SSL/TLS模塊102、專用安全模塊103和硬體單元104,在客戶端需要與伺服器端進行加密數據的交互時,客戶端應用程式101將調用專用安全模塊103,然後專用安全模塊103向硬體單元104發出密鑰運算的指令,硬體單元104計算出加密密鑰和MAC密鑰,硬體單元104將利用加密密鑰和MAC密鑰對數據進行加密操作或解密操作,以確保數據的安全。在實際應用中,硬體單元104可以包括如下中的至少一種智慧卡、CPU卡、USBkey、安全SD卡、音頻接口硬體、Dock接口硬體、OTG接口硬體、SM卡和PCI硬體卡。本實施例中,客戶端通過客戶端應用程式調用專用安全模塊,專用安全模塊再調用硬體單元來進行密鑰運算,避免客戶端應用程式在計算機內存中計算密鑰所帶來的風險,有效防止黑客程序竊取甚至篡改加密密鑰和MAC密鑰,提高了密鑰的安全性,從而確保客戶端和伺服器端之間傳輸數據的安全性。本發明還提供一種SSL/TLS連接的實現系統,其中包括伺服器端和客戶端,客戶端可以採用圖4所示的結構,在此不再贅述。可以理解的是,以上實施方式僅僅是為了說明本發明的原理而採用的示例性實施方式,然而本發明並不局限於此。對於本領域內的普通技術人員而言,在不脫離本發明的精神和實質的情況下,可以做出各種變型和改進,這些變型和改進也視為本發明的保 護範圍。
權利要求
1.一種SSL/TLS連接的實現方法,其特徵在於,包括 在客戶端與伺服器端完成證書驗證之後,客戶端的應用程式調用專用安全模塊向硬體單元發送密鑰運算的指令; 所述硬體單元根據密鑰運算的指令,計算出預主密鑰、主密鑰、加密密鑰和MAC密鑰中的至少一個,從而在所述客戶端與所述伺服器端之間建立傳輸數據的安全通道。
2.根據權利要求I所述的SSL/TLS連接的實現方法,其特徵在於,所述客戶端與伺服器端完成證書驗證包括 所述客戶端向所述伺服器端發出握手請求,所述客戶端與所述伺服器端之間相互進行證書驗證。
3.根據權利要求I所述的SSL/TLS連接的實現方法,其特徵在於,在所述客戶端與所述伺服器端之間建立傳輸數據的安全通道之後還包括 所述客戶端的硬體單元利用密鑰對客戶端發送的請求數據進行加密操作,以及對接收到的所述伺服器端發送的響應數據進行解密操作。
4.根據權利要求I所述的SSL/TLS連接的實現方法,其特徵在於,在所述客戶端與所述伺服器端建立傳輸數據的安全通道之後還包括 所述伺服器端的硬體單元對接收的客戶端發送的數據進行解密操作,以及對將要發送的數據進行加密操作。
5.一種SSL/TLS連接的實現裝置,其特徵在於包括客戶端的應用程式、專用安全模塊和硬體單兀; 所述客戶端的應用程式調用專用安全模塊,所述專用安全模塊向硬體單元發送密鑰運算的指令; 所述硬體單元根據密鑰運算的指令,計算預主密鑰、主密鑰、加密密鑰和MAC密鑰中的至少一個。
6.根據權利要求5所述的SSL/TLS連接的實現裝置,其特徵在於,所述硬體單元利用密鑰對客戶端發送的請求數據進行加密操作,以及對接收到的所述伺服器端發送的響應數據進行解密操作。
7.根據權利要求5所述的SSL/TLS連接的實現裝置,其特徵在於, 所述客戶端或伺服器終端設備包括如下中的至少一種計算機、加密機、手機、PDA。
8.根據權利要求5所述的SSL/TLS連接的實現裝置,其特徵在於,所述硬體單元包括如下中的至少一種智慧卡、CPU卡、USBkey、安全SD卡、音頻接口硬體、Dock接口硬體、OTG接口硬體、SM卡和PCI硬體卡。
9.根據權利要求5所述的SSL/TLS連接的實現裝置,其特徵在於,所述應用程式包括如下中的至少一種瀏覽器、基於B/S架構的應用程式和基於C/S架構的應用程式。
10.一種SSL/TLS連接的實現系統,其特徵在於包括伺服器端與權利要求5-9任一所述的SSL/TLS連接的實現裝置。
全文摘要
本發明提供一種SSL/TLS連接的實現方法、裝置及系統,其中,所述方法包括在客戶端與伺服器端完成證書驗證之後,客戶端的應用程式調用專用安全模塊向硬體單元發送密鑰運算的指令;所述硬體單元根據密鑰運算的指令,計算出預主密鑰、主密鑰、加密密鑰和MAC密鑰中的至少一個,從而在所述客戶端與所述伺服器端之間建立傳輸數據的安全通道。本發明提供的實施例中,客戶端與伺服器端的應用程式分別調用專用安全模塊,專用安全模塊再調用硬體單元來進行密鑰運算,避免在計算機內存中計算密鑰所帶來的風險,有效防止黑客程序竊取甚至篡改加密密鑰和MAC密鑰,提高了密鑰的安全性,從而確保客戶端和伺服器端之間傳輸數據的安全性。
文檔編號H04L29/06GK102811224SQ20121029522
公開日2012年12月5日 申請日期2012年8月2日 優先權日2012年8月2日
發明者張秋璞 申請人:天津贏達信科技有限公司