【技术实现步骤摘要】
一种基于SSL/TLS协议的安全参数协商方法和系统
本专利技术属于信息安全
和互联网通信领域,更具体地,涉及一种基于SSL/TLS协议的安全参数协商方法和系统。
技术介绍
随着信息化程度的不断提高,各政府部门或企事业单位都已经在互联网上部署了大量的业务系统,并通过互联网与其他各地的分支机构或者合作伙伴进行业务数据往来,这些业务数据是政府部门或企事业单位的重要数字资产,信息化建设过程中需要保证其机密性、真实性、完整性和不可否认性。在这些业务数据的传输过程中,出于安全上的考虑,往往不能将这些业务数据直接发送给远程服务器,而需要与远程服务端建立SSL/TLS连接,以接收、处理和响应这些业务数据。在SSL/TLS连接的握手过程中,SSL/TLS客户端需要将其所支持的所有安全参数发送给SSL/TLS服务端,SSL/TLS服务端从SSL/TLS客户端的安全参数信息中选择一种协商算法,约定为双方在后续通讯过程中所使用。然而,现有的SSL/TLS安全参数协商机制存在如下几个方面的技术问题:第一、SSL/TLS客户端被动的接受SSL/TLS服务器选择的安全参数,当SSL/TLS客户端处在低安全级别的应用环境中,SSL/TLS服务端可能会选择高强度的安全参数,从而导致传输效率低下,而当SSL/TLS客户端处在高安全级别的应用环境中,SSL/TLS服务端可能会选择低强度的安全参数,导致用户数据得不到高强度的加密保护;第二、如果SSL/TLS服务端不支持SSL/TLS客户端发送的安全参数时,会导致SSL/TLS握手失败,从而降低了SSL/TLS通信的效率,此外,如果要确定S ...
【技术保护点】
1.一种基于SSL/TLS协议的安全参数协商方法,其特征在于,包括以下步骤:(1)客户端接收用户发送的网络协议数据包,并根据网络协议数据包中的关键字段确定用户所处应用场景的安全级别;(2)客户端发送第一握手协议数据包到服务端;(3)服务端判断来自客户端的第一握手协议数据包是否是用于安全参数协商的握手协议数据包,如果是则转入步骤(4),否则丢弃该第一握手协议数据包,过程结束;(4)服务端生成第二握手协议数据包,在该第二握手协议数据包的安全参数字段中填入该服务端对应的安全参数,并将该第二握手数据包发送到客户端;(5)客户端根据其自身支持的安全参数和步骤(1)确定的用户所处应用场景的安全级别从第二握手协议数据包中的安全参数字段中选择对应的值,并将该值填入SSL/TLS协议的ClientHello字段中。
【技术特征摘要】
1.一种基于SSL/TLS协议的安全参数协商方法,其特征在于,包括以下步骤:(1)客户端接收用户发送的网络协议数据包,并根据网络协议数据包中的关键字段确定用户所处应用场景的安全级别;(2)客户端发送第一握手协议数据包到服务端;(3)服务端判断来自客户端的第一握手协议数据包是否是用于安全参数协商的握手协议数据包,如果是则转入步骤(4),否则丢弃该第一握手协议数据包,过程结束;(4)服务端生成第二握手协议数据包,在该第二握手协议数据包的安全参数字段中填入该服务端对应的安全参数,并将该第二握手数据包发送到客户端;(5)客户端根据其自身支持的安全参数和步骤(1)确定的用户所处应用场景的安全级别从第二握手协议数据包中的安全参数字段中选择对应的值,并将该值填入SSL/TLS协议的ClientHello字段中。2.根据权利要求1所述的安全参数协商方法,其特征在于,第一握手协议数据包和第二握手协议数据包中均包括至少一个安全参数字段;第一握手协议数据包的安全参数字段是客户端支持的密码套件列表字段,第二握手协议数据包的安全参数字段是服务端支持的密码套件列表字段。3.根据权利要求2所述的安全参数协商方法,其特征在于,第一握手协议数据包的安全参数字段进一步包括客户端SSL/TLS协议版本字段、以及客户端支持的压缩算法列表字段;第二握手协议数据包的安全参数字段进一步包括服务端SSL/TLS协议版本字段、以及服务端支持的压缩算法列表字段。4.根据权利要求1所述的安全参数协商方法,其特征在于,步骤(3)具体为,首先判断握手协议数据包中的握手类型字段的值是否等于客户端与服务端预先协商的值,如果等于,则表示该握手协议数据包就是用于安全参数协商的握手协议数据包,否则则表示其不是用于安全参数协商的握手协议数据包。5.根据权利要求1所述的安全参数协商方法,其特征在于,在第二握手协议数据包的密码套件列表字段中,所有加密套件被按照加密强度从高到低进行了排序,其中最前面的一部分加密套件用作高加密强度的加密套件,对应于高安全级别,中间的一部分加密套件用于中加密强度的加密套件,对应于中安全级别,剩余的加密套件用于低加密强度的加密套件,对应于低安全级别。6.一种基于SSL/TLS协议的安全参数协商系统,其特征在于,包括:第一模块,其设置于客户端中,用于接收用户发送的网络协议数据包,并根据网络协议数据包中的关键字段确定用户所处应用场景的安...
【专利技术属性】
技术研发人员:乔海权,胡进,张庆勇,
申请(专利权)人:武汉信安珞珈科技有限公司,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。