基于数据报安全传输协议的握手方法及系统技术方案

技术编号:19151432 阅读:45 留言:0更新日期:2018-10-13 10:35
本发明专利技术提及一种基于数据报安全传输协议的握手方法及系统,该握手方法包括:客户端发送客户端问候消息至服务端,客户端问候消息中包含有该客户端支持的所有国产商用密码套件列表;服务端接收并且判断客户端问候消息是否携带有一无状态的消息认证码:如果有,利用国产杂凑算法计算得到一消息认证码,与客户端问候消息携带的消息认证码进行对比,以对客户端进行认证;认证后发送一服务端问候消息至客户端,告知客户端自身选择的国产商业密码套件;客户端和服务端按选择的国产商业密码套件更换密钥规格,建立数据传输链路。本发明专利技术能够满足我国对信息安全自主可控的需求,充分利用国产加密算法的独有优点,兼容了原有DTLS协议,便于横向扩展。

Handshaking method and system based on datagram secure transmission protocol

The invention refers to a handshake method and system based on datagram secure transmission protocol. The handshake method includes: the client sends a client greeting message to the server, the client greeting message contains a list of all domestic commercial password Suites supported by the client, and the server receives and determines the client greeting message. Whether to carry a stateless message authentication code: If so, use the domestic hash algorithm to calculate a message authentication code, and the client greeting message carries the message authentication code for comparison, to authenticate the client; after authentication, send a service-side greeting message to the client to inform the client of their choice of country. Produce commercial cipher suite; Client and server exchange key specifications according to selected domestic commercial cipher suite, establish data transmission link. The invention can satisfy the requirement of information security autonomous control in China, make full use of the unique advantages of domestic encryption algorithm, compatible with the original DTLS protocol, and is convenient for lateral expansion.

【技术实现步骤摘要】
基于数据报安全传输协议的握手方法及系统
本专利技术涉及数据报安全传输协议领域,属于一种基于数据报安全传输协议的握手方法及系统。
技术介绍
近年来出现了许多使用数据报传输的应用程序。这些应用包括实时视频会议,internet电话和在线游戏。这些应用都是延迟敏感的,因而使用了不可靠的数据报传输(UDP)。然而UDP协议本身不具备安全性,UDP协议是不面向连接的不可靠协议,且没有对传输的报文段进行加密,不能保证通信双方的身份认证、消息传输过程中的按序接收、不丢失和加密传送。数据报传输层安全协议(DTLS)在UDP提供的套接字(socket)之上实现了客户机与服务端双方的握手连接,在握手过程中通过使用PSK或ECC实现了加密,利用cookie验证机制和证书实现了通信双方的身份认证,并且用在报文段头部加上序号,缓存乱序到达的报文段和重传机制实现了可靠传送。在握手完成之后,通信双方可以实现应用数据的安全加密和可靠传输。随着信息安全上升到国家安全高度,国家有关机关和监管机构站在国家安全和长远战略的高度提出了推动国密算法应用实施、加强行业安全可控的要求。摆脱对国外技术和产品的过度依赖,建设行业网络安全环境,增强我国行业信息系统的“安全可控”能力显得尤为必要和迫切。密码算法是保障信息安全的核心技术,尤其是通信行业核心领域长期以来都是沿用3DES、SHA-1、RSA等国际通用的密码算法体系及相关标准。DTLS采用的密钥协商算法(例如ECDH、ECDHE、RSA、PSK)、签名算法(例如ECDSA、RSA、PSK)、对称加密(例如AES)、摘要算法(例如AEAD、SHA1、SHA256)是美国所制定的算法标准,不支持国产商用密码算法,不能满足我国对信息安全自主可控的需求。
技术实现思路
本专利技术的目的在于提供一种基于数据报安全传输协议的握手方法,适于在客户端和服务端之间建立安全的数据传输链路,该握手方法适用于国产商用密码算法,能够满足我国对信息安全自主可控的需求,充分利用国产加密算法的独有优点,同时,本专利技术兼容了原有DTLS协议,便于横向扩展。为达到上述目的,本专利技术提供如下技术方案:一种基于数据报安全传输协议的握手方法,适于在客户端和服务端之间建立安全的数据传输链路,包括:客户端发送用以请求服务端与其握手的客户端问候消息至服务端,所述客户端问候消息中包含有该客户端支持的所有国产商用密码套件列表;所述服务端接收客户端问候消息,判断所述客户端问候消息是否携带有一无状态的消息认证码:如果有,则利用国产杂凑算法计算得到一消息认证码;所述服务端将计算得到的消息认证码与所述客户端问候消息携带的消息认证码进行对比,以对所述客户端进行认证;所述服务端在所述客户端认证通过后发送服务端问候消息至客户端,所述服务端问候消息中包含有所述服务端从所述国产商用密码套件列表中选择的其中一个能够匹配的国产商业密码套件;所述客户端与所述服务端按选择的国产商业密码套件更换密钥规格,互相认证后在两者之间建立数据传输链路。在前述方法的基础上,本专利技术还提及一种基于数据报安全传输协议的握手系统,包括一客户端和一服务端;所述客户端包括:用以发送通讯类消息至服务端、以及接收服务端发送的通讯类消息的第一通讯模块;用以生成客户端问候消息的模块,所述客户端问候消息中包含有该客户端支持的所有国产商用密码套件列表;用以生成无状态的消息认证码的模块;用以按选择的国产商业密码套件更换密钥规格,认证后与服务端建立数据传输链路的模块;所述服务端包括:用以发送通讯类消息至客户端、以及接收客户端发送的通讯类消息的第二通讯模块;用以判断接收到的客户端问候消息中是否携带有无状态的消息认证码的模块;用以利用国产杂凑算法计算得到消息认证码的模块;用以将计算得到的消息认证码与所述客户端问候消息携带的消息认证码进行对比,以对所述客户端进行认证的模块;用以生成服务端问候消息的模块,所述服务端问候消息中包含有所述服务端从所述国产商用密码套件列表中选择的其中一个能够匹配的国产商业密码套件;用以按选择的国产商业密码套件更换密钥规格,认证后与客户端建立数据传输链路的模块。本专利技术的有益效果在于:1)客户端提供服务端其所支持的所有国产商用密码套件列表,服务端从中选择其中一个能够匹配的国产商业密码套件作为后续数据传输的密钥使用,从而使本专利技术所涉及的数据报安全传输协议能够支持国产商用密码算法,满足我国对信息安全自主可控的需求。2)采用了国产商用密码算法作为密钥,因而能够充分利用国产加密算法的独有优点。3)整个握手流程除密钥的选择之外,基本和基于DTLS协议的握手流程类似,能够兼容原有DTLS协议,便于横向扩展。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,并可依照说明书的内容予以实施,以下以本专利技术的较佳实施例并配合附图详细说明如后。附图说明图1为实施例一所提及的基于国产商用密码算法的握手方法的流程图。图2为本专利技术所提及的的基于数据报安全传输协议的握手方法的流程图。图3为本专利技术所提及的握手过程中客户端和服务端之间通讯方法的流程图。具体实施方式下面结合附图和实施例,对本专利技术的具体实施方式作进一步详细描述。以下实施例用于说明本专利技术,但不用来限制本专利技术的范围。在本申请书中:1.ClientHello:客户端问候消息。客户端将加密设置参数、与cookie有关的数据以及其它一些必要信息(至少包括客户端支持的国产商用密码套件列表)发送到服务端。2.ServerHello:服务端问候消息。服务端将加密设置参数、与cookie有关的数据以及其它一些必要信息(至少包括从ClientHello消息中找到匹配的国产商业密码套件)发送给客户端。3.Certificate(服务端发送):服务端证书消息。服务端发一个证书或一个证书链到客户端,证书链开始于服务端公共钥匙并结束于证明权威的根证书。该证书用于向客户端确认服务端的身份,该消息是可选的。如果服务端需要验证服务端的身份,会发送该消息。4.CertificateRequest:证书请求消息。如果配置服务端需要验证客户端身份,还要发出请求要求客户端提供客户端证书。5.ServerKeyExchange:服务端密钥交换消息。服务端向客户端发送一个服务端密钥交换消息。本消息传送的信息用于客户端计算产生48字节的预主密钥。6.ServerHelloDone:服务端问候完成消息。通知客户端,服务端已经完成了交流过程的初始化。7.Certificate(客户端发送):客户端证书消息。客户端发送客户端证书给服务端,仅当服务端请求客户端身份验证的时候会发送客户端证书。8.ClientKeyExchange:客户端密钥交换消息。客户端产生一个会话密钥与服务端共享,在握手协议完成后,客户端与服务端通信信息的加密就会使用该会话密钥。9.CertificateVerify:证书校验消息。如果服务端请求验证客户端,则这消息允许服务端完成验证过程。10.Changecipherspec(客户端发送):更改密钥规格消息。客户端要求服务端在后续的通信中使用加密模式。11.Finished(客户端发送):握手结束消息。客户端告诉服务端已经准备好安全通信了。12.Changecipherspec(服务端发本文档来自技高网
...

【技术保护点】
1.一种基于数据报安全传输协议的握手方法,其特征在于,包括:客户端发送用以请求服务端与其握手的客户端问候消息至服务端,所述客户端问候消息中包含有该客户端支持的所有国产商用密码套件列表;所述服务端接收客户端问候消息,判断所述客户端问候消息是否携带有一无状态的消息认证码:如果有,则利用国产杂凑算法计算得到一消息认证码;所述服务端将计算得到的消息认证码与所述客户端问候消息携带的消息认证码进行对比,以对所述客户端进行认证;所述服务端在所述客户端认证通过后发送服务端问候消息至客户端,所述服务端问候消息中包含有所述服务端从所述国产商用密码套件列表中选择的其中一个能够匹配的国产商业密码套件;所述客户端与所述服务端按选择的国产商业密码套件更换密钥规格,互相认证后在两者之间建立数据传输链路。

【技术特征摘要】
1.一种基于数据报安全传输协议的握手方法,其特征在于,包括:客户端发送用以请求服务端与其握手的客户端问候消息至服务端,所述客户端问候消息中包含有该客户端支持的所有国产商用密码套件列表;所述服务端接收客户端问候消息,判断所述客户端问候消息是否携带有一无状态的消息认证码:如果有,则利用国产杂凑算法计算得到一消息认证码;所述服务端将计算得到的消息认证码与所述客户端问候消息携带的消息认证码进行对比,以对所述客户端进行认证;所述服务端在所述客户端认证通过后发送服务端问候消息至客户端,所述服务端问候消息中包含有所述服务端从所述国产商用密码套件列表中选择的其中一个能够匹配的国产商业密码套件;所述客户端与所述服务端按选择的国产商业密码套件更换密钥规格,互相认证后在两者之间建立数据传输链路。2.根据权利要求1所述的基于数据报安全传输协议的握手方法,其特征在于,所述国产商用密码套件包括:一密钥交换算法、一加密算法和一校验算法;所述密钥交换算法采用SM2算法、SM9算法、以及RSA算法中的任意一种;所述加密算法采用SM1算法、SM4算法中的任意一种;所述校验算法采用SM3算法、SHA1算法中的任意一种。3.根据权利要求2所述的基于数据报安全传输协议的握手方法,其特征在于,所述握手方法还包括:所述服务端响应于认证完成客户端问候消息,继服务端问候消息之后发送一服务端密钥交换消息至客户端,所述服务端密钥交换消息用以使得客户端计算产生一预主密钥。4.根据权利要求3所述的基于数据报安全传输协议的握手方法,其特征在于,所述握手方法还包括:所述客户端响应于所述服务端密钥交换消息,发送一用以请求服务端更改密钥规格的客户端密钥交换消息至服务端,客户端密钥交换消息中包含预主密钥和/或计算预主密钥的必要条件。5.根据权利要求4所述的基于数据报安全传输协议的握手方法,其特征在于,当所述密钥交换算法采用RSA算法、ECC算法、以及IBC算法中的任意一种时,客户端密钥交换消息中包含有预主密钥,该预主密钥采用服务端的加密公钥以加密;或者,当所述密钥交换算法采用ECDHE算法或SM9算法时,客户端密钥交换消息中包含有计算预主密钥的客户端密钥交换参数。6.根据权利要求5所述的基于数据报安全传输协议的握手方法,其特征在于,所述握手方法还包括:当所述密钥交换算法采用IBC算法时,客户端根据获取的服务端和IBC公开参数以生成服务端公钥;当所述密钥交换算法采用RSA算法时,客户端采用RSA公钥密码体系对RSA加密后的密文进行编码以生成服务端公钥。7.根据权利要求1-6任意一项所述的基于数据报安全传输协议的握手方法,其特征在于,所述握手方法还包括:所述服务端响应于认证完成客户...

【专利技术属性】
技术研发人员:李亚凯王彦杰顾志松雷心田胡传文常宇宙
申请(专利权)人:苏州科达科技股份有限公司
类型:发明
国别省市:江苏,32

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1