本发明专利技术公开了一种保护安全套接层会话密钥的设备及方法,通过引入一个硬件设备,确保安全套接层协议的密钥信息不以明文形式暴露在软件环境中,使得安全套接层协议通信中密钥安全性提高。本发明专利技术的设备包括会话管理模块、随机信息生成模块、认证模块、加解密运算模块和密钥存储模块。本发明专利技术的方法是基于客户端和服务器建立的安全套接层协议连接,以及分别设置于客户端和服务器的会话密钥设备实现,客户端和服务器通过设备实现管理会话、产生随机数、认证和产生、使用和存储会话密钥。本发明专利技术实现了安全套接层协议会话密钥受硬件设备保护,提升会话密钥的可信性,使得安全套接层协议更加安全可靠。
【技术实现步骤摘要】
本专利技术涉及通信
,更进一步涉及一种通信安全
的一种保护安全套接层(Secure Sockets Layer,SSL)会话密钥的设备及方法。本专利技术可用于在安全套接层(Secure Sockets Layer,SSL)通信过程中,从硬件级别确保会话密钥的安全使用。
技术介绍
基于万维网的网上银行和电子商务等新兴应用多使用SSL协议来保证网络上传输数据的安全,尤其是基于SSL协议的HTTPs更是被广泛应用于保护Web服务器和浏览器之间的通信安全。此外SSL协议还可以用于保护基于TCP协议的应用的传输安全,很大程度上改善了万维网的安全环境。目前的安全类硬件产品,如加密卡、智能密码钥匙等,往往只做到将私钥置于硬件加密设备中,私钥相关密码运算在硬件加密设备内部完成,使得私钥及其使用受硬件级的保护。但是这一类硬件设备并不能很好地适用于SSL协议,在使用SSL协议的通信过程中,即使协议双方的私钥受硬件加密设备的保护,但由于会话密钥是按照自己特定的方式协商出来的,因此会话密钥未受硬件的保护。为了提高安全性,会话密钥应该在密码设备内部,受硬件级保护。但是现有的密码设备接口、通用密码服务接口内的MAC,与对称加密相关接口不能直接用于SSL协议中。三星电子株式会社拥有的专利技术“重新使用会话密钥安全通信的方法和设备”(专利申请号:200510075094.X,授权公告号:CN 1708003 B)。该专利技术提供了一种用于客户端和服务器之间的安全通信的方法和设备,该方法包括:将证书发送到至少一个客户端;接收由客户端产生的会话密钥;产生相应于该会话密钥的会话认证信息;将该会话认证信息发送到客户端;使用该会话密钥解密从客户端接收的加密的信息,并使用该会话密钥来加密将被发送到客户端的消息。该设备包括:会话认证消息产生模块,用于产生会话认证消息;发送接收模块,用于将证书发送到访问客户端,从客户端接收会话密钥,将由会话认证消息产生模块产生的会话认证消息发送到客户端,并且发送和接收使用会话密钥加密的消息;加密模块,用于使用由发送接收模块接收的会话密钥加密将被发送到客户端的消息,并且使用会话密钥解密由发送接收模块接收的加密的信息。该专利技术公开的方法存在的不足是,在用于SSL协议的通信时,由通信双方协商产生会话密钥的过程并未受到硬件设备的保护。该专利公开的设备存在的不足是,没有一个模块专用于管理会话,使得会话管理效率不高,随机信息的生成不是由设备实现,使得随机数的随机性不高,发送接收模块仅仅是接收会话密钥,会话密钥的产生和保存都在硬件中过程并未在硬件中完成,未受到硬件设备的保护,影响系统的安全性。北京融易通信息技术有限公司拥有的专利技术“一种基于HTTP的信道加密方法、信道简化加密方法及系统”(专利申请号:201110023350.6,授权公告号:CN 102082796A)公开了一种在HTTP通信协议下产生会话密钥的方法及系统。该方法包括:客户端向服务器发送ClientHello。服务器接收客户端发送的ClientHello,并向客户端发送ServerHello。客户端接收服务器端发送的ServerHello,根据ServerHello生成客户端信道验证Finished消息及包含客户端预主密钥PMS、客户端主密钥MS的ClientKeyExchange,并将Cl ientKeyExchange、确认加密算法集及客户端信道验证Fini shed消息发送到服务器。服务器接收ClientKeyExchange、确认加密算法集及客户端信道验证Finished消息,利用私钥解密并取出PMS、服务器随机数及扩展域,利用PMS、RNC及RNS计算MS。生成服务器预主密钥PMS2、服务器主密钥MS2、服务器信道验证Finished消息。根据本次会话的加密算法,对RNS2与PMS2执行HMAC,并保存在ServerKeyExchange中。客户端接收ServerKeyExchange、确认加密算法集及服务器信道验证Finished消息,验证服务器信道Finished消息。根据本次会话的加密算法集解密ServerKeyExchange,验证HMAC摘要签名,利用PMS2、RNC、RNS生成MS2,通过MS2、RNC、RNS生成会话密钥,并将RNS2保存在本地缓存中。该系统包括=ClientHello处理单元,用于客户端向服务器发送包含客户端随机数、客户端时间戳、支持的加密算法集的ClientHello。ServerHello处理单元,用于服务器接收客户端发送的ClientHeHo,建立会话,存储客户端时间戳、客户端随机数,根据支持的算法集选择本次会话的加密算法,并向所述客户端发送包含服务器时间戳、服务器随机数、服务器会话、本次会话指定加密算法、服务器公钥证书的ServerHello。ClientKeyExchange处理单元,用于客户端接收服务器端发送的ServerHello,根据ServerHello生成客户端信道验证Finished消息及包含客户端预主密钥PMS、客户端主密钥MS的ClientKeyExchange,并将ClientKeyExchange、确认加密算法集及客户端信道验证Finished消息发送到服务器。ServerKeyExchange处理单元,用于服务器接收ClientKeyExchange、确认加密算法集及客户端信道验证Finished消息,利用私钥解密并取出PMS,服务器时间戳、服务器随机数及扩展域,利用PMS、RNC及RNS计算MS。生成服务器预主密钥PMS2、服务器主密钥MS2、服务器信道验证Finished消息,根据本次会话的加密算法对RNS2、PMS2计算HMacValue,并保存在ServerKeyExchange中,并将ServerKeyExchange及服务器信道验证Finished消息发送到客户端。加密验证单元,用于客户端接收ServerKeyExchange,确认验证服务器信道Finished消息,根据本次会话的加密算法集解密所述ServerKeyExchange,验证HMAC摘要签名,利用PMS2、RNC、RNS生成MS2,再通过MS2、RNC、RNS生成会话密钥素材,并将RNS2保存在本地缓存中。该专利公开的方法存在的不足是,会话密钥的协商产生过程并未在硬件中完成,未受到硬件的保护。该专利公开的系统存在的不足是,会话管理没有专门的处理,随机信息的生成不是由硬件实现,随机性和可信性不足,计算HMacValue、MS和会话密钥的过程没有在硬件参与下完成,会话密钥的保存和使用并未在硬件中完成,未受到硬件的保护,系统的安全性受到影响。
技术实现思路
本专利技术的目的在于克服上述已有技术的不足,提出,并提出可具体实施的系统实现方案。根据“密钥信息不以明文形式暴露在软件环境中”这一原则,实现基于硬件密钥保护的安全套接层通信方法的关键是,需要通过引入一个保护会话密钥的设备,控制安全套接层SSL协议通信过程中密钥的生成、运算和存储,来确保密钥的安全性和可靠性,从而保证安全套接层SSL协议的安全。通过可信第三方机构为安全套接层协议通信双方配备本专利技术提出的一种保护安全套接层会话密钥的设备,保证安全本文档来自技高网...
【技术保护点】
一种支持保护安全套接层的会话密钥的设备,包括会话管理模块、随机信息生成模块、认证模块、加解密运算模块和密钥存储模块;其中:所述的会话管理模块,用于创建并存储新标识ID会话和查询会话标识ID标识的会话是否存在;所述的随机信息生成模块,用于产生客户问候信息ClientHello和服务器问候信息ServerHello所需的随机数;所述的认证模块,用于接收证书的公钥、验证证书发送方的身份是否合法和计算并认证消息摘要;所述的加解密运算模块,用于生成预主密钥、主密钥和会话密钥;所述的密钥存储模块,用于保存会话密钥。
【技术特征摘要】
【专利技术属性】
技术研发人员:苏锐丹,刘中山,苏雅迪,陶怡园,刘梓良,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。