本发明专利技术提供一种安全协商装置和方法,应用在网络安全服务器上,该装置在安全协商的过程中执行以下处理流程:A、在接收到客户端发送的需要解密的安全协商报文后,从中获取该报文的安全协商特征信息以及需要解密的数据信息并把所述安全协商特征信息保存起来,生成对应的协商标识;B、将所述协商标识和所述需要解密的数据信息发送给解密部件进行解密;C、接收解密部件返回的明文及协商标识,根据所述协商标识查找到对应的安全协商特征信息,并根据所述安全协商特征信息和所述明文,恢复与该安全协商特征信息对应的安全协商。通过本发明专利技术的技术方案,有效地解决了现有技术安全协商的过程中用户连接慢、甚至超时掉线等问题。
【技术实现步骤摘要】
一种安全协商装置和方法
本专利技术涉及网络通信
,尤其涉及一种安全协商装置和方法。
技术介绍
在网络通信中,数据传输的安全性已成为至关重要的一点。其中,最常见的SSL(SecureSocketsLayer,安全套接层)是一套Internet数据安全协议,SSL协议位于TCP/IP协议与各种应用层协议之间,建立在可靠的传输协议(如TCP协议)之上,为高层协议数据通讯提供数据封装、压缩、加密等安全支持。目前,使用SSL的应用越来越多,而且规模也越来越大。比如:使用浏览器访问一个安全网站(如个人银行),采用的都是https加密链接。这种应用就是通过SSL来实现HTTP安全通信。由于使用数量的日益增多,越来越多的SSL服务器被部署在提供web、邮件等服务的真实服务器的前方,为真实服务器提供安全连接保障。现有技术中,SSL的协商方案有两种。一种是软件加解密,软件加解密的方法中大数运算都是由CPU来处理的,会导致CPU占用率很高,运行速度慢。另一种是采用硬件加解密,即软件把大数运算交给硬件加解密部件来处理,这种方法虽然一定程度上缓解了CPU的压力,但是在大量SSL连接的情况下,后续再请求SSL连接的用户还是很有可能得不到及时的响应,这样就会造成用户连接很慢,甚至连接超时的情况,影响用户体验。
技术实现思路
有鉴于此,本专利技术提供一种安全协商装置和方法,以解决现有技术存在的不足。具体地,所述装置应用在网络安全服务器上,该装置包括:协商模块,在安全协商的过程中,用于在接收到客户端发送的需要解密的安全协商报文后,从中获取该报文的安全协商特征信息以及需要解密的数据信息并把所述安全协商特征信息保存起来,生成对应的协商标识;调用模块,用于将所述协商标识和所述需要解密的数据信息发送给解密部件进行解密;恢复模块,用于接收解密部件返回的明文及协商标识,根据所述协商标识查找到对应的安全协商特征信息,并根据所述安全协商特征信息和所述明文,恢复与该安全协商特征信息对应的安全协商。所述方法包括以下步骤:步骤A、在接收到客户端发送的需要解密的安全协商报文后,从中获取该报文的安全协商特征信息以及需要解密的数据信息并把所述安全协商特征信息保存起来,生成对应的协商标识;步骤B、将所述协商标识和所述需要解密的数据信息发送给解密部件进行解密;步骤C、接收解密部件返回的明文及协商标识,根据所述协商标识查找到对应的安全协商特征信息,并根据所述安全协商特征信息和所述明文,恢复与该安全协商特征信息对应的安全协商。由以上技术方案可见,相较于现有技术,本专利技术可以实现在安全协商的过程将CPU从等待协商结果的过程中解放出来,进一步地CPU可以处理其他报文,最大程度地提高了CPU的使用效率。附图说明图1是现有技术中一种安全协商过程的服务器认证流程图;图2是本专利技术一种实施方式中安全协商过程的流程示意图;图3是本专利技术一种实施方式中安全协商的装置逻辑图。具体实施方式为了解决现有技术中遇到大量用户访问时,连接速度较慢的问题,一种常见的思路是引入更多的硬件解密部件,这种方式适用于有灵活扩展架构的系统,如果系统的扩展性很差,则可能无法加入更多的硬件解密部件。这种方式在一定程度上能够改善连接速度较慢的问题,但是效果并不明显,最重要的是成本较高。本专利技术提供了一种安全协商装置和方法,应用在网络安全服务器上,以解决上述问题。请参考图1,一个典型的SSL安全协商过程中服务器认证的流程包括以下步骤:S101、客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接;S102、服务器接收客户端发送的上述信息,在响应客户端“Hello”信息的同时包含生成新的预主密钥所需的信息,并同时发送自己的证书;S103、客户端根据收到的服务器响应信息,验证所述证书合法后根据所述主预密钥所需的信息产生一个预主密钥,并用服务器的公开密钥加密后传给服务器;S104、服务器用私钥解密加密的预主密钥并回复,返回给客户端一个用主密钥认证的信息,以此让客户端认证服务器。上述步骤104中,SSL服务器解密所述客户端发送的加密预主密钥,该预主密钥需要用其私钥来做解密操作,所述解密过程是大数运算,针对现有技术中该步骤占用大量CPU资源,本专利技术提供一种新的技术方案来解决此问题。为了使本专利技术的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本专利技术进行详细描述。请参考图2和图3,在本专利技术一种优选的实施方式中,所述安全协商装置包括:协商模块、调用模块以及恢复模块。该装置在实现本专利技术时执行如下处理流程:S201、在安全协商的过程中,用于在接收到客户端发送的需要解密的安全协商报文后,从中获取该报文的安全协商特征信息以及需要解密的数据信息并把所述安全协商特征信息保存起来,生成对应的协商标识。本步骤由协商模块执行。在一种优选的实施方式中,所述安全协商是SSL协商,所述需要解密的安全协商报文是需要解密的SSL协商报文,所述需要解密的数据信息是预主密钥。本步骤中,网络安全服务器可以是SSL服务器,其接收到客户端发送的SSL协商报文后,从中获取预主密钥,所述预主密钥需要用服务器的私钥来做解密处理。本步骤中,获取所述安全协商特征信息以及需要解密的数据信息后,将所述安全协商特征信息保存起来,并生成对应的协商标识。然后转步骤202。需要注意的是,本步骤中所述协商标识可以是所述安全协商特征信息本身,也可以是指向内存地址的指针,或者是对应的ID值。在一种优选的实施方式中,所述协商模块前一部分运行在内核态层面,后一部分运行在驱动层面。具体地,所述协商模块将所述安全协商特征信息保存到内存里,然后将所述指向内存地址的指针传给驱动,驱动收到该指针后维护一个hash表,所述hash表主要包括所述内存地址指针、后半部分处理函数以及对应的ID值。在本实施方式中,考虑处理效率等因素,所述协商特征就是所述ID值。所述安全协商特征信息包括解密所述数据信息,即所述预主密钥所需的密钥信息、安全协商的参数。其中,所述解密需要的密钥信息包括模、解密指数等,所述安全协商的参数包括协商过程中的随机值、加密套件、协议的版本号等。步骤202、将所述协商标识和所述需要解密的数据信息发送给解密部件进行解密。本步骤由调用模块执行。本步骤中,所述解密部件可以是CPU中负责解密运算的RSA核,也可以是解密卡。在一种优选的实施方式中,选用RSA核来进行解密工作。所述调用模块运行在驱动层面,将上述信息发送给RSA核后,驱动程序会直接返回,而不必像现有技术中那样一直等待解密部件完成解密工作。此过程在CPU看来已经结束了,也就是相对于释放了CPU资源,将CPU从中解放出来,可以处理其他报文,从而提高CPU的使用效率。步骤203、接收解密部件返回的明文及协商标识,根据所述协商标识查找到对应的安全协商特征信息,并根据所述安全协商特征信息和所述明文,恢复与该安全协商特征信息对应的安全协商。本步骤由恢复模块执行。所述恢复模块前一部分运行在驱动层面,后一部分运行在内核态层面。具体地,解密部件完成解密后会在内部产生一个中断信号,驱动程序接收所述中断信号、解密后的明文以及对应的ID值后,查找hash表,获取该ID值对应的安全协商特征信息的内存地址指针以及回调函数,CPU调用所述回调函数根据所述明本文档来自技高网...
【技术保护点】
一种安全协商装置,应用在网络安全服务器上,其特征在于,该装置包括:协商模块,在安全协商的过程中,用于在接收到客户端发送的需要解密的安全协商报文后,从中获取该报文的安全协商特征信息以及需要解密的数据信息并把所述安全协商特征信息保存起来,生成对应的协商标识;调用模块,用于将所述协商标识和所述需要解密的数据信息发送给解密部件进行解密;恢复模块,用于接收解密部件返回的明文及协商标识,根据所述协商标识查找到对应的安全协商特征信息,并根据所述安全协商特征信息和所述明文,恢复与该安全协商特征信息对应的安全协商。
【技术特征摘要】
1.一种安全协商装置,应用在网络安全服务器上,其特征在于,该装置包括:协商模块,在安全协商的过程中,用于在接收到客户端发送的需要解密的安全协商报文后,从中获取该报文的安全协商特征信息以及需要解密的数据信息并把所述安全协商特征信息保存起来,生成对应的协商标识;其中,所述安全服务器的驱动中维护有所述安全协商特征信息的内存地址指针、后半部分处理函数以及对应的协商标识;调用模块,用于将所述协商标识和所述需要解密的数据信息发送给解密部件进行解密,并在发送给解密部件后,释放CPU与安全协商相关的资源;恢复模块,用于接收解密部件返回的明文及协商标识,根据所述协商标识查找到对应的安全协商特征信息和后半部分处理函数,由CPU调用该后半部分处理函数,并根据所述安全协商特征信息和所述明文,恢复与该安全协商特征信息对应的安全协商。2.根据权利要求1所述的装置,其特征在于,所述安全协商特征信息包括解密所述数据信息所需的密钥信息、安全协商的参数。3.根据权利要求1所述的装置,其特征在于,所述解密部件包括RSA核以及解密卡。4.根据权利要求1所述的装置,其特征在于,所述安全协商是SSL协商,所述需要解密的安全协商报文是需要解密的SSL协商报文,所述需要解密的数据信息是预主密钥。5.根据权利要求1所述的装置,其特征在于,该装置运行在内核以及内核态...
【专利技术属性】
技术研发人员:何瑞普,
申请(专利权)人:杭州迪普科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。