【技术实现步骤摘要】
【国外来华专利技术】
本专利技术的实施例涉及安全网络通信的领域,并且更具体地,涉及在服务器不具有对在安全会话握手期间所使用的私钥的访问的情况下使用公钥密码建立安全会话(例如,安全套接层(SSL),传输层安全(TLS))。
技术介绍
安全套接层(SSL)和作为SSL的后续者的传输层安全(TLS)提供安全的网络连接。SSL和/或TLS通常在web(网络)浏览(例如,使用HTTPS)、邮件、以及其他因特网应用期间被使用。SSL和TLS在若干请求评论(Request For Comment(RFC))中描述,包括RFC 2246(描述TLS 1.0)、RFC 4346(描述TLS 1.1)、RFC 5246(描述TLS 1.2)、和RFC 6101(描述TLS 3.0)。在称为握手的过程中,SSL或TLS客户端和服务器协商参数集合以建立安全会话。例如,客户端发送问候(hello)消息(称为客户端问候消息),该消息包括以下内容:SSL或TLS协议的请求版本的指示、用于标识会话连接的请求会话标识符、客户端所支持的密码组(密码选项)的列表、客户端所支持的压缩方法的列表、被用于密码用途的随机数据(有时称为客户端问候.随机),并且还可以指示客户端是否支持扩展和支持什么类型的扩展(由协议定义)。作为响应,服务器将问候消息(称为服务器问候消息)发送给客户端,该消息包括:服务器所支持的SSL或TLS协议的版本、将用于标识会话的会话标识符、所选择的密码组(从包括在客户端问候消息中的密码组列表中选择)、所选择的压缩方法(从包括在客户端问候消息中的压缩方法列表中选择)、不同于包括在客户端问候消息中的随机数 ...
【技术保护点】
一种第一服务器中的用于与客户端设备建立安全会话的方法,其中被用于所述安全会话的私钥存储在第二服务器中,所述方法包括:接收来自所述客户端设备的发起建立所述客户端设备和所述第一服务器之间的安全会话的过程的消息;将包括公钥的数字证书发送给所述客户端设备;从所述客户端设备接收已经使用所述公钥加密的预主密钥,其中所述第一服务器不包括可对加密后的预主密钥进行解密的私钥;将所述加密后的预主密钥发送给所述第二服务器以用于解密;从所述第二服务器接收已经被解密的预主密钥;使用解密后的预主密钥来生成主密钥;以及使用所生成的主密钥来生成要在所述安全会话中被用于加密和解密所述客户端设备和所述第一服务器之间的通信的一个或多个会话密钥的集合。
【技术特征摘要】
【国外来华专利技术】2013.03.07 US 13/7887841.一种第一服务器中的用于与客户端设备建立安全会话的方法,其中被用于所述安全会话的私钥存储在第二服务器中,所述方法包括:接收来自所述客户端设备的发起建立所述客户端设备和所述第一服务器之间的安全会话的过程的消息;将包括公钥的数字证书发送给所述客户端设备;从所述客户端设备接收已经使用所述公钥加密的预主密钥,其中所述第一服务器不包括可对加密后的预主密钥进行解密的私钥;将所述加密后的预主密钥发送给所述第二服务器以用于解密;从所述第二服务器接收已经被解密的预主密钥;使用解密后的预主密钥来生成主密钥;以及使用所生成的主密钥来生成要在所述安全会话中被用于加密和解密所述客户端设备和所述第一服务器之间的通信的一个或多个会话密钥的集合。2.根据权利要求1所述的方法,其中,所述第一服务器和所述第二服务器由不同的实体所拥有。3.根据权利要求1所述的方法,其中,所述第一服务器接收来自所述客户端设备的发起建立所述客户端设备和所述第一服务器之间的安全会话的过程的消息,作为解析到所述第一服务器的针对所述客户端设备针对其正在尝试建立安全会话的域的域名系统(DNS)请求的结果。4.根据权利要求1所述的方法,其中,解密后的预主密钥通过所述第一服务器和所述第二服务器之间的安全会话而被接收。5.根据权利要求4所述的方法,还包括:作为建立所述第一服务器和所述第二服务器之间的安全会话的一部分,所述第一服务器向所述第二服务器发送所述第一服务器的数字证书。6.根据权利要求1所述的方法,其中所述第二服务器是源服务器,并且其中所述方法还包括:通过所述安全会话从所述客户端设备接收针对所述第二服务器的域的资源的加密的请求;解密所述加密的请求;从所述第二服务器检索所请求的资源;生成包括所检索的资源的响应;加密所生成的响应;以及通过所述安全会话向所述客户端设备发送加密后的响应。7.根据权利要求6所述的方法,其中,从所述第二服务器检索所请求的资源包括通过所述第一服务器和所述第二服务器之间的安全会话发送针对所请求的资源的加密的请求。8.一种第一服务器中的用于与客户端设备建立安全会话的方法,其中被用于所述安全会话的私钥存储在第二服务器中,所述方法包括:从所述客户端设备接收客户端问候消息;响应于所接收的客户端问候消息,向所述客户端设备发送服务器问候消息;将包括一个或多个数字证书的服务器证书消息发送给所述客户端设备;向所述客户端设备发送服务器问候完成消息;从所述客户端设备接收包括加密后的预主密钥的客户端密钥交换消息;向所述第二服务器发送所述加密后的预主密钥以用于解密;从所述第二服务器接收包括解密后的预主密钥的消息;从所述客户端设备接收第一改变密码说明消息;从所述客户端设备接收第一完成消息;向所述客户端设备发送第二改变密码说明消息;以及向所述客户端设备发送第二完成消息。9.根据权利要求8所述的方法,其中,所述第一服务器和所述第二服务器由不同的实体所拥有或操作。10.根据权利要求8所述的方法,其中,所述解密后的预主密钥通过所述第一服务器和所述第二服务器之间的安全会话而被接收。11.根据权利要求10所述的方法,还包括:作为建立所述第一服务器和所述第二服务器之间的安全会话的一部分,所述第一服务器向所述第二服务器发送包括所述第一服务器的数字证书的客户端证书消息。12.根据权利要求8所述的方法,其中所述第二服务器是源服务器,并且
\t其中所述方法还包括:通过所述安全会话从所述客户端设备接收针对所述第二服务器的域的资源的加密的请求;解密所述加密的请求;从所述第二服务器检索所请求的资源;生成包括所检索的资源的响应;加密所生成的响应;以及通过所述安全会话向所述客户端设备发送加密后的响应。13.根据权利要求12所述的方法,其中,从所述第二服务器检索所请求的资源包括通过所述...
【专利技术属性】
技术研发人员:S·A·H·帕尔,M·P·F·托尔恩,P·西科拉,R·R·贝加尼,D·O·克内奇特,M·B·普林斯,J·格拉厄姆卡明,L·H·哈罗维,A·斯特拉谢姆,
申请(专利权)人:云耀公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。