密钥协商的方法及设备技术

本发明专利技术提供一种密钥协商的方法及设备，所述方法包括：客户端识别网银盾所支持的密码算法；所述客户端调用支持所述密码算法的接口与安全套接层SSL服务器进行密钥协商。实施本发明专利技术，可以实现客户端兼容不同的密码算法来进行密钥协商，优化了用户体验。

【技术实现步骤摘要】

本专利技术涉及通信领域，更为具体而言，涉及密钥协商的方法及设备。
技术介绍
根据世界著名研究机构的报告，1024位RSA(以三个专利技术人Rivest(李维斯特)、Shamir(萨莫尔)以及Adleman(阿德曼)命名的一种公钥加密算法)密钥只应使用至2010年、2048位RSA密钥只应使用至2030年、3072位RSA密钥可使用至2030年之后。增强RSA算法的安全性的方案是增加RSA算法的密钥模长，但密钥长度的增加会导致加解密速度大大降低，硬件实现也变得越来越复杂，这给使用RSA算法的应用带来了很大的负担，从而使其应用范围日益受到制约，同时，该方案的适用周期较短，从目前情况和发展趋势看，RSA迟早会被淘汰。因此需要在安全性和加解密速率方面更具优势的密码算法(例如国密算法)逐渐替代RSA算法。然而，目前IE(InternetExplorer，一种网页浏览器)内核浏览器(进行密钥协商的主流浏览器)只支持RSA算法，待推广更具优势的密码算法之后，使用支持该密码算法网银盾的客户将无法使用IE内核浏览器进行密钥协商，影响了用户的体验度。
技术实现思路
为解决上述技术问题，本专利技术提供一种密钥协商的方法及其设备。一方面，本专利技术的实施方式提供了一种密钥协商的方法，所述方法包括：客户端识别网银盾所支持的密码算法；所述客户端调用支持所述密码算法的接口与SSL(SecureSocketsLayer，安全套接层)服务器进行密钥协商。另一方面，本专利技术实施方式提供了一种客户端，所述客户端包括：识别模块，用于识别网银盾所支持的密码算法；密钥协商模块，用于调用支持所述识别模块所识别出的密码算法的接口与SSL服务器进行密钥协商。实施本专利技术提供的密钥协商的方法及设备，可以实现客户端兼容不同的密码算法来进行密钥协商，优化了用户体验。附图说明图1是根据本专利技术实施方式的一种密钥协商的方法的流程图；图2示出了图1所示的处理S100的一种实施方式；图3是根据本专利技术实施方式的一种客户端的结构示意图；图4示出了图3所示的识别模块100的结构示意图。具体实施方式为使本专利技术的实施例的目的、技术方案和优点更加清楚，下面将结合附图对本专利技术作进一步地详细描述。图1是根据本专利技术实施方式的一种密钥协商的方法的流程图。参见图1，所述方法包括：S100：客户端识别网银盾所支持的密码算法。其中，所述密码算法可以是RSA算法，或者国密算法等。S200：客户端调用支持所述密码算法的接口与SSL服务器进行密钥协商。在本专利技术的实施方式中，可以在所述客户端上预先配置所述接口。其中，所述接口可以是CSP(CryptographicServiceProvider，加密服务提供程序)接口或者SKF(国密标准接口)接口等，该CSP接口支持上述的RSA算法，该SKF接口支持上述的国密算法。图2示出了图1所示的处理S100的一种实施方式，如图2所示，处理S100可以通过以下方式实现：S110：客户端获取所述网银盾的算法类型信息。在本专利技术的一种实施方式中，例如可以通过设备信息接口获取该算法类型信息。S120：客户端根据获取到的算法类型信息识别所述网银盾所支持的密码算法。例如，若该算法类型的值为0，则识别出所述网银盾所支持的密码算法为RSA算法，若该算法类型的值为1，则识别出所述网银盾所支持的密码算法为国密算法。下面以客户端兼容RSA算法以及国密算法为例，对本专利技术所提供的密钥协商的方法进行具体说明。该方法包括：步骤1：客户端识别网银盾所支持的密码算法，若识别出该网银盾所支持的密码算法为RSA算法，则执行步骤2，若识别出该网银盾所支持的密码算法为国密算法，则执行步骤3。其中，步骤1例如可以通过下述处理实现：通过设备信息接口获取该网银盾的算法类型信息；根据获取到的算法类型信息识别该网银盾所支持的密码算法。若获取到的算法类型信息的值为0，则该网银盾支持RSA算法，若获取到的算法类型信息的值为1，则该网银盾支持国密算法。步骤2：该客户端调用CSP接口与SSL服务器进行密钥协商。步骤3：该客户端调用SKF接口与SSL服务器进行密钥协商。其中，该步骤2具体包括以下处理：1)客户端将本地支持的SSL版本、加密算法、密钥交换算法、MAC(MessageAuthenticationCodes，一种哈希函数)算法等信息发送给SSL服务器供其选择；2)SSL服务器选定本次通信采用的SSL版本和加密套件，并将数字证书一起发送给客户端；3)客户端接收SSL服务器选定的SSL版本、加密套件，以及服务器数字证书，并校验证书合法性：●判断SSL服务器证书是否由“受信任的根证书颁发机构”颁发；●判断SSL服务器证书是否已经被吊销；●判断服务器域名是否与证书域名一致。4)客户端进行网银盾签名；5)客户端随机生成用于后续通信的对称密钥；6)客户端利用SSL服务器公钥将网银盾证书、网银盾签名和对称密钥加密传送给SSL服务器；7)SSL服务器验证客户端证书是否合法：●判断客户端证书是否由“受信任的根证书颁发机构”颁发；●判断客户端证书是否已经被吊销。利用客户端公钥验证网银盾签名是否正确，并根据验证结果决定SSL协商成功或失败。该步骤3具体包括以下处理：1)客户端将国密SSL协议和标准密码套件发送给SSL服务器；2)SSL服务器将数字证书发送给客户端；3)客户端校验服务器证书合法性：●判断服务器证书是否由“受信任的根证书颁发机构”颁发；●判断服务器证书是否已经被吊销；●判断服务器域名是否与证书域名一致。4)客户端进行网银盾签名；5)客户端随机生成用于后续通信的对称密钥；6)客户端利用SSL服务器公钥将网银盾证书、网银盾签名和对称密钥加密传送给SSL服务器；7)SSL服务器首先验证客户端证书是否合法：●判断客户端证书是否由“受信任的根证书颁发机构”颁发；●判断客户端证书是否已经被吊销。利用客户端公钥验证网银盾签名是否正确，并根据验证结果决定SSL协商成功或失败。图3是根据本专利技术实施方式的一种客户端的结构示意图。参见图3，所述客户端1000包括：识别模块100以及密钥协商模块200，具体地：识别模块100用于识别网银盾所支持的密码算法。其中，所述密码算法可以是RSA算法，或者国密算法等。密钥协商模块20本文档来自技高网...

【技术保护点】
一种密钥协商的方法，其特征在于，所述方法包括：客户端识别网银盾所支持的密码算法；所述客户端调用支持所述密码算法的接口与安全套接层SSL服务器进行密钥协商。

【技术特征摘要】
1.一种密钥协商的方法，其特征在于，所述方法包括：
客户端识别网银盾所支持的密码算法；
所述客户端调用支持所述密码算法的接口与安全套接层SSL服务器进行
密钥协商。
2.如权利要求1所述的方法，其特征在于，客户端识别网银盾所支持的
密码算法包括：
所述客户端获取所述网银盾的算法类型信息；
所述客户端根据获取到的算法类型信息识别所述网银盾所支持的密码算
法。
3.如权利要求1所述的方法，其特征在于，
所述密码算法包括：RSA算法，或者国密算法。
4.如权利要求3所述的方法，其特征在于，
所述支持所述密码算法的接口包括：加密服务提供程序CSP接口，或者
国密标准接口SKF接口，其中，所述CSP接口支持所述RSA算法，所述SKF
接口支持所述国密算法。
5.如权利要求1至4中任一项所述的方法，其特征在于，所述方法还包
括：
所述客户端预先配置所述接口。
6.一种客户...

【专利技术属性】
技术研发人员：解敏，廖敏飞，吴孟晴，李文鹏，刘丽娟，董思，许腾，谭世殊，何伟明，
申请(专利权)人：中国建设银行股份有限公司，
类型：发明
国别省市：北京;11