基于SSL的通信方法、装置及系统制造方法及图纸

本发明专利技术公开了一种基于SSL的通信方法、装置及系统，涉及通信技术领域，主要目的在于解决现有技术中防护应用程序在无法获取客户端私钥时，无法对安全连接中的通信数据进行安全防护的问题。本发明专利技术的主要技术方案包括：接收客户端发送的安全套接层协议SSL握手数据包；将SSL握手数据包发送至密钥服务器，以便所述密钥服务器对所述SSL握手数据包进行响应；接收所述密钥服务器对所述SSL握手数据包的响应信息，并根据所述响应信息生成会话密钥；使用所述会话密钥对所述客户端发送的数据请求进行解密，并验证所述数据请求中数据的安全性。

Communication method, device and system based on SSL

The invention discloses a communication method based on SSL, device and system, relates to the technical field of communication, the main purpose is to solve the protection application in the prior art can not obtain the client private key is not for security of communication data security in the connection problem. Including the main technical scheme of the invention: receiving the client to send the secure socket layer protocol data SSL handshake packet; SSL handshake packet is sent to the key server to the key server to the SSL handshake packet response; receiving the response information of the key server of SSL handshake packet, and according to the the response information to generate the session key; using the session key is sent to the client data requests to decrypt and verify the data request safety data.

【技术实现步骤摘要】
基于SSL的通信方法、装置及系统
本专利技术涉及通信
，特别是涉及一种基于SSL的通信方法、装置及系统。
技术介绍
超文本传输安全协议(HyperTextTransferProtocoloverSecureSocketLayer，HTTPS)是以安全为目标的HTTP通道，HTTPS的安全基础是安全套接层协议(SecureSocketsLayer，SSL)，SSL利用数据加密技术，保障网络数据传输安全。在具体实现过程中，为确保通信数据的安全，在客户端与服务器进行数据交互时，会使用一个SSL证书对通信过程中的数据进行加密；为了进一步确定数据通信过程中的安全，还可借助于防护应用程序进行安全防护，在安全防护过程中，客户端需要将SSL证书与客户端私钥发送至防护应用程序，以便防护应用程序根据SSL证书与客户端私钥对加密后的数据进行解密，验证通信数据的安全。但是，对一些金融类型的客户端来讲，例如银行客户端，用户并不想向防护应用程序提供客户端的私钥，导致防护应用程序无法获取到通信数据的数据内容，因此无法确定安全连接过程中的通信数据是否安全及合法。
技术实现思路
有鉴于此，本专利技术提供的一种基于SSL的通信方法、装置及系统，主要目的在于解决现有技术中防护应用程序在无法获取客户端私钥时，无法对安全连接中的通信数据进行安全防护的问题。依据本专利技术一个方面，本专利技术提供了一种基于SSL的通信方法，所述方法包括：接收客户端发送的安全套接层协议SSL握手数据包；将SSL握手数据包发送至密钥服务器，以便所述密钥服务器对所述SSL握手数据包进行响应；接收所述密钥服务器对所述SSL握手数据包的响应信息，并根据所述响应信息生成会话密钥；使用所述会话密钥对所述客户端发送的数据请求进行解密，并验证所述数据请求中数据的安全性。依据本专利技术第二方面，本专利技术提供了一种基于SSL的通信装置，该装置包括：第一接收单元，用于接收客户端发送的安全套接层协议SSL握手数据包；第一发送单元，用于将所述第一接收单元接收到的SSL握手数据包发送至密钥服务器，以便所述密钥服务器对所述SSL握手数据包进行响应；第二接收单元，用于在所述第一发送单元将所述SSL握手数据包发送至密钥服务器之后，接收所述密钥服务器对所述SSL握手数据包的响应信息；生成单元，用于根据所述第二接收单元接收到的所述响应信息生成会话密钥；解密单元，用于使用所述第二生成单元生成的所述会话密钥对所述客户端发送的数据请求进行解密；验证单元，验证所述解密单元解密后的所述数据请求中数据的安全性。依据本专利技术第三方面，本专利技术提供了一种基于SSL的通信系统，所述系统包括：客户端，用于向防护节点发送安全套接层协议SSL握手数据包；所述防护节点，用于接收所述客户端发送的SSL握手数据包，并将SSL握手数据包发送至密钥服务器；所述密钥服务器，用于接收所述防护节点发送的SSL握手数据包，并向所述防护节点发送所述SSL握手数据包的响应信息；所述防护节点，还用于接收所述密钥服务器发送的所述SSL握手数据包的响应信息，根据所述响应信息生成会话密钥，使用所述会话密钥对所述客户端发送的数据请求进行解密，并验证所述数据请求中数据的安全性。借由上述技术方案，本专利技术提供的基于SSL的通信方法、装置及系统，防护节点接收客户端发送的安全套接层协议SSL握手数据包；将SSL握手数据包发送至密钥服务器，以便密钥服务器对SSL握手数据包进行响应；接收密钥服务器对SSL握手数据包的响应信息，并根据响应信息生成会话密钥；使用会话密钥对客户端发送的数据请求进行解密，并验证数据请求中数据的安全性；与现有技术相比，本专利技术所述防护节点在防护数据通信安全过程中，无需获取客户端私钥，而是借助于专供用户存储客户端私钥的密钥服务器实现对SSL握手数据包的解密或签名，进而验证SSL握手数据包内容的数据安全，确保安全连接中数据的安全。上述说明仅是本专利技术技术方案的概述，为了能够更清楚了解本专利技术的技术手段，而可依照说明书的内容予以实施，并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本专利技术的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：图1示出了本专利技术实施例提供的一种基于SSL的通信方法的流程图；图2示出了本专利技术实施例提供的一种数据通信的框架示意图；图3示出了本专利技术实施提供的一种客户端与防护节点建立安全通信的交互图；图4示出了本专利技术实施例提供的另一种客户端与防护节点建立安全通信的交互图；图5示出了本专利技术实施例提供的一种基于SSL的通信装置的组成框图；图6示出了本专利技术实施例提供的另一种基于SSL的通信装置的组成框图；图7示出了本专利技术实施例提供的一种基于SSL的通信系统的组成框图；图8示出了本专利技术实施例提供的另一种基于SSL的通信系统的组成框图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。本专利技术实施例提供一种基于SSL的通信方法，如图1所示，所述方法包括：101、接收客户端发送的安全套接层协议SSL握手数据包。本专利技术实施例可应用于客户端与目标服务器建立安全连接，并进行通信的过程中，安全连接通信过程中，可基于云端的防护节点对安全连接通道中的数据进行安全防护，本专利技术实施例以防护节点为执行主体展开说明，所述防护节点位于服务器侧；也可以不位于服务器侧，但与服务器具有数据交互关系，以下以防护节点位于云端为例进行说明，但是，应当明确的是，该种说明方式并非意在限定防护节点仅能位于云端。为了便于对本专利技术实施例所述各个节点的理解，以下将以示例的形式说明本专利技术实施例提供的数据通信的框架示意图，如图2所述，在客户端与目标服务器建立安全连接时，客户端需要向目标服务器发送一个安全套接层协议(SecureSocketLayer，SSL)握手数据包，开始客户端与目标服务器之间的会话，在客户端发送的SSL握手数据包中可以包含但不局限于以下内容，例如：客户端随机数、客户端支持的加密算法(对称加密及非对称加密算法)列表等内容；服务器在接收到客户端发送的SSL握手数据包后，向客户端发送一个SSL握手数据包的响应数据包，该相应数据包中可以包含但不局限于以下内容，例如：服务器随机数、服务器公钥以及用户标识唯一会话的会话ID等信息。为确保客户端的安全性，特别是针对客户端类型为政府机构、金融交易的客户端，传输数据的安全性尤为重要，因此，客户端在向防护节点发送SSL握手数据包，并得到防护节点的响应之后，客户端可以从确保数据机密性及数据完整性角度，确定对发送的数据进行加密或者签名。在具体应用过程中，为确保通信数据的安全性及完整性，服务器还会向客户端发送服务器证书，该服务器证书经过Base64解码，将得到结果使用ASN.1格式编码，将服务器证书发送至客户端，客户端验证服务器证书的颁发者的合法性、本文档来自技高网...

【技术保护点】
一种基于SSL的通信方法，其特征在于，包括：接收客户端发送的安全套接层协议SSL握手数据包；将SSL握手数据包发送至密钥服务器，以便所述密钥服务器对所述SSL握手数据包进行响应；接收所述密钥服务器对所述SSL握手数据包的响应信息，并根据所述响应信息生成会话密钥；使用所述会话密钥对所述客户端发送的数据请求进行解密，并验证所述数据请求中数据的安全性。

【技术特征摘要】
1.一种基于SSL的通信方法，其特征在于，包括：接收客户端发送的安全套接层协议SSL握手数据包；将SSL握手数据包发送至密钥服务器，以便所述密钥服务器对所述SSL握手数据包进行响应；接收所述密钥服务器对所述SSL握手数据包的响应信息，并根据所述响应信息生成会话密钥；使用所述会话密钥对所述客户端发送的数据请求进行解密，并验证所述数据请求中数据的安全性。2.根据权利要求1所述的方法，其特征在于，将SSL握手数据包发送至密钥服务器包括：对所述SSL握手数据包进行解析，获取加密后的预主密钥；将所述加密后的预主密钥发送至所述密钥服务器，以便所述密钥服务器对所述加密后的预主密钥进行解密。3.根据权利要求2所述的方法，其特征在于，所述接收所述密钥服务器对所述SSL握手数据包的响应信息具体为：接收所述密钥服务器基于加密通道发送的解密后的预主密钥；所述根据所述响应信息生成会话密钥具体为：获取所述SSL握手数据包中包含的客户端随机数；根据所述解密后的预主密钥、所述客户端随机数及服务器随机数生成会话密钥。4.根据权利要求1所述的方法，其特征在于，将SSL握手数据包发送至密钥服务器包括：对所述SSL握手数据包进行解析，获取所述SSL握手数据包中包含的客户端随机数；将所述客户端随机数、服务器随机数及服务器公钥发送至所述密钥服务器，以便所述密钥服务器使用密钥服务器私钥对所述客户端随机数、所述服务器随机数及所述服务器公钥进行签名。5.根据权利要求4所述的方法，其特征在于，接收所述密钥服务器对所述SSL握手数据包的响应信息包括：接收所述密钥服务器发送的密钥服务器签名。6.根据权利要求5所述的方法，其特征在于，在接收所述密钥服务器对所述SSL握手数据包的响应信息之后，所述方法还包括：向所述客户端发送服务器预置签名参数及所述密钥服务器签名，以便所述客户端根据所述服务器预置签名参数、所述密钥服务器签名及客户端预置签名参数生成预主密钥；向所述客户端发送服务器随机数，以便所述客户端根据所述服务器随机数、客户端随机数及所述预主密钥生成会话密钥；接收所述客户端发送的客户端预置签名参数...

【专利技术属性】
技术研发人员：王照旗，张传社，
申请(专利权)人：北京奇虎科技有限公司，北京奇安信科技有限公司，
类型：发明
国别省市：北京,11