本申请公开了一种通信方法、装置及一种通信系统和计算机可读存储介质,该方法包括:接收客户端发送的通信请求信息;其中,通信请求信息包括第一随机数和客户端支持的候选加密算法;从候选加密算法中选取服务器支持的目标加密算法,将目标加密算法和第二随机数封装为通信回复消息返回至客户端;向客户端发送服务器证书,以便客户端对服务器证书验证通过后向服务器返回客户端证书;验证客户端证书通过后基于目标加密算法生成预主秘钥,并与客户端进行预主秘钥交换,以便客户端基于目标加密算法生成预主秘钥;利用预主秘钥、第一随机数和第二随机数生成用于通信的主密钥。本申请提供的通信方法提高了服务器与客户端之间采用TLS协议通信的安全性。
A communication method, device, communication system and storage medium
【技术实现步骤摘要】
一种通信方法、装置及通信系统和存储介质
本申请涉及通信
,更具体地说,涉及一种通信方法、装置及一种通信系统和一种计算机可读存储介质。
技术介绍
TLS(中文全称:安全传输层协议,英文全称:TransportLayerSecurity)是一种安全协议,目的是为网络通信提供安全及数据完整性保障。TLS是更新、更安全的SSL(中文全称:安全外壳协议,英文全称:SecureShell)版本,SSL最初设计主要用于Web的安全传输协议,这种协议在Web上获得了广泛的应用。TLS协议采用主从式架构模型,用于在两个应用程序间透过网络创建起安全的连线,防止在交换数据时受到窃听及篡改。但是,目前服务器与客户端之间采用TLS协议通信的安全性较差,因此,如何提高服务器与客户端之间采用TLS协议通信的安全性是本领域技术人员需要解决的技术问题。
技术实现思路
本申请的目的在于提供一种通信方法、装置及一种通信系统和一种计算机可读存储介质,提高了服务器与客户端之间采用TLS协议通信的安全性。为实现上述目的,本申请提供了一种通信方法,应用于服务器,包括:接收客户端发送的通信请求信息;其中,所述通信请求信息包括第一随机数和所述客户端支持的候选加密算法;从所述候选加密算法中选取所述服务器支持的目标加密算法,将所述目标加密算法和第二随机数封装为通信回复消息返回至所述客户端;向所述客户端发送服务器证书,以便所述客户端对所述服务器证书验证通过后向所述服务器返回客户端证书;验证所述客户端证书通过后基于所述目标加密算法生成预主秘钥,并与所述客户端进行所述预主秘钥交换,以便所述客户端基于所述目标加密算法生成所述预主秘钥;利用所述预主秘钥、所述第一随机数和所述第二随机数生成用于通信的主密钥。其中,所述验证所述客户端证书通过后基于所述目标加密算法生成预主秘钥,并与所述客户端进行所述预主秘钥交换,包括:验证所述客户端证书通过后利用临时Diffie-Hellman秘钥交换协议基于所述目标加密算法生成预主秘钥;利用临时Diffie-Hellman秘钥交换协议与所述客户端进行所述预主秘钥交换。其中,向所述客户端发送服务器证书,以便所述客户端对所述服务器证书验证通过后向所述服务器返回客户端证书,包括:向所述客户端发送服务器证书,以便所述客户端利用服务器CA证书对所述服务器证书进行验证,验证通过后向所述服务器返回客户端证书;所述验证所述客户端证书通过后基于所述目标加密算法生成预主秘钥,包括:利用客户端CA证书对所述客户端证书进行验证,验证通过后基于所述目标加密算法生成预主秘钥。其中,还包括:接收CA证书生成组件下发的所述客户端CA证书;其中,当所述客户端CA证书到期后,所述CA证书生成组件对所述客户端CA证书进行更新;接收证书生成及更新组件下发的所述服务器证书;其中,当所述服务器证书到期后,所述证书生成及更新组件对所述服务器证书进行更新。为实现上述目的,本申请提供了一种通信方法,应用于客户端,包括:向服务器发送通信请求信息;其中,所述通信请求信息包括第一随机数和所述客户端支持的候选加密算法;接收所述服务器发送的通信回复消息;其中,所述通信回复消息包括所述服务器从所述候选加密算法中选取所述服务器支持的目标加密算法和第二随机数;接收所述服务器发送的服务器证书,对所述服务器证书验证通过后向所述服务器返回客户端证书,以便所述服务器验证所述客户端证书通过后基于所述目标加密算法生成预主秘钥;基于所述目标加密算法生成所述预主秘钥,并与所述服务器进行所述预主秘钥交换;利用所述预主秘钥、所述第一随机数和所述第二随机数生成用于通信的主密钥。为实现上述目的,本申请提供了一种通信装置,应用于服务器,包括:第一接收模块,用于接收客户端发送的通信请求信息;其中,所述通信请求信息包括第一随机数和所述客户端支持的候选加密算法;返回模块,用于从所述候选加密算法中选取所述服务器支持的目标加密算法,将所述目标加密算法和第二随机数封装为通信回复消息返回至所述客户端;第一发送模块,用于向所述客户端发送服务器证书,以便所述客户端对所述服务器证书验证通过后向所述服务器返回客户端证书;第一验证模块,用于验证所述客户端证书通过后基于所述目标加密算法生成预主秘钥,并与所述客户端进行所述预主秘钥交换,以便所述客户端基于所述目标加密算法生成所述预主秘钥;第一生成模块,用于利用所述预主秘钥、所述第一随机数和所述第二随机数生成用于通信的主密钥。为实现上述目的,本申请提供了一种通信装置,应用于客户端,包括:第二发送模块,用于向服务器发送通信请求信息;其中,所述通信请求信息包括第一随机数和所述客户端支持的候选加密算法;第二接收模块,用于接收所述服务器发送的通信回复消息;其中,所述通信回复消息包括所述服务器从所述候选加密算法中选取所述服务器支持的目标加密算法和第二随机数;第二验证模块,用于接收所述服务器发送的服务器证书,对所述服务器证书验证通过后向所述服务器返回客户端证书,以便所述服务器验证所述客户端证书通过后基于所述目标加密算法生成预主秘钥;交换模块,用于基于所述目标加密算法生成所述预主秘钥,并与所述服务器进行所述预主秘钥交换;第二生成模块,用于利用所述预主秘钥、所述第一随机数和所述第二随机数生成用于通信的主密钥。为实现上述目的,本申请提供了一种通信系统,包括服务器和客户端;所述服务器包括:存储器,用于存储第一计算机程序;处理器,用于执行所述第一计算机程序时实现如上述通信方法的步骤;所述客户端包括:存储器,用于存储第二计算机程序;处理器,用于执行所述第二计算机程序时实现如上述通信方法的步骤。为实现上述目的,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述通信方法的步骤。通过以上方案可知,本申请提供的一种通信方法,包括:接收客户端发送的通信请求信息;其中,所述通信请求信息包括第一随机数和所述客户端支持的候选加密算法;从所述候选加密算法中选取所述服务器支持的目标加密算法,将所述目标加密算法和第二随机数封装为通信回复消息返回至所述客户端;向所述客户端发送服务器证书,以便所述客户端对所述服务器证书验证通过后向所述服务器返回客户端证书;验证所述客户端证书通过后基于所述目标加密算法生成预主秘钥,并与所述客户端进行所述预主秘钥交换,以便所述客户端基于所述目标加密算法生成所述预主秘钥;利用所述预主秘钥、所述第一随机数和所述第二随机数生成用于通信的主密钥。本申请提供的通信方法,实现了一种双向认证私有加密通信连接,该方法客户端不仅通过服务器证书验证服务器身份,同时服务器通过客户端证书验证客户端身份,安全性较高,适合主从模式下需对接入客户端做认证的环境。用于加密通信连接的主秘钥,其生成以及交换过程支持采用更为安全的模式,大大降低了加密通信被破解的可能。本申请还公开了一种通信装置及一种通信系统和一种计算机可读存储介质,同样能实现上述技术效果。应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本申请。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本文档来自技高网...
【技术保护点】
1.一种通信方法,其特征在于,应用于服务器,包括:接收客户端发送的通信请求信息;其中,所述通信请求信息包括第一随机数和所述客户端支持的候选加密算法;从所述候选加密算法中选取所述服务器支持的目标加密算法,将所述目标加密算法和第二随机数封装为通信回复消息返回至所述客户端;向所述客户端发送服务器证书,以便所述客户端对所述服务器证书验证通过后向所述服务器返回客户端证书;验证所述客户端证书通过后基于所述目标加密算法生成预主秘钥,并与所述客户端进行所述预主秘钥交换,以便所述客户端基于所述目标加密算法生成所述预主秘钥;利用所述预主秘钥、所述第一随机数和所述第二随机数生成用于通信的主密钥。
【技术特征摘要】
1.一种通信方法,其特征在于,应用于服务器,包括:接收客户端发送的通信请求信息;其中,所述通信请求信息包括第一随机数和所述客户端支持的候选加密算法;从所述候选加密算法中选取所述服务器支持的目标加密算法,将所述目标加密算法和第二随机数封装为通信回复消息返回至所述客户端;向所述客户端发送服务器证书,以便所述客户端对所述服务器证书验证通过后向所述服务器返回客户端证书;验证所述客户端证书通过后基于所述目标加密算法生成预主秘钥,并与所述客户端进行所述预主秘钥交换,以便所述客户端基于所述目标加密算法生成所述预主秘钥;利用所述预主秘钥、所述第一随机数和所述第二随机数生成用于通信的主密钥。2.根据权利要求1所述通信方法,其特征在于,所述验证所述客户端证书通过后基于所述目标加密算法生成预主秘钥,并与所述客户端进行所述预主秘钥交换,包括:验证所述客户端证书通过后利用临时Diffie-Hellman秘钥交换协议基于所述目标加密算法生成预主秘钥;利用临时Diffie-Hellman秘钥交换协议与所述客户端进行所述预主秘钥交换。3.根据权利要求1所述通信方法,其特征在于,向所述客户端发送服务器证书,以便所述客户端对所述服务器证书验证通过后向所述服务器返回客户端证书,包括:向所述客户端发送服务器证书,以便所述客户端利用服务器CA证书对所述服务器证书进行验证,验证通过后向所述服务器返回客户端证书;所述验证所述客户端证书通过后基于所述目标加密算法生成预主秘钥,包括:利用客户端CA证书对所述客户端证书进行验证,验证通过后基于所述目标加密算法生成预主秘钥。4.根据权利要求3所述通信方法,其特征在于,还包括:接收CA证书生成组件下发的所述客户端CA证书;其中,当所述客户端CA证书到期后,所述CA证书生成组件对所述客户端CA证书进行更新;接收证书生成及更新组件下发的所述服务器证书;其中,当所述服务器证书到期后,所述证书生成及更新组件对所述服务器证书进行更新。5.一种通信方法,其特征在于,应用于客户端,包括:向服务器发送通信请求信息;其中,所述通信请求信息包括第一随机数和所述客户端支持的候选加密算法;接收所述服务器发送的通信回复消息;其中,所述通信回复消息包括所述服务器从所述候选加密算法中选取所述服务器支持的目标加密算法和第二随机数;接收所述服务器发送的服务器证书,对所述服务器证书验证通过后向所述服务器返回客户端证书,以便所述服务器验证所述客户端证书通过后基于所述目标加密算法生成预主秘钥;...
【专利技术属性】
技术研发人员:孙希发,陈英南,
申请(专利权)人:广东浪潮大数据研究有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。