【技术实现步骤摘要】
一种SSL隧道建立方法、服务端及客户端
[0001]本专利技术涉及网络安全领域,特别涉及一种SSL隧道建立方法、服务端及客户端。
技术介绍
[0002]SSL协议(Secure Sockets Layer,安全套接字协议)是为网络通信提供安全及数据完整性的一种安全协议。相关技术中,该协议在进行用户身份鉴别时主要通过证书中的相关信息进行校验,然而为确保证书使用的合规性和安全性,通常需要引入运营级证书签发平台的支持,这在一定的程度上限制了证书的使用,例如对于工控领域内的嵌入式设备,证书的使用受限或者无法使用,将直接影响SSL协议在这类设备中的部署。
技术实现思路
[0003]本专利技术的目的是提供一种SSL隧道建立方法、服务端及客户端,可使用简单的标识信息对SSL隧道建立流程中的证书进行替换,进而可有效避免现有SSL隧道建立过程对证书的依赖并降低SSL协议的部署限制。
[0004]为解决上述技术问题,本专利技术提供一种SSL隧道建立方法,应用于服务端,所述方法包括:
[0005]在响应客户端的隧道连接请求后,利用预设的服务端标识构造身份信息,以及利用由所述服务端标识生成的签名数据构造第一密钥交换信息;
[0006]向所述客户端返回所述身份信息及所述第一密钥交换信息,以使所述客户端在利用所述服务端标识确定所述签名数据有效时,利用由所述服务端标识生成的公钥构造并返回包含有加密的预主密钥的第二密钥交换信息;
[0007]利用由所述服务端标识生成的私钥解密所述预主密钥,并利用解密后 ...
【技术保护点】
【技术特征摘要】
1.一种SSL隧道建立方法,其特征在于,应用于服务端,所述方法包括:在响应客户端的隧道连接请求后,利用预设的服务端标识构造身份信息,以及利用由所述服务端标识生成的签名数据构造第一密钥交换信息;向所述客户端返回所述身份信息及所述第一密钥交换信息,以使所述客户端在利用所述服务端标识确定所述签名数据有效时,利用由所述服务端标识生成的公钥构造并返回包含有加密的预主密钥的第二密钥交换信息;利用由所述服务端标识生成的私钥解密所述预主密钥,并利用解密后的预主密钥完成密码规格变更,以完成SSL隧道建立。2.根据权利要求1所述的SSL隧道建立方法,其特征在于,所述客户端利用所述服务端标识及公钥矩阵生成所述公钥,所述利用由所述服务端标识生成的私钥解密所述预主密钥,包括:向标识服务器获取由私钥矩阵及所述服务端标识生成的所述私钥;所述私钥矩阵及所述公钥矩阵用于生成一组非对称密钥对;利用所述私钥解密所述预主密钥。3.根据权利要求2所述的SSL隧道建立方法,其特征在于,所述利用由所述服务端标识生成的签名数据构造第一密钥交换信息,包括:对所述公钥进行签名得到所述签名数据,以使所述客户端利用所述公钥确定所述签名数据是否有效;利用所述签名数据构造所述第一密钥交换信息。4.根据权利要求3所述的SSL隧道建立方法,其特征在于,所述对所述公钥进行签名得到所述签名数据,包括:利用签名矩阵和所述服务端标识生成签名公钥;利用所述签名公钥对所述公钥进行签名得到所述签名数据,以使所述客户端利用所述签名公钥和所述公钥确定所述签名数据是否有效。5.根据权利要求1至4任一项所述的SSL隧道建立方法,其特征在于,在向所述客户端返回所述身份信息及所述第一密钥交换信息之后,还包括:向所述客户端发送身份请求信息,以使所述客户端返回包含预设的客户端标识的客户端身份信息;确定客户端标识是否有效,并在确定所述客户端标识有效时进入利用由所述服务端标识生成的私钥解密所述预主密钥的步骤;其中,所述确定客户端标识是否有效,包括:通过OCSP协议与标识服务器确定所述客户端标识是否有效;和/或,判断所述客户端标识是否保存于预设的标识吊销列表中;若是,则确定所述客户端标识无效;若否,则确定所述客户端标识有效。6.一种SSL隧道建立方法,其特征在于,应用于客户端,所述方法包括:向服务端发送隧道连接请求,并分别从所述服务端返回的身份信息和第一密钥交换信息中提取服务端标识以及由所述服务端标识生成的签名数据;利用所述服务端标识确定所述签名数据是否有效,并在确定有效时利用由所述服务端
标识生成的公钥构造包含有加密的预主密钥的第二密钥交换信息;向所述服务端返回所述第二密钥交换信息,以使所述服务端利用由所述服务端标识生成的私钥解密所述预主密钥,并利用解密后的预主密钥完成密码规格变更,以完成SSL隧道建立。7.根据权利要求6所述的SSL隧道建立方法,其特征在于,所述服务端利用所述服务端标识及私钥矩阵生成所述私钥,所述利用由所述服...
【专利技术属性】
技术研发人员:王志杰,宋杰,刘新田,
申请(专利权)人:渔翁信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。