【技术实现步骤摘要】
本申请涉及通信,具体而言,涉及一种国密加密通信方法和系统。
技术介绍
1、随着社会的进步,人们越来越重视数据保密,从而推动了越来越多的网络数据交互采用https加密的方式。根据google透明度报告,超过90%的web站点采用加密的方式进行网络数据通信。https加密通信基于b/s架构,即在浏览器和网站服务器之间以加密的方式传递网页数据。该加密通信方式需要基于加密通信体系,包括:加解密算法、密码套件、密码证书;其中,加解密算法用于对数据进行加解密,密码套件用于定义加密通信过程使用的算法的组合,密码证书用于保证加密通信信任体系。当前有两类密码通信体系:一类是国际通用密码标准体系,另一类是我国自主的国密标准体系,包括:国密算法、国密密码套件、国密证书。
2、目前国内仅有的几款支持国密通信的浏览器,只支持国密标准中的一种或两种国密密码套件,并且限定在浏览器同web站点服务器建立加密通信时提供给网站后台服务选择密码套件。如图1所示,现有技术方案中,浏览器只会选取一两个国密密码套件(ecc_sm4_sm3或ecdhe_sm4_sm3)加入到国密通信的请求报文中;在浏览器内核中,会对每个密码套件定制好完整的加密通信流程和相关的算法组合,不提供对国密密码套件的进一步扩展使用。web站点服务端接收到浏览器的国密通信请求后,如果支持该国密密码套件,才能继续对网页数据采用国密加密通信;否则,就会报错无法进行加密通信。此外由于现有国密加密方案是提前定制在浏览器内核中无法动态扩展,web站点服务端和web前端网页没有选择国密密码套件的可能,
技术实现思路
1、本申请的目的在于提出一种国密加密通信方法和系统,用以解决上述提及的一个或多个问题。
2、依据本申请的第一方面,提出了一种国密加密通信方法,包括:
3、浏览器运维服务端管理和发布加密通信相关的库文件;所述库文件是运维人员根据国密标准中的密码套件格式,将国密通信相关的控制管理功能和各类算法库进行模块化设计并独立成可以动态加载的库文件;
4、浏览器启动后与浏览器运维服务端通信,获取加密通信相关的库文件信息,并动态加载这些库文件;
5、浏览器创建加密请求报文,在加密请求报文的ciphersuites字段中加入所有标准的国密密码套件列表信息,将创建完成的加密请求报文发送给web站点服务端;
6、web站点服务端在接收到所述加密请求报文后,解析出报文中ciphersuites字段的国密密码套件列表信息,并根据自身的加解密能力和应用场景的加密性能需求,从中选择一个合适的国密密码套件加入到加密应答报文的ciphersuite字段,将创建完成的加密应答报文返回给浏览器;
7、浏览器根据接收的加密应答报文,动态调用算法库接口加载对应的完整加密通信流程和算法组合,与web站点服务端建立国密通信链接。
8、根据本申请一些实施方式,所述方法还包括:
9、根据国密标准中的请求和加密应答报文格式,浏览器在加密请求报文、web站点服务端在加密应答报文的末尾均追加extensions字段,所述extensions字段下包括对应各类别密码算法的子字段。
10、根据本申请一些实施方式,所述方法还包括:
11、浏览器在创建加密请求报文时,在加密请求报文的extensions字段下的每个子字段中分别加入客户端支持的算法列表,所述算法列表中不仅包括国密算法,还包括国际通用密码算法;
12、web站点服务端在接收到所述加密请求报文后,解析出加密请求报文中extensions字段下的每个子字段的密码算法列表;并在解析出的ciphersuites字段中所有国密密码套件列表均不能够同时匹配自身的加解密能力和应用场景的加密性能需求时,进一步从解析出的extensions字段下的每个子字段的密码算法列表中各选择一种算法,对应加入到加密应答报文的extension字段下的每个子字段中。
13、根据本申请一些实施方式,所述方法还包括:
14、浏览器在解析出网页数据中存在包含国密算法组合属性的网页节点时,则与web站点服务端协商,对该部分的网页节点数据使用解析出的国密算法组合进行加密通信传输。
15、根据本申请一些实施方式,所述方法还包括:
16、浏览器运维服务端在运维人员更新库文件中的密码算法后,及时发布各库文件的最新版本;
17、浏览器在每次启动后,自动从浏览器运维服务端获取各个库文件的最新版本信息,对需要更新的库文件进行下载更新,在线获取到新的密码算法。
18、依据本申请的第二方面,提出了一种国密加密通信系统,包括浏览器运维服务端、浏览器和web站点服务端,其中:
19、所述浏览器运维服务端,用于发布和管理加密通信相关的库文件;所述库文件是运维人员根据国密标准中的密码套件格式,将国密通信相关的控制管理功能和各类算法库进行模块化设计并独立成可以动态加载的库文件;
20、所述浏览器,用于启动后与浏览器运维服务端通信,获取加密通信相关的库文件信息,并动态加载这些库文件;创建加密请求报文,在加密请求报文的ciphersuites字段中加入所有标准的国密密码套件列表信息,将创建完成的加密请求报文发送给web站点服务端;
21、所述web站点服务端,用于在接收到所述加密请求报文后,解析出报文中ciphersuites字段的国密密码套件列表信息,并根据自身的加解密能力和应用场景的加密性能需求,从中选择一个合适的国密密码套件加入到加密应答报文的ciphersuite字段,将创建完成的加密应答报文返回给浏览器;
22、所述浏览器,还用于根据接收的加密应答报文,动态调用算法库接口加载对应的完整加密通信流程和算法组合,与web站点服务端建立国密通信链接。
23、根据本申请一些实施方式,所述浏览器和所述web站点服务端,还用于根据国密标准中的请求和加密应答报文格式,浏览器在加密请求报文、web站点服务端在加密应答报文的末尾均追加extensions字段,所述extensions字段下包括对应各类别密码算法的子字段。
24、根据本申请一些实施方式,所述浏览器,还用于在创建加密请求报文时,在加密请求报文的extensions字段下的每个子字段中分别加入客户端支持的算法列表,所述算法列表中不仅包括国密算法,还包括国际通用密码算法;
25、所述web站点服务端,还用于在接收到所述加密请求报文后,解析出加密请求报文中extensions字段下的每个子字段的密码算法列表;并在解析出的ciphersuites字段中所有国密密码套件列表均不能够同时匹配自身的加解密能力和应用场景的加密性能需求时,进一步从解析出的extensions字段下的每个子字段的密码算法列表中各选择一种算法,对应加入到加密应答报文的extension字段下的每个子字本文档来自技高网...
【技术保护点】
1.一种国密加密通信方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
5.根据权利要求1至4任一项所述的方法,其特征在于,所述方法还包括:
6.一种国密加密通信系统,其特征在于,包括浏览器运维服务端、浏览器和web站点服务端,其中:
7.根据权利要求6所述的系统,其特征在于,所述浏览器和所述web站点服务端,还用于根据国密标准中的请求和加密应答报文格式,浏览器在加密请求报文、web站点服务端在加密应答报文的末尾均追加Extensions字段,所述Extensions字段下包括对应各类别密码算法的子字段。
8.根据权利要求7所述的系统,其特征在于,
9.根据权利要求8所述的系统,其特征在于,
10.根据权利要求6至9任一项所述的系统,其特征在于,
【技术特征摘要】
1.一种国密加密通信方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
5.根据权利要求1至4任一项所述的方法,其特征在于,所述方法还包括:
6.一种国密加密通信系统,其特征在于,包括浏览器运维服务端、浏览器和web站点服务端,其中:
<...【专利技术属性】
技术研发人员:应玉龙,王元涛,李孙长,张虎,韩丹,
申请(专利权)人:中国邮政储蓄银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。