亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種基于安全套接層建立通信的方法及系統(tǒng)的制作方法

文檔序號(hào):7819781閱讀:217來(lái)源:國(guó)知局
一種基于安全套接層建立通信的方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種基于安全套接層建立通信的方法及系統(tǒng),該方法首先使客戶機(jī)與負(fù)載均衡設(shè)備于所述安全套接層中相互握手,然后相互認(rèn)證,認(rèn)證后客戶機(jī)與負(fù)載均衡設(shè)備建立通信。該發(fā)明的有益效果為:通過(guò)采用SSL協(xié)議為客戶端與服務(wù)器端提供可靠快速的數(shù)據(jù)通信,并設(shè)計(jì)通過(guò)設(shè)計(jì)組合公鑰提高SSL運(yùn)算效率,降低相同強(qiáng)度下的密鑰長(zhǎng)度,提高網(wǎng)絡(luò)的靈活性及可用性。
【專利說(shuō)明】一種基于安全套接層建立通信的方法及系統(tǒng)

【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及數(shù)據(jù)通信【技術(shù)領(lǐng)域】,尤其涉及一種基于安全套接層建立通信的方法及 系統(tǒng)。

【背景技術(shù)】
[0002] 隨著互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天,隨著業(yè)務(wù)量的提高,隨之而來(lái)的用戶訪問(wèn)量和 數(shù)據(jù)流量的暴增對(duì)服務(wù)器的承受并發(fā)能力以及突發(fā)的流量增長(zhǎng)提出了更高的要求。由于單 一服務(wù)器設(shè)備有限的負(fù)載能力根本無(wú)法承擔(dān)越來(lái)越大的處理速度和計(jì)算強(qiáng)度要求。對(duì)于這 個(gè)瓶頸問(wèn)題,單純靠淘汰現(xiàn)有設(shè)備做設(shè)備硬件升級(jí),將造成現(xiàn)有資源浪費(fèi)并且無(wú)法滿足再 次業(yè)務(wù)量提升的出現(xiàn)的情況。常用方法是使用多個(gè)設(shè)備節(jié)點(diǎn)組成服務(wù)器組,并使用負(fù)載均 衡(又稱為負(fù)載分擔(dān))技術(shù),將負(fù)載(工作任務(wù))進(jìn)行平衡、分?jǐn)偟蕉鄠€(gè)操作單元上執(zhí)行。 如何在提高服務(wù)器組負(fù)載能力的同時(shí)滿足數(shù)據(jù)通信安全性的要求,針對(duì)互聯(lián)網(wǎng)絡(luò)環(huán)境下新 的安全和風(fēng)險(xiǎn)問(wèn)題,使用認(rèn)證技術(shù)保證敏感數(shù)據(jù)的安全保護(hù)是亟待解決的問(wèn)題。
[0003] 組合公鑰(CPK,Conbined Public Key),是我國(guó)信息安全專家南湘浩教授于1999 年提出的,是我國(guó)擁有自主知識(shí)產(chǎn)權(quán)的認(rèn)證技術(shù),對(duì)于規(guī)?;J(rèn)證及鑒別系統(tǒng)不依賴層次 化的 CA 機(jī)構(gòu)鏈和在線目錄(LDAP, Lightweight Directory Access Protocol),能快捷的 進(jìn)行實(shí)體鑒別和身份認(rèn)證。CPK認(rèn)證系統(tǒng)可以高效、快捷的管理和控制密鑰和認(rèn)證行為,更 加適用于我國(guó)銀行、金融、軍事等網(wǎng)絡(luò)實(shí)體。
[0004] 安全套接層(secure socket layer, SSL)協(xié)議具有保護(hù)傳輸數(shù)據(jù)以及識(shí)別通信機(jī) 器的功能。SSL主要采用公開密鑰加密體制和X. 509數(shù)字證書技術(shù)在Internet基礎(chǔ)上提供 服務(wù)器認(rèn)證、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上數(shù)據(jù)的保密性等安全性保證。負(fù)載均 衡設(shè)備通過(guò)采用SSL協(xié)議來(lái)實(shí)現(xiàn)數(shù)據(jù)的保密性、消息完整性和端點(diǎn)認(rèn)證。在SSL會(huì)話中,常 用證書來(lái)驗(yàn)證雙方身份、協(xié)商加密算法、生成密鑰等,而基于RSA的非對(duì)稱加密算法交換密 鑰存在性能上的不足,在本方案中采用了性能更加出色的CPK算法,CPK算法本質(zhì)上是利用 橢圓曲線加密方法,與RSA方法相比,它的安全性能更高,例如160位橢圓曲線算法與1024 位RSA、DSA有相同的安全強(qiáng)度。并且CPK的計(jì)算量小,處理速度快。存儲(chǔ)空間占用小,由于 CPK的密鑰長(zhǎng)度要求和系統(tǒng)參數(shù)相比RSA小很多,所以占用的存儲(chǔ)空間小得多,帶寬的要求 低也使得CPK算法較RSA有更大的優(yōu)勢(shì)。
[0005] 由于RSA加密算法進(jìn)行加密存在以上不足,為此,本發(fā)明提出將組合公鑰橢圓曲 線加密算法應(yīng)用于SSL安全握手中,并設(shè)計(jì)客戶端的CPK算法插件。這樣,可以大大提高運(yùn) 算效率,并在相同的安全強(qiáng)度下減少密鑰的長(zhǎng)度,其運(yùn)算量較小,復(fù)雜度也隨之降低。


【發(fā)明內(nèi)容】

[0006] 本發(fā)明要解決的技術(shù)問(wèn)題在于,針對(duì)上述現(xiàn)有技術(shù)中RSA加密算法占用存儲(chǔ)空間 大、寬帶要求高的問(wèn)題,提供一種基于安全套接層建立通信的方法及系統(tǒng)。
[0007] 本發(fā)明解決其技術(shù)問(wèn)題所采用的技術(shù)方案是:一方面,構(gòu)造一種基于安全套接層 建立通信的方法,包括以下步驟:
[0008] S1、客戶機(jī)與負(fù)載均衡設(shè)備于所述安全套接層中相互發(fā)送握手請(qǐng)求信息;
[0009] S2、所述客戶機(jī)與所述負(fù)載均衡設(shè)備握手之后,所述負(fù)載均衡設(shè)備將包括公鑰及 私鑰的數(shù)字證書及其證書鏈發(fā)送給所述客戶機(jī);
[0010] S3、所述客戶機(jī)認(rèn)證所述數(shù)字證書及所述證書鏈,并根據(jù)所述負(fù)載均衡設(shè)備的公 鑰認(rèn)證所述負(fù)載均衡設(shè)備;
[0011] S4、所述客戶機(jī)依據(jù)所認(rèn)證的所述數(shù)字證書及所述證書鏈生成包括認(rèn)證信息的主 密鑰,并使用所述負(fù)載均衡設(shè)備的公鑰對(duì)所述主密鑰進(jìn)行加密,將加密后的主密鑰發(fā)送至 所述負(fù)載均衡設(shè)備;
[0012] S5、所述負(fù)載均衡設(shè)備使用所述負(fù)載均衡設(shè)備的私鑰恢復(fù)所述主密鑰中的認(rèn)證信 息,并向所述客戶機(jī)發(fā)出一提問(wèn)信息;
[0013] S6、所述客戶機(jī)對(duì)所述提問(wèn)信息進(jìn)行數(shù)字簽名,并返回?cái)?shù)字簽名后的提問(wèn)信息以 及客戶機(jī)的公鑰至所述負(fù)載均衡設(shè)備;
[0014] S7、所述負(fù)載均衡設(shè)備依據(jù)所述數(shù)字簽名后的提問(wèn)信息以及所述客戶機(jī)的公鑰認(rèn) 證所述客戶機(jī);
[0015] S8、所述客戶機(jī)與所述負(fù)載均衡設(shè)備相互認(rèn)證成功后建立通信。
[0016] 在本發(fā)明所述的方法中,所述步驟Sl包括以下子步驟:
[0017] S11、所述客戶機(jī)向所述負(fù)載均衡設(shè)備發(fā)出第一握手消息,所述第一握手消息包 括:客戶機(jī)所支持的安全套接層版本號(hào)、隨機(jī)數(shù)、會(huì)話ID、密碼套件信息、以及壓縮算法信 息;
[0018] S12、所述負(fù)載均衡設(shè)備接收到所述第一握手消息之后,向所述客戶機(jī)返回第二握 手消息,從而對(duì)所述第一握手信息進(jìn)行確認(rèn),所述第二握手信息包括:所述客戶機(jī)的安全套 接層版本號(hào)、會(huì)話ID。
[0019] 在本發(fā)明所述的方法中,所述步驟S2包括以下子步驟:
[0020] S21、所述負(fù)載均衡設(shè)備生成包括唯一身份標(biāo)識(shí)信息的安全套接層屬性信息;
[0021] S22、所述負(fù)載均衡設(shè)備依據(jù)所述安全套接層屬性信息獲取第一哈希值;
[0022] S23、所述負(fù)載均衡設(shè)備依據(jù)所述負(fù)載均衡設(shè)備的私鑰對(duì)所述第一哈希值進(jìn)行數(shù) 字簽名,以獲得第一數(shù)字簽名;
[0023] S24、所述負(fù)載均衡設(shè)備將所述安全套接層屬性信息、所述第一哈希值、所述第一 數(shù)字簽名、所述數(shù)字證書及其證書鏈發(fā)送給所述客戶機(jī)。
[0024] 在本發(fā)明所述的方法中,所述步驟S3包括以下子步驟:
[0025] S31、所述客戶機(jī)計(jì)算所述證書鏈中頒發(fā)者的公鑰;
[0026] S32、所述客戶機(jī)依據(jù)所述頒發(fā)者的公鑰獲取第二哈希值;
[0027] S33、驗(yàn)證所述數(shù)字證書中頒發(fā)者的第二數(shù)字簽名是否與預(yù)設(shè)的頒發(fā)數(shù)字簽名相 等,若相等,則執(zhí)行步驟S34;
[0028] S34、所述客戶機(jī)計(jì)算訪問(wèn)方中的公鑰;
[0029] S35、依據(jù)所述訪問(wèn)方的公鑰獲取第三哈希值,并判斷所述第一哈希值與所述第三 哈希值是否相等,若相等,則執(zhí)行步驟S36 ;
[0030] S36、依據(jù)所述訪問(wèn)方中的公鑰驗(yàn)證所述第一數(shù)字簽名。
[0031] 在本發(fā)明所述的方法中,所述步驟S5包括以下子步驟:
[0032] S51、所述負(fù)載均衡設(shè)備使用所述負(fù)載均衡設(shè)備的私鑰恢復(fù)所述主密鑰中的認(rèn)證 信息,
[0033] S52、所述客戶端依據(jù)所述握手請(qǐng)求信息向所述負(fù)載均衡設(shè)備發(fā)送第一消息認(rèn)證 碼;
[0034] S53、所述負(fù)載均衡設(shè)備依據(jù)所述握手請(qǐng)求信息向所述客戶端發(fā)送第二消息認(rèn)證 碼;
[0035] S54、所述客戶端接收到所述第二消息認(rèn)證碼之后向所述負(fù)載均衡設(shè)備發(fā)送一完 成息;
[0036] S55、所述負(fù)載均衡設(shè)備依據(jù)所述完成信息向所述客戶機(jī)發(fā)出一提問(wèn)信息。
[0037] 另一方面,提供一種基于安全套接層建立通信的系統(tǒng),包括客戶機(jī)及負(fù)載均衡設(shè) 備;
[0038] 所述客戶機(jī)包括客戶機(jī)握手模塊、客戶機(jī)認(rèn)證模塊、主密鑰生成模塊、數(shù)字簽名模 塊、以及客戶機(jī)通信模塊;所述負(fù)載均衡設(shè)備包括設(shè)備握手模塊、發(fā)送模塊、恢復(fù)模塊、設(shè)備 認(rèn)證模塊、以及設(shè)備通信模塊;
[0039] 所述客戶機(jī)握手模塊以及所述設(shè)備握手模塊用于在所述安全套接層中相互發(fā)送 握手請(qǐng)求信息;
[0040] 所述發(fā)送模塊用于將包括公鑰及私鑰的數(shù)字證書及其證書鏈發(fā)送給所述客戶 機(jī);
[0041] 所述客戶機(jī)認(rèn)證模塊用于認(rèn)證所述數(shù)字證書及所述證書鏈,并根據(jù)所述負(fù)載均衡 設(shè)備的公鑰認(rèn)證所述負(fù)載均衡設(shè)備;
[0042] 所述主密鑰生成模塊用于依據(jù)所認(rèn)證的所述數(shù)字證書及所述證書鏈生成包括認(rèn) 證信息的主密鑰,并使用所述負(fù)載均衡設(shè)備的公鑰對(duì)所述主密鑰進(jìn)行加密,將加密后的主 密鑰發(fā)送至所述負(fù)載均衡設(shè)備;
[0043] 所述恢復(fù)模塊用于使用所述負(fù)載均衡設(shè)備的私鑰恢復(fù)所述主密鑰中的認(rèn)證信息, 并向所述客戶機(jī)發(fā)出一提問(wèn)信息;
[0044] 所述數(shù)字簽名模塊用于對(duì)所述提問(wèn)信息進(jìn)行數(shù)字簽名,并返回?cái)?shù)字簽名后的提問(wèn) 信息以及客戶機(jī)的公鑰至所述負(fù)載均衡設(shè)備;
[0045] 所述設(shè)備認(rèn)證模塊用于依據(jù)所述數(shù)字簽名后的提問(wèn)信息以及所述客戶機(jī)的公鑰 認(rèn)證所述客戶機(jī);
[0046] 所述客戶機(jī)通信模塊以及所述設(shè)備通信模塊用于在相互認(rèn)證成功后建立通信。
[0047] 在本發(fā)明所述的系統(tǒng)中,所述客戶機(jī)握手模塊還用于向所述負(fù)載均衡設(shè)備發(fā)出 第一握手消息,所述第一握手消息包括:客戶機(jī)所支持的安全套接層版本號(hào)、隨機(jī)數(shù)、會(huì)話 ID、密碼套件信息、以及壓縮算法信息;
[0048] 所述設(shè)備握手模塊還用于接收到所述第一握手消息之后,向所述客戶機(jī)返回第二 握手消息,從而對(duì)所述第一握手信息進(jìn)行確認(rèn),所述第二握手信息包括:所述客戶機(jī)的安全 套接層版本號(hào)、會(huì)話ID。
[0049] 在本發(fā)明所述的系統(tǒng)中,所述發(fā)送模塊包括屬性生成模塊、第一獲取模塊、第一數(shù) 字簽名模塊、以及信息發(fā)送模塊;
[0050] 所述屬性生成模塊用于生成包括唯一身份標(biāo)識(shí)信息的安全套接層屬性信息;
[0051] 所述第一獲取模塊用于依據(jù)所述安全套接層屬性信息獲取第一哈希值;
[0052] 所述第一數(shù)字簽名模塊用于依據(jù)所述負(fù)載均衡設(shè)備的私鑰對(duì)所述第一哈希值進(jìn) 行數(shù)字簽名,以獲得第一數(shù)字簽名;
[0053] 所述信息發(fā)送模塊用于將所述安全套接層屬性信息、所述第一哈希值、所述第一 數(shù)字簽名、所述數(shù)字證書及其證書鏈發(fā)送給所述客戶機(jī)。
[0054] 在本發(fā)明所述的系統(tǒng)中,所述客戶機(jī)認(rèn)證模塊包括頒發(fā)者公鑰計(jì)算模塊、第二獲 取模塊、第一判斷模塊、訪問(wèn)方計(jì)算模塊、第三獲取模塊、第二判斷模塊、以及驗(yàn)證模塊;
[0055] 所述頒發(fā)者公鑰計(jì)算模塊用于計(jì)算所述證書鏈中頒發(fā)者的公鑰;
[0056] 所述第二獲取模塊用于依據(jù)所述頒發(fā)者的公鑰獲取第二哈希值;
[0057] 所述第一判斷模塊用于判斷所述數(shù)字證書中頒發(fā)者的第二數(shù)字簽名是否與預(yù)設(shè) 的頒發(fā)數(shù)字簽名相等;
[0058] 所述訪問(wèn)方計(jì)算模塊用于計(jì)算訪問(wèn)方中的公鑰;
[0059] 所述第三獲取模塊用于依據(jù)所述訪問(wèn)方的公鑰獲取第三哈希值;
[0060] 所述第二判斷模塊用于判斷所述第一哈希值與所述第三哈希值是否相等;
[0061] 所述驗(yàn)證模塊用于依據(jù)所述訪問(wèn)方中的公鑰驗(yàn)證所述第一數(shù)字簽名。
[0062] 在本發(fā)明所述的系統(tǒng)中,所述恢復(fù)模塊包括恢復(fù)子模塊、第一消息認(rèn)證模塊、第二 消息認(rèn)證模塊、完成消息生成模塊、以及提問(wèn)消息生成模塊;
[0063] 所述恢復(fù)子模塊用于使用所述負(fù)載均衡設(shè)備的私鑰恢復(fù)所述主密鑰中的認(rèn)證信 息;
[0064] 所述第一消息認(rèn)證模塊用于依據(jù)所述握手請(qǐng)求信息向所述負(fù)載均衡設(shè)備發(fā)送第 一消息認(rèn)證碼;
[0065] 所述第二消息認(rèn)證模塊用于依據(jù)所述握手請(qǐng)求信息向所述客戶端發(fā)送第二消息 認(rèn)證碼;
[0066] 所述完成消息生成模塊用于在接收到所述第二消息認(rèn)證碼之后向所述負(fù)載均衡 設(shè)備發(fā)送一完成信息;
[0067] 所述提問(wèn)消息生成模塊用于依據(jù)所述完成信息向所述客戶機(jī)發(fā)出一提問(wèn)信息。
[0068] 上述公開的一種基于安全套接層建立通信的方法及系統(tǒng)具有以下有益效果:通 過(guò)采用SSL協(xié)議為客戶端與服務(wù)器端提供可靠快速的數(shù)據(jù)通信,并通過(guò)設(shè)計(jì)組合公鑰提高 SSL運(yùn)算效率,降低相同強(qiáng)度下的密鑰長(zhǎng)度,提高網(wǎng)絡(luò)的靈活性及可用性。

【專利附圖】

【附圖說(shuō)明】
[0069] 圖1為本發(fā)明一實(shí)施例提供的一種基于安全套接層建立通信的方法的流程圖;
[0070] 圖2為本發(fā)明一實(shí)施例提供的一種基于安全套接層建立通信的系統(tǒng)的方框圖;
[0071] 圖3為本發(fā)明一實(shí)施例提供的一種基于安全套接層建立通信的系統(tǒng)的結(jié)構(gòu)示意 圖;
[0072] 圖4為CPK插件運(yùn)算負(fù)載均衡設(shè)備組合公鑰的生成流程圖。

【具體實(shí)施方式】
[0073] 為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下結(jié)合附圖及實(shí)施例,對(duì) 本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅用以解釋本發(fā)明,并不 用于限定本發(fā)明。
[0074] 本發(fā)明提供了一種基于安全套接層建立通信的方法及系統(tǒng),本發(fā)明涉及服務(wù)器負(fù) 載均衡技術(shù)和支持CPK密鑰管理體制的SSL安全通信協(xié)議,具體為應(yīng)用支持基于橢圓曲線 離散對(duì)數(shù)問(wèn)題構(gòu)建的CPK算法的SSL加速的服務(wù)器負(fù)載均衡的設(shè)計(jì)方法及步驟。通過(guò)引入 CPK加密算法的SSL協(xié)議為客戶端與服務(wù)器端提供可靠快速的數(shù)據(jù)通信,并設(shè)計(jì)組合公橢 圓曲線鑰CPK加密算法SSL加速模塊SSLbaseCPK-ProcessUnit、SSL客戶端CPK算法插件, 為提高SSL運(yùn)算效率,降低相同強(qiáng)度下的密鑰長(zhǎng)度,提高網(wǎng)絡(luò)的靈活性及可用性。
[0075] 參見(jiàn)圖1,圖1為本發(fā)明一實(shí)施例提供的一種基于安全套接層建立通信 的方法的流程圖,該方法設(shè)計(jì)了負(fù)載均衡設(shè)備2中的CPK加密算法SSL加速模塊 SSLbaseCPK-ProcessUnit、以及客戶端 CPK算法插件。SSLbaseCPK-ProcessUnit 處理器(艮P SSL-BaseCPK-PU)負(fù)責(zé)處理支持CPK算法的SSL協(xié)議的解封裝,在客戶端與此處理器之間 為密文傳輸,將解密后的明文數(shù)據(jù)遞交給負(fù)載均衡模塊,負(fù)載均衡模塊使用指定的負(fù)載均 衡算法將會(huì)話定位到服務(wù)器節(jié)點(diǎn),服務(wù)器節(jié)點(diǎn)收到用戶請(qǐng)求后,將明文數(shù)據(jù)遞交給負(fù)載均 衡設(shè)備2, SSLbaseCPK-ProcessUnit再將明文數(shù)據(jù)加密后發(fā)送給客戶端,由于現(xiàn)階段的瀏 覽器不支持CPK算法的,應(yīng)在客戶端瀏覽器中安裝支持的算法插件。由于傳統(tǒng)的SSL協(xié)議 要求使用非對(duì)稱加密算法協(xié)商密鑰,使得使用RSA加密算法的SSL服務(wù)器的CPU被大部分 的時(shí)間都在處理SSL加解密,只有少量約20%的時(shí)間處理應(yīng)用程序。本發(fā)明提出使用靈活 性遠(yuǎn)遠(yuǎn)高于RSA算法的CPK加密算法,應(yīng)用到SSL協(xié)議的握手協(xié)議過(guò)程中。在保證用戶與 服務(wù)器通信交互的安全性的基礎(chǔ)上,加速負(fù)載均衡SSL的計(jì)算。具體的,該方法包括以下步 驟:
[0076] S1、客戶機(jī)1與負(fù)載均衡設(shè)備2于所述安全套接層中相互發(fā)送握手請(qǐng)求信息;其 中,步驟Sl包括以下子步驟:
[0077] S11、所述客戶機(jī)1向所述負(fù)載均衡設(shè)備2發(fā)出第一握手消息,所述第一握手消息 包括:客戶機(jī)1所支持的安全套接層版本號(hào)、隨機(jī)數(shù)、會(huì)話ID、密碼套件信息、以及壓縮算法 信息;例如,參見(jiàn)圖3,圖3是本發(fā)明另一實(shí)施例提供的一種基于安全套接層建立通信的系 統(tǒng)的結(jié)構(gòu)示意圖,圖3中,SSL握手的第一階段啟動(dòng)邏輯連接,建立這個(gè)連接的安全能力。首 先客戶機(jī)1向負(fù)載均衡設(shè)備2中的SSL-BaseCPK-PU發(fā)出Client hello消息,即第一握手 消息并等待PU響應(yīng),Client hello消息包括:
[0078] Version :客戶端可以支持的SSL最高版本號(hào);
[0079] Random : 32 字節(jié)隨機(jī)數(shù);
[0080] Session id :確定該會(huì)話的會(huì)話id ;
[0081] Cipher suite :一個(gè)客戶端可以支持的密碼套件列表,Compression method :-個(gè) 客戶端可以支持的壓縮算法列表等信息。
[0082] 其中,常見(jiàn)密碼套件列表如下表:
[0083]

【權(quán)利要求】
1. 一種基于安全套接層建立通信的方法,其特征在于,包括以下步驟: 51、 客戶機(jī)與負(fù)載均衡設(shè)備于所述安全套接層中相互發(fā)送握手請(qǐng)求信息; 52、 所述客戶機(jī)與所述負(fù)載均衡設(shè)備握手之后,所述負(fù)載均衡設(shè)備將包括公鑰及私鑰 的數(shù)字證書及其證書鏈發(fā)送給所述客戶機(jī); 53、 所述客戶機(jī)認(rèn)證所述數(shù)字證書及所述證書鏈,并根據(jù)所述負(fù)載均衡設(shè)備的公鑰認(rèn) 證所述負(fù)載均衡設(shè)備; 54、 所述客戶機(jī)依據(jù)所認(rèn)證的所述數(shù)字證書及所述證書鏈生成包括認(rèn)證信息的主密 鑰,并使用所述負(fù)載均衡設(shè)備的公鑰對(duì)所述主密鑰進(jìn)行加密,將加密后的主密鑰發(fā)送至所 述負(fù)載均衡設(shè)備; 55、 所述負(fù)載均衡設(shè)備使用所述負(fù)載均衡設(shè)備的私鑰恢復(fù)所述主密鑰中的認(rèn)證信息, 并向所述客戶機(jī)發(fā)出一提問(wèn)信息; 56、 所述客戶機(jī)對(duì)所述提問(wèn)信息進(jìn)行數(shù)字簽名,并返回?cái)?shù)字簽名后的提問(wèn)信息以及客 戶機(jī)的公鑰至所述負(fù)載均衡設(shè)備; 57、 所述負(fù)載均衡設(shè)備依據(jù)所述數(shù)字簽名后的提問(wèn)信息以及所述客戶機(jī)的公鑰認(rèn)證所 述客戶機(jī); 58、 所述客戶機(jī)與所述負(fù)載均衡設(shè)備相互認(rèn)證成功后建立通信。
2. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述步驟S1包括以下子步驟: 511、 所述客戶機(jī)向所述負(fù)載均衡設(shè)備發(fā)出第一握手消息,所述第一握手消息包括:客 戶機(jī)所支持的安全套接層版本號(hào)、隨機(jī)數(shù)、會(huì)話ID、密碼套件信息、以及壓縮算法信息; 512、 所述負(fù)載均衡設(shè)備接收到所述第一握手消息之后,向所述客戶機(jī)返回第二握手消 息,從而對(duì)所述第一握手信息進(jìn)行確認(rèn),所述第二握手信息包括:所述客戶機(jī)的安全套接層 版本號(hào)、會(huì)話ID。
3. 根據(jù)權(quán)利要求2所述的方法,其特征在于,所述步驟S2包括以下子步驟: 521、 所述負(fù)載均衡設(shè)備生成包括唯一身份標(biāo)識(shí)信息的安全套接層屬性信息; 522、 所述負(fù)載均衡設(shè)備依據(jù)所述安全套接層屬性信息獲取第一哈希值; 523、 所述負(fù)載均衡設(shè)備依據(jù)所述負(fù)載均衡設(shè)備的私鑰對(duì)所述第一哈希值進(jìn)行數(shù)字簽 名,以獲得第一數(shù)字簽名; 524、 所述負(fù)載均衡設(shè)備將所述安全套接層屬性信息、所述第一哈希值、所述第一數(shù)字 簽名、所述數(shù)字證書及其證書鏈發(fā)送給所述客戶機(jī)。
4. 根據(jù)權(quán)利要求3所述的方法,其特征在于,所述步驟S3包括以下子步驟: 531、 所述客戶機(jī)計(jì)算所述證書鏈中頒發(fā)者的公鑰; 532、 所述客戶機(jī)依據(jù)所述頒發(fā)者的公鑰獲取第二哈希值; 533、 驗(yàn)證所述數(shù)字證書中頒發(fā)者的第二數(shù)字簽名是否與預(yù)設(shè)的頒發(fā)數(shù)字簽名相等,若 相等,則執(zhí)行步驟S34; 534、 所述客戶機(jī)計(jì)算訪問(wèn)方中的公鑰; 535、 依據(jù)所述訪問(wèn)方的公鑰獲取第三哈希值,并判斷所述第一哈希值與所述第三哈希 值是否相等,若相等,則執(zhí)行步驟S36 ; 536、 依據(jù)所述訪問(wèn)方中的公鑰驗(yàn)證所述第一數(shù)字簽名。
5. 根據(jù)權(quán)利要求4所述的方法,其特征在于,所述步驟S5包括以下子步驟: 551、 所述負(fù)載均衡設(shè)備使用所述負(fù)載均衡設(shè)備的私鑰恢復(fù)所述主密鑰中的認(rèn)證信 息; 552、 所述客戶端依據(jù)所述握手請(qǐng)求信息向所述負(fù)載均衡設(shè)備發(fā)送第一消息認(rèn)證碼; 553、 所述負(fù)載均衡設(shè)備依據(jù)所述握手請(qǐng)求信息向所述客戶端發(fā)送第二消息認(rèn)證碼; 554、 所述客戶端接收到所述第二消息認(rèn)證碼之后向所述負(fù)載均衡設(shè)備發(fā)送一完成信 息; 555、 所述負(fù)載均衡設(shè)備依據(jù)所述完成信息向所述客戶機(jī)發(fā)出一提問(wèn)信息。
6. -種基于安全套接層建立通信的系統(tǒng),其特征在于,包括客戶機(jī)及負(fù)載均衡設(shè)備; 所述客戶機(jī)包括客戶機(jī)握手模塊、客戶機(jī)認(rèn)證模塊、主密鑰生成模塊、數(shù)字簽名模塊、 以及客戶機(jī)通信模塊;所述負(fù)載均衡設(shè)備包括設(shè)備握手模塊、發(fā)送模塊、恢復(fù)模塊、設(shè)備認(rèn) 證模塊、以及設(shè)備通信模塊; 所述客戶機(jī)握手模塊以及所述設(shè)備握手模塊用于在所述安全套接層中相互發(fā)送握手 請(qǐng)求信息; 所述發(fā)送模塊用于將包括公鑰及私鑰的數(shù)字證書及其證書鏈發(fā)送給所述客戶機(jī); 所述客戶機(jī)認(rèn)證模塊用于認(rèn)證所述數(shù)字證書及所述證書鏈,并根據(jù)所述負(fù)載均衡設(shè)備 的公鑰認(rèn)證所述負(fù)載均衡設(shè)備; 所述主密鑰生成模塊用于依據(jù)所認(rèn)證的所述數(shù)字證書及所述證書鏈生成包括認(rèn)證信 息的主密鑰,并使用所述負(fù)載均衡設(shè)備的公鑰對(duì)所述主密鑰進(jìn)行加密,將加密后的主密鑰 發(fā)送至所述負(fù)載均衡設(shè)備; 所述恢復(fù)模塊用于使用所述負(fù)載均衡設(shè)備的私鑰恢復(fù)所述主密鑰中的認(rèn)證信息,并向 所述客戶機(jī)發(fā)出一提問(wèn)信息; 所述數(shù)字簽名模塊用于對(duì)所述提問(wèn)信息進(jìn)行數(shù)字簽名,并返回?cái)?shù)字簽名后的提問(wèn)信息 以及客戶機(jī)的公鑰至所述負(fù)載均衡設(shè)備; 所述設(shè)備認(rèn)證模塊用于依據(jù)所述數(shù)字簽名后的提問(wèn)信息以及所述客戶機(jī)的公鑰認(rèn)證 所述客戶機(jī); 所述客戶機(jī)通信模塊以及所述設(shè)備通信模塊用于在相互認(rèn)證成功后建立通信。
7. 根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于,所述客戶機(jī)握手模塊還用于向所述負(fù)載 均衡設(shè)備發(fā)出第一握手消息,所述第一握手消息包括:客戶機(jī)所支持的安全套接層版本號(hào)、 隨機(jī)數(shù)、會(huì)話ID、密碼套件信息、以及壓縮算法信息; 所述設(shè)備握手模塊還用于接收到所述第一握手消息之后,向所述客戶機(jī)返回第二握手 消息,從而對(duì)所述第一握手信息進(jìn)行確認(rèn),所述第二握手信息包括:所述客戶機(jī)的安全套接 層版本號(hào)、會(huì)話ID。
8. 根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于,所述發(fā)送模塊包括屬性生成模塊、第一獲 取模塊、第一數(shù)字簽名模塊、以及信息發(fā)送模塊; 所述屬性生成模塊用于生成包括唯一身份標(biāo)識(shí)信息的安全套接層屬性信息; 所述第一獲取模塊用于依據(jù)所述安全套接層屬性信息獲取第一哈希值; 所述第一數(shù)字簽名模塊用于依據(jù)所述負(fù)載均衡設(shè)備的私鑰對(duì)所述第一哈希值進(jìn)行數(shù) 字簽名,以獲得第一數(shù)字簽名; 所述信息發(fā)送模塊用于將所述安全套接層屬性信息、所述第一哈希值、所述第一數(shù)字 簽名、所述數(shù)字證書及其證書鏈發(fā)送給所述客戶機(jī)。
9. 根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于,所述客戶機(jī)認(rèn)證模塊包括頒發(fā)者公鑰計(jì) 算模塊、第二獲取模塊、第一判斷模塊、訪問(wèn)方計(jì)算模塊、第三獲取模塊、第二判斷模塊、以 及驗(yàn)證模塊; 所述頒發(fā)者公鑰計(jì)算模塊用于計(jì)算所述證書鏈中頒發(fā)者的公鑰; 所述第二獲取模塊用于依據(jù)所述頒發(fā)者的公鑰獲取第二哈希值; 所述第一判斷模塊用于判斷所述數(shù)字證書中頒發(fā)者的第二數(shù)字簽名是否與預(yù)設(shè)的頒 發(fā)數(shù)字簽名相等; 所述訪問(wèn)方計(jì)算模塊用于計(jì)算訪問(wèn)方中的公鑰; 所述第三獲取模塊用于依據(jù)所述訪問(wèn)方的公鑰獲取第三哈希值; 所述第二判斷模塊用于判斷所述第一哈希值與所述第三哈希值是否相等; 所述驗(yàn)證模塊用于依據(jù)所述訪問(wèn)方中的公鑰驗(yàn)證所述第一數(shù)字簽名。
10. 根據(jù)權(quán)利要求9所述的系統(tǒng),其特征在于,所述恢復(fù)模塊包括恢復(fù)子模塊、第一消 息認(rèn)證模塊、第二消息認(rèn)證模塊、完成消息生成模塊、以及提問(wèn)消息生成模塊; 所述恢復(fù)子模塊用于使用所述負(fù)載均衡設(shè)備的私鑰恢復(fù)所述主密鑰中的認(rèn)證信息; 所述第一消息認(rèn)證模塊用于依據(jù)所述握手請(qǐng)求信息向所述負(fù)載均衡設(shè)備發(fā)送第一消 息認(rèn)證碼; 所述第二消息認(rèn)證模塊用于依據(jù)所述握手請(qǐng)求信息向所述客戶端發(fā)送第二消息認(rèn)證 碼; 所述完成消息生成模塊用于在接收到所述第二消息認(rèn)證碼之后向所述負(fù)載均衡設(shè)備 發(fā)送一完成信息; 所述提問(wèn)消息生成模塊用于依據(jù)所述完成信息向所述客戶機(jī)發(fā)出一提問(wèn)信息。
【文檔編號(hào)】H04L29/06GK104378374SQ201410650365
【公開日】2015年2月25日 申請(qǐng)日期:2014年11月14日 優(yōu)先權(quán)日:2014年11月14日
【發(fā)明者】龐妍, 羅海濱, 陳開渠 申請(qǐng)人:國(guó)家超級(jí)計(jì)算深圳中心(深圳云計(jì)算中心)
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1