CN101242426B - 建立传输层安全连接的方法、系统及装置 - Google Patents
建立传输层安全连接的方法、系统及装置 Download PDFInfo
- Publication number
- CN101242426B CN101242426B CN2007100732349A CN200710073234A CN101242426B CN 101242426 B CN101242426 B CN 101242426B CN 2007100732349 A CN2007100732349 A CN 2007100732349A CN 200710073234 A CN200710073234 A CN 200710073234A CN 101242426 B CN101242426 B CN 101242426B
- Authority
- CN
- China
- Prior art keywords
- domain name
- server
- security
- tls
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及建立传输层安全连接的方法、系统及装置,客户端向域名设备查询获取传输层安全TLS服务器的安全信息,根据所述安全信息与所述TLS服务器进行连接。由于采用诸如DNS服务器或者DNS的安全扩展服务器的域名设备存储TLS服务器的安全信息,只要有Internet的地方就有,这样TLS协议的应用就可以摆脱证书机构的束缚,增加了TLS的应用场景。
Description
技术领域
本发明涉及通信技术领域,尤其涉及建立传输层安全连接的方法、系统及装置。
背景技术
DNS(域名系统,Domain Name System)实际上是一个大型的分布式数据库系统,它所执行的基本功能是网络资源(从最早的简单网络上的每个主机名到后来的域名、邮件地址等)与IP地址之间的翻译。由于DNS是一个被广泛应用的网络基础设施,所以目前的DNS被赋予了许多新的功能,例如,用它来进行分发IPsec(Internet协议安全)的公钥信息或SSH(安全外壳,Secure Shell)的公钥指纹等。
DNSSEC是DNS的安全扩展(DNS Security Extension),它通过区签名的方式来对资源记录进行数据源认证及完整性保护,所谓区签名,就是利用每个区所对应的私钥对区内的每一个资源记录集作签名,形成与资源记录集对应的签名记录。
通过获取一个区所对应的公钥,域名解析器可以通过签名验证来判断获得的资源记录的真实性和完整性。DNSSEC通过建立信任链来保证域名解析器所获得的公钥的可靠性,作为信任链的开端,每个域名解析器都必须预先配置一个或多个Trust Anchor(信任锚点),Trust Anchor为某个区的公钥或公钥的消息摘要。
TLS(传输层安全,Transport Layer Security)协议是一个能为Internet上的通讯双方提供安全可靠的通讯服务的协议,它允许客户端/服务器应用之间进行防窃听、防消息篡改及防消息伪造的安全通讯。该协议包含两个层次:上层的 握手协议和下层的记录层协议,这样做的原因是为了保证应用协议的独立性,使得低级协议对于高级协议保持透明。
握手协议的主要功能有:
1.负责双方的身份验证,主要有相互认证、服务器认证、无认证三种可选方式;
2.协商各种算法,比如pre-master-secret(预共享秘密)的协商算法、数据的加密算法及压缩算法、数据的完整性保护算法,以及连接的版本号等信息;
3.协商pre-master-secret,并据此生成各种数据保护算法所需的密钥。
记录层协议位于某一可靠的传输协议之上,例如TCP协议(传输控制协议,Transmission Control Protocol),它利用握手协议所协商好的各种算法和密钥,对数据进行分段、压缩、附上MAC(Message Authentication Code,消息认证代码)、加密,然后将处理过的数据发送出去,接收端则进行相反的处理。
为了验证通信双方的身份,同时保证pre-master-secret协商的安全性及机密性,目前应用最广泛的方法是利用证书来分发服务器公钥并进行身份验证。
在这种方案中,需要有证书机构的支持,而这样会直接导致通信代价的增加,并且,目前还没有任何证书机构能得到所有潜在用户的信赖;在目前所存在着的诸多证书机构中,不同的证书机构可能使用不同的结构、不同的安全策略和密钥算法体系,这样会导致使用不同证书的双方无法进行通信;
而且,目前不存在一个有效的办法来保证客户能快速、安全的获得众多证书机构的公钥。
实体的命名也没有一个统一的标准,比方说,如果A拥有一个由CA1签发的名为Alice的证书,而B则完全可以拥有一个由CA2签发的同样名为Alice的证书,这样的话,客户端C就将无法辨别同为Alice的A、B的身份。
发明内容
有鉴于此,本发明实施例的主要目的在于提供一种不使用证书机构而建立传输层安全连接的方法、系统及装置。
为达到上述目的,本发明实施例的技术方案是这样实现的:
本发明实施例公开了一种建立传输层安全连接的方法,包括:
客户端向域名设备查询获取传输层安全TLS服务器的安全信息,根据所述安全信息与所述TLS服务器进行连接,所述域名设备为DNS服务器或者DNS的安全扩展服务器,所述安全信息包括公钥的算法、公钥各个部分的长度及内容。
本发明实施例还公开了一种建立传输层安全连接的系统,包括客户端和TLS服务器,还包括域名设备,其中:
TLS服务器,用于将其安全信息存储到域名设备中,所述域名设备为DNS服务器或者DNS的安全扩展服务器,所述安全信息包括公钥的算法、公钥各个部分的长度及内容;
客户端,用于向域名设备查询获取所述安全信息,根据所述安全信息与所述TLS服务器建立连接;
域名设备,用于保存所述TLS服务器的所述安全信息,所述域名设备为DNS服务器或者DNS的安全扩展服务器。
另外,本发明实施例还公开了一种域名装置,包括:
记录模块,用于以资源记录的形式存储TLS服务器的安全信息;
输出模块,用于根据客户端的请求,向所述客户端输出所述记录模块中的相应资源记录,所述域名装置包含在DHS服务器或DNS的安全扩展服务器中。
另外,本发明实施例还公开了一种包括上述域名装置的DNS服务器和DNS的安全扩展服务器。
在本发明的实施例中,由于采用诸如DNS服务器或者DNS的安全扩展服务器的域名设备存储TLS服务器的安全信息,只要有Internet的地方就有DNS,这样TLS协议的应用就可以摆脱证书机构的束缚,增加TLS的应用场景;
而且DNS具备全球统一的规范化命名方式,每个用户都有一个明确且唯一的规范域名,可以避免出现两个不同的实体在两个不同的证书机构中拥有同样 的名字的情况;
用户可以及时在线获得通信对端的公钥及用以验证对应签名记录的区公钥,不会出现因为用户没有证书机构的公钥而无法验证证书的情况。
附图说明
图1为本发明一实施例的流程示意图;
图2为本发明另一实施例的TLS握手协议的消息流示意图;
图3为本发明所提供的系统的一个实施例的组成示意图;
图4为本发明域名装置实施例一组成示意图;
图5为本发明域名装置实施例二组成示意图。
具体实施方式
在本发明的实施例中,将TLS服务器的安全信息存放在域名设备的资源记录中,方便客户端获取,从而简化交互过程,并提高了安全性能。
为使本发明的目的、技术方案和优点更加清楚明白,以下举实施例,并参照附图,对本发明进一步详细说明。
在如图1所示的本发明实施例流程图中:
步骤101:客户端向域名系统域名设备查询获取传输层安全TLS服务器的安全信息;
在本发明的实施例中,域名设备可以是DNS或者DNSSEC权威服务器,在支持DNSSEC的网络环境下,究竟采用DNS还是DNSSEC来存储安全信息取决于服务器所支持的业务对通信安全及效率的权衡。
步骤102:客户端根据所述安全信息与TLS服务器进行连接。
pre-master-secret是用来生成加密算法、消息摘要算法的密钥,客户端在获取所述TLS服务器的安全信息后,根据其中的相关信息进行pre-master-secret协商,协商完成后建立连接。
在本发明的实施例中,域名设备可以主动存储TLS服务器自身的安全信息, 或者是接收TLS服务器发送来的自身的安全信息并加以保存,这些安全信息包括公钥的算法、公钥各个部分的长度及内容,当然,安全信息中还可以包括TLS服务器所支持TLS协议的最高版本,它们以特定的资源记录格式存入域名设备中。
资源记录是DNS中的数据格式,所有DNS中的数据都可以以资源记录的形式存储,资源记录有很多种,其格式如下:
资源记录名 网络类别 资源记录类型 生存时间 数据
其中对于资源记录类型代表不同种类资源记录的外在表现,而数据则标识不同种类的资源记录不同的数据格式。
而且,在支持DNSSEC的情况下,设备需要利用TLS服务器所在区域的私钥对此资源记录签名,生成签名记录。如果同一个网址下的TLS服务器针对不同的业务采用不同的安全保护方式,那么在资源记录中还可以加入用以辨别业务的字段,或者修改资源记录的命名格式,在资源记录名前加上业务名的前缀。
在如图2所示的TLS握手协议的消息流示意图中:
在建立TLS连接时,客户端通过查询域名设备获得特定业务所对应的安全信息。如果安全信息中包括TLS服务器所支持TLS协议的最高版本,客户端可以在获知TLS服务器所支持的最高版本号后,将之与自身支持的最高版本号比较,取其中较低的一个作为本次连接所采用协议的版本号,并将该版本号写入ClientHello消息中发送至TLS服务器,在收到TLS服务器返回的ServerHello消息后,将ServerHello中的版本信息与ClientHello中的版本信息比较,如果两个不一致,则可能出现了传输错误或受到了攻击,此时客户端可以选择中断连接或发出警告消息。
在客户端接收到HelloDone报文后,如果没有ServerKeyExchange报文,则客户端可以根据资源记录中所存储的密钥格式获知密钥协商算法:
如果资源记录中存储有服务器的RSA公钥,客户端在获取该公钥后,选择一个pre-master-secret,利用TLS服务器的公钥,对pre-master-secret进行加密, 用ClientKeyExchange消息将它发给TLS服务器,TLS服务器利用对应的私钥解密得出pre-master-secret,这样可以保证双方知道该pre-master-secret;
如果TLS服务器将进行Diffie-Hellman交换所需的公钥中的p、g及server的交换参数存储在资源记录中,客户端根据p、g产生自己的交换参数,根据两个交换参数即可生成pre-master-secret;
产生pre-master-secret的过程可以是:客户端获知g、p后,随机选取x,则客户端生成自己的交换参数:g^x mod p,而TLS服务器的交换参数为g^y mod
p,由于只有客户端知道x,只有TLS服务器知道y,因此客户端可以根据TLS服务器的交换参数和x计算(g^y mod p)^x=g^xy mod p,TLS服务器计算(g^xmod p)^y=g^xy mod p,从而双方得到同样的pre-master-secret,他人即使知道了双方的交换参数,如果不知道x、y的话还是无法计算出g^xy mod p的。
如果客户端收到ServerKeyExchange报文,则协商算法为DHE,TLS服务器存储在资源记录中的公钥则是用来验证签名的,而非用来进行直接密钥交换的。DHE密钥交换算法和DH交换的区别在于:TLS服务器和客户端利用DH算法来协商密钥时,每次协商所用的g、p是固定的,而DHE算法中所采用的g、p是可变的。在DHE算法中,对于每次协商TLS服务器都将产生一个新的p、g组合,并以此产生自身的交换参数,TLS服务器通过ServerKeyExchange消息来通知客户端此次密钥协商的p、g以及TLS服务器的交换参数,为了保证serverkeyexchange消息中的内容的源认证及数据完整性,TLS服务器需要对p、g及交换参数等内容进行签名,而资源记录中的公钥的作用就是由客户端用来验证签名。
如图3所示的建立传输层安全连接的系统实施例中,包括客户端203、域名设备201和TLS服务器202,其中:
TLS服务器202,用于将其安全信息存储到域名设备201中;
客户端203,用于向域名设备201查询获取所述安全信息,根据所述安全信息与TLS服务器202进行pre-master-secret协商;
域名设备201,用于保存所述TLS服务器202的所述安全信息,在所述 客户端203查询时,将所述安全信息发送给所述客户端203;
一般而言,域名设备可以是DNS服务器或者DNS的安全扩展服务器。
在如图4所示的域名装置实施例中,包括记录模块2011和输出模块2012,其中:
记录模块2011,用于以资源记录的形式存储TLS服务器的安全信息;
输出模块2012,用于根据客户端的请求,向所述客户端输出所述记录模块中的相应资源记录。
一般情况下,这样的域名装置可以包含在DNS服务器或DNS的安全扩展服务器中。
当然,在域名装置包含在DNS的安全扩展服务器中时,还可以如图5所示,包括一个签名模块2013,用于根据所述TLS服务器所在区域的私钥对所述记录模块存储的资源记录签名。
可以理解的是,本发明实施例还可以计算机可读介质的形式独立存在,而这样的计算机可读介质可以是包含、存储、传达、传播或者传输计算机程序的介质,所述计算机程序为使用指令以运行本发明实施例所提供的系统装置、系统或者设备的程序,或者是与该指令有关的程序。该计算机可读介质可以是电子、磁、电磁、光学、红外或者半导体的系统、装置、设备、传播介质或者计算机存储器。
可以看出,由于采用诸如DNS服务器或DNS的安全扩展服务器的域名设备存储TLS服务器的安全信息,只要有Internet的地方就有,这样TLS协议的应用就可以摆脱证书机构的束缚,增加TLS的应用场景;
而且DNS具备全球统一的规范化命名方式,每个用户都有一个明确且唯一的规范域名,可以避免出现两个不同的实体在两个不同的证书机构中拥有同样的名字的情况;
用户可以及时在线获得通信对端的公钥及用以验证对应签名记录的区公钥,不会出现因为用户没有证书机构的公钥而无法验证证书的情况。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通 技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (11)
1.一种建立传输层安全连接的方法,其特征在于,所述方法包括:
客户端向域名设备查询获取传输层安全TLS服务器的安全信息,根据所述安全信息与所述TLS服务器进行连接,所述域名设备为域名系统DNS服务器或者DNS的安全扩展服务器,所述安全信息包括公钥的算法、公钥各个部分的长度及内容。
2.如权利要求1所述的方法,其特征在于,所述客户端向域名设备查询获取传输层安全TLS服务器的安全信息,具体为:
客户端向域名设备查询获取传输层安全TLS服务器存储到所述域名设备中的安全信息。
3.如权利要求1所述的方法,其特征在于,当所述域名设备为域名系统DNS的安全扩展服务器时,还包括:
所述TLS服务器将所述公钥的算法、公钥各个部分的长度及内容,以资源记录的形式存储到所述域名设备中;
所述域名设备利用所述TLS服务器所在区域的私钥对所述资源记录签名。
4.如权利要求3所述的方法,其特征在于,所述资源记录中还包括标识业务的字段。
5.如权利要求3所述的方法,其特征在于,在所述资源记录的命名格式中,服务器的DNS域名前包括业务名的字段。
6.如权利要求1至5任一所述的方法,其特征在于,所述安全信息还包括所述TLS服务器支持的TLS协议的最高版本号;
在所述客户端向域名设备查询获取安全信息后,还进一步包括:
所述客户端将获取的所述最高版本号与自身所支持的最高版本号中间的较低者发送给所述TLS服务器,根据所述TLS服务器返回的包含版本号的消息,如果返回的所述版本号与发送给所述TLS服务器的版本号不同,则中断连接或发出警告消息。
7.一种建立传输层安全连接的系统,包括客户端和传输层安全TLS服务器,其特征在于,还包括域名设备,其中:
所述TLS服务器,用于将其安全信息存储到域名设备中,所述安全信息包括公钥的算法、公钥各个部分的长度及内容;
所述客户端,用于向域名设备查询获取所述安全信息,根据所述安全信息与所述TLS服务器建立连接;
所述域名设备,用于保存所述TLS服务器的所述安全信息,所述域名设备为域名系统DNS服务器或者DNS的安全扩展服务器。
8.一种域名装置,其特征在于,包括:
记录模块,用于以资源记录的形式存储传输层安全TLS服务器的安全信息,所述安全信息包括公钥的算法、公钥各个部分的长度及内容;
输出模块,用于根据客户端的请求,向所述客户端输出所述记录模块中的相应资源记录;
所述域名装置包含在域名系统DNS服务器或DNS的安全扩展服务器中。
9.如权利要求8所述的装置,其特征在于,还包括签名模块,用于根据所述TLS服务器所在区域的私钥对所述记录模块存储的资源记录签名。
10.一种域名系统服务器,其特征在于,包括如权利要求8所述的域名装置。
11.一种域名系统的安全扩展服务器,其特征在于,包括如权利要求8所述的域名装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007100732349A CN101242426B (zh) | 2007-02-06 | 2007-02-06 | 建立传输层安全连接的方法、系统及装置 |
PCT/CN2007/070467 WO2008095382A1 (fr) | 2007-02-06 | 2007-08-14 | Procédé, système et appareil pour établir une connexion de sécurité de couche de transport |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007100732349A CN101242426B (zh) | 2007-02-06 | 2007-02-06 | 建立传输层安全连接的方法、系统及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101242426A CN101242426A (zh) | 2008-08-13 |
CN101242426B true CN101242426B (zh) | 2010-12-08 |
Family
ID=39681255
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007100732349A Expired - Fee Related CN101242426B (zh) | 2007-02-06 | 2007-02-06 | 建立传输层安全连接的方法、系统及装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN101242426B (zh) |
WO (1) | WO2008095382A1 (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9130917B2 (en) * | 2011-05-02 | 2015-09-08 | Verisign, Inc. | DNSSEC signing server |
CN103078877B (zh) * | 2013-01-31 | 2015-09-16 | 中国科学院计算机网络信息中心 | 基于dns的用户认证和域名访问控制方法及系统 |
CN104217327B (zh) * | 2014-09-25 | 2017-12-26 | 中孚信息股份有限公司 | 一种金融ic卡互联网终端及其交易方法 |
CN106470248B (zh) * | 2015-08-19 | 2019-08-27 | 互联网域名系统北京市工程研究中心有限公司 | Dnssec签名服务的热备方法及系统 |
CN105141612A (zh) * | 2015-09-01 | 2015-12-09 | 中国互联网络信息中心 | 一种dns数据包隐私保护方法 |
CN106534086B (zh) * | 2016-10-31 | 2019-08-30 | 深圳数字电视国家工程实验室股份有限公司 | 一种设备认证方法、终端设备、服务器及系统 |
CN106817367A (zh) * | 2017-01-03 | 2017-06-09 | 深圳市沃特玛电池有限公司 | 一种数据传输方法和系统 |
CN107613039B (zh) * | 2017-09-19 | 2020-11-20 | 北京小米移动软件有限公司 | Ip地址归属地查询方法、装置、系统及存储介质 |
CN112602290B (zh) * | 2019-08-02 | 2022-02-08 | 华为技术有限公司 | 一种身份验证方法、装置和可读存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1743449A1 (en) * | 2004-05-03 | 2007-01-17 | Nokia Corporation | Handling of identities in a trust domain of an ip network |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7570163B2 (en) * | 2004-09-29 | 2009-08-04 | Siemens Communications, Inc. | Methods and apparatus for managing TLS connections in a large soft switch |
US20060294381A1 (en) * | 2005-06-22 | 2006-12-28 | Mitchell Douglas P | Method and apparatus for establishing a secure connection |
-
2007
- 2007-02-06 CN CN2007100732349A patent/CN101242426B/zh not_active Expired - Fee Related
- 2007-08-14 WO PCT/CN2007/070467 patent/WO2008095382A1/zh active Application Filing
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1743449A1 (en) * | 2004-05-03 | 2007-01-17 | Nokia Corporation | Handling of identities in a trust domain of an ip network |
Also Published As
Publication number | Publication date |
---|---|
CN101242426A (zh) | 2008-08-13 |
WO2008095382A1 (fr) | 2008-08-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101242426B (zh) | 建立传输层安全连接的方法、系统及装置 | |
CN109768988B (zh) | 去中心化物联网安全认证系统、设备注册和身份认证方法 | |
Singla et al. | Blockchain-based PKI solutions for IoT | |
Malik et al. | A survey of key bootstrapping protocols based on public key cryptography in the Internet of Things | |
US6985953B1 (en) | System and apparatus for storage and transfer of secure data on web | |
Choudhury et al. | A strong user authentication framework for cloud computing | |
Kohl et al. | The evolution of the Kerberos authentication service | |
EP1312191B1 (en) | Method and system for authentification of a mobile user via a gateway | |
CN101488950B (zh) | 用于因特网的对称密钥分发的方法、设备和系统 | |
CN101567784B (zh) | 一种获取密钥的方法、系统和设备 | |
US20140244998A1 (en) | Secure publishing of public-key certificates | |
US9225721B2 (en) | Distributing overlay network ingress information | |
CN113746632B (zh) | 一种物联网系统多级身份认证方法 | |
WO2019178942A1 (zh) | 一种进行ssl握手的方法和系统 | |
JP2000349747A (ja) | 公開鍵管理方法 | |
Babu et al. | A distributed identity‐based authentication scheme for internet of things devices using permissioned blockchain system | |
CN115801223B (zh) | 一种基于ca证书的标识密钥体系与pki体系兼容方法 | |
US11546319B2 (en) | Domain name management with network entity authentication using self-signed certificates | |
JP2022539458A (ja) | エンティティに参加するためにネットワーク識別子を使用してブロックチェーンに関連するトランザクションを実現するためのコンピュータ実施システム及び方法 | |
CN107566393A (zh) | 一种基于受信任证书的动态权限验证系统及方法 | |
Cho et al. | TwinPeaks: An approach for certificateless public key distribution for the internet and internet of things | |
CN109802829A (zh) | 信息中心网络内容请求用户的身份认证方法 | |
CN101593333A (zh) | 电子商务信息安全处理方法 | |
Berger | A Scalable Architecture for Public Key Distribution Acting in Concert with Secure DNS | |
CN113726523B (zh) | 基于Cookie和DR身份密码体制的多重身份认证方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101208 Termination date: 20160206 |
|
CF01 | Termination of patent right due to non-payment of annual fee |