CN101304310A - 一种加固网络ssl服务的方法 - Google Patents
一种加固网络ssl服务的方法 Download PDFInfo
- Publication number
- CN101304310A CN101304310A CNA2008100454723A CN200810045472A CN101304310A CN 101304310 A CN101304310 A CN 101304310A CN A2008100454723 A CNA2008100454723 A CN A2008100454723A CN 200810045472 A CN200810045472 A CN 200810045472A CN 101304310 A CN101304310 A CN 101304310A
- Authority
- CN
- China
- Prior art keywords
- client
- module
- ssl
- service
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种加固网络SSL服务的方法,属于计算机信息安全技术领域。本发明在不改变当前web服务架构的基础上,通过一些成本较低的扩展方案,在客户端和服务器两端各增加一个SSL服务加固模块,实现客户端与服务器端的双通道安全连接,一个安全通道用于传送SSL密钥协商策略和管理信息,另一条通道用以传输个人机密信息,通过密钥协商策略对SSL参数进行加密处理。本发明可以提高客户端浏览器和服务器端SSL连接的安全性,技术复杂度低,开发成本和维护成本都很低,通用性和易用性好,并且不会带来新的安全漏洞,可以在网上的各种对安全通信要求高的万维网应用中广泛使用。
Description
技术领域
本发明属于计算机信息安全技术领域,更具体地说涉及SSL服务领域。
背景技术
SSL是Secure Sockets Layer通讯协议的简称,通过给对称加密技术约定对称密钥,建立加密通道,在客户端IE浏览器和WEB服务器之间形成一条安全通道,保护IE浏览器和WEB服务器之间通信的数据。现有的网络SSL安全服务系统,主要分成提供WEB服务的服务器端和由远程登录用户组成的客户端两方面,一般一个通用安全WEB服务会同时有若干个客户端连接到服务器,其工作原理为:当客户端的浏览器向远程服务器请求建立SSL连接时,客户机与服务器两端的SSL服务模块之间进行密钥交换(密钥协商),密钥交换成功后建立安全通道,然后客户端的浏览器与服务器之间进行数据传输。
现有客户端SSL服务模块与服务器端SSL服务模块之间的协商标准安全通道,主要分为以下四个阶段6个步骤:
第一阶段:建立安全连接:
第1步:客户端问候(client hello),客户端向服务器端发送以下参数后等待服务器发送消息:版本、随机数(32位时间戳+28字节随机序列)、会话ID、客户支持的密码方法序列(cipher suite)、客户支持的压缩方法列表;
第2步:服务器问候(server hello),服务器接收到客户端发送的参数后,从中选择一个版本、密码方法、压缩方法,连同服务器产生的随机数、会话ID,发送给客户端;
第二阶段:服务器认证和密钥交换:
第3步:服务器把自己的数字证书(包括一个X.509证书,或者一条证书链)出示给客户端验证,根据情况发送密钥交换和证书请求消息,发送“服务器问候结束”消息,等待应答;
第三阶段:客户端认证和密钥交换:
第4步:客户端检查服务器提供的证书,判断“服务器问候”消息的参数是否可以接受,如果都没有问题的话,则将消息发送给服务器,同时根据需要向服务器发送自己的证书,请求服务器的验证;
第四阶段:密钥交换结束,建立安全连接:
第5步:客户端向服务器发送一个“交换密钥声明”消息,把协商得到的密钥序列拷贝到当前连接的状态之中,然后用新的加密方法、密钥参数发送一个结束消息;
第6步:服务器用客户端发送的加密方法、密钥参数检验密钥交换和认证过程是否已经成功,最后发送“交换密钥声明”消息和结束消息,如果验证密钥交换成功,则建立SSL安全连接通道,客户和服务器可以交换应用层数据,否则安全连接建立失败。
通过以上密钥交换流程,SSL通道得以建立,浏览器和服务器之间传送的敏感机密信息,比如密码、个人信息或者信用卡号码等等,可得到有效保护。目前提供SSL服务已成为所有浏览器必须支持的一种功能。我们通常在访问某个安全web服务时在地址栏中输入https开头的地址,就是使用了浏览器中的SSL模块。
虽然目前的SSL服务对传送的信息有一定的保护作用,但同样存在安全隐患。因为浏览器无法对SSL的参数进行配置,因此即使我们知道其加密技术存在安全漏洞,也无法限制浏览器不去使用它。国外媒体公布的关于SSL漏洞的问题已经引起很多专家的重视,比如浏览器中默认支持的RC4加密方法存在安全漏洞,如果一台个人电脑对该加密数据包进行分析,经过几个小时的时间就可以破译出信息的全部内容,而浏览器无法对其默认自带的加密技术进行选择、更改其对称密钥,因此即使我们知道RC4加密技术存在安全漏洞,也无法限制浏览器不去使用它。另外,因为浏览器和WEB服务器默认的SSL模块和加密技术都运行在操作系统内存中,安全性往往受到运行环境安全性的影响。最近,以色列魏兹曼科学院教授Adi Shamir公布的PC处理器在理论上存在的数学漏洞将导致RSA加密算法遭到攻击,如果被黑客利用,将使全球电子商务陷入灾难,因为RSA是电子商务应用中广泛使用的SSL技术的核心算法,这引起全世界的震惊。另外,尽管SSL协议已经从1.0,2.0晋升到3.0,TLS1.0、SSL1.0/2.0也已经被业界证明安全性存在一定的问题,标准的浏览器一般都仍然使用SSL2.0作为默认的选项,因此基于标准浏览器和通用SSL服务器模块建立的SSL连接存在很多安全隐患,加固网络SSL服务的安全迫在眉睫。
为了解决上述电子商务应用中广泛使用的SSL技术的安全问题,有些有实力的用户可以考虑购买专用的安全web服务器,但是对于大多数用户来说,要购买专门的web服务器还是存在成本过高的问题。
发明内容
本发明的目的在于:克服现有技术中存在的上述不足,提供一种成本低、安全性高的加固网络SSL安全服务的方法,利用该方法,可以仅对现有的web服务器做小成本的扩展,就可以在SSL通信中使用安全强度更高的加密算法,实现安全性的改善。
为了解决上述问题,本发明提出一种通过二次密钥协商和动态策略建立安全网络SSL连接的方法,用于对标准SSL连接进行补充和加固,本文所涉及到的算法模块均支持公开的算法(包括软件实现或通过硬件实现),也支持自主专用算法模块,若使用专用算法模块,安全强度更高,可以有效防止中间人攻击。
本发明的技术方案如下:
一种加固网络SSL安全服务的方法,包括:
1、客户端的IE浏览器向服务器端WEB应用请求建立SSL连接;
2、客户端SSL服务模块与服务器端SSL服务模块之间,进行标准密钥协商,密钥交换成功后建立标准安全通道;
3、客户端SSL服务加固模块向服务器端发送安全连接请求;
4、服务器端的SSL服务加固模块,通过标准安全通道向客户端服务加固模块发送第二安全通道的策略数据包,该策略数据包经过机密性和完整性保护,防止数据在传输过程中被破坏或篡改;
5、客户端SSL服务加固模块,根据该策略数据包指定的策略,与服务器端的SSL服务加固模块协商建立会话密钥、第二安全通道传输算法密钥等关键信息;
6、客户端SSL服务加固模块与服务器端的SSL服务加固模块,双方发送“结束声明”消息,验证安全连接是否成功,如果成功,则建立第二安全通道,客户端IE浏览器与服务器WEB应用间可以通过该安全通道传输关键数据,否则安全连接建立失败,无法进一步进行安全通信。
7、第二安全通道建立后,客户端IE浏览器和服务器WEB应用之间,通过该通道传送个人机密信息。
所述向服务器端发送安全连接请求的客户端SSL服务加固模块,客户端可以通过标准安全通道,从服务器端下载带有SSL服务加固模块的守护程序并在客户端直接运行而实现。
客户端通过标准安全通道从服务器端下载带有SSL服务加固模块的守护程序并在客户端直接运行,形成客户端SSL服务加固模块的同时,还将安装在服务器端加密算法模块中的加密方法也下载到客户端,形成加密算法模块。
所述策略数据包,是根据客户端的特点动态生成的,该数据包包括了一段动态策略,可以对SSL参数进行加密处理,所述动态策略包括随机数、会话保护算法、随机数密文等信息;所述随机数密文,可以用标准协商过程中服务器证书加密封装成数字信封格式。
本发明在实现过程中,需要在客户端和web服务器间建立双通道,两个通道建立的时间不同,安全强度也不同。第一个建立的通道是浏览器的默认SSL模块和web服务器SSL模块之间建立的通道,该通道建立后,用于传递是否需要建立第二个通道的信息和策略,如果需要,则客户端通过该通道将服务器端的SSL加固模块守护程序下载到客户端,该加固模块的代理程序既可以采用手动安装,也可以采用浏览器访问时自动安装到客户端运行,为了体现方便易用,推荐客户端程序采用自动下载方式运行。该加固模块主要用于和服务器协商第二安全通道,第二安全通道在协商过程中按照指定算法协商,该安全强度随着算法的安全强度的提高而提高,并且双通道加强了SSL通信的安全强度。客户端还可以将安装在服务器端加密算法模块中的加密方法下载安装,形成加密算法模块。使用加密算法模块所带有的加密算法,可以更有效防止中间人攻击。
通过本发明所述的加固方法,利用策略协商技术来加强SSL通信的安全强度;利用双安全通道方式连接web服务器,一条通道传输SSL算法策略和管理信息,另一条通道传输个人机密信息,增加了破译难度。
与现有技术相比,本发明的有益效果是:本发明在不改变当前web服务架构的基础上,通过一些成本较低的扩展方案,在客户端和服务器两端各增加一个SSL服务加固模块,实现客户端与服务器端的双通道安全连接,一个安全通道用于传送SSL密钥协商策略和管理信息,另一条通道用以传输个人机密信息,在SSL协商过程中对协商参数增加了加密处理,增加了破译难度;并且可以在客户端和服务器端再各增加一个专用算法模块,来增加新的加密算法,可以进一步提高客户端浏览器和服务器端SSL连接的安全性。本发明技术复杂度低,开发成本和维护成本都很低,通用性和易用性好,并且不会带来新的安全漏洞,可以在网上的各种对安全通信要求高的万维网应用中广泛使用。
附图说明
图1为现有通用的网络SSL安全服务系统的架构图。
图2为SSL标准密钥协商阶段的6个过程。
图3为本发明的加固网络SSL安全服务系统的架构图。
图4为本发明SSL安全通道建立的工作流程示意图
图中标记:1-客户端,11-客户端浏览器,12-客户端SSL服务模块,13-客户端SSL服务加固模块,14-客户端加密方法模块,21-标准安全通道,22-第二安全通道,3-服务器端,31-服务器WEB应用,32-服务器端SSL服务模块,33-服务器端SSL服务加固模块,34-服务器端SSL加密方法模块。
具体实施方式
下面结合具体附图实例对本发明作进一步的详细描述。
图1给出了现有的通用网络SSL安全服务系统的架构图;图3给出了本发明的网络SSL安全服务系统架构图。对比两图不难看出:
在本发明系统的客户端1:除原有系统中的浏览器11和SSL服务模块12外,还增加了SSL服务加固模块13和运行于客户机上的专用加密方法模块14;
在本发明系统的服务器端3:除原有系统中的服务器WEB应用31和SSL服务模块32外,还增加了SSL服务加固模块33和运行于服务器上的专用加密方法模块34。
所述服务器SSL服务加固模块33和运行于服务器上的专用加密方法模块34所述向服务器端发送安全连接请求的客户端SSL服务加固模块13,是客户端通过标准安全通道21,从服务器端下载带有SSL服务加固模块33的守护程序并在客户端直接运行而实现的功能模块。形成客户端SSL服务加固模块13的同时,将安装在服务器端加密算法模块34中的加密方法也下载到客户端,形成加密算法模块14。
本发明SSL安全通道建立的工作流程及安全服务的方法,步骤如下:
步骤201:客户端浏览器11向服务器端WEB应用31请求建立SSL安全连接;
步骤202:客户端SSL服务模块12与服务器端SSL服务模块32之间,通过标准密钥协商过程后建立标准安全通道21;标准安全通道21建立后,浏览器和WEB服务之间可以通信;
步骤203:客户端SSL服务加固模块13向服务器端发送安全连接请求,服务器端的SSL服务加固模块33,负责处理来自客户端SSL加固模块13的连接请求,开始第二通道协商;
步骤204:服务器端SSL服务加固模块33,通过标准安全通道21向客户端服务加固模块13发送第二安全通道22的策略数据包,该策略数据包经过机密性和完整性保护,防止数据在传输过程中被破坏或篡改,然后进入步骤205所指的密钥协商过程;
步骤205:客户端SSL服务加固模块13和服务器端SSL服务加固模块33,根据策略数据包指定的策略,协商建立会话密钥、第二安全通道传输算法密钥等关键信息;
步骤206:客户端SSL服务加固模块13和服务器端SSL服务加固模块33,双方发送“结束声明”消息,验证安全连接是否成功,如果成功,则建立第二安全通道22,双方可以通过该安全通道传输关键数据,否则安全连接建立失败,无法进一步进行安全通信;
步骤207:第二安全通道22建立后,客户端浏览器和服务器应用之间通过本通道传送个人机密信息。
在本发明系统不同于图1标示的现有系统,其实施网络SSL安全服务,必须在客户端与服务器端建立双通道安全连接,其中一个安全通道用于传送SSL密钥协商策略和管理信息,第二个安全通道用以传输个人机密信息;并且可以在客户端和服务器端再各增加一个专用算法模块,来增加新的加密算法,进一步提高客户端浏览器和服务器端SSL连接的安全性。
由于守护程序自动从服务器端下载带有SSL服务加固模块13的同时将加密算法模块中的加密方法下载到客户端,形成客户端加密算法模块14,第二安全通道协商的加密方法可以是通用的加密方法,也可以是专用算法模块14中的算法,并且根据策略数据包的策略进行密钥协商,进一步增加了破译难度。
Claims (3)
1、一种加固网络SSL服务的方法,包括:
1)、客户端的IE浏览器(11)向服务器端WEB应用(31)请求建立SSL连接;
2)、客户端SSL服务模块(12)与服务器端SSL服务模块(32)之间进行标准密钥协商,密钥交换成功后建立标准安全通道(21);
3)、客户端SSL服务加固模块(13)向服务器端发送安全连接请求;
4)、服务器端的SSL服务加固模块(33),通过标准安全通道(21)向客户端服务加固模块(13)发送第二安全通道的策略数据包,该策略数据包经过机密性和完整性保护,防止数据在传输过程中被破坏或篡改;
5)、客户端SSL服务加固模块(13),根据该策略数据包指定的策略,与服务器端的SSL服务加固模块(33)协商建立会话密钥、第二安全通道传输算法密钥等关键信息;
6)、客户端SSL服务加固模块(13)与服务器端的SSL服务加固模块(33),双方发送“结束声明”消息,验证安全连接是否成功,如果成功,则建立第二安全通道(22),客户端IE浏览器(11)与服务器WEB应用(31)间可以通过该安全通道(22)传输关键数据,否则安全连接建立失败,无法进一步进行安全通信;
7)、第二安全通道(22)建立后,客户端IE浏览器(11)和服务器WEB应用(31)之间,通过该通道(22)传送个人机密信息。
2、根据权利要求1所述的加固网络SSL服务的方法,其特征在于:所述向服务器端发送安全连接请求的客户端SSL服务加固模块(13),客户端可以通过标准安全通道(21),从服务器端下载带有SSL服务加固模块(33)的守护程序并在客户端直接运行而实现。
3、根据权利要求2所述的加固网络SSL服务的方法,其特征在于:客户端通过标准安全通道(21)从服务器端下载带有SSL服务加固模块(33)的守护程序并在客户端直接运行,形成客户端SSL服务加固模块(13)的同时,将安装在服务器端加密算法模块(34)中的加密方法也下载到客户端,形成加密算法模块(14)。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810045472 CN101304310B (zh) | 2008-07-04 | 2008-07-04 | 一种加固网络ssl服务的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810045472 CN101304310B (zh) | 2008-07-04 | 2008-07-04 | 一种加固网络ssl服务的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101304310A true CN101304310A (zh) | 2008-11-12 |
| CN101304310B CN101304310B (zh) | 2010-09-15 |
Family
ID=40114040
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200810045472 Expired - Fee Related CN101304310B (zh) | 2008-07-04 | 2008-07-04 | 一种加固网络ssl服务的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101304310B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011017851A1 (zh) * | 2009-08-14 | 2011-02-17 | 上海贝尔股份有限公司 | 客户端安全访问消息存储服务器的方法和相关设备 |
| WO2012083732A1 (zh) * | 2010-12-22 | 2012-06-28 | 腾讯科技(深圳)有限公司 | 在web中传输数据时进行加解密的方法及系统 |
| CN102811224A (zh) * | 2012-08-02 | 2012-12-05 | 天津赢达信科技有限公司 | 一种ssl/tls连接的实现方法、装置及系统 |
| CN103209086A (zh) * | 2012-01-16 | 2013-07-17 | 深圳市腾讯计算机系统有限公司 | 穿透中转机实现服务器维护的方法、系统及中转机 |
| CN103457780A (zh) * | 2013-09-18 | 2013-12-18 | 浪潮电子信息产业股份有限公司 | 一种非应用代理方式管理服务器主机加固产品的方法 |
| CN104660551A (zh) * | 2013-11-20 | 2015-05-27 | 上海海典软件有限公司 | 一种基于webservice的数据库访问装置及方法 |
| CN104836792A (zh) * | 2015-03-28 | 2015-08-12 | 南阳理工学院 | 一种企业管理数据处理系统 |
| CN105282153A (zh) * | 2015-09-30 | 2016-01-27 | 北京奇虎科技有限公司 | 一种实现数据传输的方法及终端设备 |
| CN105471916A (zh) * | 2016-01-13 | 2016-04-06 | 西安电子科技大学 | 防范安全套接层潜信道密钥恢复的方法 |
| CN106572123A (zh) * | 2016-12-30 | 2017-04-19 | 哈尔滨安天科技股份有限公司 | 基于数据重定向的勒索软件防御系统及方法 |
-
2008
- 2008-07-04 CN CN 200810045472 patent/CN101304310B/zh not_active Expired - Fee Related
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011017851A1 (zh) * | 2009-08-14 | 2011-02-17 | 上海贝尔股份有限公司 | 客户端安全访问消息存储服务器的方法和相关设备 |
| WO2012083732A1 (zh) * | 2010-12-22 | 2012-06-28 | 腾讯科技(深圳)有限公司 | 在web中传输数据时进行加解密的方法及系统 |
| US8966243B2 (en) | 2010-12-22 | 2015-02-24 | Tencent Technology (Shenzhen) Company Limited | Method and system for data encryption and decryption in data transmission through the web |
| CN103209086B (zh) * | 2012-01-16 | 2015-11-18 | 深圳市腾讯计算机系统有限公司 | 穿透中转机实现服务器维护的方法、系统及中转机 |
| CN103209086A (zh) * | 2012-01-16 | 2013-07-17 | 深圳市腾讯计算机系统有限公司 | 穿透中转机实现服务器维护的方法、系统及中转机 |
| CN102811224A (zh) * | 2012-08-02 | 2012-12-05 | 天津赢达信科技有限公司 | 一种ssl/tls连接的实现方法、装置及系统 |
| CN103457780A (zh) * | 2013-09-18 | 2013-12-18 | 浪潮电子信息产业股份有限公司 | 一种非应用代理方式管理服务器主机加固产品的方法 |
| CN104660551A (zh) * | 2013-11-20 | 2015-05-27 | 上海海典软件有限公司 | 一种基于webservice的数据库访问装置及方法 |
| CN104660551B (zh) * | 2013-11-20 | 2019-02-22 | 上海海典软件有限公司 | 一种基于webservice的数据库访问装置及方法 |
| CN104836792A (zh) * | 2015-03-28 | 2015-08-12 | 南阳理工学院 | 一种企业管理数据处理系统 |
| CN105282153A (zh) * | 2015-09-30 | 2016-01-27 | 北京奇虎科技有限公司 | 一种实现数据传输的方法及终端设备 |
| CN105471916A (zh) * | 2016-01-13 | 2016-04-06 | 西安电子科技大学 | 防范安全套接层潜信道密钥恢复的方法 |
| CN105471916B (zh) * | 2016-01-13 | 2018-08-17 | 西安电子科技大学 | 防范安全套接层潜信道密钥恢复的方法 |
| CN106572123A (zh) * | 2016-12-30 | 2017-04-19 | 哈尔滨安天科技股份有限公司 | 基于数据重定向的勒索软件防御系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101304310B (zh) | 2010-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101304310B (zh) | 一种加固网络ssl服务的方法 | |
| CN108650227B (zh) | 基于数据报安全传输协议的握手方法及系统 | |
| Aboba et al. | Ppp eap tls authentication protocol | |
| WO2016107319A1 (zh) | 加载安全密钥存储硬件的方法和浏览器客户端装置 | |
| CN107113319B (zh) | 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器 | |
| US20040161110A1 (en) | Server apparatus, key management apparatus, and encrypted communication method | |
| WO2016107321A1 (zh) | 安全通信系统 | |
| CN111628976B (zh) | 一种报文处理方法、装置、设备及介质 | |
| CN103685187B (zh) | 一种按需转换ssl认证方式以实现资源访问控制的方法 | |
| US11736304B2 (en) | Secure authentication of remote equipment | |
| CN106788989B (zh) | 一种建立安全加密信道的方法及设备 | |
| US20020181701A1 (en) | Method for cryptographing information | |
| CN102932350B (zh) | 一种tls扫描的方法和装置 | |
| CN105119894A (zh) | 基于硬件安全模块的通信系统及通信方法 | |
| CN112422560A (zh) | 基于安全套接层的轻量级变电站安全通信方法及系统 | |
| CN112688945A (zh) | 一种物联网终端数据的传输方法和传输系统 | |
| CN113992427B (zh) | 基于相邻节点的数据加密发送方法及装置 | |
| CN113904767A (zh) | 一种基于ssl建立通信的系统 | |
| CN103281324A (zh) | 一种Android客户端的安全通信方法 | |
| CN111225001B (zh) | 区块链去中心化通讯方法、电子设备及系统 | |
| CN102629928B (zh) | 一种基于公共密钥的互联网彩票系统安全链路实施方法 | |
| CN113727059B (zh) | 多媒体会议终端入网认证方法、装置、设备及存储介质 | |
| CN115567195A (zh) | 安全通信方法、客户端、服务器、终端和网络侧设备 | |
| CN113922976A (zh) | 设备日志传输方法、装置、电子设备及存储介质 | |
| KR101962349B1 (ko) | 인증서 기반 통합 인증 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100915 Termination date: 20180704 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |