CN112422530A - Tls握手过程中服务器端的密钥安全保护方法及密码设备 - Google Patents
Tls握手过程中服务器端的密钥安全保护方法及密码设备 Download PDFInfo
- Publication number
- CN112422530A CN112422530A CN202011214804.3A CN202011214804A CN112422530A CN 112422530 A CN112422530 A CN 112422530A CN 202011214804 A CN202011214804 A CN 202011214804A CN 112422530 A CN112422530 A CN 112422530A
- Authority
- CN
- China
- Prior art keywords
- key
- sending
- server
- client
- receiving
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及网络安全技术领域,具体公开了一种TLS握手过程中服务器端的密钥安全保护方法,其中,包括:向密码设备发送非对称密钥生成请求;接收所述密码设备生成的非对称密钥对,其中非对称密钥对中的私钥被所述密码设备加密;根据所述非对称密钥对获取服务器证书;与客户端建立握手关系;根据所述客户端的密钥交换参数向所述密码设备发送计算请求;接收所述密码设备反馈的密文形式的密钥单元;在所述密码设备根据所述密钥单元对应用数据加密后,将密文形式的应用数据发送至所述客户端。本发明还公开了一种密码设备。本发明提供的TLS握手过程中服务器端的密钥安全保护方法提高了握手过程中的数据安全性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种TLS握手过程中服务器端的密钥安全保护方法及一种密码设备。
背景技术
TLS(Transport Layer Security,安全传输层)协议是一种通过计算机网络提供通信安全的加密协议,TLS 协议与 SSL (Secure Sockets Layer ,安全套接字)协议在细节上存在不少差别,但一般情况下总是把 TLS 和 SSL 协议作为一个整体对待,其中TLS1.2 是目前广泛使用的 TLS 协议版本。
在实际应用中,与TLS结合最为紧密的是HTTPS(Hyper Text Transfer Protocolover Secure Socket Layer,超文本传输安全协议),HTTP(Hyper Text TransferProtocol,超文本传输协议)常被用于 Web 浏览器和网站服务器之间传递数据,但 HTTP协议总以明文方式发送内容,不提供任数据加密功能。如果攻击者截取了 Web 浏览器和网站服务器之间的传输报文,就可以直接获取报文中的敏感信息,因此 HTTP 协议不适合传输敏感内容,比如信用卡号、密码等。为了解决 HTTP 协议无法传输敏感内容这一问题,HTTPS应运而生。 HTTPS 协议通过 TLS 协议加密传输报文,实现 Web 浏览器与网站服务器之间的安全通道。 HTTP、 HTTPS 和 TLS 之间的关系如图1所示。
TLS协议基于PKI(Public Key Infrastructure,公共密钥基础建设)体系完成实体身份的认证,在一次TLS握手中,服务器利用自己的私钥做数据签名,并和数字证书一同发送给客户端,客户端可以利用数字证书验证签名的有效性,从而证实服务器的真实身份。如果服务器的私钥泄露了,攻击者可以伪造一个“李鬼”的钓鱼网站来欺骗对方,从而进行非法活动。由此可见,云服务器私钥泄露带来的风险是灾难级的。云服务器厂商乃至政府监管部门都对私钥的安全保护十分重视。
因此,如何提高TLS握手过程中的明文数据安全成为本领域技术人员亟待解决的技术问题。
发明内容
本发明提供了一种TLS握手过程中服务器端的密钥安全保护方法及一种密码设备,解决相关技术中存在的TLS握手过程中的数据安全问题。
作为本发明的第一个方面,提供一种TLS握手过程中服务器端的密钥安全保护方法,其中,包括:
向密码设备发送非对称密钥生成请求;
接收所述密码设备生成的非对称密钥对,其中非对称密钥对中的私钥被所述密码设备加密;
根据所述非对称密钥对获取服务器证书;
与客户端建立握手关系;
根据所述客户端的密钥交换参数向所述密码设备发送计算请求;
接收所述密码设备反馈的密文形式的密钥单元;
在所述密码设备根据所述密钥单元对应用数据加密后,将密文形式的应用数据发送至所述客户端。
进一步地,还包括在所述向密码设备发送非对称密钥生成请求的步骤前进行的:
对密码设备进行初始化设置。
进一步地,所述对密码设备进行初始化设置,包括:
对所述密码设备配置密钥加密密钥和IV;
待所述密码设备根据密钥加密密钥和IV进行初始化后,接收所述密码设备反馈的配置结果。
进一步地,所述与客户端建立握手关系,包括:
接收客户端发送的握手请求信息;
对所述握手请求信息进行响应,并向所述客户端反馈能够进行握手的证书资质信息;
接收所述客户端的密钥交换参数。
进一步地,所述根据所述客户端的密钥交换参数向所述密码设备发送计算请求,包括:
根据所述客户端的密钥交换参数向所述密码设备发送计算预主密钥的请求;
在接收到所述密码设备的密文形式的预主密钥后,向所述密码设备发送计算主密钥的请求;
在接收到所述密码设备的密文形式的主密钥后,向所述密码设备发送计算密钥单元的请求。
进一步地,所述在所述密码设备根据所述密钥单元对应用数据加密后,将密文形式的应用数据发送至所述客户端,包括:
向所述客户端反馈握手结束的信息;
向所述密码设备发送应用数据加密的请求;
接收所述密码设备反馈的密文形式的应用数据;
将密文形式的应用数据发送至所述客户端。
作为本发明的另一个方面,提供一种TLS握手过程中服务器端的密钥安全保护方法,其中,包括:
接收服务器端发送的非对称密钥生成请求;
生成非对称密钥对,且对非对称密钥对中的私钥进行加密;
将所述非对称密钥对发送至所述服务器端,其中非对称密钥对中的私钥为密文形式;
在所述服务器端与客户端建立握手关系并接收到客户端的密钥交换参数后,接收所述服务器端发送的计算请求;
根据所述密钥交换参数进行计算并得到密钥单元;
将所述密钥单元进行加密后发送至所述服务器端;
接收所述服务器端的应用数据加密的请求;
对所述密钥单元进行解密,并对所述应用数据进行加密,并将加密后的应用数据发送至所述服务器端。
进一步地,还包括在所述接收服务器端发送的非对称密钥生成请求的步骤前进行的:
接收所述服务器端的配置,其中包括配置密钥加密密钥和IV。
进一步地,所述根据所述密钥交换参数进行计算并得到密钥单元,包括:
接收所述服务器端发送的计算预主密钥的请求;
根据密钥交换参数以及配置的密钥加密密钥和IV计算预主密钥;
将计算得到的预主密码进行加密后发送至所述服务器端;
接收所述服务器端发送的计算主密钥的请求;
根据计算得到的预主密钥以及配置的密钥加密密钥和IV计算主密钥;
将计算得到的主密钥进行加密后发送至所述服务器端;
接收所述服务器端发送的计算密钥单元的请求;
根据计算得到主密钥以及配置的密钥加密密钥和IV计算密钥单元;
将计算得到的密钥单元进行加密后发送至所述服务器端。
作为本发明的另一个方面,提供一种密码设备,其中,包括:
第一接收模块,用于接收服务器端发送的非对称密钥生成请求;
生成模块,用于生成非对称密钥对,且对非对称密钥对中的私钥进行加密;
第一发送模块,用于将所述非对称密钥对发送至所述服务器端,其中非对称密钥对中的私钥为密文形式;
第二接收模块,用于在所述服务器端与客户端建立握手关系并接收到客户端的密钥交换参数后,接收所述服务器端发送的计算请求;
计算模块,用于根据所述密钥交换参数进行计算并得到密钥单元;
第二发送模块,用于将所述密钥单元进行加密后发送至所述服务器端;
第三接收模块,用于接收所述服务器端的应用数据加密的请求;
第三发送模块,用于对所述密钥单元进行解密,并对所述应用数据进行加密,并将加密后的应用数据发送至所述服务器端。
本发明提供的TLS握手过程中服务器端的密钥安全保护方法,在握手过程中以明文形式出现的密钥数据均通过密码设备进行了加密,从而使得服务器端出现的全是密文形式的数据,从而可以有效防止服务器被攻击时导致的数据被窃取,进而提高了握手过程中的数据安全性。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。
图1为现有技术中的HTTP、 HTTPS 和 TLS 之间的关系示意图。
图2为本发明提供的TLS握手过程中服务器端的密钥安全保护方法的流程图。
图3为本发明提供的TLS握手过程中服务器端的密钥安全保护方法的具体实施过程流程图。
具体实施方式
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互结合。下面将参考附图并结合实施例来详细说明本发明。
为了使本领域技术人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包括,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本实施例中提供了一种TLS握手过程中服务器端的密钥安全保护方法,图2是根据本发明实施例的TLS握手过程中服务器端的密钥安全保护方法的流程图,如图2所示,包括:
S110、向密码设备发送非对称密钥生成请求;
应当理解的是,此处服务器端向密码设备发送非对称密钥生成请求,以做好握手前的准备。
S120、接收所述密码设备生成的非对称密钥对,其中非对称密钥对中的私钥被所述密码设备加密;
在密码设备生成非对称密钥后,反馈至服务器端,且密码设备将非对称密钥中的私钥进行了加密,因此,在服务器端接收到的非对称密钥中,私钥是以密文形式存在的。
S130、根据所述非对称密钥对获取服务器证书;
应当理解的是,服务器端在获取到非对称密钥对之后,还需要获取服务器证书,该服务器证书的获取可以通过CA(Certificate Authority,证书认证机构)生成,其中,是根据非对称密钥对中的公钥来生成服务器证书。
S140、与客户端建立握手关系;
可以理解的是,根据TLS协议版本的规范服务器端与客户端建立握手关系。所述TLS协议版本的规范具体可以参考《RFC 5246 The Transport Layer Security (TLS)ProtocolVersion 1.2》。
S150、根据所述客户端的密钥交换参数向所述密码设备发送计算请求;
在服务器端与客户端建立握手关系后,客户端会想服务器端发送密钥交换参数,该密钥交换参数的类型与格式等与密码设备中使用到的加密算法有关,可以理解为,密码设备使用到的加密算法不同,该密钥交换参数的类型与格式也不同。密码设备根据服务器端的一些计算请求进行相应的计算,并能够将相应的计算结果反馈至服务器端,并且所有的计算结果密码设备均进行加密,即服务器端接收到的计算结果均是密文形式的。
S160、接收所述密码设备反馈的密文形式的密钥单元;
在密码设备最终计算得到密钥单元时,服务器端接收密文形式的密钥单元。
S170、在所述密码设备根据所述密钥单元对应用数据加密后,将密文形式的应用数据发送至所述客户端。
在服务器端接收到密钥单元之后,即可以进行与客户端的应用数据的交互,此时需要将应用数据通过密码设备进行加密,密码设备在对应用数据进行加密时还需要解密密钥单元,然后根据解密后的密钥单元对应用数据进行加密,并将密文形式的应用数据反馈至服务器端,服务器端将密文形式的应用数据发送至客户端。
本发明实施例提供的TLS握手过程中服务器端的密钥安全保护方法,在握手过程中以明文形式出现的密钥数据均通过密码设备进行了加密,从而使得服务器端出现的全是密文形式的数据,从而可以有效防止服务器被攻击时导致的数据被窃取,进而提高了握手过程中的数据安全性。
具体地,如图3所示,为本发明实施例提供的TLS握手过程中服务器端的密钥安全保护方法的具体实施过程流程图。
如图3所示,所述TLS握手过程中服务器端的密钥安全保护方法具体可以包括部署阶段和握手阶段,在部署阶段,服务器端首先完成密码设备密钥加密密钥和IV(表示对称密码算法中的初始向量)的初始化,初始化完成后,密码设备调用非对称密钥生成接口完成密钥生成,并对其中的私钥进行加密,最后通过CA生成服务器证书。在握手阶段,客户端发起,服务器端首先计算预主密钥密文,然后计算主密钥密文,最后计算密码单元(KeyBlock,表示的是TLS 协议中的密钥单元)密文,最后通过KeyBlock完成应用数据的加密。
具体地,还包括在所述向密码设备发送非对称密钥生成请求的步骤前进行的:
对密码设备进行初始化设置。
进一步具体地,所述对密码设备进行初始化设置,包括:
对所述密码设备配置密钥加密密钥和IV;
待所述密码设备根据密钥加密密钥和IV进行初始化后,接收所述密码设备反馈的配置结果。
上述过程即为部署阶段,服务器端需要首先对密码设备进行初始化,并配置好密钥加密密钥和IV,从而获得非对称密钥对,并为后续的认证做好准备。
具体地,所述与客户端建立握手关系,包括:
接收客户端发送的握手请求信息;
对所述握手请求信息进行响应,并向所述客户端反馈能够进行握手的证书资质信息;
接收所述客户端的密钥交换参数。
在部署阶段完成服务器证书的获取之后,即可以进入握手阶段,在握手阶段是由客户端发起的,因此服务器端接收客户端的握手请求消息,并对该握手请求消息做出响应。
例如,可以向客户端反馈获得的服务器证书,并根据一些需要反馈一些需要客户端的证书需求等信息。具体的响应信息内容可以根据需要进行添加或删除,此处不做限定。
在客户端收到服务器端的响应信息后,会向服务器端的响应信息进行再次响应,即对服务器端发送的响应信息进行回应,并确定可以进行握手。
此处的客户端的密钥交换参数主要是用于后续的应用数据加密,在此之前需要根据密钥交换参数获得密钥单元。
具体地,所述根据所述客户端的密钥交换参数向所述密码设备发送计算请求,包括:
根据所述客户端的密钥交换参数向所述密码设备发送计算预主密钥的请求;
在接收到所述密码设备的密文形式的预主密钥后,向所述密码设备发送计算主密钥的请求;
在接收到所述密码设备的密文形式的主密钥后,向所述密码设备发送计算密钥单元的请求。
服务器端向密码设备发送计算预主密码的请求,即对预主密码的计算是由密码设备进行的,且对计算后得到的预主密码进行加密,反馈至服务器端。
在计算得到预主密钥之后,还需要进行主密钥计算,同样,也是通过密码设备进行计算,且将加密后的主密码反馈至服务器端。
最后是计算密钥单元,同样是通过密码设备进行计算,密码设备计算得到密钥单元之后将加密的密钥单元反馈至服务器端。
至此,握手阶段得到密钥单元,完成了握手过程,服务器端向客户端发送完成握手过程的消息。
具体地,所述在所述密码设备根据所述密钥单元对应用数据加密后,将密文形式的应用数据发送至所述客户端,包括:
向所述客户端反馈握手结束的信息;
向所述密码设备发送应用数据加密的请求;
接收所述密码设备反馈的密文形式的应用数据;
将密文形式的应用数据发送至所述客户端。
在完成握手后,即可以根据计算得到的密钥单元对应用数据进行加密,此过程也是在密码设备上进行的,密码设备需要对密钥单元进行解密,然后对应用数据进行加密,并将加密后的应用数据反馈至服务器端,服务器端从而可以将密文形式的应用数据发送至客户端。
根据上述描述可以看出,在服务器端出现的数据均是密文形式的,即均是通过密码设备进行了加密后的,这样可以防止服务器端被攻击带来的数据安全隐患。
相应的,本发明实施例还提供一种服务器端,具体可以包括:
第一发送单元,用于向密码设备发送非对称密钥生成请求;
第一接收单元,用于接收所述密码设备生成的非对称密钥对,其中非对称密钥对中的私钥被所述密码设备加密;
获取单元,用于根据所述非对称密钥对获取服务器证书;
建立单元,用于与客户端建立握手关系;
第二发送单元,用于根据所述客户端的密钥交换参数向所述密码设备发送计算请求;
第二接收单元,用于接收所述密码设备反馈的密文形式的密钥单元;
第三发送单元,用于在所述密码设备根据所述密钥单元对应用数据加密后,将密文形式的应用数据发送至所述客户端。
本发明实施例提供的服务器端,在握手过程中以明文形式出现的密钥数据均通过密码设备进行了加密,从而使得服务器端出现的全是密文形式的数据,从而可以有效防止服务器被攻击时导致的数据被窃取,进而提高了握手过程中的数据安全性。
需要说明的是,所述服务器端的具体工作原理可以参照前文的描述,此处不再赘述。
作为本发明的另一实施例,提供一种TLS握手过程中服务器端的密钥安全保护方法,其中,包括:
接收服务器端发送的非对称密钥生成请求;
生成非对称密钥对,且对非对称密钥对中的私钥进行加密;
将所述非对称密钥对发送至所述服务器端,其中非对称密钥对中的私钥为密文形式;
在所述服务器端与客户端建立握手关系并接收到客户端的密钥交换参数后,接收所述服务器端发送的计算请求;
根据所述密钥交换参数进行计算并得到密钥单元;
将所述密钥单元进行加密后发送至所述服务器端;
接收所述服务器端的应用数据加密的请求;
对所述密钥单元进行解密,并对所述应用数据进行加密,并将加密后的应用数据发送至所述服务器端。
本发明实施例提供的TLS握手过程中服务器端的密钥安全保护方法,在握手过程中以明文形式出现的密钥数据均通过密码设备进行了加密,从而使得服务器端出现的全是密文形式的数据,从而可以有效防止服务器被攻击时导致的数据被窃取,进而提高了握手过程中的数据安全性。
需要说明的是,该实施例是以密码设备作为执行主体进行描述,即密码设备具体的工作过程,该工作过程可以参照前文的描述,此处不再赘述。
还包括在所述接收服务器端发送的非对称密钥生成请求的步骤前进行的:
具体地,接收所述服务器端的配置,其中包括配置密钥加密密钥和IV。
具体地,所述根据所述密钥交换参数进行计算并得到密钥单元,包括:
接收所述服务器端发送的计算预主密钥的请求;
根据密钥交换参数以及配置的密钥加密密钥和IV计算预主密钥;
将计算得到的预主密码进行加密后发送至所述服务器端;
接收所述服务器端发送的计算主密钥的请求;
根据计算得到的预主密钥以及配置的密钥加密密钥和IV计算主密钥;
将计算得到的主密钥进行加密后发送至所述服务器端;
接收所述服务器端发送的计算密钥单元的请求;
根据计算得到主密钥以及配置的密钥加密密钥和IV计算密钥单元;
将计算得到的密钥单元进行加密后发送至所述服务器端。
具体地,作为本发明的另一实施例,提供一种密码设备,其中,包括:
第一接收模块,用于接收服务器端发送的非对称密钥生成请求;
生成模块,用于生成非对称密钥对,且对非对称密钥对中的私钥进行加密;
第一发送模块,用于将所述非对称密钥对发送至所述服务器端,其中非对称密钥对中的私钥为密文形式;
第二接收模块,用于在所述服务器端与客户端建立握手关系并接收到客户端的密钥交换参数后,接收所述服务器端发送的计算请求;
计算模块,用于根据所述密钥交换参数进行计算并得到密钥单元;
第二发送模块,用于将所述密钥单元进行加密后发送至所述服务器端;
第三接收模块,用于接收所述服务器端的应用数据加密的请求;
第三发送模块,用于对所述密钥单元进行解密,并对所述应用数据进行加密,并将加密后的应用数据发送至所述服务器端。
本发明实施例提供的密码设备,可以对服务器端出现的明文数据进行加密,从而使得服务器端出现的全是密文形式的数据,从而可以有效防止服务器被攻击时导致的数据被窃取,进而提高了握手过程中的数据安全性。
需要说明的是,所述密码设备还包括配置模块,所述配置模块用于在前文所述的部署阶段中的密钥加密密钥和IV的配置过程中的数据存储。
本发明实施例还提供了一种通信系统,其中,所述通信系统包括:服务器端和密码设备,所述服务器端和所述密码设备通信连接,所述服务器端包括前文所述的服务器端,所述密码设备包括前文所述的密码设备。
另外,本发明所述通信系统还可以包括客户端,所述客户端与所述服务器端通信连接。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (10)
1.一种TLS握手过程中服务器端的密钥安全保护方法,其特征在于,包括:
向密码设备发送非对称密钥生成请求;
接收所述密码设备生成的非对称密钥对,其中非对称密钥对中的私钥被所述密码设备加密;
根据所述非对称密钥对获取服务器证书;
与客户端建立握手关系;
根据所述客户端的密钥交换参数向所述密码设备发送计算请求;
接收所述密码设备反馈的密文形式的密钥单元;
在所述密码设备根据所述密钥单元对应用数据加密后,将密文形式的应用数据发送至所述客户端。
2.根据权利要求1所述的TLS握手过程中服务器端的密钥安全保护方法,其特征在于,还包括在所述向密码设备发送非对称密钥生成请求的步骤前进行的:
对密码设备进行初始化设置。
3.根据权利要求2所述的TLS握手过程中服务器端的密钥安全保护方法,其特征在于,所述对密码设备进行初始化设置,包括:
对所述密码设备配置密钥加密密钥和IV;
待所述密码设备根据密钥加密密钥和IV进行初始化后,接收所述密码设备反馈的配置结果。
4.根据权利要求1所述的TLS握手过程中服务器端的密钥安全保护方法,其特征在于,所述与客户端建立握手关系,包括:
接收客户端发送的握手请求信息;
对所述握手请求信息进行响应,并向所述客户端反馈能够进行握手的证书资质信息;
接收所述客户端的密钥交换参数。
5.根据权利要求1所述的TLS握手过程中服务器端的密钥安全保护方法,其特征在于,所述根据所述客户端的密钥交换参数向所述密码设备发送计算请求,包括:
根据所述客户端的密钥交换参数向所述密码设备发送计算预主密钥的请求;
在接收到所述密码设备的密文形式的预主密钥后,向所述密码设备发送计算主密钥的请求;
在接收到所述密码设备的密文形式的主密钥后,向所述密码设备发送计算密钥单元的请求。
6.根据权利要求1所述的TLS握手过程中服务器端的密钥安全保护方法,其特征在于,所述在所述密码设备根据所述密钥单元对应用数据加密后,将密文形式的应用数据发送至所述客户端,包括:
向所述客户端反馈握手结束的信息;
向所述密码设备发送应用数据加密的请求;
接收所述密码设备反馈的密文形式的应用数据;
将密文形式的应用数据发送至所述客户端。
7.一种TLS握手过程中服务器端的密钥安全保护方法,其特征在于,包括:
接收服务器端发送的非对称密钥生成请求;
生成非对称密钥对,且对非对称密钥对中的私钥进行加密;
将所述非对称密钥对发送至所述服务器端,其中非对称密钥对中的私钥为密文形式;
在所述服务器端与客户端建立握手关系并接收到客户端的密钥交换参数后,接收所述服务器端发送的计算请求;
根据所述密钥交换参数进行计算并得到密钥单元;
将所述密钥单元进行加密后发送至所述服务器端;
接收所述服务器端的应用数据加密的请求;
对所述密钥单元进行解密,并对所述应用数据进行加密,并将加密后的应用数据发送至所述服务器端。
8.根据权利要求7所述的TLS握手过程中服务器端的密钥安全保护方法,其特征在于,还包括在所述接收服务器端发送的非对称密钥生成请求的步骤前进行的:
接收所述服务器端的配置,其中包括配置密钥加密密钥和IV。
9.根据权利要求8所述的TLS握手过程中服务器端的密钥安全保护方法,其特征在于,所述根据所述密钥交换参数进行计算并得到密钥单元,包括:
接收所述服务器端发送的计算预主密钥的请求;
根据密钥交换参数以及配置的密钥加密密钥和IV计算预主密钥;
将计算得到的预主密码进行加密后发送至所述服务器端;
接收所述服务器端发送的计算主密钥的请求;
根据计算得到的预主密钥以及配置的密钥加密密钥和IV计算主密钥;
将计算得到的主密钥进行加密后发送至所述服务器端;
接收所述服务器端发送的计算密钥单元的请求;
根据计算得到主密钥以及配置的密钥加密密钥和IV计算密钥单元;
将计算得到的密钥单元进行加密后发送至所述服务器端。
10.一种密码设备,其特征在于,包括:
第一接收模块,用于接收服务器端发送的非对称密钥生成请求;
生成模块,用于生成非对称密钥对,且对非对称密钥对中的私钥进行加密;
第一发送模块,用于将所述非对称密钥对发送至所述服务器端,其中非对称密钥对中的私钥为密文形式;
第二接收模块,用于在所述服务器端与客户端建立握手关系并接收到客户端的密钥交换参数后,接收所述服务器端发送的计算请求;
计算模块,用于根据所述密钥交换参数进行计算并得到密钥单元;
第二发送模块,用于将所述密钥单元进行加密后发送至所述服务器端;
第三接收模块,用于接收所述服务器端的应用数据加密的请求;
第三发送模块,用于对所述密钥单元进行解密,并对所述应用数据进行加密,并将加密后的应用数据发送至所述服务器端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011214804.3A CN112422530B (zh) | 2020-11-04 | 2020-11-04 | Tls握手过程中服务器端的密钥安全保护方法及密码设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011214804.3A CN112422530B (zh) | 2020-11-04 | 2020-11-04 | Tls握手过程中服务器端的密钥安全保护方法及密码设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112422530A true CN112422530A (zh) | 2021-02-26 |
| CN112422530B CN112422530B (zh) | 2023-05-30 |
Family
ID=74827511
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011214804.3A Active CN112422530B (zh) | 2020-11-04 | 2020-11-04 | Tls握手过程中服务器端的密钥安全保护方法及密码设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112422530B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117294541A (zh) * | 2023-11-27 | 2023-12-26 | 浙江深大智能科技有限公司 | 票务系统防刷票的多重加密方法、系统、设备和介质 |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090025078A1 (en) * | 2007-07-16 | 2009-01-22 | International Business Machines Corporation | Secure sharing of transport layer security session keys with trusted enforcement points |
| US20120042160A1 (en) * | 2010-08-10 | 2012-02-16 | General Instrument Corporation | System and method for cognizant transport layer security (ctls) |
| CN103581167A (zh) * | 2013-07-29 | 2014-02-12 | 华为技术有限公司 | 基于安全传输层协议的安全认证方法、设备及系统 |
| US20140310526A1 (en) * | 2013-03-07 | 2014-10-16 | Sébastien Andreas Henry Pahl | Secure session capability using public-key cryptography without access to the private key |
| US20150067338A1 (en) * | 2011-12-16 | 2015-03-05 | Akamai Technologies, Inc. | Providing forward secrecy in a terminating SSL/TLS connection proxy using ephemeral Diffie-Hellman key exchange |
| CN104486077A (zh) * | 2014-11-20 | 2015-04-01 | 中国科学院信息工程研究所 | 一种VoIP实时数据安全传输的端到端密钥协商方法 |
| CN105991569A (zh) * | 2015-02-09 | 2016-10-05 | 中国科学院信息工程研究所 | 一种tls通讯数据安全传输方法 |
| CN106533689A (zh) * | 2015-09-15 | 2017-03-22 | 阿里巴巴集团控股有限公司 | 一种在ssl/tls通信中加载数字证书的方法和装置 |
| CN106572109A (zh) * | 2016-11-08 | 2017-04-19 | 广东信鉴信息科技有限公司 | 基于tls协议实现加密通信的方法及装置 |
| CN106790090A (zh) * | 2016-12-23 | 2017-05-31 | 北京奇虎科技有限公司 | 基于ssl的通信方法、装置及系统 |
| CN109088889A (zh) * | 2018-10-16 | 2018-12-25 | 深信服科技股份有限公司 | 一种ssl加解密方法、系统及计算机可读存储介质 |
| US20190058600A1 (en) * | 2016-02-23 | 2019-02-21 | nChain Holdings Limited | Personal device security using elliptic curve cryptography for secret sharing |
| CN110048850A (zh) * | 2019-03-26 | 2019-07-23 | 重庆邮电大学 | 一种基于改进ssl/tls协议的车联网数据安全传输技术 |
| CN110519225A (zh) * | 2019-07-16 | 2019-11-29 | 如般量子科技有限公司 | 基于非对称密钥池和证书密码学的抗量子计算https通信方法和系统 |
| CN111064738A (zh) * | 2019-12-26 | 2020-04-24 | 山东方寸微电子科技有限公司 | 一种tls安全通信的方法及系统 |
-
2020
- 2020-11-04 CN CN202011214804.3A patent/CN112422530B/zh active Active
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090025078A1 (en) * | 2007-07-16 | 2009-01-22 | International Business Machines Corporation | Secure sharing of transport layer security session keys with trusted enforcement points |
| US20120042160A1 (en) * | 2010-08-10 | 2012-02-16 | General Instrument Corporation | System and method for cognizant transport layer security (ctls) |
| US20150067338A1 (en) * | 2011-12-16 | 2015-03-05 | Akamai Technologies, Inc. | Providing forward secrecy in a terminating SSL/TLS connection proxy using ephemeral Diffie-Hellman key exchange |
| US20140310526A1 (en) * | 2013-03-07 | 2014-10-16 | Sébastien Andreas Henry Pahl | Secure session capability using public-key cryptography without access to the private key |
| CN103581167A (zh) * | 2013-07-29 | 2014-02-12 | 华为技术有限公司 | 基于安全传输层协议的安全认证方法、设备及系统 |
| CN104486077A (zh) * | 2014-11-20 | 2015-04-01 | 中国科学院信息工程研究所 | 一种VoIP实时数据安全传输的端到端密钥协商方法 |
| CN105991569A (zh) * | 2015-02-09 | 2016-10-05 | 中国科学院信息工程研究所 | 一种tls通讯数据安全传输方法 |
| CN106533689A (zh) * | 2015-09-15 | 2017-03-22 | 阿里巴巴集团控股有限公司 | 一种在ssl/tls通信中加载数字证书的方法和装置 |
| US20190058600A1 (en) * | 2016-02-23 | 2019-02-21 | nChain Holdings Limited | Personal device security using elliptic curve cryptography for secret sharing |
| CN106572109A (zh) * | 2016-11-08 | 2017-04-19 | 广东信鉴信息科技有限公司 | 基于tls协议实现加密通信的方法及装置 |
| CN106790090A (zh) * | 2016-12-23 | 2017-05-31 | 北京奇虎科技有限公司 | 基于ssl的通信方法、装置及系统 |
| CN109088889A (zh) * | 2018-10-16 | 2018-12-25 | 深信服科技股份有限公司 | 一种ssl加解密方法、系统及计算机可读存储介质 |
| CN110048850A (zh) * | 2019-03-26 | 2019-07-23 | 重庆邮电大学 | 一种基于改进ssl/tls协议的车联网数据安全传输技术 |
| CN110519225A (zh) * | 2019-07-16 | 2019-11-29 | 如般量子科技有限公司 | 基于非对称密钥池和证书密码学的抗量子计算https通信方法和系统 |
| CN111064738A (zh) * | 2019-12-26 | 2020-04-24 | 山东方寸微电子科技有限公司 | 一种tls安全通信的方法及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117294541A (zh) * | 2023-11-27 | 2023-12-26 | 浙江深大智能科技有限公司 | 票务系统防刷票的多重加密方法、系统、设备和介质 |
| CN117294541B (zh) * | 2023-11-27 | 2024-04-16 | 浙江深大智能科技有限公司 | 票务系统防刷票的多重加密方法、系统、设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112422530B (zh) | 2023-05-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11323276B2 (en) | Mutual authentication of confidential communication | |
| CN107040369B (zh) | 数据传输方法、装置及系统 | |
| CN109728909B (zh) | 基于USBKey的身份认证方法和系统 | |
| EP3391620B1 (en) | Systems and methods for secure multi-party communications using a proxy | |
| CN101720540B (zh) | 客户端装置、服务器装置和确立安全会话的方法 | |
| CN111052672B (zh) | 无证书或预共享对称密钥的安全密钥传输协议 | |
| US7584505B2 (en) | Inspected secure communication protocol | |
| EP2173055A1 (en) | A method, a system, a client and a server for key negotiating | |
| WO2018236908A1 (en) | SECURE COMMUNICATIONS PROVIDING PERSISTENT CONFIDENTIALITY | |
| CN112637136A (zh) | 加密通信方法及系统 | |
| CN105959648B (zh) | 一种加密方法、装置及视频监控系统 | |
| CN113204760B (zh) | 用于软件密码模块的安全通道建立方法及系统 | |
| CN103905388A (zh) | 一种认证方法、认证装置、智能卡、服务器 | |
| CN110690969A (zh) | 一种多方协同完成双向ssl/tls认证的方法和系统 | |
| CN108199851B (zh) | 一种数据安全传输方法、装置及系统 | |
| CN112422530B (zh) | Tls握手过程中服务器端的密钥安全保护方法及密码设备 | |
| CN105471896A (zh) | 基于ssl的代理方法、装置及系统 | |
| JP4924943B2 (ja) | 認証付鍵交換システム、認証付鍵交換方法およびプログラム | |
| CN114650181B (zh) | 电子邮件加解密方法、系统、设备及计算机可读存储介质 | |
| JP2005175992A (ja) | 証明書配布システムおよび証明書配布方法 | |
| CN114707158A (zh) | 基于tee的网络通信认证方法以及网络通信认证系统 | |
| KR20170087120A (ko) | 무인증서 공개키 암호 시스템 및 수신 단말기 | |
| CN111865956A (zh) | 一种防服务劫持系统、方法、装置及存储介质 | |
| CA3210990C (en) | End to end encryption with roaming capabilities | |
| CN115150099B (zh) | 数据抗抵赖传输方法、数据发送端及数据接收端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |