CN1972306A - 安全套接层协议安全代理多重认证的实现方法 - Google Patents

Abstract

本发明涉及安全套接层协议安全代理认证技术领域，旨在提供一种安全套接层协议安全代理多重认证的实现方法。该方法包括认证方式的定义和认证过程；认证过程包括串行认证、并行认证、快速认证和复杂二重认证；本发明提供的方法通过多重认证，严格地进行身份验证，减少了攻击者对应用漏洞的攻击，确保了TCP连接的可靠性；本发明提供的方法会消耗较少的CPU资源和网络连接，减少对服务器性能的影响，减少非对称加密，缩短等待时间，减少大量用户同时请求连接所带来的延时等待和资源消耗，提高系统的并发性。

Description

安全套接层协议安全代理多重认证的实现方法

技术领域

本发明涉及安全套接层协议安全代理认证技术领域，更具体的说，是涉及一种安全套接层协议安全代理多重认证的实现方法。

背景技术

随着信息网络技术的飞速发展，电子商务特别是通过Internet进行的电子商务成为人们关注的焦点，而由于Internet的开放性和其他各种因素的影响，安全一直是电子商务发展的重点。安全套接层协议SSL(Secure Socket Layer)，是NETSCAPE公司设计的网络安全通信协议，在电子商务上获得了广泛的应用，成为Internet安全通信的标准之一。

SSL协议向基于TCP/IP协议的客户/服务器应用程序提供了身份验证、数据完整性及信息机密性等安全措施，其目标是提供可靠的数据加密和安全通信服务。SSL协议在实际应用中有多种实现途径，主要分为两类。一类是基于SSL协议模块的应用，直接将SSL功能模块和软件集成在一起，从而获得SSL安全服务支持；另一类就是使用SSL安全代理，为用户提供透明的SSL安全通信服务。

第一类应用可以结合软件内部需求灵活地完成身份认证，但是缺点也很明显：软件要额外地进行SSL应用开发。在瘦客户端电子商务应用特别是金融领域中，很多客户端系统使用Web浏览器与服务器进行交互。而大多数Web浏览器和服务器只支持40位以下的弱加密算法，不足以保证数据通信的安全性。

第二类应用恰恰能解决上述问题。SSL安全代理是以外挂程序或本地服务的方式为应用软件提供SSL加密功能。应用软件通过SSL安全代理连接网络发送数据，所有的数据加密、身份认证对用户来说是完全透明的。在客户端，当应用软件要与远端服务器建立安全连接时，先要向客户端安全代理CSP(ClientSecure Proxy)发出请求，由CSP负责与服务器建立SSL连接；在服务端，可以让服务端安全代理SSP(Server Secure Proxy)接收网络请求，完成SSL连接。连接建立后，服务端与客户端之间的数据加密、数据传输由安全代理转发完成。SSL安全代理还能为Web浏览器提供高强度(128位以上)的数据加密，可作为各种电子商务应用系统的数据安全支撑平台。安全代理的难点在于电子商务应用中的多重认证的实现。

SSL通信安全主要考虑到两方面，一是传输安全，二是身份认证。大多数SSL的安全问题，都是在握手过程中进行身份认证时产生的。攻击者利用身份识别的漏洞破坏正常的握手过程，从而获得机会窃取SSL通信中的数据。因此，每种身份认证方式必须保证其认证的严密性。

SSL握手协议提供多种认证级别，包括匿名握手、单向认证、双向认证等。SSL安全代理SSP、CSP使用数字证书进行身份认证，支持上述认证方式。

1、匿名握手：SSP、CSP都不需要验证对方身份，直接使用非对称加密算法协商加密密钥。这种方式安全系数低，SSL安全代理主要通过下面两种认证方式实现多方认证。

2、单向认证：CSP要求对SSP进行身份验证。SSP必须把证书和数字签名发送给CSP核实身份之后，CSP才能信任并使用SSP提供的公钥加密握手信息。

3、双向认证：CSP和SSP都需要进行身份验证。SSP在发送证书证明自己的身份之后，还要发送Certificate Request消息请求CSP的证书和数字签名，以此来验证CSP的身份。

在多方参与交易的电子商务模式中，普遍存在需要多重认证的情况。多重认证是指客户端与服务端在不能直接互相验证身份的情况下，借助与中间服务端进行的多级认证，从而建立起相互信任的关系。就三方交易而言，用户连接网络服务端，并选择指定后台进行电子商务，需要服务端与后台两者的共同认证。证券交易是一个典型的例子：一个股民需要连接证券ISP端，并且选择开户的证券服务端，才能完成电子证券交易过程。认证过程包括股民与证券ISP端的一重认证，股民与证券服务端的二重认证。只有两次认证完成，才能提供合法服务。

目前对于多重认证，企业网中的SSO(Single Sign-on)认证技术和安全电子交易SET是安全领域研究的热点。SSO可以让企业网用户在经过一次身份验证后，方便快捷的访问所有授权的网络资源，提高了用户使用效率和灵活性。但是，这种方式并不适应电子商务领域：

(1)基于Kerberos协议的单一登陆认证安全性不高，防止口令猜测攻击的能力很弱；

(2)参与电子商务的用户和第三方所在网络各异，不一定配置了负责授权的域服务器KDC，也无法使用基于SSL的单一登陆认证SSO；

(3)全套的SSO产品包括服务端、客户端及其硬件设施，价格昂贵，企业用户未必可以承受。

SET是在开放网络环境中的卡支付安全协议，定义了银行、商家、持卡人多方之间的报文规范。SET协议通过电子证书、数字签名和加密技术，实现了消费者持卡在网上购物与交易的BtoC模式。但是SET协议只适合用于客户具有电子钱包的场合，支持SET电子钱包的浏览器和支持SET商家的Web服务器也不多；SET支付方式和认证结构适应于卡支付，对其他支付方式是有所限制的。由于SET实现起来比较复杂，商家和银行都需要改造系统以实现互操作，因此大部分金融机构采用的都是SSL通讯协议。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种安全套接层协议安全代理多重认证的实现方法。

为了解决上述技术问题，本发明是通过以下技术方案实现的。

一种安全套接层协议安全代理多重认证的实现方法，包括认证方式的定义和认证过程；

所述认证方式的定义：对于三类通信对象：客户端A、因特网服务提供商端B和服务端C，任何客户端A都先连接因特网服务提供商端B，因特网服务提供商端B根据客户端的请求选择并连接服务端C，客户端A的敏感数据必须先通过因特网服务提供商端B，然后再由因特网服务提供商端B发送到相应的服务端C；

定义客户端A与因特网服务提供商端B之间的安全套接层协议安全通道A-B为T1，定义因特网服务提供商端B与服务端C之间的安全套接层协议安全通道B-C为T2，定义客户端A与服务端C之间的安全套接层协议安全通道A-C为T3；客户端A与因特网服务提供商端B之间、因特网服务提供商端B与服务端C之间首先需要经过一重双向认证分别建立安全套接层协议安全通道T1和T2，在客户端A与服务端C之间再继续第二重认证，建立起一条间接的安全套接层协议安全通道T3；

所述的认证过程包括以下步骤：

(1)当客户端A与因特网服务提供商端B握手完成，T1通道建立后，立即进入挂起状态，等待因特网服务提供商端B和服务端C握手结束；

(2)当因特网服务提供商端B与服务端C握手完成，T2通道建立后，因特网服务提供商端B立即向客户端A发送唤醒消息；

(3)客户端A收到唤醒消息后激活会话，同步完成；

(4)然后客户端A开始通过因特网服务提供商端B向服务端C发送握手请求，启动第二重认证过程，最终建立间接安全套接层协议通道T3。

作为一种改进，按服务端连接方式有简单二重认证方式和复杂二重认证方式两种情况；所述的简单二重认证方式是服务端只有一个，所有客户端都通过因特网服务提供商端连接同一个服务端；所述的复杂二重认证方式是服务端至少有两个，客户端需要选择其中一个服务端进行连接。

作为一种改进，在进行二重认证的过程中，有一个挂起等待的挂起状态，用于等待一重认证，定义新的消息唤醒，通知二重认证会话退出挂起状态。

作为一种改进，所述的认证过程，还包括安全套接层协议安全代理并行认证，包括以下步骤：

(1)安全代理为每一对认证双方建立两条TCP连接，分别用于第一重和第二重认证；客户端A与因特网服务提供商端B之间的第一重认证定义为S1AB、第二重认证定义为S2AB，因特网服务提供商端B和服务端C之间的第一重认证定义为S1BC、第二重认证定义为S2BC；

(2)安全代理在使用S1AB和S1BC开始第一重认证的同时，利用另两条TCP连接S2AB和S2BC提前进行三方参与的第二重认证，并行认证结束后，都进入挂起状态等待；

(3)所有认证过程结束，因特网服务提供商端B向客户端A、服务端C发送唤醒消息，退出挂起状态；

(4)如果第一重与第二重认证都通过，则信任安全套接层协议连接T3，否则立即丢弃连接并结束安全套接层协议会话；

(5)S1AB和S2AB、S1BC和S2BC分别进行消息验证，防止第三方伪造连接；如果验证通过，则完成多重认证。

作为一种改进，所述的认证过程，还包括安全套接层协议安全代理快速认证，包括以下步骤：

(1)客户端A在第一次完成二重认证后，获得一个授权许可证GT，每一个授权许可证对应因特网服务提供商端B和服务端C之间唯一的一条安全套接层协议安全通道T2；

(2)因特网服务提供商端B的授权许可证消息中包含了T2的连接序号和因特网服务提供商端B的数字签名，并用因特网服务提供商端B的私钥加密；

(3)客户端A收到授权许可证消息后核实因特网服务提供商端B的签名，用因特网服务提供商端B的公钥解开加密信息，获得T2的序号；当客户端A断开连接时，只释放与客户端A相关的连接T1和T3，T2将保留一段时间；如果在T2的生存周期内客户端A再一次请求认证，只需要将授权许可证消息用会话密钥加密后发送给因特网服务提供商端B，就可以直接获得安全套接层协议安全通道T2的使用权。

作为一种改进，所述的复杂二重认证方式，包括以下步骤：

(1)每个服务端都有轻量级目录访问协议的目录，只有客户端证书与轻量级目录访问协议的证书列表中的用户证书匹配时，才允许握手，在因特网服务提供商端和服务端进行握手之前，因特网服务提供商端把客户端的证书发给每个服务端；

(2)服务端检查轻量级目录访问协议的目录证书列表，返回接受或者拒绝的消息；

(3)因特网服务提供商端根据弱认证返回的结果选择服务端连接。

与现有技术相比，本发明的有益效果是：

(1)安全性。本发明通过多重认证，严格地进行身份验证，减少了攻击者对应用漏洞的攻击，确保了TCP连接的可靠性。

(2)高效性。本发明的认证方法会消耗较少的CPU资源和网络连接，减少对服务器性能的影响，减少非对称加密，缩短等待时间，减少大量用户同时请求连接所带来的延时等待和资源消耗，提高系统的并发性。

附图说明

图1是本发明认证过程示意图；

图2是本发明并行认证示意图；

图3是本发明快速认证示意图；

图4是本发明复杂二重认证示意图。

具体实施方法

结合附图，下面对本发明作进一步的说明。

一种安全套接层协议安全代理多重认证的实现方法，包括对认证方式的定义和认证过程：

1、对于认证方式的定义：对于三类通信对象：客户端A、ISP端B即因特网服务提供商(internet Service Provider)端B和服务端C，任何客户端A都先连接ISP端B，ISP端B根据客户端的请求选择并连接服务端C，客户端A的敏感数据必须先通过ISP端B，然后再由ISP端B发送到相应的服务端服务端C；客户端A与ISP端B之间、ISP端B与服务端C之间首先需要经过一重双向认证分别建立安全套接层协议安全通道T1即A-B、T2即B-C，在客户端A与服务端C之间再继续第二重认证，建立起一条间接的安全套接层协议安全通道T3即A-C；

按服务端连接方式可分两种情况：一种是服务端只有一个，所有客户端都通过ISP端连接同一个服务端，称之为简单二重认证方式；另一种是服务端有多个，客户端需要选择某个服务端进行连接，称之为复杂二重认证方式。如果出现了多个ISP端，也将之归入复杂二重认证方式；

在进行二重认证的过程中，增加一个挂起等待的挂起(Pending)状态，用于等待一重认证，保证多方认证的同步性，定义新的消息唤醒(WakeUp)，通知二重认证会话退出挂起(Pending)状态，继续下一步认证。

2、安全套接层协议安全代理串行认证：

当客户端A与ISP端B握手完成，建立T1(A-B)通道后，立即进入挂起(Pending)状态，等待ISP端B和服务端C握手结束；当ISP端B与服务端C握手完成，T2(B-C)通道建立后，ISP端B立即向客户端A发送唤醒(WakeUp)消息；客户端A收到唤醒(WakeUp)消息后激活会话，同步完成。然后客户端A开始通过ISP端B向服务端C发送握手请求，启动第二重认证过程，最终建立间接的安全套接层协议(SSL)通道T3(A-C)。具体流程如下：

(1)客户端A与ISP端B握手，建立T1(A-B)通道，然后客户端A进入挂起(Pending)状态，等待唤醒(WakeUp)消息；

(2)ISP端B与服务端C握手，建立T2(B-C)通道；服务端C使用同一TCP连接重新创建安全套接层协议(SSL)会话，等待连接请求；ISP端B向客户端A发送唤醒(WakeUp)消息；

(3)客户端A收到唤醒(WakeUp)消息，结束等待状态，使用原来的TCP连接新建安全套接层协议(SSL)会话，开始发送握手请求；

(4)ISP端B转发第二重认证握手信息；客户端A与服务端C握手成功，建立间接通道T3(A-C)；多重认证完成。

这种握手方式是先后建立起T1和T2通道，然后再利用通道T1和T2发起第二重握手过程，从而建立起T3通道，三次握手是串行发生的。

3、安全套接层协议安全代理并行认证：

安全代理为每一对认证双方建立两条TCP连接，分别用于第一重和第二重认证(客户端A和ISP端B之间分别为S1AB、S2AB，ISP端B和服务端C之间分别为S1BC、S2BC)。安全代理在使用S1AB和S1BC开始第一重认证的同时，利用另两条TCP连接S2AB和S2BC提前进行三方参与的第二重认证。并行认证结束后，如果第一重与第二重认证都通过，则信任全套接层协议(SSL)连接T3，否则立即丢弃连接并结束全套接层协议(SSL)会话。

由于一重认证已经建立了与目标的信任关系，因此每一对TCP连接之间需要通过简单的消息验证来检查对方是否为同一个目标。例如客户端A产生随机数和摘要并用客户端A的私钥加密后，组成验证消息{Random+[Digist(Random)]A的私钥加密}通过S1AB发送给ISP端B；ISP端B用客户端A的公钥解开随机数之后检查摘要，再用ISP端B的私钥加密通过S2AB返回给客户端A；客户端A收到消息后解密并与自己持有的随机数比较，如果相同则连接对象确实为同一ISP端，三次握手是同时进行的。具体流程如下：

(1)客户端A和ISP端B之间建立两条TCP连接S1AB和S2AB；ISP端B和服务端C之间建立两条TCP连接S1BC和S2BC；

(2)客户端A与ISP端B进行第一重认证；ISP端B与服务端C进行第一重认证；客户端A与服务端C进行第二重认证，ISP端B转发客户端A和服务端C的握手信息；认证结束后都进入挂起(Pending)状态等待；

(3)所有认证过程结束，ISP端B向客户端A和服务端C发送唤醒(WakeUp)消息，退出挂起(Pending)状态；

(4)判断第一重认证和第二重认证是否都通过。如果不是，客户端A和服务端C多重认证失败，丢弃所有连接；

(5)S1AB和S2AB、S1BC和S2BC分别进行消息验证，防止第三方伪造连接；如果验证通过，则完成多重认证。

消息验证之所以放在最后，是因为SSL通讯双方要经过第一重认证后才能交换证书。因此要求第一重认证是双向认证方式。改进的并行认证算法可以减少握手过程中用户A和服务端C的等待时间，提高了连接的并发性。

4、安全套接层协议安全代理快速认证：

瘦客户端经常使用Web浏览器作为电子商务平台。浏览器的页面刷新会导致频繁地进行SSL认证，影响整体性能。快速认证可以借助第一次完整的二重认证，减少以后认证的步骤，快速建立和服务端的信任关系。

(1)客户端A在第一次完成二重认证后，会获得一个授权许可证GT(Granting Ticket)，每一个GT对应ISP端B和服务端C之间唯一的一条SSL连接T2。

(2)ISP端B的GT消息中包含了T2的连接序号和ISP端B的数字签名，并用ISP端B的私钥加密。

(3)客户端A收到GT消息后核实ISP端B的签名，用ISP端B的公钥解开加密信息，获得T2的序号。当客户端A断开连接时，只释放与客户端A相关的连接T1和T3，T2将保留一段时间。如果在T2的生存周期内客户端A再一次请求认证，只需要将GT消息用会话密钥加密后发送给ISP端B，就可以直接获得SSL安全通道T2的使用权。

这样就省去了建立T2的认证步骤，减少认证的次数和时间。如果参与认证的中间安全代理越多，节省的时间也就越多，只需要客户端进行两次认证就能完成二重认证。

5、安全套接层协议安全代理复杂二重认证：

可以利用服务端的LDA服务器即轻量级目录访问协议(LightweightDirectory Access Protocol)服务器来筛选握手连接。LDAP运行在TCP上，很容易在服务器和ISP端程序之间建立连接。

(1)每个服务端都有LDAP目录，服务器自动维护它所信任的客户端证书列表，只有客户端证书与LDAP证书列表中的用户证书匹配时，才允许握手，在ISP端和服务端进行握手之前，ISP端把客户端的证书发给每个服务端。

(2)服务端检查LDAP目录证书列表，返回接受或者拒绝的消息，这种尝试性的认证称为弱认证。

(3)ISP端根据弱认证返回的结果选择服务端连接，从而简化成了简单二重认证的方式。

这种认证还可以结合快速认证方式为服务端、ISP端保留连接，方便下一次二重认证。这种方法并没有与每个服务端都完成握手过程，只是先通过弱认证来确定选择服务端，大大减少了握手次数和等待时间，避免了资源浪费，提高了认证成功率。

三重以上的多重认证流程与此相类似。

最后，还需要注意的是，以上列举的仅是本发明的具体实施例子。显然，本发明不限于以上实施例子，还可以有许多变形。本领域的普通技术人员能从本发明公开的内容直接导出或联想到的所有变形，均应认为是本发明的保护范围。

Claims (6)

1、一种安全套接层协议安全代理多重认证的实现方法，其特征在于，包括认证方式的定义和认证过程；

所述认证方式的定义：对于三类通信对象：客户端A、因特网服务提供商端B和服务端C，任何客户端A都先连接因特网服务提供商端B，因特网服务提供商端B根据客户端的请求选择并连接服务端C，客户端A的敏感数据必须先通过因特网服务提供商端B，然后再由因特网服务提供商端B发送到相应的服务端C；

定义客户端A与因特网服务提供商端B之间的安全套接层协议安全通道A-B为T1，定义因特网服务提供商端B与服务端C之间的安全套接层协议安全通道B-C为T2，定义客户端A与服务端C之间的安全套接层协议安全通道A-C为T3；客户端A与因特网服务提供商端B之间、因特网服务提供商端B与服务端C之间首先需要经过一重双向认证分别建立安全套接层协议安全通道T1和T2，在客户端A与服务端C之间再继续第二重认证，建立起一条间接的安全套接层协议安全通道T3；

所述的认证过程包括以下步骤：

(1)当客户端A与因特网服务提供商端B握手完成，T1通道建立后，立即进入挂起状态，等待因特网服务提供商端B和服务端C握手结束；

(2)当因特网服务提供商端B与服务端C握手完成，T2通道建立后，因特网服务提供商端B立即向客户端A发送唤醒消息；

(3)客户端A收到唤醒消息后激活会话，同步完成；

(4)然后客户端A开始通过因特网服务提供商端B向服务端C发送握手请求，启动第二重认证过程，最终建立间接安全套接层协议通道T3。

2、根据权利要求1所述的安全套接层协议安全代理多重认证的实现方法，其特征在于，按服务端连接方式有简单二重认证方式和复杂二重认证方式两种情况；所述的简单二重认证方式是服务端只有一个，所有客户端都通过因特网服务提供商端连接同一个服务端；所述的复杂二重认证方式是服务端至少有两个，客户端需要选择其中一个服务端进行连接。

3、根据权利要求2所述的安全套接层协议安全代理多重认证的实现方法，其特征在于，在进行二重认证的过程中，有一个挂起等待的挂起状态，用于等待一重认证，定义新的消息唤醒，通知二重认证会话退出挂起状态。

4、根据权利要求1所述的安全套接层协议安全代理多重认证的实现方法，其特征在于，所述的认证过程，还包括安全套接层协议安全代理并行认证，包括以下步骤：

(1)安全代理为每一对认证双方建立两条TCP连接，分别用于第一重和第二重认证；客户端A与因特网服务提供商端B之间的第一重认证定义为S1AB、第二重认证定义为S2AB，因特网服务提供商端B和服务端C之间的第一重认证定义为S1BC、第二重认证定义为S2BC；

(2)安全代理在使用S1AB和S1BC开始第一重认证的同时，利用另两条TCP连接S2AB和S2BC提前进行三方参与的第二重认证，并行认证结束后，都进入挂起状态等待；

(3)所有认证过程结束，因特网服务提供商端B向客户端A、服务端C发送唤醒消息，退出挂起状态；

(4)如果第一重与第二重认证都通过，则信任安全套接层协议连接T3，否则立即丢弃连接并结束安全套接层协议会话；

(5)S1AB和S2AB、S1BC和S2BC分别进行消息验证，防止第三方伪造连接；如果验证通过，则完成多重认证。

5、根据权利要求1所述的安全套接层协议安全代理多重认证的实现方法，其特征在于，所述的认证过程，还包括安全套接层协议安全代理快速认证，包括以下步骤：

(1)客户端A在第一次完成二重认证后，获得一个授权许可证，每一个授权许可证对应因特网服务提供商端B和服务端C之间唯一的一条安全套接层协议安全通道T2；

(2)因特网服务提供商端B的授权许可证消息中包含了T2的连接序号和因特网服务提供商端B的数字签名，并用因特网服务提供商端B的私钥加密；

(3)客户端A收到授权许可证消息后核实因特网服务提供商端B的签名，用因特网服务提供商端B的公钥解开加密信息，获得T2的序号；当客户端A断开连接时，只释放与客户端A相关的连接T1和T3，T2将保留一段时间；如果在T2的生存周期内客户端A再一次请求认证，只需要将授权许可证消息用会话密钥加密后发送给因特网服务提供商端B，就可以直接获得安全套接层协议安全通道T2的使用权。

6、根据权利要求2所述的安全套接层协议安全代理多重认证的实现方法，其特征在于，所述的复杂二重认证方式，包括以下步骤：

(1)每个服务端都有轻量级目录访问协议的目录，只有客户端证书与轻量级目录访问协议的证书列表中的用户证书匹配时，才允许握手，在因特网服务提供商端和服务端进行握手之前，因特网服务提供商端把客户端的证书发给每个服务端；

(2)服务端检查轻量级目录访问协议的目录证书列表，返回接受或者拒绝的消息；

(3)因特网服务提供商端根据弱认证返回的结果选择服务端连接。

Images