[发明专利]一种获取密钥的方法、系统和设备

说明书

技术领域

本发明涉及通信领域，特别涉及一种获取密钥的方法、系统和设备。

背景技术

随着Internet的迅速普及，基于Web的各种应用得到极大的发展，远程接入增多，随之 而来的是各种安全问题的凸显。Nescape公司为了解决浏览器访问互联网资源过程中出现的安 全问题，提出了SSL(SecureSocketLayer，安全套接层)协议。

基于SSL技术的VPN(VirtualPrivateNetwork，虚拟专用网)是通过SSL来保证用户远 程接入网络的安全性和可靠性，以达到像专用网络一样的数据的安全传输。目前，SSLVPN 设备从过去单一的支持Web访问安全保证，到现在针对各种应用的安全支持，已经发展成为 不可或缺的安全产品之一。

其中，SSL通信双方使用相同的密钥导出函数，以相同的预主密钥(PreMasterSecret)和 随机数为参数，计算出通信过程中所有的密钥。由于随机数以明文传输，因此，预主密钥的 安全是SSL通信过程中最关键的因素。

发明人在实现本发明时发现，现有的SSL的握手协议中的预主密钥是由SSL通信双方中 的客户端根据服务器的私钥生成并发送的，生成的形式单一，限制了SSL协议使用范围，不 利于SSL协议的扩展。

发明内容

为了实现通信双方的安全通信握手，减少证书管理和维护的开销，本发明实施例提供了 获取密钥的方法、系统和设备。所述技术方案如下：

一方面，提供了一种获取密钥的方法，服务器与客户端通过安全套接层协议SSL报文进 行交互，所述方法包括：

所述服务器和客户端进行基于标识加密算法IBE加密的安全认证的协商；

所述服务器和所述客户端协商用于所述IBE的公开参数，所述服务器接收所述客户端利 用获取的所述服务器标识和所述协商获取的公开参数而生成的所述IBE加密后的预主密钥， 利用获取的私钥对所述接收的预主密钥进行解密以获取所述预主密钥的明文；

其中，所述服务器和客户端进行基于标识加密算法IBE加密的安全认证的协商，包括：

所述客户端向所述服务器发送客户端握手请求消息ClientHello，所述ClientHello中携带 使用IBE进行认证的密码套件；

所述服务器收到所述ClientHello，判断自身支持使用IBE进行认证后，向所述客户端返 回作为所述ClientHello响应消息的服务器握手请求消息ServerHello，所述ServerHello消息中 携带所述服务器确认选择的IBE认证的密码套件；

相应地，所述服务器和所述客户端协商用于所述IBE的公开参数，所述服务器接收所述 客户端利用获取的所述服务器标识和所述协商获取的公开参数而生成的所述IBE加密后的预 主密钥，利用获取的私钥对所述接收的预主密钥进行解密以获取所述预主密钥的明文包括：

所述服务器同意使用IBE进行认证后，向所述客户端发送服务器密钥交换消息 ServerKeyExchange，所述ServerKeyExchange用于和所述客户端协商进行IBE认证所需要的 公开参数的相关信息；

所述服务器向所述客户端发送服务器握手请求完成消息ServerHelloDone，所述 ServerHelloDone用于通告客户端服务器方的认证准备工作已经完成；

所述客户端向所述服务器发送客户端密钥交换消息ClientKeyExchange，所述 ClientKeyExchange携带利用预先获取的所述服务器标识和所述协商获取的公开参数完成IBE 加密的预主密钥；

所述服务器收到所述ClientKeyExchange后，根据所述ClientKeyExchange携带的IBE加 密的预主密钥，利用预先从PKG获取的私钥对IBE加密的预主密钥进行解密，得到所述预主 密钥的明文。

本发明实施例提供的技术方案的有益效果是：

通过SSL服务器支持基于IBE的SSL握手协商，利用获取的用于所述IBE的公开参数 和私钥，解密IBE加密后的预主密钥，获取到预主密钥的明文，将IBE技术和SSL技术结合， 简化了证书管理，节省了网络应用层的建设、管理CA的成本和维护一系列数字证书的开销， 实现了通信双方的安全通信握手，并且，充分扩展了现有的SSL协议的使用范围，丰富现有 了的SSL协议中预主密钥的生成形式。