[发明专利]安全连接创建方法以及用于创建安全连接的客户端设备

权利要求书

1.一种创建安全连接的方法，包括步骤：

服务器端、客户端各自的JSSE框架获取到各自的私钥、证书以及已签名的消息摘要；并将各自的证书、已签名的消息摘要发送给对方；

服务器端、客户端各自的JSSE框架利用接收到的证书验证接收到的已签名的消息摘要，验证成功后，服务器端的JSSE框架生成一个对称加密密钥发给客户端；服务器端、客户端双方建立数据通信，均使用该对称加密密钥加解密通信数据；

其特征在于，所述客户端使用JNI封装Windows CSP的安全服务接口函数，安全服务接口包括密钥服务接口、签名服务接口；客户端按照JCA框架自定义的密钥管理服务提供者与签名服务提供者，并将所述密钥管理服务提供者与签名服务提供者注册到JCA框架中；

所述客户端的JSSE框架获取其私钥、证书以及已签名的消息摘要的具体过程为：

客户端中的密钥管理服务提供者利用密钥服务接口，从硬件加密卡中读取客户端证书信息，并临时构造一个虚拟私钥，将客户端证书信息与虚拟私钥一同返回给客户端的JSSE框架；

客户端的JSSE框架获得证书信息，还要生成消息摘要，并向签名服务提供者传入需要签名的消息摘要；

客户端中的签名服务提供者利用签名服务接口，在硬件加密卡完成客户端私钥对消息摘要的签名，并将已签名的消息摘要至返回客户端的JSSE框架。

2.如权利要求1所述一种创建安全连接的方法，其特征在于，所述服务器端从其JSSE框架获取私钥、证书以及已签名的消息摘要的具体过程为：服务器端的JSSE框架从本地的JKS文件中获取到其私钥和证书，还要生成消息摘要，并用私钥签名该消息摘要，从而得到已签名的消息摘要。

3.如权利要求1或2所述的一种安全连接的创建方法，其特征在于，密钥服务接口将虚拟私钥返回给客户端的JSSE框架后，本地还记录该虚拟私钥与客户端证书中公钥的对应关系；

客户端的JSSE框架向签名服务提供者传入的需要签名的消息摘要后，签名服务提供者记录JSSE框架传入的需要签名的消息摘要与该虚拟私钥的对应关系，并根据所述需要签名的消息摘要与该虚拟私钥的对应关系，将需要签名的消息摘要传送至对应的硬件加密卡中进行签名。

4.如权利要求1所述的一种安全连接的创建方法，其特征在于，客户端的签名服务提供者需要将名称为“Signature.NONEwithRSA”的使用硬件实现的签名类注册到JCA框架中，客户端的签名服务接口使用Windows CSP实现的签名服务接口模块的RSA签名函数进行签名。

5.用于创建安全连接的客户端设备，其特征在于，包括JSSE框架模块、由JCA框架自定义的密钥管理服务提供者模块、由JCA框架自定义的签名服务提供者模块、由JNI封装Windows CSP的安全服务接口模块；所述安全服务接口模块包括密钥服务接口模块、签名服务接口模块；

所述JSSE框架模块用于，获取服务器端的证书以及已签名的消息摘要，用JAVA实现与服务器端的SSL连接；

所述密钥管理服务提供者模块用于，将密钥服务接口注册到JCA框架，通过密钥服务接口模块获取客户端证书信息，临时构造一个虚拟私钥，将客户端证书信息与虚拟私钥一同返回给JSSE框架；

所述签名服务提供者模块用于，将签名服务接口注册到JCA框架中，接收到JSSE框架传入的需要签名的消息摘要后，将需要签名的消息摘要传入签名服务接口模块，通过签名服务接口模块获取已签名的消息摘要，并将已签名的消息摘要返回客户端的JSSE框架；

所述密钥服务接口模块用于，在Windows本地证书库中读取硬件加密卡的证书信息；

所述签名服务接口模块用于，在硬件加密卡中完成客户端私钥对消息摘要的RSA签名。

6.如权利要求5所述用于创建安全连接的客户端设备，其特征在于，当密钥服务接口模块将虚拟私钥返回给JSSE框架后，本地还记录该虚拟私钥与客户端证书中公钥的对应关系；

所述签名服务提供者模块还用于，当JSSE框架向签名服务提供者模块传入的需要签名的消息摘要后，签名服务提供者模块记录JSSE框架传入的需要签名的消息摘要与该虚拟私钥的对应关系，并根据所述需要签名的消息摘要与该虚拟私钥的对应关系，将需要签名的消息摘要传送至签名服务接口模块中对应的硬件加密卡中进行签名。

7.如权利要求5所述用于创建安全连接的客户端设备，其特征在于，签名服务提供者模块将客户端的签名服务接口以名称“Signature.NONEwithRSA”注册到JCA框架中，而客户端的签名服务接口模块使用硬件加密卡中相同的RSA签名函数实现签名。