[发明专利]安全连接创建方法以及用于创建安全连接的客户端设备

说明书

技术领域

本发明涉及JSSE(Java安全套接字扩展)技术领域，尤其设计使用JSSE接口控制创建安全连接的技术。

背景技术

SSL(安全套接层，Secure Sockets Layer)是Netscape公司在1994年开发的，最初用于WEB(互联网)浏览器，为浏览器与服务器间的数据传递提供安全保障，提供了加密、来源认证和数据完整性的功能，可以被简单的看作是安全的TCP(传输控制协议)连接。现在SSL3.0得到了普遍的使用，它的改进版TLS(传输层安全)已经成为互联网标准。JSSE是Java为控制SSL连接提供的一个框架(Framework)，即JSSE是用于Java实现SSL编程的，通过使用JSSE，开发人员可以在客户端和服务器之间通过TCP/IP协议安全地传输数据。

目前JSSE已经成为J2SE(Java2标准版)1.4版本中的标准组件，支持SSL 3.0。在构建基于套接字的JAVAC/S(客户端/服务器端)程序时，可以通过添加对SSL的支持来保障数据安全和完整。

在服务器端与客户端间的SSL连接过程如下：

a、服务器端、客户端各自的JSSE框架初始化SSL上下文(SSL上下文包含创建SSL连接过程中需要的数据和方法等)；

b、服务器端、客户端各自的JSSE框架将从本地的密码保护文件(JKS文件：JavaKeyStore，用于保存私钥和证书信息)中获取到私钥和证书后，生成消息摘要(哈希值)，并用私钥签名该消息摘要；

c、服务器端、客户端各自的JSSE框架将证书、已签名的消息摘要发送给对方；

d、服务器端、客户端各自的JSSE框架利用接收到的证书验证接收到的已签名的消息摘要，验证成功后，服务器端的JSSE框架生成一个对称加密密钥发给客户端；

e、服务器端、客户端的JSSE框架使用该对称加密密钥加解密通信数据，双方建立数据通信。

在使用JSSE框架创建SSL连接并且要求进行双向验证时，服务器端和客户端在初始化SSL上下文时需要提供一个密码保护文件(JKS文件)，SSL上下文对象从密码保护文件中获取到私钥和证书后，在SSL协商过程中，双方各自将证书发送给对方，JSSE框架在SSL协商过程中，客户端使用MD5 WithSHA算法(一种哈希算法，用于进行SSL3.0客户端认证)生成一个消息摘要(消息摘要即为一个哈希值)，然后用客户端私钥对这个消息摘要哈希值进行签名(用客户端私钥对这个哈希值进行加密)，客户端将该已签名的消息摘要发送给服务器端。

服务器端使用从客户端收到的证书验证这个数字签名：服务器端从客户端的证书中得到客户端的公钥与消息摘要的哈希算法，同样使用MD5 WithSHA对收到已签名的消息摘要进行哈希运算，得到一个消息摘要，并使用公钥解密已签名的哈希值，并判断服务器端自身运算得到的消息摘要与解密后的哈希值是否一致，如是，则验证通过，如否，则验证失败，验证通过之后服务器端生成一个对称加密的通讯密钥发给客户端，之后双方就使用这个密钥加解密数据，实现双方通信数据的加密传输。

JSSE框架的原理是使用软件实现数据的加解密和完整性，这种解决方式虽然使用简单，升级容易，但对于在某些对客户端私钥安全性要求比较高的情况下，JSSE框架中用文件保存私钥的方式就不能满足需要，因为文件是比较容易复制和获取到，如对与电子商务、电子政务之类对安全性要求非常高的应用来说，软件加密显然存在安全强度不够及性能差等问题。

硬件加密卡不仅具有证书存贮、数字签名、数据加密等安全功能，能支持多种通用的不对称加密算法、对称算法和哈希算法，可以为企业管理信息系统、电子设备、电子商务、网络安全、身份识别、密钥管理等领域提供一套完整、安全的解决方案，目前很多USB key(利用USB存储加密数据)、电子钥匙等就属于这类产品。

因此，发明人经过研究发现，有必要提供一种支持使用硬件加密卡的JSSE框架技术来创建SSL连接的，以解决现有技术中存在的问题。

发明内容

本发明所要解决的技术问题是，提供一种支持使用硬件加密卡来创建SSL连接的方法，以及实现该方法的客户端设备。

本发明为解决上述技术问题所采用的技术方案是，一种创建安全连接的方法，包括：

服务器端、客户端各自的JSSE框架获取到各自的私钥、证书以及已签名的消息摘要；并将各自的证书、已签名的消息摘要发送给对方；