[发明专利]建立客户端与服务器安全连接的方法及服务器

说明书

技术领域

本发明涉及移动通讯领域，特别是涉及一种建立客户端与服务器安全连接的方法及服务器。

背景技术

在现有技术中，安全套接层(Secure Sockets Layer，简称为SSL)协议是网络通信中经常用到的一个用来保证会话安全性的标准协议。SSL协议以及其相关协议如安全电子交易协议(Secure Electronic Transaction，简称为SET)、和传输层安全(Transport Layer Security，简称为TLS)均使用了非对称加密算法、对称加密算法、以及摘要算法来实现动态会话密钥协商及会话加密，同时实现通信双方身份认证，其中，对称加密算法是加密和解密使用同一个密钥的加密方法，非对称加密算法是加密和解密使用一对密钥(由两个满足一定关系的密钥组成的密钥对)的中不同的密钥的加密方法，其中，非对称加密算法中的密钥对分为公钥和私钥，其中，公钥是指非对称加密算法中公开给大众的密钥，私钥是指非对称加密算法中保留给个人保密的密钥。

由于SSL协议及其相关协议主要是为电子商务等应用场景而设计，因此其实现比较复杂，基础设施要求高，例如，需要专门的证书管理中心等，且在应用于处在无线网络环境中的移动终端时，由于密钥协商过程相当复杂，会导致会话建立的速度相当慢，甚至会因为网络连接不稳定导致协商一直不能成功而不能实现安全通信。

发明内容

本发明提供一种建立客户端与服务器安全连接的方法及服务器，以解决现有技术中在不稳定的网络环境下客户端不能安全高效地与服务器实现加密会话的问题。

本发明提供一种建立客户端与服务器安全连接的方法，包括：服务器获取客户端发送的连接发起请求，根据连接发起请求使用非对称加密算法通过协商确定加密密钥，完成与客户端的握手；服务器使用加密密钥与客户端进行通信。

优选地，服务器根据连接发起请求使用非对称加密算法通过至少两次协商确定对称加密密钥。

优选地，连接发起请求中携带有客户端指定的当前连接所使用的加密算法；服务器根据连接发起请求使用非对称加密算法通过两次协商确定对称加密密钥具体包括：服务器根据客户端指定的加密算法随机生成第一协商公私钥对，并使用选择的约定公私钥对中的私钥0加密第一协商公私钥对中的公钥1，并将加密后的公钥1发送给客户端；客户端使用约定公私钥对中的公钥0解密并得到公钥1，并随机生成第二协商公私钥对，使用公钥1加密第二协商公私钥对中的公钥2，并将加密后的公钥2发送给服务器；服务器使用第一协商密钥对中的私钥1解密并得到公钥2；并随机生成对称加密密钥，使用公钥2将对称加密密钥进行加密，并将加密后的对称加密密钥发送给客户端；客户端使用第二协商公私钥对中的私钥2解密并得到对称加密密钥。

优选地，上述方法还包括：服务器为当前连接分配一个唯一的会话标识ID，并将会话ID记录在与当前连接相关的会话状态中；使用对称加密密钥和对称加密算法将会话ID发送给客户端；客户端使用对称加密密钥进行解密，获取会话ID，并保存会话ID；服务器在与客户端断开链接后，在预定时间内保存与客户端的会话状态。

优选地，连接发起请求中携带有上次连接的会话ID的明文、以及使用对称加密密钥加密的用户信息；当客户端断开了与服务器的连接后需要重新连接服务器时，上述方法还包括：服务器接收客户端发送的连接发起请求，并获取会话ID；服务器根据会话ID判断相应的会话状态中是否保存有相应的会话ID，如果存在相应的会话ID，则使用相应的加密密钥对连接发起请求进行解密，获取用户信息；服务器根据用户信息对客户端进行鉴权，在鉴权通过的情况下，与客户端进行会话快速恢复，直接使用相应的加密密钥与客户端进行通信。

本发明还提供了一种服务器，包括：连接模块，用于获取客户端发送的连接发起请求，根据连接发起请求使用非对称加密算法通过协商确定加密密钥，完成与客户端的握手；通信模块，用于使用加密密钥与客户端进行通信。

优选地，连接模块根据连接发起请求使用非对称加密算法通过至少两次协商确定对称加密密钥。

优选地，连接发起请求中携带有客户端指定的当前连接所使用的加密算法；连接模块具体用于：根据客户端指定的加密算法随机生成第一协商公私钥对，并使用选择的约定公私钥对中的私钥0加密第一协商公私钥对中的公钥1，并将加密后的公钥1发送给客户端；获取客户端使用公钥1加密的第二协商公私钥对中的公钥2；使用第一协商密钥对中的私钥1解密并得到公钥2；并随机生成对称加密密钥，使用公钥2将对称加密密钥进行加密，并将加密后的对称加密密钥发送给客户端。