[发明专利]一种安全通道建立方法及其数据保护方法和安全通道秘钥更新方法

权利要求书

1.一种安全通道建立方法，具体方法步骤为：

步骤一、在客户端向服务端发送连接申请时，客户端首先查询是否已缓存与服务端的会话连接信息，是则使用会话连接信息中缓存的摘要算法对会话密钥进行摘要计算，将会话号与摘要结果写入连接申请包的会话ID与会话密钥摘要字段中；再查询是否已缓存服务端证书，是则将服务端的证书序列号写入连接申请包的服务端证书序列号字段中，再将客户端证书的序列号写入客户端证书序列号字段中；填写非对称加密和数字签名算法组合列表，并向服务端发送连接申请；

步骤二、服务端接收到客户端发送的连接申请数据包后，根据会话号查询是否缓存有对应的会话连接信息，是则使用会话连接信息中缓存的摘要算法对会话密钥进行摘要计算，将计算结果与客户端发送的会话密钥的摘要数据进行比对；如果对比结果一致，则将会话密钥与对称算法作为安全通信通道中数据保护的密钥与算法，并进入下一步；

步骤三、服务端向客户端发送协商结束命令，客户端收到服务端发送的协商结束命令后，整个握手流程结束；

所述步骤二中，如果对比结果不一致，则执行下述步骤流程：

A、服务端读取客户端发送的服务端证书的序列号，如果与本端使用的证书序列号一致，则不发送服务端的证书至客户端，并执行下一步流程；

B、服务端读取客户端发送的客户端证书的序列号，根据该序列号查询是否已缓存客户端证书；是则不需要客户端向服务端发送客户端的证书，并执行下述工作流程：

a、服务端读取客户端发送的算法组合列表，选择一组加密强度最高的算法组合作为以下流程中使用的加密算法组合，发送至客户端，并执行下一步流程；

b、服务端生成一组临时的非对称密钥对，使用服务端的私钥以及所述步骤a中所选择的算法组合中的非对称算法对临时公钥进行数字签名，将签名结果与临时公钥组包，向客户端发送密钥交互数据包；

c、向客户端发送连接申请结束数据包；

d、客户端收到服务端发送的连接申请响应数据包，缓存密钥协商算法组合与会话号；客户端如果收到服务端发送的服务端证书数据包，对服务端证书进行合法性验证，验证成功，则使用证书中的序列号作为标识，缓存服务端的数字证书；验证失败，则退出本流程，断开连接；客户端如果收到服务端发送的申请客户端证书的申请数据包，则将本端的证书组包成证书数据包，向服务端发送；客户端收到服务端发送的密钥协商数据包，则使用缓存的服务端证书中的公钥与所述缓存的密钥协商算法组合中的非对称算法，对服务端的临时公钥签名信息进行验证，如果不成功则退出流程，并断开链接；如果成功则执行下一步；

e、客户端随机生成一个会话密钥，作为安全通道中数据保护的密钥，使用算法组合中的对称算法作为保护算法；使用会话号作为标识，将会话密钥、对称算法与摘要算法进行缓存；使用非对称算法对会话密钥进行加密，并使用非对称算法对加密后的会话密钥进行数字签；将加密后的会话密钥以及数字签名组包，向服务端发送密钥协商数据包；

f、向服务端发送协商结束命令；

g、服务端如果收到客户端证书数据包，对客户端证书进行合法性验证，如果验证成功，使用证书中的序列号作为标识，缓存服务端的数字证书；如果验证失败，则退出本流程，断开连接；

h、服务端收到客户端发送的密钥协商数据包后，使用客户端证书中的公钥以及步骤二中所选择的算法组合中的非对称算法对签名数据进行签名验证，如果不成功则退出流程，并断开链接；如果成功则使用本端私钥与非对称算法解密会话密钥，并使用步骤二中产生的会话号作为标识，将会话密钥、对称算法与摘要算法进行缓存；并将会话密钥与对称算法名作为安全通信通道中数据保护的密钥与算法；执行步骤三。

2.根据权利要求1所述的安全通道建立方法，所述步骤B中，如果没有缓存客户端证书，则在所述步骤a和所述步骤b之间增加以下流程：服务端向客户端发送服务端证书；服务端发送获取客户端证书的请求给客户端。

3.基于权利要求1所述的安全通道建立方法的数据保护方法，具体方法为：客户端将向服务端发送业务数据时，需要先生成16 bit的流水号并进行缓存，以后每次发送数据时流水号使用缓存的流水号+1，并将新流水号重新缓存；将流水号与业务数据拼接后进行CRC32计算；产生与会话密钥相同长度的随机数作为Rn，使用对称算法、会话密钥与Rn对业务数据进行加密；将流水号、Rn、加密后的业务数据、会话号、CRC32组包发送至服务端。