[发明专利]一种安全通道建立方法及其数据保护方法和安全通道秘钥更新方法

说明书

技术领域

本发明涉及一种安全通道建立方法及其数据保护方法和安全通道秘钥更新方法，特别是涉及一种适用于移动通信的安全通道建立方法及其数据保护方法和安全通道秘钥更新方法。

背景技术

现在非常普遍的一种安全通信通道建立与数据保护方法是使用安全传输层协议（TLS），用于在两个通信终端之间基于数字证书的特性，提供保密性和数据完整性。TLS 协议（RFC2246 RFC4346）处于 TCP/IP 协议与各种应用层协议之间，为数据通讯提供安全支持。

TLS 握手协议（TLS Handshake Protocol），建立在 TLS 记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等初始化协商功能。

TLS握手协议分为单向认证与双向认证。如果要保障通讯双方的数据以及业务安全，需要使用双向认证的方式，就是双方都会互相认证，也就是两者之间将会交换证书。以下仅介绍双向认证流程，基本的过程为客户端向服务器发送连接申请，在服务器端将服务器端的证书、经服务端私钥签名后的协商数据、数字签名以及协商的结果一起发送给客户端。客户端则使用服务端证书中的公钥对协商数据的签名验证成功后，将客户端证书以及使用客户端私钥签名后的密钥协商数据与数字签名回复给服务器端。而服务器端则会用客户端证书中的公钥来验证数字签名的合法性。

TLS 记录协议（TLS Record Protocol），被用来封装几种高层协议（如HTTP，SMTP等）。使用有TLS握手协议产生的安全参数，它首先将上层被传输的数据分片成便于管理的块，然后对数据计算出消息认证码MAC(如MD5或SHA),加密（如AES、DES、3DES等），最后将结果送出。接收到的数据经过解密，校验，重组后被传输到上层客户端。

数字证书（以X.509数据证书为例，以下简称证书）基本字段：版本号，标识证书的版本；序列号，标识证书的唯一整数，由证书颁发者分配的本证书的唯一标识符；颁发者，证书颁发者的可识别名（DN）；有效期，证书有效期的时间段，本字段由“Not Before”和“Not After”两项组成，它们分别由UTC时间或一般的时间表示（在RFC2459中有详细的时间表示规则）；主题，证书拥有者的可识别名，这个字段必须是非空的，除非你在证书扩展中有别名；主题公钥信息，主体的公钥（以及算法标识符）；签名算法，用于签名证书的算法标识，由对象标识符加上相关的参数组成，用于说明本证书所用的数字签名算法。例如，SHA-1和RSA的对象标识符就用来说明该数字签名是利用RSA对SHA-1摘要签名；签名，使用签名算法字段所标识的算法以及颁发者的私钥对证书内容摘要后的数据进行签名后的数据。

存在的缺陷：

1、TLS 协议及基于该协议建立通信的基本流程适合带宽较大，且对通信建立时间要求不高的通信网络，对带宽受限的网络通信，如果完全采用该协议建立安全通信通道则存在开销大，建立通信的时间长，适用性差的特点。

2、TLS协议需要在建立在相对比较稳定的网络环境下，且需要使用TCP协议的长连接方式来维持链接，如果TCP链接一旦中断，需要重新执行TLS协议中的握手协议。对于移动通信的分组域网络，由于移动终端会经常切换至不同的基站，导致链接中断。并且一般移动终端电量有限，如果使用TCP协议中的长连接方式与服务端通信，会导致移动终端用电量急剧增加，影响用户使用体验。

因此基于移动通信网分组域通信，如果要在客户端和服务端之间建立安全通信通道，则在保证安全性与用户使用体验的基础上，对TLS协议进行改造，缩短安全通信通道建立时间、减少移动终端通信数据开销，以适合具体网络通信情况。

发明内容

本发明要解决的技术问题是提供一种安全通信通道建立更快速，开销更小的在基于移动通信网分组域网络的安全通信通道建立方法及其数据保护方法和安全通道秘钥更新方法。

本发明采用的技术方案如下：一种安全通道建立方法及其数据保护方法和安全通道秘钥更新方法。

一种安全通道建立方法，具体方法步骤为：