[发明专利]基于混合密码套件中间件的数据安全传输方法与装置

说明书

技术领域

本发明涉及应用服务器中间件领域和信息安全领域，特别是涉及基于混合密码套件中间件的数据安全传输方法与装置。

背景技术

当今，客户端可以根据需要从服务端获得数据。为了提高数据在客户端与服务端间传输的安全性，数据可以通过中间件(应用服务器中间件)在客户端与服务端间安全传输。

中间件是位于应用软件之下，网络、操作系统、数据库之上的基础软件平台，为应用提供名字、事务、安全、消息、数据访问等服务并为应用提供开发、部署、运行及管理支撑环境，数据在客户端与服务端之间传输，中间件起到一个保证数据安全传输的中转站作用，客户端通过中间件从服务端获取数据的过程为：

首先，客户端与中间件建立安全连接，通过建立安全连接，在客户端与中间件端生成用于客户端与中间件对数据进行加密解密的密钥，以确保数据安全传输；然后，中间件根据客户端的请求数据从服务端获取数据，并采用密钥对此数据进行加密得到加密数据并发送给客户端；最后，客户端通过解密中间件发送的加密数据获得需要的数据。

数据在客户端与服务端之间传输的安全性依赖于客户端与中间件建立安全连接时所用的密码套件，此密码套件包括密钥交换算法、摘要算法和对称密码算法。目前，客户端与中间件建立安全连接所使用的密码套件全部采用国外标准密码算法，国外标准密码算法的密钥长度决定国外标准密码算法的安全强度，由于国外标准的密码算法的密钥长度受出口限制，导致国外标准密码算法安全强度不可控。除此之外，部分国外标准密码算法留有安全后门，导致数据传输安全性不可控。

为了实现数据在客户端与服务端之间安全传输，需要提供一种密码套件，使用此密码套件客户端与中间件建立安全连接后可以保证数据在客户端与服务端之间安全传输。

发明内容

有鉴于此，本发明的主要目的是基于混合密码套件提供一种生成密钥的方法、建立安全连接的方法和传输数据的方法，其中的混合密码套件中的密钥交换算法采用国家商用非对称密码算法，对称密码算法采用国外标准密码算法，此混合密码套件中的算法组合可以使得数据在客户端与中间件之间安全传输。

为此，本发明解决上述问题的技术方案是：提供一种基于混合密码套件中间件的安全传输数据的方法与装置，应用于中间件与客户端之间安全传输数据，包括步骤：

一种生成密钥的方法，所述生成密钥的方法应用于与客户端交互的中间件，所述中间件与所述客户端都集成含有国家商用密码算法和国外标准密码算法的混合密码套件，所述混合密码套件中的密钥交换算法采用国家商用非对称密码算法，该方法包括：

所述中间件与所述客户端协商使用所述混合密码套件中的国家商用非对称密码算法作为解密加密预主密钥的算法，所述加密预主密钥由所述客户端采用所述国家商用非对称密码算法，并使用所述中间件的公钥对预主密钥加密得到，所述预主密钥由所述客户端生成；

所述中间件采用所述国家商用非对称密码算法，并使用私钥解密所述加密预主密钥得到所述预主密钥；

所述中间件采用主密钥生成函数将第一随机数、第二随机数和所述预主密钥生成主密钥，所述主密钥生成函数是所述中间件与所述客户端约定的函数，所述第一随机数由所述客户端生成，所述第二随机数由所述中间件生成；

所述中间件采用密钥分组算法，计算所述第一随机数、所述第二随机数和所述主密钥得到密钥分组，所述密钥分组算法是所述中间件与所述客户端约定的算法；

所述中间件采用分解算法将所述密钥分组分解得到对称密钥，所述分解算法是所述中间件与所述客户端约定的算法。

优选的，所述中间件与所述客户端协商使用所述混合密码套件中的国家商用非对称密码算法作为解密加密预主密钥的算法，具体包括：

所述中间件接收所述客户端发送的密码套件列表，所述密码套件列表包括所述含有国家商用密码算法和国外标准密码算法的混合密码套件和其他密码套件；

所述中间件根据所述密码套件列表选定所述含有国家商用密码算法和国外标准密码算法的混合密码套件作为生成密钥的密码套件；

所述中间件使用所述混合密码套件中的国家商用非对称密码算法，作为解密所述加密预主密钥的算法。

本发明还提供一种生成对称密钥的装置，所述装置集成在与客户端连接的中间件上，该装置包括：

协商解密加密预主密钥算法单元，用于与所述客户端协商使用所述混合套件中的国家商用非对称密码算法作为解密加密预主密钥的算法，所述加密预主密钥由所述客户端采用所述国家商用非对称密码算法，并使用所述中间件的公钥对预主密钥加密得到，所述预主密钥由所述客户端生成；