[发明专利]TLS握手过程中服务器端的密钥安全保护方法及密码设备

说明书

本发明涉及网络安全技术领域，具体公开了一种TLS握手过程中服务器端的密钥安全保护方法，其中，包括：向密码设备发送非对称密钥生成请求；接收所述密码设备生成的非对称密钥对，其中非对称密钥对中的私钥被所述密码设备加密；根据所述非对称密钥对获取服务器证书；与客户端建立握手关系；根据所述客户端的密钥交换参数向所述密码设备发送计算请求；接收所述密码设备反馈的密文形式的密钥单元；在所述密码设备根据所述密钥单元对应用数据加密后，将密文形式的应用数据发送至所述客户端。本发明还公开了一种密码设备。本发明提供的TLS握手过程中服务器端的密钥安全保护方法提高了握手过程中的数据安全性。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种TLS握手过程中服务器端的密钥安全保护方法及一种密码设备。

背景技术

TLS（Transport Layer Security，安全传输层）协议是一种通过计算机网络提供通信安全的加密协议，TLS 协议与 SSL （Secure Sockets Layer ，安全套接字）协议在细节上存在不少差别，但一般情况下总是把 TLS 和 SSL 协议作为一个整体对待，其中TLS1.2 是目前广泛使用的 TLS 协议版本。

在实际应用中，与TLS结合最为紧密的是HTTPS（Hyper Text Transfer Protocolover Secure Socket Layer，超文本传输安全协议），HTTP（Hyper Text TransferProtocol，超文本传输协议）常被用于 Web 浏览器和网站服务器之间传递数据，但 HTTP协议总以明文方式发送内容，不提供任数据加密功能。如果攻击者截取了 Web 浏览器和网站服务器之间的传输报文，就可以直接获取报文中的敏感信息，因此 HTTP 协议不适合传输敏感内容，比如信用卡号、密码等。为了解决 HTTP 协议无法传输敏感内容这一问题，HTTPS应运而生。 HTTPS 协议通过 TLS 协议加密传输报文，实现 Web 浏览器与网站服务器之间的安全通道。 HTTP、 HTTPS 和 TLS 之间的关系如图1所示。

TLS协议基于PKI（Public Key Infrastructure，公共密钥基础建设）体系完成实体身份的认证，在一次TLS握手中，服务器利用自己的私钥做数据签名，并和数字证书一同发送给客户端，客户端可以利用数字证书验证签名的有效性，从而证实服务器的真实身份。如果服务器的私钥泄露了，攻击者可以伪造一个“李鬼”的钓鱼网站来欺骗对方，从而进行非法活动。由此可见，云服务器私钥泄露带来的风险是灾难级的。云服务器厂商乃至政府监管部门都对私钥的安全保护十分重视。

因此，如何提高TLS握手过程中的明文数据安全成为本领域技术人员亟待解决的技术问题。

发明内容

本发明提供了一种TLS握手过程中服务器端的密钥安全保护方法及一种密码设备，解决相关技术中存在的TLS握手过程中的数据安全问题。

作为本发明的第一个方面，提供一种TLS握手过程中服务器端的密钥安全保护方法，其中，包括：

向密码设备发送非对称密钥生成请求；

接收所述密码设备生成的非对称密钥对，其中非对称密钥对中的私钥被所述密码设备加密；

根据所述非对称密钥对获取服务器证书；

与客户端建立握手关系；

根据所述客户端的密钥交换参数向所述密码设备发送计算请求；

接收所述密码设备反馈的密文形式的密钥单元；

在所述密码设备根据所述密钥单元对应用数据加密后，将密文形式的应用数据发送至所述客户端。

进一步地，还包括在所述向密码设备发送非对称密钥生成请求的步骤前进行的：

对密码设备进行初始化设置。