[发明专利]一种安全套接层连接的建立方法、装置及系统

摘要

一种安全套接层连接的建立方法、装置及系统，本发明适用通信安全领域，提供了SSL连接的建立方法、装置及系统，包括客户端发送建立SSL连接请求消息；服务器向客户端返回响应消息；客户端加密验证请求消息密文并发送给CA，CA解密后获取第二密文，将第二密文发送给客户端；客户端从中得到第一密文，将第一密文发送给服务器；服务器对第一密文进行解密，生成SSL连接的第一密钥，使用第一密钥对生成的第一MAC进行加密，发送给客户端；客户端生成SSL连接的第二密钥，解密接收到的密文后对第一MAC验证成功后，将第二密钥设置为后续通信的主密钥，并生成第二MAC，服务器使用第一密钥对接收的第四密文进行解密并对第二MAC验证成功后，将第一密钥设置为后续通信的主密钥，以完成SSL连接的建立。

主权项

一种安全套接层连接的建立方法，其特征在于，所述方法包括下述步骤：客户端向服务器发送建立SSL连接的请求消息，所述请求消息包含生成的第一随机数；所述服务器向所述客户端返回所述请求消息的响应消息，所述响应消息包含服务器证书以及生成的第二随机数；所述客户端从所述服务器证书中获取所述服务器证书的证书颁发机构CA，获取CA证书的公钥，使用该公钥对待发送的服务器证书验证请求消息进行加密，以得到对应的验证请求消息密文，将所述验证请求消息密文发送给所述CA，所述服务器证书验证请求消息中包括所述客户端的标识、服务器的标识、第一时间戳以及生成的预备主密钥，其中，所述第一时间戳为所述响应消息生成的时间，以用于防止服务器受到重放攻击；所述CA使用其自身证书的私钥对所述验证请求消息密文进行解密，以得到客户端的标识、服务器的标识、第一时间戳以及预备主密钥，根据所述服务器的标识获取所述服务器证书的公钥，使用该公钥对所述客户端的标识、所述服务器的标识、第一时间戳、所述CA的标识以及预备主密钥进行加密，将加密后的密文记为第一密文，使用CA证书的私钥对所述第一密文、所述客户端的标识、所述服务器的标识以及CA的标识进行加密，将加密后的密文记为第二密文，将第二密文发送给所述客户端；所述客户端使用所述CA证书的公钥对所述第二密文进行解密，以得到所述服务器的标识、所述客户端的标识、CA的标识以及所述第一密文，对所述服务器的标识、所述客户端的标识以及CA的标识进行验证，并将所述第一密文发送给所述服务器；所述服务器使用服务器证书的私钥对所述第一密文进行解密，以得到所述CA的标识、第一时间戳以及预备主密钥，根据所述CA的标识对所述CA进行验证，验证成功后，将第一随机数、第二随机数以及预备主密钥作为参数，使用预设的密钥生成函数生成SSL连接的第一密钥，使用预设的加密算法根据所述第一密钥、所述请求消息、所述响应消息以及第一密文生成第一消息认证码MAC，使用所述第一密钥对所述第一消息认证码MAC和第二时间戳进行加密，将加密后的密文记为第三密文，将所述第三密文发送给所述客户端；其中，所述预设的加密算法为对称加密算法，所述第二时间戳＝所述第一时间戳+1；所述客户端接收到第三密文后，将所述第一随机数、第二随机数以及预备主密钥作为参数，使用所述密钥生成函数生成所述SSL连接的第二密钥，使用所述第二密钥对所述第三密文进行解密，如果解密成功，则对所述第一消息认证码MAC进行验证，当验证成功时，使用所述预设的加密算法根据所述第二密钥、所述请求消息、所述响应消息以及第一密文生成第二消息认证码MAC，使用所述第二密钥对所述第二消息认证码MAC进行加密，将加密后的密文记为第四密文，将所述第四密文发送给所述服务器，并将所述第二密钥设置为与所述服务器进行后续通信的主密钥；所述服务器使用所述第一密钥对所述第四密文进行解密，如果解密成功，则对所述第二消息认证码MAC进行验证，当验证成功时，将所述第一密钥设置为与所述客户端进行后续通信的主密钥，以完成所述SSL连接的建立。