[发明专利]一种保护安全套接层会话密钥的设备及方法

摘要

本发明公开了一种保护安全套接层会话密钥的设备及方法，通过引入一个硬件设备，确保安全套接层协议的密钥信息不以明文形式暴露在软件环境中，使得安全套接层协议通信中密钥安全性提高。本发明的设备包括会话管理模块、随机信息生成模块、认证模块、加解密运算模块和密钥存储模块。本发明的方法是基于客户端和服务器建立的安全套接层协议连接，以及分别设置于客户端和服务器的会话密钥设备实现，客户端和服务器通过设备实现管理会话、产生随机数、认证和产生、使用和存储会话密钥。本发明实现了安全套接层协议会话密钥受硬件设备保护，提升会话密钥的可信性，使得安全套接层协议更加安全可靠。

主权项

1.一种保护安全套接层会话密钥的方法，该方法基于客户端C和服务器S建立的安全套接层SSL连接，以及分别设置于客户端C和服务器S的会话密钥设备实现，其特征在于，具体步骤包括如下：(1)发起建立安全套接层连接请求：客户端C向服务器S发起建立安全套接层SSL连接请求；(2)判断会话是否可以重用：发起安全套接层SSL连接请求的客户端C，判断连接请求的会话，是否可以重新使用，若是，则执行步骤(3)，否则，执行步骤(6)；(3)导入连接会话标识ID：客户端C将会话标识ID，导入到客户端C处会话密钥设备中的会话管理模块；(4)判断会话标识ID是否存在：客户端C处会话密钥设备的会话管理模块，判断导入的会话标识ID是否存在，若是，则执行步骤(5)，否则，执行步骤(6)；(5)会话标识ID设置为导入会话标识ID：客户端C处会话密钥设备的会话管理模块，将客户问候信息ClientHello的会话标识ID设置为导入的会话标识ID；(6)会话标识ID设置为零：客户端C处会话密钥设备的会话管理模块，将客户问候信息ClientHello的会话标识ID设置为零；(7)产生随机数填充客户问候信息：客户端C处会话密钥设备的随机信息生成模块产生随机数，并将产生的随机数填充到客户问候信息ClientHello的随机数域，客户端C将包含了随机数、会话标识ID、支持的协议版本和支持的密码套件的客户问候信息ClientHello，传送到安全套接层SSL连接请求的服务器S；(8)接收客户问候信息：服务器S接收客户端C发送的客户问候信息ClientHello，并将客户问候信息ClientHello的随机数导入到服务器S处会话密钥设备的随机信息产生模块；(9)服务器S判断客户问候信息ClientHello的会话标识ID是否为零，若是，则执行步骤(10)，否则，执行步骤(11)；(10)创建新会话：服务器S处会话密钥设备的会话管理模块，创建新会话，获得新会话标识ID；(11)判断会话标识ID是否存在：(11a)服务器S将客户端C传来的客户问候信息ClientHello的会话标识ID导入服务器S处会话密钥设备的会话管理模块；(11b)服务器S处会话密钥设备的会话管理模块，判断会话密钥设备的会话管理模块中，是否存在与导入的会话标识ID相同标识的会话，若是，则执行步骤(12)，否则，执行步骤(10)；(12)重新使用会话：服务器S处会话密钥设备的会话管理模块，将导入的会话标识ID，作为本次连接的会话标识ID，重新使用该会话标识ID标识的会话，执行步骤(25)；(13)产生随机数填充服务器问候信息：服务器S处会话密钥设备的随机信息产生模块产生服务器问候信息ServerHello所需的随机数，服务器S将包含了随机数、会话标识ID、商定的协议版本和商定的密码套件的服务器问候信息ServerHello，传送到客户端C；(14)接收服务器问候信息：客户端C接收服务器S发送的服务器问候信息ServerHello，并将服务器问候ServerHello的随机数导入到服务器S处会话密钥设备的随机信息产生模块、会话标识ID导入到服务器S处会话密钥设备的会话管理模块；(15)创建新会话：客户端C处会话密钥设备的会话管理模块，创建与导入的会话标识ID相同标识的会话；(16)发送服务器证书：服务器S向客户端C发送证书，并将证书授权中心签发证书的公钥传送到客户端C；(17)接收服务器证书：客户端C接收服务器S发送的证书，并将证书授权中心签发证书的公钥，导入到客户端C处会话密钥设备的认证模块；(18)服务器身份是否合法：客户端C处会话密钥设备的认证模块，验证服务器S身份是否合法，若是，则执行步骤(19)，否则，执行步骤(20)；(19)产生加密的预主密钥：客户端C处的会话密钥设备，将客户问候信息ClientHello的随机数和服务器问候信息ServerHello的随机数、证书授权中心签发证书的公钥、密码套件，导入到客户端C处会话密钥设备的加解密运算模块，获得加密后的预主密钥，客户端C将加密后的预主密钥发送到服务器S；(20)握手失败：服务器S身份验证出错，握手失败，安全套接层SSL连接建立失败；(21)获得解密的预主密钥：服务器S接收客户端C发送的加密的预主密钥，将加密的预主密钥、会话标识ID、服务器S证书的私钥，导入到服务器S处会话密钥设备的加解密运算模块，获得解密的预主密钥；(22)获得会话密钥：客户端C和服务器S处会话密钥设备的加解密运算模块，分别计算主密钥和会话密钥，并将会话密钥保存在各自设备的密钥存储模块；(23)计算摘要：客户端C处的会话密钥设备的认证模块，计算握手信息的摘要，客户端C将摘要值发送到服务器S；(24)认证摘要：服务器S接收客户端C发送的摘要值，将接收的摘要值，导入到服务器S处会话密钥设备的认证模块，认证摘要的合法性；(25)结束握手：(25a)客户端C和服务器S分别发送改变密码规格消息；(25b)客户端C和服务器S分别发送结束消息，握手结束；(25c)握手结束后，客户端C和服务器S建立了安全套接层SSL连接，客户端C和服务器S传递应用数据。