[发明专利]防范安全套接层潜信道密钥恢复的方法

摘要

本发明公开了一种防范安全套接层潜信道密钥恢复的方法，主要解决现有技术中随机信息不具备可认证性的问题。其技术方案是：通过监管机构为客户端派发令牌，客户端使用令牌产生的随机信息填充客户问候信息；监管机构通过监听通信过程，获取客户端填充的随机信息并对其进行验证，以检验随机信息的产生方式是否安全及其在通信过程中是否被篡改；通过检验的协议将继续执行并建立安全连接以传输应用数据，未通过检验的协议由监管机构将其终止。本发明能够检测并终止那些具有潜信道密钥恢复隐患的安全套接层协议，有效地防范了基于安全套接层通信协议的潜信道密钥恢复，可用于对安全套接层通信协议的改进。

主权项

1.防范安全套接层潜信道密钥恢复的方法，包括：(1)监管机构向客户端派发一个令牌，该令牌具有唯一的标识ID，含有秘密信息M，监管机构保存该令牌的秘密信息M；(2)客户端填充客户问候信息并发送：(2a)客户端在使用安全套接层SSL协议建立与服务端的连接时，产生客户问候信息ClientHello，该客户问候信息包括32字节长度的随机数R；(2b)客户端根据当前时间信息生成4字节长度的时间戳T，并使用监管机构派发令牌内置的随机信息生成算法，产生客户端所需的随机信息A，时间戳T即为随机数R的前4个字节所需填充的内容，该随机信息生成算法的输入参数为令牌标识ID、时间戳T和令牌含有的秘密信息M所组成的字符串，客户端所需的随机信息A是该随机信息生成算法输出的前24字节；(2c)客户端使用令牌的标识ID以及步骤(2b)产生的时间戳T和随机信息A，对客户问候信息ClientHello中的随机数R进行填充，并向服务端发送客户问候信息ClientHello；(3)监管机构获取客户端填充的信息：(3a)监管机构对客户端和服务端之间的通信过程进行监听，获取客户端连接建立请求中的客户问候信息ClientHello；(3b)监管机构从步骤(3a)获取的客户问候信息ClientHello中，获得随机数R，并从该随机数中，获取客户端填充的时间戳T、令牌标识ID和随机信息A；(4)监管机构采用随机信息生成算法，以步骤(3b)获取的令牌标识ID和时间戳T以及保存的令牌秘密信息M所组成的字符串作为输入，计算产生检验信息B；(5)监管机构检验步骤(3b)中获取的随机信息A与步骤(4)产生的检验信息B是否相同，若相同，则执行步骤(6)，否则，执行步骤(8)；(6)客户端和服务端继续执行SSL协议，建立通信双端之间的安全连接；(7)客户端和服务端通过步骤(6)建立的安全连接传输应用数据；(8)客户端发送的连接建立请求不安全，监管机构终止该SSL协议的执行，结束此次通信。