密鑰協(xié)商的方法及設(shè)備技術(shù)

本發(fā)明專利技術(shù)提供一種密鑰協(xié)商的方法及設(shè)備，所述方法包括：客戶端識別網(wǎng)銀盾所支持的密碼算法；所述客戶端調(diào)用支持所述密碼算法的接口與安全套接層SSL服務器進行密鑰協(xié)商。實施本發(fā)明專利技術(shù)，可以實現(xiàn)客戶端兼容不同的密碼算法來進行密鑰協(xié)商，優(yōu)化了用戶體驗。

【技術(shù)實現(xiàn)步驟摘要】

本專利技術(shù)涉及通信領(lǐng)域，更為具體而言，涉及密鑰協(xié)商的方法及設(shè)備。
技術(shù)介紹
根據(jù)世界著名研究機構(gòu)的報告，1024位RSA(以三個專利技術(shù)人Rivest(李維斯特)、Shamir(薩莫爾)以及Adleman(阿德曼)命名的一種公鑰加密算法)密鑰只應使用至2010年、2048位RSA密鑰只應使用至2030年、3072位RSA密鑰可使用至2030年之后。增強RSA算法的安全性的方案是增加RSA算法的密鑰模長，但密鑰長度的增加會導致加解密速度大大降低，硬件實現(xiàn)也變得越來越復雜，這給使用RSA算法的應用帶來了很大的負擔，從而使其應用范圍日益受到制約，同時，該方案的適用周期較短，從目前情況和發(fā)展趨勢看，RSA遲早會被淘汰。因此需要在安全性和加解密速率方面更具優(yōu)勢的密碼算法(例如國密算法)逐漸替代RSA算法。然而，目前IE(InternetExplorer，一種網(wǎng)頁瀏覽器)內(nèi)核瀏覽器(進行密鑰協(xié)商的主流瀏覽器)只支持RSA算法，待推廣更具優(yōu)勢的密碼算法之后，使用支持該密碼算法網(wǎng)銀盾的客戶將無法使用IE內(nèi)核瀏覽器進行密鑰協(xié)商，影響了用戶的體驗度。
技術(shù)實現(xiàn)思路
為解決上述技術(shù)問題，本專利技術(shù)提供一種密鑰協(xié)商的方法及其設(shè)備。一方面，本專利技術(shù)的實施方式提供了一種密鑰協(xié)商的方法，所述方法包括：客戶端識別網(wǎng)銀盾所支持的密碼算法；所述客戶端調(diào)用支持所述密碼算法的接口與SSL(SecureSocketsLayer，安全套接層)服務器進行密鑰協(xié)商。另一方面，本專利技術(shù)實施方式提供了一種客戶端，所述客戶端包括：識別模塊，用于識別網(wǎng)銀盾所支持的密碼算法；密鑰協(xié)商模塊，用于調(diào)用支持所述識別模塊所識別出的密碼算法的接口與SSL服務器進行密鑰協(xié)商。實施本專利技術(shù)提供的密鑰協(xié)商的方法及設(shè)備，可以實現(xiàn)客戶端兼容不同的密碼算法來進行密鑰協(xié)商，優(yōu)化了用戶體驗。附圖說明圖1是根據(jù)本專利技術(shù)實施方式的一種密鑰協(xié)商的方法的流程圖；圖2示出了圖1所示的處理S100的一種實施方式；圖3是根據(jù)本專利技術(shù)實施方式的一種客戶端的結(jié)構(gòu)示意圖；圖4示出了圖3所示的識別模塊100的結(jié)構(gòu)示意圖。具體實施方式為使本專利技術(shù)的實施例的目的、技術(shù)方案和優(yōu)點更加清楚，下面將結(jié)合附圖對本專利技術(shù)作進一步地詳細描述。圖1是根據(jù)本專利技術(shù)實施方式的一種密鑰協(xié)商的方法的流程圖。參見圖1，所述方法包括：S100：客戶端識別網(wǎng)銀盾所支持的密碼算法。其中，所述密碼算法可以是RSA算法，或者國密算法等。S200：客戶端調(diào)用支持所述密碼算法的接口與SSL服務器進行密鑰協(xié)商。在本專利技術(shù)的實施方式中，可以在所述客戶端上預先配置所述接口。其中，所述接口可以是CSP(CryptographicServiceProvider，加密服務提供程序)接口或者SKF(國密標準接口)接口等，該CSP接口支持上述的RSA算法，該SKF接口支持上述的國密算法。圖2示出了圖1所示的處理S100的一種實施方式，如圖2所示，處理S100可以通過以下方式實現(xiàn)：S110：客戶端獲取所述網(wǎng)銀盾的算法類型信息。在本專利技術(shù)的一種實施方式中，例如可以通過設(shè)備信息接口獲取該算法類型信息。S120：客戶端根據(jù)獲取到的算法類型信息識別所述網(wǎng)銀盾所支持的密碼算法。例如，若該算法類型的值為0，則識別出所述網(wǎng)銀盾所支持的密碼算法為RSA算法，若該算法類型的值為1，則識別出所述網(wǎng)銀盾所支持的密碼算法為國密算法。下面以客戶端兼容RSA算法以及國密算法為例，對本專利技術(shù)所提供的密鑰協(xié)商的方法進行具體說明。該方法包括：步驟1：客戶端識別網(wǎng)銀盾所支持的密碼算法，若識別出該網(wǎng)銀盾所支持的密碼算法為RSA算法，則執(zhí)行步驟2，若識別出該網(wǎng)銀盾所支持的密碼算法為國密算法，則執(zhí)行步驟3。其中，步驟1例如可以通過下述處理實現(xiàn)：通過設(shè)備信息接口獲取該網(wǎng)銀盾的算法類型信息；根據(jù)獲取到的算法類型信息識別該網(wǎng)銀盾所支持的密碼算法。若獲取到的算法類型信息的值為0，則該網(wǎng)銀盾支持RSA算法，若獲取到的算法類型信息的值為1，則該網(wǎng)銀盾支持國密算法。步驟2：該客戶端調(diào)用CSP接口與SSL服務器進行密鑰協(xié)商。步驟3：該客戶端調(diào)用SKF接口與SSL服務器進行密鑰協(xié)商。其中，該步驟2具體包括以下處理：1)客戶端將本地支持的SSL版本、加密算法、密鑰交換算法、MAC(MessageAuthenticationCodes，一種哈希函數(shù))算法等信息發(fā)送給SSL服務器供其選擇；2)SSL服務器選定本次通信采用的SSL版本和加密套件，并將數(shù)字證書一起發(fā)送給客戶端；3)客戶端接收SSL服務器選定的SSL版本、加密套件，以及服務器數(shù)字證書，并校驗證書合法性：●判斷SSL服務器證書是否由“受信任的根證書頒發(fā)機構(gòu)”頒發(fā)；●判斷SSL服務器證書是否已經(jīng)被吊銷；●判斷服務器域名是否與證書域名一致。4)客戶端進行網(wǎng)銀盾簽名；5)客戶端隨機生成用于后續(xù)通信的對稱密鑰；6)客戶端利用SSL服務器公鑰將網(wǎng)銀盾證書、網(wǎng)銀盾簽名和對稱密鑰加密傳送給SSL服務器；7)SSL服務器驗證客戶端證書是否合法：●判斷客戶端證書是否由“受信任的根證書頒發(fā)機構(gòu)”頒發(fā)；●判斷客戶端證書是否已經(jīng)被吊銷。利用客戶端公鑰驗證網(wǎng)銀盾簽名是否正確，并根據(jù)驗證結(jié)果決定SSL協(xié)商成功或失敗。該步驟3具體包括以下處理：1)客戶端將國密SSL協(xié)議和標準密碼套件發(fā)送給SSL服務器；2)SSL服務器將數(shù)字證書發(fā)送給客戶端；3)客戶端校驗服務器證書合法性：●判斷服務器證書是否由“受信任的根證書頒發(fā)機構(gòu)”頒發(fā)；●判斷服務器證書是否已經(jīng)被吊銷；●判斷服務器域名是否與證書域名一致。4)客戶端進行網(wǎng)銀盾簽名；5)客戶端隨機生成用于后續(xù)通信的對稱密鑰；6)客戶端利用SSL服務器公鑰將網(wǎng)銀盾證書、網(wǎng)銀盾簽名和對稱密鑰加密傳送給SSL服務器；7)SSL服務器首先驗證客戶端證書是否合法：●判斷客戶端證書是否由“受信任的根證書頒發(fā)機構(gòu)”頒發(fā)；●判斷客戶端證書是否已經(jīng)被吊銷。利用客戶端公鑰驗證網(wǎng)銀盾簽名是否正確，并根據(jù)驗證結(jié)果決定SSL協(xié)商成功或失敗。圖3是根據(jù)本專利技術(shù)實施方式的一種客戶端的結(jié)構(gòu)示意圖。參見圖3，所述客戶端1000包括：識別模塊100以及密鑰協(xié)商模塊200，具體地：識別模塊100用于識別網(wǎng)銀盾所支持的密碼算法。其中，所述密碼算法可以是RSA算法，或者國密算法等。密鑰協(xié)商模塊20本文檔來自技高網(wǎng)...

【技術(shù)保護點】
一種密鑰協(xié)商的方法，其特征在于，所述方法包括：客戶端識別網(wǎng)銀盾所支持的密碼算法；所述客戶端調(diào)用支持所述密碼算法的接口與安全套接層SSL服務器進行密鑰協(xié)商。

【技術(shù)特征摘要】
1.一種密鑰協(xié)商的方法，其特征在于，所述方法包括：
客戶端識別網(wǎng)銀盾所支持的密碼算法；
所述客戶端調(diào)用支持所述密碼算法的接口與安全套接層SSL服務器進行
密鑰協(xié)商。
2.如權(quán)利要求1所述的方法，其特征在于，客戶端識別網(wǎng)銀盾所支持的
密碼算法包括：
所述客戶端獲取所述網(wǎng)銀盾的算法類型信息；
所述客戶端根據(jù)獲取到的算法類型信息識別所述網(wǎng)銀盾所支持的密碼算
法。
3.如權(quán)利要求1所述的方法，其特征在于，
所述密碼算法包括：RSA算法，或者國密算法。
4.如權(quán)利要求3所述的方法，其特征在于，
所述支持所述密碼算法的接口包括：加密服務提供程序CSP接口，或者
國密標準接口SKF接口，其中，所述CSP接口支持所述RSA算法，所述SKF
接口支持所述國密算法。
5.如權(quán)利要求1至4中任一項所述的方法，其特征在于，所述方法還包
括：
所述客戶端預先配置所述接口。
6.一種客戶...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：解敏，廖敏飛，吳孟晴，李文鵬，劉麗娟，董思，許騰，譚世殊，何偉明，
申請(專利權(quán))人：中國建設(shè)銀行股份有限公司，
類型：發(fā)明
國別省市：北京;11