密钥协商的方法及设备的制造方法
【技术领域】
[0001]本发明涉及通信领域,更为具体而言,涉及密钥协商的方法及设备。
【背景技术】
[0002]根据世界著名研究机构的报告,1024位RSA(以三个发明人Rivest(李维斯特)、Shamir (萨莫尔)以及Adleman (阿德曼)命名的一种公钥加密算法)密钥只应使用至2010年、2048位RSA密钥只应使用至2030年、3072位RSA密钥可使用至2030年之后。增强RSA算法的安全性的方案是增加RSA算法的密钥模长,但密钥长度的增加会导致加解密速度大大降低,硬件实现也变得越来越复杂,这给使用RSA算法的应用带来了很大的负担,从而使其应用范围日益受到制约,同时,该方案的适用周期较短,从目前情况和发展趋势看,RSA迟早会被淘汰。
[0003]因此需要在安全性和加解密速率方面更具优势的密码算法(例如国密算法)逐渐替代RSA算法。然而,目前IEdnternet Explorer,一种网页浏览器)内核浏览器(进行密钥协商的主流浏览器)只支持RSA算法,待推广更具优势的密码算法之后,使用支持该密码算法网银盾的客户将无法使用IE内核浏览器进行密钥协商,影响了用户的体验度。
【发明内容】
[0004]为解决上述技术问题,本发明提供一种密钥协商的方法及其设备。
[0005]—方面,本发明的实施方式提供了一种密钥协商的方法,所述方法包括:
[0006]客户端识别网银盾所支持的密码算法;
[0007]所述客户端调用支持所述密码算法的接口与SSL(Secure Sockets Layer,安全套接层)服务器进行密钥协商。
[0008]另一方面,本发明实施方式提供了一种客户端,所述客户端包括:
[0009]识别模块,用于识别网银盾所支持的密码算法;
[0010]密钥协商模块,用于调用支持所述识别模块所识别出的密码算法的接口与SSL月艮务器进行密钥协商。
[0011]实施本发明提供的密钥协商的方法及设备,可以实现客户端兼容不同的密码算法来进行密钥协商,优化了用户体验。
【附图说明】
[0012]图1是根据本发明实施方式的一种密钥协商的方法的流程图;
[0013]图2示出了图1所示的处理SlOO的一种实施方式;
[0014]图3是根据本发明实施方式的一种客户端的结构示意图;
[0015 ]图4示出了图3所示的识别模块100的结构示意图。
【具体实施方式】
[0016]为使本发明的实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
[0017]图1是根据本发明实施方式的一种密钥协商的方法的流程图。参见图1,所述方法包括:
[0018]S100:客户端识别网银盾所支持的密码算法。
[0019]其中,所述密码算法可以是RSA算法,或者国密算法等。
[0020]S200:客户端调用支持所述密码算法的接口与SSL服务器进行密钥协商。
[0021]在本发明的实施方式中,可以在所述客户端上预先配置所述接口。其中,所述接口可以是CSP(Cryptographic Service Provider,加密服务提供程序)接口或者SKF(国密标准接口)接口等,该CSP接口支持上述的RSA算法,该SKF接口支持上述的国密算法。
[0022]图2示出了图1所示的处理SlOO的一种实施方式,如图2所示,处理SlOO可以通过以下方式实现:
[0023]S110:客户端获取所述网银盾的算法类型信息。
[0024]在本发明的一种实施方式中,例如可以通过设备信息接口获取该算法类型信息。
[0025]S120:客户端根据获取到的算法类型信息识别所述网银盾所支持的密码算法。
[0026]例如,若该算法类型的值为0,则识别出所述网银盾所支持的密码算法为RSA算法,若该算法类型的值为I,则识别出所述网银盾所支持的密码算法为国密算法。
[0027]下面以客户端兼容RSA算法以及国密算法为例,对本发明所提供的密钥协商的方法进行具体说明。该方法包括:
[0028]步骤1:客户端识别网银盾所支持的密码算法,若识别出该网银盾所支持的密码算法为RSA算法,则执行步骤2,若识别出该网银盾所支持的密码算法为国密算法,则执行步骤3。
[0029]其中,步骤I例如可以通过下述处理实现:通过设备信息接口获取该网银盾的算法类型信息;根据获取到的算法类型信息识别该网银盾所支持的密码算法。若获取到的算法类型信息的值为0,则该网银盾支持RSA算法,若获取到的算法类型信息的值为I,则该网银盾支持国密算法。
[0030]步骤2:该客户端调用CSP接口与SSL服务器进行密钥协商。
[0031 ] 步骤3:该客户端调用SKF接口与SSL服务器进行密钥协商。
[0032]其中,该步骤2具体包括以下处理:
[0033]I)客户端将本地支持的SSL版本、加密算法、密钥交换算法、MAC(MeSSageAuthenticat1n Codes,一种哈希函数)算法等信息发送给SSL服务器供其选择;
[0034]2)SSL服务器选定本次通信采用的SSL版本和加密套件,并将数字证书一起发送给客户端;
[0035]3)客户端接收SSL服务器选定的SSL版本、加密套件,以及服务器数字证书,并校验证书合法性:
[0036]?判断SSL服务器证书是否由“受信任的根证书颁发机构”颁发;
[0037]?判断SSL服务器证书是否已经被吊销;
[0038]?判断服务器域名是否与证书域名一致。
[0039]4)客户端进行网银盾签名;
[0040]5)客户端随机生成用于后续通信的对称密钥;
[0041]6)客户端利用SSL服务器公钥将网银盾证书、网银盾签名和对称密钥加密传送给SSL服务器;
[0042]7)SSL服务器验证客户端证书是否合法:
[0043]?判断客户端证书是否由“受信任的根证书颁发机构”颁发;
[0044]?判断客户端证书是否已经被吊销。
[0045]利用客户端公钥验证网银盾签名是否正确,并根据验证结果决定SSL协商成功或失败。
[0046]该步骤3具体包括以下处理:
[0047]I)客户端将国密SSL协议和标准密码套件发送给SSL服务器;
[0048]2)SSL服务器将数字证书发送给客户端;
[0049]3)客户端校验服务器证书合法性:
[0050]?判断服务器证书是否由“受信任的根证书颁发机构”颁发;
[0051]?判断服务器证书是否已经被吊销;
[0052]?判断服务器域名是否与证书域名一致。
[0053]4)客户端进行网银盾签名;
[0054]5)客户端随机生成用于后续通信的对称密钥;
[0055]6)客户端利用SSL服务器公钥将网银盾证书、网银盾签名和对称密钥加密传送给SSL服务器;
[0056]7) SSL服务器首先验证客户端证书是否合法:
[0057]?判断客户端证书是否由“受信任的根证书颁发机构”颁发;
[0058]?判断客户端证书是否已经被吊销。
[0059]利用客户端公钥验证网银盾签名是否正确,并根据验证结果决定SSL协商成功或失败。
[0060]图3是根据本发明实施方式的一种客户端的结构示意图。参见图3,所述客户端1000包括:识别模块100以及密钥协商模块200,具体地:
[0061 ]识别模块100用于识别网银盾所支持的密码算法。
[0062]其中,所述密码算法可以是RSA算法,或者国密算法等。
[0063]密钥协商模块200用于调用支持所述识别模块100所识别出的密码算法的接口与SSL服务器进行密钥协商。
[0064]在本发明的另一种实施方式中,该客户端1000还可以包括配置模块,用于配置所述接口。其中,所述接口可以是CSP接口或者SKF接口等,该CSP接口支持上述的RSA算法,该SKF接口支持上述的国密算法。
[0065]图4示出了图3所示的识别模块100的结构示意图。参见图4,所述识别模块100可以包括:获取单元110以及识别单元120,具体地:
[0066]获取单元110用于获取所述网银盾的算法类型信息。
[0067]识别单元120用于根据所述获取单元110所获取到的算法类型信息识别所述网银盾所支持的密码算法。
[0068]实施本发明提供的密钥协商的方法及设备,可以实现客户端兼容不同的密码算法来进行密钥协商,优化了用户体验。
[0069]通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件结合硬件平台的方式来实现。基于这样的理解,本发明的技术方案对【背景技术】做出贡献的全部或者部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如R0M/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,智能手机或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
[0070]本发明说明书中使用的术语和措辞仅仅为了举例说明,并不意味构成限定。本领域技术人员应当理解,在不脱离所公开的实施方式的基本原理的前提下,对上述实施方式中的各细节可进行各种变化。因此,本发明的范围只由权利要求确定,在权利要求中,除非另有说明,所有的术语应按最宽泛合理的意思进行理解。
【主权项】
1.一种密钥协商的方法,其特征在于,所述方法包括: 客户端识别网银盾所支持的密码算法; 所述客户端调用支持所述密码算法的接口与安全套接层SSL服务器进行密钥协商。2.如权利要求1所述的方法,其特征在于,客户端识别网银盾所支持的密码算法包括: 所述客户端获取所述网银盾的算法类型信息; 所述客户端根据获取到的算法类型信息识别所述网银盾所支持的密码算法。3.如权利要求1所述的方法,其特征在于, 所述密码算法包括:RSA算法,或者国密算法。4.如权利要求3所述的方法,其特征在于, 所述支持所述密码算法的接口包括:加密服务提供程序CSP接口,或者国密标准接口SKF接口,其中,所述CSP接口支持所述RSA算法,所述SKF接口支持所述国密算法。5.如权利要求1至4中任一项所述的方法,其特征在于,所述方法还包括: 所述客户端预先配置所述接口。6.一种客户端,其特征在于,所述客户端包括: 识别模块,用于识别网银盾所支持的密码算法; 密钥协商模块,用于调用支持所述识别模块所识别出的密码算法的接口与SSL服务器进行密钥协商。7.如权利要求6所述的客户端,其特征在于,所述识别模块包括: 获取单元,用于获取所述网银盾的算法类型信息; 识别单元,用于根据所述获取单元所获取到的算法类型信息识别所述网银盾所支持的密码算法。8.如权利要求6所述的客户端,其特征在于, 所述密码算法包括:RSA算法,或者国密算法。9.如权利要求8所述的客户端,其特征在于, 所述支持所述密码算法的接口包括:加密服务提供程序CSP接口,或者国密标准接口SKF接口,其中,所述CSP接口支持所述RSA算法,所述SKF接口支持所述国密算法。10.如权利要求6至9中任一项所述的客户端,其特征在于,所述客户端还包括: 配置模块,用于配置所述接口。
【专利摘要】本发明提供一种密钥协商的方法及设备,所述方法包括:客户端识别网银盾所支持的密码算法;所述客户端调用支持所述密码算法的接口与安全套接层SSL服务器进行密钥协商。实施本发明,可以实现客户端兼容不同的密码算法来进行密钥协商,优化了用户体验。
【IPC分类】H04L9/08, H04L29/06
【公开号】CN105530090
【申请号】CN201511028895
【发明人】解敏, 廖敏飞, 吴孟晴, 李文鹏, 刘丽娟, 董思, 许腾, 谭世殊, 何伟明
【申请人】中国建设银行股份有限公司
【公开日】2016年4月27日
【申请日】2015年12月31日