一种密码套件推选方法、装置、电子设备和存储介质与流程

1.本发明涉及信息安全领域，具体涉及一种密码套件推选方法、装置、电子设备和存储介质。


背景技术：

2.在实际应用时，要使客户端与服务端成功握手以实现通讯的前提是需要双方协商使用双方都支持的且相同的一个密码套件；不同的密码套件所使用的加密方式也不相同，例如有密钥散列、对称加密、非对称加密和数字签名等，不同的加密方式之间优缺点也不相同，例如某些加密方式安全性高但处理速度慢，又例如某些加密方式处理速度快但安全性低，以致使用不同的密码套件建立连接时，其安全性和处理速度等各方面存在差异；此外，客户端和服务端一般都会支持多种的密码套件，因此双方都支持的密码套件一般也会有多个供用户选择使用，但因为并非所有用户都能清楚了解密码套件之间的差异，所以大部分时候密码套件都是由系统自动选取的，然而自动选取的密码套件并不一定切合用户的需求，例如用户与服务端建立连接的目的是为了进行资金交易，若选取的密码套件安全性不足，则存在较大的交易风险；又例如用户与服务端建立连接的目的是为了进行资料检索，若选取的密码套件处理速度太慢，则影响正常浏览。
3.因此，现有技术有待改进和发展。


技术实现要素：

4.本发明的目的在于提供一种密码套件推选方法、装置、电子设备和存储介质，能够根据用户需求调整密码套件的优先级顺序，便于用户选取合适的密码套件。
5.第一方面，本技术提供一种密码套件推选方法，所述密码套件推选方法包括以下步骤：s1.获取第一列表，所述第一列表包含服务端和客户端均支持的密码套件的套件信息；s2.获取认定信息；s3.根据所述认定信息判断所述服务端的所属性质；s4.根据所述服务端的所属性质调整所述第一列表中所有所述套件信息的排序，并生成第二列表；s5.将所述第二列表发送至客户端。
6.结合服务端的性质对客户端和服务端同时能够支持的密码套件的套件信息进行优先级排序，有利于方便用户选择。
7.进一步的，步骤s1中的具体步骤包括：s11.获取所述服务端的密码套件列表并作为第三列表；s12.获取所述客户端的密码套件列表并作为第四列表；s13.对比所述第三列表和所述第四列表，筛选出相同的密码套件；
s14.将所述相同的密码套件对应的所述套件信息整合为所述第一列表。
8.通过对比套件信息筛选出相同套件信息的密码套件并整合为第一列表，其过程简单且快捷。
9.进一步的，步骤s2中的具体步骤包括：接收所述客户端发送的所述认定信息，所述认定信息包括服务端性质标签。
10.由用户根据自身需求自主进行选择，则能够直接了解到用户需求，从而根据用户需求调整各个密码套件的显示顺序。
11.进一步的，步骤s3中的具体步骤包括：根据所述服务端性质标签判断所述服务端的所属性质。
12.进一步的，步骤s2中的具体步骤包括：接收所述服务端发送的认定信息，所述认定信息包括服务端性质证明文件。
13.对于无法自主进行准确选择的用户，则可以通过从服务端获取服务端性质证明文件从而判别服务端的所属性质，根据服务端的所属性质判断用户需求，从而提供符合用户需求的各个密码套件的显示顺序，便于用户做出选择。
14.进一步的，步骤s3中的具体步骤包括：根据所述服务端性质证明文件判断所述服务端的所属性质。
15.进一步的，所述服务端的所属性质包括经营性质和非经营性质；步骤s4中的具体步骤包括：对于经营性质的服务端，按所述密码套件的安全性从高到低对所述第一列表中所有所述套件信息进行重新排序，得到所述第二列表；对于非经营性质的服务端，按所述密码套件的处理速度从高到低对所述第一列表中所有所述套件信息进行重新排序，得到所述第二列表。
16.第二方面，本发明还提供了一种密码套件推选装置，所述密码套件推选装置包括：第一获取模块，用于获取第一列表，所述第一列表包含服务端和客户端均支持的密码套件的套件信息；第二获取模块，用于获取认定信息；判断模块，用于根据所述认定信息判断所述服务端的所属性质；生成模块，用于根据所述服务端的所属性质调整所述第一列表中所有所述套件信息的排序，并生成第二列表；发送模块，用于将所述第二列表发送至客户端。
17.通过判断服务端的所属性质以获取用户需求，根据用户需求调整各个密码套件的显示顺序，方便用户了解各个密码套件的差异，有助于用户选用合适自身的密码套件。
18.第三方面，本发明提供了一种电子设备，包括处理器以及存储器，所述存储器存储有计算机可读取指令，当所述计算机可读取指令由所述处理器执行时，运行如上述密码套件推选方法中的步骤。
19.第四方面，本发明提供了一种存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时运行如上述密码套件推选方法中的步骤。
20.由上可知，本技术通过获取认定信息分析判别服务端的所属性质，推断用户的需求，以调整各个密码套件对应的套件信息的先后顺序，方便用户根据自身需求快速选取密
码套件，为用户提供更安全或更快速的通讯体验。
附图说明
21.图1为本技术实施例提供的密码套件推选方法的一种流程图。
22.图2为本技术实施例提供的密码套件推选装置的一种结构示意图。
23.图3为本技术实施例提供的电子设备的结构示意图。
具体实施方式
24.下面将结合本技术实施例中附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本技术实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本技术的实施例的详细描述并非旨在限制要求保护的本技术的范围，而是仅仅表示本技术的选定实施例。基于本技术的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本技术保护的范围。
25.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本技术的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
26.第一方面，在某些实施例中，一种密码套件推选方法，包括步骤：s1.获取第一列表，第一列表包含服务端和客户端均支持的密码套件的套件信息；s2.获取认定信息；s3.根据认定信息判断服务端的所属性质；s4.根据服务端的所属性质调整第一列表中所有套件信息的排序，并生成第二列表；s5.将第二列表发送至客户端。
27.密码套件是传输层安全（tls）/安全套接字层（ssl）网络协议中的一个概念。在tls 1.3之前，密码套件的名称是以协商安全设置时使用的身份验证、加密、消息认证码和密钥交换/加密算法组成，而因为不同的密钥交换算法其安全性和速度等均有差异，例如密钥散列算法，采用md5或者sha1等散列算法，对明文进行加密，其中采用md5的散列算法相比于采用sha1的散列算法其安全性较低，但速度更快；又例如对称加密算法，对称加密算法相比于密钥散列算法其加密速度更快、加密效率高，安全且可认证，但密钥过多以致难以维护；再例如非对称加密算法，非对称加密算法相比于对称加密算法其安全性更高，但加密和解密的时间更长以致速度较慢，一般用于对少量数据进行加密；再例如数字签名算法，数字签名算法具有运作方式简便、成本低廉，防伪造、防篡改和防抵赖等优点，但却不具备足够的保密性，以致安全性较低。
28.因此，鉴于各种密钥交换/加密算法各有优异，密码套件也因此各有差异，选择合适的密码套件，能够保护好数据安全以防止数据泄露，以及提高数据处理速度以提升用户体验。
29.本实施例中，在选取密码套件前，需要检测出服务端和客户端均支持的密码套件，才能确保选取的密码套件能够使两者成功握手以建立数据连接；将两者均支持的密码套件
的套件信息整合成为第一列表，然后通过获取认定信息根据认定信息辨别服务端的所属性质，实际上相当于判别用户建立此次数据连接的主要目的，以预估用户需求，根据用户需求将所支持的密码套件按优劣顺序排序，方便用户了解各个密码套件的差异，有助于用户选取合适的密码套件。
30.在某些实施例中，步骤s2中的具体步骤包括：接收客户端发送的认定信息，认定信息包括服务端性质标签。
31.步骤s3中的具体步骤包括：根据服务端性质标签判断服务端的所属性质。
32.在实际应用时，用户一般都会对服务端有所了解或有明确的目的，可以预设多个服务端性质标签供用户选择，例如服务端性质标签为：经营性质和服务性质，用户了解服务端是能够通过电子支付进行购物，或用户连接服务端的目的是为了购物，则可以选择服务端性质标签为经营性质；又例如服务端性质标签也可以为：公共性质和企业性质，用户连接服务端的目的是为了从外网接入企业内网，则可以选择服务端性质标签为企业性质；由此可以直接得知用户需求，对第一列表中的各个套件信息的顺序进行重新编排，优选的密码套件将排在靠前的位置便于用户选择，准确切中用户需求。
33.在某些实施例中，步骤s2中的具体步骤包括：接收服务端发送的认定信息，认定信息包括服务端性质证明文件。
34.步骤s3中的具体步骤包括：根据服务端性质证明文件判断服务端的所属性质。
35.在实际应用时，用户并不了解服务端，或并不清楚所预设的服务端性质标签的意义，由此无法自主地选取正确的服务端性质标签，对于这种情况，可以通过服务端发送的认定信息得到服务端性质，以判断用户需求；例如具有认定信息为icp经营许可证（即互联网信息服务业务经营许可证）、edi经营许可证（即增值电信业务经营许可证）和sp经营许可证（即第二类增值电信业务经营许可证）等的服务端，其大部分业务中往往涉及资金交易，因此可以认定该服务端为经营性质的服务端，由此判断出用户登录该服务端进行资金交易的可能性较大，基于此对第一列表中的各个套件信息的顺序进行重新编排，优选的密码套件将排在靠前的位置便于用户选择；又例如具有认定信息为网络视听许可证、广播电视节目制作经营许可证、网络文化经营许可证、互联网药品信息服务许可证、互联网新闻信息服务许可证、网络出版服务许可证和呼叫中心经营许可证等的服务端，其大部分业务中往往是提供公益服务，因此可以认定该服务端为非经营性质的服务端，由此判断出用户登录该服务端主要目的在于浏览资讯，基于此对第一列表中的各个套件信息的顺序进行重新编排，优选的密码套件将排在靠前的位置便于用户选择。
36.在某些实施例中，步骤s1中的具体步骤包括：s11.获取服务端的密码套件列表并作为第三列表；s12.获取客户端的密码套件列表并作为第四列表；s13.对比第三列表和第四列表，筛选出相同的密码套件；s14.将相同的密码套件对应的套件信息整合为第一列表。
37.本实施例中，密码套件一般以相同的命名规则进行命名，大部分情况下，相同的密码套件具有相同的套件信息，因此可以分别从服务端和客户端中获取各自的密码套件列
表，然后对比套件信息筛选出相同套件信息的密码套件并整合为第一列表。
38.在某些实施例中，服务端的所属性质包括经营性质和非经营性质；步骤s4中的具体步骤包括：对于经营性质的服务端，按密码套件的安全性从高到低对第一列表中所有套件信息进行重新排序，得到第二列表；对于非经营性质的服务端，按密码套件的处理速度从高到低对第一列表中所有套件信息进行重新排序，得到第二列表。
39.本实施例中，考虑到经营性质的服务端，因涉及资金周转和交易密码等重要私密信息，理应确保建立连接所选用的密码套件应当具有足够的安全性，因此优先将安全性最高的密码套件的套件信息放置在第一位并根据安全性的高低以降序形式进行排序，方便用户清楚了解各个密码套件的差异，有利于快速选取合适的密码套件。
40.同理，考虑到非经营性质的服务端，例如提供新闻资讯的服务端、提供书籍文本的服务端、提供搜索服务的服务端等，往往需要快速建立数据连接，因此优先将速度最快的密码套件的套件信息放置在第一位并根据速度的高低以降序形式进行排序，有助于减少通讯延迟以实现快速响应用户需求，便于用户即时获得资讯，有利于提升用户体验。
41.需要说明的是，用户基于第二列表就能够充分了解到密码套件的差异，寻得符合自身需求的密码套件的套件信息后，从服务端下载对应的密码套件并进行使用即可。
42.请参照图2，图2是本技术一些实施例中的一种密码套件推选装置，该密码套件推选装置以计算机程序的形式集成在该密码套件推选装置的后端控制设备中，该密码套件推选装置包括：第一获取模块100，用于获取第一列表，第一列表包含服务端和客户端均支持的密码套件的套件信息；第二获取模块200，用于获取认定信息；判断模块300，用于根据认定信息判断服务端的所属性质；生成模块400，用于根据服务端的所属性质调整第一列表中所有套件信息的排序，并生成第二列表；发送模块500，用于将第二列表发送至客户端。
43.在某些实施例中，第一获取模块100在用于获取第一列表，第一列表包含服务端和客户端均支持的密码套件的套件信息的时候执行：s11.获取服务端的密码套件列表并作为第三列表；s12.获取客户端的密码套件列表并作为第四列表；s13.对比第三列表和第四列表，筛选出相同的密码套件；s14.将相同的密码套件对应的套件信息整合为第一列表。
44.在某些实施例中，第二获取模块200在用于获取认定信息的时候执行：接收客户端发送的认定信息，认定信息包括服务端性质标签。
45.在某些实施例中，判断模块300在用于根据认定信息判断服务端的所属性质的时候执行：根据服务端性质标签判断服务端的所属性质。
46.在某些实施例中，第二获取模块200在用于获取认定信息的时候执行：
接收服务端发送的认定信息，认定信息包括服务端性质证明文件。
47.在某些实施例中，判断模块300在用于根据认定信息判断服务端的所属性质的时候执行：根据服务端性质证明文件判断服务端的所属性质。
48.在某些实施例中，服务端的所属性质包括经营性质和非经营性质；生成模块400在用于根据服务端的所属性质调整第一列表中所有套件信息的排序，并生成第二列表的时候执行：对于经营性质的服务端，按密码套件的安全性从高到低对第一列表中所有套件信息进行重新排序，得到第二列表；对于非经营性质的服务端，按密码套件的处理速度从高到低对第一列表中所有套件信息进行重新排序，得到第二列表。
49.请参照图3，图3为本技术实施例提供的一种电子设备的结构示意图，本技术提供一种电子设备，包括：处理器1301和存储器1302，处理器1301和存储器1302通过通信总线1303和/或其他形式的连接机构（未标出）互连并相互通讯，存储器1302存储有处理器1301可执行的计算机可读取指令，当电子设备运行时，处理器1301执行该计算机可读取指令，以执行上述第一方面的实施例的任一可选的实现方式中的密码套件推选方法，以实现以下功能：获取第一列表，第一列表包含服务端和客户端均支持的密码套件的套件信息；获取认定信息；根据认定信息判断服务端的所属性质；根据服务端的所属性质调整第一列表中所有套件信息的排序，并生成第二列表；将第二列表发送至客户端。
50.本技术实施例提供一种存储介质，其上存储有计算机程序，计算机程序被处理器执行时，执行上述第一方面的实施例的任一可选的实现方式中的密码套件推选方法，以实现以下功能：获取第一列表，第一列表包含服务端和客户端均支持的密码套件的套件信息；获取认定信息；根据认定信息判断服务端的所属性质；根据服务端的所属性质调整第一列表中所有套件信息的排序，并生成第二列表；将第二列表发送至客户端。
51.其中，存储介质可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器（static random access memory, 简称sram），电可擦除可编程只读存储器（electrically erasable programmable read-only memory, 简称eeprom），可擦除可编程只读存储器（erasable programmable read only memory, 简称eprom），可编程只读存储器（programmable red-only memory, 简称prom），只读存储器（read-only memory, 简称rom），磁存储器，快闪存储器，磁盘或光盘。
52.在本技术所提供的实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
53.另外，作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的
目的。
54.再者，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
55.在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
56.以上所述仅为本技术的实施例而已，并不用于限制本技术的保护范围，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。