SSL安全通道创建方法及终端与流程

本发明涉及密码应用，具体涉及一种ssl安全通道创建方法及终端。

背景技术：

1、随着应用系统的信息安全得到社会的普遍关注，国产密码也迎来快速发展机遇期。为了推广国产算法的使用，方便应用集成国产密码，许多国密开源项目应运而生，gmssl3.0项目便是其中之一。gmssl 3.0是为方便使用gmssl(国密ssl)而设立的开源项目，用户可使用gmssl 3.0简单高效的实现gmsll相关功能。

2、智能密码钥匙由于其便捷性、安全性在信息系统的身份认证、数据保护等功能实现中得到广泛应用。

3、gmssl 3.0是基于pkcs8的私钥密文文件和证书与服务端进行密钥协商，但通过口令保护的私钥文件容易泄露，且该私钥文件存在被不法分子暴力破解的风险。一旦密文文件和口令泄露，应用伪冒身份即可建立ssl安全连接，存在多个应用同时使用同一密钥对建立ssl连接的情况。

4、相关技术中，公布号为cn107508837a的专利申请文献提出了基于智能密码钥匙认证的跨平台异构系统登录方法，利用智能密码钥匙、数字签名和数字证书认证机制，为多业务系统用户提供统一认证服务平台，该方案实际为一个单点登录方案，通过对多个系统的认证功能进行集成，一旦登录成功，便可对多个系统进行访问，其重点在于多系统之间的授权。

技术实现思路

1、本发明所要解决的技术问题在于如何实现建立基于智能密码钥匙的gmssl连接。

2、本发明通过以下技术手段解决上述技术问题的：

3、本发明提出了一种ssl安全通道创建方法，应用于终端，智能密码钥匙插入终端，所述方法包括：

4、调用所述智能密码钥匙产生签名公私钥对和加密公私钥对；

5、利用签名公钥和加密公钥创建用户认证请求信息，并将所述用户认证请求信息发送至用户创建系统以使所述用户创建系统生成用户签名证书及ssl认证信息；

6、接收所述用户创建系统返回的用户签名证书及ssl认证信息，并存储至所述智能密码钥匙；

7、调用所述智能密码钥匙中存储的ssl认证信息与对端建立gmssl连接。

8、进一步地，在所述调用所述智能密码钥匙产生签名公私钥对和加密公私对之前，所述方法还包括：

9、初始化所述智能密码钥匙设备，并设置所述智能密码设备的口令。

10、进一步地，所述用户认证请求信息包括所述签名公钥、所述加密公钥、用户名和创建管理员。

11、进一步地，在所述终端为客户端时，所述ssl认证信息包括保护口令密文数据ssl_sigcode、系统用户的签名公私钥对ssl_sigkeypair和ssl签名证书ssl_sigcert。

12、进一步地，在所述终端为服务端时，所述ssl认证信息包括保护口令密文数据ssl_enccode、系统用户的签名公私钥对ssl_enckeypair、ssl签名证书ssl_enccert和ssl加密密钥对。

13、进一步地，所述保护口令密文数据采用所述加密公钥保护，所述签名公私钥对为pkcs8格式且被保护口令加密。

14、进一步地，所述接收所述用户创建系统返回的用户签名证书及ssl认证信息，并存储至所述智能密码钥匙，包括：

15、接收所述用户创建系统返回的用户签名证书及ssl认证信息；

16、将所述用户签名证书写入所述智能密码钥匙；

17、将所述ssl认证信息存储至所述智能密码钥匙的文件存储区。

18、进一步地，在所述终端为用户端时，所述调用所述智能密码钥匙中存储的ssl认证信息与对端建立gmssl连接，包括：

19、认证客户端插入的智能密码钥匙的口令，并利用所述智能密码钥匙的加密私钥解密所述保护口令密文数据ssl_sigcode，获取所述系统用户的签名公私钥对ssl_sigkeypair的口令；

20、读取所述智能密码钥匙中存储的所述系统用户的签名公私钥对ssl_sigkeypair和所述ssl签名证书ssl_sigcert；

21、利用所述系统用户的签名公私钥对ssl_sigkeypair和所述ssl签名证书ssl_sigcert与对端建立gmssl连接。

22、进一步地，在所述终端为服务端时，所述调用所述智能密码钥匙中存储的ssl认证信息与对端建立gmssl连接，包括：

23、认证服务端插入的智能密码钥匙的口令，并利用所述智能密码钥匙的加密私钥解密保护口令密文数据ssl_sigcode及保护口令密文数据ssl_enccode，分别获取系统用户的签名公私钥对ssl_sigkeypair的保护口令和系统用户的签名公私钥对ssl_enckeypair的保护口令；

24、读取认证信息包括所述智能密码钥匙的系统用户的签名公私钥对ssl_sigkeypair、ssl签名证书ssl_sigcert、系统用户的签名公私钥对ssl_enckeypair和ssl签名证书ssl_enccert文件；

25、基于所述认证信息与对端建立gmssl连接。

26、进一步地，所述方法还包括：

27、在所述智能密码钥匙的口令超过设定错误次数时，锁定所述智能密码钥匙。

28、进一步地，所述终端中运行有gmssl客户端软件程序。

29、此外，本发明还提出了一种终端，智能密码钥匙插入所述终端，所述终端包括：

30、调用模块，用于调用所述智能密码钥匙产生签名公私钥对和加密公私钥对；

31、用户认证请求模块，用于利用签名公钥和加密公钥创建用户认证请求信息，并将所述用户认证请求信息发送至用户创建系统以使所述用户创建系统生成用户签名证书及ssl认证信息；

32、认证信息存储模块，用于接收所述用户创建系统返回的用户签名证书及ssl认证信息，并存储至所述智能密码钥匙；

33、通道建立模块，用于调用所述智能密码钥匙中存储的ssl认证信息与对端建立gmssl连接。

34、本发明的优点在于：

35、(1)本发明基于智能密码钥匙与gmssl 3.0建立gmssl通道，基于智能密码钥匙创建认证信息，并将认证信息存储在智能密码钥匙中，并调用智能密码钥匙中存储的认证信息建立gmssl连接，不仅能防止pkcs8私钥文件泄露的风险，加强了私钥文件的安全性，且未对gmssl 3.0的源码进行任何改动，保证了系统的通用性。

36、(2)将国密ssl 3.0使用的pkcs8签名密钥对文件写入智能密码钥匙的安全存储区，可有效防止签名密钥对文件的泄露。

37、(3)在使用智能密码钥匙创建ssl连接的过程中，基于硬件访问口令认证方式大大加强了认证强度，能有效防止用户的暴力破解等非法错误。

38、(4)将gmssl的使用与硬件智能密码钥匙有效绑定，增强了使用场景的安全性。

39、本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。