一种基于安全协议ssl的加密方法及系统的制作方法
【技术领域】
[0001]本发明涉及网络通讯安全领域,更具体地说,涉及一种基于安全协议SSL的加密方法及系统。
【背景技术】
[0002]基于万维网的电子商务和网上银行等新兴应用,极大地方便了人们的日常生活,受到人们的青睐。由于这些应用都需要在网络上进行在线交易,它们对网络通信的安全性提出了更高的要求。传统的万维网协议HTTP不具备安全机制一一采用明文的形式传输数据、不能验证通信双方的身份、无法防止传输的数据被篡改等,导致HTTP无法满足电子商务和网上银行等应用的安全性要求。
[0003]安全协议SSL,利用数据加密、身份验证和消息完整性验证机制,为网络上数据的传输提供安全性保证。SSL可以为HTTP提供安全连接,从而很大程度上改善了万维网的安全性问题。但是基于安全协议SSL,客户端和服务器在协商得到密钥和加密套件的协商后,不能根据HTTPS请求内容进行动态改变,不同的网站页面对安全程度要求不一样,例如银行网站页面对安全程度的要求就要比其他网站页面的要求高出许多,此种情况下对上述网站页面进行加密时,使用同一套密钥和加密套件显然是不合理的。
【发明内容】
[0004]本发明要解决的技术问题在于,针对现有技术的上述对不同网站页面使用同一套密钥和加密套件进行加密缺陷,提供一种基于安全协议SSL的加密方法及系统,可以为不同网站目录/页面提供不同安全程度的密钥和加密套件,使得对安全程度要求高的网站页面通过安全程度高的密钥和加密套件。
[0005]本发明的一种基于安全协议SSL的加密方法,包括:客户端与服务器之间协商、交换密钥和第一加密套件,还包括下述步骤:
[0006]A:针对所述客户端的不同网络页面设置对应的加密套件;
[0007]B、所述客户端发送包括统一资源标识符UR1、请求头部/消息体的HTTPS请求内容至所述服务器;
[0008]C、所述服务器接收所述HTTPS请求内容,并根据所述HTTPS请求内容中的所述统一资源标识符URI确定所述加密套件中与所述客户端登录的网络页面对应的第二加密套件;
[0009]D:所述服务器比较所述第一加密套件安全程度与所述第二加密套件安全程度的大小,若所述第一加密套件的安全程度小于所述第二加密套件的安全程度,则所述服务器发送重协商请求至所述客户端;
[0010]E:所述客户端接收所述重协商请求,并与所述服务器之间重新协商所述第一加密套件。
[0011 ] 优选地,所述步骤A之前,还包括下述步骤:
[0012]所述服务器对所述加密套件按照安全程度大小进行排序,以便对所述客户端的不同网络页面按照对安全程度要求的大小设置对应安全程度的加密套件。
[0013]优选地,所述步骤C之后,所述服务器内部的策略接口获取所述第二加密套件。
[0014]优选地,如果所述步骤C中未确定所述第二加密套件,则所述服务器应答使用所述第一加密套件进行加密。
[0015]优选地,所述客户端与所述服务器重新协商所述第一加密套件发生在服务器端或者代理服务器端。
[0016]优选地,重新协商的内容还包括认证级别。
[0017]本发明还提供一种基于安全协议SSL的加密系统,包括客户端和服务器,所述客户端与所述服务器通信连接,用于与所述服务器交换密钥和第一加密套件,
[0018]所述客户端还包括
[0019]HTTPS请求内容发送模块,用于发送包括统一资源标识符UR1、请求头部/消息体的HTTPS请求内容至所述服务器,
[0020]重协商模块,用于接收来自所述服务器的重协商请求,并与所述服务器之间重新协商所述第一加密套件;
[0021]所述服务器中还包括
[0022]加密套件设置模块,用于针对所述客户端不同的网络页面设置对应的加密套件,
[0023]加密套件确定模块,用于接收所述HTTPS请求内容,并根据所述HTTPS请求内容中的所述统一资源标识符URI确定所述加密套件中与所述客户端登录的网络页面对应的第二加密套件,
[0024]安全程度判断模块,用于比较所述第一加密套件安全程度与所述第二加密套件安全程度的大小,当所述第一加密套件安全程度小于所述第二加密套件安全程度,则发送所述重协商请求至所述客户端。
[0025]优选地,所述服务器还设置有加密套件排序模块,用于对所述加密套件按照安全程度大小进行排序。
[0026]优选地,所述服务器还设置有策略接口,用于获取所述第二加密套件。
[0027]优选地,所述服务器还设置有加密套件应答模块,当所述加密套件确定模块未确定所述第二加密套件,则应答使用所述第一加密套件进行加密。
[0028]实施本发明的基于安全协议SSL的加密方法及系统,具有以下有益效果:客户端与服务器协商的密钥和第一加密套件,针对客户端的不同网络页面设置对应的加密套件,服务器根据客户端发送的HTTPS请求内容中的统一资源标识符URI确定加密套件中与客户端登录的网络页面对应的第二加密套件服务器将第一加密套件与第二加密套件的安全程度进行对比,若客户端使用的第一加密套件的安全程度更低,客户端与服务器再重新协商第一加密套件,直至第一加密套件的安全程度能达到预先设定的第二加密套件的安全程度,从而保证不同的网络页面可以使用不同安全程度的加密套件,对安全程度要求高的网络页面可以使用安全程度高的加密套件,极大的保障了网络通讯的安全。
【附图说明】
[0029]下面将结合附图及实施例对本发明作进一步说明,附图中:
[0030]图1是本发明的基于安全协议SSL的加密系统的结构图;
[0031]图2是本发明的基于安全协议SSL的加密方法的流程示意图;
[0032]图3是本发明客户端与服务器之间交换密钥和加密套件的流程图。
【具体实施方式】
[0033]如图1所示,本发明的基于安全协议SSL的加密系统,包括客户端I和服务器2,客户端I与服务器2通信连接,客户端I和服务器2之间可交换密钥和第一加密套件。
[0034]其中客户端I还包括重协商模块12和HTTPS请求内容发送模块11。重协商模块12用于接收来自服务器2的重协商请求,并与服务器2之间重新协商第一加密套件;HTTPS请求内容发送模块11用于发送包括统一资源标识符UR1、请求头部/消息体的HTTPS请求内容至服务器I。
[0035]其中服务器2还包括加密套件设置模块22、加密套件确定模块23、安全程度判断模块24和策略接口 25。加密套件设置模块22用于针对客户端I的不同网络页面设置对应的加密套件;加密套件确定模块23用于接收HTTPS请求内容,并根据HTTPS请求内容中的统一资源标识符URI确定上述加密套件中与客户端登录的网络页面对应的第二加密套件;安全程度判断模块24用于比较第一加密套件安全程度与第二加密套件安全程度的大小,当第一加密套件安全程度小于第二加密套件安全程度,则发送重协商请求至客户端I。
[0036]进一步地,服务器2还包括加密套件排序模块21和策略接口 25,加密套件排序模块21用于对加密套件按照安全程度大小进行排序,以便对客户端I的不同网络页面按照对安全程度要求的大小设置对应安全程度的加密套件;策略接口 25用于获取针对客户端I的登录网络页面设置对应的第二加密套件,以便安全程度判断模块24判断第一加密套件和第二加密套件的安全程度大小。服务器2还设置有加密套件应答模块26,当加密套件确定模块23未确定第二加密套件,则应答使用第一加密套件进行加密。
[0037]本发明的基于安全协议SSL的加密方法步骤如图2所示,包括下述步骤:
[0038]客户端I与服务器2协商密钥和第一加密套件。
[0039]服务器2内部的加密套件排序模块21对加密套件按照安全程度大小进行排序,以便对客户端I的不同网络页面按照对安全程度要求的大小设置对应安全程度的加密套件。
[0040]服务器2内部的加密套件设置模块22针对客户端I的不同网络页面设置加密套件。
[0041]客户端I内部的HTTPS请求内容发送模块11发送包括统一资源标识符UR1、请求头部/消息体的HTTPS请求内容至服务器2。
[0042]服务器2内部的加密套件确定模块23接收HTTPS请求内容,并根据HTTPS请求内容中的统一资源标识符URI确定加密套件中与客户端登录的网络页面对应的第二加密套件。如果未确定第二加密套件,则服务器2内部的加密套件应答模块26应答使用原先客户端I与服务器2之间协商的第一加密套件加密。
[0043]服务器2内部的策略接口 25获取第二加密套件。其中,策略接口 25可以是web接口、命令行接口或格式文件导入接口等,通过该配置的策略接口 25获取针对客户端I的网络页面设置对应的第二加密套件,以便于安全程度判断模块24判断第一加密套件和第二加密套件的安全程度大小。
[0044]服务器2内部的安全程度判断模块24比较第一加密套件安全程度与第二加密套件安全程度的大小,若第一加密套件的安全程度小于第二加密套件的安全程度,则发送重协商请求至客户端I。
[0045]客户端I内部的重协商模块12接收重协商请求,并与服务器2之间重新协商第一加密套件,若第一加密套件安全程度大于或等于第二加密套件安全程度,服务器2应答使用该第一加密套件和密钥进行加密,若第一加密套件安全程度小于第二加密套件安全程度,服务器2内部的安全程度判断模块24再次发送重协商请求至客户端1,客户端I再次与服务器2协商第一加密套件。其中,客户端I与服务器2重新协商第一加密套件发生在服务器端或者代理服务器端中,重新协商内容还包括认证级别。
[0046]客户端I与服务器2之间协商、交换密钥和第一加密套件如图3中(1)-(9)中所示:
[0047](I)客户端I与服务器2握手,客户端I通过发送“SSL握手请求”消息至服务器2,并将客户端I支持的SSL版本、加密套件发送给服务器2,加密套件包含加密算法、密钥算法、MAC算法。
[0048](2)服务器2发送“握手应答”消息至客户端1,确定本次通信采用的SSL版本和第一加密套件。
[0049](3)服务器2将服务器2证书发送给客户端1,服务器2证书是携带公钥的数字证书。
[0050](4)服务器2发送“应答完成”消息至客户端1,通知客户端I本次通信采用的SSL版本和第一加密套件协商结束,开始进行密钥交换。
[0051](5)客户端I验证服务器2证书合法后,利用服务器2证书的公钥加密客户端I随机生成的原版密