CN105530090A - 密钥协商的方法及设备 - Google Patents
密钥协商的方法及设备 Download PDFInfo
- Publication number
- CN105530090A CN105530090A CN201511028895.0A CN201511028895A CN105530090A CN 105530090 A CN105530090 A CN 105530090A CN 201511028895 A CN201511028895 A CN 201511028895A CN 105530090 A CN105530090 A CN 105530090A
- Authority
- CN
- China
- Prior art keywords
- algorithm
- client
- interface
- cryptographic algorithm
- net silver
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种密钥协商的方法及设备,所述方法包括:客户端识别网银盾所支持的密码算法;所述客户端调用支持所述密码算法的接口与安全套接层SSL服务器进行密钥协商。实施本发明,可以实现客户端兼容不同的密码算法来进行密钥协商,优化了用户体验。
Description
技术领域
本发明涉及通信领域,更为具体而言,涉及密钥协商的方法及设备。
背景技术
根据世界著名研究机构的报告,1024位RSA(以三个发明人Rivest(李维斯特)、Shamir(萨莫尔)以及Adleman(阿德曼)命名的一种公钥加密算法)密钥只应使用至2010年、2048位RSA密钥只应使用至2030年、3072位RSA密钥可使用至2030年之后。增强RSA算法的安全性的方案是增加RSA算法的密钥模长,但密钥长度的增加会导致加解密速度大大降低,硬件实现也变得越来越复杂,这给使用RSA算法的应用带来了很大的负担,从而使其应用范围日益受到制约,同时,该方案的适用周期较短,从目前情况和发展趋势看,RSA迟早会被淘汰。
因此需要在安全性和加解密速率方面更具优势的密码算法(例如国密算法)逐渐替代RSA算法。然而,目前IE(InternetExplorer,一种网页浏览器)内核浏览器(进行密钥协商的主流浏览器)只支持RSA算法,待推广更具优势的密码算法之后,使用支持该密码算法网银盾的客户将无法使用IE内核浏览器进行密钥协商,影响了用户的体验度。
发明内容
为解决上述技术问题,本发明提供一种密钥协商的方法及其设备。
一方面,本发明的实施方式提供了一种密钥协商的方法,所述方法包括:
客户端识别网银盾所支持的密码算法;
所述客户端调用支持所述密码算法的接口与SSL(SecureSocketsLayer,安全套接层)服务器进行密钥协商。
另一方面,本发明实施方式提供了一种客户端,所述客户端包括:
识别模块,用于识别网银盾所支持的密码算法;
密钥协商模块,用于调用支持所述识别模块所识别出的密码算法的接口与SSL服务器进行密钥协商。
实施本发明提供的密钥协商的方法及设备,可以实现客户端兼容不同的密码算法来进行密钥协商,优化了用户体验。
附图说明
图1是根据本发明实施方式的一种密钥协商的方法的流程图;
图2示出了图1所示的处理S100的一种实施方式;
图3是根据本发明实施方式的一种客户端的结构示意图;
图4示出了图3所示的识别模块100的结构示意图。
具体实施方式
为使本发明的实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
图1是根据本发明实施方式的一种密钥协商的方法的流程图。参见图1,所述方法包括:
S100:客户端识别网银盾所支持的密码算法。
其中,所述密码算法可以是RSA算法,或者国密算法等。
S200:客户端调用支持所述密码算法的接口与SSL服务器进行密钥协商。
在本发明的实施方式中,可以在所述客户端上预先配置所述接口。其中,所述接口可以是CSP(CryptographicServiceProvider,加密服务提供程序)接口或者SKF(国密标准接口)接口等,该CSP接口支持上述的RSA算法,该SKF接口支持上述的国密算法。
图2示出了图1所示的处理S100的一种实施方式,如图2所示,处理S100可以通过以下方式实现:
S110:客户端获取所述网银盾的算法类型信息。
在本发明的一种实施方式中,例如可以通过设备信息接口获取该算法类型信息。
S120:客户端根据获取到的算法类型信息识别所述网银盾所支持的密码算法。
例如,若该算法类型的值为0,则识别出所述网银盾所支持的密码算法为RSA算法,若该算法类型的值为1,则识别出所述网银盾所支持的密码算法为国密算法。
下面以客户端兼容RSA算法以及国密算法为例,对本发明所提供的密钥协商的方法进行具体说明。该方法包括:
步骤1:客户端识别网银盾所支持的密码算法,若识别出该网银盾所支持的密码算法为RSA算法,则执行步骤2,若识别出该网银盾所支持的密码算法为国密算法,则执行步骤3。
其中,步骤1例如可以通过下述处理实现:通过设备信息接口获取该网银盾的算法类型信息;根据获取到的算法类型信息识别该网银盾所支持的密码算法。若获取到的算法类型信息的值为0,则该网银盾支持RSA算法,若获取到的算法类型信息的值为1,则该网银盾支持国密算法。
步骤2:该客户端调用CSP接口与SSL服务器进行密钥协商。
步骤3:该客户端调用SKF接口与SSL服务器进行密钥协商。
其中,该步骤2具体包括以下处理:
1)客户端将本地支持的SSL版本、加密算法、密钥交换算法、MAC(MessageAuthenticationCodes,一种哈希函数)算法等信息发送给SSL服务器供其选择;
2)SSL服务器选定本次通信采用的SSL版本和加密套件,并将数字证书一起发送给客户端;
3)客户端接收SSL服务器选定的SSL版本、加密套件,以及服务器数字证书,并校验证书合法性:
●判断SSL服务器证书是否由“受信任的根证书颁发机构”颁发;
●判断SSL服务器证书是否已经被吊销;
●判断服务器域名是否与证书域名一致。
4)客户端进行网银盾签名;
5)客户端随机生成用于后续通信的对称密钥;
6)客户端利用SSL服务器公钥将网银盾证书、网银盾签名和对称密钥加密传送给SSL服务器;
7)SSL服务器验证客户端证书是否合法:
●判断客户端证书是否由“受信任的根证书颁发机构”颁发;
●判断客户端证书是否已经被吊销。
利用客户端公钥验证网银盾签名是否正确,并根据验证结果决定SSL协商成功或失败。
该步骤3具体包括以下处理:
1)客户端将国密SSL协议和标准密码套件发送给SSL服务器;
2)SSL服务器将数字证书发送给客户端;
3)客户端校验服务器证书合法性:
●判断服务器证书是否由“受信任的根证书颁发机构”颁发;
●判断服务器证书是否已经被吊销;
●判断服务器域名是否与证书域名一致。
4)客户端进行网银盾签名;
5)客户端随机生成用于后续通信的对称密钥;
6)客户端利用SSL服务器公钥将网银盾证书、网银盾签名和对称密钥加密传送给SSL服务器;
7)SSL服务器首先验证客户端证书是否合法:
●判断客户端证书是否由“受信任的根证书颁发机构”颁发;
●判断客户端证书是否已经被吊销。
利用客户端公钥验证网银盾签名是否正确,并根据验证结果决定SSL协商成功或失败。
图3是根据本发明实施方式的一种客户端的结构示意图。参见图3,所述客户端1000包括:识别模块100以及密钥协商模块200,具体地:
识别模块100用于识别网银盾所支持的密码算法。
其中,所述密码算法可以是RSA算法,或者国密算法等。
密钥协商模块200用于调用支持所述识别模块100所识别出的密码算法的接口与SSL服务器进行密钥协商。
在本发明的另一种实施方式中,该客户端1000还可以包括配置模块,用于配置所述接口。其中,所述接口可以是CSP接口或者SKF接口等,该CSP接口支持上述的RSA算法,该SKF接口支持上述的国密算法。
图4示出了图3所示的识别模块100的结构示意图。参见图4,所述识别模块100可以包括:获取单元110以及识别单元120,具体地:
获取单元110用于获取所述网银盾的算法类型信息。
识别单元120用于根据所述获取单元110所获取到的算法类型信息识别所述网银盾所支持的密码算法。
实施本发明提供的密钥协商的方法及设备,可以实现客户端兼容不同的密码算法来进行密钥协商,优化了用户体验。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件结合硬件平台的方式来实现。基于这样的理解,本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,智能手机或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本发明说明书中使用的术语和措辞仅仅为了举例说明,并不意味构成限定。本领域技术人员应当理解,在不脱离所公开的实施方式的基本原理的前提下,对上述实施方式中的各细节可进行各种变化。因此,本发明的范围只由权利要求确定,在权利要求中,除非另有说明,所有的术语应按最宽泛合理的意思进行理解。
Claims (10)
1.一种密钥协商的方法,其特征在于,所述方法包括:
客户端识别网银盾所支持的密码算法;
所述客户端调用支持所述密码算法的接口与安全套接层SSL服务器进行密钥协商。
2.如权利要求1所述的方法,其特征在于,客户端识别网银盾所支持的密码算法包括:
所述客户端获取所述网银盾的算法类型信息;
所述客户端根据获取到的算法类型信息识别所述网银盾所支持的密码算法。
3.如权利要求1所述的方法,其特征在于,
所述密码算法包括:RSA算法,或者国密算法。
4.如权利要求3所述的方法,其特征在于,
所述支持所述密码算法的接口包括:加密服务提供程序CSP接口,或者国密标准接口SKF接口,其中,所述CSP接口支持所述RSA算法,所述SKF接口支持所述国密算法。
5.如权利要求1至4中任一项所述的方法,其特征在于,所述方法还包括:
所述客户端预先配置所述接口。
6.一种客户端,其特征在于,所述客户端包括:
识别模块,用于识别网银盾所支持的密码算法;
密钥协商模块,用于调用支持所述识别模块所识别出的密码算法的接口与SSL服务器进行密钥协商。
7.如权利要求6所述的客户端,其特征在于,所述识别模块包括:
获取单元,用于获取所述网银盾的算法类型信息;
识别单元,用于根据所述获取单元所获取到的算法类型信息识别所述网银盾所支持的密码算法。
8.如权利要求6所述的客户端,其特征在于,
所述密码算法包括:RSA算法,或者国密算法。
9.如权利要求8所述的客户端,其特征在于,
所述支持所述密码算法的接口包括:加密服务提供程序CSP接口,或者国密标准接口SKF接口,其中,所述CSP接口支持所述RSA算法,所述SKF接口支持所述国密算法。
10.如权利要求6至9中任一项所述的客户端,其特征在于,所述客户端还包括:
配置模块,用于配置所述接口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511028895.0A CN105530090A (zh) | 2015-12-31 | 2015-12-31 | 密钥协商的方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511028895.0A CN105530090A (zh) | 2015-12-31 | 2015-12-31 | 密钥协商的方法及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105530090A true CN105530090A (zh) | 2016-04-27 |
Family
ID=55772104
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201511028895.0A Pending CN105530090A (zh) | 2015-12-31 | 2015-12-31 | 密钥协商的方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105530090A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106101056A (zh) * | 2016-05-12 | 2016-11-09 | 山东渔翁信息技术股份有限公司 | 一种软件架构及让ie浏览器基于国密ssl协议通信的方法 |
| CN106572109A (zh) * | 2016-11-08 | 2017-04-19 | 广东信鉴信息科技有限公司 | 基于tls协议实现加密通信的方法及装置 |
| CN107277007A (zh) * | 2017-06-14 | 2017-10-20 | 山东中创软件商用中间件股份有限公司 | 一种数据加密传输方法及装置 |
| CN107302428A (zh) * | 2017-05-26 | 2017-10-27 | 北京国电通网络技术有限公司 | 一种配电网中数据传送业务的密码算法的协商方法 |
| CN109040318A (zh) * | 2018-09-25 | 2018-12-18 | 网宿科技股份有限公司 | Cdn网络的https连接方法及cdn节点服务器 |
| CN109450901A (zh) * | 2018-11-12 | 2019-03-08 | 北京天融信网络安全技术有限公司 | 国密隧道建立方法、装置及设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050216736A1 (en) * | 2004-03-24 | 2005-09-29 | Smith Ned M | System and method for combining user and platform authentication in negotiated channel security protocols |
| CN101043335A (zh) * | 2007-03-12 | 2007-09-26 | 中国建设银行股份有限公司 | 一种信息安全控制*** |
| CN103138938A (zh) * | 2013-03-22 | 2013-06-05 | 中金金融认证中心有限公司 | 基于csp的sm2证书申请及应用方法 |
| CN103780376A (zh) * | 2012-10-26 | 2014-05-07 | ***股份有限公司 | 密码算法体系自适应切换的方法、终端以及安全载体 |
| CN105162808A (zh) * | 2015-10-19 | 2015-12-16 | 成都卫士通信息产业股份有限公司 | 一种基于国密算法的安全登录方法 |
-
2015
- 2015-12-31 CN CN201511028895.0A patent/CN105530090A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050216736A1 (en) * | 2004-03-24 | 2005-09-29 | Smith Ned M | System and method for combining user and platform authentication in negotiated channel security protocols |
| CN101043335A (zh) * | 2007-03-12 | 2007-09-26 | 中国建设银行股份有限公司 | 一种信息安全控制*** |
| CN103780376A (zh) * | 2012-10-26 | 2014-05-07 | ***股份有限公司 | 密码算法体系自适应切换的方法、终端以及安全载体 |
| CN103138938A (zh) * | 2013-03-22 | 2013-06-05 | 中金金融认证中心有限公司 | 基于csp的sm2证书申请及应用方法 |
| CN105162808A (zh) * | 2015-10-19 | 2015-12-16 | 成都卫士通信息产业股份有限公司 | 一种基于国密算法的安全登录方法 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106101056A (zh) * | 2016-05-12 | 2016-11-09 | 山东渔翁信息技术股份有限公司 | 一种软件架构及让ie浏览器基于国密ssl协议通信的方法 |
| CN106101056B (zh) * | 2016-05-12 | 2018-10-26 | 山东渔翁信息技术股份有限公司 | 一种代理软件软件架构中数据处理方法及让ie浏览器基于国密ssl协议通信的方法 |
| CN106572109A (zh) * | 2016-11-08 | 2017-04-19 | 广东信鉴信息科技有限公司 | 基于tls协议实现加密通信的方法及装置 |
| CN106572109B (zh) * | 2016-11-08 | 2019-11-08 | 广东信鉴信息科技有限公司 | 基于tls协议实现加密通信的方法及装置 |
| CN107302428A (zh) * | 2017-05-26 | 2017-10-27 | 北京国电通网络技术有限公司 | 一种配电网中数据传送业务的密码算法的协商方法 |
| CN107277007A (zh) * | 2017-06-14 | 2017-10-20 | 山东中创软件商用中间件股份有限公司 | 一种数据加密传输方法及装置 |
| CN109040318A (zh) * | 2018-09-25 | 2018-12-18 | 网宿科技股份有限公司 | Cdn网络的https连接方法及cdn节点服务器 |
| CN109040318B (zh) * | 2018-09-25 | 2021-05-04 | 网宿科技股份有限公司 | Cdn网络的https连接方法及cdn节点服务器 |
| CN109450901A (zh) * | 2018-11-12 | 2019-03-08 | 北京天融信网络安全技术有限公司 | 国密隧道建立方法、装置及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108241517B (zh) | 一种软件升级方法、客户端及电子设备 | |
| CN104170312B (zh) | 用于使用硬件安全引擎通过网络进行安全通信的方法和设备 | |
| KR102018971B1 (ko) | 네트워크 액세스 디바이스가 무선 네트워크 액세스 포인트를 액세스하게 하기 위한 방법, 네트워크 액세스 디바이스, 애플리케이션 서버 및 비휘발성 컴퓨터 판독가능 저장 매체 | |
| US9813400B2 (en) | Computer-implemented systems and methods of device based, internet-centric, authentication | |
| CN107358441B (zh) | 支付验证的方法、***及移动设备和安全认证设备 | |
| US10454674B1 (en) | System, method, and device of authenticated encryption of messages | |
| CN105530090A (zh) | 密钥协商的方法及设备 | |
| CN108377190B (zh) | 一种认证设备及其工作方法 | |
| US8606234B2 (en) | Methods and apparatus for provisioning devices with secrets | |
| CN104717198B (zh) | 安全元件上的软件更新方法和设备 | |
| CN110401615B (zh) | 一种身份认证方法、装置、设备、***及可读存储介质 | |
| US20170063537A1 (en) | Method, device, and system of provisioning cryptographic data to electronic devices | |
| CN107464109B (zh) | 可信移动支付装置、***和方法 | |
| CN103503366A (zh) | 管理针对认证设备的数据 | |
| CN204360381U (zh) | 移动设备 | |
| EP3387576B1 (en) | Apparatus and method for certificate enrollment | |
| CN108683674A (zh) | 门锁通信的验证方法、装置、终端及计算机可读存储介质 | |
| CN108199847B (zh) | 数字安全处理方法、计算机设备及存储介质 | |
| CN109413084B (zh) | 一种口令更新方法、装置及*** | |
| EP2840735A1 (en) | Electronic cipher generation method, apparatus and device, and electronic cipher authentication system | |
| CN106411520B (zh) | 一种虚拟资源数据的处理方法、装置及*** | |
| CN114362951B (zh) | 用于更新证书的方法和装置 | |
| CN109302425A (zh) | 身份认证方法及终端设备 | |
| KR101836211B1 (ko) | 전자 기기 인증 매니저 장치 | |
| CN116599719A (zh) | 一种用户登录认证方法、装置、设备、存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160427 |
|
| RJ01 | Rejection of invention patent application after publication |