技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別涉及一種基于國(guó)密算法建立TLS通道的方法。

背景技術(shù)

密碼算法是用于加密和解密的數(shù)學(xué)函數(shù)，是密碼協(xié)議的基礎(chǔ)，現(xiàn)行的密碼算法主要包括序列密碼、分組密碼、公鑰密碼、散列函數(shù)等，其主要用于保證信息的安全，提供鑒別、完整性、抗抵賴等服務(wù)。商用密碼是指對(duì)非涉密內(nèi)容的信息進(jìn)行加密保護(hù)或者安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品，主要用于不涉及國(guó)家機(jī)密的普通工商業(yè)領(lǐng)域。由于現(xiàn)有技術(shù)中基于不同的加解密思想出現(xiàn)了多種不同的密碼算法，每套密碼算法有其獨(dú)特的處理方式，相互之間往往并不兼容，這導(dǎo)致了基于不同算法的技術(shù)或產(chǎn)品無(wú)法通用，限制了安全產(chǎn)品的發(fā)展。此外，部分密碼算法由于安全強(qiáng)度有限，未公開(kāi)算法實(shí)現(xiàn)進(jìn)行有效性論證，或未經(jīng)過(guò)嚴(yán)格的安全性檢驗(yàn)就在產(chǎn)業(yè)中進(jìn)行應(yīng)用，也很容易留下各種密碼安全隱患，造成用戶隱私泄露、商業(yè)機(jī)密被竊或財(cái)產(chǎn)安全受損等多種問(wèn)題。

在此情況下，有必要建立統(tǒng)一安全的商用密碼算法來(lái)規(guī)范密碼技術(shù)或密碼產(chǎn)品的應(yīng)用，國(guó)密算法就是在我國(guó)境內(nèi)通用的商用密碼算法。國(guó)密算法是指由國(guó)家密碼管理局編制并公開(kāi)的一系列商用密碼算法，其包括標(biāo)準(zhǔn)對(duì)稱算法SM1、基于橢圓曲線ECC的非對(duì)稱加密算法SM2、數(shù)據(jù)摘要算法SM3和分組對(duì)稱塊加密算法SM4等。國(guó)密算法的公開(kāi)為中國(guó)商用密碼算法提供了安全應(yīng)用的標(biāo)準(zhǔn)，同時(shí)也通過(guò)公開(kāi)算法來(lái)使算法的安全性接受全世界的檢驗(yàn)，使得相關(guān)的安全產(chǎn)品能得到國(guó)際市場(chǎng)的認(rèn)可。

但是，由于當(dāng)前公開(kāi)國(guó)密算法的主要目的是檢驗(yàn)算法的數(shù)學(xué)理論基礎(chǔ)是否嚴(yán)謹(jǐn)，因而相關(guān)算法僅對(duì)應(yīng)用方式做了理論性指導(dǎo)，并非給出具體的應(yīng)用模式。在此情況下，如何利用國(guó)密算法實(shí)現(xiàn)安全的網(wǎng)絡(luò)數(shù)據(jù)通信成為國(guó)密算法應(yīng)用必須面對(duì)的問(wèn)題。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明提供了一種基于國(guó)密算法建立TLS通道的方法，以解決現(xiàn)有技術(shù)中無(wú)法將國(guó)密算法理論轉(zhuǎn)化為實(shí)際的網(wǎng)絡(luò)安全應(yīng)用的問(wèn)題。

為解決上述技術(shù)問(wèn)題，本發(fā)明的基于國(guó)密算法建立TLS通道的方法包括步驟：

握手請(qǐng)求階段：服務(wù)器端發(fā)起hello請(qǐng)求消息、客戶端收到后發(fā)送客戶端hello消息作為回應(yīng)，或客戶端直接發(fā)起客戶端hello消息；服務(wù)器端收到所述客戶端hello消息后，發(fā)送服務(wù)器端hello消息作為回應(yīng)；

服務(wù)器端認(rèn)證階段：服務(wù)器端向客戶端發(fā)送服務(wù)器端SM2證書(shū)，隨后發(fā)送hello完成消息；

客戶端認(rèn)證階段：客戶端收到所述hello完成消息后，發(fā)送密鑰交換消息；

完成握手階段：客戶端發(fā)送更換密碼套件消息和結(jié)束消息，服務(wù)器端收到客戶端結(jié)束消息后，發(fā)送更換密碼套件消息和結(jié)束消息；雙方均收到對(duì)方的結(jié)束消息并通過(guò)驗(yàn)證后，以約定的安全參數(shù)進(jìn)行數(shù)據(jù)安全傳輸。

優(yōu)選地，在握手請(qǐng)求階段，所述客戶端hello消息中包含雙方建立安全通道的相關(guān)安全參數(shù)，服務(wù)器端收到所述客戶端hello消息后，如果能從消息的安全參數(shù)中找到匹配的密碼套件，則將所述匹配的密碼套件包含在回應(yīng)的服務(wù)器端hello消息中；如果找不到匹配的密碼套件，則回應(yīng)致命報(bào)警消息。

優(yōu)選地，在服務(wù)器端認(rèn)證階段，所述服務(wù)器端SM2證書(shū)為包含SM2公鑰的SM2加密證書(shū)。

優(yōu)選地，在客戶端認(rèn)證階段，所述密鑰交換消息中包含預(yù)主密鑰，該預(yù)主密鑰由客戶端產(chǎn)生，采用服務(wù)器端的SM2公鑰進(jìn)行加密。

優(yōu)選地，在服務(wù)器端認(rèn)證階段，客戶端接收到所述hello完成消息之后，應(yīng)驗(yàn)證服務(wù)器端SM2證書(shū)是否有效，并檢驗(yàn)服務(wù)器端hello消息中的安全參數(shù)是否可以接受；如果可以接受，客戶端繼續(xù)握手過(guò)程，否則回應(yīng)致命報(bào)警消息。

優(yōu)選地，若需要進(jìn)行客戶端身份驗(yàn)證，所述方法還包括步驟：

在服務(wù)器端認(rèn)證階段，緊隨服務(wù)器端SM2證書(shū)之后還發(fā)送客戶端證書(shū)請(qǐng)求；

在客戶端認(rèn)證階段，若客戶端曾收到客戶端證書(shū)請(qǐng)求，則首先向服務(wù)器端發(fā)送客戶端SM2證書(shū)，在發(fā)送完密鑰交換消息后，還發(fā)送客戶端SM2證書(shū)簽名；服務(wù)器端利用收到的客戶端SM2證書(shū)簽名對(duì)客戶端進(jìn)行驗(yàn)證。

優(yōu)選地，在完成握手階段，所述結(jié)束消息內(nèi)容是使用更換后的密碼套件和密鑰進(jìn)行加密的12字節(jié)的偽隨機(jī)數(shù)，所述偽隨機(jī)數(shù)根據(jù)對(duì)已發(fā)握手信息的摘要值的計(jì)算而得到；如果握手請(qǐng)求階段匹配的密碼套件使用的摘要算法是SM3算法，則在已發(fā)握手信息的摘要原文前加入由服務(wù)器端SM2證書(shū)中公鑰計(jì)算得出的雜湊值，并在此基礎(chǔ)上再計(jì)算所述摘要值。