技術領域

本發明涉及網絡通信技術領域，尤其涉及一種安全協商裝置和方法。

背景技術

在網絡通信中，數據傳輸的安全性已成為至關重要的一點。其中，最常見的SSL（Secure?Sockets?Layer，安全套接層）是一套Internet數據安全協議，SSL協議位于TCP/IP協議與各種應用層協議之間，建立在可靠的傳輸協議（如TCP協議）之上，為高層協議數據通訊提供數據封裝、壓縮、加密等安全支持。

目前，使用SSL的應用越來越多，而且規模也越來越大。比如：使用瀏覽器訪問一個安全網站（如個人銀行），采用的都是https加密鏈接。這種應用就是通過SSL來實現HTTP安全通信。由于使用數量的日益增多，越來越多的SSL服務器被部署在提供web、郵件等服務的真實服務器的前方，為真實服務器提供安全連接保障。

現有技術中，SSL的協商方案有兩種。一種是軟件加解密，軟件加解密的方法中大數運算都是由CPU來處理的，會導致CPU占用率很高，運行速度慢。另一種是采用硬件加解密，即軟件把大數運算交給硬件加解密部件來處理，這種方法雖然一定程度上緩解了CPU的壓力，但是在大量SSL連接的情況下，后續再請求SSL連接的用戶還是很有可能得不到及時的響應，這樣就會造成用戶連接很慢，甚至連接超時的情況，影響用戶體驗。

發明內容

有鑒于此，本發明提供一種安全協商裝置和方法，以解決現有技術存在的不足。

具體地，所述裝置應用在網絡安全服務器上，該裝置包括：

協商模塊，在安全協商的過程中，用于在接收到客戶端發送的需要解密的安全協商報文后，從中獲取該報文的安全協商特征信息以及需要解密的數據信息并把所述安全協商特征信息保存起來，生成對應的協商標識；

調用模塊，用于將所述協商標識和所述需要解密的數據信息發送給解密部件進行解密；

恢復模塊，用于接收解密部件返回的明文及協商標識，根據所述協商標識查找到對應的安全協商特征信息，并根據所述安全協商特征信息和所述明文，恢復與該安全協商特征信息對應的安全協商。

所述方法包括以下步驟：

步驟A、在接收到客戶端發送的需要解密的安全協商報文后，從中獲取該報文的安全協商特征信息以及需要解密的數據信息并把所述安全協商特征信息保存起來，生成對應的協商標識；

步驟B、將所述協商標識和所述需要解密的數據信息發送給解密部件進行解密；

步驟C、接收解密部件返回的明文及協商標識，根據所述協商標識查找到對應的安全協商特征信息，并根據所述安全協商特征信息和所述明文，恢復與該安全協商特征信息對應的安全協商。

由以上技術方案可見，相較于現有技術，本發明可以實現在安全協商的過程將CPU從等待協商結果的過程中解放出來，進一步地CPU可以處理其他報文，最大程度地提高了CPU的使用效率。

附圖說明

圖1是現有技術中一種安全協商過程的服務器認證流程圖；

圖2是本發明一種實施方式中安全協商過程的流程示意圖；

圖3是本發明一種實施方式中安全協商的裝置邏輯圖。

具體實施方式

為了解決現有技術中遇到大量用戶訪問時，連接速度較慢的問題，一種常見的思路是引入更多的硬件解密部件，這種方式適用于有靈活擴展架構的系統，如果系統的擴展性很差，則可能無法加入更多的硬件解密部件。這種方式在一定程度上能夠改善連接速度較慢的問題，但是效果并不明顯，最重要的是成本較高。本發明提供了一種安全協商裝置和方法，應用在網絡安全服務器上，以解決上述問題。

請參考圖1，一個典型的SSL安全協商過程中服務器認證的流程包括以下步驟：

S101、客戶端向服務器發送一個開始信息“Hello”以便開始一個新的會話連接；

S102、服務器接收客戶端發送的上述信息，在響應客戶端“Hello”信息的同時包含生成新的預主密鑰所需的信息，并同時發送自己的證書；

S103、客戶端根據收到的服務器響應信息，驗證所述證書合法后根據所述主預密鑰所需的信息產生一個預主密鑰，并用服務器的公開密鑰加密后傳給服務器；

S104、服務器用私鑰解密加密的預主密鑰并回復，返回給客戶端一個用主密鑰認證的信息，以此讓客戶端認證服務器。