技術領域

本發明涉及信息安全領域，尤其涉及一種實現智能密鑰設備雙向認證的方法。

背景技術

SSL是Secure?Socket?Layer的英文縮寫，意思是安全套接層協議，指使用公鑰和私鑰技術組合的安全網絡通訊協議。SSL協議是網景公司(Netscape)推出的基于WEB應用的安全協議，SSL協議指定了一種在應用程序協議(如Http、Telenet、NMTP和FTP等)和TCP/IP協議之間提供數據安全性分層的機制,它為TCP/IP連接提供數據加密、服務器認證、消息完整性以及可選的客戶機認證，主要用于提高應用程序之間數據的安全性，對傳送的數據進行加密和隱藏，確保數據在傳送中不被改變，即確保數據的完整性。

發明人在實現本發明的過程中，發現在移動設備中，無法通過原生接口，使用智能密鑰設備進行SSL雙向認證。

發明內容

本發明的目的是解決現有技術中存在的問題，提供了一種實現智能密鑰設備雙向認證的方法。

本發明采用的技術方案是：一種實現智能密鑰設備雙向認證的方法，包括：

步驟S1：客戶端獲取用戶輸入的HTTP地址，根據所述HTTP地址生成請求消息，將所述請求消息發送給系統組件，通過所述系統組件向網絡服務器發起網絡請求；

步驟S2：所述客戶端監聽所述系統組件發起的網絡請求，當監聽到有網絡請求發起時，截獲所述網絡請求，判斷網絡請求中的第一數據是否為預設字符串，如果是，則獲取所述網絡請求中的第二數據，執行步驟S3，否則返回不截獲響應；

步驟S3：所述客戶端從智能密鑰設備中獲取智能密鑰設備證書并顯示，等待接收用戶對所述智能密鑰設備證書的選擇；

步驟S4：所述客戶端接收用戶選擇的證書，創建私鑰對象，對所述私鑰對象進行構造，將私鑰對象中的私鑰加密函數構造為使用所述智能密鑰設備進行簽名；

步驟S5：所述客戶端對所述私鑰對象的結構成員進行初始化，將所述私鑰對象的模數和公開冪初始化為所述用戶選擇的證書公鑰的模數和公開冪，將所述私鑰對象的私鑰加密函數初始化為所述用戶選擇的證書的私鑰加密函數；

步驟S6：所述客戶端創建SSL連接句柄，根據所述SSL連接句柄，注冊所述用戶選擇的證書和所述私鑰對象，將注冊后的證書作為客戶端證書，將注冊后的私鑰對象作為客戶端私鑰對象；

當創建連接函數被調用時，執行以下操作：

步驟A1：所述客戶端根據獲取到的所述網絡請求中的第二數據，創建客戶端與服務器的連接；

步驟A2：所述客戶端向服務器發送服務器證書請求，接收服務器返回的第一數據包，對所述第一數據包中的服務器證書進行驗證，如果驗證成功，則執行步驟A3，否則返回錯誤信息；

步驟A3：所述客戶端根據客戶端證書的模數和公開冪和客戶端證書私鑰對象的模數和公開冪的對應關系，查找所述客戶端證書私鑰對象，根據預先對私鑰加密函數的構造，使用所述智能密鑰設備對第一數據包的待簽名數據進行簽名，得到簽名結果；

步驟A4：所述客戶端根據所述第一數據包中的獲取客戶端證書請求，向所述服務器發送包含所述客戶端證書和所述簽名結果的第二數據包，接收服務器對所述第二數據包處理后返回的結果，當所述結果為成功時，成功創建SSL雙向認證。

所述步驟S3中，所述客戶端從智能密鑰設備中獲取智能密鑰設備證書，具體為：

步驟B1：所述客戶端為智能密鑰設備會話句柄分配會話句柄緩沖區，并獲取所述會話句柄緩沖區的首地址，打開會話，將會話句柄保存在所述會話句柄緩沖區中；

步驟B2：所述客戶端獲取智能密鑰設備證書句柄，根據獲取到的證書句柄查找智能密鑰設備證書，并將查找到的智能密鑰設備證書保存；

步驟B3：所述客戶端結束查找智能密鑰設備證書。

所述步驟B2具體為：

步驟B2-1：所述客戶端填充證書模板；

步驟B2-2：所述客戶端從所述會話句柄緩沖區中獲取會話句柄，根據所述會話句柄和所述證書模板，獲取智能密鑰設備證書句柄，根據所述證書句柄查找智能密鑰設備證書。

所述步驟B2-2具體為：

步驟B2-2-2-1：所述客戶端從所述會話句柄緩沖區中獲取會話句柄，根據所述會話句柄和所述證書模板，設置查找證書句柄；

步驟B2-2-2-2：所述客戶端根據預先約定的證書句柄的結構大小，為證書句柄分配證書句柄緩沖區，并獲取所述證書句柄緩沖區的首地址；