技術領域

本發明涉及應用服務器中間件領域和信息安全領域，特別是涉及基于混合密碼套件中間件的數據安全傳輸方法與裝置。

背景技術

當今，客戶端可以根據需要從服務端獲得數據。為了提高數據在客戶端與服務端間傳輸的安全性，數據可以通過中間件(應用服務器中間件)在客戶端與服務端間安全傳輸。

中間件是位于應用軟件之下，網絡、操作系統、數據庫之上的基礎軟件平臺，為應用提供名字、事務、安全、消息、數據訪問等服務并為應用提供開發、部署、運行及管理支撐環境，數據在客戶端與服務端之間傳輸，中間件起到一個保證數據安全傳輸的中轉站作用，客戶端通過中間件從服務端獲取數據的過程為：

首先，客戶端與中間件建立安全連接，通過建立安全連接，在客戶端與中間件端生成用于客戶端與中間件對數據進行加密解密的密鑰，以確保數據安全傳輸；然后，中間件根據客戶端的請求數據從服務端獲取數據，并采用密鑰對此數據進行加密得到加密數據并發送給客戶端；最后，客戶端通過解密中間件發送的加密數據獲得需要的數據。

數據在客戶端與服務端之間傳輸的安全性依賴于客戶端與中間件建立安全連接時所用的密碼套件，此密碼套件包括密鑰交換算法、摘要算法和對稱密碼算法。目前，客戶端與中間件建立安全連接所使用的密碼套件全部采用國外標準密碼算法，國外標準密碼算法的密鑰長度決定國外標準密碼算法的安全強度，由于國外標準的密碼算法的密鑰長度受出口限制，導致國外標準密碼算法安全強度不可控。除此之外，部分國外標準密碼算法留有安全后門，導致數據傳輸安全性不可控。

為了實現數據在客戶端與服務端之間安全傳輸，需要提供一種密碼套件，使用此密碼套件客戶端與中間件建立安全連接后可以保證數據在客戶端與服務端之間安全傳輸。

發明內容

有鑒于此，本發明的主要目的是基于混合密碼套件提供一種生成密鑰的方法、建立安全連接的方法和傳輸數據的方法，其中的混合密碼套件中的密鑰交換算法采用國家商用非對稱密碼算法，對稱密碼算法采用國外標準密碼算法，此混合密碼套件中的算法組合可以使得數據在客戶端與中間件之間安全傳輸。

為此，本發明解決上述問題的技術方案是：提供一種基于混合密碼套件中間件的安全傳輸數據的方法與裝置，應用于中間件與客戶端之間安全傳輸數據，包括步驟：

一種生成密鑰的方法，所述生成密鑰的方法應用于與客戶端交互的中間件，所述中間件與所述客戶端都集成含有國家商用密碼算法和國外標準密碼算法的混合密碼套件，所述混合密碼套件中的密鑰交換算法采用國家商用非對稱密碼算法，該方法包括：

所述中間件與所述客戶端協商使用所述混合密碼套件中的國家商用非對稱密碼算法作為解密加密預主密鑰的算法，所述加密預主密鑰由所述客戶端采用所述國家商用非對稱密碼算法，并使用所述中間件的公鑰對預主密鑰加密得到，所述預主密鑰由所述客戶端生成；

所述中間件采用所述國家商用非對稱密碼算法，并使用私鑰解密所述加密預主密鑰得到所述預主密鑰；

所述中間件采用主密鑰生成函數將第一隨機數、第二隨機數和所述預主密鑰生成主密鑰，所述主密鑰生成函數是所述中間件與所述客戶端約定的函數，所述第一隨機數由所述客戶端生成，所述第二隨機數由所述中間件生成；

所述中間件采用密鑰分組算法，計算所述第一隨機數、所述第二隨機數和所述主密鑰得到密鑰分組，所述密鑰分組算法是所述中間件與所述客戶端約定的算法；

所述中間件采用分解算法將所述密鑰分組分解得到對稱密鑰，所述分解算法是所述中間件與所述客戶端約定的算法。

優選的，所述中間件與所述客戶端協商使用所述混合密碼套件中的國家商用非對稱密碼算法作為解密加密預主密鑰的算法，具體包括：

所述中間件接收所述客戶端發送的密碼套件列表，所述密碼套件列表包括所述含有國家商用密碼算法和國外標準密碼算法的混合密碼套件和其他密碼套件；

所述中間件根據所述密碼套件列表選定所述含有國家商用密碼算法和國外標準密碼算法的混合密碼套件作為生成密鑰的密碼套件；

所述中間件使用所述混合密碼套件中的國家商用非對稱密碼算法，作為解密所述加密預主密鑰的算法。

本發明還提供一種生成對稱密鑰的裝置，所述裝置集成在與客戶端連接的中間件上，該裝置包括：

協商解密加密預主密鑰算法單元，用于與所述客戶端協商使用所述混合套件中的國家商用非對稱密碼算法作為解密加密預主密鑰的算法，所述加密預主密鑰由所述客戶端采用所述國家商用非對稱密碼算法，并使用所述中間件的公鑰對預主密鑰加密得到，所述預主密鑰由所述客戶端生成；