本發(fā)明涉及一種基于硬件加密算法的SSL的實(shí)現(xiàn)方法，包括如下步驟：S1：通過(guò)引擎機(jī)制引入硬件加密算法；S2：添加加密套件；S3：改造握手協(xié)議消息；其中，所述步驟S1中，通過(guò)OpenSSL的引擎機(jī)制引入硬件加密算法。本發(fā)明提供的基于硬件加密算法的SSL的實(shí)現(xiàn)方法，使用不公開(kāi)算法的硬件加密模塊作為SSL的加密引擎，一切加密行為都在硬件加密模塊內(nèi)部實(shí)現(xiàn)，所有的加密密鑰都存儲(chǔ)在硬件加密模塊內(nèi)部，信息的安全不再依賴加密中間件，從而在加密源頭上保證了加密的安全性。

技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)安全技術(shù)領(lǐng)域，具體涉及一種基于硬件加密算法的SSL的實(shí)現(xiàn)方法。

背景技術(shù)

2013年的棱鏡門事件，暴露出我國(guó)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)等信息化基礎(chǔ)設(shè)施長(zhǎng)期依賴國(guó)外產(chǎn)品，面臨安全隱患的問(wèn)題。

密碼技術(shù)是信息安全保障的核心，我國(guó)絕大部分行業(yè)核心領(lǐng)域長(zhǎng)期依賴國(guó)際通用的密碼算法體系，主要包括DES、3DES、AES、RSA、SHA-1、MD5等密碼算法。隨著密碼技術(shù)和計(jì)算技術(shù)的發(fā)展，以及RSA預(yù)留后門、RSA1024算法風(fēng)險(xiǎn)等事件的影響，信息系統(tǒng)進(jìn)行國(guó)產(chǎn)密碼算法升級(jí)改造已成為當(dāng)務(wù)之急，成為我國(guó)信息安全自主可控的主要手段之一。

SSL是Secure Socket Layer的英文縮寫(xiě)，意思是安全套解層協(xié)議，指使用公鑰和私鑰技術(shù)組合的安全網(wǎng)絡(luò)通訊協(xié)議。SSL協(xié)議是網(wǎng)景公司（Netscape）推出的基于web應(yīng)用的安全協(xié)議，SSL協(xié)議指定了一種在應(yīng)用程序協(xié)議（如Http、Telnet、NMTP和FTP等）和TCP/IP協(xié)議之間提供數(shù)據(jù)安全性分層的機(jī)制，它為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消息完整性以及可選的客戶機(jī)認(rèn)證，主要用于提供應(yīng)用程序間數(shù)據(jù)傳送的安全性，完整性。在SSL的支持下，網(wǎng)絡(luò)上的信息服務(wù)與商務(wù)活動(dòng)有了很好的發(fā)展。由于電子商務(wù)技術(shù)在我國(guó)的應(yīng)用，SSL在我國(guó)也有很大的發(fā)展，但是由于種種原因，SSL在我國(guó)受到了一些局限，主要存在如下問(wèn)題：

1、依賴國(guó)外密碼產(chǎn)品，將面臨安全隱患，我國(guó)黨、政、軍等眾多部門和單位的內(nèi)部網(wǎng)絡(luò)建設(shè)面臨信息交流與保密的矛盾，而我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)保密技術(shù)研究和技術(shù)防范手段相對(duì)滯后，技術(shù)安全保密方面的壓力越來(lái)越大。

2、國(guó)外主流的安全協(xié)議在核心密碼算法上都有出口限制，如只允許40位或56位的RC4和512位的RSA算法出口等，而且協(xié)議代碼不公開(kāi)。這樣的算法強(qiáng)度引入我國(guó)后，根本無(wú)法滿足我國(guó)實(shí)際應(yīng)用中的安全需求。

處在網(wǎng)絡(luò)高速發(fā)展和科技突飛猛進(jìn)的時(shí)代，信息安全技術(shù)是具有對(duì)抗性的的敏感技術(shù)，面對(duì)日益迫切的需要，唯一的出路就是自主創(chuàng)新。當(dāng)然，自主創(chuàng)新并不排斥吸收國(guó)際上的先進(jìn)技術(shù)，相反，只有密切跟蹤國(guó)際信息安全技術(shù)的新發(fā)展才能知己知彼，為我所用。

因此，我們應(yīng)該參照國(guó)際上先進(jìn)的信息安全技術(shù)自主研制安全系統(tǒng)。在國(guó)際同行的研究基礎(chǔ)上，盡量吸取和掌握其思想、原理的先進(jìn)性，結(jié)合我國(guó)自主密碼算法，設(shè)計(jì)或改造相關(guān)的網(wǎng)絡(luò)安全協(xié)議，將這些協(xié)議實(shí)現(xiàn)與現(xiàn)有應(yīng)用系統(tǒng)和自主可控的操作系統(tǒng)結(jié)合起來(lái)是十分必要的。

OpenSSL中的SSL實(shí)現(xiàn)是基于其算法庫(kù)中的公開(kāi)密碼算法的。SSL協(xié)議位于TCP/IP協(xié)議模型的網(wǎng)絡(luò)層和應(yīng)用層之間，圖2為SSL握手消息交互過(guò)程示意圖，如圖所示：SSL協(xié)議實(shí)際上是由共同工作的兩層協(xié)議組成。

SSL握手協(xié)議、SSL改變密碼格式協(xié)議、SSL告警協(xié)議、HTTP、FTP等，我們都可以看成是SSL記錄協(xié)議封裝的上層應(yīng)用層數(shù)據(jù)。

實(shí)現(xiàn)SSL加密連接建立的過(guò)程主要是由SSL握手協(xié)議完成的，如圖1所示，為SSL協(xié)議在網(wǎng)絡(luò)協(xié)議中的位置示意圖，從圖1中可以看出SSL握手協(xié)議的消息交互過(guò)程。

通過(guò)對(duì)握手交互過(guò)程代碼的分析可知，其中用到的加密算法有隨機(jī)數(shù)生成算法、雜湊算法、對(duì)稱加密算法、非對(duì)稱加密算法、密鑰交換算法，用到的證書(shū)是x509數(shù)字證書(shū)。對(duì)這些算法在協(xié)議中的使用的詳細(xì)說(shuō)明如下：