本申請提供了一種安全連接的建立方法、系統、以及客戶端和服務端，涉及通信技術領域，包括：向服務端發送協商請求，并獲取服務端基于協商請求返回的響應信息，其中，響應信息中包含用于進行安全連接驗證的國密加密套件的相關信息；基于協商請求和響應信息確定待簽名摘要，并向USB key設備發送待簽名摘要，以使USB key設備通過國密加密套件對待簽名摘要進行簽名，得到簽名信息；獲取USB key設備發送的簽名信息，并將簽名信息發送至服務端進行安全連接的驗證，其中，在驗證通過時，建立客戶端和服務端之間的國密安全連接。本申請緩解了在采用通過現有的安全連接方式建立的安全連接進行數據交互時，數據安全性較低的技術問題。

技術領域

本申請涉及通信技術領域，尤其是涉及一種安全連接的建立方法、系統、以及客戶端和服務端。

背景技術

隨著互聯網的快速發展，使得相互通信的雙方能夠輕易的獲取對方的信息。這就增加了對某些敏感或有價值的數據被濫用的風險，特別是電子商務領域。為了保證相互通信的雙方在進行通信時的安全性，防范通信過程中的欺詐行為，必須在網上建立一種信任機制。這就要求互相通信的雙方都必須擁有合法的身份，并且在網上能夠有效無誤的被進行驗證。

使用數字證書建立安全連接，可以使網絡傳輸更加安全。目前建立安全連接的一種方式是首先通過客戶端和服務端進行安全連接的建立。在客戶端和服務端建立安全連接的過程中，客戶端和服務端所使用的加密算法為加密套件中的算法，其中，加密套件為在建立安全連接的過程中，為客戶端和服務端提供加密算法組合的套件。一般情況下，加密套件中的加密算法組合為非對稱加密算法RSA，對稱加密算法AES，摘要算法SHA。在建立安全連接之后，客戶端和服務端就能夠通過協商出的對稱密鑰進行數據的傳輸。例如，客戶端和服務端將通信內容使用對稱密鑰加密，對端使用對稱密鑰解密，從而實現數據的傳輸。

在上述所描述的安全連接的建立過程中可知，在建立安全連接時，所使用的數字證書和私鑰均保存在本地，這就導致數字證書和私鑰容易遭到攻擊或者竊取，從而使得上述安全連接的安全強度大大降低，例如，容易被其他客戶端盜取來與服務器進行通信。

發明內容

有鑒于此，本申請的目的在于提供一種安全連接的建立方法、系統、以及客戶端和服務端，以緩解了在采用通過現有的安全連接方式建立的安全連接進行數據交互時，數據安全性較低的技術問題。

第一方面，本申請實施例提供了一種安全連接的建立方法，應用于客戶端，包括：向服務端發送協商請求，并獲取所述服務端基于所述協商請求返回的響應信息，其中，所述響應信息中包含用于進行安全連接驗證的國密加密套件的相關信息；基于所述協商請求和所述響應信息確定待簽名摘要，并向USB key設備發送所述待簽名摘要，以使所述USB key設備通過所述國密加密套件對所述待簽名摘要進行簽名，得到簽名信息；獲取所述USB key設備發送的所述簽名信息，并將所述簽名信息發送至所述服務端進行安全連接的驗證，其中，在驗證通過時，建立所述客戶端和所述服務端之間的國密安全連接。

進一步地，基于所述協商請求和所述響應信息確定待簽名摘要包括：通過所述國密加密套件中的摘要算法對所述協商請求和所述響應信息分別進行摘要計算，得到第一目標握手摘要；計算國密算法中的Z值；將所述Z值和所述第一目標握手摘要進行拼接，得到所述待簽名摘要。

進一步地，將所述Z值和所述第一目標握手摘要進行拼接包括：將用于表示所述Z值的數組和用于表示所述第一目標握手摘要的數組進行首尾相連，得到所述待簽名摘要。

第二方面，本申請實施例提供了一種安全連接的建立方法，應用于服務端，包括：獲取客戶端發送的協商請求，并基于所述協商請求向所述客戶端返回響應信息，其中，所述響應信息中包含用于進行安全連接驗證的國密加密套件的相關信息；獲取所述客戶端發送的簽名信息，并基于所述簽名信息進行安全連接的驗證，其中，所述簽名信息為USB key設備通過所述國密加密套件對待簽名摘要進行簽名之后得到的信息；在驗證通過時，建立所述客戶端和所述服務端之間的國密安全連接。