本發明公開了一種多方協同完成雙向SSL/TLS認證的方法，包括：第一客戶端與服務端建立通訊連接，向服務端發送握手請求，并等待來自于服務端的響應信息，第一客戶端對從發送握手請求開始到接收到響應信息過程期間的所有信息作為簽名原文進行哈希運算，以得到哈希值，第一客戶端在其所要使用的密碼算法類型是RSA密碼算法時，將哈希值發送到第二客戶端，第二客戶端利用其自身的第一私鑰對來自于第一客戶端的哈希值或簽名原文進行數字簽名，以生成第一簽名信息。本發明能解決現有方法中存在的SSL/TLS客戶端單獨一方生成客戶端握手身份簽名信息所導致的安全性較低、以及由于需要專業硬件安全設備所導致的用戶成本高、使用復雜度高的技術問題。

技術領域

本發明屬于信息安全領域，更具體地，涉及一種多方協同完成雙向SSL/TLS認證的方法和系統。

背景技術

安全套接層(Secure?Sockets?Layer，簡稱SSL)及其繼任者傳輸層安全(Transport?Layer?Security，簡稱TLS)是為網絡通信提供安全及數據完整性的一種安全協議。SSL/TLS協議既用到了公鑰加密技術，又用到了對稱加密技術，對稱加密技術雖然比公鑰加密技術的速度快，但公鑰加密技術提供了更好的身份認證技術。

SSL/TLS協議的身份認證分為單向認證和雙向認證兩種認證方式。在單向認證協議中，僅需要客戶端認證服務端；而在雙向認證協議中，除了客戶端需要認證服務端以外，服務端也需要驗證客戶端，也就是說，服務端在向客戶端發送證書請求信息后，客戶端除了向服務端返回數字證書以外，同時還向服務端返回帶數字簽名的身份簽名信息，以供服務端驗證客戶端的身份。

然而，現有基于SSL/TLS協議的雙向認證方式存在以下技術問題：

第一，客戶端身份簽名信息是由一方完全獨立生成，安全性較低；

第二，客戶端數字證書對應的私鑰是由客戶端獨立生成并保管，容易被黑客竊取。為了保障該私鑰的安全，目前行業內常規的做法是使用專門的硬件安全設備(譬如智能卡、U盾、智能密鑰設備、SSS/TLS網關等)來存儲和保護私鑰，但這就要求用戶必須購買該硬件安全設備才能完成數字證書的使用操作，從而既增加了用戶使用的成本，也增加了用戶使用的復雜度。

發明內容

針對現有技術的以上缺陷或改進需求，本發明提供了一種多方協同完成雙向SSL/TLS認證的方法和系統，其目的在于，解決現有方法中存在的由于SSL/TLS客戶端單獨一方生成客戶端握手身份簽名信息所導致的安全性較低、以及由于需要專業硬件安全設備所導致的用戶成本高、使用復雜度高的技術問題。

為實現上述目的，按照本發明的一個方面，提供了一種多方協同完成雙向SSL/TLS認證的方法，包括以下步驟：

(1)第一客戶端與服務端建立通訊連接，向服務端發送握手請求，并等待來自于服務端的響應信息；

(2)第一客戶端對從發送握手請求開始到接收到響應信息過程期間的所有信息作為簽名原文進行哈希運算，以得到哈希值。

(3)第一客戶端判斷其所要使用的密碼算法類型是RSA密碼算法還是橢圓曲線密碼算法，如果是RSA密碼算法，則直接將步驟(2)中得到的哈希值發送到第二客戶端，然后進入步驟(5)，如果是橢圓曲線密碼算法，則進入步驟(4)；

(4)第一客戶端將簽名原文發送到第二客戶端；

(5)第二客戶端利用其自身的第一私鑰對來自于第一客戶端的哈希值或簽名原文進行數字簽名，以生成第一簽名信息，并將第一簽名信息發送給第一客戶端。

(6)第一客戶端利用其自身的第二私鑰對第一簽名信息進行處理，以生成完整的簽名信息，并將完整的簽名信息發送給服務端。