本發明公開了一種基于加密設備的網絡協議安全提升方法，其包括在網絡服務協議中增加密鑰生成函數，調用加密設備，獲取密鑰及私鑰索引；將私鑰索引和公鑰信息返回給密鑰管理模塊；密鑰管理模塊將私鑰索引、公鑰信息與客戶端信息進行組合后生成公鑰文件，發送到服務端；存儲公鑰文件；客戶端發起登陸請求；建立加密隧道；對公鑰文件及客戶端信息進行簽名；客戶端通過加密隧道發送經簽名的公鑰文件及客戶端信息給服務端；建立網絡協議連接。本發明通過關聯客戶端及客戶端獲取的私鑰索引，在客戶端向服務端發起登陸請求時，客戶端通過私鑰對應的私鑰索引，調用加密設備進行簽名，整個過程做到私鑰不出加密設備，保證了私鑰的安全性。

技術領域

本發明涉及網絡安全技術領域，尤其是涉及一種基于加密設備的網絡協議安全提升方法。

背景技術

傳統網絡服務如ftp，telnet等，在網絡上使用明文傳輸口令和數據，在本質上是不安全的，很容易被攻擊者截獲。其中，網絡服務中提供安全性的協議可以為SSH、RFB、RDP協議等，以SSH(Secure Shell)協議為例，它是基于公鑰的安全應用協議，具有加密、認證、完整性檢測等多種安全服務，可以有效的抵御“中間人攻擊”等攻擊方式，Openssh工具是SSH協議的免費開源實現，可以提供密鑰生成、密鑰協商、完整性校驗等功能。

從客戶端的角度來看，SSH提供了兩種級別的安全驗證。第一種是基于口令的安全驗證。只要知道自己的賬號和口令，就可以登錄到遠程主機。所有的傳輸數據都會被加密。但是這種方式并不能有效驗證服務器的身份，依然會受到“中間人攻擊”等攻擊。第二種是基于密鑰的安全驗證。使用這種方式時，服務端和客戶端都生成自己的密鑰對。客戶端連接服務器時，客戶端會根據服務器的公鑰和簽名來驗證服務器的身份。驗證通過后，客戶端會發送自己的公鑰以及客戶端信息的簽名，服務器使用客戶端公鑰進行驗簽，并比對客戶端信息，比對通過后完成SSH登錄過程。這種方式對比第一種，能更有效的防止“中間人攻擊”，安全性更高。

在一些需要高安全性的涉密網絡中，如政務系統，銀行系統等，面對的風險來自方方面面，用戶私鑰的安全性很容易成為整個網絡服務登錄過程的薄弱環節。

故亟需提供一種網絡協議安全提升方法來解決上述問題。

發明內容

基于此，本發明的目的在于提供一種基于加密設備的網絡協議安全提升方法，客戶端在生成公鑰、私鑰時由用戶環境生成替換成由加密設備生成，使得私鑰不出密碼設備，有效提升了私鑰的安全性和密碼運算的安全性。

為解決上述技術問題，本發明采用以下技術方案：

本發明提供了一種基于加密設備的網絡協議安全提升方法，其包括如下步驟：

步驟S110、在網絡服務協議中增加密鑰生成函數，調用加密設備，獲取密鑰及私鑰索引，其中，密鑰對包括公鑰及私鑰，網絡服務協議為SSH、NVC或RDP協議；

步驟S120、將私鑰索引和公鑰信息返回給密鑰管理模塊；

步驟S130、密鑰管理模塊將私鑰索引、公鑰信息與客戶端信息進行組合后生成公鑰文件，發送到服務端；

步驟S140、對客戶端進行身份認證，存儲公鑰文件；

步驟S150、客戶端發起登陸請求；

步驟S160、建立加密隧道；

步驟S170、對公鑰文件及客戶端信息進行簽名；

步驟S180、客戶端通過加密隧道發送經簽名的公鑰文件及客戶端信息給服務端；

步驟S190、建立網絡協議連接。

在其中一個實施例中，當網絡服務協議為SSH協議時，所述步驟S110的方法，具體操作包括：