欧美在线观看视频网站,亚洲熟妇色自偷自拍另类,啪啪伊人网,中文字幕第13亚洲另类,中文成人久久久久影院免费观看 ,精品人妻人人做人人爽,亚洲a视频

加載安全密鑰存儲(chǔ)硬件的方法和瀏覽器客戶端裝置的制造方法_2

文檔序號(hào):8259424閱讀:來源:國(guó)知局
器能夠?qū)崿F(xiàn),需要首先在瀏覽器客戶端中啟動(dòng)與瀏覽器主業(yè)務(wù)進(jìn)程進(jìn)行通信的加密子進(jìn)程。所述加密子進(jìn)程的主要功能是作為連接代理實(shí)現(xiàn)第一加密通道到第二加密通道的轉(zhuǎn)換,以及數(shù)據(jù)轉(zhuǎn)發(fā)。即采用加密子進(jìn)程作為主業(yè)務(wù)進(jìn)程的代理,其既能與瀏覽器主業(yè)務(wù)進(jìn)程進(jìn)行加密的安全通行,也能夠與網(wǎng)絡(luò)服務(wù)器進(jìn)行加密的安全通信,如對(duì)于瀏覽器主業(yè)務(wù)進(jìn)程的業(yè)務(wù)數(shù)據(jù)通過第一加密通道發(fā)送給加密子進(jìn)程,該加密子進(jìn)程將業(yè)務(wù)數(shù)據(jù)通過第二加密通道傳輸給網(wǎng)絡(luò)服務(wù)器,實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)以及兩個(gè)加密通道的連通。
[0046]需要說明的是,通常情況下,瀏覽器的主業(yè)務(wù)進(jìn)程與網(wǎng)絡(luò)服務(wù)器直接進(jìn)行通信,但是,在以安全為目標(biāo)的HTTP通道進(jìn)行通信時(shí),若主業(yè)務(wù)進(jìn)程無法對(duì)網(wǎng)絡(luò)服務(wù)器反饋的數(shù)據(jù)信息進(jìn)行解析,啟動(dòng)所述加密子進(jìn)程作為代理連接,即所述加密子進(jìn)程作為所述主業(yè)務(wù)進(jìn)程與所述網(wǎng)絡(luò)服務(wù)器之間的代理。本實(shí)施例中上述第一加密通道為所述瀏覽器主業(yè)務(wù)進(jìn)程和所述加密子進(jìn)程的安全通信通道;所述第二加密通道為所述加密子進(jìn)程和網(wǎng)絡(luò)服務(wù)器的安全通信通道。因此所述加密子進(jìn)程通過將加密子進(jìn)程與所述主業(yè)務(wù)進(jìn)程的第一加密通道,轉(zhuǎn)換為加密子進(jìn)程與網(wǎng)絡(luò)服務(wù)器的第二加密通道,來實(shí)現(xiàn)所述主業(yè)務(wù)進(jìn)程與所述網(wǎng)絡(luò)服務(wù)器之間的連接代理。當(dāng)然對(duì)于主業(yè)務(wù)進(jìn)程通過所述第一加密通道發(fā)送給加密子進(jìn)程的業(yè)務(wù)數(shù)據(jù),加密子進(jìn)程可以將所述業(yè)務(wù)數(shù)據(jù)通過第二加密通道發(fā)送給網(wǎng)絡(luò)服務(wù)器。具體地,可以將在第二加密通道中進(jìn)行通信的數(shù)據(jù)采用對(duì)稱加密算法SM4對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行加密。
[0047]本實(shí)施例中,瀏覽器主業(yè)務(wù)進(jìn)程與加密子進(jìn)程采用代理及IPC兩種通信方式,從而加密子進(jìn)程可以作為連接代理,負(fù)責(zé)和瀏覽器主業(yè)務(wù)進(jìn)程第一加密通道,到和網(wǎng)絡(luò)服務(wù)器的第二加密通道的通道轉(zhuǎn)換及數(shù)據(jù)轉(zhuǎn)發(fā),而IPC通信方式負(fù)責(zé)進(jìn)程間數(shù)據(jù)傳遞。本實(shí)施例中,加密子進(jìn)程代理實(shí)現(xiàn)機(jī)制如圖3所示,具體可以包括如下結(jié)構(gòu):
[0048]主線程:讀取各類配置,創(chuàng)建監(jiān)聽線程、主業(yè)務(wù)線程,以及瀏覽器主進(jìn)程IPC通。
[0049]偵聽線程:用于監(jiān)聽服務(wù)端口,當(dāng)有主業(yè)務(wù)進(jìn)程存在連接請(qǐng)求并接收(acc印t)成功執(zhí)行相應(yīng)的代理操作。
[0050]業(yè)務(wù)處理線程:與主業(yè)務(wù)進(jìn)程和網(wǎng)絡(luò)服務(wù)器兩端分別建立相應(yīng)加密通道連接并維持,從而作為橋梁進(jìn)行兩端的數(shù)據(jù)交換。
[0051]需要說明的是,業(yè)務(wù)處理線程的具體流程如下:(I)接收代理數(shù)據(jù),具體接收代理連接的http request數(shù)據(jù)。(2)與網(wǎng)絡(luò)服務(wù)器進(jìn)行SSL連接,具體包括SSL連接的建立,SSL協(xié)議協(xié)商,算法協(xié)商,客戶端證書驗(yàn)證(CRL檢查或OCSP認(rèn)證)(3)與web服務(wù)器交互。具體將代理連接http request數(shù)據(jù)經(jīng)由國(guó)密SSL通道發(fā)給Web服務(wù)器,獲取Web服務(wù)器的http response? (4)發(fā)送網(wǎng)絡(luò)服務(wù)器返回?cái)?shù)據(jù)給代理連接。具體將網(wǎng)絡(luò)服務(wù)器的httpresponse轉(zhuǎn)給代理連接。(5)關(guān)閉連接。業(yè)務(wù)處理流程中如果發(fā)生錯(cuò)誤,則關(guān)閉連接,同時(shí)給代理連接返回錯(cuò)誤頁面。需要說明的是,所述第二對(duì)稱算法具體可以是國(guó)密算法。
[0052]需要說明的是,采用SSL的安全技術(shù)解決網(wǎng)絡(luò)應(yīng)用身份認(rèn)證以及數(shù)據(jù)保密性得到廣泛的認(rèn)可,主流的瀏覽器和網(wǎng)絡(luò)服務(wù)器中也內(nèi)置了 SSL模塊,專業(yè)的SSL硬件產(chǎn)品也廣泛使用。但當(dāng)前SSL產(chǎn)品還都存在一定局限性:
[0053](I)當(dāng)前SSL產(chǎn)品普遍采用單證書機(jī)制。而雙證書機(jī)制是當(dāng)前PKI公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure體系建設(shè)的主流模式。本實(shí)施例使用簽名證書進(jìn)行身份認(rèn)證,使用加密證書進(jìn)行密鑰的交換和保護(hù),發(fā)揮了 PKI技術(shù)非對(duì)稱密鑰的優(yōu)勢(shì)。
[0054](2)當(dāng)前的SSL產(chǎn)品中普遍采用國(guó)外公開的對(duì)稱算法,不符合保密要求,具有一定風(fēng)險(xiǎn)性。本實(shí)施例中密碼產(chǎn)品對(duì)稱算法采用SMl算法或SM4算法。
[0055](3)當(dāng)前的證書非對(duì)稱算法采用RSA算法,而本實(shí)施例采用的橢圓曲線密碼(ECC)是一種比RSA具有更高安全性、更高效率的公鑰密碼,具有加密/解密、數(shù)字簽名和密鑰協(xié)商等重要的密碼功能,可以安全且方便地滿足各種信息網(wǎng)絡(luò)中的用戶身份識(shí)別、電子信息的真?zhèn)舞b別和保密傳輸?shù)戎匾男畔踩枨螅切畔踩I(lǐng)域的核心技術(shù),并已逐漸被諸多國(guó)際和國(guó)家標(biāo)準(zhǔn)組織采納為公鑰密碼標(biāo)準(zhǔn)(IEEE P1363, ANSI X9、IS0/IEC和IETF等),將會(huì)成為信息安全產(chǎn)業(yè)界使用的主流密碼技術(shù)之一。我國(guó)將國(guó)產(chǎn)的ECC(E⑶SA+E⑶H)算法命名為SM2。
[0056]本實(shí)施例提供的加載安全密鑰存儲(chǔ)硬件的方法,符合我國(guó)PKI機(jī)制和密碼產(chǎn)品管理政策的要求,對(duì)國(guó)內(nèi)安全產(chǎn)品的管理的規(guī)范性和網(wǎng)絡(luò)應(yīng)用的快速增長(zhǎng)都起到積極的推動(dòng)作用。
[0057]步驟204,所述加密子進(jìn)程通過握手過程與所述網(wǎng)絡(luò)服務(wù)器進(jìn)行數(shù)字證書雙向認(rèn)證。
[0058]本實(shí)施例中,雙向認(rèn)證是對(duì)所訪問網(wǎng)站的網(wǎng)絡(luò)服務(wù)器和瀏覽器客戶端彼此均要進(jìn)行認(rèn)證,確認(rèn)訪問的網(wǎng)絡(luò)服務(wù)器的數(shù)字證書以及瀏覽器客戶端所加載的數(shù)字證書是安全有效的,因此雙向認(rèn)證時(shí)需要認(rèn)證的證書包括訪問的網(wǎng)站的站點(diǎn)證書以及瀏覽器客戶端所加載的用戶證書。本實(shí)施例中所述加密子進(jìn)程通過握手過程與所述網(wǎng)絡(luò)服務(wù)器進(jìn)行數(shù)字證書的雙向認(rèn)證的步驟,具體可以通過以下方式來實(shí)現(xiàn):所述加密子進(jìn)程通過握手過程與所述網(wǎng)絡(luò)服務(wù)器依次執(zhí)行以下安全認(rèn)證操作:加密數(shù)據(jù)協(xié)商、證書認(rèn)證、密鑰交換和簽名認(rèn)證。
[0059]需要說明的是,上述雙向認(rèn)證的過程同樣是在瀏覽器客戶端和網(wǎng)站所屬網(wǎng)絡(luò)服務(wù)器的握手過程中完成的,該握手過程至少可以通過以下方式來實(shí)現(xiàn):
[0060]首先,瀏覽器客戶端向所述網(wǎng)絡(luò)服務(wù)器發(fā)送客戶端問候消息ClientHello,所述網(wǎng)絡(luò)服務(wù)器向所述瀏覽器客戶端反饋服務(wù)端問候消息SeverHello,協(xié)商加密數(shù)據(jù)。
[0061]然后,網(wǎng)絡(luò)服務(wù)器向所述瀏覽器客戶端發(fā)送服務(wù)端證書消息SeverCertificate,由于要進(jìn)行雙向認(rèn)證,網(wǎng)絡(luò)服務(wù)器向?yàn)g覽器客戶端依次發(fā)送服務(wù)端密鑰交換消息SeverKeyExchange、證書認(rèn)證請(qǐng)求消息SeverRequest和服務(wù)端問候完結(jié)消息SeverHel1Done。其中。所述證書認(rèn)證請(qǐng)求消息用于指示進(jìn)行客戶端的證書認(rèn)證。
[0062]然后,瀏覽器客戶端采用非對(duì)稱算法SM2對(duì)所述網(wǎng)絡(luò)服務(wù)器的站點(diǎn)證書進(jìn)行認(rèn)證,在認(rèn)證通過后,瀏覽器客戶端向所述網(wǎng)絡(luò)服務(wù)器發(fā)送客戶端證書消息ClientCertificate,該客戶端證書消息包括瀏覽器客戶端加載的用戶證書,從而網(wǎng)絡(luò)服務(wù)器基于非對(duì)稱算法SM2對(duì)所述瀏覽器客戶端加載的用戶證書進(jìn)行認(rèn)證。
[0063]后續(xù)的握手過程中,瀏覽器客戶端還可以向網(wǎng)絡(luò)服務(wù)器發(fā)送客戶密鑰交換消息ClientKeyExchange和客戶端問候完結(jié)消息ClientHelloDone,以及密鑰交換和簽名認(rèn)證所需的其他握手消息,本實(shí)施例不一一論述。
[0064]需要說明的是,上述客戶端問候消息(ClientHello消息)作為瀏覽器客戶端和網(wǎng)絡(luò)服務(wù)器握手協(xié)議的第一條消息,所述加密子進(jìn)程向所述網(wǎng)絡(luò)服務(wù)器發(fā)送客戶端問候消息之后,等待網(wǎng)絡(luò)服務(wù)器返回服務(wù)器問候消息??蛻舳藛栴}消息結(jié)構(gòu)定義:
[0065]1、Clien_vis1n表示客戶端在這個(gè)會(huì)話中使用的協(xié)議版本。如協(xié)議版本號(hào)是1.1。
[0066]2、Radom是客戶端產(chǎn)生的隨機(jī)信息,其內(nèi)容包括始終和隨機(jī)數(shù)。
[0067]3、sess1n_id是客戶端在連接中使用的會(huì)話標(biāo)識(shí)。sess1n_id是一個(gè)可變長(zhǎng)字段,其值由服務(wù)器決定。如果沒有可重用的會(huì)話標(biāo)識(shí)或希望協(xié)商安全參數(shù),該字段為空,否則表示客戶端希望重用該會(huì)話。這個(gè)會(huì)話標(biāo)識(shí)可能是之前的連接標(biāo)識(shí),當(dāng)前連接標(biāo)識(shí),或其他處于連接狀態(tài)的連接標(biāo)識(shí)。會(huì)話標(biāo)識(shí)生成后應(yīng)一致保持到被超時(shí)刪除或與這個(gè)會(huì)話相關(guān)的連接遇到致命錯(cuò)誤被關(guān)閉。一個(gè)會(huì)話失效或被關(guān)閉時(shí)則與其相關(guān)的連接都應(yīng)被強(qiáng)制關(guān)閉。
[0068]4、cipher_suites是客戶端所支持的密碼套件列表,客戶端應(yīng)按照密碼套件使用的優(yōu)先級(jí)順序排列,優(yōu)先級(jí)最高的密碼套件應(yīng)排在首位。如果會(huì)話標(biāo)識(shí)字段不為空,本字段應(yīng)至少包含將重用的會(huì)話所使用的密碼套件。每個(gè)密碼套件包括一個(gè)密鑰交換算法,一個(gè)加密算法和一個(gè)校驗(yàn)算法。服務(wù)器將在密碼套件列表中選擇一個(gè)與之匹配的密碼套件,如果沒有可匹配的密碼套件,應(yīng)返回握手失敗報(bào)警消息并且關(guān)閉連接。
[0069]5、compress1n_methods是客戶端所支持的壓縮算法列表,客戶端應(yīng)該按照壓縮算法使用的優(yōu)先級(jí)順序排列,優(yōu)先級(jí)最高的壓縮算法排在首位。服務(wù)器將在壓縮算法列表中選擇一個(gè)與之匹配的壓縮算法,列表中必須包含空壓縮算法,這樣客戶端和服務(wù)器總能協(xié)商出一致的壓縮算法。
[0070]需要說明的是,服務(wù)器如果能從客戶端問候消息中找到匹配的密碼套件,服務(wù)器發(fā)送所述服務(wù)端問候消息(Server Hello消息)作為對(duì)客戶端問候消息的回復(fù)。如果找不到匹配的密碼套件,服務(wù)器將回應(yīng)報(bào)警消息。
[0071]本實(shí)施例中,數(shù)字證書的認(rèn)證過程中采用非對(duì)稱算法進(jìn)行認(rèn)證,即發(fā)送者采用接收者的公鑰對(duì)數(shù)據(jù)進(jìn)行加密,對(duì)應(yīng)接收者采用自己的私鑰對(duì)數(shù)據(jù)進(jìn)行解密。其中,證書的非對(duì)稱算法采用SM2算法,使用簽名證書基于E⑶SA簽名實(shí)現(xiàn)身份認(rèn)證,使用加密證書基于E⑶H實(shí)現(xiàn)密鑰協(xié)商。
[0072]在本發(fā)明實(shí)施例的一種可選示例中,所述加密子進(jìn)程和所述網(wǎng)絡(luò)服務(wù)器進(jìn)行雙向證書認(rèn)證,具體可以通過以下方式來實(shí)現(xiàn):
[0073]I)所述加密子進(jìn)程接收所述網(wǎng)絡(luò)服務(wù)器發(fā)送的服務(wù)端證書消息,所述服務(wù)端證書消息包括所述網(wǎng)絡(luò)服務(wù)器的站點(diǎn)簽名證書;
[0074]2)所述加密子進(jìn)程接收所述網(wǎng)絡(luò)服務(wù)器發(fā)送的證書認(rèn)證請(qǐng)求消息,所述證書認(rèn)證請(qǐng)求消息用于指示進(jìn)行客戶端的證書認(rèn)證;
[0075]3)所述加密子進(jìn)程接收所述網(wǎng)絡(luò)服務(wù)器發(fā)送的服務(wù)端密鑰交換消息,包括密鑰交換參數(shù);
[0076]4)所述加密子進(jìn)程接收所述網(wǎng)絡(luò)服務(wù)器發(fā)送的服務(wù)端問候完結(jié)消息;
[0077]5)所述加密子進(jìn)程對(duì)所述站點(diǎn)簽名證書進(jìn)行認(rèn)證;
[0078]6)當(dāng)所述站點(diǎn)簽名證書認(rèn)證通過后,所述加密子進(jìn)程向所述網(wǎng)絡(luò)服務(wù)器發(fā)送客戶端證書消息,所述客戶端證書消息包括所述瀏覽器客戶端的簽名證書,以使所述網(wǎng)絡(luò)服務(wù)器對(duì)所述簽名證書進(jìn)行認(rèn)證。
[0079]本實(shí)施例中,上述加密數(shù)據(jù)協(xié)商、證書認(rèn)證、密鑰交換以及簽名認(rèn)證都是在安全瀏覽器客戶端的加密子進(jìn)程和網(wǎng)絡(luò)服務(wù)器的握手過程中執(zhí)行的。本實(shí)施例中,雙向認(rèn)證采用了雙證書機(jī)制,證書的非對(duì)稱算法采用SM2算法,使用簽名證書基于E⑶SA簽名實(shí)現(xiàn)身份認(rèn)證,使用加密證書基于ECDH實(shí)現(xiàn)密鑰協(xié)商。使用的SM4算法對(duì)數(shù)據(jù)進(jìn)行加密,使用SM3算法對(duì)數(shù)據(jù)進(jìn)行摘要。
[0080]其中,SM2算法(SM2algorithm)是一種橢圓曲線公鑰密碼算法,其密鑰長(zhǎng)度為256比特。SM3算法(SM3algorithm)是一種密碼雜湊算法,其密鑰長(zhǎng)度為128比特,SM4算法(SM4algorithm)是一種分組密碼算法,分組長(zhǎng)度為128比特,密鑰長(zhǎng)度為128比特。
[0081]如圖4所示,加密子進(jìn)程和網(wǎng)絡(luò)服務(wù)器的握手過程包括:
[0082]4.02、加密子進(jìn)程發(fā)送客戶端問候消息Cl
當(dāng)前第2頁1 2 3 4 5 6 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1
安平县| 海阳市| 屯留县| 长海县| 永泰县| 含山县| 库尔勒市| 寻甸| 漾濞| 罗平县| 浦城县| 金堂县| 浠水县| 方城县| 新巴尔虎左旗| 莆田市| 怀远县| 宜君县| 沾化县| 商河县| 新闻| 凤阳县| 平原县| 常熟市| 云南省| 乌苏市| 镇江市| 池州市| 崇明县| 南京市| 华亭县| 兴仁县| 玉田县| 颍上县| 平塘县| 宽甸| 墨玉县| 阜新| 崇左市| 独山县| 应城市|