本申請涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，尤其涉及一種會話重用方法及裝置。

背景技術(shù)：

為應(yīng)對日益嚴峻的網(wǎng)絡(luò)安全問題，使用SSL(Secure Sockets Layer，安全套接層)先將會話數(shù)據(jù)進行加密再傳輸?shù)姆椒ㄒ呀?jīng)變得非常普遍。在這種方式下，認證請求設(shè)備與身份認證設(shè)備之間即將進行的每一次會話，都需要通過完成一次SSL正常握手來建立新的完整的會話連接，并在建立新的完整的會話連接的過程中，協(xié)商用于對會話數(shù)據(jù)進行加密的會話密鑰。而為了節(jié)省建立完整的會話連接所耗費的時間以及認證請求設(shè)備的處理器資源，通常可采用會話重用機制在一定條件下實現(xiàn)會話的重復(fù)使用。

會話重用機制下，身份認證設(shè)備通過將一次完整會話連接建立后協(xié)商得到的會話密鑰以會話票證(session ticket)的方式發(fā)送至認證請求設(shè)備，可以在接收到認證請求設(shè)備返回的會話票證、且在該會話票證驗證通過的情況下為認證請求設(shè)備啟動會話重用機制，其中，會話票證是由身份認證設(shè)備利用自身所保存的本地密鑰加密會話密鑰形成的，而本地密鑰也用于對接收到的會話票證進行解密，并在解密成功的情況下由身份認證設(shè)備確認該會話票證可以通過驗證。然而在現(xiàn)有技術(shù)中，身份認證設(shè)備將持續(xù)使用同一本地密鑰對會話密鑰進行加密，這一本地密鑰一旦被第三方惡意竊取，將最終使得會話數(shù)據(jù)加密再傳輸?shù)姆椒ㄐ瓮撛O(shè)。

技術(shù)實現(xiàn)要素：

有鑒于此，本申請?zhí)峁┮环N會話重用方法，以保證在當(dāng)前本地密鑰被第三方竊取的情況下，會話數(shù)據(jù)加密再傳輸?shù)姆椒ㄒ廊豢梢杂行崿F(xiàn)。

根據(jù)本申請第一個實施例的第一方面，提供一種會話重用方法，應(yīng)用于身份認證設(shè)備，所述身份認證設(shè)備在當(dāng)前本地密鑰的空閑時長大于預(yù)設(shè)閾值時，對當(dāng)前本地密鑰進行更新，所述方法包括：

接收認證請求設(shè)備發(fā)送的會話重用請求報文，所述會話重用請求報文包含身份認證設(shè)備預(yù)先發(fā)送至認證請求設(shè)備的會話票證；

利用當(dāng)前本地密鑰對所述會話票證進行解密；

如果會話票證解密成功，則為所述認證請求設(shè)備啟動會話重用機制；

如果會話票證解密失敗，則與所述認證請求設(shè)備建立完整的會話連接。

根據(jù)本申請第一個實施例的第二方面，提供一種會話重用裝置，應(yīng)用于身份認證設(shè)備，所述裝置包括：

更新單元，用于在當(dāng)前本地密鑰的空閑時長大于預(yù)設(shè)閾值時，對當(dāng)前本地密鑰進行更新；

接收單元，用于接收認證請求設(shè)備發(fā)送的會話重用請求報文，所述會話重用請求報文包含身份認證設(shè)備預(yù)先發(fā)送至認證請求設(shè)備的會話票證；

解密單元，用于利用當(dāng)前本地密鑰對所述會話票證進行解密；

啟動單元，用于在所述解密單元對會話票證解密成功后，為所述認證請求設(shè)備啟動會話重用機制；

建立單元，用于在所述解密單元對會話票證解密失敗后，與所述認證請求設(shè)備建立完整的會話連接。

根據(jù)本申請第二個實施例的第一方面，提供一種會話重用方法，應(yīng)用于身份認證設(shè)備，預(yù)先為當(dāng)前本地密鑰設(shè)置一老化時長，在當(dāng)前本地密鑰的老化時長結(jié)束后，生成一新的本地密鑰，并生成該新的本地密鑰對應(yīng)的本地密鑰標識；將老化時長已經(jīng)結(jié)束的本地密鑰對應(yīng)的密鑰信息插入至一預(yù)先生成的密鑰隊列，其中，所述密鑰信息包括：本地密鑰標識和本地密鑰，所述方法包括：

接收認證請求設(shè)備發(fā)送的會話重用請求報文，所述會話重用請求報文包含身份認證設(shè)備預(yù)先發(fā)送至認證請求設(shè)備的會話票證和本地密鑰標識；

判斷會話重用請求報文所包含的本地密鑰標識是否為新生成的本地密鑰對應(yīng)的本地密鑰標識；

如果是，則利用新生成的本地密鑰對所述會話票證進行解密，以在會話票證解密成功的情況下，為所述認證請求設(shè)備啟動會話重用機制；

如果否，則確定所述密鑰隊列中是否存在該本地密鑰標識，并在該本地密鑰標識存在的情況下，利用該標識對應(yīng)的本地密鑰對所述會話票證進行解密，以在會話票證解密成功的情況下，為所述認證請求設(shè)備啟動會話重用機制。

根據(jù)本申請第二個實施例的第二方面，提供一種會話重用裝置，應(yīng)用于身份認證設(shè)備，所述裝置包括：

本地密鑰變換單元和重用請求處理單元；

所述本地密鑰變換單元，用于為當(dāng)前本地密鑰設(shè)置老化時長；以及在當(dāng)前本地密鑰的老化時長結(jié)束后，生成一新的本地密鑰和所述新的本地密鑰對應(yīng)的本地密鑰標識，并將老化時長已經(jīng)結(jié)束的本地密鑰對應(yīng)的密鑰信息插入至一預(yù)先生成的密鑰隊列，其中，所述密鑰信息包括：本地密鑰標識和本地密鑰；

所述重用請求處理單元，包括：

接收子單元，用于接收認證請求設(shè)備發(fā)送的會話重用請求報文，所述會話重用請求報文包含身份認證設(shè)備預(yù)先發(fā)送至認證請求設(shè)備的會話票證和本地密鑰標識；

判斷子單元，用于判斷會話重用請求報文所包含的本地密鑰標識是否為新生成的本地密鑰對應(yīng)的本地密鑰標識；

確定子單元，用于在所述判斷子單元的判斷結(jié)果為否時，確定所述密鑰隊列中是否存在該本地密鑰標識；

解密子單元，用于在所述判斷子單元的判斷結(jié)果為是時，利用新生成的本地密鑰對所述會話票證進行解密；以及在所述確定子單元確定所述本地密鑰標識存在后，利用該標識對應(yīng)的本地密鑰對所述會話票證進行解密；

啟動子單元，用于在所述解密子單元利用新生成的本地密鑰、或者利用所存在本地密鑰標識對應(yīng)的本地密鑰對所述會話票證解密成功后，為所述認證請求設(shè)備啟動會話重用機制。

在本申請一種會話重用方法的第一個實施例中，身份認證設(shè)備會在當(dāng)前本地密鑰的空閑時長大于預(yù)設(shè)閾值時，對當(dāng)前本地密鑰進行更新，在這一條件下，即使在先使用的本地密鑰被盜取，第三方設(shè)備也無法根據(jù)所盜取的本地密鑰，對使用在后本地密鑰加密而成的會話票證進行解密，從而在一定程度上提高了加密傳輸會話的安全性。在本申請一種會話重用方法的第二個實施例中，身份認證設(shè)備會在當(dāng)前本地密鑰的老化時長結(jié)束后，生成一新的本地密鑰，并將老化時長已經(jīng)結(jié)束的本地密鑰在預(yù)先創(chuàng)建的密鑰隊列中保留一定的時長，這不僅使得用于對會話密鑰進行加密的的本地密鑰可以得到適時地變換，從而提高會話密鑰的安全性，而且可以保證利用老化時長已經(jīng)結(jié)束的本地密鑰進行加密得到的會話票證依然可以被解密成功，從而更大程度地保證了認證請求設(shè)備所申請的會話重用得以成功實現(xiàn)。

附圖說明

圖1是本申請一種會話重用方法的一個示例性場景圖；

圖2是本申請一種會話重用方法的一個實施例流程圖；

圖3是本申請一種會話重用方法的另一個實施例流程圖；

圖4是本申請一種會話重用裝置的第一個實施例的第一種裝置結(jié)構(gòu)圖；

圖5是本申請一種會話重用裝置的第一個實施例的第二種裝置結(jié)構(gòu)圖；

圖6是本申請一種會話重用裝置的第二個實施例的裝置結(jié)構(gòu)圖；

圖7是本申請中重用請求處理單元的結(jié)構(gòu)圖。

具體實施方式

這里將詳細地對示例性實施例進行說明，其示例表示在附圖中。下面的描述涉及附圖時，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實施例中所描述的實施方式并不代表與本申請相一致的所有實施方式。相反，它們僅是與如所附權(quán)利要求書中所詳述的、本申請的一些方面相一致的裝置和方法的例子。

在本申請使用的術(shù)語是僅僅出于描述特定實施例的目的，而非旨在限制本申請。在本申請和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式，除非上下文清楚地表示其他含義。還應(yīng)當(dāng)理解，本文中使用的術(shù)語“和/或”是指并包含一個或多個相關(guān)聯(lián)的列出項目的任何或所有可能組合。

應(yīng)當(dāng)理解，盡管在本申請可能采用術(shù)語第一、第二、第三等來描述各種信息，但這些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如，在不脫離本申請范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語境，如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當(dāng)……時”或“響應(yīng)于確定”。

參見圖1，圖1是本申請一種會話重用方法的一個示例性場景圖。該場景圖可以包括支持使用SSL協(xié)議或者TLS(Transport Layer Security Protocol，安全傳輸層協(xié)議)的認證請求設(shè)備和身份認證設(shè)備，其中，認證請求設(shè)備可以為客戶端設(shè)備，而身份認證設(shè)備可以為服務(wù)器、網(wǎng)關(guān)設(shè)備以及負載均衡設(shè)備等，使用SSL協(xié)議或者TLS協(xié)議進行加密的協(xié)議可以為HTTP(Hyper Text Transfer Protocol，超文本傳輸協(xié)議)等。在實際應(yīng)用中，上述認證請求設(shè)備與身份認證設(shè)備的數(shù)量可根據(jù)實際情況而定。

目前，為應(yīng)對日益嚴峻的網(wǎng)絡(luò)安全問題，使用SSL先將會話數(shù)據(jù)進行加密再傳輸?shù)姆椒ㄒ呀?jīng)變得非常普遍。在這種方式下，認證請求設(shè)備與身份認證設(shè)備之間即將進行的每一次會話，都需要通過完成一次SSL正常握手來建立新的會話連接完整的會話連接，而為了節(jié)省會話連接完整的會話連接建立所耗費的時間以及處理器資源，通?？刹捎脮捴赜脵C制在一定條件下實現(xiàn)會話的重復(fù)使用。

會話重用機制下，身份認證設(shè)備會使用本地密鑰加密會話密鑰得到要發(fā)送至認證請求設(shè)備的會話票證，并通過同一本地密鑰對認證請求設(shè)備返回的上述會話票證進行解密，并在解密成功后，為認證請求設(shè)備啟動會話重用機制。而在惡意第三方盜取了本地密鑰，并利用所盜取的本地密鑰解密截獲的會話票證、獲得會話密鑰的情況下，利用該會話密鑰所加密會話數(shù)據(jù)的安全性將無法被保證。

為了使本技術(shù)領(lǐng)域的人員更好地理解本申請實施例中的技術(shù)方案，并使本申請實施例的上述目的、特征和優(yōu)點能夠更加明顯易懂，下面結(jié)合附圖對本申請實施例中技術(shù)方案作進一步詳細的說明。

在下述本申請方法的第一個實施例中，身份認證設(shè)備可以在當(dāng)前本地密鑰的空閑時長大于預(yù)設(shè)閾值時，對當(dāng)前本地密鑰進行更新。其中，上述空閑時長是指：當(dāng)前本地密鑰從生成時刻開始或者從某一次被使用的時刻開始，到在此之后的最近一次被使用的時刻結(jié)束所經(jīng)歷的時長；上述預(yù)設(shè)閾值可以通過身份認證設(shè)備對相關(guān)事件的學(xué)習(xí)得到，具體的，身份認證設(shè)備可以通過學(xué)習(xí)認證請求設(shè)備在會話票證的老化時長內(nèi)發(fā)送會話重用請求的時刻分布規(guī)律來得到上述預(yù)設(shè)閾值，其中，會話票證的老化時長可以是指：認證請求設(shè)備從接收到這一會話票證的時刻開始，到認證請求設(shè)備開始無法使用該會話票證在一定條件下實現(xiàn)會話重用的時刻結(jié)束所經(jīng)歷的時長；上述更新為覆蓋更新，即在當(dāng)前本地密鑰的空閑時長大于預(yù)設(shè)閾值、且身份認證設(shè)備已經(jīng)生成了新的本地密鑰后，身份認證設(shè)備將不再以任何形式保存在先使用的本地密鑰。

在這一背景下，本申請方法的第一個實施例的流程可如圖2所示，圖2是本申請一種會話重用方法的一個實施例流程圖，該流程圖可以包括以下步驟：

步驟201：身份認證設(shè)備接收認證請求設(shè)備發(fā)送的會話重用請求報文，上述會話重用請求報文包含身份認證設(shè)備預(yù)先發(fā)送至認證請求設(shè)備的會話票證。

本方法實施例中，認證請求設(shè)備需要在會話票證的老化時長內(nèi)向身份認證設(shè)備發(fā)送會話重用請求報文。當(dāng)會話票證的老化時長結(jié)束后，會話票證會自動失效，故在這一條件下，認證請求設(shè)備將直接與身份認證設(shè)備建立新的完整的會話連接，以進行會話傳輸。

本方法實施例中，身份認證設(shè)備會在每一次SSL完整握手之后，將握手過程中協(xié)商得到的會話密鑰以會話票證的方式發(fā)送至認證請求設(shè)備，以使認證請求設(shè)備可以在需要對本次SSL完整握手所建立的會話進行重用時，利用上述接收到的會話票證向身份認證設(shè)備申請會話重用。其中，上述認證請求設(shè)備為本次與身份認證設(shè)備完成握手的設(shè)備；上述會話票證由身份認證設(shè)備利用所保存的當(dāng)前本地密鑰加密上述會話密鑰而得到。

本方法實施例中，由于SSL完整握手過程并不在本申請所要求保護的范圍之內(nèi)，故不予贅述。

步驟202：身份認證設(shè)備利用當(dāng)前本地密鑰對上述會話票證進行解密，如果會話票證解密成功，則執(zhí)行步驟203；否則，執(zhí)行步驟204。

本方法實施例中，當(dāng)解密會話票證所使用的本地密鑰，與加密會話密鑰得到該會話票證所使用的本地密鑰相一致時，該會話票證可以被解密成功，否則，則解密失敗。

步驟203：身份認證設(shè)備為認證請求設(shè)備啟動會話重用機制。

本方法實施例中，在啟動會話重用機制后，認證請求設(shè)備與身份認證設(shè)備將同時使用被重用會話先前協(xié)商的會話密鑰對會話數(shù)據(jù)進行加密。

步驟204：身份認證設(shè)備與認證請求設(shè)備建立完整的會話連接。

本方法實施例中，身份認證設(shè)備會在上述完整的會話連接建立之后，利用當(dāng)前本地密鑰對本會話連接建立過程中協(xié)商得到的會話密鑰進行加密，并將加密得到的會話票證發(fā)送至認證請求設(shè)備。

由以上方法實施例可以看出，身份認證設(shè)備會在當(dāng)前本地密鑰的空閑時長大于預(yù)設(shè)閾值時，對當(dāng)前本地密鑰進行更新，在這一條件下，即使在先使用的本地密鑰被盜取，第三方設(shè)備也無法根據(jù)所盜取的本地密鑰，對使用在后本地密鑰加密而成的會話票證進行解密，從而在一定程度上提高了加密傳輸會話的安全性。

在下述本申請方法的第二個實施例中，針對已預(yù)先為當(dāng)前本地密鑰設(shè)置的老化時長，身份認證設(shè)備可以在當(dāng)前本地密鑰的老化時長結(jié)束后，一方面生成一新的本地密鑰、以及該新的本地密鑰對應(yīng)的本地密鑰標識，并將使用該新的本地密鑰加密會話密鑰而得到的會話票證、以及本地密鑰標識發(fā)送至認證請求設(shè)備；另一方面并將老化時長已經(jīng)結(jié)束的本地密鑰對應(yīng)的密鑰信息插入至預(yù)先生成的密鑰隊列，其中，上述密鑰信息包括：本地密鑰標識和本地密鑰。

需要指出的是，由于身份認證設(shè)備會在每次生成新的本地密鑰后，都將使用該新的本地密鑰加密會話密鑰而得到的會話票證發(fā)送至認證請求設(shè)備，所以認證請求設(shè)備可能在同一時刻同時擁有多個可用的會話票證，而具體使用哪一會話票證對會話實施重用，認證請求設(shè)備則可以根據(jù)具體情況自行決定，這在很大程度上提高了加密數(shù)據(jù)傳輸?shù)陌踩浴?/p>

關(guān)于預(yù)先生成的密鑰隊列，在本實施例的第一種實現(xiàn)方式中，身份認證設(shè)備可在將老化時長已經(jīng)結(jié)束的本地密鑰對應(yīng)的密鑰信息插入至密鑰隊列后，同時為該密鑰信息設(shè)置一老化時長，以在該老化時長結(jié)束后，將該密鑰信息從上述密鑰隊列中移除，節(jié)省隊列空間。在本實施例的第二種實現(xiàn)方式中，身份認證設(shè)備可以控制密鑰隊列的長度為一預(yù)設(shè)長度值，根據(jù)隊列的基本工作原理，在一當(dāng)前本地密鑰的老化時長結(jié)束之后，身份認證設(shè)備將從密鑰隊列的尾端將這一當(dāng)前本地密鑰對應(yīng)的密鑰信息插入至密鑰隊列，而由于隊列的長度固定，在隊列已滿的情況下，位于密鑰隊列首端的密鑰信息將被移除，從而在一定程度上實現(xiàn)了設(shè)備內(nèi)存空間的節(jié)省。具體的，上述預(yù)設(shè)長度值可以為：會話票證的老化時長除以本地密鑰的老化時長所得的商，比如，會話票證的老化時長為1000秒，即認證請求設(shè)備可以在收到該會話票證的1000秒內(nèi)使用該會話票證，而本地密鑰的老化時長為1秒，即身份認證設(shè)備每一秒對當(dāng)前本地密鑰更新一次，則根據(jù)上述隊列的工作原理，為使認證請求設(shè)備在第1000秒內(nèi)發(fā)送的會話重用請求報文中所包含的會話票證可以被正常解密，密鑰隊列的長度應(yīng)至少包含1000個單位長度，其中，每一個單位長度可存放一條密鑰信息。

在這一背景下，本申請方法的第二個實施例的流程可如圖3所示，圖3是本申請一種會話重用方法的另一個實施例流程圖，該流程圖可以包括以下步驟：

步驟301：身份認證設(shè)備接收認證請求設(shè)備發(fā)送的會話重用請求報文，上述會話重用請求報文包含身份認證設(shè)備預(yù)先發(fā)送至認證請求設(shè)備的會話票證和本地密鑰標識。

本方法實施例中，認證請求設(shè)備同樣需要在會話票證的老化時長內(nèi)向身份認證設(shè)備發(fā)送會話重用請求報文。不同的是，本實施例中，認證請求設(shè)備發(fā)送的會話重用請求報文除包含會話票證以外，還包含一本地密鑰標識，該標識為：加密會話密鑰得到該會話票證所使用的本地密鑰對應(yīng)的標識，該標識用于查詢保存于身份認證設(shè)備中的相應(yīng)的本地密鑰。

步驟302：身份認證設(shè)備判斷會話重用請求報文所包含的本地密鑰標識是否為新生成的本地密鑰對應(yīng)的本地密鑰標識，如果是，則執(zhí)行步驟303；如果否，則執(zhí)行步驟304。

步驟303：身份認證設(shè)備利用新生成的本地密鑰對上述會話票證進行解密，以在會話票證解密成功的情況下，為認證請求設(shè)備啟動會話重用機制。

本方法實施例中，在會話票證解密失敗的情況下，身份認證設(shè)備則會要求認證請求設(shè)備直接與本地建立新的完整的會話連接。

步驟304：身份認證設(shè)備確定上述密鑰隊列中是否存在該本地密鑰標識，并在該本地密鑰標識存在的情況下，利用該標識對應(yīng)的本地密鑰對上述會話票證進行解密，以在會話票證解密成功的情況下，為認證請求設(shè)備啟動會話重用機制。

本方法實施例中，如果密鑰隊列中不存在上述本地密鑰標識，身份認證設(shè)備則會要求所述認證請求設(shè)備直接與本地建立新的完整的會話連接；如果密鑰隊列中存在上述本地密鑰標識，但會話票證解密失敗，身份認證設(shè)備同樣會要求認證請求設(shè)備直接與本地建立新的完整的會話連接。

由以上方法實施例可以看出，身份認證設(shè)備會在當(dāng)前本地密鑰的老化時長結(jié)束后，生成一新的本地密鑰，并將老化時長已經(jīng)結(jié)束的本地密鑰在預(yù)先創(chuàng)建的密鑰隊列中保留一定的時長，這不僅使得用于對會話密鑰進行加密的的本地密鑰可以得到適時地變換，從而提高會話密鑰的安全性，而且可以保證利用老化時長已經(jīng)結(jié)束的本地密鑰進行加密得到的會話票證依然可以被解密成功，從而更大程度地保證了認證請求設(shè)備所申請的會話重用得以成功實現(xiàn)。

以下將通過一個具體的實施例對本申請方法進行描述，與上述方法實施例不同的是，本實施例結(jié)合具體示例對部分步驟進行了說明，具有較強的實際操作意義，具體的，本實施例可以包括以下步驟：

步驟1：身份認證設(shè)備接收認證請求設(shè)備發(fā)送的會話重用請求報文，上述會話重用請求報文包含身份認證設(shè)備預(yù)先發(fā)送至認證請求設(shè)備的會話票證和本地密鑰標識。

本實施例中，假設(shè)認證請求設(shè)備與身份認證設(shè)備已經(jīng)基于第一會話完成了一次完整的SSL握手，其中，加密本次握手中協(xié)商獲得的會話密鑰的本密鑰為第一本地密鑰；且由于第一本地密鑰的老化時長結(jié)束，身份認證設(shè)備已經(jīng)生成了第二本地密鑰以及第二本地密鑰所對應(yīng)的本地密鑰標識。

本實施例中，進一步假設(shè)上述會話重用請求報文中包含上述第一會話所對應(yīng)的會話票證、以及第一本地密鑰所對應(yīng)的本地密鑰標識。

步驟2：身份認證設(shè)備判斷會話重用請求報文所包含的本地密鑰標識是否為新生成的本地密鑰對應(yīng)的本地密鑰標識，如果是，則執(zhí)行步驟3；如果否，則執(zhí)行步驟4。

本實施例中，在步驟1的假設(shè)背景下，身份認證設(shè)備將在判斷出會話重用請求報文所包含的本地密鑰標識不是第二本地密鑰對應(yīng)的本地密鑰標識后，執(zhí)行步驟4。

步驟3：身份認證設(shè)備利用新生成的本地密鑰對上述會話票證進行解密，以在會話票證解密成功的情況下，為認證請求設(shè)備啟動會話重用機制。

步驟4：身份認證設(shè)備確定上述密鑰隊列中是否存在該本地密鑰標識，并在該本地密鑰標識存在的情況下，利用該標識對應(yīng)的本地密鑰對上述會話票證進行解密，以在會話票證解密成功的情況下，為認證請求設(shè)備啟動會話重用機制。

本實施例中，當(dāng)身份認證設(shè)備在密鑰隊列中找到上述第一本地密鑰，但并未對接收到的會話票證解密成功時，則會要求所述認證請求設(shè)備直接與本地建立新的完整的會話連接。

由以上實施例可以看出，身份認證設(shè)備會在當(dāng)前本地密鑰的老化時長結(jié)束后，生成一新的本地密鑰，并將老化時長已經(jīng)結(jié)束的本地密鑰在預(yù)先創(chuàng)建的密鑰隊列中保留一定的時長，這不僅使得用于對會話密鑰進行加密的的本地密鑰可以得到適時地變換，從而提高會話密鑰的安全性，而且可以保證利用老化時長已經(jīng)結(jié)束的本地密鑰進行加密得到的會話票證依然可以被解密成功，從而更大程度地保證了認證請求設(shè)備所申請的會話重用得以成功實現(xiàn)。

與前述一種會話重用方法的實施例相對應(yīng)，本申請還提供了一種會話重用裝置的實施例。

參見圖4，圖4是本申請一種會話重用裝置的第一個實施例的第一種裝置結(jié)構(gòu)圖。該裝置應(yīng)用于身份認證設(shè)備，該裝置可以包括：更新單元410、接收單元420、解密單元430、啟動單元440、建立單元450。

其中，更新單元410，可用于在當(dāng)前本地密鑰的空閑時長大于預(yù)設(shè)閾值時，對當(dāng)前本地密鑰進行更新；

接收單元420，可用于接收認證請求設(shè)備發(fā)送的會話重用請求報文，會話重用請求報文包含身份認證設(shè)備預(yù)先發(fā)送至認證請求設(shè)備的會話票證；

解密單元430，可用于利用當(dāng)前本地密鑰對上述會話票證進行解密；

啟動單元440，可用于在解密單元430對會話票證解密成功后，為上述認證請求設(shè)備啟動會話重用機制；

建立單元450，可用于在解密單元430對會話票證解密失敗后，與上述認證請求設(shè)備建立完整的會話連接。

在本裝置實施例的一種實現(xiàn)方式中，上述裝置還可以包括：加密單元460、發(fā)送單元470，具體可參見圖5，圖5是本申請一種會話重用裝置的第一個實施例的第二種裝置結(jié)構(gòu)圖。

其中，加密單元460，可用于在會話票證解密失敗的情況下，利用當(dāng)前本地密鑰對完整會話連接建立過程中協(xié)商得到的會話密鑰進行加密；

發(fā)送單元470，可用于將加密單元460加密上述會話密鑰得到的會話票證發(fā)送至認證請求設(shè)備。

參加圖6，圖6是本申請一種會話重用裝置的第二個實施例的裝置結(jié)構(gòu)圖。該裝置應(yīng)用于身份認證設(shè)備，該裝置可以包括：本地密鑰變換單元610、重用請求處理單元620。

其中，本地密鑰變換單元610，用于為當(dāng)前本地密鑰設(shè)置老化時長；以及在當(dāng)前本地密鑰的老化時長結(jié)束后，生成一新的本地密鑰和新的本地密鑰對應(yīng)的本地密鑰標識，并將老化時長已經(jīng)結(jié)束的本地密鑰對應(yīng)的密鑰信息插入至一預(yù)先生成的密鑰隊列，其中，上述密鑰信息包括：本地密鑰標識和本地密鑰；

重用請求處理單元620，又可包括：接收子單元621、判斷子單元622、確定子單元623、解密子單元624、啟動子單元625，具體可參見圖7，圖7是本申請中重用請求處理單元的結(jié)構(gòu)圖。

其中，接收子單元621，用于接收認證請求設(shè)備發(fā)送的會話重用請求報文，上述會話重用請求報文包含身份認證設(shè)備預(yù)先發(fā)送至認證請求設(shè)備的會話票證和本地密鑰標識；

判斷子單元622，用于判斷會話重用請求報文所包含的本地密鑰標識是否為新生成的本地密鑰對應(yīng)的本地密鑰標識；

確定子單元623，用于在判斷子單元622的判斷結(jié)果為否時，確定密鑰隊列中是否存在該本地密鑰標識；

解密子單元624，用于在判斷子單元622的判斷結(jié)果為是時，利用新生成的本地密鑰對上述會話票證進行解密；以及在確定子單元623確定上述本地密鑰標識存在后，利用該標識對應(yīng)的本地密鑰對上述會話票證進行解密；

啟動子單元625，用于在解密子單元624利用新生成的本地密鑰、或者利用所存在本地密鑰標識對應(yīng)的本地密鑰對上述會話票證解密成功后，為認證請求設(shè)備啟動會話重用機制。

在本裝置實施例的一種實現(xiàn)方式中，上述本地密鑰變換單元610還可用于：在生成一新的本地密鑰和新的本地密鑰對應(yīng)的本地密鑰標識之后，將使用該新的本地密鑰加密會話密鑰而得到的會話票證、以及本地密鑰標識發(fā)送至認證請求設(shè)備。

在本申請一種會話重用裝置的第一個實施例中，身份認證設(shè)備會在當(dāng)前本地密鑰的空閑時長大于預(yù)設(shè)閾值時，對當(dāng)前本地密鑰進行更新，在這一條件下，即使在先使用的本地密鑰被盜取，第三方設(shè)備也無法根據(jù)所盜取的本地密鑰，對使用在后本地密鑰加密而成的會話票證進行解密，從而在一定程度上提高了加密傳輸會話的安全性。在本申請一種會話重用裝置的第二個實施例中，身份認證設(shè)備會在當(dāng)前本地密鑰的老化時長結(jié)束后，生成一新的本地密鑰，并將老化時長已經(jīng)結(jié)束的本地密鑰在預(yù)先創(chuàng)建的密鑰隊列中保留一定的時長，這不僅使得用于對會話密鑰進行加密的本地密鑰可以得到適時地變換，從而提高會話密鑰的安全性，而且可以保證利用老化時長已經(jīng)結(jié)束的本地密鑰進行加密得到的會話票證依然可以被解密成功，從而更大程度地保證了認證請求設(shè)備所申請的會話重用得以成功實現(xiàn)。

上述裝置中各個單元的功能和作用的實現(xiàn)過程具體詳見上述方法中對應(yīng)步驟的實現(xiàn)過程，在此不再贅述。

對于裝置實施例而言，由于其基本對應(yīng)于方法實施例，所以相關(guān)之處參見方法實施例的部分說明即可。以上所描述的裝置實施例僅僅是示意性的，其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實際的需要選擇其中的部分或者全部模塊來實現(xiàn)本申請方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動的情況下，即可以理解并實施。

以上所述僅為本申請的較佳實施例而已，并不用以限制本申請，凡在本申請的精神和原則之內(nèi)，所做的任何修改、等同替換、改進等，均應(yīng)包含在本申請保護的范圍之內(nèi)。