專利名稱:一種安全傳輸層協(xié)議tls握手方法和裝置及ttp的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�,尤其涉及一種安全傳輸層協(xié)議TLS握手方法和裝置及TTP。
背景技術(shù):
TLS(Transport Layer Security,安全傳輸層協(xié)議)用于在兩個(gè)通信應(yīng)用程序之間提供保密性和數(shù)據(jù)完整性��。TLS協(xié)議包括TLS記錄協(xié)議和TLS握手協(xié)議���,其中TLS握手協(xié)議包括改變密碼規(guī)范協(xié)議�����、警告協(xié)議和握手過程�。警告協(xié)議定義了相關(guān)警告消息����, 且可以根據(jù)應(yīng)用需求不斷被擴(kuò)展。TLS握手過程定義了十種TLS握手消息問候請(qǐng)求消息(HelloRequest)�����、客戶端問候消息(ClientHello)�、服務(wù)端問候消息(ServerHello)、 證書消息(Certificate)����、服務(wù)端密鑰交換消息(ServerKeyExchange)、證書請(qǐng)求消息 (CertificateRequest)��、服務(wù)端問候結(jié)束消息(ServerHelloDone)、客戶端密鑰交換消息 (ClientKeyExchange)���、證書驗(yàn)證消息(CertificateVerify)�����、完成消息(Finished)�����,其中客戶端問候消息、客戶端密鑰交換消息��、證書驗(yàn)證消息僅可以由客戶端(Client)發(fā)送��,問候請(qǐng)求消息���、服務(wù)端問候消息����、服務(wù)端密鑰交換消息��、證書請(qǐng)求消息�����、服務(wù)端問候結(jié)束消息僅可以由服務(wù)端(Server)發(fā)送,而證書消息�����、完成消息可以由客戶端和服務(wù)端發(fā)送�����。為了區(qū)別客戶端和服務(wù)端發(fā)送的證書消息�����,將客戶端發(fā)送的證書消息表示為客戶端的證書消息��,而將服務(wù)端發(fā)送的證書消息表示為服務(wù)端的證書消息�����。為了區(qū)別客戶端和服務(wù)端發(fā)送的完成消息���,將客戶端發(fā)送的完成消息表示為客戶端的完成消息����,而將服務(wù)端發(fā)送的完成消息表示為服務(wù)端的完成消息。當(dāng)客戶端和服務(wù)端都采用證書時(shí)��,如圖1所示���,客戶端和服務(wù)端的雙方TLS握手過程的具體步驟如下步驟1)當(dāng)服務(wù)端主動(dòng)發(fā)起TLS握手過程時(shí)����,服務(wù)端向客戶端發(fā)送①問候請(qǐng)求消肩����、ο步驟i)當(dāng)客戶端收到服務(wù)端發(fā)送的問候請(qǐng)求消息、或客戶端主動(dòng)發(fā)起TLS握手過程時(shí)�����,向服務(wù)端發(fā)送②客戶端問候消息����,包含客戶端的詢問��、客戶端所支持的密碼套件列表��,其中客戶端的詢問為客戶端產(chǎn)生的一個(gè)隨機(jī)數(shù)�����。步驟3)服務(wù)端收到客戶端發(fā)送的客戶端問候消息后,依次向客戶端發(fā)送如下消息③服務(wù)端問候消息�����,包含服務(wù)端的詢問��,及服務(wù)端從客戶端問候消息中選擇的一種服務(wù)端所支持的密碼套件��,服務(wù)端的詢問為服務(wù)端產(chǎn)生的一個(gè)隨機(jī)數(shù)�;④服務(wù)端的證書消息,包含服務(wù)端的證書����;⑤服務(wù)端密鑰交換消息,包含服務(wù)端的臨時(shí)公鑰�����、服務(wù)端利用服務(wù)端的證書所對(duì)應(yīng)的私鑰對(duì)服務(wù)端的臨時(shí)公鑰的簽名��;⑥證書請(qǐng)求消息����,包含服務(wù)端的證書請(qǐng)求信息��;⑦服務(wù)端問候結(jié)束消息����,表示消息發(fā)送過程結(jié)束����。步驟4)客戶端首先依次接收服務(wù)端發(fā)送的消息③ ⑦,然后依次向服務(wù)端發(fā)送如下消息④’客戶端的證書消息�,包含客戶端的證書;⑧客戶端密鑰交換消息��,包含客戶端的臨時(shí)公鑰�;⑨證書驗(yàn)證消息,包含客戶端利用客戶端的證書所對(duì)應(yīng)的私鑰對(duì)消息②�����、③ ⑦���、④’、⑧的簽名�;⑩’客戶端的完成消息,包含客戶端利用客戶端所生成的客戶端和服務(wù)端之間的會(huì)話密鑰對(duì)消息②����、③ ⑦��、④’��、⑧����、⑨計(jì)算的消息鑒別碼��,客戶端所生成的客戶端和服務(wù)端之間的會(huì)話密鑰是客戶端依據(jù)客戶端的詢問���、服務(wù)端的詢問(從③中獲取)�����、客戶端的臨時(shí)私鑰��、服務(wù)端的臨時(shí)公鑰(從⑤中獲取)所生成的客戶端和服務(wù)端之間的會(huì)話密鑰��。其中�����,客戶端會(huì)根據(jù)④中的服務(wù)端的證書對(duì)⑤中的簽名進(jìn)行驗(yàn)證�����,根據(jù)⑥證書請(qǐng)求消息發(fā)送④’客戶端的證書消息����。步驟幻服務(wù)端首先依次接收客戶端發(fā)送的④’、⑧�����、⑨����、⑩’,然后向客戶端發(fā)送⑩ 服務(wù)端的完成消息�����,該消息包含服務(wù)端利用服務(wù)端所生成的客戶端和服務(wù)端之間的會(huì)話密鑰對(duì)②���、③ ⑦�、④’����、⑧、⑨�、⑩’計(jì)算的消息鑒別碼,服務(wù)端所生成的客戶端和服務(wù)端之間的會(huì)話密鑰是服務(wù)端依據(jù)客戶端的詢問(從②中獲取)���、服務(wù)端的詢問�、客戶端的臨時(shí)公鑰 (從⑧中獲取)���、服務(wù)端的臨時(shí)私鑰生成客戶端和服務(wù)端之間的會(huì)話密鑰����。其中�,服務(wù)端會(huì)根據(jù)④’中客戶端的證書對(duì)⑨中的簽名進(jìn)行驗(yàn)證。服務(wù)端會(huì)利用自身生成的會(huì)話密鑰對(duì)⑩’ 的消息鑒別碼驗(yàn)證��;步驟6)客戶端收到服務(wù)端發(fā)送的服務(wù)端的完成消息后�,利用客戶端生成的會(huì)話密鑰驗(yàn)證服務(wù)端的完成消息,若驗(yàn)證不通過����,則丟棄該消息或向服務(wù)端發(fā)送警告消息,否則客戶端和服務(wù)端成功建立了客戶端和服務(wù)端之間的安全隧道�����,即完成密碼套件和會(huì)話密鑰的協(xié)商。在以上所述的TLS握手過程中��,當(dāng)客戶端接收一個(gè)由服務(wù)端發(fā)送的握手消息時(shí)����, 若對(duì)該握手消息的驗(yàn)證不通過,則丟棄該消息或向服務(wù)端發(fā)送警告消息����,否則接收下一個(gè)由服務(wù)端發(fā)送的握手消息或開始依次向服務(wù)端發(fā)送客戶端所生成的握手消息。在以上所述的TLS握手過程中����,當(dāng)服務(wù)端接收一個(gè)由客戶端發(fā)送的握手消息時(shí), 若對(duì)該握手消息的驗(yàn)證不通過����,則丟棄該消息或向客戶端發(fā)送警告消息,否則接收下一個(gè)由客戶端發(fā)送的握手消息或開始依次向客戶端發(fā)送服務(wù)端所生成的握手消息�。在以上所述的TLS握手過程中,客戶端和服務(wù)端可以建立客戶端和服務(wù)端之間的安全隧道�。但是,上述TLS握手過程是一個(gè)點(diǎn)對(duì)點(diǎn)的協(xié)議過程�����,不適用于可信第三方在線的應(yīng)用場(chǎng)景���,也就是說不能利用可信第三方來增強(qiáng)TLS握手過程的安全性���,包括利用可信第三方集中驗(yàn)證客戶端的證書和服務(wù)端的證書的有效性、建立客戶端與可信第三方之間的安全隧道和建立服務(wù)端與可信第三方之間的安全隧道�����。
發(fā)明內(nèi)容
本發(fā)明提供一種安全傳輸層協(xié)議TLS握手方法和裝置及TTP����,用以解決現(xiàn)有技術(shù)中不能利用可信第三方來增強(qiáng)TLS握手過程的安全性的問題。本發(fā)明提供一種安全傳輸層協(xié)議TLS握手方法�,包括步驟(1),在第一方與第二方的雙方TLS握手過程中��,第一方將第一方的詢問和第一方所支持的密碼套件列表發(fā)送給可信第三方TTP �;步驟(2),TTP基于雙方TLS握手過程����,將TTP的詢問、TTP的臨時(shí)公鑰、TTP-第一方密碼套件通知第一方����,所述TTP-第一方密碼套件為TTP從第一方所支持的密碼套件列表中選取的一種TTP所支持的密碼套件;步驟(3)�����,第一方利用第一方的詢問����、TTP的詢問、第一方的臨時(shí)私鑰��、TTP的臨時(shí)公鑰生成第一方與TTP間的會(huì)話密鑰�;在雙方TLS握手過程中,第一方將第一方-TTP消息鑒別碼通知TTP���,所述第一方-TTP消息鑒別碼為第一方利用生成的第一方與TTP間的會(huì)話密鑰對(duì)從TTP接收及發(fā)給TTP的信息計(jì)算的消息鑒別碼�����;步驟(4)�,TTP在雙方TLS握手過程中���,獲取第一方的臨時(shí)公鑰及第一方-TTP消息鑒別碼��,根據(jù)TTP的詢問�、第一方的詢問��、TTP的臨時(shí)私鑰及第一方的臨時(shí)公鑰生成第一方與TTP間的會(huì)話密鑰���,利用生成的第一方與TTP間的會(huì)話密鑰對(duì)第一方-TTP消息鑒別碼驗(yàn)證;驗(yàn)證通過后����,TTP在雙方TLS握手過程中,向第一方發(fā)送TTP-第一方消息鑒別碼��,所述 TTP-第一方消息鑒別碼為TTP利用生成的第一方與TTP間的會(huì)話密鑰對(duì)從第一方接收及發(fā)給第一方的信息計(jì)算的消息鑒別碼�;步驟(5),在雙方TLS握手過程中����,第一方利用自身生成的第一方與TTP間的會(huì)話密鑰對(duì)TTP-第一方消息鑒別碼驗(yàn)證�,若驗(yàn)證通過,第一方完成與TTP間的安全隧道建立���。本發(fā)明還提供一種TLS握手裝置���,包括第一通知單元���,用于在所述TLS握手裝置作為第一方與第二方的雙方TLS握手過程中��,將第一方的詢問和第一方所支持的密碼套件列表發(fā)送給可信第三方TTP ���;密鑰生成單元,接收ΓΓΡ通知的ΓΓΡ的詢問��、TTP的臨時(shí)公鑰����、TTP-第一方密碼套件;利用第一方的詢問�、TTP的詢問�����、第一方的臨時(shí)私鑰、TTP的臨時(shí)公鑰生成第一方與TTP 間的會(huì)話密鑰��;第二通知單元��,用于在雙方TLS握手過程中���,將第一方-TTP消息鑒別碼通知TTP����, 所述第一方-TTP消息鑒別碼為利用密鑰生成單元生成的第一方與TTP間的會(huì)話密鑰對(duì)從 TTP接收及發(fā)給TTP的信息計(jì)算的消息鑒別碼�;驗(yàn)證單元�����,用于接收TTP通知的TTP-第一方消息鑒別碼���,在雙方TLS握手過程中���, 利用密鑰生成單元生成的第一方與TTP間的會(huì)話密鑰對(duì)TTP-第一方消息鑒別碼驗(yàn)證,若驗(yàn)證通過����,完成與TTP間的安全隧道建立���。本發(fā)明還提供一種可信第三方TTP,包括第一接收單元���,用于在第一方與第二方的雙方TLS握手過程中���,接收第一方通知的第一方將第一方的詢問和第一方所支持的密碼套件列表;第一通知單元�,用于基于雙方TLS握手過程,將TTP的詢問�、TTP的臨時(shí)公鑰、 TTP-第一方密碼套件通知第一方�����,所述TTP-第一方密碼套件為TTP從第一方所支持的密碼套件列表中選取的一種TTP所支持的密碼套件�����;第二接收單元����,用于接收第一方通知的第一方-TTP消息鑒別碼;密鑰生成單元�,用于在雙方TLS握手過程中����,獲取第一方的臨時(shí)公鑰及第一方-TTP消息鑒別碼�,根據(jù)TTP的詢問、第一方的詢問��、TTP的臨時(shí)私鑰及第一方的臨時(shí)公鑰生成第一方與TTP間的會(huì)話密鑰��;鑒別單元�,利用密鑰生成單元生成的第一方與TTP間的會(huì)話密鑰對(duì)第一方-TTP消息鑒別碼驗(yàn)證;驗(yàn)證通過后���,在雙方TLS握手過程中�����,向第一方發(fā)送TTP-第一方消息鑒別碼,所述TTP-第一方消息鑒別碼為利用生成的第一方與TTP間的會(huì)話密鑰對(duì)從第一方接收及發(fā)給第一方的信息計(jì)算的消息鑒別碼���。利用本發(fā)明提供的安全傳輸層協(xié)議TLS握手方法和裝置及TTP�����,具有以下有益效果本發(fā)明應(yīng)用到客戶端與服務(wù)端的雙方TLS握手方法場(chǎng)景時(shí)��,除了建立客戶端與服務(wù)端之間的安全隧道之外���,還可以建立客戶端與可信第三方之間的安全隧道���,增強(qiáng)了安全性;除了建立客戶端與服務(wù)端之間的安全隧道之外��,還可以建立服務(wù)端與可信第三方之間的安全隧道��,增強(qiáng)了安全性�;基于雙方TLS握手方法與TTP間建立安全隧道,具有很好的后向兼容性�����。
圖1為現(xiàn)有的雙方TLS握手過程示意圖���;圖2a����、圖2b為本發(fā)明實(shí)施例1 2中TLS握手方法示意圖�;圖3a、圖北為本發(fā)明實(shí)施例3中TLS握手方法示意圖。
具體實(shí)施例方式下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明提供的TLS握手方法和裝置及TTP進(jìn)行更詳細(xì)地說明?����,F(xiàn)有的雙方TLS握手過程是一個(gè)點(diǎn)對(duì)點(diǎn)的協(xié)議過程��,不適用于可信第三方在線的應(yīng)用場(chǎng)景�����,也就是說不能利用可信第三方來增強(qiáng)TLS握手過程的安全性��,鑒于此�����,本發(fā)明實(shí)施例提供一種安全傳輸層協(xié)議TLS握手方法����,包括步驟(1),在第一方與第二方的雙方TLS握手過程中���,第一方將第一方的詢問和第一方所支持的密碼套件列表發(fā)送給可信第三方TTP ;第一方的詢問為第一方產(chǎn)生的一個(gè)隨機(jī)數(shù)�。步驟⑵,TTP基于雙方TLS握手過程,將TTP的詢問����、TTP的臨時(shí)公鑰、TTP-第一方密碼套件通知第一方�,所述TTP-第一方密碼套件為TTP從第一方所支持的密碼套件列表中選取的一種TTP所支持的密碼套件;TTP的詢問為TTP產(chǎn)生的一個(gè)隨機(jī)數(shù)����。步驟(3),第一方利用第一方的詢問����、TTP的詢問、第一方的臨時(shí)私鑰�、TTP的臨時(shí)公鑰生成第一方與TTP間的會(huì)話密鑰;在雙方TLS握手過程中�����,第一方將第一方-TTP消息鑒別碼通知TTP��,所述第一方-TTP消息鑒別碼為第一方利用生成的第一方與TTP間的會(huì)話密鑰對(duì)從TTP接收及發(fā)給TTP的信息計(jì)算的消息鑒別碼���;這里的從TTP接收及發(fā)給TTP的信息����,優(yōu)選為之前發(fā)給TTP所有信息及之前從TTP 接收的所有信息,及當(dāng)前發(fā)給TTP的除第一方-TTP消息鑒別碼外的所有信息����。步驟(4),TTP在雙方TLS握手過程中��,獲取第一方的臨時(shí)公鑰及第一方-TTP消息鑒別碼�����,根據(jù)TTP的詢問�����、第一方的詢問�����、TTP的臨時(shí)私鑰及第一方的臨時(shí)公鑰生成第一方與TTP間的會(huì)話密鑰�,利用生成的第一方與TTP間的會(huì)話密鑰對(duì)第一方-TTP消息鑒別碼驗(yàn)證;驗(yàn)證通過后�����,TTP在雙方TLS握手過程中�����,向第一方發(fā)送TTP-第一方消息鑒別碼�,所述 TTP-第一方消息鑒別碼為TTP利用生成的第一方與TTP間的會(huì)話密鑰對(duì)從第一方接收及發(fā)給第一方的信息計(jì)算的消息鑒別碼;這里的從第一方接收及發(fā)給第一方的信息�����,優(yōu)選為之前發(fā)給第一方的所有信息及之前從第一方接收的所有信息�,及當(dāng)前發(fā)給第一方的除TTP-第一方消息鑒別碼外的所有 fn息ο步驟(5),在雙方TLS握手過程中��,第一方利用自身生成的第一方與TTP間的會(huì)話密鑰對(duì)TTP-第一方消息鑒別碼驗(yàn)證�����,若驗(yàn)證通過���,第一方完成與TTP間的安全隧道建立�。本發(fā)明實(shí)施例提供的TLS握手方法�����,基于雙方TLS握手過程建立了其中一方與可信第三方之間的安全隧道,因此適用于可信第三方在線的應(yīng)用場(chǎng)景����,從而能夠利用可信第三方來增強(qiáng)TLS握手過程的安全性,本發(fā)明實(shí)施例提供的方法由于是在雙方TLS握手過程基礎(chǔ)上實(shí)現(xiàn)的�����,因此具有很好的后向兼容性����。上述雙方TLS握手過程為現(xiàn)有的TLS握手過程,具體握手過程這里不做限定�。優(yōu)選地,上述第一方為客戶端��,第二方為服務(wù)端��,或者��,上述第一方為服務(wù)端���,第二方為客戶端����。下面以本發(fā)明實(shí)施例在背景技術(shù)描述的TLS握手過程中實(shí)現(xiàn)的TLS握手方法,由于本發(fā)明實(shí)施例提供的TLS握手方法增強(qiáng)了安全性�����,本文稱為增強(qiáng)安全性的TLS握手過程���。實(shí)施例1本實(shí)施例中第一方為客戶端,第二方為服務(wù)端��,本實(shí)施例提供的TLS握手方法能夠在現(xiàn)有雙方TLS握手過程中��,在客戶端與TTP間建立安全隧道���。如圖加所示��,本實(shí)施例中的TLS握手方法具體包括如下步驟步驟1)當(dāng)服務(wù)端主動(dòng)發(fā)起雙方TLS握手過程時(shí)�����,服務(wù)端向客戶端發(fā)送①問候請(qǐng)求消息��。步驟2���、客戶端收到問候請(qǐng)求消息或主動(dòng)發(fā)起雙方TLS握手過程時(shí)����,向服務(wù)端發(fā)送②客戶端問候消息�����,所述客戶端問候消息包括客戶端的詢問�����、客戶端所支持的密碼套件列表��,客戶端的詢問為客戶端產(chǎn)生的一個(gè)隨機(jī)數(shù)��;優(yōu)選地�����,為了實(shí)現(xiàn)標(biāo)識(shí)客戶端是否需要建立與TTP間安全隧道�����,及是否需要驗(yàn)證服務(wù)端的證書有效性����,客戶端具體可以依次向服務(wù)端發(fā)送如下握手消息②客戶端問候消息��;(11)客戶端請(qǐng)求標(biāo)識(shí)消息(ClientRequestFlag)��,用于標(biāo)識(shí)客戶端是否需要利用TTP來驗(yàn)證服務(wù)端的證書的有效性��,以及顯示客戶端是否需要建立與TTP之間的安全隧道����;(12) 客戶端問候結(jié)束消息(ClientHelloDone)����,用于指示客戶端已發(fā)送消息����,可以接收服務(wù)端發(fā)送的消息,即切換為“接收消息”的狀態(tài)�����。步驟幻服務(wù)端依次接收客戶端發(fā)送的各握手消息����,然后執(zhí)行如下步驟步驟31)當(dāng)客戶端請(qǐng)求標(biāo)識(shí)消息顯示客戶端不需要利用TTP來驗(yàn)證服務(wù)端的證書的有效性服務(wù)端向TTP發(fā)送(一)第一消息,所述第一消息包括客戶端問候消息的內(nèi)容���, 即包括客戶端問候消息中的客戶端的詢問��、客戶端所支持的密碼套件列表��。步驟32)當(dāng)客戶端請(qǐng)求標(biāo)識(shí)消息顯示客戶端需要利用TTP來驗(yàn)證服務(wù)端的證書的有效性時(shí)服務(wù)端向TTP發(fā)送(一)第一消息�����,除了包括步驟31)中第一消息的內(nèi)容外��,還包括服務(wù)端的證書�。步驟4) TTP收到服務(wù)端發(fā)送的第一消息后,執(zhí)行如下步驟步驟41)當(dāng)客戶端不需要利用TTP來驗(yàn)證服務(wù)端的證書的有效性若第一消息中不包括服務(wù)端的證書��,則說明不需要驗(yàn)證服務(wù)端證書的有效性��,TTP 向服務(wù)端發(fā)送(二)第二消息�����,所述第二消息包括TTP的詢問����、TTP的臨時(shí)公鑰及TTP-客戶端密碼套件,其中TTP的詢問是TTP產(chǎn)生的一個(gè)隨機(jī)數(shù),其中TTP-客戶端密碼套件是TTP 從第一消息的客戶端所支持的密碼套件列表中選取的一種TTP所支持的密碼套件���。
為了提高信息的安全性����,優(yōu)選地���,第二消息還包括對(duì)TTP的臨時(shí)公鑰的簽名�����,所述對(duì)TTP的臨時(shí)公鑰的簽名是TTP利用自己的私鑰對(duì)TTP的臨時(shí)公鑰的簽名。步驟42)當(dāng)客戶端需要利用TTP來驗(yàn)證服務(wù)端的證書的有效性時(shí)若第一消息中包括服務(wù)端的證書�,則說明需要驗(yàn)證服務(wù)端證書的有效性,TTP向服務(wù)端發(fā)送(二)第二消息����,除了包括步驟41)中第二消息的內(nèi)容外,還包括從第一消息獲取的客戶端的詢問和服務(wù)端的證書����、本地生成的服務(wù)端的證書的驗(yàn)證結(jié)果、對(duì)服務(wù)端證書驗(yàn)證結(jié)果的簽名����,其中對(duì)服務(wù)端證書驗(yàn)證結(jié)果的簽名是TTP利用自己的私鑰對(duì)客戶端的詢問�����、服務(wù)端的證書����、服務(wù)端的證書的驗(yàn)證結(jié)果的簽名�����。步驟5)服務(wù)端收到TTP發(fā)送的第二消息后�,執(zhí)行如下步驟步驟51)當(dāng)客戶端不需要利用TTP來驗(yàn)證服務(wù)端的證書的有效性依次向客戶端發(fā)送如下握手消息③服務(wù)端問候消息、④服務(wù)端的證書消息���、⑤服務(wù)端密鑰交換消息��、⑥證書請(qǐng)求消息�����、(13) TTP-客戶端密鑰數(shù)據(jù)交換消息��、⑦服務(wù)端問候結(jié)束消息�,所述TTP-客戶端密鑰數(shù)據(jù)交換消息包含第二消息內(nèi)容,即包含從第二消息中獲取的TTP的詢問��、TTP-客戶端密碼套件����、TTP的臨時(shí)公鑰,優(yōu)選地�����,還包括對(duì)TTP的臨時(shí)公鑰的簽名�;上述消息③ ⑦的內(nèi)容定義同現(xiàn)有的消息內(nèi)容定義,具體如下③服務(wù)端問候消息����,包含服務(wù)端的詢問、服務(wù)端從客戶端問候消息的客戶端支持的密碼套件中選取的一種服務(wù)端所支持的密碼套件��;④服務(wù)端的證書消息���,包含服務(wù)端的證書;⑤服務(wù)端密鑰交換消息���,包含服務(wù)端的臨時(shí)公鑰�����、服務(wù)端利用服務(wù)端的證書所對(duì)應(yīng)的私鑰對(duì)服務(wù)端的臨時(shí)公鑰的簽名�;⑥證書請(qǐng)求消息,包含服務(wù)端的證書請(qǐng)求信息�����;⑦服務(wù)端問候結(jié)束消息�。步驟52)當(dāng)客戶端需要利用TTP來驗(yàn)證服務(wù)端的證書的有效性時(shí)如圖2b所示,依次向客戶端發(fā)送如下握手消息③服務(wù)端問候消息����;④服務(wù)端的證書消息;(14)證書驗(yàn)證結(jié)果消息��,包含從第二消息中獲取的客戶端的詢問�����、服務(wù)端的證書���、服務(wù)端的證書的驗(yàn)證結(jié)果����、對(duì)服務(wù)端證書驗(yàn)證結(jié)果的簽名;⑤服務(wù)端密鑰交換消息���;⑥ 證書請(qǐng)求消息�����;(13)TTP-客戶端密鑰數(shù)據(jù)交換消息����;⑦服務(wù)端問候結(jié)束消息����。除(14)外其它消息的內(nèi)容同步驟51)中描述。步驟6)客戶端首先依次接收步驟幻中服務(wù)端向客戶端所發(fā)送的各個(gè)握手消息��, 依據(jù)客戶端的詢問�����、客戶端的臨時(shí)私鑰�����、TTP-客戶端密鑰數(shù)據(jù)交換消息中TTP的詢問及TTP 的臨時(shí)公鑰��,生成客戶端和TTP之間的會(huì)話密鑰�;若接收到證書驗(yàn)證結(jié)果消息,客戶端對(duì)證書驗(yàn)證結(jié)果消息中的對(duì)服務(wù)端證書驗(yàn)證結(jié)果的簽名進(jìn)行驗(yàn)證����,若驗(yàn)證通過且服務(wù)端證書有效時(shí),客戶端依次向服務(wù)端發(fā)送如下握手消息④’客戶端的證書消息���、⑧客戶端密鑰交換消息�����、(13)�����,客戶端-TTP密鑰交換消息����、 ⑨證書驗(yàn)證消息���、⑩’客戶端的完成消息��,所述客戶端-TTP密鑰交換消息包含客戶端-TTP 消息鑒別碼���,客戶端-TTP消息鑒別碼為客戶端對(duì)之前發(fā)給TTP所有信息����、之前從TTP接收所有信息��、當(dāng)前發(fā)給TTP的除客戶端-TTP消息鑒別碼外的所有信息計(jì)算的消息鑒別碼���。優(yōu)選地�,若TTP-客戶端密鑰數(shù)據(jù)交換消息包括對(duì)TTP的臨時(shí)公鑰的簽名����,則首先對(duì)該簽名進(jìn)行驗(yàn)證,若驗(yàn)證通過�����,再生成客戶端和TTP之間的會(huì)話密鑰�。上述消息④’、⑧�����、 ⑨、⑩’的內(nèi)容同現(xiàn)有技術(shù)����,具體如下
④’客戶端的證書消息�,包含客戶端的證書;⑧客戶端密鑰交換消息���,包含客戶端的臨時(shí)公鑰�����;⑨證書驗(yàn)證消息����,包含客戶端利用客戶端的證書所對(duì)應(yīng)的私鑰對(duì)發(fā)給服務(wù)端及從服務(wù)端接收信息的簽名���,即對(duì)步驟2)中客戶端向服務(wù)端所發(fā)送的各個(gè)握手消息��、步驟5)中服務(wù)端向客戶端所發(fā)送的各個(gè)握手消息���、④’客戶端的證書消息、⑧客戶端密鑰交換消息���、 (13)���,客戶端-TTP密鑰交換消息的簽名��;⑩’客戶端的完成消息�����,包含客戶端利用客戶端所生成的客戶端和服務(wù)端之間的會(huì)話密鑰對(duì)發(fā)給服務(wù)端及從服務(wù)端接收的信息計(jì)算的消息鑒別碼�,即對(duì)步驟2�、中客戶端向服務(wù)端所發(fā)送的各個(gè)握手消息、步驟幻中服務(wù)端向客戶端所發(fā)送的各個(gè)握手消息����、④’客戶端的證書消息、⑧客戶端密鑰交換消息���、(13)����,客戶端-TTP密鑰交換消息�����、⑨證書驗(yàn)證消息計(jì)算的消息鑒別碼。具體地�����,客戶端依據(jù)客戶端的詢問�、從服務(wù)端問候消息獲取服務(wù)端的詢問�����、客戶端的臨時(shí)私鑰���、從服務(wù)端密鑰交換消息獲取的服務(wù)端的臨時(shí)公鑰生成客戶端與服務(wù)端間的會(huì)話S朗ο優(yōu)選地���,為了進(jìn)一步增強(qiáng)安全性,上述(13)’客戶端-TTP密鑰交換消息���,還包括 包含客戶端利用客戶端的證書所對(duì)應(yīng)的私鑰對(duì)客戶端的密鑰數(shù)據(jù)的簽名��;客戶端-TTP消息鑒別碼具體為客戶端利用自身生成的客戶端和TTP之間的會(huì)話密鑰對(duì)客戶端的詢問���、客戶端所支持的密碼套件列表、TTP的詢問�、TTP-客戶端密碼套件、TTP的臨時(shí)公鑰、對(duì)TTP的臨時(shí)公鑰的簽名����、客戶端的證書、客戶端的臨時(shí)公鑰���、對(duì)客戶端臨時(shí)公鑰的簽名計(jì)算的消息鑒別碼�。步驟7)服務(wù)端依次接收步驟6)中客戶端發(fā)送的各個(gè)握手消息���,然后執(zhí)行如下步驟步驟71)當(dāng)服務(wù)端不需要利用TTP來驗(yàn)證客戶端的證書的有效性時(shí)向TTP發(fā)送(三)第三消息�����,包括從客戶端密鑰交換消息中獲取的客戶端的臨時(shí)公鑰�、從客戶端-TTP密鑰交換消息中獲取的客戶端-TTP消息鑒別碼���。優(yōu)選地�����,第三消息還包括從客戶端的證書消息中獲取的客戶端的證書��、從客戶端-TTP密鑰交換消息中獲取的對(duì)客戶端的臨時(shí)公鑰的簽名����。步驟72)當(dāng)服務(wù)端需要利用TTP來驗(yàn)證客戶端的證書的有效性向TTP發(fā)送(三)第三消息,至少包括服務(wù)端的詢問和從客戶端的證書消息中獲取的客戶端的證書����,還包括步驟71)中第三消息的內(nèi)容。步驟8) TTP收到服務(wù)端發(fā)送的第三消息后��,執(zhí)行如下步驟步驟81)當(dāng)服務(wù)端不需要利用TTP來驗(yàn)證客戶端的證書的有效性利用TTP的詢問�����、TTP的臨時(shí)私鑰�、第一消息中客戶端的詢問�����、第三消息中客戶端的臨時(shí)公鑰生成客戶端與TTP間的會(huì)話密鑰�����,TTP利用生成的客戶端與TTP間的會(huì)話密鑰驗(yàn)證第三消息中的客戶端-TTP消息鑒別碼��,若驗(yàn)證通過����,向服務(wù)端發(fā)送包含TTP-客戶端消息鑒別碼的第四消息�。為了進(jìn)一步增強(qiáng)安全性����,優(yōu)選地,TTP利用第三消息中的客戶端的證書驗(yàn)證第三消息中對(duì)客戶端的臨時(shí)公鑰的簽名���,若驗(yàn)證通過再生成客戶端與TTP間的會(huì)話密鑰��。
其中TTP-客戶端消息鑒別碼是TTP利用自身生成的客戶端和TTP之間的會(huì)話密鑰對(duì)之前從客戶端接收的所有信息�、之前發(fā)給客戶端所有信息����、當(dāng)前發(fā)給客戶端的除 TTP-客戶端消息鑒別碼外所有信息的消息鑒別碼,即對(duì)客戶端的詢問���、客戶端所支持的密碼套件列表����、TTP的詢問����、TTP-客戶端密碼套件���、TTP的臨時(shí)公鑰、對(duì)TTP的臨時(shí)公鑰的簽名����、客戶端的證書、客戶端的臨時(shí)公鑰����、對(duì)客戶端臨時(shí)公鑰的簽名、客戶端-TTP消息鑒別碼計(jì)算的消息鑒別碼�。步驟82)若服務(wù)端需要利用TTP來驗(yàn)證客戶端的證書的有效性,則驗(yàn)證客戶端-TTP消息鑒別碼通過后���,在發(fā)送(四)第四消息之前,還包括生成客戶端的證書的驗(yàn)證結(jié)果和對(duì)客戶端證書驗(yàn)證結(jié)果的簽名�����,然后向服務(wù)端發(fā)送(四)第四消息�,第四消息除了包括上述TTP-客戶端消息鑒別碼,還包括服務(wù)端的詢問���、客戶端的證書�����、客戶端的證書的驗(yàn)證結(jié)果���、對(duì)客戶端證書驗(yàn)證結(jié)果的簽名����,其中服務(wù)端的詢問和客戶端證書從第三消息中獲取��,對(duì)客戶端證書驗(yàn)證結(jié)果的簽名是TTP利用自己的私鑰對(duì)服務(wù)端的詢問�����、客戶端的證書��、客戶端的證書的驗(yàn)證結(jié)果的簽名����。步驟9)服務(wù)端收到TTP發(fā)送的第四消息后,執(zhí)行如下步驟步驟91)若服務(wù)端不需要利用TTP來驗(yàn)證客戶端的證書的有效性依次向客戶端發(fā)送(15)TTP確認(rèn)消息�����、⑩服務(wù)端的完成消息���,其中TTP確認(rèn)消息包含第四消息中的TTP-客戶端消息鑒別碼�����,服務(wù)端的完成消息具體同現(xiàn)有技術(shù)���,即包含服務(wù)端利用服務(wù)端所生成的客戶端和服務(wù)端之間的會(huì)話密鑰對(duì)步驟幻中客戶端向服務(wù)端所發(fā)送的握手消息�、步驟幻中服務(wù)端向客戶端所發(fā)送的各個(gè)握手消息�����、步驟6)中客戶端向服務(wù)端發(fā)送的各個(gè)握手消息�、TTP確認(rèn)消息計(jì)算的消息鑒別碼。服務(wù)端所生成的客戶端和服務(wù)端之間的會(huì)話密鑰��,是服務(wù)端依據(jù)服務(wù)端的詢問��、 服務(wù)端的臨時(shí)私鑰�、客戶端問候消息中的客戶端的詢問及客戶端的臨時(shí)公鑰生成的客戶端和服務(wù)端之間的會(huì)話密鑰�����。步驟92)若服務(wù)端需要利用TTP來驗(yàn)證客戶端的證書的有效性���,則在發(fā)送TTP確認(rèn)消息之前���,進(jìn)一步包括驗(yàn)證第四消息中對(duì)客戶端證書驗(yàn)證結(jié)果的簽名�����,若驗(yàn)證不通過或客戶端證書無效����,則丟棄第四消息�����,否則依次向客戶端發(fā)送TTP確認(rèn)消息����、服務(wù)端的完成消息����。步驟10)當(dāng)客戶端收到服務(wù)端發(fā)送的TTP確認(rèn)消息后,利用自身生成的客戶端與 TTP間的會(huì)話密鑰驗(yàn)證TTP確認(rèn)消息中的TTP-客戶端消息鑒別碼����,若驗(yàn)證不通過���,則丟棄該消息或向服務(wù)端發(fā)送警告消息,否則繼續(xù)接收服務(wù)端發(fā)送的服務(wù)端的完成消息���,若利用自身生成的客戶端與服務(wù)端間的會(huì)話密鑰對(duì)服務(wù)端的完成消息的驗(yàn)證不通過����,則丟棄該消息或向服務(wù)端發(fā)送警告消息���,否則客戶端和服務(wù)端成功建立了客戶端和服務(wù)端之間的安全隧道�����,以及客戶端和TTP成功建立了客戶端和TTP之間的安全隧道�。實(shí)施例2本實(shí)施例中第一方為客戶端���,第二方為服務(wù)端����,本實(shí)施例提供的TLS握手方法���,在實(shí)施例1實(shí)現(xiàn)客戶端與TTP間安全隧道建立的基礎(chǔ)上,還進(jìn)一步建立服務(wù)端與TTP間的安全隧道�����。本實(shí)施例中的TLS握手方法具體包括如下步驟
步驟1)當(dāng)服務(wù)端主動(dòng)發(fā)起雙方TLS握手過程時(shí)���,服務(wù)端向客戶端發(fā)送①問候請(qǐng)求消息�。步驟2�、客戶端收到問候請(qǐng)求消息或主動(dòng)發(fā)起雙方TLS握手過程時(shí)�����,向服務(wù)端發(fā)送②客戶端問候消息,所述客戶端問候消息包括客戶端的詢問�、客戶端所支持的密碼套件列表,客戶端的詢問為客戶端產(chǎn)生的一個(gè)隨機(jī)數(shù)�����;優(yōu)選地�,為了實(shí)現(xiàn)標(biāo)識(shí)客戶端是否需要建立與TTP間安全隧道����,及是否需要驗(yàn)證服務(wù)端的證書有效性�,客戶端具體可以依次向服務(wù)端發(fā)送如下握手消息②客戶端問候消息��;(11)客戶端請(qǐng)求標(biāo)識(shí)消息(ClientRequestFlag)���,用于標(biāo)識(shí)客戶端是否需要利用TTP來驗(yàn)證服務(wù)端的證書的有效性,以及顯示客戶端是否需要建立與TTP之間的安全隧道�;(12) 客戶端問候結(jié)束消息(Cl ientHe 11 oDone)步驟;3)服務(wù)端依次接收客戶端發(fā)送的各握手消息,然后執(zhí)行如下步驟步驟31)當(dāng)客戶端請(qǐng)求標(biāo)識(shí)消息顯示客戶端不需要利用TTP來驗(yàn)證服務(wù)端的證書的有效性服務(wù)端向TTP發(fā)送(一)第一消息����,與實(shí)施例1相比����,還包括服務(wù)端的詢問和服務(wù)端所支持的密碼套件列表���,即具體包括客戶端的詢問�、客戶端所支持的密碼套件列表�����、服務(wù)端的詢問���、服務(wù)端所支持的密碼套件列表���,其中服務(wù)端的詢問為服務(wù)端產(chǎn)生的一個(gè)隨機(jī)數(shù)。步驟32)客戶端請(qǐng)求標(biāo)識(shí)消息顯示客戶端需要利用TTP來驗(yàn)證服務(wù)端的證書的有效性服務(wù)端向TTP發(fā)送(一)第一消息�����,除了包括步驟31)中第一消息的內(nèi)容外,還包括服務(wù)端的證書。步驟4)TTP收到服務(wù)端發(fā)送的第一消息后�,執(zhí)行如下步驟步驟41)當(dāng)客戶端不需要利用TTP來驗(yàn)證服務(wù)端的證書的有效性TTP向服務(wù)端發(fā)送(二)第二消息�,與實(shí)施1相比�,第二消息還包括TTP-服務(wù)端密碼套件��,所述TTP-服務(wù)端密碼套件為TTP從第一消息的服務(wù)端所支持的密碼套件列表中選擇的一種TTP所支持的密碼套件��,即第二消息包括TTP的詢問、TTP-客戶端密碼套件��、TTP-服務(wù)端密碼套件���、TTP的臨時(shí)公鑰���、對(duì)TTP 的臨時(shí)公鑰的簽名�����。步驟42)當(dāng)客戶端需要利用TTP來驗(yàn)證服務(wù)端的證書的有效性TTP向服務(wù)端發(fā)送(二)第二消息���,除了包括步驟41)中第二消息的內(nèi)容外�����,還包括從第一消息獲取的客戶端的詢問和服務(wù)端的證書��、本地生成的服務(wù)端的證書的驗(yàn)證結(jié)果、對(duì)服務(wù)端證書驗(yàn)證結(jié)果的簽名�����,其中對(duì)服務(wù)端證書驗(yàn)證結(jié)果的簽名是TTP利用自己的私鑰對(duì)客戶端的詢問、服務(wù)端的證書����、服務(wù)端的證書的驗(yàn)證結(jié)果的簽名�����。步驟幻服務(wù)端收到TTP發(fā)送的第二消息后的處理同實(shí)施例1�����,優(yōu)選地�����,為進(jìn)一步增強(qiáng)安全性,服務(wù)端收到第二消息后,還包括對(duì)第二消息中對(duì)TTP的臨時(shí)公鑰的簽名進(jìn)行驗(yàn)證����,若驗(yàn)證通過再向客戶端發(fā)送各個(gè)握手消息。即執(zhí)行步驟51)當(dāng)客戶端不需要利用TTP來驗(yàn)證服務(wù)端的證書的有效性對(duì)第二消息中對(duì)TTP的臨時(shí)公鑰的簽名進(jìn)行驗(yàn)證�,若驗(yàn)證通過,依次向客戶端發(fā)送如下握手消息③服務(wù)端問候消息�����、④服務(wù)端的證書消息、⑤服務(wù)端密鑰交換消息���、⑥證書請(qǐng)求消息�、(13)TTP-客戶端密鑰數(shù)據(jù)交換消息�����、⑦服務(wù)端問候結(jié)束消息,所述TTP-客戶端密鑰數(shù)據(jù)交換消息包含第二消息內(nèi)容����,即包含從第二消息中獲取的TTP的詢問�、TTP-客戶端密碼套件�����、TTP的臨時(shí)公鑰,優(yōu)選地�����,還包括對(duì)TTP的臨時(shí)公鑰的簽名。步驟52)當(dāng)客戶端需要利用TTP來驗(yàn)證服務(wù)端的證書的有效性時(shí)對(duì)第二消息中對(duì)TTP的臨時(shí)公鑰的簽名進(jìn)行驗(yàn)證�,若驗(yàn)證通過����,依次向客戶端發(fā)送如下握手消息③服務(wù)端問候消息����;④服務(wù)端的證書消息�;(14)證書驗(yàn)證結(jié)果消息���,包含從第二消息中獲取的客戶端的詢問�����、服務(wù)端的證書、服務(wù)端的證書的驗(yàn)證結(jié)果、對(duì)服務(wù)端證書驗(yàn)證結(jié)果的簽名��;⑤服務(wù)端密鑰交換消息;⑥證書請(qǐng)求消息����;(13)TTP-客戶端密鑰數(shù)據(jù)交換消息�����;⑦服務(wù)端問候結(jié)束消息。除(14)外其它消息的內(nèi)容同步驟51)中描述�。步驟6)客戶端首先依次接收步驟幻中服務(wù)端向客戶端所發(fā)送的各個(gè)握手消息����, 之后的處理同實(shí)施例1�,即依據(jù)客戶端的詢問、客戶端的臨時(shí)私鑰、TTP-客戶端密鑰數(shù)據(jù)交換消息中TTP的詢問及TTP的臨時(shí)公鑰�����,生成客戶端和TTP之間的會(huì)話密鑰;若接收到證書驗(yàn)證結(jié)果消息���,客戶端對(duì)證書驗(yàn)證結(jié)果消息中的對(duì)服務(wù)端證書驗(yàn)證結(jié)果的簽名進(jìn)行驗(yàn)證�����,若驗(yàn)證通過且服務(wù)端證書有效時(shí),客戶端依次向服務(wù)端發(fā)送如下握手消息④’客戶端的證書消息�、⑧客戶端密鑰交換消息���、(13),客戶端-TTP密鑰交換消息、 ⑨證書驗(yàn)證消息�、⑩’客戶端的完成消息���,所述客戶端-TTP密鑰交換消息包含客戶端-TTP 消息鑒別碼,客戶端-TTP消息鑒別碼為客戶端對(duì)之前發(fā)給TTP所有信息���、之前從TTP接收所有信息�、當(dāng)前發(fā)給TTP的除客戶端-TTP消息鑒別碼外的所有信息計(jì)算的消息鑒別碼。優(yōu)選地�����,若TTP-客戶端密鑰數(shù)據(jù)交換消息包括對(duì)TTP的臨時(shí)公鑰的簽名�,則首先對(duì)該簽名進(jìn)行驗(yàn)證��,若驗(yàn)證通過,再生成客戶端和TTP之間的會(huì)話密鑰�����。上述消息④’����、⑧�、 ⑨����、⑩’的內(nèi)容見實(shí)施例1的描述����。優(yōu)選地�����,為進(jìn)一步增強(qiáng)安全性,(13),客戶端-TTP密鑰交換消息�,還包括包含客戶端利用客戶端的證書所對(duì)應(yīng)的私鑰對(duì)客戶端的密鑰數(shù)據(jù)的簽名��;客戶端-TTP消息鑒別碼具體為客戶端利用自身生成的客戶端和TTP之間的會(huì)話密鑰對(duì)客戶端的詢問�、客戶端所支持的密碼套件列表����、TTP的詢問�、TTP-客戶端密碼套件�����、TTP的臨時(shí)公鑰�、對(duì)TTP的臨時(shí)公鑰的簽名、客戶端的證書��、客戶端的臨時(shí)公鑰��、對(duì)客戶端臨時(shí)公鑰的簽名計(jì)算的消息鑒別碼��。步驟7)����,服務(wù)端首先依次接收客戶端發(fā)送的各個(gè)握手消息����,與實(shí)施例1相比,還包括服務(wù)端利用服務(wù)端的詢問����、服務(wù)端的臨時(shí)私鑰���、從第二消息獲取的TTP的詢問及TTP的臨時(shí)公鑰生成服務(wù)端與TTP間的會(huì)話密鑰;服務(wù)端向TTP發(fā)送的第三消息還包括服務(wù)端的臨時(shí)公鑰���、服務(wù)端-TTP消息鑒別碼����,服務(wù)端-TTP消息鑒別碼為服務(wù)端利用自身生成的服務(wù)端與TTP間的會(huì)話密鑰對(duì)從TTP接收及發(fā)給TTP的信息計(jì)算的消息鑒別碼。優(yōu)選地���,服務(wù)端向TTP發(fā)送的第三消息���,還包括服務(wù)端利用服務(wù)端證書所對(duì)應(yīng)的私鑰對(duì)服務(wù)端的臨時(shí)公鑰的簽名��。即具體執(zhí)行如下步驟步驟71)當(dāng)服務(wù)端不需要利用TTP來驗(yàn)證客戶端的證書的有效性時(shí)服務(wù)端向TTP發(fā)送(三)第三消息�����,包括客戶端的證書���、客戶端的臨時(shí)公鑰�、對(duì)客戶端的臨時(shí)公鑰的簽名��、客戶端-TTP消息鑒別碼��、服務(wù)端的臨時(shí)公鑰�����、對(duì)服務(wù)端的臨時(shí)公鑰的簽名�、服務(wù)端-TTP消息鑒別碼����。具體地����,服務(wù)端-TTP消息鑒別碼是服務(wù)端利用服務(wù)端所生成的服務(wù)端和TTP之間的會(huì)話密鑰對(duì)第一消息���、第二消息��、第三消息中除服務(wù)端-TTP消息鑒別碼外所有信息計(jì)算的消息鑒別碼����。當(dāng)客戶端不需要利用TTP來驗(yàn)證服務(wù)端的證書的有效性時(shí)���,第三消息中服務(wù)端-TTP消息鑒別碼之前還包括服務(wù)端的證書��。步驟72)服務(wù)端需要利用TTP來驗(yàn)證客戶端的證書的有效性向TTP發(fā)送(三)第三消息����,至少包括服務(wù)端的詢問和從客戶端問候消息獲取的客戶端的證書����,還包括步驟71)中第三消息其它內(nèi)容。步驟8)TTP收到服務(wù)端發(fā)送的第三消息后����,所執(zhí)行的處理與實(shí)施例1相比��,還包括ΤΤΡ利用TTP的詢問、TTP的臨時(shí)私鑰���、第一消息中服務(wù)端的詢問、第三消息中服務(wù)端的臨時(shí)公鑰生成服務(wù)端與TTP間的會(huì)話密鑰�����,TTP利用自身生成的服務(wù)端與TTP間的會(huì)話密鑰驗(yàn)證第三消息中的服務(wù)端-TTP消息鑒別碼��,若驗(yàn)證通過��,再驗(yàn)證客戶端-TTP消息鑒別碼;TTP向服務(wù)端發(fā)送的第四消息還包括TTP-服務(wù)端消息鑒別碼�����,所述TTP-服務(wù)端消息鑒別碼為TTP利用自身生成的服務(wù)端與TTP間的會(huì)話密鑰對(duì)從服務(wù)端接收及發(fā)給服務(wù)端的信息計(jì)算的消息鑒別碼��。進(jìn)一步優(yōu)選地����,TTP對(duì)所述第三消息中的對(duì)服務(wù)端的臨時(shí)公鑰的簽名進(jìn)行驗(yàn)證�,驗(yàn)證通過后再生成服務(wù)端與TTP間的會(huì)話密鑰�。即具體執(zhí)行如下步驟步驟81)當(dāng)服務(wù)端不需要利用TTP來驗(yàn)證客戶端的證書的有效性TTP對(duì)第三消息中對(duì)服務(wù)端的臨時(shí)公鑰的簽名驗(yàn)證��,驗(yàn)證通過���,則生成服務(wù)端與 TTP間的會(huì)話密鑰����,利用生成的會(huì)話密鑰驗(yàn)證第三消息中驗(yàn)證服務(wù)端-TTP消息鑒別碼���,若驗(yàn)證不通過���,則丟棄第三消息����,否則�,執(zhí)行TTP利用第三消息中的客戶端的證書驗(yàn)證第三消息中對(duì)客戶端的臨時(shí)公鑰的簽名��,若驗(yàn)證通過�����,再生成客戶端與TTP間的會(huì)話密鑰���,利用生成的客戶端與TTP間的會(huì)話密鑰驗(yàn)證客戶端-TTP消息鑒別碼��,若驗(yàn)證不通過��,則丟棄第三消息�,否則向服務(wù)端發(fā)送(四) 第四消息�����,包括TTP-客戶端消息鑒別碼����、TTP-服務(wù)端消息鑒別碼。具體地,TTP-服務(wù)端消息鑒別碼是TTP利用TTP所生成的服務(wù)端和TTP之間的會(huì)話密鑰對(duì)第一消息�、第二消息、第三消息�、第四消息中除TTP-服務(wù)端消息鑒別碼外所有信息計(jì)算的消息鑒別碼。步驟82)若服務(wù)端需要利用TTP來驗(yàn)證客戶端的證書的有效性�����,則驗(yàn)證客戶端-TTP消息鑒別碼通過后���,發(fā)送(四)的第四消息還包括服務(wù)端的詢問����、客戶端的證書����、客戶端的證書的驗(yàn)證結(jié)果、對(duì)客戶端證書驗(yàn)證結(jié)果的簽名��。步驟9)服務(wù)端收到TTP發(fā)送的第四消息后����,與實(shí)施例1相比,服務(wù)端在向客戶端發(fā)送TTP確認(rèn)消息之前����,還包括服務(wù)端利用自身生成的服務(wù)端與TTP間的會(huì)話密鑰���,驗(yàn)證第四消息中的TTP-服務(wù)端消息鑒別碼����,若驗(yàn)證通過,再發(fā)送TTP確認(rèn)消息���。即具體執(zhí)行如下步驟
步驟91)若服務(wù)端不需要利用TTP來驗(yàn)證客戶端的證書的有效性服務(wù)端利用自身生成的服務(wù)端與TTP間的會(huì)話密鑰���,驗(yàn)證第四消息中的TTP-服務(wù)端消息鑒別碼,若驗(yàn)證不通過�����,則丟棄第四消息���,否則依次向客戶端發(fā)送TTP確認(rèn)消息����、月艮務(wù)端的完成消息���。TTP確認(rèn)消息�、服務(wù)端的完成消息的描述同實(shí)施例1,這里不再重述���。步驟92)若服務(wù)端需要利用TTP來驗(yàn)證客戶端的證書的有效性��,則在發(fā)送TTP確認(rèn)消息�、服務(wù)端的完成消息之前�,進(jìn)一步包括驗(yàn)證第四消息中對(duì)客戶端證書驗(yàn)證結(jié)果的簽名,若驗(yàn)證不通過或客戶端證書無效���,則丟棄第四消息���,否則驗(yàn)證TTP-服務(wù)端消息鑒別碼,驗(yàn)證通過�����,依次向客戶端發(fā)送TTP 確認(rèn)消息���、服務(wù)端的完成消息��。步驟10)當(dāng)客戶端收到服務(wù)端發(fā)送的TTP確認(rèn)消息后��,具體處理過程同實(shí)施例1�����, 這里不再重述�����。實(shí)施例3本實(shí)施例中第一方為服務(wù)端���,第二方為客戶端,本實(shí)施例提供的TLS握手方法能夠在現(xiàn)有雙方TLS握手過程中���,在服務(wù)端與TTP間建立安全隧道���。如圖3a所示,本實(shí)施例中的TLS握手方法具體包括如下步驟步驟1)當(dāng)服務(wù)端主動(dòng)發(fā)起雙方TLS握手過程時(shí)���,服務(wù)端向客戶端發(fā)送①問候請(qǐng)求消息���。步驟2、客戶端收到問候請(qǐng)求消息或主動(dòng)發(fā)起雙方TLS握手過程時(shí)����,向服務(wù)端發(fā)送②客戶端問候消息�����,所述客戶端問候消息包括客戶端的詢問����、客戶端所支持的密碼套件列表�����,客戶端的詢問為客戶端產(chǎn)生的一個(gè)隨機(jī)數(shù)�����;優(yōu)選地��,為實(shí)現(xiàn)標(biāo)識(shí)客戶端是否需要建立與TTP間安全隧道���,及是否需要驗(yàn)證服務(wù)端的證書有效性�����,客戶端具體可以依次向服務(wù)端發(fā)送如下握手消息②客戶端問候消息����; (11)客戶端請(qǐng)求標(biāo)識(shí)消息(ClientRequestFlag),用于標(biāo)識(shí)客戶端是否需要利用TTP來驗(yàn)證服務(wù)端的證書的有效性�,以及顯示客戶端是否需要建立與TTP之間的安全隧道;(12)客戶端問候結(jié)束消息(ClientHelloDone)��。步驟幻服務(wù)端依次接收客戶端發(fā)送的各握手消息���,然后執(zhí)行如下步驟步驟31)當(dāng)客戶端請(qǐng)求標(biāo)識(shí)消息顯示客戶端不需要利用TTP來驗(yàn)證服務(wù)端的證書的有效性服務(wù)端向TTP發(fā)送(一)第一消息���,所述第一消息包括服務(wù)端的詢問和服務(wù)端所支持的密碼套件列表��,其中服務(wù)端的詢問為服務(wù)端產(chǎn)生的一個(gè)隨機(jī)數(shù)����。步驟32)當(dāng)客戶端請(qǐng)求標(biāo)識(shí)消息顯示客戶端需要利用TTP來驗(yàn)證服務(wù)端的證書的有效性時(shí)服務(wù)端向TTP發(fā)送(一)第一消息,除了包括步驟31)中第一消息的內(nèi)容外��,還包括從客戶端問候消息中獲取的客戶端的詢問����、服務(wù)端的證書。步驟4)TTP收到服務(wù)端發(fā)送的第一消息后�����,執(zhí)行如下步驟步驟41)客戶端不需要利用TTP來驗(yàn)證服務(wù)端的證書的有效性若第一消息中不包括服務(wù)端的證書���,則說明不需要驗(yàn)證服務(wù)端證書的有效性�����,TTP 向服務(wù)端發(fā)送(二)第二消息,包括TTP的詢問��、TTP-服務(wù)端密碼套件�、TTP的臨時(shí)公鑰�, 其中TTP的詢問是TTP產(chǎn)生的一個(gè)隨機(jī)數(shù)�,TTP-服務(wù)端密碼套件為TTP從第一消息的服務(wù)端所支持的密碼套件列表中選擇的一種TTP所支持的密碼套件��,對(duì)TTP的密鑰數(shù)據(jù)的簽名是TTP利用自己的私鑰對(duì)TTP的密鑰數(shù)據(jù)的簽名。為了提高信息的安全性���,優(yōu)選地�,第二消息還包括對(duì)TTP的臨時(shí)公鑰的簽名,所述對(duì)TTP的臨時(shí)公鑰的簽名是TTP利用自己的私鑰對(duì)TTP的臨時(shí)公鑰的簽名��。步驟42)當(dāng)客戶端需要利用TTP來驗(yàn)證服務(wù)端的證書的有效性若第一消息中包括服務(wù)端的證書��,則說明需要驗(yàn)證服務(wù)端證書的有效性���,TTP向服務(wù)端發(fā)送(二)第二消息�����,除了包括步驟41)中第二消息的內(nèi)容外��,還包括從第一消息獲取的客戶端的詢問和服務(wù)端的證書�����、本地生成的服務(wù)端的證書的驗(yàn)證結(jié)果��、對(duì)服務(wù)端證書驗(yàn)證結(jié)果的簽名�����,其中對(duì)服務(wù)端證書驗(yàn)證結(jié)果的簽名是TTP利用自己的私鑰對(duì)客戶端的詢問����、服務(wù)端的證書��、服務(wù)端的證書的驗(yàn)證結(jié)果的簽名�����。步驟幻服務(wù)端收到TTP的第二消息后����,執(zhí)行如下步驟步驟51)若客戶端不需要利用TTP來驗(yàn)證服務(wù)端的證書的有效性依次向客戶端發(fā)送如下握手消息③服務(wù)端問候消息、④服務(wù)端的證書消息�、⑤服務(wù)端密鑰交換消息�、⑥證書請(qǐng)求消息�、⑦服務(wù)端問候結(jié)束消息����。上述消息③ ⑦的內(nèi)容定義同現(xiàn)有的消息內(nèi)容定義����,具體見實(shí)施例1的描述�����,這里不再重述�。優(yōu)選地�,服務(wù)端收到第二消息后,首先對(duì)第二消息中對(duì)TTP的臨時(shí)公鑰的簽名進(jìn)行驗(yàn)證���,若驗(yàn)證不通過����,則丟棄第二消息�����,若驗(yàn)證通過再向客戶端發(fā)送各個(gè)握手消息���。步驟52)若客戶端需要利用TTP來驗(yàn)證服務(wù)端的證書的有效性如圖3b�����,依次向客戶端發(fā)送如下握手消息③服務(wù)端問候消息���;④服務(wù)端的證書消息;(14)證書驗(yàn)證結(jié)果消息����,包含從第二消息中獲取的客戶端的詢問、服務(wù)端的證書�、月艮務(wù)端的證書的驗(yàn)證結(jié)果、對(duì)服務(wù)端證書驗(yàn)證結(jié)果的簽名��;⑤服務(wù)端密鑰交換消息����;⑥證書請(qǐng)求消息;⑦服務(wù)端問候結(jié)束消息���。除(14)外其它消息的內(nèi)容同步驟51)中描述優(yōu)選地��,服務(wù)端收到第二消息后����,首先對(duì)第二消息中對(duì)TTP的臨時(shí)公鑰的簽名進(jìn)行驗(yàn)證,若驗(yàn)證不通過��,則丟棄第二消息�����,若驗(yàn)證通過再向客戶端發(fā)送各個(gè)握手消息���。步驟6)客戶端首先依次接收步驟幻中服務(wù)端向客戶端所發(fā)送的各個(gè)握手消息����, 若接收到證書驗(yàn)證結(jié)果消息����,客戶端對(duì)證書驗(yàn)證結(jié)果消息中的對(duì)服務(wù)端證書驗(yàn)證結(jié)果的簽名進(jìn)行驗(yàn)證,若驗(yàn)證通過且服務(wù)端證書有效時(shí)���,依次向服務(wù)端發(fā)送如下握手消息④’客戶端的證書消息���、⑧客戶端密鑰交換消息、⑨證書驗(yàn)證消息�、⑩’客戶端的完成消息����,上述消息 ④’�����、⑧���、⑨、⑩’的內(nèi)容同現(xiàn)有技術(shù)�����,具體如下④’客戶端的證書消息�����,包含客戶端的證書�����;⑧客戶端密鑰交換消息���,包含客戶端的臨時(shí)公鑰���;⑨證書驗(yàn)證消息�,包含客戶端利用客戶端的證書所對(duì)應(yīng)的私鑰對(duì)步驟2)中客戶端向服務(wù)端所發(fā)送的各個(gè)握手消息���、步驟幻中服務(wù)端向客戶端所發(fā)送的各個(gè)握手消息�、客戶端的證書消息��、客戶端密鑰交換消息的簽名����;⑩’客戶端的完成消息,包含客戶端利用客戶端所生成的客戶端和服務(wù)端之間的會(huì)話密鑰對(duì)步驟幻中客戶端向服務(wù)端所發(fā)送的各個(gè)握手消息�、步驟幻中服務(wù)端向客戶端所發(fā)送的各個(gè)握手消息、客戶端的證書消息���、客戶端密鑰交換消息�����、證書驗(yàn)證消息計(jì)算的消息鑒別碼��?��?蛻舳怂傻目蛻舳撕头?wù)端之間的會(huì)話密鑰��,客戶端依據(jù)客戶端的詢問�、從服務(wù)端問候消息獲取服務(wù)端的詢問��、客戶端的臨時(shí)私鑰����、從服務(wù)端密鑰交換消息獲取的服務(wù)端的臨時(shí)公鑰生成客戶端與服務(wù)端間的會(huì)話密鑰。步驟7)服務(wù)端首先依次接收步驟6)中客戶端發(fā)送的各個(gè)握手消息��,然后執(zhí)行如下步驟步驟71)當(dāng)服務(wù)端不需要利用TTP來驗(yàn)證客戶端的證書的有效性服務(wù)端利用服務(wù)端的詢問����、服務(wù)端的臨時(shí)私鑰����、從第二消息獲取的TTP的詢問及 TTP的臨時(shí)公鑰生成服務(wù)端與TTP間的會(huì)話密鑰,服務(wù)端向TTP發(fā)送(三)第三消息��,第三消息包括服務(wù)端的臨時(shí)公鑰���、服務(wù)端-TTP消息鑒別碼�,所述服務(wù)端-TTP消息鑒別碼為服務(wù)端利用自身所生成的服務(wù)端和TTP之間的會(huì)話密鑰對(duì)從TTP接收及發(fā)給TTP的信息計(jì)算的消息鑒別碼�����。優(yōu)選地,為進(jìn)一步提高安全性�,服務(wù)端向TTP發(fā)送的第三消息,還包括服務(wù)端利用服務(wù)端的證書所對(duì)應(yīng)的私鑰對(duì)服務(wù)端的臨時(shí)公鑰的簽名����。上述服務(wù)端-TTP消息鑒別碼,具體是服務(wù)端利用服務(wù)端所生成的服務(wù)端和TTP之間的會(huì)話密鑰對(duì)第一消息�����、第二消息�����、第三消息中除服務(wù)端-TTP消息鑒別碼外所有信息計(jì)算的消息鑒別碼���。當(dāng)客戶端不需要利用TTP來驗(yàn)證服務(wù)端的證書的有效性時(shí)�����,第三消息中服務(wù)端-TTP消息鑒別碼之前還包括服務(wù)端的證書�����。步驟72)服務(wù)端需要利用TTP來驗(yàn)證客戶端的證書的有效性向TTP發(fā)送(三)第三消息����,至少包括服務(wù)端的詢問和從客戶端問候消息獲取的客戶端的證書,還包括步驟71)中第三消息其它內(nèi)容���。步驟8)TTP收到服務(wù)端發(fā)送的第三消息后�����,執(zhí)行如下步驟步驟81)服務(wù)端不需要利用TTP來驗(yàn)證客戶端的證書的有效性TTP利用TTP的詢問���、TTP的臨時(shí)私鑰�、第一消息中服務(wù)端的詢問、第三消息中服務(wù)端的臨時(shí)公鑰生成服務(wù)端與TTP間的會(huì)話密鑰�,TTP利用自身生成的服務(wù)端與TTP間的會(huì)話密鑰驗(yàn)證第三消息中的服務(wù)端-TTP消息鑒別碼;若驗(yàn)證不通過��,則丟棄第三消息�,若驗(yàn)證通過,向服務(wù)端發(fā)送(四)第四消息��,包括TTP-服務(wù)端消息鑒別碼。 TTP-服務(wù)端消息鑒別碼是TTP利用TTP所生成的服務(wù)端和TTP之間的會(huì)話密鑰對(duì)之前從服務(wù)端接收及發(fā)給服務(wù)端的信息計(jì)算的消息鑒別碼�,具體地,是對(duì)第一消息�����、第二消息��、第三消息����、第四消息中除TTP-服務(wù)端消息鑒別碼外所有信息計(jì)算的消息鑒別碼。優(yōu)選地����,進(jìn)一步包括ΤΤΡ對(duì)第三消息中的對(duì)服務(wù)端的臨時(shí)公鑰的簽名進(jìn)行驗(yàn)證, 驗(yàn)證通過后再生成服務(wù)端與TTP間的會(huì)話密鑰�。步驟82)若服務(wù)端需要利用TTP來驗(yàn)證客戶端的證書的有效性,則驗(yàn)證客戶端-TTP消息鑒別碼通過后���,在發(fā)送(四)第四消息之前���,還包括生成客戶端的證書的驗(yàn)證結(jié)果和對(duì)客戶端證書驗(yàn)證結(jié)果的簽名,然后向服務(wù)端發(fā)送(四)第四消息�,第四消息除了包括上述TTP-客戶端消息鑒別碼��,還包括服務(wù)端的詢問����、客戶端的證書�、客戶端的證書的驗(yàn)證結(jié)果、對(duì)客戶端證書驗(yàn)證結(jié)果的簽名�����,其中對(duì)客戶端證書驗(yàn)證結(jié)果的簽名是TTP利用自己的私鑰對(duì)服務(wù)端的詢問�����、客戶端的證書�����、客戶端的證書的驗(yàn)證結(jié)果的簽名�����。具體地��,TTP-服務(wù)端消息鑒別碼是TTP利用TTP所生成的服務(wù)端和TTP之間的會(huì)話密鑰對(duì)第一消息�����、第二消息���、第三消息��、第四消息中除TTP-服務(wù)端消息鑒別碼外所有信息計(jì)算的消息鑒別碼���。步驟9)服務(wù)端收到TTP發(fā)送的第四消息后,執(zhí)行如下步驟步驟91)服務(wù)端不需要利用TTP來驗(yàn)證客戶端的證書的有效性服務(wù)端利用自身生成的服務(wù)端與TTP間的會(huì)話密鑰����,驗(yàn)證第四消息中的TTP-服務(wù)端消息鑒別碼,若驗(yàn)證不通過��,則丟棄第四消息��,否則向客戶端發(fā)送⑩服務(wù)端的完成消息�����, 服務(wù)端的完成消息具體同現(xiàn)有技術(shù)���,即包含服務(wù)端利用服務(wù)端所生成的客戶端和服務(wù)端之間的會(huì)話密鑰對(duì)步驟幻中客戶端向服務(wù)端所發(fā)送的各個(gè)握手消息�����、步驟幻中服務(wù)端向客戶端所發(fā)送的各個(gè)握手消息�����、步驟6)中客戶端向服務(wù)端發(fā)送的各個(gè)握手消息計(jì)算的消息鑒別碼�。服務(wù)端所生成的客戶端和服務(wù)端之間的會(huì)話密鑰,是服務(wù)端依據(jù)服務(wù)端的詢問�、 服務(wù)端的臨時(shí)私鑰、客戶端問候消息中的客戶端的詢問及客戶端的臨時(shí)公鑰生成的客戶端和服務(wù)端之間的會(huì)話密鑰��。步驟92)服務(wù)端需要利用TTP來驗(yàn)證客戶端的證書的有效性服務(wù)端驗(yàn)證對(duì)客戶端證書驗(yàn)證結(jié)果的簽名��,若驗(yàn)證不通過或客戶端證書無效����,則丟棄第四消息,否則再驗(yàn)證TTP-服務(wù)端消息鑒別碼����。步驟10)當(dāng)客戶端收到服務(wù)端發(fā)送的服務(wù)端的完成消息后,對(duì)服務(wù)端的完成消息進(jìn)行驗(yàn)證�����,若對(duì)服務(wù)端的完成消息的驗(yàn)證不通過�����,則丟棄該消息或向服務(wù)端發(fā)送警告消息�����, 否則客戶端和服務(wù)端成功建立了客戶端和服務(wù)端之間的安全隧道�,以及服務(wù)端和TTP成功建立了服務(wù)端和TTP之間的安全隧道。在以上實(shí)施例1 3的增強(qiáng)安全性的TLS握手過程中�,當(dāng)客戶端接收一個(gè)由服務(wù)端發(fā)送的握手消息時(shí),若對(duì)該握手消息的驗(yàn)證不通過���,則丟棄該消息或向服務(wù)端發(fā)送警告消息�����,否則接收下一個(gè)由服務(wù)端發(fā)送的握手消息或開始依次向服務(wù)端發(fā)送客戶端所生成的握手消息���。在以上實(shí)施例1 3的增強(qiáng)安全性的TLS握手過程中,當(dāng)服務(wù)端接收一個(gè)由客戶端發(fā)送的握手消息時(shí)�,若對(duì)該握手消息的驗(yàn)證不通過,則丟棄該消息或向客戶端發(fā)送警告消息����,否則接收下一個(gè)由客戶端發(fā)送的握手消息或開始依次向客戶端發(fā)送服務(wù)端所生成的握手消息����。在以上實(shí)施例1 3的增強(qiáng)安全性的TLS握手過程中���,當(dāng)客戶端不需要利用TTP 來驗(yàn)證服務(wù)端的證書的有效性時(shí)��,客戶端本地驗(yàn)證服務(wù)端的證書���,若服務(wù)端的證書為無效, 則客戶端丟棄客戶端所接收到的服務(wù)端的證書消息或向服務(wù)端發(fā)送警告消息�����;當(dāng)客戶端需要利用TTP來驗(yàn)證服務(wù)端的證書的有效性時(shí)����,客戶端利用證書驗(yàn)證結(jié)果消息來驗(yàn)證服務(wù)端的證書,若服務(wù)端的證書為無效�����,則客戶端丟棄客戶端所接收到的服務(wù)端的證書消息或向服務(wù)端發(fā)送警告消息。在以上實(shí)施例1 3的增強(qiáng)安全性的TLS握手過程中���,當(dāng)服務(wù)端不需要利用TTP 來驗(yàn)證客戶端的證書的有效性時(shí),服務(wù)端本地驗(yàn)證客戶端的證書�����,若客戶端的證書為無效�����, 則服務(wù)端丟棄服務(wù)端所接收到的客戶端的證書或向客戶端發(fā)送警告消息��;當(dāng)服務(wù)端需要利用TTP來驗(yàn)證客戶端的證書的有效性時(shí)�����,服務(wù)端利用第四消息中客戶端的證書的驗(yàn)證結(jié)果來驗(yàn)證客戶端的證書�����,若客戶端的證書為無效�����,則中止該增強(qiáng)安全性的TLS握手過程或向客戶端發(fā)送警告消息。利用本發(fā)明實(shí)施例提供的TLS握手方法����,具有以下優(yōu)點(diǎn)除了建立客戶端與服務(wù)端之間的安全隧道之外,增強(qiáng)安全性的TLS握手過程還可以實(shí)現(xiàn)客戶端的證書和服務(wù)端的證書的集中驗(yàn)證�����,增強(qiáng)了安全性�。除了建立客戶端與服務(wù)端之間的安全隧道之外,增強(qiáng)安全性的TLS握手過程還可以建立客戶端與TTP之間的安全隧道���,增強(qiáng)了安全性����。除了建立客戶端與服務(wù)端之間的安全隧道之外��,增強(qiáng)安全性的TLS握手過程還可以建立服務(wù)端與TTP之間的安全隧道����,增強(qiáng)了安全性客戶端的證書和服務(wù)端的證書的集中驗(yàn)證、建立客戶端與TTP間的安全隧道�、建立服務(wù)端與TTP之間的安全隧道都是可選擇的,具有很好的后向兼容性�。基于同一發(fā)明構(gòu)思,本發(fā)明實(shí)施例中還提供了一種TLS握手裝置及可信第三方 TTP,由于這些設(shè)備解決問題的原理與一種TLS握手方法相似��,因此這些設(shè)備的實(shí)施可以參見方法的實(shí)施�,重復(fù)之處不再贅述。本發(fā)明實(shí)施例提供的TLS握手裝置���,具體包括第一通知單元,用于在所述TLS握手裝置作為第一方與第二方的雙方TLS握手過程中�,將第一方的詢問和第一方所支持的密碼套件列表發(fā)送給可信第三方TTP ;密鑰生成單元���,接收TTP通知的TTP的詢問�、TTP的臨時(shí)公鑰����、TTP-第一方密碼套件;利用第一方的詢問���、TTP的詢問���、第一方的臨時(shí)私鑰、TTP的臨時(shí)公鑰生成第一方與TTP 間的會(huì)話密鑰��;第二通知單元,用于在雙方TLS握手過程中�,將第一方-TTP消息鑒別碼通知TTP, 所述第一方-TTP消息鑒別碼為利用密鑰生成單元生成的第一方與TTP間的會(huì)話密鑰對(duì)從 TTP接收及發(fā)給TTP的信息計(jì)算的消息鑒別碼��;驗(yàn)證單元�,用于接收TTP通知的TTP-第一方消息鑒別碼,在雙方TLS握手過程中���, 利用密鑰生成單元生成的第一方與TTP間的會(huì)話密鑰對(duì)TTP-第一方消息鑒別碼驗(yàn)證�����,若驗(yàn)證通過�,完成與TTP間的安全隧道建立����。優(yōu)選地,所述作為第一方的TLS握手裝置為客戶端����,所述第二方為服務(wù)端;或者所述作為第一方的TLS握手裝置為服務(wù)端�����,所述第二方為客戶端。則具體的握手過程見實(shí)施例1 3的描述����,這里不再重述。本發(fā)明實(shí)施例提供的一種可信第三方TTP��,包括第一接收單元�,用于在第一方與第二方的雙方TLS握手過程中,接收第一方通知的第一方將第一方的詢問和第一方所支持的密碼套件列表���;第一通知單元,用于基于雙方TLS握手過程�����,將TTP的詢問��、TTP的臨時(shí)公鑰��、 TTP-第一方密碼套件通知第一方���,所述TTP-第一方密碼套件為TTP從第一方所支持的密碼套件列表中選取的一種TTP所支持的密碼套件�;第二接收單元��,用于接收第一方通知的第一方-TTP消息鑒別碼;密鑰生成單元��,用于在雙方TLS握手過程中����,獲取第一方的臨時(shí)公鑰及第一方-TTP消息鑒別碼,根據(jù)TTP的詢問���、第一方的詢問�����、TTP的臨時(shí)私鑰及第一方的臨時(shí)公鑰生成第一方與TTP間的會(huì)話密鑰�����;鑒別單元��,利用密鑰生成單元生成的第一方與TTP間的會(huì)話密鑰對(duì)第一方-TTP消息鑒別碼驗(yàn)證����;驗(yàn)證通過后���,在雙方TLS握手過程中��,向第一方發(fā)送TTP-第一方消息鑒別碼���,所述TTP-第一方消息鑒別碼為利用生成的第一方與TTP間的會(huì)話密鑰對(duì)從第一方接收及發(fā)給第一方的信息計(jì)算的消息鑒別碼����。本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白�����,本發(fā)明的實(shí)施例可提供為方法���、系統(tǒng)���、或計(jì)算機(jī)程序產(chǎn)品���。因此���,本發(fā)明可采用完全硬件實(shí)施例、完全軟件實(shí)施例����、或結(jié)合軟件和硬件方面的實(shí)施例的形式�。而且���,本發(fā)明可采用在一個(gè)或多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲(chǔ)介質(zhì)(包括但不限于磁盤存儲(chǔ)器���、CD-ROM、光學(xué)存儲(chǔ)器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式�����。本發(fā)明是參照根據(jù)本發(fā)明實(shí)施例的方法�、設(shè)備(系統(tǒng))、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來描述的�����。應(yīng)理解可由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框��、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合��?���?商峁┻@些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)、專用計(jì)算機(jī)�����、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個(gè)機(jī)器,使得通過計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的裝置����。這些計(jì)算機(jī)程序指令也可存儲(chǔ)在能引導(dǎo)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計(jì)算機(jī)可讀存儲(chǔ)器中,使得存儲(chǔ)在該計(jì)算機(jī)可讀存儲(chǔ)器中的指令產(chǎn)生包括指令裝置的制造品��,該指令裝置實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能�����。這些計(jì)算機(jī)程序指令也可裝載到計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上���,使得在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理��,從而在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的步驟�����。盡管已描述了本發(fā)明的優(yōu)選實(shí)施例,但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念����,則可對(duì)這些實(shí)施例作出另外的變更和修改�。所以�,所附權(quán)利要求意欲解釋為包括優(yōu)選實(shí)施例以及落入本發(fā)明范圍的所有變更和修改。顯然���,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍�。這樣�,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)���。
權(quán)利要求
1.一種安全傳輸層協(xié)議TLS握手方法�����,其特征在于�,包括步驟(1)��,在第一方與第二方的雙方TLS握手過程中����,第一方將第一方的詢問和第一方所支持的密碼套件列表發(fā)送給可信第三方TTP ;步驟(2)��,TTP基于雙方TLS握手過程,將TTP的詢問��、TTP的臨時(shí)公鑰����、TTP-第一方密碼套件通知第一方,所述TTP-第一方密碼套件為TTP從第一方所支持的密碼套件列表中選取的一種TTP所支持的密碼套件�;步驟(3),第一方利用第一方的詢問�����、TTP的詢問��、第一方的臨時(shí)私鑰�、TTP的臨時(shí)公鑰生成第一方與TTP間的會(huì)話密鑰;在雙方TLS握手過程中�,第一方將第一方-TTP消息鑒別碼通知TTP,所述第一方-TTP消息鑒別碼為第一方利用生成的第一方與TTP間的會(huì)話密鑰對(duì)從TTP接收及發(fā)給TTP的信息計(jì)算的消息鑒別碼���;步驟(4)�����,TTP在雙方TLS握手過程中�����,獲取第一方的臨時(shí)公鑰及第一方-TTP消息鑒別碼����,根據(jù)TTP的詢問����、第一方的詢問、TTP的臨時(shí)私鑰及第一方的臨時(shí)公鑰生成第一方與TTP 間的會(huì)話密鑰����,利用生成的第一方與TTP間的會(huì)話密鑰對(duì)第一方-TTP消息鑒別碼驗(yàn)證;驗(yàn)證通過后�����,TTP在雙方TLS握手過程中����,向第一方發(fā)送TTP-第一方消息鑒別碼,所述TTP-第一方消息鑒別碼為TTP利用生成的第一方與TTP間的會(huì)話密鑰對(duì)從第一方接收及發(fā)給第一方的信息計(jì)算的消息鑒別碼���;步驟(5)����,在雙方TLS握手過程中,第一方利用自身生成的第一方與TTP間的會(huì)話密鑰對(duì)TTP-第一方消息鑒別碼驗(yàn)證����,若驗(yàn)證通過,第一方完成與TTP間的安全隧道建立��。
2.如權(quán)利要求1所述的方法��,其特征在于�,所述第一方為客戶端,所述第二方為服務(wù)端��,則步驟(1)具體包括步驟1)服務(wù)端主動(dòng)發(fā)起雙方TLS握手過程時(shí)��,向客戶端發(fā)送問候請(qǐng)求消息��; 步驟幻客戶端收到問候請(qǐng)求消息或主動(dòng)發(fā)起雙方TLS握手過程時(shí)���,向服務(wù)端發(fā)送客戶端問候消息��,所述客戶端問候消息包括客戶端的詢問���、客戶端所支持的密碼套件列表���;步驟3)服務(wù)端接收客戶端問候消息,向TTP發(fā)送第一消息���,所述第一消息包括客戶端問候消息的內(nèi)容;步驟( 具體包括步驟4)TTP接收第一消息����,向服務(wù)端發(fā)送第二消息,所述第二消息包括TTP的詢問�、TTP 的臨時(shí)公鑰及TTP-客戶端密碼套件;步驟5)服務(wù)端接收第二消息�,依次向客戶端發(fā)送如下握手消息服務(wù)端問候消息、服務(wù)端的證書消息�、服務(wù)端密鑰交換消息、證書請(qǐng)求消息����、TTP-客戶端密鑰數(shù)據(jù)交換消息、服務(wù)端問候結(jié)束消息����,所述TTP-客戶端密鑰數(shù)據(jù)交換消息包含第二消息內(nèi)容; 步驟( 具體包括步驟6)客戶端依次接收步驟幻中服務(wù)端發(fā)送的握手消息�����,依據(jù)客戶端的詢問、客戶端的臨時(shí)私鑰����、TTP-客戶端密鑰數(shù)據(jù)交換消息中TTP的詢問及TTP的臨時(shí)公鑰,生成客戶端和TTP之間的會(huì)話密鑰��;客戶端依次向服務(wù)端發(fā)送如下握手消息客戶端的證書消息�����、客戶端密鑰交換消息�����、客戶端-TTP密鑰交換消息�����、證書驗(yàn)證消息���、客戶端的完成消息����,所述客戶端-TTP密鑰交換消息包含客戶端-TTP消息鑒別碼;步驟7)服務(wù)端依次接收步驟6)中客戶端發(fā)送的握手消息���,向TTP發(fā)送第三消息���,所述第三消息包括從客戶端密鑰交換消息中獲取的客戶端的臨時(shí)公鑰、從客戶端-TTP密鑰交換消息中獲取的客戶端-TTP消息鑒別碼���;步驟(4)具體包括步驟8)TTP接收第三消息,利用TTP的詢問���、TTP的臨時(shí)私鑰�����、第一消息中客戶端的詢問�、第三消息中客戶端的臨時(shí)公鑰生成客戶端與TTP間的會(huì)話密鑰����,TTP利用生成的客戶端與TTP間的會(huì)話密鑰驗(yàn)證第三消息中的客戶端-TTP消息鑒別碼,若驗(yàn)證通過�����,向服務(wù)端發(fā)送包含TTP-客戶端消息鑒別碼的第四消息;步驟9)服務(wù)端接收第四消息��,向客戶端依次發(fā)送TTP確認(rèn)消息����、服務(wù)端的完成消息,所述TTP確認(rèn)消息包含第四消息中的TTP-客戶端消息鑒別碼����;步驟( 具體包括步驟10)客戶端接收TTP確認(rèn)消息,利用自身生成的客戶端與TTP間的會(huì)話密鑰驗(yàn)證 TTP確認(rèn)消息中的TTP-客戶端消息鑒別碼���,若驗(yàn)證通過�,接收服務(wù)端的完成消息并驗(yàn)證�,若驗(yàn)證通過,完成客戶端分別與TTP間和服務(wù)端間的安全隧道建立����。
3.如權(quán)利要求2所述的方法,其特征在于�����,若服務(wù)端還需與TTP間建立安全隧道�,則步驟���;3)中,服務(wù)端向TTP發(fā)送的第一消息還包括服務(wù)端的詢問和服務(wù)端所支持的密碼套件列表��;步驟4)中�����,TTP向服務(wù)端發(fā)送的第二消息還包括TTP-服務(wù)端密碼套件,所述TTP-服務(wù)端密碼套件為TTP從第一消息的服務(wù)端所支持的密碼套件列表中選擇的一種TTP所支持的密碼套件��;步驟7)中還包括服務(wù)端利用服務(wù)端的詢問�、服務(wù)端的臨時(shí)私鑰�、從第二消息獲取的 TTP的詢問及TTP的臨時(shí)公鑰生成服務(wù)端與TTP間的會(huì)話密鑰,服務(wù)端向TTP發(fā)送的第三消息還包括服務(wù)端的臨時(shí)公鑰���、服務(wù)端-TTP消息鑒別碼,所述服務(wù)端-TTP消息鑒別碼為服務(wù)端利用自身生成的服務(wù)端與TTP間的會(huì)話密鑰對(duì)從TTP接收及發(fā)給TTP的信息計(jì)算的消息鑒別碼���;步驟8)中還包括TTP利用TTP的詢問、TTP的臨時(shí)私鑰���、第一消息中服務(wù)端的詢問、第三消息中服務(wù)端的臨時(shí)公鑰生成服務(wù)端與TTP間的會(huì)話密鑰�����,TTP利用自身生成的服務(wù)端與TTP間的會(huì)話密鑰驗(yàn)證第三消息中的服務(wù)端-TTP消息鑒別碼��,若驗(yàn)證通過���,再驗(yàn)證客戶端-TTP消息鑒別碼��;TTP向服務(wù)端發(fā)送的第四消息還包括TTP-服務(wù)端消息鑒別碼���,所述TTP-服務(wù)端消息鑒別碼為TTP利用自身生成的服務(wù)端與TTP間的會(huì)話密鑰對(duì)從服務(wù)端接收及發(fā)給服務(wù)端的信息計(jì)算的消息鑒別碼;步驟9)中��,服務(wù)端在向客戶端發(fā)送TTP確認(rèn)消息之前��,還包括服務(wù)端利用自身生成的服務(wù)端與TTP間的會(huì)話密鑰,驗(yàn)證第四消息中的TTP-服務(wù)端消息鑒別碼�����,若驗(yàn)證通過�����,再發(fā)送TTP確認(rèn)消息����。
4.如權(quán)利要求2或3所述的方法��,其特征在于��,步驟4)中���,TTP向服務(wù)端發(fā)送的第二消息���,還包括對(duì)TTP利用自身的私鑰對(duì)TTP的臨時(shí)公鑰的簽名;步驟幻中���,服務(wù)端向客戶端發(fā)送的TTP-客戶端密鑰數(shù)據(jù)交換消息����,還包括所述第一消息中對(duì)TTP的臨時(shí)公鑰的簽名���;步驟6)中還包括客戶端對(duì)TTP-客戶端密鑰數(shù)據(jù)交換消息中的對(duì)TTP的臨時(shí)公鑰的簽名進(jìn)行驗(yàn)證,若驗(yàn)證通過���,再生成客戶端與TTP間的會(huì)話密鑰���;客戶端向服務(wù)端發(fā)送的客戶端-TTP密鑰交換消息還包括客戶端利用客戶端的證書所對(duì)應(yīng)的私鑰對(duì)客戶端的臨時(shí)公鑰的簽名��;步驟7)中�,服務(wù)端向TTP發(fā)送的第三消息����,還包括從客戶端的證書消息中獲取的客戶端的證書、從客戶端-TTP密鑰交換消息中獲取的對(duì)客戶端的臨時(shí)公鑰的簽名�����;步驟8)中還包括TTP利用第三消息中的證書���,驗(yàn)證第三消息中對(duì)客戶端的臨時(shí)公鑰的簽名�,若驗(yàn)證通過�,再生成客戶端與TTP間的會(huì)話密鑰�。
5.如權(quán)利要求4所述的方法��,其特征在于,若服務(wù)端還需與TTP間建立安全隧道���,則步驟5)中���,服務(wù)端收到第二消息后���,首先對(duì)第二消息中對(duì)TTP的臨時(shí)公鑰的簽名進(jìn)行驗(yàn)證,若驗(yàn)證通過再向客戶端發(fā)送各個(gè)握手消息�;步驟7)中��,服務(wù)端向TTP發(fā)送的第三消息��,還包括服務(wù)端利用服務(wù)端證書所對(duì)應(yīng)的私鑰對(duì)服務(wù)端的臨時(shí)公鑰的簽名���;步驟8)中還包括ΤΤΡ對(duì)所述第三消息中的對(duì)服務(wù)端的臨時(shí)公鑰的簽名進(jìn)行驗(yàn)證,驗(yàn)證通過后再生成服務(wù)端與TTP間的會(huì)話密鑰���。
6.如權(quán)利要求1所述的方法��,其特征在于�����,所述第一方為服務(wù)端�����,所述第二方為客戶端���,則步驟(1)具體包括步驟1)服務(wù)端主動(dòng)發(fā)起雙方TLS握手過程時(shí)��,向客戶端發(fā)送問候請(qǐng)求消息; 步驟幻客戶端收到問候請(qǐng)求消息或主動(dòng)發(fā)起雙發(fā)TLS握手過程時(shí)�����,向服務(wù)端發(fā)送客戶端問候消息�;步驟3)服務(wù)端接收客戶端問候消息�����,向TTP發(fā)送第一消息�����,所述第一消息包括服務(wù)端的詢問和服務(wù)端所支持的密碼套件列表�����; 步驟( 具體包括步驟4)TTP接收第一消息��,向服務(wù)端發(fā)送第二消息���,所述第二消息包括TTP的詢問�����、TTP 的臨時(shí)公鑰���、TTP-服務(wù)端密碼套件,所述TTP-服務(wù)端密碼套件為TTP從第一消息的服務(wù)端所支持的密碼套件列表中選擇的一種TTP所支持的密碼套件��; 步驟( 具體包括步驟5)服務(wù)端接收第二消息,依次向客戶端發(fā)送如下握手消息服務(wù)端問候消息��、服務(wù)端的證書消息�、服務(wù)端密鑰交換消息���、證書請(qǐng)求消息�����、服務(wù)端問候結(jié)束消息�;步驟6)客戶端依次接收步驟幻中服務(wù)端發(fā)送的握手消息����,依次向服務(wù)端發(fā)送如下握手消息客戶端的證書消息����、客戶端密鑰交換消息�、證書驗(yàn)證消息�����、客戶端的完成消息;步驟7)服務(wù)端依次接收步驟6)中客戶端發(fā)送的各握手消息�,利用服務(wù)端的詢問��、服務(wù)端的臨時(shí)私鑰�、從第二消息獲取的TTP的詢問及TTP的臨時(shí)公鑰生成服務(wù)端與TTP間的會(huì)話密鑰�;服務(wù)端向TTP發(fā)送第三消息�����,第三消息包括服務(wù)端的臨時(shí)公鑰、服務(wù)端-TTP消息鑒別碼���;步驟(4)具體包括步驟8)TTP接收第三消息����,利用TTP的詢問��、TTP的臨時(shí)私鑰����、第一消息中服務(wù)端的詢問���、第三消息中服務(wù)端的臨時(shí)公鑰生成服務(wù)端與TTP間的會(huì)話密鑰,TTP利用自身生成的服務(wù)端與TTP間的會(huì)話密鑰驗(yàn)證第三消息中的服務(wù)端-TTP消息鑒別碼����;若驗(yàn)證通過,向服務(wù)端發(fā)送包括TTP-服務(wù)端消息鑒別碼的第四消息����;步驟9)服務(wù)端接收第四消息,利用自身生成的服務(wù)端與TTP間的會(huì)話密鑰��,驗(yàn)證第四消息中的TTP-服務(wù)端消息鑒別碼��,若驗(yàn)證通過��,向客戶端發(fā)送服務(wù)端的完成消息��。
7.如權(quán)利要求6所述的方法,其特征在于�,步驟4)中��,TTP向服務(wù)端發(fā)送的第二消息��,還包括對(duì)TTP利用自身的私鑰對(duì)TTP的臨時(shí)公鑰的簽名����;步驟5)中�,服務(wù)端收到第二消息后�����,首先對(duì)第二消息中對(duì)TTP的臨時(shí)公鑰的簽名進(jìn)行驗(yàn)證,若驗(yàn)證通過再向客戶端發(fā)送各個(gè)握手消息����;步驟7)中��,服務(wù)端向TTP發(fā)送的第三消息���,還包括服務(wù)端利用服務(wù)端的證書所對(duì)應(yīng)的私鑰對(duì)服務(wù)端的臨時(shí)公鑰的簽名��;步驟8)中還包括TTP對(duì)第三消息中的對(duì)服務(wù)端的臨時(shí)公鑰的簽名進(jìn)行驗(yàn)證���,驗(yàn)證通過后再生成服務(wù)端與TTP間的會(huì)話密鑰���。
8.如權(quán)利要求2或3或5所述的方法�����,其特征在于��,若客戶端需要利用TTP驗(yàn)證服務(wù)端的證書有效性�����,則步驟3)中,服務(wù)端向TTP發(fā)送的第一消息至少包括客戶端的詢問及服務(wù)端的證書���; 步驟4)中��,TTP向服務(wù)端發(fā)送的第二消息還包括從第一消息中獲取的服務(wù)端的證書和客戶端的詢問���、服務(wù)端的證書的驗(yàn)證結(jié)果�����、對(duì)服務(wù)端證書驗(yàn)證結(jié)果的簽名���,所述對(duì)服務(wù)端證書驗(yàn)證結(jié)果的簽名為TTP利用自身的私鑰對(duì)服務(wù)端的證書和客戶端的詢問、服務(wù)端的證書的驗(yàn)證結(jié)果的簽名�;步驟5)中,服務(wù)端向客戶端發(fā)送服務(wù)端密鑰交換消息之前����,還發(fā)送證書驗(yàn)證結(jié)果消息��,所述證書驗(yàn)證結(jié)果消息包括第二消息中的服務(wù)端的證書��、客戶端的詢問、服務(wù)端的證書的驗(yàn)證結(jié)果����、對(duì)服務(wù)端證書驗(yàn)證結(jié)果的簽名。
9.如權(quán)利要求2或3或5或8所述的方法�����,其特征在于��,若服務(wù)端需要利用TTP驗(yàn)證客戶端的證書有效性,則步驟7)中���,服務(wù)端向TTP發(fā)送的第三消息至少包括服務(wù)端的詢問及客戶端的證書; 步驟8)中,TTP發(fā)送的第四消息還包括從第三消息中獲取的服務(wù)端的詢問和客戶端的證書�����、客戶端的證書的驗(yàn)證結(jié)果、對(duì)客戶端證書驗(yàn)證結(jié)果的簽名����,所述對(duì)客戶端證書驗(yàn)證結(jié)果的簽名為TTP利用自身的私鑰對(duì)服務(wù)端的詢問和客戶端的證書��、客戶端的證書的驗(yàn)證結(jié)果的簽名��;步驟9)中還包括對(duì)第四消息中的對(duì)客戶端證書驗(yàn)證結(jié)果的簽名進(jìn)行驗(yàn)證�����,若驗(yàn)證通過且客戶端證書有效�����,再發(fā)送TTP確認(rèn)消息����、服務(wù)端的完成消息。
10.如權(quán)利要求8所述的方法����,其特征在于�,步驟2��、中��,客戶端在發(fā)送客戶端問候消息后��,還依次發(fā)送客戶端請(qǐng)求標(biāo)識(shí)消息和客戶端問候結(jié)束消息�����,所述客戶端請(qǐng)求標(biāo)識(shí)消息用于標(biāo)識(shí)客戶端是否需要利用TTP驗(yàn)證服務(wù)端的證書有效性,及客戶端是否需要與TTP間建立安全隧道���;步驟3)中����,服務(wù)端具體根據(jù)客戶端請(qǐng)求標(biāo)識(shí)消息����,確定客戶端是否需要利用TTP驗(yàn)證服務(wù)端的證書有效性,及客戶端是否需要與TTP間建立安全隧道��。
11.一種TLS握手裝置,其特征在于��,包括第一通知單元��,用于在所述TLS握手裝置作為第一方與第二方的雙方TLS握手過程中�, 將第一方的詢問和第一方所支持的密碼套件列表發(fā)送給可信第三方TTP �;密鑰生成單元,接收TTP通知的TTP的詢問��、TTP的臨時(shí)公鑰����、TTP-第一方密碼套件; 利用第一方的詢問����、TTP的詢問���、第一方的臨時(shí)私鑰、TTP的臨時(shí)公鑰生成第一方與TTP間的會(huì)話密鑰�;第二通知單元,用于在雙方TLS握手過程中�����,將第一方-TTP消息鑒別碼通知TTP��,所述第一方-TTP消息鑒別碼為利用密鑰生成單元生成的第一方與TTP間的會(huì)話密鑰對(duì)從TTP 接收及發(fā)給TTP的信息計(jì)算的消息鑒別碼����;驗(yàn)證單元���,用于接收TTP通知的TTP-第一方消息鑒別碼����,在雙方TLS握手過程中�����,利用密鑰生成單元生成的第一方與TTP間的會(huì)話密鑰對(duì)TTP-第一方消息鑒別碼驗(yàn)證���,若驗(yàn)證通過���,完成與TTP間的安全隧道建立�。
12.如權(quán)利要求11所述的裝置�,其特征在于,所述作為第一方的TLS握手裝置為客戶端�,所述第二方為服務(wù)端;或者所述作為第一方的TLS握手裝置為服務(wù)端����,所述第二方為客戶端。
13.一種可信第三方TTP���,其特征在于�,包括第一接收單元�����,用于在第一方與第二方的雙方TLS握手過程中��,接收第一方通知的第一方將第一方的詢問和第一方所支持的密碼套件列表����;第一通知單元����,用于基于雙方TLS握手過程����,將TTP的詢問、TTP的臨時(shí)公鑰�、TTP-第一方密碼套件通知第一方,所述TTP-第一方密碼套件為TTP從第一方所支持的密碼套件列表中選取的一種TTP所支持的密碼套件���;第二接收單元,用于接收第一方通知的第一方-TTP消息鑒別碼�����; 密鑰生成單元���,用于在雙方TLS握手過程中�,獲取第一方的臨時(shí)公鑰及第一方-TTP消息鑒別碼�,根據(jù)TTP的詢問、第一方的詢問����、TTP的臨時(shí)私鑰及第一方的臨時(shí)公鑰生成第一方與TTP間的會(huì)話密鑰�;鑒別單元�,利用密鑰生成單元生成的第一方與TTP間的會(huì)話密鑰對(duì)第一方-TTP消息鑒別碼驗(yàn)證;驗(yàn)證通過后�����,在雙方TLS握手過程中����,向第一方發(fā)送TTP-第一方消息鑒別碼,所述TTP-第一方消息鑒別碼為利用生成的第一方與TTP間的會(huì)話密鑰對(duì)從第一方接收及發(fā)給第一方的信息計(jì)算的消息鑒別碼�����。
全文摘要
本發(fā)明公開了一種TLS握手方法和裝置及TTP�����,該方法基于雙方TLS握手過程�,第一方將第一方的詢問和第一方所支持的密碼套件列表發(fā)送給TTP;TTP基于將TTP的詢問���、TTP的臨時(shí)公鑰���、TTP-第一方密碼套件通知第一方��;第一方利用生成的與TTP間的會(huì)話密鑰將第一方-TTP消息鑒別碼通知TTP��;TTP利用生成的與第一方間的會(huì)話密鑰對(duì)第一方-TTP消息鑒別碼驗(yàn)證�;驗(yàn)證通過后�,向第一方發(fā)送TTP-第一方消息鑒別碼;第一方利用對(duì)TTP-第一方消息鑒別碼驗(yàn)證���,若驗(yàn)證通過�,第一方完成與TTP間的安全隧道建立��。本發(fā)明基于雙方TLS握手方法與TTP間建立安全隧道����,提高了安全性且具有很好的后向兼容性�����。
文檔編號(hào)H04L29/06GK102510387SQ20111045205
公開日2012年6月20日 申請(qǐng)日期2011年12月29日 優(yōu)先權(quán)日2011年12月29日
發(fā)明者侯宇, 張國強(qiáng), 曹軍, 肖躍雷, 鐵滿霞 申請(qǐng)人:西安西電捷通無線網(wǎng)絡(luò)通信股份有限公司