基于ssl的代理方法���、裝置及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域,特別是涉及一種基于SSL的代理方法�����、裝置及系統(tǒng)。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)技術(shù)的發(fā)展��,對(duì)網(wǎng)絡(luò)數(shù)據(jù)的傳輸安全的要求也在不斷提高��。在基于SSL(Secure Sockets Layer�,安全套接層)協(xié)議的握手過(guò)程中,最消耗計(jì)算資源的操作是非對(duì)稱加密運(yùn)算��,非對(duì)稱加密運(yùn)算需要兩個(gè)密鑰來(lái)進(jìn)行加密和解密�����,這兩個(gè)密鑰是公開密鑰和私有密鑰�。SSL協(xié)議是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。
[0003]目前SSL代理與客戶端和服務(wù)器進(jìn)行握手協(xié)商建立連接的過(guò)程中���,在SSL代理與客戶端通過(guò)計(jì)算得到協(xié)商結(jié)果��,并根據(jù)協(xié)商結(jié)果建立連接���。之后,SSL代理再與服務(wù)器握手協(xié)商建立連接�,在此握手協(xié)商過(guò)程中���,仍需要調(diào)用計(jì)算資源再次運(yùn)算,而未使用SSL代理與客戶端的協(xié)商結(jié)果���,導(dǎo)致了該協(xié)商結(jié)果閑置���,造成了資源的浪費(fèi)。
【發(fā)明內(nèi)容】
[0004]基于此����,有必要針對(duì)由于SSL代理與客戶端的協(xié)商結(jié)果閑置而造成的資源浪費(fèi)問(wèn)題,提供一種基于SSL的代理方法�、裝置及系統(tǒng)。
[0005]—種基于SSL的代理方法�����,所述方法應(yīng)用于基于SSL的代理系統(tǒng)中的代理服務(wù)器����,所述基于SSL的代理系統(tǒng)還包括客戶端和目標(biāo)服務(wù)器,在所述客戶端通過(guò)所述代理服務(wù)器訪問(wèn)所述目標(biāo)服務(wù)器的過(guò)程中�,所述方法包括:
[0006]獲取在與客戶端的第一握手過(guò)程中所述代理服務(wù)器所選定的第一加密參數(shù)以及所述客戶端發(fā)送的預(yù)主密碼密文數(shù)據(jù);
[0007]在與所述目標(biāo)服務(wù)器的第二握手過(guò)程中��,獲取所述目標(biāo)服務(wù)器選定的第二加密參數(shù)�����;
[0008]判斷所述第一加密參數(shù)和所述第二加密參數(shù)是否匹配��;
[0009]若匹配�����,則直接將所述預(yù)主密碼密文數(shù)據(jù)發(fā)送給所述目標(biāo)服務(wù)器�,以使所述目標(biāo)服務(wù)器根據(jù)所述預(yù)主密碼密文數(shù)據(jù)完成所述第二握手過(guò)程。
[0010]在其中一個(gè)實(shí)施例中�����,所述獲取在與客戶端的第一握手過(guò)程中代理服務(wù)器所選定的第一加密參數(shù)以及所述客戶端發(fā)送的預(yù)主密碼密文數(shù)據(jù)的步驟�����,包括:
[0011 ]接收客戶端發(fā)送的客戶端握手請(qǐng)求�����;
[0012]根據(jù)所述客戶端握手請(qǐng)求選定第一加密參數(shù)并返回給所述客戶端���;
[0013]接收所述客戶端發(fā)送的預(yù)主密碼密文數(shù)據(jù)�,所述預(yù)主密碼密文數(shù)據(jù)是根據(jù)所述第一加密參數(shù)中的公鑰對(duì)所述客戶端產(chǎn)生的隨機(jī)數(shù)加密獲得的;
[0014]根據(jù)所述公鑰相應(yīng)的私鑰對(duì)所述預(yù)主密碼密文數(shù)據(jù)進(jìn)行解密獲得預(yù)主密碼明文數(shù)據(jù)���。
[0015]在其中一個(gè)實(shí)施例中��,所述方法還包括:
[0016]若不匹配�����,則以所述第二握手過(guò)程中的隨機(jī)數(shù)作為預(yù)主密碼��,根據(jù)所述第二加密參數(shù)中的公鑰對(duì)所述預(yù)主密碼進(jìn)行加密得到預(yù)主密碼密文數(shù)據(jù)���,并將所述預(yù)主密碼密文數(shù)據(jù)發(fā)送給所述目標(biāo)服務(wù)器,以使所述目標(biāo)服務(wù)器根據(jù)所述第二加密參數(shù)中的公鑰相應(yīng)的私鑰解密所述預(yù)主密碼密文數(shù)據(jù)并完成所述第二握手過(guò)程����。
[0017]在其中一個(gè)實(shí)施例中,所述第二加密參數(shù)包括協(xié)議版本號(hào)�����、密鑰交換算法以及公鑰;所述獲取所述服務(wù)器選定的第二加密參數(shù)包括:
[0018]發(fā)送代理握手請(qǐng)求�����;
[0019]接收所述目標(biāo)服務(wù)器根據(jù)所述代理握手請(qǐng)求選定的協(xié)議版本號(hào)、密鑰交換算法以及目標(biāo)服務(wù)器數(shù)字證書���;
[0020]從所述目標(biāo)服務(wù)器數(shù)字證書中提取公鑰,并根據(jù)所述協(xié)議版本號(hào)���、所述密鑰交換算法和所述公鑰得到所述第二加密參數(shù)�。
[0021]在其中一個(gè)實(shí)施例中����,所述判斷所述第一加密參數(shù)和所述第二加密參數(shù)是否匹配包括:
[0022]判斷所述第一加密參數(shù)中的密鑰交換算法、協(xié)議版本號(hào)及公鑰�,是否分別與所述第二加密參數(shù)中的密鑰交換算法、協(xié)議版本號(hào)及公鑰匹配���。
[0023]上述基于SSL的代理方法��,首先獲取在與客戶端的第一握手過(guò)程中所選定的第一加密參數(shù)以及所述客戶端發(fā)送的預(yù)主密碼密文數(shù)據(jù)����,之后在與目標(biāo)服務(wù)器的第二握手過(guò)程中����,獲取目標(biāo)服務(wù)器選定的第二加密參數(shù)���,再判斷第一加密參數(shù)和第二加密參數(shù)是否匹配,若匹配�����,則直接將在第一握手過(guò)程中客戶端發(fā)送的預(yù)主密碼密文數(shù)據(jù)發(fā)送給目標(biāo)服務(wù)器����,以使目標(biāo)服務(wù)器根據(jù)預(yù)主密碼密文完成第二握手過(guò)程。這樣�,在判斷第一加密參數(shù)與第二加密參數(shù)匹配時(shí),則將與客戶端的第一握手過(guò)程中的預(yù)主密碼密文數(shù)據(jù)作為與目標(biāo)服務(wù)器的第二握手過(guò)程中的預(yù)主密碼密文數(shù)據(jù)���。在第二握手過(guò)程中�,無(wú)需對(duì)第二握手過(guò)程中隨機(jī)數(shù)進(jìn)行再次計(jì)算以得到預(yù)主密碼密文數(shù)據(jù)�,就可以獲取用于完成第二握手過(guò)程的預(yù)主密碼密文數(shù)據(jù),同時(shí)也避免了與客戶端的第一握手過(guò)程中預(yù)主密碼密文數(shù)據(jù)的閑置���,提高了資源利用率�����。
[0024]一種基于SSL的代理裝置����,所述裝置包括:
[0025]第一獲取模塊,用于獲取在與客戶端的第一握手過(guò)程中所述代理服務(wù)器所選定的第一加密參數(shù)以及所述客戶端發(fā)送的預(yù)主密碼密文數(shù)據(jù)�;
[0026]第二獲取模塊,用于在與所述目標(biāo)服務(wù)器的第二握手過(guò)程中����,獲取所述目標(biāo)服務(wù)器選定的第二加密參數(shù)����;
[0027]加密參數(shù)判斷模塊,用于判斷所述第一加密參數(shù)和所述第二加密參數(shù)是否匹配����;
[0028]預(yù)主密碼選取模塊,用于若所述第一加密參數(shù)和所述第二加密參數(shù)匹配�,則直接將所述預(yù)主密碼密文數(shù)據(jù)發(fā)送給所述目標(biāo)服務(wù)器,以使所述目標(biāo)服務(wù)器根據(jù)所述預(yù)主密碼密文數(shù)據(jù)完成所述第二握手過(guò)程��。
[0029]在其中一個(gè)實(shí)施例中�,所述第一獲取模塊還包括:
[0030]握手請(qǐng)求接收模塊,用于接收客戶端發(fā)送的客戶端握手請(qǐng)求�����;
[0031]加密參數(shù)返回模塊,用于根據(jù)所述客戶端握手請(qǐng)求選定第一加密參數(shù)并返回給所述客戶端�;
[0032]預(yù)主密碼接收模塊,用于接收所述客戶端發(fā)送的預(yù)主密碼密文數(shù)據(jù)�����,所述預(yù)主密碼密文數(shù)據(jù)是根據(jù)所述第一加密參數(shù)中的公鑰對(duì)所述客戶端產(chǎn)生的隨機(jī)數(shù)加密獲得的��;
[0033]預(yù)主密碼解密模塊��,用于根據(jù)所述公鑰相應(yīng)的私鑰對(duì)所述預(yù)主密碼密文數(shù)據(jù)進(jìn)行解密獲得預(yù)主密碼明文數(shù)據(jù)�。
[0034]在其中一個(gè)實(shí)施例中,所述預(yù)主密碼選取模塊還用于若所述第一加密參數(shù)和所述第二加密參數(shù)不匹配�,則以所述第二握手過(guò)程中的隨機(jī)數(shù)作為預(yù)主密碼,根據(jù)所述第二加密參數(shù)中的公鑰對(duì)所述預(yù)主密碼進(jìn)行加密得到預(yù)主密碼密文數(shù)據(jù)�,并將所述預(yù)主密碼密文數(shù)據(jù)發(fā)送給所述目標(biāo)服務(wù)器,以使所述目標(biāo)服務(wù)器根據(jù)所述第二加密參數(shù)中的公鑰相應(yīng)的私鑰解密所述預(yù)主密碼密文數(shù)據(jù)并完成所述第二握手過(guò)程���。
[0035]在其中一個(gè)實(shí)施例中�����,所述第二加密參數(shù)包括協(xié)議版本號(hào)��、密鑰交換算法以及公鑰;所述第二獲取模塊包括:
[0036]請(qǐng)求發(fā)送模塊�,用于發(fā)送代理握手請(qǐng)求;
[0037]加密參數(shù)接收模塊��,用于接收所述目標(biāo)服務(wù)器根據(jù)所述代理握手請(qǐng)求選定的協(xié)議版本號(hào)�、密鑰交換算法以及目標(biāo)服務(wù)器數(shù)字證書;
[0038]公鑰提取模塊�,用于從所述目標(biāo)服務(wù)器數(shù)字證書中提取公鑰,并根據(jù)所述協(xié)議版本號(hào)����、所述密鑰交換算法和所述公鑰得到所述第二加密參數(shù)�����。
[0039]在其中一個(gè)實(shí)施例中���,所述加密參數(shù)判斷模塊還用于判斷所述第一加密參數(shù)中的密鑰交換算法����、協(xié)議版本號(hào)及公鑰�����,是否分別與所述第二加密參數(shù)中的密鑰交換算法、協(xié)議版本號(hào)及公鑰匹配�。
[0040]上述基于SSL的代理裝置,首先第一獲取模塊獲取在與客戶端的第一握手過(guò)程中所選定的第一加密參數(shù)以及客戶端發(fā)送的預(yù)主密碼密文數(shù)據(jù)�,之后在與目標(biāo)服務(wù)器的第二握手過(guò)程中,第二獲取模塊獲取目標(biāo)服務(wù)器選定的第二加密參數(shù)���,加密參數(shù)判斷模塊再判斷第一加密參數(shù)和第二加密參數(shù)是否匹配�,若匹配�,預(yù)主密碼選取模塊則直接將在第一握手過(guò)程中客戶端發(fā)送的預(yù)主密碼密文數(shù)據(jù)發(fā)送給目標(biāo)服務(wù)器,以使目標(biāo)服務(wù)器根據(jù)預(yù)主密碼密文完成第二握手過(guò)程����。這樣,在判斷第一加密參數(shù)與第二加密參數(shù)匹配時(shí)�,則將與客戶端的第一握手過(guò)程中的預(yù)主密碼密文數(shù)據(jù)作為與目標(biāo)服務(wù)器的第二握手過(guò)程中的預(yù)主密碼密文數(shù)據(jù)。在第二握手過(guò)程中�,無(wú)需對(duì)第二握手過(guò)程中隨機(jī)數(shù)進(jìn)行再次計(jì)算以得到預(yù)主密碼密文數(shù)據(jù),就可以獲取用于完成第二握手過(guò)程的預(yù)主密碼密文數(shù)據(jù)���,同時(shí)也避免了與客戶端的第一握手過(guò)程中預(yù)主密碼密文數(shù)據(jù)的閑置�,提高了資源利用率�����。
[0041]一種基于SSL的代理系統(tǒng),所述系統(tǒng)包括客戶端��、代理服務(wù)器和目標(biāo)服務(wù)器:
[0042]所述客戶端用于向所述代理服務(wù)器發(fā)送客戶端握手請(qǐng)求����;
[0043]所述代理服務(wù)器用于接收所述客戶端握手請(qǐng)求,并根據(jù)所述客戶端握手請(qǐng)求選定第一加密參數(shù)