[发明专利]建立传输层安全连接的方法、系统及装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及建立传输层安全连接的方法、系统及装置。

背景技术

DNS(域名系统，Domain Name System)实际上是一个大型的分布式数据库系统，它所执行的基本功能是网络资源(从最早的简单网络上的每个主机名到后来的域名、邮件地址等)与IP地址之间的翻译。由于DNS是一个被广泛应用的网络基础设施，所以目前的DNS被赋予了许多新的功能，例如，用它来进行分发IPsec(Internet协议安全)的公钥信息或SSH(安全外壳，Secure Shell)的公钥指纹等。

DNSSEC是DNS的安全扩展(DNS Security Extension)，它通过区签名的方式来对资源记录进行数据源认证及完整性保护，所谓区签名，就是利用每个区所对应的私钥对区内的每一个资源记录集作签名，形成与资源记录集对应的签名记录。

通过获取一个区所对应的公钥，域名解析器可以通过签名验证来判断获得的资源记录的真实性和完整性。DNSSEC通过建立信任链来保证域名解析器所获得的公钥的可靠性，作为信任链的开端，每个域名解析器都必须预先配置一个或多个Trust Anchor(信任锚点)，Trust Anchor为某个区的公钥或公钥的消息摘要。

TLS(传输层安全，Transport Layer Security)协议是一个能为Internet上的通讯双方提供安全可靠的通讯服务的协议，它允许客户端/服务器应用之间进行防窃听、防消息篡改及防消息伪造的安全通讯。该协议包含两个层次：上层的握手协议和下层的记录层协议，这样做的原因是为了保证应用协议的独立性，使得低级协议对于高级协议保持透明。

握手协议的主要功能有：

1.负责双方的身份验证，主要有相互认证、服务器认证、无认证三种可选方式；

2.协商各种算法，比如pre-master-secret(预共享秘密)的协商算法、数据的加密算法及压缩算法、数据的完整性保护算法，以及连接的版本号等信息；

3.协商pre-master-secret，并据此生成各种数据保护算法所需的密钥。

记录层协议位于某一可靠的传输协议之上，例如TCP协议(传输控制协议，Transmission Control Protocol)，它利用握手协议所协商好的各种算法和密钥，对数据进行分段、压缩、附上MAC(Message Authentication Code，消息认证代码)、加密，然后将处理过的数据发送出去，接收端则进行相反的处理。

为了验证通信双方的身份，同时保证pre-master-secret协商的安全性及机密性，目前应用最广泛的方法是利用证书来分发服务器公钥并进行身份验证。

在这种方案中，需要有证书机构的支持，而这样会直接导致通信代价的增加，并且，目前还没有任何证书机构能得到所有潜在用户的信赖；在目前所存在着的诸多证书机构中，不同的证书机构可能使用不同的结构、不同的安全策略和密钥算法体系，这样会导致使用不同证书的双方无法进行通信；

而且，目前不存在一个有效的办法来保证客户能快速、安全的获得众多证书机构的公钥。

实体的命名也没有一个统一的标准，比方说，如果A拥有一个由CA1签发的名为Alice的证书，而B则完全可以拥有一个由CA2签发的同样名为Alice的证书，这样的话，客户端C就将无法辨别同为Alice的A、B的身份。

发明内容

有鉴于此，本发明实施例的主要目的在于提供一种不使用证书机构而建立传输层安全连接的方法、系统及装置。

为达到上述目的，本发明实施例的技术方案是这样实现的：

本发明实施例公开了一种建立传输层安全连接的方法，包括：

客户端向域名设备查询获取传输层安全TLS服务器的安全信息，根据所述安全信息与所述TLS服务器进行连接。

本发明实施例还公开了一种建立传输层安全连接的系统，包括客户端和TLS服务器，还包括域名设备，其中：

TLS服务器，用于将其安全信息存储到域名设备中；

客户端，用于向域名设备查询获取所述安全信息，根据所述安全信息与所述TLS服务器建立连接；

域名设备，用于保存所述TLS服务器的所述安全信息，所述域名设备为DNS服务器或者DNS的安全扩展服务器。

另外，本发明实施例还公开了一种域名装置，包括：

记录模块，用于以资源记录的形式存储TLS服务器的安全信息；