[发明专利]基于安全数字证书的嵌入式终端间会话握手的实现方法

说明书

技术领域

本发明涉及终端会话的安全验证技术领域，具体涉及一种基于安全数字证书的嵌入式终端间会话握手的实现方法。

背景技术

数字证书也叫电子证书,或简称证书，在很多场合下,数字证书、电子证书和证书都是X.509公钥证书的同义词，它符合ITU－T X.509V3标准。证书是随PKI的形成而新发展起来的安全机制，它实现身份的鉴别与识别（认证）、完整性、保密性及不可否认性安全服务（安全需求）；数字证书是电子商务中各实体的网上身份的证明，它证明实体所声明的身份与其公钥的匹配关系，使得实体身份与证书上的公钥相绑定；从公钥管理的机制来讲，数字证书是公钥体制密钥管理的媒介，即在公钥体制中，公钥的分发、传送是靠证书机制来实现的。所以有时也将数字证书称为公钥证书；数字证书是一种权威性的电子文档，它是由具有权威性、可信任性及公正性的第三方机构（CA）所颁发。数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方证书的有效性，从而解决相互间的信任问题。简单的说，数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性。

在网络上，信息在由源主机到达目的主机的传输过程中会经过其他计算机。一般情况下，中间的计算机不会监听路过的信息。但在访问网上银行或者进行信用卡交易时，网络上的信息有可能被非法分子监听，从而导致个人隐私的泄露。由于Internet和Internet体系结构存在一些安全漏洞，总会有某些人能够截获并替换用户发出的原始信息。随着电子商务的不断发展，人们对信息安全的要求也越来越高，于是Netscape（网景）公司提出了SSL（ServerSocket Layer）协议，旨在达到在开发网络（Internet）上安全、保密地传输信息的目的，这种协议在Web上获得了广泛的应用。SSL安全协议主要提供三方面的服务：

认证用户和服务器,使得它们能够确信数据将被发送到正确的客户机和服务器上；

加密数据以隐藏被传送的数据；

维护数据的完整性,确保数据在传输过程中不被改变。

但是，在SSL交互流程中，交互的发起方总是由客户端向服务器发出服务请求，即发起会话的终端是受限制的。此外，，SSL协议交互只是TCP/IP网络协议中的一部分,目前在内存有限的嵌入式网络终端中的交互会话流程中还没有将安全数字证书应用到嵌入式网络终端中的交互会话流程中的案例，嵌入式终端间交互，都是根据不同的需求来开发指定的，并没有一个标准。

发明内容

针对现有技术中存在的缺陷，本发明的目的在于提供一种基于安全数字证书的嵌入式终端间会话握手的实现方法，通过该方法实现了内存有限的嵌入式终端的通信会话。

为实现上述目的，本发明采用的技术方案如下：

一种基于安全数字证书的嵌入式终端间会话握手的实现方法，包括以下步骤：

（1）会话请求终端组织会话报文1发送到目的终端，发起会话请求；所述的会话报文1包括请求终端的终端证书、会话密文EKS1和会话报文1的数字签名S1；

（2）目的终端接收会话报文1，验证请求终端的终端证书和数字签名S1合法性，并组织新的会话报文2返回给请求终端；所述的会话报文2包括目的终端的终端证书、会话密文EKS2和会话报文2的数字签名S2；

（3）请求终端接收会话报文2，验证目的终端的终端证书和数字签名的合法性，生成预主会话密钥R3，得到最终会话密钥，并根据预主会话密钥组织新的会话报文3发送到目的终端；

（4）目的终端接收会话报文3，并根据会话报文3计算得到预主会话密钥R3，生成最终会话密钥。

进一步，如上所述的一种基于安全数字证书的嵌入式终端间会话握手的实现方法，步骤（1）中，组织会话报文1的具体方式为：

（1-1）请求终端生成会话数据R1，对会话数据R1进行加密得到会话密文EKS1；

（1-2）请求终端对其SSL版本号、终端证书和会话数据R1进行数字签名形成签名S1;

（1-3）将请求终端的SSL版本号、终端证书、会话密文EKS1与签名S1组成会话报文1。

进一步，如上所述的一种基于安全数字证书的嵌入式终端间会话握手的实现方法，步骤（2）中，组织会话报文2的具体方式为：

（2-1）目的终端解密接收到的会话密文EKS1得到会话数据R1；