[发明专利]一种安全协商装置和方法

说明书

技术领域

本发明涉及网络通信技术领域，尤其涉及一种安全协商装置和方法。

背景技术

在网络通信中，数据传输的安全性已成为至关重要的一点。其中，最常见的SSL（Secure Sockets Layer，安全套接层）是一套Internet数据安全协议，SSL协议位于TCP/IP协议与各种应用层协议之间，建立在可靠的传输协议（如TCP协议）之上，为高层协议数据通讯提供数据封装、压缩、加密等安全支持。

目前，使用SSL的应用越来越多，而且规模也越来越大。比如：使用浏览器访问一个安全网站（如个人银行），采用的都是https加密链接。这种应用就是通过SSL来实现HTTP安全通信。由于使用数量的日益增多，越来越多的SSL服务器被部署在提供web、邮件等服务的真实服务器的前方，为真实服务器提供安全连接保障。

现有技术中，SSL的协商方案有两种。一种是软件加解密，软件加解密的方法中大数运算都是由CPU来处理的，会导致CPU占用率很高，运行速度慢。另一种是采用硬件加解密，即软件把大数运算交给硬件加解密部件来处理，这种方法虽然一定程度上缓解了CPU的压力，但是在大量SSL连接的情况下，后续再请求SSL连接的用户还是很有可能得不到及时的响应，这样就会造成用户连接很慢，甚至连接超时的情况，影响用户体验。

发明内容

有鉴于此，本发明提供一种安全协商装置和方法，以解决现有技术存在的不足。

具体地，所述装置应用在网络安全服务器上，该装置包括：

协商模块，在安全协商的过程中，用于在接收到客户端发送的需要解密的安全协商报文后，从中获取该报文的安全协商特征信息以及需要解密的数据信息并把所述安全协商特征信息保存起来，生成对应的协商标识；

调用模块，用于将所述协商标识和所述需要解密的数据信息发送给解密部件进行解密；

恢复模块，用于接收解密部件返回的明文及协商标识，根据所述协商标识查找到对应的安全协商特征信息，并根据所述安全协商特征信息和所述明文，恢复与该安全协商特征信息对应的安全协商。

所述方法包括以下步骤：

步骤A、在接收到客户端发送的需要解密的安全协商报文后，从中获取该报文的安全协商特征信息以及需要解密的数据信息并把所述安全协商特征信息保存起来，生成对应的协商标识；

步骤B、将所述协商标识和所述需要解密的数据信息发送给解密部件进行解密；

步骤C、接收解密部件返回的明文及协商标识，根据所述协商标识查找到对应的安全协商特征信息，并根据所述安全协商特征信息和所述明文，恢复与该安全协商特征信息对应的安全协商。

由以上技术方案可见，相较于现有技术，本发明可以实现在安全协商的过程将CPU从等待协商结果的过程中解放出来，进一步地CPU可以处理其他报文，最大程度地提高了CPU的使用效率。

附图说明

图1是现有技术中一种安全协商过程的服务器认证流程图；

图2是本发明一种实施方式中安全协商过程的流程示意图；

图3是本发明一种实施方式中安全协商的装置逻辑图。

具体实施方式

为了解决现有技术中遇到大量用户访问时，连接速度较慢的问题，一种常见的思路是引入更多的硬件解密部件，这种方式适用于有灵活扩展架构的系统，如果系统的扩展性很差，则可能无法加入更多的硬件解密部件。这种方式在一定程度上能够改善连接速度较慢的问题，但是效果并不明显，最重要的是成本较高。本发明提供了一种安全协商装置和方法，应用在网络安全服务器上，以解决上述问题。

请参考图1，一个典型的SSL安全协商过程中服务器认证的流程包括以下步骤：

S101、客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接；

S102、服务器接收客户端发送的上述信息，在响应客户端“Hello”信息的同时包含生成新的预主密钥所需的信息，并同时发送自己的证书；

S103、客户端根据收到的服务器响应信息，验证所述证书合法后根据所述主预密钥所需的信息产生一个预主密钥，并用服务器的公开密钥加密后传给服务器；

S104、服务器用私钥解密加密的预主密钥并回复，返回给客户端一个用主密钥认证的信息，以此让客户端认证服务器。