[发明专利]一种基于硬件加密算法的SSL的实现方法

说明书

本发明涉及一种基于硬件加密算法的SSL的实现方法，包括如下步骤：S1：通过引擎机制引入硬件加密算法；S2：添加加密套件；S3：改造握手协议消息；其中，所述步骤S1中，通过OpenSSL的引擎机制引入硬件加密算法。本发明提供的基于硬件加密算法的SSL的实现方法，使用不公开算法的硬件加密模块作为SSL的加密引擎，一切加密行为都在硬件加密模块内部实现，所有的加密密钥都存储在硬件加密模块内部，信息的安全不再依赖加密中间件，从而在加密源头上保证了加密的安全性。

技术领域

本发明涉及计算机安全技术领域，具体涉及一种基于硬件加密算法的SSL的实现方法。

背景技术

2013年的棱镜门事件，暴露出我国计算机及网络系统等信息化基础设施长期依赖国外产品，面临安全隐患的问题。

密码技术是信息安全保障的核心，我国绝大部分行业核心领域长期依赖国际通用的密码算法体系，主要包括DES、3DES、AES、RSA、SHA-1、MD5等密码算法。随着密码技术和计算技术的发展，以及RSA预留后门、RSA1024算法风险等事件的影响，信息系统进行国产密码算法升级改造已成为当务之急，成为我国信息安全自主可控的主要手段之一。

SSL是Secure Socket Layer的英文缩写，意思是安全套解层协议，指使用公钥和私钥技术组合的安全网络通讯协议。SSL协议是网景公司（Netscape）推出的基于web应用的安全协议，SSL协议指定了一种在应用程序协议（如Http、Telnet、NMTP和FTP等）和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证，主要用于提供应用程序间数据传送的安全性，完整性。在SSL的支持下，网络上的信息服务与商务活动有了很好的发展。由于电子商务技术在我国的应用，SSL在我国也有很大的发展，但是由于种种原因，SSL在我国受到了一些局限，主要存在如下问题：

1、依赖国外密码产品，将面临安全隐患，我国党、政、军等众多部门和单位的内部网络建设面临信息交流与保密的矛盾，而我国计算机网络保密技术研究和技术防范手段相对滞后，技术安全保密方面的压力越来越大。

2、国外主流的安全协议在核心密码算法上都有出口限制，如只允许40位或56位的RC4和512位的RSA算法出口等，而且协议代码不公开。这样的算法强度引入我国后，根本无法满足我国实际应用中的安全需求。

处在网络高速发展和科技突飞猛进的时代，信息安全技术是具有对抗性的的敏感技术，面对日益迫切的需要，唯一的出路就是自主创新。当然，自主创新并不排斥吸收国际上的先进技术，相反，只有密切跟踪国际信息安全技术的新发展才能知己知彼，为我所用。

因此，我们应该参照国际上先进的信息安全技术自主研制安全系统。在国际同行的研究基础上，尽量吸取和掌握其思想、原理的先进性，结合我国自主密码算法，设计或改造相关的网络安全协议，将这些协议实现与现有应用系统和自主可控的操作系统结合起来是十分必要的。

OpenSSL中的SSL实现是基于其算法库中的公开密码算法的。SSL协议位于TCP/IP协议模型的网络层和应用层之间，图2为SSL握手消息交互过程示意图，如图所示：SSL协议实际上是由共同工作的两层协议组成。

SSL握手协议、SSL改变密码格式协议、SSL告警协议、HTTP、FTP等，我们都可以看成是SSL记录协议封装的上层应用层数据。

实现SSL加密连接建立的过程主要是由SSL握手协议完成的，如图1所示，为SSL协议在网络协议中的位置示意图，从图1中可以看出SSL握手协议的消息交互过程。

通过对握手交互过程代码的分析可知，其中用到的加密算法有随机数生成算法、杂凑算法、对称加密算法、非对称加密算法、密钥交换算法，用到的证书是x509数字证书。对这些算法在协议中的使用的详细说明如下：