[发明专利]一种会话重用方法及装置

说明书

本申请提供一种会话重用的方法及装置。在本申请的一种会话重用方法中，身份认证设备会在当前本地密钥的空闲时长大于预设阈值时，对当前本地密钥进行更新，可实现在一定程度上提高加密传输会话的安全性。在本申请的另一种会话重用方法中，身份认证设备会在当前本地密钥的老化时长结束后，生成一新的本地密钥，并将老化时长已经结束的本地密钥在预先创建的密钥队列中保留一定的时长，这不仅使得用于对会话密钥进行加密的的本地密钥可以得到适时地变换，从而提高会话密钥的安全性，而且可以保证利用老化时长已经结束的本地密钥进行加密得到的会话票证依然可以被解密成功，从而更大程度地保证了认证请求设备所申请的会话重用得以成功实现。

技术领域

本申请涉及网络通信技术领域，尤其涉及一种会话重用方法及装置。

背景技术

为应对日益严峻的网络安全问题，使用SSL(Secure Sockets Layer，安全套接层)先将会话数据进行加密再传输的方法已经变得非常普遍。在这种方式下，认证请求设备与身份认证设备之间即将进行的每一次会话，都需要通过完成一次SSL正常握手来建立新的完整的会话连接，并在建立新的完整的会话连接的过程中，协商用于对会话数据进行加密的会话密钥。而为了节省建立完整的会话连接所耗费的时间以及认证请求设备的处理器资源，通常可采用会话重用机制在一定条件下实现会话的重复使用。

会话重用机制下，身份认证设备通过将一次完整会话连接建立后协商得到的会话密钥以会话票证(session ticket)的方式发送至认证请求设备，可以在接收到认证请求设备返回的会话票证、且在该会话票证验证通过的情况下为认证请求设备启动会话重用机制，其中，会话票证是由身份认证设备利用自身所保存的本地密钥加密会话密钥形成的，而本地密钥也用于对接收到的会话票证进行解密，并在解密成功的情况下由身份认证设备确认该会话票证可以通过验证。然而在现有技术中，身份认证设备将持续使用同一本地密钥对会话密钥进行加密，这一本地密钥一旦被第三方恶意窃取，将最终使得会话数据加密再传输的方法形同虚设。

发明内容

有鉴于此，本申请提供一种会话重用方法，以保证在当前本地密钥被第三方窃取的情况下，会话数据加密再传输的方法依然可以有效实现。

根据本申请第一个实施例的第一方面，提供一种会话重用方法，应用于身份认证设备，所述身份认证设备在当前本地密钥的空闲时长大于预设阈值时，对当前本地密钥进行更新，所述方法包括：

接收认证请求设备发送的会话重用请求报文，所述会话重用请求报文包含身份认证设备预先发送至认证请求设备的会话票证；

利用当前本地密钥对所述会话票证进行解密；

如果会话票证解密成功，则为所述认证请求设备启动会话重用机制；

如果会话票证解密失败，则与所述认证请求设备建立完整的会话连接。

根据本申请第一个实施例的第二方面，提供一种会话重用装置，应用于身份认证设备，所述装置包括：

更新单元，用于在当前本地密钥的空闲时长大于预设阈值时，对当前本地密钥进行更新；

接收单元，用于接收认证请求设备发送的会话重用请求报文，所述会话重用请求报文包含身份认证设备预先发送至认证请求设备的会话票证；

解密单元，用于利用当前本地密钥对所述会话票证进行解密；

启动单元，用于在所述解密单元对会话票证解密成功后，为所述认证请求设备启动会话重用机制；

建立单元，用于在所述解密单元对会话票证解密失败后，与所述认证请求设备建立完整的会话连接。