[发明专利]一种利用事件证书实现全链路加密代理的方法

权利要求书

1.一种利用事件证书实现全链路加密代理的方法，其特征在于，包括如下步骤：

步骤一：外网用户使用用户证书访问SSL代理服务器，在对用户完成身份认证后，动态的产生一对非对称密钥对并关联到该用户的会话中；该步骤具体如下：

用户使用浏览器或客户端与SSL代理服务器完成一次真实的SSL握手，SSL代理服务器对用户做身份认证，具体步骤如下：

1.1)客户端向SSL代理服务器发送client Hello消息，此时为客户端支持的密码算法；

1.2)SSL代理服务器向客户端返回ServerHello选取相应的密码算法；

1.3)SSL代理服务器向客户端返回ServerCertificate，SSL代理服务器站点证书，此时客户端对服务端站点证书进行认证；

1.4)SSL代理服务器向客户端返回ServerKeyExchange，根据密钥交换算法发送密钥交换参数；

1.5)SSL代理服务器向客户端返回CertificateRequest，要求客户端提交证书，用于身份验证；

1.6)SSL代理服务器向客户端返回ServerHelloDone，表明SSL代理服务器完成该阶段的操作；

1.7)客户端向SSL代理服务器发送ClientCertificate，客户端数字证书；

1.8)客户端向SSL代理服务器发送ClientKeyExchange，客户端密钥交换数据信息；

1.9)客户端向SSL代理服务器发送ClientCertificateVerify，客户端签名结果；

1.10)客户端向SSL代理服务器发送ChangeCipherSpec和Finish，客户端完成握手的该阶段操作；

1.11)SSL代理服务器向客户端返回ChangeCipherSpec和Finish，完成握手处理；

步骤二：SSL代理服务器基于已认证用户的信息和该临时密钥对，构造一张证书请求；

步骤三：SSL代理服务器将所述证书请求发送到CA服务，请求CA服务发放一张有效期与当前用户SSL会话有效期相同的事件证书；步骤三中，与CA服务器联动及时签发的事件证书与用户证书的标识相同；

步骤四：SSL代理服务器获得CA服务返回的事件证书后，使用此事件证书和对应的临时私钥向应用服务器发起SSL握手；

步骤五：应用服务器在SSL代理服务器握手过程中验证事件证书，获得原始访问用户的身份，并进行访问控制和审计。