客户端与服务端安全握手的方法、装置及存储介质制造方法及图纸

本发明专利技术提供了一种客户端与服务端安全握手的方法，通过在客户端与服务端握手阶段采用会话记录重用来实现安全握手，包括：S110：服务端每隔第一设定周期时间生成会话记录密钥，保存到其内存中；S120：服务端采用最新生成的会话记录密钥加密客户端和服务端初次握手生成的会话记录，并将加密后的会话记录发送给客户端；S130：客户端携带加密后的会话记录与服务端进行后续握手时，服务端依次调用其内存中的会话记录密钥对加密后的会话记录进行解密，若解密成功，则客户端与服务端重用会话记录中的协商密钥，握手完成；若解密不成功，则进行S120。本方法改变了会话记录密钥始终不变的情况，增加了会话记录密钥破译难度，增强了数据传输安全性。

【技术实现步骤摘要】
客户端与服务端安全握手的方法、装置及存储介质
本专利技术涉及通信
，更为具体地，涉及一种客户端与服务端安全握手的方法、装置及存储介质。
技术介绍
随着大家对网络安全的重视，越来越多的网站全站整改成HTTPS(SecureHypertextTransferProtocol，安全超文本传输协议)。它是一个安全通信通道，它基于HTTP开发，用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,是使用TLS/SSL(TransportLayerSecurity，全称安全传输层协议)加密的HTTP协议。HTTP协议采用明文传输信息，存在信息窃听、信息篡改和信息劫持的风险，而协议TLS/SSL具有身份验证、信息加密和完整性校验的功能，对传送的数据进行加密，确保数据在传送中不被改变，是介于TCP和HTTP之间的一层安全协议。HTTPS大致分为两个阶段，即握手阶段和数据传输阶段。握手阶段：TLS/SSL协议的客户端与服务端在握手阶段协商出一组用于保护数据传输的加密算法和完整性验证算法、以及每个算法所使用的密钥。数据传输阶段：一旦TLS/SSL握手完成，数据就被分成一系列经过握手阶段协商的密钥加密保护的记录进行传输。然而，客户端和服务端在握手阶段需要多次的往返协商交互，及大量的计算才能获得密钥等安全通信相关的信息，往返时延(Round-TripTime，RTT)较大；且客户端和服务端内部要进行复杂和繁琐的密钥计算，客户端设备和服务端设备的性能(如电量、存储和计算资源等)消耗严重，这就是造成HTTPS链接慢的主要原因。现有技术中为避免在后续的握手流程中，再次进行多次交互和大量计算，一般采用SessionResumption(会话重用)，SessionResumption包括SessionTicket(会话记录)重用和SessionID(会话标识)重用。其中，SessionTicket重用，是服务端生成会话记录以记录在握手流程中与客户端协商成功的密钥等安全通信相关的信息，并将加密后的会话记录发送给客户端，以备在后续的握手请求中客户端携带该加密后的会话记录，服务端采用密钥将会话记录解密，重用之前握手流程中已经协商成功的密钥等与安全通信相关的信息，RTT减少到一个，快速完成握手流程。这样虽然为握手节省了时间，为客户端和服务端减小了消耗，但是，会话记录的加密密钥只有服务端保存且永不改变，也为数据传输的安全性带来隐患。特别是CDN边缘服务器都用同一个密钥加密会话记录，一旦被破解所有的HTTPS都失效。
技术实现思路
鉴于上述问题，本专利技术的目的是提供一种客户端与服务端安全握手的方法、装置及存储介质。本方法改变了会话记录密钥始终不变的情况，增加了会话记录密钥的破译难度，增强了数据传输的安全性。根据本专利技术的一个方面，提供了一种客户端与服务端安全握手的方法，通过在客户端与服务端握手阶段采用会话记录重用来实现客户端与服务端的安全握手，包括以下步骤：S110：服务端每隔第一设定周期时间生成会话记录密钥，保存到其内存中，并且所述会话记录密钥在所述内存的保存时间超过预设有效期时即被删除；S120：所述服务端采用最新生成的所述会话记录密钥加密所述客户端和所述服务端初次握手生成的会话记录，并将加密后的所述会话记录发送给所述客户端；其中，在所述会话记录中包含用于加密所述客户端与服务端交互内容的协商密钥；S130：所述客户端携带加密后的所述会话记录与所述服务端进行后续握手时，所述服务端依次调用其内存中的会话记录密钥对加密后的所述会话记录进行解密，若解密成功，则所述客户端与所述服务端重用所述会话记录中的协商密钥，握手完成；若解密不成功，则进行S120。优选的，所述预设有效期不小于三倍的所述第一设定周期时间。优选的，在S110中，所述服务端将所述预设有效期内生成的所述会话记录密钥，按生成的时间顺序保存在其内存中；优选的，在S130中，所述服务端按照所述会话记录密钥生成时间由近到远的顺序，依次调用其内存中的会话记录密钥对加密后的所述会话记录进行解密。根据本专利技术的另一方面，提供了一种客户端与服务端安全握手的方法，通过在客户端与服务端握手阶段采用会话记录重用来实现客户端与服务端的安全握手，并且所述服务端为CDN中的CDN边缘服务器，包括以下步骤：S210：设定一台服务器为中心服务器，所述中心服务器每隔第一设定周期时间生成会话记录密钥，保存到其内存中，并将所述会话记录密钥同步保存到每一个CDN节点的所述CDN边缘服务器的内存中，所述会话记录密钥在所述中心服务器和所述CDN边缘服务器的内存中保存时间超过预设有效期时即被删除；S220：所述CDN边缘服务器调用其内存中最新保存的所述会话记录密钥加密所述客户端和所述CDN边缘服务器初次握手生成的会话记录，并将加密后的所述会话记录发送给所述客户端；其中，在所述会话记录中包含用于加密所述客户端与服务端交互内容的协商密钥；S230：所述客户端携带加密后的所述会话记录与所述CDN边缘服务器进行后续握手时，所述CDN边缘服务器按照所述会话记录密钥保存时间由近到远的顺序，依次调用其内存中的会话记录密钥对加密后的所述会话记录进行解密，若解密成功，则所述客户端与所述CDN边缘服务器重用所述会话记录中的协商密钥，握手完成；若解密不成功，则进行S220。优选的，所述预设有效期不小于三倍的所述第一设定周期时间。优选的，在S210中，所述会话记录密钥为非对称密钥，生成所述非对称密钥的方式为：所述中心服务器每隔所述第一设定周期时间，根据每个所述CDN边缘服务器的IP，为每个CDN边缘服务器生成私钥及所述私钥对应的公钥，并将所述私钥和其对应的公钥同步保存到相应的CDN边缘服务器的内存中。S220还包括，所述CDN边缘服务器调用其内存中最新保存的所述公钥加密所述客户端和所述CDN边缘服务器初次握手生成的会话记录，并将加密后的所述会话记录发送给所述客户端。S230还包括，所述客户端携带所述公钥加密后的所述会话记录与所述CDN边缘服务器进行后续握手时，所述CDN边缘服务器按照所述私钥保存时间由近到远的顺序，依次调用其内存中的私钥对所述会话记录进行解密，若解密成功，则所述客户端与所述CDN边缘服务端重用所述会话记录中的协商密钥，握手完成；若解密不成功，则进行S220。根据本专利技术的另一方面，提供了一种电子装置，包括：存储器和处理器，所述存储器中存储有计算机程序，所述计算机程序被处理器执行时实现上述的客户端与服务端安全握手的方法的步骤。根据本专利技术的另一方面，提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有客户端与服务端安全握手程序，所述客户端与服务端安全握手程序被处理器执行时，实现上述的客户端与服务端安全握手的方法的步骤。利用上述根据本专利技术的客户端与服务端安全握手的方法，将会话记录密钥进行定期的重设，重设后的密钥可同步到所有CDN节点。保证每个周期生成的会话记录密钥是不本文档来自技高网...

【技术保护点】
1.一种客户端与服务端安全握手的方法，通过在客户端与服务端握手阶段采用会话记录重用来实现客户端与服务端的安全握手，其特征在于，包括以下步骤：/nS110：服务端每隔第一设定周期时间生成会话记录密钥，保存到其内存中，并且所述会话记录密钥在所述内存的保存时间超过预设有效期时即被删除；/nS120：所述服务端采用最新生成的所述会话记录密钥加密客户端和所述服务端初次握手生成的会话记录，并将加密后的所述会话记录发送给所述客户端；其中，在所述会话记录中包含用于加密所述客户端与所述服务端交互内容的协商密钥；/nS130：所述客户端携带加密后的所述会话记录与所述服务端进行后续握手时，所述服务端依次调用其内存中的会话记录密钥对加密后的所述会话记录进行解密，若解密成功，则所述客户端与所述服务端重用所述会话记录中的协商密钥，握手完成；若解密不成功，则进行S120。/n

【技术特征摘要】
1.一种客户端与服务端安全握手的方法，通过在客户端与服务端握手阶段采用会话记录重用来实现客户端与服务端的安全握手，其特征在于，包括以下步骤：
S110：服务端每隔第一设定周期时间生成会话记录密钥，保存到其内存中，并且所述会话记录密钥在所述内存的保存时间超过预设有效期时即被删除；
S120：所述服务端采用最新生成的所述会话记录密钥加密客户端和所述服务端初次握手生成的会话记录，并将加密后的所述会话记录发送给所述客户端；其中，在所述会话记录中包含用于加密所述客户端与所述服务端交互内容的协商密钥；
S130：所述客户端携带加密后的所述会话记录与所述服务端进行后续握手时，所述服务端依次调用其内存中的会话记录密钥对加密后的所述会话记录进行解密，若解密成功，则所述客户端与所述服务端重用所述会话记录中的协商密钥，握手完成；若解密不成功，则进行S120。


2.如权利要求1所述的客户端与服务端安全握手的方法，其特征在于，所述预设有效期不小于三倍的所述第一设定周期时间。


3.如权利要求1所述的客户端与服务端安全握手的方法，其特征在于，
在S110中，所述服务端将所述预设有效期内生成的所述会话记录密钥，按生成的时间顺序保存在其内存中；
在S130中，所述服务端按照所述会话记录密钥生成时间由近到远的顺序，依次调用其内存中的会话记录密钥对加密后的所述会话记录进行解密。


4.一种客户端与服务端安全握手的方法，通过在客户端与服务端握手阶段采用会话记录重用来实现客户端与服务端的安全握手，并且所述服务端为CDN中的CDN边缘服务器，其特征在于，包括以下步骤：
S210：设定一台服务器为中心服务器，所述中心服务器每隔第一设定周期时间生成会话记录密钥，保存到其内存中，并将所述会话记录密钥同步保存到每一个CDN节点的所述CDN边缘服务器的内存中，所述会话记录密钥在所述中心服务器和所述CDN边缘服务器的内存中保存时间超过预设有效期时即被删除；
S220：所述CDN边缘服务器调用其内存中最新保存的所述会话记录密钥加密所述客户端和所述CDN边缘服务器初次握手生成的会话记录，并将加密后的所述会话记录发送给所述客户端；其中，在所述会话记录中包含用于加密所述客户端与...

【专利技术属性】
技术研发人员：魏海通，
申请(专利权)人：平安科技深圳有限公司，
类型：发明
国别省市：广东;44