加密通道的构建方法、系统及服务器与流程

本发明涉及加密，尤其是涉及一种加密通道的构建方法、系统及服务器。

背景技术：

1、随着密码技术和计算技术的发展，国内密码领域所广泛采用的1024位rsa密码算法正在面临日益严峻的安全挑战，目前，相关技术提出，为保障重要经济系统密码应用的安全，国密算法通常采用椭圆曲线密码算法作为公钥密码，椭圆曲线密码算法作为一种高安全性、高效率的公钥密码，具备和rsa算法同样的加解密、签名和密钥协商等重要的密码功能。

2、但是国密算法在主流操作系统和浏览器等客户端中，还没有实现广泛兼容，因此，在面向开放互联网产品应用中，国密算法无法得到广泛应用，此外，由于证书通常在客户端完成验证，如果客户端在某个时间点无法验证某个证书，则会将其视为无效，此时会造成证书使用风险，从而进行使客户端和服务端的加密通道出现风险，进而影响应用的正常服务。

技术实现思路

1、有鉴于此，本发明的目的在于提供一种加密通道的构建方法、系统及服务器，可以显著提升客户端与服务端之间的加密通道的构建效率。

2、第一方面，本发明实施例提供了一种加密通道的构建方法，方法应用于加密通道的构建系统中的安全网关，加密通道的构建系统中还包括客户端与服务端，客户端能够通过安全网关与服务端建立通信连接，安全网关中预先安装有多种数字认证证书，方法包括：获取客户端发送的通讯请求信息，其中，通讯请求信息包括：客户端支持的密码算法和协议版本；将密码算法和协议版本，与安全网关中的目标证书集合进行数据匹配处理，得到目标证书，其中，目标证书集合为对多种数字认证证书进行风险识别处理后，得到的目标证书集合；将目标证书反馈至客户端，以供客户端根据目标证书对客户端内的证书进行校验；响应针对于客户端发送的加密通信请求，建立与客户端之间的第一加密通道和与服务端之间的第二加密通道。

3、在一种实施方式中，对多种数字认证证书进行风险识别处理的步骤，包括：在预设检测周期内，针对安全网关中存储的多种数字认证证书进行风险识别处理，确定错误证书信息；针对错误证书信息对应的错误证书进行证书自动化切换处理，得到目标证书集合。

4、在一种实施方式中，针对安全网关中存储的多种数字认证证书进行风险识别处理，确定错误证书信息的步骤，包括：获取多种数字认证证书中各项证书对应的证书基础信息；针对证书基础信息分别进行证书格式化检查、证书有效期检查、证书链完整性检查、证书域名匹配检查、证书依赖服务检查、受信任证书检查和恶意签发证书检查，确定各项检查对应的支持度信息；当任一项检查的支持度信息，大于该项检查的预设告警阈值时，则确定证书基础信息对应的证书为错误证书，并将错误证书对应的检查结果确定为错误证书信息。

5、在一种实施方式中，将目标证书反馈至客户端，以供客户端根据目标证书对客户端内的证书进行校验的步骤，包括：将目标证书反馈至客户端，若客户端支持的密码算法对应的证书，与目标证书匹配失败，则根据客户端支持的其余密码算法，重新进行数据匹配处理，得到更新后的目标证书，并进行证书校验处理；若客户端支持的密码算法对应的证书，与目标证书匹配成功，则确定校验通过。

6、在一种实施方式中，响应针对于客户端发送的加密通信请求，建立与客户端之间的第一加密通道和与服务端之间的第二加密通道的步骤，包括：在接收到客户端发送的第一加密通信请求时，根据目标证书，设置与客户端之间的对称密钥，以构建与客户端之间的第一加密通道；当第一加密通道构建完成时，将第二加密通信请求发送至服务端，以构建与服务端之间的第二加密通道。

7、在一种实施方式中，根据目标证书，设置与客户端之间的对称密钥，以构建与客户端之间的第一加密通道的步骤，包括：通过预设加密模型，基于目标证书生成对称密钥，其中，对称密钥包括：加密密钥和解密密钥；将加密密钥发送至客户端，以将客户端发送的明文数据转换为密文；利用安全网关中保留的解密密钥对密文进行解析，以构建第一加密通道。

8、第二方面，本发明实施例还提供一种加密通道的构建系统，加密通道的构建系统包括：多通道识别模块、安全网关、客户端和服务端，安全网关分别与多通道识别模块、客户端和服务端通讯连接；其中，多通道识别模块用于针对安全网关中存储的目标证书集合进行风险识别处理，确定错误证书信息，并将错误证书信息反馈至安全网关；安全网关用于根据错误证书信息更新存储的多种数字认证证书，并在接收到客户端发送的通讯请求信息后，将与通讯请求信息匹配的目标证书反馈至客户端，以建立客户端与服务端间的加密通道。

9、在一种实施方式中，安全网关包括：自适应服务单元；其中，自适应服务单元用于根据错误证书信息将错误证书卸载，并重新下载新的证书，以实现证书自动化切换。

10、第三方面，本发明实施例还提供一种服务器，包括处理器和存储器，存储器存储有能够被处理器执行的计算机可执行指令，处理器执行计算机可执行指令以实现第一方面提供的任一项的方法。

11、第四方面，本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质存储有计算机可执行指令，计算机可执行指令在被处理器调用和执行时，计算机可执行指令促使处理器实现第一方面提供的任一项的方法。

12、本发明实施例带来了以下有益效果：

13、本发明实施例提供的一种加密通道的构建方法、系统及服务器，该方法在获取客户端发送的客户端支持的密码算法和协议版本后，将密码算法和协议版本，与安全网关中的目标证书集合进行数据匹配处理，得到目标证书，并将目标证书反馈至客户端，以供客户端根据目标证书对客户端内的证书进行校验，最后响应针对于客户端发送的加密通信请求，建立与客户端之间的第一加密通道和与服务端之间的第二加密通道，本发明实施例可以显著提升客户端与服务端之间的加密通道的构建效率。

14、本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

15、为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

技术特征：

1.一种加密通道的构建方法，其特征在于，所述方法应用于加密通道的构建系统中的安全网关，所述加密通道的构建系统中还包括客户端与服务端，客户端能够通过所述安全网关与服务端建立通信连接，所述安全网关中预先安装有多种数字认证证书，所述方法包括：

2.根据权利要求1所述的加密通道的构建方法，其特征在于，对所述多种数字认证证书进行风险识别处理的步骤，包括：

3.根据权利要求2所述的加密通道的构建方法，其特征在于，所述针对所述安全网关中存储的多种数字认证证书进行风险识别处理，确定错误证书信息的步骤，包括：

4.根据权利要求1所述的加密通道的构建方法，其特征在于，所述将所述目标证书反馈至所述客户端，以供所述客户端根据所述目标证书对所述客户端内的证书进行校验的步骤，包括：

5.根据权利要求1所述的加密通道的构建方法，其特征在于，所述响应针对于所述客户端发送的加密通信请求，建立与所述客户端之间的第一加密通道和与所述服务端之间的第二加密通道的步骤，包括：

6.根据权利要求5所述的加密通道的构建方法，其特征在于，所述根据所述目标证书，设置与所述客户端之间的对称密钥，以构建与所述客户端之间的所述第一加密通道的步骤，包括：

7.一种加密通道的构建系统，其特征在于，所述加密通道的构建系统包括：多通道识别模块、安全网关、客户端和服务端，所述安全网关分别与所述多通道识别模块、所述客户端和所述服务端通讯连接；其中，

8.根据权利要求7所述的加密通道的构建系统，其特征在于，所述安全网关包括：自适应服务单元；其中，

9.一种服务器，其特征在于，包括处理器和存储器，所述存储器存储有能够被所述处理器执行的计算机可执行指令，所述处理器执行所述计算机可执行指令以实现权利要求1至6任一项所述的方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令在被处理器调用和执行时，计算机可执行指令促使处理器实现权利要求1至6任一项所述的方法。

技术总结本发明提供了一种加密通道的构建方法、系统及服务器，涉及加密技术领域，包括：获取客户端发送的通讯请求信息，其中，通讯请求信息包括：客户端支持的密码算法和协议版本；将密码算法和协议版本，与安全网关中的目标证书集合进行数据匹配处理，得到目标证书，其中，目标证书集合为对多种数字认证证书进行风险识别处理后，得到的目标证书集合；将目标证书反馈至客户端，以供客户端根据目标证书对客户端内的证书进行校验；响应针对于客户端发送的加密通信请求，建立与客户端之间的第一加密通道和与服务端之间的第二加密通道。本发明可以显著提升客户端与服务端之间的加密通道的构建效率。技术研发人员：潘根,白涛,章旋,刘志勇,朱玉昊,赵瑜,尤文康受保护的技术使用者：中国联合重型燃气轮机技术有限公司技术研发日：技术公布日：2024/10/17