[发明专利]一种按需转换SSL认证方式以实现资源访问控制的方法

说明书

技术领域

本发明涉及网络应用领域，特别涉及一种按需转换SSL认证方式以实现资源访问控制的方法。 

背景技术

伴随着网络技术的发展，黑客活动也日益增多，尤其是在电子商务、网上银行等互联网业务领域，信息交互的安全性也因此成为大家关注的焦点。SSL协议，能够在通信双方建立起一条加密通道，使传输的数据得到有效控制，目前已经得到了广泛应用。 

SSL（secure sockets layer安全套接字层）协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层：SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。 

SSL协议提供的服务主要有： 

1）对客户端和服务器的身份进行认证，确保数据发送到正确的客户端和服务器； 

2）加密数据以防止数据中途被窃取； 

3）维护数据的完整性，确保数据在传输过程中不被改变。 

SSL协议的工作流程： 

1）客户端向服务器发送一个开始消息“Client Hello”，发起一个新的会话请求； 

2）客户端和服务器协商SSL协议的版本号，加密算法组件，压缩算法，是否重用原来的会话ID等信息； 

3）服务器向客户端发送数字证书，供客户端对其进行身份认证。 

如果服务器也需要对客户端进行身份认证，则需向客户端发送“客户端证书”请求消息，客户端收到后，会向服务器发送其数字证书。任何一方的身份认证失败，都会导致该SSL连接关闭，如果认证成功，则继续。 

4）客户端和服务器利用非对称加密算法，产生并交换预主密钥。 

5）客户端和服务器分别计算出主密钥，并产生出用于数据加解密的密钥。 

6）双方确认对方已拥有正确的密钥后，SSL协议握手完成。 

7）利用在2）中协商的对称加密算法及4）中产生的密钥，对数据加密后，传输给对方。 

根据认证方式的不同，SSL协议分为单向认证和双向认证两种。单向认证即服务器需要向客户端提供数字证书，客户端对其进行身份验证；双向认证即客户端和服务器双方需要分别向对方提供数字证书，并对对方证书进行身份验证。很显然，双向认证方式能够提供更为安全的保证，但由于服务器对客户端证书的验证，需要花费时间，大大降低了数据传输的效率。 

目前的技术方案中，一个服务器（唯一的ip地址+端口）对外提供SSL服务，多是使用单一认证方式，要么使用单向认证，要么使用双向认证。无法最大程度地兼顾效率与安全性。 

发明内容

针对上述已有技术的不足，本发明的目的是提出一种按需转换SSL认证方式以实现资源访问控制的方法。使一个SSL服务器能够同时使用两种认证方式，客户端访问普通内容时，使用单向认证方式，当访问关键性数据、敏感信息或进行保密性要求较高的业务交易时，自动将单向认证转换成双向认证方式。 

为实现上述目的，本发明提出一种按需转换SSL认证方式以实现资源访问控制的方法，该方法的实施是基于客户端通过互联网连接SSL服务器构成的系统，所述SSL服务器包括有SSL服务模块，所述系统包括有多个连接，每个连接包括有客户端IP地址、客户端端口、SSL服务器IP地址、SSL服务器端口及TCP协议的五元组所标识的信息通道，该方法包括以下基本步骤： 

步骤1，对SSL服务器进行常规的SSL功能设置； 

步骤2，在SSL服务器中导入用于客户端证书认证的根证书； 

步骤3，对SSL服务器上的被访问资源设置访问控制规则； 

步骤4，判断客户端请求与上述访问控制规则是否匹配，确定客户端请求与SSL服务器连接的认证方式，按照其认证方式完成对资源访问控制的连接。 

进一步地，上述步骤4还包括以下具体步骤： 

步骤5，客户端请求通过互联网访问上述SSL服务器，首先进行单向认证的SSL协议握手，然后； 

步骤6，SSL服务器解析客户端请求,与上述已设置的访问控制规则进行匹配，若不相匹配，则进入单向认证流程，若匹配，表示需要进行双向认证，然后；