[发明专利]一种客户端与服务器之间的通信方法

说明书

本发明公开了一种客户端与服务器之间的通信方法，包括以下步骤：在服务器侧增设密钥服务器；客户端生成预密钥，然后使用服务器证书中的公钥加密后，发送给反向代理；所述客户端使用预密钥计算会话密钥；反向代理接收到加密的预密钥后，通过加密通道将加密的预密钥发送给密钥服务器；密钥服务器接收到加密的预密钥后，使用服务器证书的私钥解密，得到原始预密钥；密钥服务器将解密后的预密钥发送给反向代理；反向代理使用预密钥计算会话密钥。采用本发明后，服务器证书的私钥只在密钥服务器上存储，并且是由密钥所属企业人员管理，安全性高，也简化了服务器证书私钥的部署。

技术领域

本发明涉及网络通信安全领域，具体涉及一种客户端与服务器之间的通信方法。

背景技术

SSL(Secure Sockets Layer，安全套接层)，是为网络通信提供认证、保密以及数据完整性的一种安全协议。SSL两端使用会话密钥进行加密通信，会话密钥建立方式有两种：RSA和DH，下面以RSA方式为例进行阐述，DH方式与RSA方式原理相似。

如图1所示，会话密钥协商过程为：1、客户端生成预密钥，然后使用服务器证书中的公钥加密后，发送给服务器端；2、客户端使用预密钥计算会话密钥；3、服务器接收到加密的预密钥后，使用服务器证书的私钥解密，得到原始预密钥；4、服务器使用预密钥计算会话密钥。

如图2和图3所示，在增加反向代理后，其会话密钥协商过程为：1、客户端生成预密钥，然后使用服务器证书中的公钥加密后，发送给反向代理；2、客户端使用预密钥计算会话密钥；3、反向代理接收到加密的预密钥后，使用服务器证书的私钥解密，得到原始预密钥；4、反向代理使用预密钥计算会话密钥。反向代理代替服务器与客户端完成SSL协商并提供缓存等服务，提高客户端的访问速率。服务器可以部署在防火墙后，只允许反向代理访问，提高服务器的安全性。

以上两种通信方式存在以下不足：1)反向代理必须拥有服务器证书的私钥。反向代理和服务器可能属于不同的企业，同一个私钥由不同企业的人员管理，增加了安全隐患；2)反向代理为多个服务器提供服务时，必须拥有所有服务器证书的私钥，增加了多个服务器证书私钥同时泄露的风险；3)多个反向代理为一个服务器提供服务时，所有反向代理都需要拥有该服务器证书的私钥。同一个私钥多点存储，增加了私钥泄露的风险；4)服务器证书私钥需要在多点部署，增加了部署难度。

发明内容

本发明所要解决的技术问题是提供一种客户端与服务器之间的通信方法，反向代理上无需部署服务器的私钥。

为解决上述技术问题，本发明采用的技术方案是：

一种客户端与服务器之间的通信方法，包括以下步骤：在服务器侧增设密钥服务器，在反向代理与密钥服务器间完成双向认证并建立加密通道；客户端生成预密钥，然后使用服务器证书中的公钥加密后，发送给反向代理；所述客户端使用预密钥计算会话密钥；反向代理接收到加密的预密钥后，通过加密通道将加密的预密钥发送给密钥服务器；密钥服务器接收到加密的预密钥后，使用服务器证书的私钥解密，得到原始预密钥；密钥服务器将解密后的预密钥发送给反向代理；反向代理使用预密钥计算会话密钥。

与现有技术相比，本发明的有益效果是：1)服务器证书的私钥只在密钥服务器上存储，并且是由密钥所属企业人员管理，安全性高；2)简化了服务器证书私钥的部署。

附图说明

图1是现有客户端与服务器的SSL协商过程示意图。

图2是现有客户端与服务器之间增设反向代理的实现方式。

图3是图2的具体SSL协商过程示意图。

图4是本发明客户端与服务器之间的通信示意图。

图5是图4的具体SSL协商过程示意图。

具体实施方式