[发明专利]一种SSL网关自适应单双向认证的方法

说明书

本发明公开了一种SSL网关自适应单双向认证的方法。常见的SSL网关支持根据配置信息启动单向认证或双向认证模式，但无法设置为同时允许部分用户使用单向SSL认证，而另外一些用户使用双向SSL认证。本发明通过优化SSL状态机，可根据不同的SSL客户端的用户特征，同时允许多个用户分别建立单向或双向两类SSL认证连接，以满足更加复杂的安全应用场景，实现整个信息系统的安全性升级。

技术领域

本发明涉及一种计算机网络通讯传输加密系统和技术，尤其涉及SSL/TLS安全协议的应用技术。

背景技术

SSL(Secure Socket Layer，安全套接字层)，是位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。

TLS：安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。TLS记录协议用于封装各种高层协议。在信息产业中，普遍把TLS仍然认做是SSL的一种升级版本，并统称为SSL技术；本文如无特指，SSL即包含经典SSL和TLS。

通过部署应用SSL服务器系统，可以实现：

在互联网上传输加密过的资料以达到防窃取的目的

确保从客户端到服务器端的传送路途中数据的完整性。

利用SSL公钥和证书以及数字签名技术，让通信双方在建立连接握手阶段相互认证对方的真实身份，防止伪装仿冒。

SSL认证模式有两种：

(1). 单向认证：即仅仅由A验证B的（数字证书）身份有效性，B不验证A的身份。这种情况下大多是B提供关键信息服务，A作为普通访问者。例如：浏览器用户A访问政府网站B获取信息，为了防止黑客仿冒网站发布虚假信息，仅仅依靠域名和DNS解析是不够的，因为DNS信息可以篡改和伪造；A还需要验证B是否为合法有效的指定网站身份，这就需要用到SSL单向认证技术。此时所有浏览器用户访问网站B的相同域名和端口时，都遵循相同的单向认证策略。

(2). 双向认证：即A和B相互都要验证对方（数字证书）身份有效性。这种情况下通常是客户端A需要在服务器端B执行重要的操作，系统需要保证A的身份确信无疑。例如：浏览器用户A访问银行系统网站B进行转账，A既要验证B的合法有效性，防止站点欺骗并套取自己的银行帐号和密码，B也要验证A的合法有效性，防止黑客仅仅凭借偷窥合法用户的帐号和密码即可登录和盗用账户资产；采用SSL数字证书认证技术作为用户名密码认证技术的增强安全手段，即可很好的解决这个问题。此时所有浏览器用户访问网站B的相同域名和端口时，都遵循相同的双向认证策略。

SSL网关目前在整个IT信息产业发挥着极为重要的作用，几乎99%的网站都应用了该技术。目前大量应用的主流SSL框架包括：OpenSSL、WolfSSL、MBEDTLS等，融合了业务功能的SSL网关包括：Apache、Nginx、Tomcat、IIS等等。

在许多应用场景中，应用系统希望能够对大部分普通身份属性的用户开放单向认证的SSL连接服务以提升响应速度并降低客户端操作复杂度，但也需要根据用户的行为或身份属性的变化动态要求其切换为双向SSL认证模式。如：张三作为普通用户可以无需提供证书和公钥，即可使用单向SSL认证连接到网站B并查询一些基本信息；但是在查询过程中，张三试图修改某些重要信息时，网站B就要求用户提供强化身份证明，此时网站如果能够通过技术手段断开张三的单向SSL认证连接，让他重新使用SSL双向认证技术连接到网站，即可满足业务场景要求。

而目前主流的SSL框架或含有业务功能的SSL网关，都只能支持根据配置信息启动单向认证或双向认证模式中的一种；均无法设置为允许部分用户使用单向SSL认证，而要求另外一些用户必须使用双向SSL认证。

发明内容