(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211081578.5 (22)申请日 2022.09.06 (71)申请人 北京国领 科技有限公司 地址 100094 北京市海淀区丰慧中路7号 新 材料创业大厦A座313号 (72)发明人 张建国　王赛　付晓峰　 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种SSL网关自适应单双向认证的方法 (57)摘要 本发明公开了一种SSL网关自适应单双向认 证的方法。 常见的SSL网关支持根据配置信息启 动单向认证或双向认证模式， 但无法设置为同时 允许部分用户使用单向SSL认证， 而另外一些用 户使用双向SSL认证。 本发明通过优化SSL状态 机， 可根据不同的SSL客户端的用户特征， 同时允 许多个用户分别建立单向或双向两类SSL认证连 接， 以满足更加 复杂的安全应用场景， 实现整个 信息系统的安全性升级。 权利要求书1页 说明书5页 附图1页 CN 115499181 A 2022.12.20 CN 115499181 A 1.一种SSL网关自适应单双向认证的方法， 其特征在于： 所述系统包含SSL服务器和SSL 客户端， S SL服务器中维护一个客户端状态属性表； 工作流 程包含如下步骤： S1、 客户端发送Cl ientHello， 发送的内容协议符合S SL标准规范； S2、 服务器发送ServerHello、 Certificates、 ServerKeyExchange、 ClientCertificateRequest、 Server HelloDone， 其中ClientC ertificateRequest是固定要 发送的； 发送的内容协议符合S SL标准规范； S3 、 客 户端发 送 [C l i e n t C e r tif i ca te ] 、 C l i e n tK e y E x c ha ng e 、 [ClientCertificateVerify]、 ChangeCipherSpec、 Finish， 其中ClientCertificate和 ClientCertificateVer ify是客户端根据自身情况可选发送， 默认非强制； 发送的内容协议 符合SSL标准规范； S4、 服务器端收到客户端发送的数据， 如果未提供ClientCertificate和 ClientCertificateVer ify， 则服务器读取客户端状态属性表， 判断是否应断开本连接请求 （如果状态属性表要求该客户端必须提供双向认证， 则立即断开当前SSL连接请求） ； 如果数 据中包含了该两项内容， 则对证书和数字签名数据进 行验证， 验证成功后继续下一步流程， 验证失败则立即断开； S5、 SSL隧道建立完毕后， 客户端发送数据请求并获取应用数据 S6、 服务器根据客户端的行为或更多属性进行判断， 决定该客户端是否须升级到双向 认证； S7、 如果需要升级到双向认证， 服 务器断开当前客户端S SL连接； S8、 根据情况 更新客户端状态属性表； 基于上述步骤或机制， 即可实现根据不同的SSL客户端 的用户属性或行为， SSL服务器 可要求指 定SSL客户端必须切换认证模式， 以满足SSL网关对这些客户端身份的更高安全认 证需求， 实现整个信息系统的安全性升级。 2.根据权利要求1所述的SSL网关自适应单双向认证的方法， 其特征在于所述系统同时 适用于国际标准SSLv3协议流程、 国际标准TLSv1.1协议流程、 国际标准TLSv1.2协议流程、 中国国家密码管理局制定的国密SSLv1.1协议流程； 权利要求1所述流程是基于国际标准 TLSv1.2协议流程进行阐 述的。 3.根据权利要求1所述的SSL网关自适应单双向认证的方法， 其特征在于所述SSL服务 器包还包含其他形态， 包括： SSL代理系统、 SSL负载均衡系统； 所述步骤S6、 S7、 S8的执行主 体可能是其 他应用系统， 且应用系统修改的客户端状态属性表须处在所述S SL网关中。权　利　要　求　书 1/1 页 2 CN 115499181 A 2一种SSL网关自适应单双向认证的方 法 技术领域 [0001]本发明涉及一种计算机网络通讯传输加密系统和技术， 尤其涉及SSL/TLS安全协 议的应用技 术。 背景技术 [0002]SSL(Secure Socket Layer， 安全套接字层)， 是位于可靠的面 向连接的网络层协 议和应用层协议之间的一种协议层。 SSL通过互相认证、 使用数字签名确保完整性、 使用加 密确保私密性， 以实现客户端和服 务器之间的安全通讯。 [0003]TLS： 安全传输层协议(TLS)用于在 两个通信应用程序之间提供保密性和数据完整 性。 TLS记录协议用于封装各种高层协议。 在信息产业中， 普遍把TLS仍然认做是SSL的一种 升级版本， 并统称为S SL技术； 本文如无 特指， SSL即包含经典SSL和TLS。 [0004]通过部署应用S SL服务器系统， 可以实现： 在互联网上传输加密过的资料以达 到防窃取的目的 确保从客户端到服 务器端的传送路途中数据的完整性。 [0005]利用SSL公钥和证书以及数字签名技术， 让通信双方在建立连接握手阶段相互认 证对方的真实身份， 防止伪装仿冒。 [0006]SSL认证模式有两种： (1). 单向认证： 即仅仅由A验证B的 （数字证书） 身份有效性， B不验证A的身份。 这 种情况下大多 是B提供关键信息服务， A作为普通访问者。 例如： 浏览器用户A访问政府网站B 获取信息， 为了防止黑客仿冒网站发布虚假信息， 仅仅依靠域名和DNS解析是不够的， 因为 DNS信息可以篡改和伪造； A还需要验证B是否为合法有效的指定网站身份， 这就需要用到 SSL单向认证技术。 此时所有浏览器用户访问网站B的相同域名和端口时， 都遵循相同的单 向认证策略。 [0007](2). 双向认证： 即A和B相互都要验证对方 （数字证书） 身份有效性。 这种情况下通 常是客户端A需要在服务器端B执行重要的操作， 系统需要保证A的身份确信无疑。 例如： 浏 览器用户A访问银行系统网站B进行转账， A既要验证B的合法有效性， 防止站点欺骗并套取 自己的银行帐号和密码， B也要验证A的合法有效性， 防止黑客仅仅凭借偷窥合法用户的帐 号和密码即可登录和盗用账户资产； 采用SSL数字证书认证技术作为用户名密码认证技术 的增强安全手段， 即可很好的解决这个问题。 此时所有浏览器用户访问网站B的相同域名和 端口时， 都遵循相同的双向认证策略。 [0008]SSL网关目前在整个IT信息产业发挥着极为重要的作用， 几乎99%的网站都应用了 该技术。 目前大量应用的主流SSL框架包括： OpenSSL、 WolfSSL、 MBEDTLS等， 融合了业务功能 的SSL网关包括： Apac he、 Nginx、 Tomcat、 I IS等等。 [0009]在许多应用场景中， 应用系统希望能够对大部分普通身份属性的用户开放单向认 证的SSL连接服务以提升响应速度并降低客户端操作复杂度， 但也需要根据用户的行为或 身份属性的变化动态要求其切换为双向SSL认证模式。 如： 张三作为普通用户可以无需提供说　明　书 1/5 页 3 CN 115499181 A 3