(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211067969.1 (22)申请日 2022.09.02 (65)同一申请的已公布的文献号 申请公布号 CN 115174267 A (43)申请公布日 2022.10.11 (73)专利权人 深圳星云智联科技有限公司 地址 518000 广东省深圳市龙华区民治街 道大岭社区安宏基天曜广场1栋A座 23A01 (72)发明人 王旭　夏慧莉　孙苏伟　 (74)专利代理 机构 广州三环 专利商标代理有限 公司 44202 专利代理师 李光金 (51)Int.Cl. H04L 9/40(2022.01)(56)对比文件 US 201528 8514 A1,2015.10.08 US 2018198761 A1,2018.07.12 CN 110995414 A,2020.04.10 CN 110430266 A,2019.1 1.08 CN 10179016 3 A,2010.07.28 施晓芳等.基于国密算法的Andro id智能终 端SSL协议设计与实现. 《福建师 大福清分校学 报》 .2019,(第02期),全 文. 审查员 马旗超 (54)发明名称 一种TLS协议协商方法、 设备及 介质 (57)摘要 本申请提供一种TLS协议协商方法、 设备及 介质， 包括： 服务端网卡响应于接收到客户端招 呼报文， 提取报文中的客户端的随机数和密钥交 换算法参数后上送到服务端软件； 服务端软件生 成随机数， 标记服务端招呼报文中密钥交换算法 参数的字段后下发到服务端网卡； 服务端网卡， 至少在发出服务端招呼报文之前， 解析报文后进 行密码学操作生成服务端的密钥交换算法参数， 然后用其替换所标记的服务端招呼报文中服务 端的密钥交换算法参数的字段。 服务端网卡还用 于至少在发出服务端改变密码标准报文之前计 算出对称会话密钥。 如此减少硬件交互和数据转 移负担。 权利要求书2页 说明书17页 附图4页 CN 115174267 B 2022.11.18 CN 115174267 B 1.一种TLS协议协商方法， 其特 征在于， 所述TLS协议协商方法包括： 服务端网卡， 响应于接收到客户端发出的客户端招呼报文， 提取所述客户端招呼报文 中的客户端的第一随机数和第一密钥交换算法参数， 上送所述客户端招呼报文到服务端 软 件； 所述服务端软件生成服务端的第 二随机数， 标记服务端招呼报文中服务端的第 二密钥 交换算法参数 的字段， 下发所述第二 随机数和所述服务端招呼报文到所述服务端网卡， 其 中， 所述客户端的第一密钥交换算法参数和所述服务端的第二密钥交换算法参数基于同一 非对称加密算法； 所述服务端网卡， 至少在发出所述服务端招呼报文之前， 解析所述服务端招呼报文后 进行与所述 非对称加密算法相关的密码学操作生成所述第二密钥交换算法参数， 然后用所 述第二密钥交换算法参数替换所标记的所述服务端招呼报文中服务端的第二密钥交换算 法参数的字段， 其中， 所述服务端网卡还用于， 至少在发出服务端改变密码标准报文之前， 结合所述第 一随机数和所述第一密钥交换算法参数以及所述第二随机数和所述第二密钥交换算法参 数计算出对称会话密钥。 2.根据权利要求1所述的TLS协议协商方法， 其特征在于， 所述服务端软件通过第一报 文描述符标记所述服务端招呼报文中服务端的第二密钥交换算法参数 的字段， 所述TLS协 议协商方法还 包括： 所述服务端软件通过第二报文描述符标记服务端证书验证报文中签名字段后下发所 述服务端证书验证报文到所述 服务端网卡； 所述服务端网卡， 至少在发出所述服务端证书验证报文之前， 用证书套件私钥对消息 摘要签名并替换 所标记的所述 服务端证书验证报文中签名字段。 3.根据权利要求1所述的TLS协议协商方法， 其特征在于， 所述服务端软件通过第一报 文描述符标记所述服务端招呼报文中服务端的第二密钥交换算法参数 的字段， 所述TLS协 议协商方法还 包括： 所述服务端软件通过第三报文描述符标记服务端握手结束报文中摘要字段后下发所 述服务端握手结束报文到所述 服务端网卡； 所述服务端网卡， 至少在发出所述服务端握手结束报文之前， 填充握手数据摘要到所 标记的所述 服务端握手结束报文中摘要字段。 4.根据权利要求1所述的TLS协议协商方法， 其特征在于， 所述服务端软件通过第一报 文描述符标记所述服务端招呼报文中服务端的第二密钥交换算法参数 的字段， 所述TLS协 议协商方法还 包括： 所述服务端软件跳过签名处理和摘要处理并且分别用第二报文描述符和第三报文描 述符来标记服 务端证书验证报文中签名字段和服 务端握手结束报文中摘要字段； 所述服务端网卡用于进行签名处理和摘要处理并且分别替换所标记的所述服务端证 书验证报文中签名字段和所 标记的所述 服务端握手结束报文中摘要字段。 5.根据权利要求1所述的TLS协议协商方法， 其特征在于， 所述服务端软件跳过与所述 非对称加密算法相关的密码学操作。 6.根据权利要求5所述的TLS协议协商方法， 其特征在于， 所述非对称加密算法是ECDH权　利　要　求　书 1/2 页 2 CN 115174267 B 2密钥交换算法， 所述第一密钥交换算法参数是所述客户端的第一ECDH密钥交换算法参数， 所述第二密钥交换算法参数 是所述服务端的第二E CDH密钥交换算法参数。 7.根据权利 要求5所述的TLS协议协商方法， 其特征在于， 所述非对称加密算法是RSA算 法、 DSA算法、 E CC算法或者DH算法。 8.根据权利要求6所述的TLS协议协商方法， 其特征在于， 所述对称会话密钥通过所述 ECDH密钥交换算法共享给 所述客户端。 9.根据权利要求1所述的TLS协议协商方法， 其特征在于， 所述TLS协议协商方法还包 括： 所述服务端网卡用所述对称会话密钥加密并且发出被加密的扩展信息和被加密的证 书。 10.根据权利要求1所述的TLS协议协商方法， 其特征在于， 所述TLS协议协商方法还包 括： 所述服务端软件， 至少在所述服务端 网卡接收到所述客户端发出的所述客户端招呼报 文之前， 对所述服务端网卡进行初始化配置， 所述初始化配置包括下发证书和服务端私钥 到所述服务端网卡以及为所述 服务端的公私钥对分配索引。 11.根据权利 要求10所述的TLS协议协商方法， 其特征在于， 所述TLS协议协商方法还包 括： 所述服务端软件， 至少在所述服务端 网卡接收到所述客户端发出的所述客户端招呼报 文之前， 指 定所述服务端网卡监听给定TLS协 议端口， 所述客户端发出的所述客户端招呼报 文通过所述给定TLS协议端口被所述 服务端网卡接收。 12.根据权利要求11所述的TLS协议协商方法， 其特征在于， 所述服务端网卡包括多个 网络出口用于接收多个TLS协商请求， 其中基于所述多个TLS协商请求的数量及性质确定每 一个TLS协商请求所对应的网络出口是否为所述给定TLS协议端口。 13.一种计算机设备， 其特征在于， 所述计算机设备包括存储器、 处理器及存储在所述 存储器上并可在所述处理器上运行的计算机程序， 所述处理器执行所述计算机程序时实现 根据权利要求1至12中任一项所述的方法。 14.一种计算机可读存储介质， 所述计算机可读存储介质存储有计算机指令， 当所述计 算机指令在计算机设备上运行时使 得所述计算机设备执行根据权利要求 1至12中任一项 所 述的方法。 15.一种计算机程序产品， 其特征在于， 所述计算机程序产品包括存储在计算机可读存 储介质上的指 令， 当所述指令在计算机 设备上运行时使得所述计算机 设备执行根据权利要 求1至12中任一项所述的方法。 16.一种网卡， 其特征在于， 所述网卡包括多个网络出口， 该多个网络出口中的至少一 个第一网络出口对应第一模式， 该多个网络出口中的至少一个第二网络出口对应第二模 式， 所述网卡用于根据待处理的TLS协商请求的数量及性质分配TLS协商请求到第一网络出 口或者第二网络出口， 其中， 被分配到第二网络出口的TLS协商请求的处理流程参照根据 TLS权利要求1至12中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115174267 B 3