(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210795297.X (22)申请日 2022.07.07 (71)申请人 渔翁信息技 术股份有限公司 地址 264200 山东省威海市 火炬高技 术产 业开发区初河北路12-1号 (72)发明人 王志杰　宋杰　刘新田　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 夏菁 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 一种SSL隧道建立方法、 服 务端及客户端 (57)摘要 本发明提供一种SSL隧道建立方法、 服务端 及客户端， 涉及网络安全领域， 方法应用于服务 端， 包括： 在响应客户端的隧道连接请求后， 利用 预设的服务端标识构造身份信息， 以及利用由服 务端标识生成的签名数据构造第一密钥交换信 息； 向客户端返回身份信息及第一密钥交换信 息， 以使客户端在利用服务端标识确定签名数据 有效时， 利用由服务端 标识生成的公钥构造并返 回包含有加密的预主密钥的第二密钥交换信息； 利用由服务端标识生成的私钥解密预主密钥， 并 利用解密后的预主密钥完成密码规格变更， 以完 成SSL隧道建立； 可使用简单的标识信息对SSL隧 道建立流程中的证书进行替换， 进而可有效避免 现有SSL隧道建立过程对证书的依赖并降低SSL 协议的部署限制。 权利要求书3页 说明书11页 附图2页 CN 115174114 A 2022.10.11 CN 115174114 A 1.一种SSL隧道建立方法， 其特 征在于， 应用于服 务端， 所述方法包括： 在响应客户端的隧道连接请求后， 利用预设的服务端标识构造身份信息， 以及利用由 所述服务端标识生成的签名数据构造第一密钥交换信息； 向所述客户端返回所述身份信 息及所述第 一密钥交换信 息， 以使所述客户端在利用所 述服务端标识确定所述签名数据有效时， 利用由所述服务端标识生成的公钥构 造并返回包 含有加密的预主密钥的第二密钥交换信息； 利用由所述服务端标识生成的私钥解密所述预主密钥， 并利用解密后的预主密钥完成 密码规格 变更， 以完成S SL隧道建立。 2.根据权利要求1所述的SSL隧道建立方法， 其特征在于， 所述客户端利用所述服务端 标识及公钥矩阵生成所述公钥， 所述利用由所述服务端标识生成的私钥解密所述预主密 钥， 包括： 向标识服务器获取由私钥矩阵及所述服务端标识生成的所述私钥； 所述私钥矩阵及所 述公钥矩阵用于生成一组非对称密钥对； 利用所述私钥解密所述预主密钥。 3.根据权利要求2所述的SSL隧道建立方法， 其特征在于， 所述利用由所述服务端标识 生成的签名数据构造第一密钥交换信息， 包括： 对所述公钥进行签名得到所述签名数据， 以使所述客户端利用所述公钥确定所述签名 数据是否有效； 利用所述签名数据构造所述第一密钥交换信息 。 4.根据权利要求3所述的SSL隧道建立方法， 其特征在于， 所述对所述公钥进行签名得 到所述签名数据， 包括： 利用签名矩阵和所述 服务端标识生成签名公钥； 利用所述签名公钥对所述公钥进行签名得到所述签名数据， 以使所述客户端利用所述 签名公钥和所述公钥确定所述签名数据是否有效。 5.根据权利要求1至4任一项所述的SSL隧道建立方法， 其特征在于， 在向所述客户端返 回所述身份信息及所述第一密钥交换信息之后， 还 包括： 向所述客户端发送身份请求信 息， 以使所述客户端返回包含预设的客户端标识的客户 端身份信息； 确定客户端标识是否有 效， 并在确定所述客户端标识有效时进入利用由所述服务端标 识生成的私钥解密所述预主密钥的步骤； 其中， 所述确定客户端标识是否有效， 包括： 通过OCSP协议与标识服 务器确定所述 客户端标识是否有效； 和/或， 判断所述 客户端标识是否保存于预设的标识吊销列表中； 若是， 则确定所述 客户端标识无效； 若否， 则确定所述 客户端标识有效。 6.一种SSL隧道建立方法， 其特 征在于， 应用于客户端， 所述方法包括： 向服务端发送隧道连接请求， 并分别从所述服务端返回的身份信 息和第一密钥交换信 息中提取服 务端标识以及由所述 服务端标识生成的签名数据； 利用所述服务端标识确定所述签名数据是否有 效， 并在确定有效时利用由所述服务端权　利　要　求　书 1/3 页 2 CN 115174114 A 2标识生成的公钥构造包 含有加密的预主密钥的第二密钥交换信息； 向所述服务端返回所述第 二密钥交换信 息， 以使所述服务端利用由所述服务端标识生 成的私钥解密所述预主密钥， 并利用解密后的预主密钥完成密码规格变更， 以完成SSL隧道 建立。 7.根据权利要求6所述的SSL隧道建立方法， 其特征在于， 所述服务端利用所述服务端 标识及私钥矩阵生成所述私钥， 所述利用由所述服务端标识 生成的公钥构 造包含有加密的 预主密钥的第二密钥交换信息， 包括： 利用公钥矩阵及所述服务端标识生成所述公钥； 所述私钥矩阵及所述公钥矩阵用于生 成一组非对称密钥对； 利用所述公钥构造包 含有加密的预主密钥的第二密钥交换信息 。 8.根据权利要求7所述的SSL隧道建立方法， 其特征在于， 所述服务端对所述公钥进行 签名得到所述签名数据， 所述利用所述 服务端标识确定所述签名数据是否有效， 包括： 利用所述公钥确定所述签名数据是否有效。 9.根据权利要求8所述的SSL隧道建立方法， 其特征在于， 所述服务端利用由签名矩阵 和所述服务端标识 生成签名公钥对所述 公钥进行签名得到所述签名数据， 所述利用所述 公 钥确定所述签名数据是否有效， 包括： 利用所述签名公钥和所述公钥确定所述签名数据是否有效。 10.根据权利要求6至9任一项所述的SSL隧道建立方法， 其特征在于， 在 向服务端发送 隧道连接请求之后， 还 包括： 当接收到所述服务端发送的身份请求信 息时， 利用预设的客户端标识构造客户端身份 信息； 向所述服务端返回所述客户端身份信 息， 以使所述服务端确定所述客户端标识是否有 效， 并在确定有效时进入所述利用由所述服务端标识生成的私钥解密所述预主密钥的步 骤； 其中， 所述 服务端确定所述 客户端标识是否有效， 包括： 所述服务端通过OCS P协议与标识服 务器确定所述 客户端标识是否有效； 和/或， 所述服务端判断所述 客户端标识是否保存于预设的标识吊销列表中； 若是， 则确定所述 客户端标识无效； 若否， 则确定所述 客户端标识有效； 其中， 在利用所述 服务端标识确定所述签名数据是否有效之前， 还 包括： 确定所述服务端标识是否有效， 并在确定有 效时进入所述利用所述服务端标识确定所 述签名数据是否有效的步骤。 11.一种服 务端， 其特 征在于， 包括： 服务端信息构造模块， 用于在响应客户端的隧道连接请求后， 利用预设的服务端标识 构造身份信息， 以及利用由所述 服务端标识生成的签名数据构造第一密钥交换信息； 服务端信息返回模块， 用于向所述客户 端返回所述身份信息及所述第一密钥交换信 息， 以使所述客户端在利用所述服务端标识确定所述签名数据有效时， 利用由所述服务端 标识生成的公钥构造并返回包 含有加密的预主密钥的第二密钥交换信息； 隧道建立模块， 用于利用由所述服务端标识生成的私钥解密所述预主密钥， 并利用解权　利　要　求　书 2/3 页 3 CN 115174114 A 3