(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210967033.8 (22)申请日 2022.08.11 (71)申请人 北京国领 科技有限公司 地址 100094 北京市海淀区丰慧中路7号 新 材料创业大厦A座313号 (72)发明人 张建国　王赛　崔宏菲　 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种根据用户属性进行单双向认证切换的 SSL系统 (57)摘要 本发明公开了一种根据用户属性进行单双 向认证切换的SSL系统。 常见的SSL系统支持根据 配置信息启动单向认证或双向认证模式， 但无法 设置为允许部分用户使用单向SSL认证， 而要求 另外一些用户必须使用双向SSL认证。 本发明通 过优化SSL状态机， 可根据不同的SSL客户端的用 户属性， 要 求指定SSL客户端必须切换认证模式， 以满足SSL系统对这些客户端身份的更高安全认 证需求， 实现整个信息系统的安全性升级。 权利要求书1页 说明书5页 附图2页 CN 115361188 A 2022.11.18 CN 115361188 A 1.一种根据用户属性进行单双向认证切换的SSL系统， 其特征在于： 所述系 统包含SSL 服务器和SSL客户端， S SL服务器中维护一个客户端状态属性表； 工作流 程包含如下步骤： S1、 客户端发送Cl ientHello， 发送的内容协议符合S SL标准规范； S2、 服务器读取客户端状态属性表， 判断是否发送Cl ientCertificateRequest  内容； S3、 服务器发送ServerHello、 Certificates、 ServerKeyExchange、 [ClientCertificateRequest]、 Server HelloDone， 其中Client Certificate Request是动态 的， 根据所述S2步骤的判断进行发送或不发送； 发送的内容协议符合S SL标准规范； S4 、 客 户端发 送 [C l i e n t C e r tif i ca te ] 、 C l i e n tK e y E x c ha ng e 、 [ClientCertificateVerify]、 ChangeCipherSpec、 Finish， 其中ClientCertificate和 ClientCertificateVerify是根据所述S3步骤是否包含了ClientC ertificate Request内容 而进行发送或不发送； 发送的内容协议符合S SL标准规范； S5、 SSL隧道建立完毕后， 客户端发送数据请求并获取应用数据； S6、 服务器根据客户端的行为或更多属性进行判断， 决定该客户端是否须升级到双向 认证； S7、 如果需要升级到双向认证， 服 务器断开当前客户端S SL连接； S8、 根据情况 更新客户端状态属性表； 基于上述步骤或机制， 即可实现根据不同的SSL客户端 的用户属性或行为， SSL服务器 可要求指 定SSL客户端必须切换认证模式， 以满足SSL系统对这些客户端身份的更高安全认 证需求， 实现整个信息系统的安全性升级。 2.根据权利要求1所述的根据用户属性进行单双向认证切换的SSL系统， 其特征在于所 述系统同时适用于国际标准SSLv3协议流程、 国际标准TLSv1.1协议流程、 国际标准TLSv1.2 协议流程、 中国国家密码管理局制定的国密SSLv1.1协议流程； 权利要求1所述流程是基于 国际标准TLSv1.2 协议流程进行阐 述的。 3.根据权利要求1所述的根据用户属性进行单双向认证切换的SSL系统， 其特征在于所 述SSL服务器包还包含其他形态， 包括： SSL代理系统、 SSL负载均衡系统； 所述步骤S6、 S7、 S8 的执行主体可能是其他应用系统， 且应用系统修改的客户端状态属 性表须处在所述SSL系 统中。权　利　要　求　书 1/1 页 2 CN 115361188 A 2一种根据用户属性进行 单双向认证切换的S SL系统 技术领域 [0001]本发明涉及一种计算机网络通讯传输加密系统和技术， 尤其涉及SSL/TLS安全协 议的应用技 术。 背景技术 [0002]SSL(Secure  Socket Layer， 安全套接字层)， 是位于可靠的面 向连接的网络层协 议和应用层协议之间的一种协议层。 SSL通过互相认证、 使用数字签名确保完整性、 使用加 密确保私密性， 以实现客户端和服 务器之间的安全通讯。 [0003]TLS： 安全传输层协议(TLS)用于在 两个通信应用程序之间提供保密性和数据完整 性。 TLS记录协议用于封装各种高层协议。 在信息产业中， 普遍把TLS仍然认做是SSL的一种 升级版本， 并统称为S SL技术； 本文如无 特指， SSL即包含经典SSL和TLS。 [0004]通过部署应用S SL服务器系统， 可以实现： 在互联网上传输加密过的资料以达 到防窃取的目的 确保从客户端到服 务器端的传送路途中数据的完整性。 [0005]利用SSL公钥和证书以及数字签名技术， 让通信双方在建立连接握手阶段相互认 证对方的真实身份， 防止伪装仿冒。 [0006]SSL认证模式有两种： (1).单向认证： 即仅仅由A验证B的 （数字证书） 身份有效性， B不验证A的身份。 这种 情况下大多 是B提供关键信息服务， A作为普通访问者。 例如： 浏览器用户A访问政府网站B获 取信息， 为了防止黑客仿冒网站发布虚 假信息， 仅仅依靠域名和DNS解析是不够的， 因为DNS 信息可以篡改和伪造； A还需要验证B是否为合法有效的指定网站身份， 这就需要用到SSL单 向认证技术。 此时所有浏览器用户访问网站B的相同域名和端口时， 都遵循相同的单向认证 策略。 [0007](2).双向认证： 即A和B相互都要验证对方 （数字证书） 身份有效性。 这种情况下通 常是客户端A需要在服务器端B执行重要的操作， 系统需要保证A的身份确信无疑。 例如： 浏 览器用户A访问银行系统网站B进行转账， A既要验证B的合法有效性， 防止站点欺骗并套取 自己的银行帐号和密码， B也要验证A的合法有效性， 防止黑客仅仅凭借偷窥合法用户的帐 号和密码即可登录和盗用账户资产； 采用SSL数字证书认证技术作为用户名密码认证技术 的增强安全手段， 即可很好的解决这个问题。 此时所有浏览器用户访问网站B的相同域名和 端口时， 都遵循相同的双向认证策略。 [0008]SSL系统目前在整个IT信息产业发挥着极为重要的作用， 几乎99%的网站都应用了 该技术。 目前大量应用的主流SSL框架包括： OpenSSL、 WolfSSL、 MBEDTLS等， 融合了业务功能 的SSL系统包括： Apac he、 Nginx、 Tomcat、 I IS等等。 [0009]在许多应用场景中， 应用系统希望能够对大部分普通身份属性的用户开放单向认 证的SSL连接服务以提升响应速度并降低客户端操作复杂度， 但也需要根据用户的行为或 身份属性的变化动态要求其切换为双向SSL认证模式。 如： 张三作为普通用户可以无需提供说　明　书 1/5 页 3 CN 115361188 A 3