一种密码套件的配置方法和装置.pdf

摘要
申请专利号：	CN200810095413.7	申请日：	2008.04.18
公开号：	CN101562527A	公开日：	2009.10.21
当前法律状态：	授权	有效性：	有权
法律详情：	专利权人的姓名或者名称、地址的变更IPC(主分类):H04L 9/36变更事项:专利权人变更前:成都市华为赛门铁克科技有限公司变更后:华为数字技术(成都)有限公司变更事项:地址变更前:611731 四川省成都市高新区西部园清水河片区变更后:611731 四川省成都市高新区西部园清水河片区\|\|\|授权\|\|\|实质审查的生效\|\|\|公开
IPC分类号：	H04L9/36; H04L9/32	主分类号：	H04L9/36
申请人：	成都市华为赛门铁克科技有限公司
发明人：	黄敏; 刘利锋
地址：	611731四川省成都市高新区西部园清水河片区
优先权：
专利代理机构：	北京挺立专利事务所	代理人：	叶树明
PDF下载：	PDF下载

内容摘要

本发明实施例公开了一种密码套件的配置方法和装置，所述密码套件的配置方法包括：获取预先设定的密码套件列表，所述密码套件列表包括地域码表项，一个密码套件由套件编号和地域码共同唯一确定；配置地域码，根据所述地域码在所述密码套件列表中选择所述地域码对应的密码套件。本发明实施例根据配置的地域码在获取的密码套件列表中选择所述地域码对应的密码套件，从而实现了根据地域码选择密码套件，解决了不同地域的设备的密码套件可能发生冲突的问题，增加了设备的灵活性。

权利要求书

1、  一种密码套件的配置方法，其特征在于，包括：
获取预先设定的密码套件列表，所述密码套件列表包括地域码表项，一个密码套件由套件编号和地域码共同唯一确定；
配置地域码，根据所述地域码在所述密码套件列表中选择所述地域码对应的密码套件。

2、  如权利要求1所述密码套件的配置方法，其特征在于，还包括：在所述密码套件列表中增设所述地域码表项。

3、  如权利要求1所述密码套件的配置方法，其特征在于，所述地域码包括通用的地域码或专用地域码，所述通用的地域码对应的密码套件为通用密码套件，所述专用地域码对应的密码套件为通用密码套件及专用密码套件，
所述根据地域码在所述密码套件列表中选择所述地域码对应的密码套件包括：
在所述密码套件列表中，当所述地域码为通用的地域码时，根据所述通用的地域码和套件编号选择所述通用密码套件；或者，当所述地域码为专用地域码时，根据所述专用地域码和套件编号选择所述通用密码套件及所述专用密码套件。

4、  一种密码套件的配置装置，其特征在于，包括：
获取模块，用于获取预先设定的密码套件列表，所述密码套件列表包括地域码表项，一个密码套件由套件编号和地域码共同唯一确定；
配置模块，用于配置地域码；
选择模块，用于根据所述配置模块配置的地域码在所述获取模块获取的密码套件列表中选择所述地域码对应的密码套件。

5、  如权利要求4所述密码套件的配置装置，其特征在于，所述地域码包括通用的地域码或专用地域码，所述通用的地域码对应的密码套件为通用密码套件，所述专用地域码对应的密码套件为通用密码套件及专用密码套件，当所述地域码为通用的地域码时，所述选择模块根据所述通用的地域码和套件编号选择所述通用密码套件；或者，当所述地域码为专用地域码时，所述选择模块根据所述专用地域码和套件编号选择所述通用密码套件及所述专用密码套件。

6、  如权利要求4所述密码套件的配置装置，其特征在于，还包括：
设置模块，用于在所述密码套件列表中增设所述地域码表项。

说明书

一种密码套件的配置方法和装置
技术领域
本发明实施例涉及网络通信技术领域，特别涉及一种密码套件的配置方法和装置。
背景技术
随着因特网的迅速发展和普及，越来越多的业务依赖于网络技术，比如电子商务、电子政务等等。随着Web(网页)应用的发展，远程接入增多，网络安全问题的凸显，VPN(Virtual Private Network，虚拟专用网)设备成为安全产品市场的热门。VPN设备根据实现的技术协议不同，可以分成SSL(SecureSocket Layer，安全套接层)VPN，IPsec(Internet Protocol Security，因特网协议安全)VPN等。其中SSL VPN基于SSL协议以实现虚拟专用网的应用。
IETF(Internet Engineering Task Force，因特网工程任务组)基于SSL定义了TLS(Transport Layer Security，传输层安全协议)，现在多家浏览器提供商都支持TLS，用户只需一个浏览器，就可以安全地访问Web资源。由于浏览器的广泛应用，SSL已经成为电子商务领域应用最广泛的安全协议。
在SSL(TLS)协议中建立加密通道之前，都必须经过握手协议协商客户端与服务器端使用的密码算法套件。IETF规定了一些通用的密码算法套件组合，并预留编码空间由厂商自定义。在利用握手协议进行协商时客户端先给出该客户端支持的密码算法列表，并按照客户端的选择倾向性递减顺序排列；SSL服务器端收到这个列表以后，从该列表中选择SSL服务器端支持的密码算法，返回给客户端，完成密码算法的协商。
密码算法套件由公钥算法，对称算法和哈希算法三部分组合而成，IETF中规定了一些通用的密码算法套件，对于每种合适的组合形成的密码套件定义一个编号。但是由于密码问题的敏感性，一些国家或者地区会有自己专用的密码算法要求，这些密码算法各不相同，而各个国家或者地区自己进行编号的时候，有可能会造成这些密码算法套件编号冲突，例如两个不同的国家都规定了一个相同的编号，但是这个编号代表不同的密码算法套件，这样将造成在这两个国家销售的SSL VPN设备无法通用，必须定制修改。
在实现本发明的过程中，发明人发现现有技术至少存在以下问题：当两个不同国家规定的密码算法套件编号冲突时，卖往其中一个国家的SSL VPN设备不能卖往另一个国家，需要根据不同的国家在设备上进行修改，增加了设备的复杂性和维护成本。
发明内容
本发明实施例提供一种密码套件的配置方法和装置，以实现根据一套设备所在的地域或销售地域选择密码套件，使一套设备可以在多个地区销售。
为达到上述目的，本发明实施例一方面提供一种密码套件的配置方法，包括：获取预先设定的密码套件列表，所述密码套件列表包括地域码表项，一个密码套件由套件编号和地域码共同唯一确定；配置地域码，根据所述地域码在所述密码套件列表中选择所述地域码对应的密码套件。
另一方面，本发明实施例还提供一种密码套件的配置装置，包括：获取模块，用于获取预先设定的密码套件列表，所述密码套件列表包括地域码表项，一个密码套件由套件编号和地域码共同唯一确定；
配置模块，用于配置地域码；
选择模块，用于根据所述配置模块配置的地域码在所述获取模块获取的密码套件列表中选择所述地域码对应的密码套件。
与现有技术相比，本发明实施例具有以下优点：本发明实施例根据配置的地域码在获取的密码套件列表中选择所述地域码对应的密码套件，从而实现了根据地域选择密码套件，解决了不同地域的设备的密码套件可能发生冲突的问题，增加了设备的灵活性。
附图说明
图1为本发明实施例密码套件的配置方法的流程图；
图2为本发明实施例密码套件的配置装置的结构图。
具体实施方式
本发明实施例提供一种密码套件的配置方法，在设备初次使用或者需要重新配置时，配置地域码，根据配置的地域码在密码套件列表中选择该地域码对应的密码套件，从而使设备可以通过一次简单的地域选择配置，完成密码套件的配置，解决了各个地域为不同的密码套件定义相同的套件编号的问题。本发明实施例中的设备指SSL VPN客户端和SSL VPN服务器。
如图1所示，为本发明实施例密码套件的配置方法的流程图，具体包括以下步骤：
步骤S101，获取预先设定的密码套件列表，该密码套件列表包括地域码表项，一个密码套件由套件编号和地域码共同唯一确定。本发明实施例在SSLVPN的客户端和服务器保存的密码套件列表中，增设地域码表项，由套件编号和地域码共同唯一确定一个密码套件。
步骤S102，配置地域码，根据该地域码在密码套件列表中选择所述地域码对应的密码套件。
所述地域码为通用的地域码或专用地域码，通用的地域码对应的密码套件包括IETF规定的通用密码套件，专用地域码对应的密码套件包括IETF规定的通用密码套件和每个地域的专用密码套件。在SSL VPN的客户端和服务器的密码套件列表中，可以根据通用的地域码和通用套件编号选择IETF规定的通用密码套件，根据每个地域的专用地域码和专用套件编号选择IETF规定的通用密码套件及每个地域的专用密码套件。
本发明实施例提出的一个密码套件列表可以如表1所示，
表1

算法套件编号地域码 TLS_RSA_WITH_NULL_MD5{0x00，0x01} GENERAL(通用) TLS_RSA_WITH_NULL_SHA{0x00，0x02} GENERAL(通用) ………… ……

TLS_SM2_WITH_SM1_SM3{0xfe，0x02} CN(中国) TLS_ECC_WITH_RC4_SHA{0xfe，0x02} USA(美国) TLS_RSA_WITH_RC4_MD5{0xfe，0x02} JAPAN(日本) ………… ……

在表1中，中国、美国、日本都用{0xfe，0x02}来表示自己定义的专用密码套件。如果没有地域码，这几个国家定义的专用密码套件将会发生冲突。例如：卖往美国的SSL VPN设备不能直接卖往日本，因为美国和日本定义的相同的套件编号对应不同的密码套件。
本发明实施例在现有的SSL VPN的客户端和服务器中设置一个地域选择配置界面，在初次使用SSL VPN设备或者需要重新配置SSL VPN设备时，通过SSL VPN客户端和服务器端的地域选择配置界面，配置相应的地域码，然后SSL VPN客户端和服务器根据配置的地域码在密码套件列表中选择与该地域码对应的密码套件。这样在客户端和服务器端都可以通过一次简单的地域选择配置，完成密码套件配置，解决了各个地域为不同的密码套件定义相同的套件编号的问题。
表1仅为密码套件列表的一个示例，本发明实施例并不仅限于此，任何根据套件编号和地域码标识密码套件的方法均应落入本发明实施例的保护范围。
如图2所示，为本发明实施例密码套件的配置装置的结构图，包括：
获取模块21，用于获取预先设定的密码套件列表，该密码套件列表包括地域码表项，一个密码套件由套件编号和地域码共同唯一确定。
配置模块22，用于配置地域码；
选择模块23，用于根据配置模块22配置的地域码在获取模块21获取的密码套件列表中选择该地域码对应的密码套件。
其中，地域码包括通用的地域码或专用地域码，通用的地域码对应的密码套件为通用密码套件，专用地域码对应的密码套件为通用密码套件及专用密码套件，当地域码为通用的地域码时，选择模块23根据通用的地域码和套件编号选择通用密码套件；或者，当地域码为专用地域码时，选择模块23根据专用地域码和套件编号选择通用密码套件及专用密码套件。
其中，该密码套件的配置装置还可以包括：设置模块24，用于在密码套件列表中增设所述地域码表项。
本发明实施例提出的一个密码套件列表可以如表1所示，在表1中，中国、美国、日本都用{0xfe，0x02}来表示自己定义的专用密码套件。如果没有地域码，这几个国家定义的专用密码套件将会发生冲突。例如：卖往美国的SSL VPN设备不能直接卖往日本，因为美国和日本定义的相同的套件编号对应不同的密码套件。
本发明实施例在现有的SSL VPN的客户端和服务器中设置一个地域选择配置界面，在初次使用SSL VPN设备或者需要重新配置SSL VPN设备时，获取模块21获取预先设定的密码套件列表，配置模块22通过SSL VPN设备的地域选择配置界面，配置相应的地域码，然后选择模块23根据配置的地域码在密码套件列表中选择与该地域码对应的密码套件。这样通过简单的地域选择配置，该密码套件的配置装置就可完成密码套件配置，解决了各个地域为不同的密码套件定义相同的套件编号的问题。
该密码套件的配置装置可以设在SSLVPN的客户端和服务器中，也可作为独立的设备单独设置。
上述模块可以分布于一个装置，也可以分布于多个装置。上述模块可以合并为一个模块，也可以进一步拆分成多个子模块。
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可以通过硬件实现，也可以可借助软件加必要的通用硬件平台的方式来实现基于这样的理解，本发明的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。
以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。