1.基于用户区分的数据安全传输协商方法,其特征在于,包括以下步骤:
步骤1.用户在服务器端成功注册后,允许其访问服务器上的资源;
步骤2.用户通过客户端访问服务器,客户端发送其支持的加密套件列表,服务器端获取客户端的连接信息;
步骤3.客户端发送用户数字证书,服务器从接收到的用户数字证书中获取用户信息,进一步确定用户的安全传输级别,并根据用户的安全传输级别更新与客户端协商的加密套件列表;
步骤4.服务器端向客户端发送重新协商指令,重新与客户端协商建立ssl安全连接;服务器端跳转到步骤2等待接收客户端的重新协商;
步骤5.根据用户的安全传输级别,服务器端与客户端成功建立ssl安全传输。
2.根据权利要求1所述的基于用户区分的数据安全传输协商方法,其特征在于,步骤1中,用户注册的具体步骤如下:
1.1)每个用户对应一个合法的数字证书,用u=(n,e,s,v)表示一个用户,其中n、e、s和v分别表示数字证书中的用户名称、电子邮件、签发单位信息和证书有效期;
1.2)用z={1,2,…,t}表示服务器端支持的安全传输级别的集合,其中t表示最高的安全传输级别;对于任意的i∈z,用
1.3)服务器端使用特定的规则确定用户u所属的安全传输级别i,并将其加入到用户组gi中,更新后的
1.4)对于任意的用户u∈gi,如果将u的安全传输级别调整为j,j∈z,则需要同时更新gi和gj,更新后
3.根据权利要求2所述的基于用户区分的数据安全传输协商方法,其特征在于,对于任意的用户u∈gi,若要将该用户从服务器端删除,则需要更新gi,更新后
4.根据权利要求1所述的基于用户区分的数据安全传输协商方法,其特征在于,步骤2具体包括以下步骤:
2.1)ssl/tls位于tcp层之上,在客户端与服务器端建立ssl安全连接期间,客户端与服务器端之间的tcp连接保持不变,用c=(ip,port)表示ssl安全连接建立阶段的客户端信息,其中ip和port分别表示客户端的ip地址和tcp端口信息;
2.2)对于任意的i∈z,用
5.根据权利要求1所述的基于用户区分的数据安全传输协商方法,其特征在于,步骤3具体包括以下步骤:
3.1)从客户端发送的数字证书中提取用户信息,用u表示;
3.2)若对于任意gi,都有
3.3)若u∈gt,则用户u可使用最高的安全传输级别t,若对于任意oi,都有
3.4)若存在一个oi,满足c∈oi,则表示当前客户端是与服务器端重新协商的安全传输级别为i的用户,更新
3.5)若存在一个gi,满足u∈gi,则用户u的安全传输级别为i,更新
3.6)用li表示安全传输级别i所对应的ssl加密套件集合,ni={l|l∈lj,i≥j,j∈z}表示安全传输级别为i的用户使用的ssl加密套件集合;用ec和es分别表示客户端和服务器端所支持的ssl加密套件集合,用e={e|e∈ni∧e∈ec∧e∈es}表示适用于当前用户u的ssl加密套件集合;
3.7)若用户u对应的ssl加密套件集合e为空,表示该用户为黑名单用户,更新
3.8)若ssl加密套件集合e不为空,选择emax∈e作为正在建立的ssl安全连接的ssl加密套件,其中emax表示e中安全强度最大的ssl加密套件。