新闻动态大文件传输

网站传输大文件之镭速自动选择TLS/国密加密协议的方法

2024-11-04传输大文件传输加密

对于那些需要传输大文件的网站，如云服务提供商、医疗机构、金融机构等，安全加密的数据传输显得尤为重要。当前几乎所有网站都会使用加密算法保护客户端到服务器端之间的数据传递不被非法的第三方窃取或篡改；比较常用的是使用安全传输层协议（TLS：TransportLayerSecurity，以下简称“TLS”），国内部分企事业单位和科研机构对于信息安全要求高或基于加密算法必须自主可控的原则会使用国家商用密码算法（以下简称“国密”或“国密算法”）。

主流网站加密协议中大多数使用了TLS，少数国内网站使用了国密算法。客户端在连接服务器前无法确定服务器使用了何种协议进行加密，如果使用了错误的协议则会导致连接失败。镭速为了解决现有传输大文件技术存在的缺陷，适配客户的使用场景，提供了一种解决方法。

传输大文件时镭速如何自动选择加密协议

步骤1，客户端使用TLS协议向服务端发起握手请求，以明文传输ClientHello消息，该ClientHello消息包括客户端使用的TLS协议的版本信息、加密套件候选列ciphersuites、压缩算法候选列表compression methods以及随机数Random_C等，其中，版本信息为客户端支持的最高TSL协议版本，从低到高依次TLS_v1、TLS_v1 .1 、TLS_v1 .2。

客户端支持的加密套件列表cipher suites，每个加密套件对应前面 TLS 原理中的四个功能的组合：认证算法 Au (身份验证)、密钥交换算法 KeyExchange(密钥协商)、对称加密算法 Enc(信息加密)和信息摘要 Mac(完整性校验)；压缩算法列表compression methods中的压缩算法，用于后续的信息压缩传输；随机数 random_C，用于后续的密钥的生成。

步骤2，服务端根据当前配置的是TLS协议或国密SSL协议返回响应消息。具体地，若服务端配置的是TLS协议时，返回ServerHello消息；否则返回HandshakeFailure消息。

在步骤2中，ServerHello消息为服务端返回协商的信息结果，包括选择使用的协议版本version，选择的加密套件cipher suite，选择的压缩算法 compression method、随机数 random_S等，其中随机数用于后续的密钥协商。同时，响应信息还包括Certificates消息以及ServerHelloDone消息，Certificates消息中包含有服务端配置对应的证书，用于身份验证与密钥交换；Serverhellodone消息用于通知客户端ServerHello消息发送结束。

传输大文件,国密加密协议

步骤3，客户端根据服务端返回的响应消息来判断是否建立连接。具体地，当客户端收到服务端返回的ServerHello消息时，表示服务端当前使用的是TLS协议，则继续向服务端发送校验消息以完成TLS连接的建立，具体TLS连接的建立包括如下步骤：

1，客户端对服务端返回的证书进行合法性验证，如果验证通过进行下一步，否则根据错误情况不同做出提示和操作；

2，客户端产生一个随机数pre_master_secret，并用证书中的公钥进行加密再发送给服务端；

3，客户端根据随机数random_C 、random_S以及master‑secret生成协商密钥Fuc(random_C , random_S,pre_ master_secret)；

4，客户端根据接收的所有握手消息的MAC值生成一段验证数据，并采用协商密钥和服务端选择的加密算法进行加密，然后然后发送给服务端进行握手验证；

5，服务端采用其证书私钥解密以得到pre_master_secret，结合之前交换的明文随机数random_C 、random_S，得到协商密钥2。

6，服务端采用步骤S35中得到的协商密钥2和在步骤S2中选择的加密算法对步骤S34中的发送过来的验证数据进行解码，再通过协商密钥2和加密算法对解密出来的验证数据重新加密；

7，客户端接收步骤36中返回的验证数据并解密，将该验证数据中MAC值与步骤S34中的MAC值进行一致性校验，验证通过后则握手完成，建立客户端与服务端之间的TLS连接。

当客户端收到服务端返回的HandshakeFailure消息时，则表示服务端当前使用的不是TLS协议，并断开与服务端的连接；由客户端使用国密SSL协议向服务端重新发送SSL握手请求并建立SSL连接。

通过客户端与服务端第一次握手消息的交互，可以选择出合适的加密协议与服务端建立安全连接；客户端只需要一个服务端的端口，不需要事先指定使用何种加密协议即可兼容两种加密协议，保证了系统的兼容性。

总结

镭速通过自动选择TLS/国密加密协议，为需要传输大文件的网站提供了一个安全、高效的解决方案。特别是在医疗领域，镭速不仅提升了传输大文件的效率，还确保了患者数据的安全和隐私，为医疗机构提供了强有力的支持。随着技术的不断进步，镭速将继续为数据安全类的行业提供高质量的文件传输服务，助力企业提升工作效率和服务质量。

本文《网站传输大文件之镭速自动选择TLS/国密加密协议的方法》内容由镭速-大文件传输软件整理发布，如需转载，请注明出处及链接：https://www.raysync.cn/news/post-id-1845/