一种改进SSL握手协议的方法

摘要

本发明涉及一种改进SSL握手协议的方法。现有的握手协议方法安全性不高。本发明方法首先由安全套接层的客户端向服务器端发出一个消息；发出该消息以后，客户端等待响应；其次客户端收到响应之后，服务器端把证书序列发给客户端，服务器端选择性的设置是否认证客户端；客户端如果没有递交具有可以签名功能的证书，则握手失败，客户端如果递交了具有可以签名功能的证书，则客户端发送消息来证书认证；最后客户端向服务器端发送消息通知服务器端，服务器端也会发送消息，标志着下面将进入应用层数据传输阶段。本发明方法使握手过程中的消息交换方式更加安全，从而提高了客户端与服务器端之间传输的安全性。

主权项

一种改进SSL握手协议的方法，其特征在于该方法包括如下步骤：步骤(1)安全套接层的客户端向服务器端发出第一个消息Client Hello；发出该消息以后，客户端等待一个Server Hello响应；步骤(2)客户端收到Server Hello之后，服务器端把自己的证书序列发给客户端，证书序列中包括从服务器端的证书到根证书的证书链；服务器端选择性的设置是否认证客户端，如果选择需要认证客户端，则需要客户端递交证书，服务器端向客户端发起证书认证请求，然后发送消息Server Hello Done，等待客户端的响应；如果选择不需要认证客户端，则跳转至步骤(1)；步骤(3)客户端接收到Server Hello Done消息后，如果客户端没有递交具有可以签名功能的证书，则客户端将向服务器端发送一个No Certificate的警告，服务器端则向客户端返回一个握手失败的消息通知握手失败；如果客户端递交了具有可以签名功能的证书之后，则客户端发送Certificate verify消息用来证书认证，这实质上就是客户端对Certificate.signature.md_hash或者Certiftcate.signature.sha_hash使用自己的私钥签名后传输给服务器端，服务器端接收到该签名后可以使用客户端递交的证书中包含的公开密钥来检验该签名，如果签名正确，表明证书有效；步骤(4)客户端向服务器端发送ChangeCipherSpec消息通知服务器端，下一步的信息记录传输采用协商好的算法和密钥，Finished消息的发送是紧接着ChangeCipherSpec消息的发送的，其作用是确认以上步骤的密钥和认证过程是成功的；Finished消息是第一个使用刚才协商好的算法和密钥的消息，发送该消息之后，握手双方都将立即进入应用层数据的传输阶段；然后服务器端也会发送ChangeCipherSpec和Finished消息，这是服务器端发送给客户端的最后一个握手消息，标志着下面将进入应用层数据传输阶段。