技術(shù)領(lǐng)域

本發(fā)明涉及一種動(dòng)態(tài)選擇證書的實(shí)現(xiàn)方法，特別涉及一種自動(dòng)選擇RSA和ECC證書的SSL服務(wù)端動(dòng)態(tài)選擇證書的實(shí)現(xiàn)方法。

背景技術(shù)

SSL協(xié)議在網(wǎng)絡(luò)中得到廣泛的應(yīng)用，常見的SSL服務(wù)端實(shí)現(xiàn)使用RSA簽名的站點(diǎn)證書作為服務(wù)端證書，用于協(xié)議握手過程中的身份驗(yàn)證和密鑰交換。

隨著ECC（橢圓曲線）算法的發(fā)展，目前也出現(xiàn)了使用ECC證書的SSL服務(wù)端實(shí)現(xiàn)，比如較新版本的Apache?HTTP?Server。但由于目前使用ECC證書的SSL服務(wù)端相對(duì)使用RSA證書的SSL服務(wù)端較少，只有Firefox等新興瀏覽器有一定的支持，IE等傳統(tǒng)瀏覽器仍然只支持RSA算法，因此在SSL服務(wù)端仍然無法推廣使用ECC證書，否則會(huì)造成與IE瀏覽器等舊版本SSL客戶端的不兼容。

現(xiàn)有的SSL協(xié)議相關(guān)規(guī)范（包括RFC相關(guān)規(guī)范和國(guó)家相關(guān)的密碼規(guī)范）只對(duì)SSL握手過程中的算法協(xié)商有一定規(guī)定，卻沒有對(duì)證書的選擇進(jìn)行規(guī)范化和建議。

綜上所述，針對(duì)現(xiàn)有技術(shù)的缺陷，特別需要一種SSL服務(wù)端動(dòng)態(tài)選擇證書的實(shí)現(xiàn)方法，以解決以上提到的問題。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種SSL服務(wù)端動(dòng)態(tài)選擇證書的實(shí)現(xiàn)方法，解決上述現(xiàn)有技術(shù)的缺陷，實(shí)現(xiàn)SSL服務(wù)端握手的動(dòng)態(tài)選擇證書，從而支持對(duì)不同客戶端的兼容和兩種算法的平滑過渡。

本發(fā)明所解決的技術(shù)問題可以采用以下技術(shù)方案來實(shí)現(xiàn)：

一種SSL服務(wù)端動(dòng)態(tài)選擇證書的實(shí)現(xiàn)方法，其特征在于，它包括如下步驟：

1）在SSL服務(wù)端預(yù)先配置兩套站點(diǎn)證書，一套為ECC證書，另一套為RSA證書；

2）客戶端發(fā)起請(qǐng)求時(shí)，在SSL協(xié)議的ClientHello包中聲明自身支持的算法；

3）SSL服務(wù)端檢查收到的ClientHello包，分析其支持的算法，如果支持ECC算法則選用ECC相關(guān)的證書進(jìn)行后續(xù)的SSL握手；如果不支持ECC算法則仍選用RSA相關(guān)的證書進(jìn)行后續(xù)的SSL握手；

4）客戶端和SSL服務(wù)端完成SSL握手的后續(xù)步驟。

本發(fā)明的一個(gè)實(shí)施例中，客戶端根據(jù)服務(wù)端選擇的算法組合使用對(duì)應(yīng)的算法進(jìn)行密鑰交換，并發(fā)送自身的相關(guān)的證書。

本發(fā)明的一個(gè)實(shí)施例中，客戶端根據(jù)之前選擇的算法組合使用對(duì)應(yīng)的算法進(jìn)行密鑰交換和身份驗(yàn)證，并完成SSL握手過程。

本發(fā)明的SSL服務(wù)端動(dòng)態(tài)選擇證書的實(shí)現(xiàn)方法，通過在客戶端發(fā)起請(qǐng)求時(shí)SSL協(xié)議的ClientHello包中聲明自身支持的算法，實(shí)現(xiàn)SSL服務(wù)端握手的動(dòng)態(tài)選擇證書，從而支持對(duì)不同客戶端的兼容和兩種算法的平滑過渡，實(shí)現(xiàn)本發(fā)明的目的。

本發(fā)明的特點(diǎn)可參閱本案圖式及以下較好實(shí)施方式的詳細(xì)說明而獲得清楚地了解。

附圖說明

圖1為支持ECC算法的客戶端和SSL服務(wù)端握手的流程示意圖。

圖2為不支持ECC算法的客戶端與SSL服務(wù)端握手的流程示意圖。

具體實(shí)施方式

為了使本發(fā)明實(shí)現(xiàn)的技術(shù)手段、創(chuàng)作特征、達(dá)成目的與功效易于明白了解，下面結(jié)合具體圖示，進(jìn)一步闡述本發(fā)明。

如圖1、圖2所示，本發(fā)明的SSL服務(wù)端動(dòng)態(tài)選擇證書的實(shí)現(xiàn)方法，它包括如下步驟：

1）在SSL服務(wù)端預(yù)先配置兩套站點(diǎn)證書，一套為ECC證書，另一套為RSA證書；

2）客戶端發(fā)起請(qǐng)求時(shí)，在SSL協(xié)議的ClientHello包中聲明自身支持的算法；

struct?{

????ProtocolVersion?client_version;

????Random?random;

????SessionID?session_id;

????CipherSuite?cipher_suites<2..2^16-2>;

????CompressionMethod?compression_methods<1..2^8-1>;

????select?(extensions_present)?{

????????case?false:

????????????struct?{};

????????case?true:

????????????Extension?extensions<0..2^16-1>;

????};

}?ClientHello;