技術領域

本發明涉及網絡傳輸領域，尤指一種支持SSL協議同算法多證書的匹配方法及系統。

背景技術

Nginx(engine x)是一個高性能的HTTP和反向代理服務器，也是一個IMAP/POP3/SMTP服務器。

SSL(Secure Sockets Layer安全套接層)及其繼任者傳輸層安全(Transport Layer Security，TLS)是為網絡通信提供安全及數據完整性的一種安全協議。TLS與SSL在傳輸層對網絡連接進行加密。

SSL為Netscape所研發，用以保障在Internet上數據傳輸之安全，利用數據加密(Encryption)技術，可確保數據在網絡上之傳輸過程中不會被截取及竊聽。

在現有的技術方案中，當要對Ngnix中的證書進行升級時，Nginx只支持不同算法的SSL協議多證書匹配，對于相同算法的證書升級來說，只能全部更換，沒有平滑過渡，也不支持同算法多證書的匹配。

因此有必要提供一種能夠解決在相同算法下的SSL協議多證書的匹配方法及系統。

發明內容

本發明的目的是提供一種支持SSL協議同算法多證書的匹配方法及系統，解決在相同算法下的SSL協議多證書的匹配的問題。

本發明提供的技術方案如下：

一種支持SSL協議同算法多證書的匹配方法，包括步驟：

S100服務端建立一個證書池；將所有的證書都加載到該證書池中；

S200客戶端發起證書校驗；

S300服務端根據客戶端支持的算法信息去匹配所述算法下的證書隊列；以及

S400服務端判斷當前證書是否匹配；如果匹配，則進行下一個證書的匹配，直至所有證書都匹配完成后將結果返回給客戶端。

進一步的，所述步驟S100中，將所有的證書都加載到該證書池中時以算法來區分不同的證書字典，每個證書字典里面包含所述算法的證書隊列。

進一步的，所述步驟S300中，優先選擇第一個算法，從算法隊列的第一個證書開始匹配。

進一步的，所述步驟S400中，如果當前證書匹配失敗，則將證書信息返回至客戶端，并進行下一個證書的匹配，如果所有證書都匹配失敗則通訊失敗。

進一步的，所述證書池為所述服務端內存中存儲的數據，所述證書池中的每個證書包括算法、公鑰、私鑰、廠商、有效期的信息。

進一步的，所述步驟S200中，所述客戶端向所述服務端發起證書校驗，是將所述客戶端的算法信息發送至所述服務端。

一種支持SSL協議同算法多證書的匹配系統，其特征在于，包括服務端及客戶端，所述服務端包括證書池及判斷模塊，所述證書池中包括所有的證書；所述客戶端包括所有支持的算法信息，所述客戶端將算法信息發送至所述服務端，所述服務端根據所述客戶端的算法信息匹配所述證書池中的證書，通過所述判斷模塊判斷每一個證書是否匹配所述客戶端的算法信息，如果所有證書都匹配，則匹配完成后將結果返回至所述客戶端；如果所有證書都匹配失敗，則通訊失敗。

進一步的，所述證書加載到所述證書池中時是以算法來區分不同的證書字典，每個證書字典里面包含所述算法的證書隊列。

進一步的，所述證書池為所述服務端內存中存儲的數據；每個證書包括算法、公鑰、私鑰、廠商、有效期的信息。

進一步的，所述服務端根據所述客戶端支持的算法信息去匹配所述算法下的證書隊列時優先選擇第一個算法，從算法隊列的第一個證書開始匹配。

通過本發明提供的一種支持SSL協議同算法多證書的匹配方法及系統，能夠解決在相同算法下的SSL協議多證書的匹配的問題。

附圖說明

下面將以明確易懂的方式，結合附圖說明優選實施方式，對一種支持SSL協議同算法多證書的匹配方法的上述特性、技術特征、優點及其實現方式予以進一步說明。

圖1是本發明一種支持SSL協議同算法多證書的匹配方法的流程圖。

圖2是本發明一種支持SSL協議同算法多證書的匹配系統的系統框圖。

具體實施方式

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對照附圖說明本發明的具體實施方式。顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖，并獲得其他的實施方式。