CN101534262B - 消息传输方法、网络装置及网络系统 - Google Patents
消息传输方法、网络装置及网络系统 Download PDFInfo
- Publication number
- CN101534262B CN101534262B CN2009101323485A CN200910132348A CN101534262B CN 101534262 B CN101534262 B CN 101534262B CN 2009101323485 A CN2009101323485 A CN 2009101323485A CN 200910132348 A CN200910132348 A CN 200910132348A CN 101534262 B CN101534262 B CN 101534262B
- Authority
- CN
- China
- Prior art keywords
- message
- word string
- certificate
- string value
- authentication word
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 45
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000004891 communication Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 125000004122 cyclic group Chemical group 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Abstract
本发明实施例公开一种消息传输方法、网络装置及网络系统。该消息传输方法包括:接收第一消息,所述第一消息中携带根据证书链生成的认证字串值;当确定所述第一消息中的认证字串值为采用的证书链对应的认证字串值时,发送第二消息,所述第二消息表明采用所述第一消息中的认证字串值对应的证书链。相应的,本发明发明实施例还提供一种网络装置及网络系统。本发明实施例提供的技术方案能够减小传输开销。
Description
技术领域
本发明涉及互联网技术领域,具体涉及一种消息传输方法、网络装置及网络系统。
背景技术
安全套接层(SSL,Secure Sockets Layer)协议及传输层安全(TLS,TransportLayer Security)协议是互联网提供安全保密的一种通讯协议,为数据传输例如电子邮件传输、网上传真等提供安全保密服务。本文以TLS协议举例说明。TLS协议利用密钥算法在互联网上提供端点间的身份认证与通讯保密等服务,其应用基础一般是公钥基础设施(PKI,Public Key Infrastructrue)。
TLS协议的握手过程中,客户端第一次连接服务器时,将向服务器发送客户端发现消息(ClientHello消息),服务器接收到ClientHello消息后向客户端返回服务器发现消息(ServerHello消息),并向客户端发送证书消息(Certificate消息),Certificate消息中携带服务器的证书链。所说的证书链,一般包括一系列由CA签发的证书序列,最终以根证书结束。如果后续服务器要求客户端发送客户端证书,则客户端会向服务器发送Certificate消息,其中携带客户端的证书链。
在对此方法的研究和实践过程中,本发明的发明人发现:现有技术中,不论客户端是否是第一次与服务器通信,每次客户端与服务器端进行TLS握手时,服务器都要向客户端发送完整的服务器证书链因此,现有技术方法进行TLS握手时的消息传输方法存在传输开销大的问题。
发明内容
本发明实施例提供能够减小传输开销的一种消息传输方法、网络装置及网络系统。
一种消息传输方法,包括:
接收发送端发送的第一消息,所述第一消息中携带根据证书链生成的认证字串值;
当确定所述第一消息中的认证字串值为采用的证书链对应的认证字串值时,向所述发送端发送第二消息,所述第二消息表明采用所述第一消息中的认证字串值对应的证书链,并且不再向所述发送端发送所述证书链。
一种网络装置,包括:
接收单元,用于接收发送端发送的第一消息,所述第一消息中携带根据证书链生成的认证字串值;
确定单元,用于确定所述第一消息中的认证字串值是否为采用的证书链对应的认证字串值;
发送单元,用于当所述确定单元确定所述第一消息中的认证字串值为采用的证书链对应的认证字串值时,向所述发送端发送第二消息,所述第二消息表明采用所述第一消息中的认证字串值对应的证书链,并且不再向所述发送端发送所述证书链。
一种网络系统,包括:
第一装置,用于发送第一消息,所述第一消息中携带根据证书链生成的认证字串值;
第二装置,用于接收所述第一消息;当确定所述第一消息中的认证字串值为采用的证书链对应的认证字串值时,向所述第一装置发送第二消息,所述第二消息表明采用所述第一消息中的认证字串值对应的证书链,并且不再向所述第一装置发送所述证书链。
上述内容可以看出,本发明实施例由于接收的第一消息中携带根据证书链生成的认证字串值,因此接收端接收第一消息后如果确定所述第一消息中的认证字串值为采用的证书链对应的认证字串值,则可以认为发送端已经存储相应的证书链,那么可以向发送端返回第二消息表明采用所述第一消息中的认证字串值对应的证书链,就不再需要再向发送端发送证书链,因此就避免了因为传输证书链带来的巨大的传输开销。
附图说明
图1是本发明实施例一消息传输方法流程图;
图2是本发明实施例二消息传输方法流程图;
图3是本发明实施例三消息传输方法流程图;
图4是本发明实施例四消息传输方法流程图;
图5是本发明实施例网络装置结构示意图;
图6是本发明实施例网络系统结构示意图。
具体实施方式
本发明实施例提供一种提供能够减小传输开销的消息传输方法。本发明实施例还提供相应的网络装置及网络系统。以下分别进行详细说明。
图1是本发明实施例一消息传输方法流程图,主要包括步骤:
步骤101、接收第一消息,所述第一消息中携带根据证书链生成的认证字串值;
步骤102、当确定所述第一消息中的认证字串值为采用的证书链对应的认证字串值时,发送第二消息,所述第二消息表明采用所述第一消息中的认证字串值对应的证书链。
其中,所述接收的第一消息包括客户端发现消息;所述发送的第二消息包括服务器发现消息,所述服务器发现消息携带与所述客户端发现消息中的认证字串值相同的认证字串值;或者,携带认证字串值为空的认证字串扩展。认证字串值为空的认证字串扩展为事先约定表示可采用客户端发现消息中的认证字串值对应的证书链。进一步的,还可以发送第一证书消息,所述第一证书消息携带与所述客户端发现消息中的认证字串值相同的认证字串值;或者,所述第一证书消息中的内容为空。第一证书消息中的内容为空为事先约定表示可采用客户端发现消息中的认证字串值对应的证书链。
或者,所述接收的第一消息包括客户端发现消息;所述发送的第二消息包括第一证书消息,所述第一证书消息携带与所述客户端发现消息中的认证字串值相同的认证字串值;或者,所述第一证书消息中的内容为空。第一证书消息中的内容为空为事先约定表示可采用客户端发现消息中的认证字串值对应的证书链。
或者,所述接收的第一消息包括客户端证书请求消息;所述发送的第二消息包括第二证书消息,所述第二证书消息携带与所述客户端证书请求消息中的认证字串值相同的认证字串值;或者,所述第二证书消息中的内容为空。第二证书消息中的内容为空为事先约定表示可采用客户端发现消息中的认证字串 值对应的证书链。
该实施例内容可以看出,本发明实施例由于接收的第一消息中携带根据证书链生成的认证字串值,因此接收端接收第一消息后如果确定所述第一消息中的认证字串值为采用的证书链对应的认证字串值,则可以认为发送端已经存储相应的证书链,那么可以向发送端返回第二消息表明采用所述第一消息中的认证字串值对应的证书链,就不再需要再向发送端发送证书链,因此就避免了因为传输证书链带来的巨大的传输开销。
以下对本发明实施例技术方案进行更详细介绍。
图2是本发明实施例二消息传输方法流程图,主要包括步骤:
步骤201、客户端发送客户端发现消息(ClientHello消息),所述ClientHello消息中携带认证字串值;
该步骤中,客户端存储有将要进行通信的服务器的证书链,该证书链可以是上一次与服务器进行交互时所存储的由服务器发送的证书链,或者是通过其他途径获取的服务器的证书链。
客户端将ClientHello消息进行扩展,在该消息中设置认证字串扩展,认证字串扩展中的内容称为认证字串值。如果认证字串扩展中的内容为空,则不含有认证字串值。认证字串值是对证书链按设定算法进行处理后得到的字串值,可以反映证书链的特征。认证字串值的字节数相对证书链的字节数来说较小。
本发明实施例中是以对证书链按哈希算法进行处理得到哈希值举例说明但不局限于此,也可以按其他算法(例如循环冗余校验(CRC,CyclicRedundancy Check)算法)进行处理得到反映证书链特征的认证字串值。其中,哈希算法可以是第一代安全散列算法(SHA-1,Secure Hash Algorithm 1)、SHA-2、SHA-512或信息-摘要算法(MD5,Message-digest Algorithm 5)等哈希算法中的任意一种,但通信双方使用的哈希算法要一致。
采用哈希算法时,客户端在ClientHello消息进行扩展的认证字串扩展为证书哈希扩展(certs_hash扩展),该certs_hash扩展的内容是客户端将存储的服务器的证书链按哈希算法进行处理得到的哈希值。
以下对设置认证字串扩展进行举例说明但不局限于此,也可以采用其他方 式进行扩展。一般对消息的字段进行扩展(extensions)的定义格式可以如下:
struct{
ExtensionType extension_type;
opaque extension_data<0..2^16-1>;
}Extension;
其中,″extension_data″表示该扩展的值,本发明实施中的″extension_data″为certs_hash扩展的值,即哈希值也可称为CertsHash。
certs_hash扩展可以如下表示:
enum{
certs_hash(TBD),(65535)
}ExtensionType;
证书链的哈希值CertsHash,格式可以如下表示:
struct{
opaque certificates_hash<1..2^8-1>;
}CertsHash;
经过上述处理,客户端向服务器发送ClientHello消息,其中携带服务器的证书链的哈希值。
步骤202、服务器向客户端发送服务器发现消息(ServerHello消息),其中携带认证字串值;
服务器收到客户端发送的ClientHello消息后,查看certs_hash字段的哈希值是否是服务器设定的可以采用的证书链的哈希值。服务器一般可以设定可采用的多种证书链,并且对证书链按设定算法进行处理后得到认证字串值,例如得到哈希值。本发明实施例中以哈希值举例说明。
服务器如果确定ClientHello消息中certs_hash字段的哈希值是设定的可以采用的证书链的哈希值,则可以认为客户端已经存储有服务器的证书链。此时,服务器向客户端返回ServerHello消息。
服务器将ServerHello进行扩展,在该消息中设置认证字串扩展。采用哈希算法时,认证字串扩展具体为证书哈希扩展(certs_hash扩展)。
服务器向客户端返回的ServerHello消息中的certs_hash扩展所包含的哈希值,与ClientHello消息中的certs_hash字段所包含的哈希值相同,表示可以使用该哈希值对应的证书链。
步骤203、服务器向客户端发送证书消息(Certificate消息),其中不携带认证字串值,即发送内容为空的证书消息。
该步骤中,服务器向客户端发送Certificate消息,该Certificate消息为空消息,其中的内容为空(其中不携带服务器的证书链,也不携带哈希值),通过空消息表示服务器可以采用ClientHello消息中的哈希值对应的证书链。服务器和客户端可以事先约定通过内容为空的Certificate消息表示可以采用ClientHello消息中的哈希值对应的证书链。因此,此时Certificate消息不携带服务器的证书链,就避免了传输的巨大开销。之后,服务器与客户端的交互过程与现有过程基本相同,例如服务器将向客户端发送服务器密钥交换消息(ServerKeyExchange消息),其中携带用于协商预主密钥(pre_maseter_secret)所需的一些密钥参数;向客户端发送服务器发现完成消息(ServerHelloDone消息),用于告知客户端ServerHello消息及相关消息已经发送完毕。
需要说明的是,服务器如果确定ClientHello消息中certs_hash字段的哈希值不是设定的可以采用的证书链的哈希值,则响应的ServerHello消息中不携带certs_hash字段,即与现有的握手过程一样。之后在Certificate消息中携带服务器的证书链,发送给客户端。客户端将服务器的Certificate消息中的证书链存储,待收到服务器发送的完成消息(fnished消息)并且验证该消息正确后,替代之前存储的证书链,并在下一次与该服务器进行通信时使用,即在ClientHello消息携带的certs_hash扩展中携带该新存储的证书链的哈希值。
该实施例内容可以看出,本发明实施例由于客户端已经存储有服务器的证书链,在向服务器发送的ClientHello消息中携带认证字串值,该认证字串值是根据服务器的证书链生成,因此服务器接收ClientHello消息后可以认为客户端已经存储服务器的证书链,那么可以向客户端返回消息表示可以采用ClientHello消息中的认证字串值对应的证书链,该返回的消息可以是携带与ClientHello消息中的认证字串值相同的认证字串值的ServerHello消息,也可以 是内容为空的Certificate消息。并且,可以采用携带与ClientHello消息中的认证字串值相同的认证字串值的ServerHello消息和内容为空的Certificate消息中的其中一个消息告知客户端,也可以同时采用该两个消息告知客户端,进一步确保客户端可以获知该信息。这样,服务器就不再需要再向客户端发送服务器的证书链,因此就避免了因为传输服务器的证书链带来的巨大的传输开销,特别是对于低带宽、高延迟、高误码率的网络,可以带来很大好处。
需要说明的是,在步骤203中,也可以是服务器向客户端发送携带认证字串值的Certificate消息。即该步骤可以是服务器向客户端发送Certificate消息,该Certificate消息不携带服务器的证书链,而是携带服务器的证书链的哈希值,该哈希值与ClientHello消息中的certs_hash扩展所包含的哈希值相同,表示服务器可采用哈希值对应的证书链。此时Certificate消息没有携带服务器的证书链,就避免了传输的巨大开销。
还需要说明的是,也可以不需要步骤203,即服务器不再向客户端发送Certificate消息。
图3是本发明实施例三消息传输方法流程图。实施例三与实施例二的主要区别是服务器发送的ServerHello消息中的certs_hash字段的内容为空,即其中不携带哈希值,另外服务器发送的Certificate消息携带哈希值。
如图3所示,主要包括步骤:
步骤301、客户端发送ClientHello消息,所述ClientHello消息中携带认证字串值;
该步骤的内容与实施例二相同,具体请参见实施例二中的描述。
经过上述处理,客户端向服务器发送ClientHello消息,其中携带服务器的证书链的哈希值。
步骤302、服务器向客户端发送ServerHello消息,其中不携带认证字串值;
该步骤的内容与实施例二不相同。
服务器如果确定ClientHello消息中certs_hash扩展的哈希值是设定的可以采用的证书链的哈希值,则可以认为客户端已经存储有服务器的证书链。此时,服务器向客户端返回ServerHello消息。
服务器是将ServerHello进行扩展,在该消息中设置认证字串扩展。采用哈希算法时,认证字串扩展具体为证书哈希扩展扩展(certs_hash扩展)。
与实施例二不同的是,服务器向客户端返回ServerHello消息,但其中的certs_hash扩展的内容为空,即其中不携带哈希值。通过ServerHello消息的certs_hash扩展的内容为空表示服务器可以采用ClientHello消息中的哈希值对应的证书链。服务器和客户端可以事先约定通过certs_hash扩展的内容为空ServerHello消息表示可以采用ClientHello消息中的哈希值对应的证书链。
步骤303、服务器向客户端发送Certificate消息,其中携带认证字串值。
该步骤的内容与实施例二不相同。
该步骤中,服务器向客户端发送Certificate消息,该Certificate消息不携带服务器的证书链,而是携带服务器的证书链的哈希值Certificate消息中包含的哈希值与ClientHello消息中的certs_hash扩展所包含的哈希值相同,表示服务器可采用哈希值对应的证书链。此时Certificate消息没有携带服务器的证书链,就避免了传输的巨大开销。
该实施例技术方案的效果与实施例二基本相同,主要区别是在服务器发送的ServerHello消息中的certs_hash扩展的内容为空,服务器发送的Certificate消息中携带哈希值。
上述描述的可以针对握手过程中的第一和第二阶段的过程,对于第三和第四阶段的过程,也可以采用上述方法,避免客户端需要通过Certificate消息向服务器发送客户端的证书链所带来的巨大的传输开销。
图4是本发明实施例四消息传输方法流程图,主要包括步骤:
步骤401、服务器发送客户端证书请求消息(CertificateRequest消息),所述CertificateRequest消息中携带认证字串值;
该步骤中,服务器存储有将要进行通信的客户端的证书链,该证书链可以是上一次与客户端进行交互时所存储的由客户端发送的证书链,或者是通过其他途径获取的客户端的证书链。
CertificateRequest消息用于向客户端请求发送客户端的证书链。该步骤中,服务器将CertificateRequest消息进行扩展,在该消息中设置认证字串扩展,认 证字串扩展中的内容称为认证字串值。如果认证字串扩展中的内容为空,则不含有认证字串值。认证字串值是对证书链按设定算法进行处理后得到的字串值,可以反映证书链的特征。认证字串值的字节数相对证书链的字节数较小。
本发明实施例中是以对证书链按哈希算法进行处理得到哈希值举例说明但不局限于此,也可以按其他算法(例如循环冗余校验算法CRC)进行处理得到反映证书链特征的认证字串值。其中,哈希算法可以是SHA-1、SHA-2、SHA-512或MD5等哈希算法中的任意一种,但通信双方使用的哈希算法要一致。
采用哈希算法时,服务器在CertificateRequest消息进行扩展的认证字串字段为证书哈希扩展(certs_hash扩展),该certs_hash扩展的内容是服务器将存储的客户端的证书链按哈希算法进行处理得到的哈希值。
对CertificateRequest消息进行扩展的过程与实施例二中描述的基本相同。
经过上述处理,服务器向客户端发送CertificateRequest消息,其中携带客户端的证书链的哈希值。
步骤402、客户端向服务器发送Certificate消息,其中携带认证字串值。
客户端收到服务器发送的CertificateRequest消息后,查看certs_hash字段的哈希值是否是客户端设定的可以采用的证书链的哈希值。客户端一般可以设定可采用的多种证书链,并且对证书链按设定算法进行处理后得到认证字串值,例如得到哈希值。本发明实施例中以哈希值举例说明。
客户端如果确定CertificateRequest消息中certs_hash字段的哈希值是设定的可以采用的证书链的哈希值,则可以认为服务器已经存储有客户端的证书链。此时,客户端向服务器返回Certificate消息。
客户端向服务器返回的Certificate消息中不携带服务器的证书链,而是携带服务器的证书链的哈希值。Certificate消息中的certs_hash字段所包含的哈希值,与CertificateRequest消息中的certs_hash字段所包含的哈希值相同,表示可以使用该哈希值对应的证书链。此时Certificate消息没有携带客户端的证书链,就避免了传输的巨大开销。
之后,服务器与客户端的交互过程与现有过程基本相同。
需要说明的是,客户端如果确定CertificateRequest消息中certs_hash扩展的哈希值不是设定的可以采用的证书链的哈希值,则响应的Certificate消息与现有的握手过程一样,在Certificate消息中携带客户端的证书链,发送给服务器。服务器将客户端的Certificate消息中的证书链存储,待收到服务器发送的完成消息(finished消息)并且验证该消息正确后,替代之前存储的证书链,并在下一次与该客户端进行通信时使用,即在CertificateRequest消息携带的certs_hash扩展中携带该新存储的证书链的哈希值。
该实施例内容可以看出,本发明实施例由于服务器已经存储有客户端的证书链,在向客户端发送的CertificateRequest消息中携带认证字串值,该认证字串值是根据客户端的证书链生成,因此客户端接收CertificateRequest消息后可以认为服务器已经存储客户端的证书链,那么可以向服务器返回消息表示可以采用CertificateRequest消息中的认证字串值对应的证书链,该返回的消息可以是携带与CertificateRequest消息中的认证字串值相同的认证字串值的Certificate消息。这样,客户端就不再需要再向服务器发送客户端的证书链,因此就避免了因为传输客户端的证书链带来的巨大的传输开销,特别是对于低带宽、高延迟、高误码率的网络,可以带来很大好处。
另外,与前面实施例二的方案类似,上述过程也可以是:
服务器在向客户端发送的CertificateRequest消息中携带客户端的证书链的哈希值,客户端向服务器发送的Certificate消息中的内容为空,即其中不携带哈希值,也不携带证书链。通过空消息表示客户端可以采用CertificateRequest消息中的哈希值对应的证书链。服务器和客户端可以事先约定通过内容为空的Certificate消息表示可以采用CertificateRequest消息中的哈希值对应的证书链。
上述内容详细介绍了本发明实施例的消息传输方法,相应的,本发明实施例提供一种网络装置和网络系统。
图5是本发明实施例网络装置结构示意图。
如图5所示,网络装置包括:接收单元51、确定单元52、发送单元53。
接收单元51,用于接收第一消息,所述第一消息中携带根据证书链生成的认证字串值;
确定单元52,用于确定所述第一消息中的认证字串值是否为采用的证书链对应的认证字串值;
发送单元53,用于当所述确定单元52确定所述第一消息中的认证字串值为采用的证书链对应的认证字串值时,发送第二消息,所述第二消息表明采用所述第一消息中的认证字串值对应的证书链。
当所述网络装置为服务器时;所述接收单元51接收的第一消息包括客户端发现消息;所述发送单元53发送的第二消息包括服务器发现消息,所述服务器发现消息携带与所述客户端发现消息中的认证字串值相同的认证字串值;或者,携带认证字串值为空的认证字串扩展;发送单元53还可以发送第一证书消息,所述第一证书消息携带与所述客户端发现消息中的认证字串值相同的认证字串值;或者,所述第一证书消息中的内容为空。或者,
当所述网络装置为服务器时;所述接收单元51接收的第一消息包括客户端发现消息;所述发送单元53发送的第二消息包括第一证书消息,所述第一证书消息携带与所述客户端发现消息中的认证字串值相同的认证字串值;或者,所述第一证书消息中的内容为空。
当所述网络装置为客户端时;所述接收单元51接收的第一消息包括客户端证书请求消息;所述发送单元53发送的第二消息包括第二证书消息,所述第二证书消息携带与所述客户端证书请求消息中的认证字串值相同的认证字串值;或者,所述第二证书消息中的内容为空。
另外,当确定单元52确定所述第一消息中的认证字串值为非采用的证书链对应的认证字串值时,发送单元53可以发送第三消息,所述第三消息携带采用的证书链。
上述所说的认证字串值为证书链的哈希值。
图6是本发明实施例网络系统结构示意图。
如图6所示,网络系统包括:第一装置61、第二装置62。
第一装置61,用于发送第一消息,所述第一消息中携带根据证书链生成的认证字串值;
第二装置62,用于接收所述第一消息;当确定所述第一消息中的认证字串 值为采用的证书链对应的认证字串值时,发送第二消息,所述第二消息表明采用所述第一消息中的认证字串值对应的证书链。
第一装置61为客户端,第二装置62为服务器;或者,第一装置61为服务器,第二装置62为客户端。
第一装置61或第二装置62的具体结构,可以参见图5中的描述,此处不再赘述。
综上所述,本发明实施例由于接收的第一消息中携带根据证书链生成的认证字串值,因此接收端接收第一消息后如果确定所述第一消息中的认证字串值为采用的证书链对应的认证字串值,则可以认为发送端已经存储相应的证书链,那么可以向发送端返回第二消息表明采用所述第一消息中的认证字串值对应的证书链,就不再需要再向发送端发送证书链,因此就避免了因为传输证书链带来的巨大的传输开销。
进一步的,无论是针对服务器需要向客户端发送服务器的证书链,或者是客户端需要向服务器发送客户端的证书链的场景,都能适用。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁盘或光盘等。
以上对本发明实施例所提供的一种消息传输方法、网络装置及网络系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (13)
1.一种消息传输方法,其特征在于,包括:
接收发送端发送的第一消息,所述第一消息中携带根据证书链生成的认证字串值;
当确定所述第一消息中的认证字串值为采用的证书链对应的认证字串值时,向所述发送端发送第二消息,所述第二消息表明采用所述第一消息中的认证字串值对应的证书链,并且不再向所述发送端发送所述证书链。
2.根据权利要求1所述的消息传输方法,其特征在于:
所述接收的第一消息包括客户端发现消息;
所述发送的第二消息包括服务器发现消息,所述服务器发现消息携带与所述客户端发现消息中的认证字串值相同的认证字串值;或者,携带认证字串值为空的认证字串扩展。
3.根据权利要求2所述的消息传输方法,其特征在于:
所述发送服务器发现消息后还包括:发送第一证书消息,所述第一证书消息携带与所述客户端发现消息中的认证字串值相同的认证字串值;或者,所述第一证书消息中的内容为空。
4.根据权利要求1所述的消息传输方法,其特征在于:
所述接收的第一消息包括客户端发现消息;
所述发送的第二消息包括第一证书消息,所述第一证书消息携带与所述客户端发现消息中的认证字串值相同的认证字串值;或者,所述第一证书消息中的内容为空。
5.根据权利要求1所述的消息传输方法,其特征在于:
所述接收的第一消息包括客户端证书请求消息;
所述发送的第二消息包括第二证书消息,所述第二证书消息携带与所述客户端证书请求消息中的认证字串值相同的认证字串值;或者,所述第二证书消息中的内容为空。
6.根据权利要求1至5任一项所述的消息传输方法,其特征在于:
当确定所述第一消息中的认证字串值为非采用的证书链对应的认证字串值时,发送第三消息,所述第三消息携带采用的证书链。
7.根据权利要求1至5任一项所述的消息传输方法,其特征在于:
所述认证字串值为证书链的哈希值。
8.一种网络装置,其特征在于,包括:
接收单元,用于接收发送端发送的第一消息,所述第一消息中携带根据证书链生成的认证字串值;
确定单元,用于确定所述第一消息中的认证字串值是否为采用的证书链对应的认证字串值;
发送单元,用于当所述确定单元确定所述第一消息中的认证字串值为采用的证书链对应的认证字串值时,向所述发送端发送第二消息,所述第二消息表明采用所述第一消息中的认证字串值对应的证书链,并且不再向所述发送端发送所述证书链。
9.根据权利要求8所述的网络装置,其特征在于:
所述网络装置为服务器;
所述接收单元接收的第一消息包括客户端发现消息;
所述发送单元发送的第二消息包括服务器发现消息,所述服务器发现消息携带与所述客户端发现消息中的认证字串值相同的认证字串值;或者,携带认证字串值为空的认证字串扩展。
10.根据权利要求9所述的网络装置,其特征在于:
所述发送单元在发送服务器发现消息后,还发送第一证书消息,所述第一证书消息携带与所述客户端发现消息中的认证字串值相同的认证字串值;或者,所述第一证书消息中的内容为空。
11.根据权利要求8所述的网络装置,其特征在于:
所述网络装置为服务器;
所述接收单元接收的第一消息包括客户端发现消息;
所述发送单元发送的第二消息包括第一证书消息,所述第一证书消息携带与所述客户端发现消息中的认证字串值相同的认证字串值;或者,所述第一证书消息中的内容为空。
12.根据权利要求8所述的网络装置,其特征在于:
所述网络装置为客户端;
所述接收单元接收的第一消息包括客户端证书请求消息;
所述发送单元发送的第二消息包括第二证书消息,所述第二证书消息携带与所述客户端证书请求消息中的认证字串值相同的认证字串值;或者,所述第二证书消息中的内容为空。
13.一种网络系统,其特征在于,包括:
第一装置,用于发送第一消息,所述第一消息中携带根据证书链生成的认证字串值;
第二装置,用于接收所述第一消息;当确定所述第一消息中的认证字串值为采用的证书链对应的认证字串值时,向所述第一装置发送第二消息,所述第二消息表明采用所述第一消息中的认证字串值对应的证书链,并且不再向所述第一装置发送所述证书链。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101323485A CN101534262B (zh) | 2009-03-30 | 2009-03-30 | 消息传输方法、网络装置及网络系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101323485A CN101534262B (zh) | 2009-03-30 | 2009-03-30 | 消息传输方法、网络装置及网络系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101534262A CN101534262A (zh) | 2009-09-16 |
| CN101534262B true CN101534262B (zh) | 2011-04-20 |
Family
ID=41104656
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101323485A Expired - Fee Related CN101534262B (zh) | 2009-03-30 | 2009-03-30 | 消息传输方法、网络装置及网络系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101534262B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110858834B (zh) * | 2018-08-23 | 2022-02-08 | 中国电信股份有限公司 | 用户信息传输方法、装置、系统和计算机可读存储介质 |
| WO2020155022A1 (zh) * | 2019-01-31 | 2020-08-06 | 深圳市汇顶科技股份有限公司 | Tls证书认证方法、装置、设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1787525A (zh) * | 2005-11-15 | 2006-06-14 | 上海格尔软件股份有限公司 | 双证书在ssl协议中的应用方法 |
| CN101171782A (zh) * | 2005-04-20 | 2008-04-30 | 微软公司 | 对等认证和授权 |
| CN101453324A (zh) * | 2007-12-04 | 2009-06-10 | 华为技术有限公司 | 一种验证许可的方法和设备 |
-
2009
- 2009-03-30 CN CN2009101323485A patent/CN101534262B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101171782A (zh) * | 2005-04-20 | 2008-04-30 | 微软公司 | 对等认证和授权 |
| CN1787525A (zh) * | 2005-11-15 | 2006-06-14 | 上海格尔软件股份有限公司 | 双证书在ssl协议中的应用方法 |
| CN101453324A (zh) * | 2007-12-04 | 2009-06-10 | 华为技术有限公司 | 一种验证许可的方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101534262A (zh) | 2009-09-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101786132B1 (ko) | 저-지연 피어 세션 구축 | |
| JP6406681B2 (ja) | プレアソシエーションサービスディスカバリのためのシステムおよび方法 | |
| US11451614B2 (en) | Cloud authenticated offline file sharing | |
| US9154487B2 (en) | Registration server, gateway apparatus and method for providing a secret value to devices | |
| WO2019178942A1 (zh) | 一种进行ssl握手的方法和系统 | |
| US20230336993A1 (en) | Virtual private dial-up network access method, network-side system, system and storage medium | |
| CN110995414B (zh) | 基于国密算法在tls1_3协议中建立通道的方法 | |
| KR20210072321A (ko) | 블록체인에 기반하는 암호화 통신 시스템 및 암호화 통신 방법 | |
| WO2011076008A1 (zh) | 一种wapi终端与应用服务器传输文件的系统及方法 | |
| JP2003510902A (ja) | 広域ネットワークの同期化 | |
| US20120226909A1 (en) | Method of Configuring a Node, Related Node and Configuration Server | |
| CN111541776A (zh) | 一种基于物联网设备的安全通信装置及系统 | |
| WO2014127751A1 (zh) | 无线终端配置方法及装置和无线终端 | |
| US20180083777A1 (en) | Methods, systems, apparatuses, and devices for securing network communications using multiple security protocols | |
| CN110720197B (zh) | 用于在数据中心中执行架构部署的计算设备和方法 | |
| JP5494995B2 (ja) | ローカルドメイン名を取得するための方法、装置、およびシステム | |
| CN101534262B (zh) | 消息传输方法、网络装置及网络系统 | |
| JPH06318939A (ja) | 暗号通信システム | |
| US20210218581A1 (en) | Computing device and method for performing a secure neighbor discovery | |
| CN104247482A (zh) | 实现在wlan中的通信的方法和系统 | |
| EP1622333A1 (en) | Method and apparatus for minimally onerous and rapid authentification | |
| JP5664104B2 (ja) | 通信システム、並びに、通信装置及びプログラム | |
| CN112311817A (zh) | 一种基于多协议融合网络的多媒体数据存取方法 | |
| CN114007220B (zh) | 短期阶段会话密钥生成方法、认证密钥协商方法及系统 | |
| CN115348112B (zh) | 一种局域网交换设备接入认证与可信组网的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220907 Address after: No. 1899 Xiyuan Avenue, high tech Zone (West District), Chengdu, Sichuan 610041 Patentee after: Chengdu Huawei Technologies Co.,Ltd. Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110420 |