专利名称:消息传输方法、网络装置及网络系统的制作方法
技术领域:
本发明涉及互联网技术领域,具体涉及一种消息传输方法、网络装置及网 络系统。
背景技术:
安全套接层(SSL, Secure Sockets Layer )协议及传输层安全(TLS, Transport Layer Security)协议是互联网提供安全保密的一种通讯协议,为数据传输例如 电子邮件传输、网上传真等提供安全保密服务。本文以TLS协议举例说明。 TLS协议利用密钥算法在互联网上提供端点间的身份认证与通讯保密等服务, 其应用&出 一般是公钥基础设施(PKI , Public Key Infrastructrue )。
TLS协议的握手过程中,客户端第一次连接服务器时,将向服务器发送客 户端发现消息(ClientHello消息),服务器接收到ClientHello消息后向客户端 返回服务器发现消息(ServerHello消息),并向客户端发送证书消息(Certificate 消息),Certificate消息中携带服务器的证书链。所说的证书链, 一般包括一系 列由CA签发的证书序列,最终以根证书结束。如果后续服务器要求客户端发 送客户端证书,则客户端会向服务器发送Certificate消息,其中携带客户端的 证书链。
在对此方法的研究和实践过程中,本发明的发明人发现现有技术中,不 论客户端是否是第一次与服务器通信,每次客户端与服务器端进行TLS握手 时,服务器都要向客户端发送完整的服务器证书链因此,现有技术方法进行 TLS握手时的消息传输方法存在传输开销大的问题。
发明内容
本发明实施例提供能够减小传输开销的一种消息传输方法、网络装置及网 络系统。
一种消息传输方法,包括
接收第一消息,所述第一消息中携带根据证书链生成的认证字串值;
5当确定所述第 一消息中的认证字串值为采用的证书链对应的认证字串值 时,发送第二消息,所述第二消息表明采用所述第一消息中的认证字串值对应
的i正书链。
一种网络装置,包括
接收单元,用于接收第一消息,所述第一消息中携带根据证书链生成的认 证字串值;
确定单元,用于确定所述第一消息中的认证字串值是否为釆用的证书链对 应的iU正字串值;
发送单元,用于当所述确定单元确定所述第一消息中的i人证字串值为采用 的证书链对应的认证字串值时,发送第二消息,所述第二消息表明采用所述第 一消息中的认证字串值对应的证书链。
一种网络系统,包括
第一装置,用于发送第一消息,所述第一消息中携带根据证书链生成的认 证字串值;
第二装置,用于接收所述第一消息;当确定所述第一消息中的认证字串值 为采用的证书链对应的认证字串值时,发送第二消息,所述第二消息表明釆用 所述第 一消息中的认证字串值对应的证书链。
上述内容可以看出,本发明实施例由于接收的第 一消息中携带根据证书链 生成的认证字串值,因此接收端接收第一消息后如果确定所述第一消息中的认 证字串值为采用的证书链对应的认证字串值,则可以认为发送端已经存储相应 的证书链,那么可以向发送端返回第二消息表明采用所述第一消息中的认证字 串值对应的证书链,就不再需要再向发送端发送证书链,因此就避免了因为传 输证书链带来的巨大的传输开销。
图l是本发明实施例一消息传输方法流程图; 图2是本发明实施例二消息传输方法流程图; 图3是本发明实施例三消息传输方法流程图; 图4是本发明实施例四消息传输方法流程图;图5是本发明实施例网络装置结构示意图; 图6是本发明实施例网络系统结构示意图。
具体实施例方式
本发明实施例提供一种提供能够减小传输开销的消息传输方法。本发明实 施例还提供相应的网络装置及网络系统。以下分别进行详细说明。 图l是本发明实施例一消息传输方法流程图,主要包括步骤 步骤IOI、接收第一消息,所述第一消息中携带根据证书链生成的认证字
串值;
步骤102、当确定所述第一消息中的认证字串值为釆用的证书链对应的认 证字串值时,发送第二消息,所述第二消息表明采用所述第一消息中的认证字 串值对应的证书链。
其中,所述接收的第一消息包括客户端发现消息;所述发送的第二消息包 括服务器发现消息,所述服务器发现消息携带与所述客户端发现消息中的认证 字串值相同的认证字串值;或者,携带认证字串值为空的认证字串扩展。认证 字串值为空的认证字串扩展为事先约定表示可釆用客户端发现消息中的认证 字串值对应的证书链。进一步的,还可以发送第一证书消息,所述第一证书消 息携带与所述客户端发现消息中的认证字串值相同的认i正字串值;或者,所述 第一证书消息中的内容为空。第一证书消息中的内容为空为事先约定表示可釆 用客户端发现消息中的认证字串值对应的证书链。
或者,所述接收的第一消息包括客户端发现消息;所述发送的第二消息包 括第一证书消息,所述第一证书消息携带与所ii^户端发现消息中的认证字串 值相同的认证字串值;或者,所述第一证书消息中的内容为空。第一证书消息 中的内容为空为事先约定表示可釆用客户端发现消息中的认证字串值对应的 证书链。
或者,所述接收的第一消息包括客户端证书请求消息;所述发送的第二消 息包括第二证书消息,所述第二证书消息携带与所述客户端证书请求消息中的 认证字串值相同的认证字串值;或者,所述第二证书消息中的内容为空。第二 证书消息中的内容为空为事先约定表示可采用客户端发现消息中的认证字串值对应的证书链。
该实施例内容可以看出,本发明实施例由于接收的第 一消息中携带根据证 书链生成的认证字串值,因此接收端接收第一消息后如果确定所述第一消息中 的认证字串值为釆用的证书链对应的认证字串值,则可以认为发送端已经存储 相应的证书链,那么可以向发送端返回第二消息表明采用所述第 一消息中的认 证字串值对应的证书链,就不再需要再向发送端发送证书链,因此就避免了因 为传输证书链带来的巨大的传输开销。
以下对本发明实施例技术方案进行更详细介绍。
图2是本发明实施例二消息传输方法流程图,主要包括步骤
步骤201 、客户端发送客户端发现消息(ClientHello消息),所述ClientHello 消息中携带认证字串值;
该步骤中,客户端存储有将要进行通信的服务器的证书链,该证书链可以 是上一次与服务器进行交互时所存储的由服务器发送的证书链,或者是通过其 他途径获取的服务器的证书链。
客户端将ClientHello消息进行扩展,在该消息中设置认证字串扩展,认证 字串扩展中的内容称为认证字串值。如果认证字串扩展中的内容为空,则不含 有认证字串值。认证字串值是对证书链按设定算法进行处理后得到的字串值, 可以反映证书链的特征。认证字串值的字节数相对证书链的字节数来说较小。
本发明实施例中是以对证书链按哈希算法进行处理得到哈希值举例说明 但不局限于此,也可以按其他算法(例如循环冗余校验(CRC, Cyclic Redundancy Check)算法)进行处理得到反映证书链特征的认证字串值。其中, 哈希算法可以是第一代安全散列算法(SHA-1, Secure Hash Algorithm 1)、 SHA-2 、 SHA-512或信息-摘要算法(MD5, Message-digest Algorithm 5 )等哈 希算法中的任意一种,但通信双方使用的哈希算法要一致。
采用哈希算法时,客户端在ClientHello消息进行扩展的认证字串扩展为证 书哈希扩展(certs—hash扩展),该certs—hash扩展的内容是客户端将存储的服务 器的证书链按哈希算法进行处理得到的哈希值。
以下对设置认证字串扩展进行举例说明但不局限于此,也可以釆用其他方式进行扩展。 一般对消息的字段进行扩展(extensions)的定义格式可以如下 struct {
ExtensionType extension—type; opaque extension_data<0..2A16-1 >; } Extension;
其中,"extension—data"表示该扩展的值,本发明实施中的"extension—data" 为certs—hash扩展的值,即p合希值也可称为CertsHash。 certs hash扩展可以如下表示 6num {
certsJiash(TBD), (65535) } ExtensionType; 证书链的哈希值CertsHash,格式可以如下表示 struct {
opaque certificates—hash <1..2A8-1〉; } CertsHash;
经过上述处理,客户端向服务器发送ClientHello消息,其中携带服务器的 证书链的哈希值。
步骤202、服务器向客户端发送服务器发现消息(ServerHello消息),其中 携带认证字串值;
服务器收到客户端发送的ClientHello消息后,查看certs一hash字段的哈希值 是否是服务器设定的可以采用的证书链的哈希值。服务器一般可以设定可采用 的多种证书链,并且对证书链按设定算法进行处理后得到认证字串值,例如得 到哈希值。本发明实施例中以哈希值举例说明。
月良务器如果确定ClientHello消息中certs—hash字段的哈希值是设定的可以 采用的证书链的哈希值,则可以认为客户端已经存储有服务器的证书链。此时, 服务器向客户端返回ServerHello消息。
服务器将ServerHello进行扩展,在该消息中设置认证字串扩展。采用哈希 算法时,认证字串扩展具体为证书哈希扩展(certs hash扩展)。服务器向客户端返回的ServerHello消息中的certs—hash扩展所包含的哈希 值,与ClientHello消息中的certs—hash字段所包含的哈希值相同,表示可以使用 该。合希值对应的证书《连。
步骤203、服务器向客户端发送证书消息(Certificate消息),其中不携带 认证字串值,即发送内容为空的证书消息。
该步骤中,服务器向客户端发送Certificate消息,该Certificate消息为空消 息,其中的内容为空(其中不携带服务器的证书链,也不携带哈希值),通过 空消息表示服务器可以采用ClientHello消息中的哈希值对应的证书链。服务器 和客户端可以事先约定通过内容为空的Certificate消息表示可以采用 ClientHello消息中的哈希值对应的证书链。因此,此时Certificate消息不携带服 务器的证书链,就避免了传输的巨大开销。之后,服务器与客户端的交互过程 与现有过程基本相同,例如服务器将向客户端发送服务器密钥交换消息 (ServerKeyExchange消息),其中携带用于协商预主密钥(pre—maseter—secret) 所需的一些密钥参数;向客户端发送服务器发现完成消息(ServerHelloDone 消息),用于告知客户端ServerHello消息及相关消息已经发送完毕。
需要说明的是,服务器如果确定ClientHello消息中certs一hash字段的哈希值 不是设定的可以采用的证书链的哈希值,则响应的ServerHello消息中不携带 certs—hash字段,即与现有的握手过程一样。之后在Certificate消息中携带服务 器的证书链,发送给客户端。客户端将服务器的Certificate消息中的证书链存 储,待收到服务器发送的完成消息(finished消息)并且—睑证该消息正确后, 替代之前存储的证书链,并在下一次与该服务器进行通信时使用,即在 ClientHello消息携带的certs—hash扩展中携带该新存储的证书链的哈希值。
该实施例内容可以看出,本发明实施例由于客户端已经存储有服务器的证 书链,在向服务器发送的ClientHello消息中携带认证字串值,该认证字串值是 根据服务器的证书链生成,因此服务器接收ClientHello消息后可以认为客户端 已经存储服务器的证书链,那么可以向客户端返回消息表示可以釆用 ClientHello消息中的认证字串值对应的证书链,该返回的消息可以是携带与 ClientHello消息中的认证字串值相同的认证字串值的ServerHello消息,也可以
10是内容为空的Certificate消息。并且,可以釆用携带与ClientHello消息中的认证 字串值相同的认证字串值的ServerHello消息和内容为空的Certificate消息中的 其中一个消息告知客户端,也可以同时采用该两个消息告知客户端,进一步确 保客户端可以获知该信息。这样,服务器就不再需要再向客户端发送服务器的 证书链,因此就避免了因为传输服务器的证书链带来的巨大的传输开销,特别 是对于低带宽、高延迟、高误码率的网络,可以带来很大好处。
需要说明的是,在步骤203中,也可以是服务器向客户端发送携带认证字 串值的Certificate消息。即该步骤可以是服务器向客户端发送Certificate消息, 该Certificate消息不携带服务器的证书链,而是携带服务器的证书链的哈希值, 该哈希值与ClientHello消息中的certs—hash扩展所包含的哈希值相同,表示服务 器可采用哈希值对应的证书链。此时Certificate消息没有携带服务器的证书链, 就避免了传输的巨大开销。
还需要说明的是,也可以不需要步骤203,即服务器不再向客户端发送 Certificate消息。
图3是本发明实施例三消息传输方法流程图。实施例三与实施例二的主要 区别是服务器发送的ServerHello消息中的certs—hash字段的内容为空,即其中不 携带哈希值,另外服务器发送的Certificate消息携带哈希值。
如图3所示,主要包括步骤
步骤301 、客户端发送ClientHello消息,所述ClientHello消息中携带认证字
串值;
该步骤的内容与实施例二相同,具体请参见实施例二中的描述。
经过上述处理,客户端向服务器发送ClientHello消息,其中携带服务器的 证书链的哈希值。
步骤302、服务器向客户端发送ServerHello消息,其中不携带认证字串值; 该步骤的内容与实施例二不相同。
服务器如果确定ClientHello消息中certs—hash扩展的哈希值是设定的可以 采用的证书链的哈希值,则可以认为客户端已经存储有服务器的证书链。此时, 服务器向客户端返回ServerHello消息。进行扩展,在该消息中设置认证字串扩展。釆用哈 希算法时,认证字串扩展具体为证书哈希扩展扩展(certsjiash扩展)。
与实施例二不同的是,服务器向客户端返回ServerHello消息,但其中的 certs—hash扩展的内容为空,即其中不携带哈希值。通过ServerHello消息的 certs—hash扩展的内容为空表示服务器可以采用ClientHello消息中的哈希值对 应的证书链。服务器和客户端可以事先约定通过certs一hash扩展的内容为空 ServerHello消息表示可以釆用ClientHello消息中的"合希值对应的证书链。
步骤303、服务器向客户端发送Certificate消息,其中携带认证字串值。
该步骤的内容与实施例二不相同。
该步骤中,服务器向客户端发送Certificate消息,该Certificate消息不携带 服务器的证书链,而是携带服务器的证书链的哈希值Certificate消息中包含的 哈希值与ClientHello消息中的certsjiash扩展所包含的哈希值相同,表示服务器 可采用哈希值对应的证书链。此时Certificate消息没有携带服务器的证书链, 就避免了传输的巨大开销。
该实施例技术方案的效果与实施例二基本相同,主要区别是在服务器发送 的ServerHello消息中的certs—hash扩展的内容为空,服务器发送的Certificate消 息中携带哈希值。
上述描述的可以针对握手过程中的第一和第二阶段的过程,对于第三和第 四阶段的过程,也可以采用上述方法,避免客户端需要通过Certificate消息向 服务器发送客户端的证书链所带来的巨大的传输开销。
图4是本发明实施例四消息传输方法流程图,主要包括步骤
步骤401、服务器发送客户端证书请求消息(CertificateRequest消息),所 述CertificateRequest消息中携带认证字串值;
该步骤中,服务器存储有将要进行通信的客户端的证书链,该证书链可以 是上一次与客户端进行交互时所存储的由客户端发送的证书链,或者是通过其 他途径获取的客户端的证书链。
CertificateRequest消息用于向客户端请求发送客户端的证书链。该步骤中, 服务器将CertificateR叫uest消息进行扩展,在该消息中设置认证字串扩展,认证字串扩展中的内容称为认证字串值。如果认证字串扩展中的内容为空,则不 含有认证字串值。认证字串值是对证书链按设定算法进行处理后得到的字串 值,可以反映证书链的特征。认证字串值的字节数相对证书链的字节数较小。 本发明实施例中是以对证书链按哈希算法进行处理得到哈希值举例说明
但不局限于此,也可以按其他算法(例如循环冗余校验算法CRC)进行处理得 到反映证书链特征的认证字串值。其中,哈希算法可以是SHA-1、 SHA-2、 SHA-512或MD5等哈希算法中的任意一种,但通信双方使用的哈希算法要一 致。
采用哈希算法时,服务器在CertificateR叫uest消息进行扩展的认证字串字 段为证书哈希扩展(certs—hash扩展),该certsjiash扩展的内容是服务器将存储 的客户端的证书链按哈希算法进行处理得到的哈希值。
对CertificateR叫uest消息进行扩展的过程与实施例二中描述的基^f目同。
经过上述处理,服务器向客户端发送CertificateRequest消息,其中携带客 户端的证书链的p合希值。
步骤402、客户端向服务器发送Certificate消息,其中携带认证字串值。
客户端收到服务器发送的CertificateR叫uest消息后,查看certs—hash字段的 哈希值是否是客户端设定的可以采用的证书链的哈希值。客户端一般可以设定 可采用的多种证书链,并且对证书链按设定算法进行处理后得到认证字串值, 例如得到哈希值。本发明实施例中以哈希值举例说明。
客户端如果确定CertificateRequest消息中certsjiash字段的哈希值是设定 的可以采用的证书链的哈希值,则可以认为服务器已经存储有客户端的证书 链。此时,客户端向服务器返回Certificate消息。
客户端向服务器返回的Certificate消息中不携带服务器的证书链,而是携 带服务器的证书链的哈希值。Certificate消息中的certs—hash字段所包含的哈希 值,与CertificateR叫uest消息中的certs—hash字段所包含的哈希值相同,表示可 以使用该哈希值对应的证书链。此时Certificate消息没有携带客户端的证书链, 就避免了传输的巨大开销。
之后,服务器与客户端的交互过程与现有过程基本相同。需要说明的是,客户端如果确定CertificateRequest消息中certsjiash扩展的 哈希值不是设定的可以采用的证书链的哈希值,则响应的Certificate消息与现 有的握手过程一样,在Certificate消息中携带客户端的证书链,发送给服务器。 服务器将客户端的Certificate消息中的证书链存储,待收到服务器发送的完成 消息(finished消息)并且验证该消息正确后,替代之前存储的证书链,并在 下 一 次与该客户端进行通信时{吏用,即在CertificateRequest消息携带的 certs—hash扩展中携带该新存储的证书链的哈希值。
该实施例内容可以看出,本发明实施例由于服务器已经存储有客户端的证 书链,在向客户端发送的CertificateR叫uest消息中携带认证字串值,该认证字 串值是根据客户端的证书链生成,因此客户端接收CertificateRequest消息后可 以认为服务器已经存储客户端的证书链,那么可以向服务器返回消息表示可以 采用CertificateR叫uest消息中的认i正字串值对应的证书链,该返回的消息可以 是携带与CertificateR叫uest消息中的认证字串值相同的认证字串值的 Certificate消息。这样,客户端就不再需要再向服务器发送客户端的证书链, 因此就避免了因为传输客户端的证书链带来的巨大的传输开销,特别是对于低 带宽、高延迟、高误码率的网络,可以带来^f艮大好处。
另外,与前面实施例二的方案类似,上述过程也可以是
服务器在向客户端发送的CertificateR叫uest消息中携带客户端的证书链 的哈希值,客户端向服务器发送的Certificate消息中的内容为空,即其中不携 带哈希值,也不携带证书链。通过空消息表示客户端可以釆用CertificateRequest 消息中的哈希值对应的证书链。服务器和客户端可以事先约定通过内容为空的 Certificate消息表示可以采用CertificateRequest消息中的"合希值对应的证书链。
上述内容详细介绍了本发明实施例的消息传输方法,相应的,本发明实施 例提供一种网络装置和网络系统。
图5是本发明实施例网络装置结构示意图。
如图5所示,网络装置包括*接收单元51、确定单元52、发送单元53。 接收单元51,用于接收第一消息,所述第一消息中携带才艮据证书链生成的 认证字串值;确定单元52,用于确定所述第一消息中的认证字串值是否为釆用的证书链 对应的认证字串值;
发送单元53,用于当所述确定单元52确定所述第一消息中的认证字串值为 采用的证书链对应的认证字串值时,发送第二消息,所述第二消息表明采用所 述第一消息中的认证字串值对应的证书链。
当所述网络装置为服务器时;所述接收单元5 l接收的第 一消息包括客户端 发现消息;所述发送单元53发送的第二消息包括服务器发现消息,所述服务器 发现消息携带与所述客户端发现消息中的认证字串值相同的认证字串值;或 者,携带认证字串值为空的认证字串扩展;发送单元53还可以发送第一证书消 息,所述第一证书消息携带与所述客户端发现消息中的认证字串值相同的认证 字串值;或者,所述第一证书消息中的内容为空。或者,
当所述网络装置为服务器时;所述接收单元51接收的第一消息包括客户端 发现消息;所述发送单元53发送的第二消息包括第一证书消息,所述第一证书
述第 一证书消息中的内容为空。
当所述网络装置为客户端时;所述接收单元5l接收的第一消息包括客户端 证书请求消息;所述发送单元53发送的第二消息包括第二i正书消息,所述第二 证书消息携带与所述客户端证书请求消息中的认证字串值相同的认证字串值; 或者,所述第二证书消息中的内容为空。
另夕卜,当确定单元52确定所述第一消息中的认证字串值为非采用的证书链 对应的认证字串值时,发送单元53可以发送第三消息,所述第三消息携带采用 的i正书链。
上述所说的认证字串值为证书链的哈希值。 图6是本发明实施例网络系统结构示意图。 如图6所示,网络系统包括第一装置61、第二装置62。 第一装置61,用于发送第一消息,所述第一消息中携带根据证书链生成的 iU正字串值;
第二装置62,用于接收所述第一消息;当确定所述第一消息中的认证字串值为采用的证书链对应的认证字串值时,发送第二消息,所述第二消息表明采 用所述第 一消息中的认证字串值对应的证书链。第一装置61为客户端,第二装置62为服务器;或者,第一装置61为服务器, 第二装置62为客户端。第一装置61或第二装置62的具体结构,可以参见图5中的描述,此处不 再赘述。综上所述,本发明实施例由于接收的第一消息中携带根据证书链生成的认 证字串值,因此接收端接收第一消息后如果确定所述第一消息中的认证字串值 为釆用的证书链对应的认证字串值,则可以认为发送端已经存储相应的证书 链,那么可以向发送端返回第二消息表明采用所述第一消息中的认证字串值对 应的证书链,就不再需要再向发送端发送证书链,因此就避免了因为传输证书 链带来的巨大的传输开销。进一步的,无论是针对服务器需要向客户端发送服务器的证书链,或者是 客户端需要向服务器发送客户端的证书链的场景,都能适用。本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步 骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读 存储介质中,存储介质可以包括只读存储器(ROM, Read Only Memory )、 随才几存^^"储器(RAM, Random Access Memory )、》兹盘或光盘等。以上对本发明实施例所提供的一种消息传输方法、网络装置及网络系统进对于本领域的一般技术人员,依据本发明的思想,在具体实施方式
及应用范围 上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
权利要求
1、一种消息传输方法,其特征在于,包括接收第一消息,所述第一消息中携带根据证书链生成的认证字串值;当确定所述第一消息中的认证字串值为采用的证书链对应的认证字串值时,发送第二消息,所述第二消息表明采用所述第一消息中的认证字串值对应的证书链。
2、 根据权利要求l所述的消息传输方法,其特征在于 所述接收的第 一 消息包括客户端发现消息;所述发送的第二消息包括服务器发现消息,所述服务器发现消息携带与所 述客户端发现消息中的认证字串值相同的认证字串值;或者,携带认证字串值 为空的i人证字串扩展。
3、 根据权利要求2所述的消息传输方法,其特征在于 所述发送服务器发现消息后还包括发送第一证书消息,所述第一证书消息携带与所述客户端发现消息中的认证字串值相同的认证字串值;或者,所述 第一证书消息中的内容为空。
4、 根据权利要求l所述的消息传输方法,其特征在于 所述接收的第 一消息包括客户端发现消息;所述发送的第二消息包括第一证书消息,所述第 一证书消息携带与所M 户端发现消息中的认证字串值相同的认证字串值;或者,所述第一证书消息中 的内容为空。
5、 根据权利要求l所述的消息传输方法,其特征在于 所述接收的第 一消息包括客户端证书请求消息;所述发送的第二消息包括第二证书消息,所述第二证书消息携带与所述客 户端证书请求消息中的认证字串值相同的认"i正字串值;或者,所述第二"i正书消 息中的内容为空。
6、 根据权利要求1至5任一项所述的消息传输方法,其特征在于当确定所述第 一消息中的认证字串值为非采用的证书链对应的认证字串 值时,发送第三消息,所述第三消息携带采用的证书链。
7、 根据权利要求1至5任一项所述的消息传输方法,其特征在于所述认证字串值为证书链的哈希值。
8、 一种网络装置,其特征在于,包括接收单元,用于接收第一消息,所述第一消息中携带才艮据证书链生成的认确定单元,用于确定所述第一消息中的认证字串值是否为采用的证书链对 应的认证字串值;发送单元,用于当所述确定单元确定所述第 一 消息中的认证字串值为采用 的证书链对应的认证字串值时,发送第二消息,所述第二消息表明釆用所述第 一消息中的认证字串值对应的证书链。
9、 根据权利要求8所述的网络装置,其特征在于 所述网络装置为服务器;所述接收单元接收的第 一 消息包括客户端发现消息; 所述发送单元发送的第二消息包括服务器发现消息,所述服务器发现消息证字串值为空的认证字串扩展。
10、 根据权利要求9所述的网络装置,其特征在于所述发送单元在发送服务器发现消息后,还发送第一证书消息,所述第一 证书消息携带与所述客户端发现消息中的认证字串值相同的认证字串值;或 者,所述第一证书消息中的内容为空。
11、 根据权利要求8所述的网络装置,其特征在于 所述网络装置为服务器;所述接收单元接收的第 一 消息包括客户端发现消息;所述发送单元发送的第二消息包括第 一证书消息,所述第 一证书消息携带 与所述客户端发现消息中的认证字串值相同的认证字串值;或者,所述第一证 书消息中的内容为空。
12、 根据权利要求8所述的网络装置,其特征在于 所述网络装置为客户端;所述接收单元接收的第 一消息包括客户端证书请求消息;所述发送单元发送的第二消息包括第二证书消息,所述第二证书消息携带与所述客户端证书请求消息中的认证字串值相同的iU正字串值;或者,所述第 二证书消息中的内容为空。
13、 一种网络系统,其特征在于,包括第一装置,用于发送第一消息,所述第一消息中携带根据证书链生成的认 i正字串值;第二装置,用于接收所述第一消息;当确定所述第一消息中的认证字串值 为采用的证书链对应的认证字串值时,发送第二消息,所述第二消息表明采用 所述第 一消息中的认证字串值对应的证书链。
全文摘要
本发明实施例公开一种消息传输方法、网络装置及网络系统。该消息传输方法包括接收第一消息,所述第一消息中携带根据证书链生成的认证字串值;当确定所述第一消息中的认证字串值为采用的证书链对应的认证字串值时,发送第二消息,所述第二消息表明采用所述第一消息中的认证字串值对应的证书链。相应的,本发明实施例还提供一种网络装置及网络系统。本发明实施例提供的技术方案能够减小传输开销。
文档编号H04L9/32GK101534262SQ200910132348
公开日2009年9月16日 申请日期2009年3月30日 优先权日2009年3月30日
发明者敏 黄 申请人:成都市华为赛门铁克科技有限公司