[发明专利]一种SSL网关自适应单双向认证的方法

权利要求书

1.一种SSL网关自适应单双向认证的方法，其特征在于：所述系统包含SSL服务器和SSL客户端，SSL服务器中维护一个客户端状态属性表；工作流程包含如下步骤：

S1、客户端发送ClientHello，发送的内容协议符合SSL标准规范；

S2、服务器发送ServerHello、Certificates、ServerKeyExchange、ClientCertificateRequest、ServerHelloDone，其中ClientCertificateRequest是固定要发送的；发送的内容协议符合SSL标准规范；

S3、客户端发送[ClientCertificate]、ClientKeyExchange、[ClientCertificateVerify]、ChangeCipherSpec、Finish，其中ClientCertificate和ClientCertificateVerify是客户端根据自身情况可选发送，默认非强制；发送的内容协议符合SSL标准规范；

S4、服务器端收到客户端发送的数据，如果未提供ClientCertificate和ClientCertificateVerify，则服务器读取客户端状态属性表，判断是否应断开本连接请求（如果状态属性表要求该客户端必须提供双向认证，则立即断开当前SSL连接请求）；如果数据中包含了该两项内容，则对证书和数字签名数据进行验证，验证成功后继续下一步流程，验证失败则立即断开；

S5、SSL隧道建立完毕后，客户端发送数据请求并获取应用数据

S6、服务器根据客户端的行为或更多属性进行判断，决定该客户端是否须升级到双向认证；

S7、如果需要升级到双向认证，服务器断开当前客户端SSL连接；

S8、根据情况更新客户端状态属性表；

基于上述步骤或机制，即可实现根据不同的SSL客户端的用户属性或行为，SSL服务器可要求指定SSL客户端必须切换认证模式，以满足SSL网关对这些客户端身份的更高安全认证需求，实现整个信息系统的安全性升级。

2.根据权利要求1所述的SSL网关自适应单双向认证的方法，其特征在于所述系统同时适用于国际标准SSLv3协议流程、国际标准TLSv1.1协议流程、国际标准TLSv1.2协议流程、中国国家密码管理局制定的国密SSLv1.1协议流程；权利要求1所述流程是基于国际标准TLSv1.2协议流程进行阐述的。

3.根据权利要求1所述的SSL网关自适应单双向认证的方法，其特征在于所述SSL服务器包还包含其他形态，包括：SSL代理系统、SSL负载均衡系统；所述步骤S6、S7、S8的执行主体可能是其他应用系统，且应用系统修改的客户端状态属性表须处在所述SSL网关中。