(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210602389.1 (22)申请日 2022.05.30 (71)申请人 支付宝 （杭州） 信息技 术有限公司 地址 310000 浙江省杭州市西湖区西溪路 556号8层B段801-1 1 (72)发明人 张成龙　杨洋　 (74)专利代理 机构 北京博思佳知识产权代理有 限公司 1 1415 专利代理师 李威 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) H04L 67/141(2022.01) H04L 69/04(2022.01) (54)发明名称 用于TLCP协议的握 手过程的身份验证方法 (57)摘要 本说明书一个或多个实施例提供一种用于 TLCP协议的握手过程的身份验证方法， 所述方法 包括： 客户端向服务端发送客户端H ello消息， 所 述客户端Hello消息包括证书压缩功能字段， 所 述证书压缩功能字段表征所述客户端支持证书 压缩功能； 所述服务端在接收到所述客户端 Hello消息的情况下， 向所述客户端发送服务端 证书消息， 所述服务端证书消息中包含经压缩的 服务端证书； 所述客户端响应于所述服务端证书 消息， 对该消息所含经压缩的服务端证书进行解 压， 并根据获得的解压后的服务端证书对所述服 务端进行身份验证 。 权利要求书3页 说明书12页 附图5页 CN 115021932 A 2022.09.06 CN 115021932 A 1.一种用于TLCP协议的握 手过程的身份验证方法， 包括： 客户端向服务端发送客户端Hello消息， 所述客户端Hello消息包括证书压缩功能字 段， 所述证书压缩功能字段表征 所述客户端支持证书压缩功能； 所述服务端在接收到所述客户端Hello消息的情况下， 向所述客户端发送服务端证书 消息， 所述 服务端证书消息中包 含经压缩的服 务端证书； 所述客户端响应于所述服务端证书消息， 对该消息所含经压缩的服务端证书进行解 压， 并根据获得的解压后的服 务端证书对所述 服务端进行身份验证。 2.如权利要求1所述的方法， 所述证书压缩功能字段的取值用于表明所述客户端支持 的压缩算法； 所述方法还 包括： 所述服务端从所述客户端支持的压缩算法中选取自身支持的目标压缩算法， 以用于生 成所述经压缩的服 务端证书； 所述服务端响应于所述客户端Hello消息， 向所述客户端发送服务端Hello消息， 所述 服务端Hello消息中包含证书压缩功能确认字段， 所述证书压缩功能确认字段的取值对应 于所述目标压缩算法； 其中， 所述解压后的服务端证书由所述客户端通过所述目标的压缩算法进行解压处理 而得到。 3.如权利要求2所述的方法， 所述方法还 包括： 所述客户端解析接收到的所述服务端Hello消息中的证书压缩功能确认字段， 并在所 述证书压缩功 能确认字段 的取值表明所述目标压缩算法不属于所述客户端支持的压缩算 法或者所述目标压缩算法的数量大于1的情况 下， 向所述 服务端发送报警消息 。 4.如权利要求1所述的方法， 所述证书压缩功能字段的取值用于表明所述客户端是否 支持证书压缩功能； 其中， 所述经压缩的服务端证书由所述服务端通过预设压缩算法进行 压缩处理而生成； 以及， 所述解压后的服务端证书由所述客户端通过所述预设压缩算法进 行解压处 理而得到 。 5.如权利要求1所述的方法， 还 包括： 所述服务端在自身或所述客户端不支持证书压缩功能的情况下， 向所述客户端发送携 带未压缩的服 务端证书的服 务端证书消息 。 6.如权利要求1 ‑4中任一项所述的方法， 还 包括： 所述服务端向所述 客户端发送证书请求消息； 所述客户端在接收到所述证书请求消息的情况下， 向所述服务端发送客户 端证书消 息， 所述客户端证书消息中包含经压缩的客户端证书， 并向所述服务端发送证书校验消息， 其中所述证书校验消息包括 客户端签名； 所述服务端响应于所述客户端证书消息， 对该消息所含经压缩的客户 端证书进行解 压， 并根据获得的解压后的客户端证书以及接收到的所述证书校验消息中包括的所述客户 端签名对所述 客户端进行身份验证。 7.如权利要求6所述的方法， 其中， 所述客户端证书由所述客户端通过预设压缩算法进 行压缩处 理而得到； 或者， 在所述客户端基于服务端Hello消息中证书压缩功能确认字段的取值确定出相应的目 标压缩算法的情况下， 所述客户端证书由所述客户端通过所述目标压缩算法进行压缩处理权　利　要　求　书 1/3 页 2 CN 115021932 A 2而得到。 8.一种握 手过程的身份验证方法， 应用于客户端， 所述方法包括： 向服务端发送客户端握手消息， 所述客户端握手消息包括证书压缩功能字段， 所述证 书压缩功能字段表征 所述客户端支持证书压缩功能； 接收所述服务端发送的服务端证书消息， 其中， 所述服务端证书消息中包含经压缩的 服务端证书； 响应于所述服务端证书消息， 对该消息所含经压缩的服务端证书进行解压， 并根据获 得的解压后的服 务端证书对所述 服务端进行身份验证。 9.如权利要求8所述的方法， 所述证书压缩功能字段的取值用于表明所述客户端支持 的压缩算法， 所述方法还 包括： 接收所述服务端响应于所述客户端握手消息向所述客户端发送的服务端握手消息， 所 述服务端握手消息中包含证书压缩功能确认字段， 所述证书压缩功能确认字段的取值对应 于目标压缩算法， 所述目标压缩算法为所述服务端从所述客户端支持的压缩算法中选取自 身支持的用于生成所述经压缩的服 务端证书的目标压缩算法； 其中， 所述解压后的服务端证书由所述客户端通过所述目标压缩算法进行解压处理而 得到。 10.如权利要求9所述的方法， 还 包括： 解析接收到的所述服务端握手消息中的证书压缩功能确 认字段， 并在所述证书压缩功 能确认字段 的取值表明所述目标压缩算法不属于所述客户端支持的压缩算法或者所述目 标压缩算法的数量大于1的情况 下， 向所述 服务端发送报警消息 。 11.如权利要求8所述的方法， 所述证书压缩功能字段的取值用于表明所述客户端是否 支持证书压缩功能； 其中， 所述经压缩的服务端证书由所述服务端通过预设压缩算法进行 压缩处理而生成； 以及， 所述解压后的服务端证书由所述客户端通过所述预设压缩算法进 行解压处 理而得到 。 12.如权利要求8所述的方法， 还 包括： 所述客户端在自身或所述服务端不支持证书压缩功能的情况下， 接收所述服务端发送 的携带未压缩的服 务端证书的服 务端证书消息 。 13.如权利要求8 ‑11中任一项所述的方法， 还 包括： 在接收到所述证书请求消息的情况下， 向所述服务端发送客户端证书消息， 所述客户 端证书消息中包含经压缩的客户端证书， 并向所述服务端发送证书校验消息， 其中所述证 书校验消息包括 客户端签名。 14.如权利要求13所述的方法， 其中， 所述客户端证书由所述客户端通过预设压缩算法 进行压缩处 理而得到； 或者， 在所述客户端基于服务端握手消息中证书压缩功能确认字段的取值确定出相应的目 标压缩算法的情况下， 所述客户端证书由所述客户端通过所述目标压缩算法进行压缩处理 而得到。 15.一种握 手过程的身份验证方法， 应用于服 务端， 所述方法包括： 接收客户端发送 的客户端握手消息， 所述客户端握手消息包括证书压缩功能字段， 所 述证书压缩功能字段表征 所述客户端支持证书压缩功能；权　利　要　求　书 2/3 页 3 CN 115021932 A 3