自定义系统中的基于HTTP的认证/加密协议

我们有一个自定义程序，需要在客户端和服务器之间进行认证和加密的通信（这两个都是用Python写的）。

我们正在从自定义的Diffie-Hellman+AES方案转向一种非传统的RSA+AES方案。所以我很想听听大家对我这个想法的看法。

前提条件：客户端有一个128位的注册密钥，这个密钥在认证过程中必须保密——这个密钥也是服务器和客户端之间唯一共享的秘密。

1. 客户端通过不安全的通道联系服务器，请求服务器的RSA公钥。
2. 然后客户端向服务器发送请求：
   [接下来是伪代码]

       RegistrationKey = "1dbe665ac7a944beb67f106f779e890b"
       clientname = "foobar"
       randomkey = random(bits=128)
       rsa_cp = RSA(key=pubkey, data=randomkey+clientname)
       aes_cp = AES(key=RegistrationKey, data=RegistrationKey+rsa_cp)
       send(aes_cp)

       # Server decrypts the data and sees if it has a valid RegistrationKey, if it does...
       clientuuid = random(bits=128)
       sharedkey = random(bits=128)
       rsa_cp = RSA(key=privkey, data=clientuuid+sharedkey)
       aes_cp = AES(key=randomkey[got from client], data= rsa_cp)
       send(aes_cp)

我真的很想听听你们对这个方法有什么要添加或删除的意见，如果你知道更好的方式来进行这种交换，也请告诉我。
附注！我们目前使用的是Diffie-Hellman（我自己写的库，可能有缺陷），我们也尝试过TLSv1.2和预共享密钥（因为某种原因没有成功），而且我们被限制在http协议上，因为我们需要在django中实现这个功能。由于我们使用http，我们尽量减少请求和响应的次数（没有会话是最好的）——一次请求是最理想的 :)

如果你对具体细节有任何问题，请问我。

所以，亲爱的加密/安全专家们，请给我一些帮助吧 :)