[发明专利]一种网络安全的HTTP协商的方法及其相关装置

说明书

技术领域

本发明涉及通信安全技术领域，尤其涉及一种网络安全的HTTP协商的方法及其相关装置。

背景技术

由于分组网络刚开始出现时主要是用于共享资源，没有太多考虑到安全问题，随着互联网的不断普及，安全问题越来越受到重视。从接入层到应用层，每一层都有对应的安全机制对相应的数据流量进行保护。

对于无线局域网，安全机制主要表现为接入时的认证鉴权，先后出现了以下安全机制：WEP(Wired Equivalent Privacy，有线等效保密协议)、WPA(Wi-FiProtected Access，Wi-Fi网络安全存取协议)、WPA-2、802.1x和国家标准的WAPI(WLAN Authentication and Privacy Infrastructure，无线局域网鉴别与保密基础结构)。其中，有些机制采用了对称加密算法，例如WEP和WPA-TKIP(TemporalKey Integrity Protocol，暂时密钥集成协议)采用了RC4加密算法，由于算法的本身问题导致这两种安全方式很容易受到攻击。在制订无线局域网国家标准的过程中，采用WAPI来替代WEP，用公钥基础设施实现对终端、接入点的相互认证，极大增强了无线局域网的安全性。

网络层安全由一系列安全协议组成，通过IKE(Internet key exchange，密钥交换协议)进行身份认证和密钥协商，根据安全策略数据库建立端到端的安全关联，实现IP(Internet Protocol，网络之间互连的协议)层上的数据保密传输。随着标准的不断完善，出现了带有各种扩展的IPsec(IP_SECURITY，IP安全)方案。

TLS/SSL(Transport Layer Security Protocol/Secure Socket Layer，安全传输层协议/安全接入层协议)用于提供TCP(Transmission Control Protocol，传输控制协议)通信的安全和数据完整性的加密协议。广泛应用于网页浏览、电子邮件、即时消息和IP语音通话。通过扩展也可以用于保护UDP(User DatagramProtocol，用户数据报协议)流量。

然而，由于上述安全机制适用于不同情景，如果没有合适协商机制的话，会造成多种安全机制部署困难，例如终端没有办法了解其相应服务器可以采用的安全机制或者同时运用多种安全机制造成网络服务质量的下降。

发明内容

本发明提供一种网络安全的HTTP协商方法及其相关装置，用以解决现有技术中存在的由于安全机制适用于不同情景，造成多种安全机制部署困难的问题。

为达到上述目的，本发明提供一种网络安全的HTTP协商方法，包括以下步骤：

A、服务器接收终端发送的带有头部字段的HTTP请求消息，所述头部字段中指示了所述终端支持的安全机制，或者，所述终端支持的安全机制及表示该终端已经处于接入安全状态的指示参数；

B、所述服务器解析所述HTTP请求消息，若该HTTP请求消息的头部字段中指示了所述终端支持的安全机制，则根据解析结果向所述终端发送带有所述服务器支持的安全机制及其优先级参数的响应消息；

C、所述服务器再次接收所述终端发送的HTTP请求消息，该请求消息的头部字段中指示了所述终端根据所述响应消息选择的安全机制及该安全机制的优先级参数，验证所述终端选择的安全机制。

所述步骤C中验证所述终端选择的安全机制具体为：解析所述终端再次发送的HTTP请求消息，验证所述请求消息的头部字段中指示的安全机制是否为所述服务器通过所述响应消息提供给所述终端选择的安全机制，以确认在步骤B中协商的安全机制没有被修改。

本发明提供的方法在上述步骤C之后还包括：判断所述终端选择的安全机制是否通过验证，当验证通过时，所述服务器向所述终端传递数据；否则，所述服务器向所述终端发送错误信息。

需要说明的是，当所述终端位于无线网络中时，在所述步骤A之前还包括：

所述终端向网络接入点发送关联请求消息，在所述网络接入点响应所述关联请求后，建立起与无线网络的关联。

基于上述条件，当所述终端与所述网络接入点建立关联过程中采用安全机制时，所述步骤A中，所述服务器接收的HTTP请求消息的头部字段中指示了所述终端支持的安全机制及表示该终端已经处于接入安全状态的指示参数。