技术特征:
1.一种安全通信的方法,其特征在于,应用于客户端,包括:向服务端发送第一超文本传输协议http请求报文,所述第一http请求报文头部的扩展字段包括第一密钥协商参数;接收所述服务端发送的第一http响应报文,所述第一http响应报文头部的扩展字段包括第二密钥协商参数;根据所述第一密钥协商参数和所述第二密钥协商参数生成协商密钥,所述协商密钥用于所述客户端和所述服务端进行加密通信;根据所述协商密钥生成http加密报文,并向所述服务端发送所述http加密报文,所述http加密报文头部的扩展字段包括第一加密策略信息,所述第一加密策略信息用于指示所述http加密报文中的加密数据的类型或者加密数据的位置。2.根据权利要求1所述的方法,其特征在于,所述根据所述协商密钥生成http加密报文,具体包括:根据所述协商密钥,对所述http加密报文中的目标类型的数据进行加密;或者,根据所述协商密钥,对所述http加密报文中的目标位置的数据进行加密。3.根据权利要求2所述的方法,其特征在于,所述目标类型的数据包括以下至少一项:密钥协商的参数、加密算法集、所述客户端或所述服务端的证书、加密策略信息。4.根据权利要求2或3所述的方法,其特征在于,所述目标位置的数据包括以下至少一项:位于所述http加密报文头部的部分数据;或者,位于所述http加密报文实体部分的部分数据;或者,位于所述http加密报文实体部分的全部数据。5.根据权利要求2
‑
4中任一项所述的方法,其特征在于,所述http加密报文头部的扩展字段还包括第二加密策略信息,所述第二加密策略信息用于指示所述服务端对所述目标类型的数据进行加密和/或对所述目标位置的数据进行加密。6.根据权利要求1
‑
5中任一项所述的方法,其特征在于,所述http加密报文头部的扩展字段还包括第三加密策略信息,所述第三加密策略信息用于指示以下至少一项信息:当生成所述协商密钥后,对所述服务端和所述客户端之间每次传输的报文进行加密;或者,当生成所述协商密钥后,每n次传输间隔,重新生成新的所述协商密钥,n为大于1的整数。7.根据权利要求1
‑
6中任一项所述的方法,其特征在于,所述第一http响应报文头部的扩展字段还包括所述服务端的证书,所述服务端的证书包括所述服务端的公钥,所述方法还包括:对所述服务端的证书进行认证,并获取所述服务端的公钥;根据所述服务端的公钥生成所述客户端的预主密钥;向所述服务端发送第二http请求报文,所述第二http请求报文头部的扩展字段包括所述预主密钥。8.根据权利要求7所述的方法,其特征在于,所述第一密钥协商参数为所述客户端生成的第一随机数,所述第二密钥协商参数为所述服务端生成的第二随机数;
所述根据所述第一密钥协商参数和所述第二密钥协商参数生成协商密钥,具体包括:根据所述第一随机数、所述第二随机数和所述预主密钥生成所述协商密钥。9.根据权利要求1
‑
8中任一项所述的方法,其特征在于,所述第一http请求报文头部的扩展字段还包括所述客户端支持的加密算法集。10.根据权利要求9所述的方法,其特征在于,所述第一http响应报文头部的扩展字段还包括第一加密算法,所述第一加密算法为所述加密算法集中所述服务端支持的任一加密算法。11.根据权利要求7
‑
10中任一项所述的方法,其特征在于,当所述第一http响应报文头部的扩展字段还包括证书请求,所述证书请求用于请求所述客户端的证书时,所述第二http请求报文头部的扩展字段还包括所述客户端的证书。12.根据权利要求1
‑
11中任一项所述的方法,其特征在于,所述扩展字段包括以下至少一种:握手字段、记录字段、变更密码规范字段、保留字段。13.一种安全通信的方法,其特征在于,应用于服务端,包括:接收客户端发送的第一http请求报文,所述第一http请求报文头部的扩展字段包括所述客户端的第一密钥协商参数;响应于所述第一http请求报文,向所述客户端发送第一http响应报文,所述第一http响应报文头部的扩展字段包括所述服务端的第二密钥协商参数和所述服务端的证书,所述服务端的证书包括所述服务端的公钥;接收所述客户端发送的第二http请求报文,所述第二http请求报文头部扩展字段包括所述客户端的预主密钥;根据所述第一密钥协商参数、所述第二密钥协商参数和所述预主密钥生成协商密钥,所述协商密钥用于所述客户端与所述服务端进行加密通信。14.根据权利要求13所述的方法,其特征在于,所述方法还包括:接收所述客户端发送的http加密报文,所述http加密报文头部的扩展字段包括第一加密策略信息,所述第一加密策略信息用于指示所述加密数据的类型或者所述加密数据的位置;根据所述第一加密策略信息,解密所述加密数据。15.根据权利要求13或14所述的方法,其特征在于,所述http加密报文头部的扩展字段还包括第二加密策略信息,所述第二加密策略信息用于指示所述服务端对目标类型的数据进行加密和/或对目标位置的数据进行加密,所述方法还包括:根据所述第二加密策略信息和所述协商密钥,对所述目标类型的数据和/或所述目标位置的数据进行加密。16.根据权利要求15所述的方法,其特征在于,所述目标类型的数据包括以下至少一项:密钥协商的参数、加密算法集、所述客户端或所述服务端的证书、加密策略信息。17.根据权利要求15或16所述的方法,其特征在于,所述目标位置的数据包括以下至少一项:位于所述http加密报文头部的部分数据;或者,
位于所述http加密报文实体部分的部分数据;或者,位于所述http加密报文实体部分的全部数据。18.根据权利要求13
‑
17中任一项所述的方法,其特征在于,所述http加密报文头部的扩展字段还包括第三加密策略信息,所述第三加密策略信息用于指示以下至少一项信息:当生成所述协商密钥后,对所述服务端和所述客户端之间每次传输的报文进行加密;或者,当生成所述协商密钥后,每个n次传输间隔,重新生成新的所述协商密钥,n为大于1的整数。19.根据权利要求13
‑
18中任一项所述的方法,其特征在于,所述第一密钥协商参数为所述客户端生成的第一随机数,所述第二密钥协商参数为所述服务端生成的第二随机数。20.根据权利要求13
‑
19中任一项所述的方法,其特征在于,所述第一http请求报文头部的扩展字段还包括所述客户端支持的加密算法集,所述方法还包括:根据所述加密算法集选择所述服务端支持的第一加密算法。21.根据权利要求13
‑
20中任一项所述的方法,其特征在于,所述第一http响应报文头部的扩展字段还包括证书请求信息,所述证书请求信息用于请求所述客户端的证书。22.根据权利要求13
‑
21中任一项所述的方法,其特征在于,所述第二http请求报文还包括所述客户端的证书,所述方法还包括:根据所述客户端的证书验证所述客户端的身份。23.一种客户端设备,其特征在于,包括至少一个处理器、存储器和通信接口,所述通信接口用于和其他设备进行通信,所述存储器包括计算机程序指令,当所述计算机程序指令在所述处理器中执行时,使得所述客户端设备实现如权利要求1至12中任一项所述的安全通信的方法。24.一种服务端设备,其特征在于,包括至少一个处理器、存储器和通信接口,所述通信接口用于和其他设备进行通信,所述存储器包括计算机程序指令,当所述计算机程序指令在所述处理器中执行时,使得所述客户端设备实现如权利要求13至22中任一项所述的安全通信的方法。25.一种安全通信的系统,其特征在于,包括客户端设备和服务端设备,所述客户端设备用于执行如权利要求1至12中任一项所述的安全通信的方法,所述服务端设备用于执行如权利要求13至22中任一项所述的安全通信的方法。26.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机可执行程序,所述计算机可执行程序在被计算机调用时,使所述计算机执行如权利要求1至12中任一项所述的方法,或执行如权利要求13至22中任一项所述的方法。27.一种芯片系统,其特征在于,包括:通信接口,用于输入和/或输出信息;存储器,用于存储计算机可执行程序;处理器,用于执行所述计算机可执行程序,使得安装有所述芯片系统的设备执行如权利要求1至12中任一项所述的方法,或执行如权利要求13至22中任一项所述的方法。28.一种计算机程序产品,其特征在于,所述计算机程序产品包括计算机程序指令,当所述计算机程序指令在计算机上运行时,使得计算机实现如权利要求1至12中任一项所述
的方法,或实现如权利要求13至22中任一项所述的方法。
技术总结
本申请提供了一种安全通信的方法及设备,涉及信道加密通信技术领域。该方法可以应用于客户端,包括:向服务端发送第一超文本传输协议HTTP请求报文,该第一HTTP请求报文头部的扩展字段包括第一密钥协商参数;接收所该服务端发送的第一HTTP响应报文,第一HTTP响应报文头部的扩展字段包括第二密钥协商参数;根据第一密钥协商参数和第二密钥协商参数生成协商密钥,协商密钥用于客户端和服务端进行加密通信。上述方法可以通过在HTTP报文头部的扩展字段携带生成协商密钥的相关参数,使客户端和服务端基于HTTP协议实现安全通信,以解决在HTTP通信时无法有针对性地对特定数据进行加密的问题。问题。问题。
技术研发人员:杜陈斌
受保护的技术使用者:荣耀终端有限公司
技术研发日:2021.05.28
技术公布日:2021/9/24