CN104954315B - 提升安全套接层访问安全性的方法及装置 - Google Patents
提升安全套接层访问安全性的方法及装置 Download PDFInfo
- Publication number
- CN104954315B CN104954315B CN201410112833.7A CN201410112833A CN104954315B CN 104954315 B CN104954315 B CN 104954315B CN 201410112833 A CN201410112833 A CN 201410112833A CN 104954315 B CN104954315 B CN 104954315B
- Authority
- CN
- China
- Prior art keywords
- website server
- ssl
- safety
- certificate
- intelligent terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 238000012545 processing Methods 0.000 claims description 32
- 238000009434 installation Methods 0.000 claims description 23
- 230000004044 response Effects 0.000 claims description 18
- 230000005540 biological transmission Effects 0.000 description 10
- 238000004891 communication Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 235000015170 shellfish Nutrition 0.000 description 2
- 241000282485 Vulpes vulpes Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 238000001035 drying Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 235000008954 quail grass Nutrition 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种提升安全套接层访问安全性的方法及装置。该方法包括:智能终端设备接收网站服务器返回的网站服务器证书,对该网站服务器安全证书进行安全认证;确定没有通过对网站服务器安全证书的安全认证,根据预先安装的智能终端设备安全证书中设置的不允许用户接受不被信任的TLS证书信息,在智能终端设备显示界面显示包含是否继续浏览所述网站服务器的提示信息;在接收到用户选取的继续浏览该网站服务器的信息后,建立安全套接层连接,并根据建立的安全套接层连接访问所述网站服务器。应用本发明,可以提升用户访问安全性。
Description
技术领域
本发明涉及移动终端通信技术,具体涉及一种提升安全套接层(SSL,SecureSocket Layer)访问安全性的方法及装置。
背景技术
苹果移动操作***(iOS,iPhone OS)作为苹果公司为iPhone、iPad等iOS移动终端开发的移动操作***,由于可以兼容大量的应用软件,满足了不同用户的个性化需求,应用的用户越来越多。而随着信息网络技术的迅猛发展以及因特网的开放性,电子商务,尤其是基于iOS移动终端的因特网的电子商务,其安全性成为关注的焦点。安全套接层(SSL,Secure Socket Layer)协议通过对计算机与计算机之间的整个会话进行加密,以保证在因特网上数据传输的保密性和完整性,从而可以向基于传输控制协议/因特网协议(TCP/IP,Transmission Control Protocol/Internet Protocol)的应用程序提供身份认证、数据完整性及信息机密性等安全机制,可以保障数据的可靠加密和安全的通信服务,且由于SSL协议具有应用面广、实施成本低、安全高效、操作简单等优点,已广泛地用于iOS移动终端浏览器与网站服务器之间的身份认证和加密数据传输,成为因特网安全通信标准之一,即iOS移动终端浏览器与网站服务器进行交互,对网站服务器进行安全认证,在安全认证通过后,基于SSL协议,建立与网站服务器的SSL连接,并通过建立的SSL连接实现iOS移动终端与网站服务器之间的数据安全传输。
在逻辑架构上,SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通信提供安全支持。SSL协议可分为两层:一层为SSL记录协议(SSL Record Protocol),SSL记录协议建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持;另一层为SSL握手协议(SSL Handshake Protocol),SSL握手协议建立在SSL记录协议之上,用于在实际的数据传输开始前,对通讯双方进行身份认证、协商加密算法、交换加密密钥,从而建立用于后续数据传输的SSL连接。具体来说,SSL协议提供的服务主要包括:
1)对iOS移动终端和网站服务器进行认证,以确保数据能够发送到正确的iOS移动终端以及网站服务器;
2)加密数据,以防止数据在传输中被窃取;
3)维护数据的完整性,以确保数据在传输中不被改变。
图1示出了现有基于SSL连接进行安全访问的方法流程。参见图1,当iOS移动终端中安装的浏览器访问网站服务器时,例如,safari浏览器访问网站服务器时,需要先与网站服务器进行安全认证,并在安全认证通过后,在iOS移动终端与网站服务器之间建立SSL连接以进行数据安全传输,该流程包括:
步骤101,safari浏览器接收用户通过iOS移动终端首次输入的待访问网站服务器的超文本传输安全套接层协议(HTTPS,Hypertext Transfer Protocol over SecureSocket Layer)信息,向该待访问网站服务器发送SSL连接请求;
本步骤中,在safari浏览器界面,如果接收到用户输入的待访问服务器的HTTPS信息,表明iOS移动终端中安装的浏览器需要与HTTPS信息对应的网站服务器建立SSL连接,因而,在接收到HTTPS信息后,触发safari浏览器向HTTPS信息对应的网站服务器发送建立安全连接通道的SSL连接请求。
本步骤中,除了在SSL连接请求中携带HTTPS信息外,SSL连接请求中还可以携带safari浏览器SSL版本号、加密参数、与SSL会话相关的数据等SSL连接参数。
步骤102,接收网站服务器返回的SSL连接请求响应,解析SSL连接请求响应,获取网站服务器安全证书;
本步骤中,网站服务器在向safari浏览器返回网站服务器安全证书的同时,还可以将网站服务器SSL版本号、加密参数、与SSL会话相关的数据等SSL连接参数携带在SSL连接请求响应中,发送给safari浏览器。
步骤103,safari浏览器对获取的网站服务器安全证书进行安全认证,如果安全认证通过,执行步骤104,否则,执行步骤105;
本步骤中,safari浏览器根据预先配置的安全认证策略,对解析获取的网站服务器安全证书进行安全认证,即从网站服务器安全证书中获取网站服务器名称(域名),与用户通过iOS移动终端输入的HTTPS信息对应的域名进行匹配,如果能够匹配上,则通过安全认证,否则,安全认证未通过。
步骤104,safari浏览器与HTTPS信息对应的网站服务器协商SSL连接参数,建立SSL连接,访问网站服务器;
本步骤中,iOS移动终端的safari浏览器根据安全认证结果确定是否建立SSL连接。如果从网站服务器安全证书中获取的网站服务器名称与HTTPS信息相匹配,则通过安全认证,iOS移动终端与HTTPS信息对应的网站服务器进行SSL连接参数协商,并根据协商的SSL连接参数,建立SSL连接,访问网站服务器并进行数据安全传输。如果从网站服务器安全证书中获取的网站服务器名称与HTTPS信息不相匹配,则未通过该网站服务器的安全认证。
本步骤中,举例来说,如果HTTPS信息对应的网站服务器安全证书中,所对应的域名为全域名(FQDN,Fully Qualified Domain Name),当HTTPS信息对应的域名与全域名完全匹配时,则通过安全认证。例如,如果网站服务器安全证书中的全域名是www.domain.com,HTTPS信息对应的域名为www.domain.com,则两者完全匹配,安全认证通过;如果HTTPS信息对应的域名为其他相近的域名,例如,web.domain.com、app.domain.com、domain.com等,由于HTTPS信息对应的域名与网站安全证书中的全域名不能完全匹配,则不能通过安全认证。此外,如果网站服务器安全证书不是由受信任的证书颁发机构颁发的,则也不能通过安全认证。而且,如果网站服务器安全证书中包含的名称(IP地址)与以IP地址表示的HTTPS信息不符,也不能通过安全认证。
步骤105,确定发生SSL错误,并在显示界面向用户显示包含是否继续浏览HTTPS信息对应的链接网站服务器的提示信息;
本步骤中,以与贝宝(paypal)网站服务器建立SSL连接安全访问为例,通过网络诊断工具(ping),获得该贝宝网站服务器的IP地址为:23.66.98.234,然后在iPhone上通过safari浏览器,用HTTPS连接该IP地址,由于返回的网站服务器安全证书上的名称(IP地址)与用HTTPS连接该IP地址不符,将会显示如下提示信息:
此网站服务器的安全证书有问题;
此网站服务器出具的安全证书是为其他网站服务器地址颁发的;
安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据;
建议关闭此网站服务器,并且不要继续浏览该网站服务器;
单击此处关闭该网站服务器。
继续浏览此网站服务器(不推荐)。
更多信息。
本步骤中,如果用户点击继续浏览此网站服务器,即表示信任该网站服务器安全证书。
步骤106,接收用户选取的继续浏览此网站服务器的信息,建立SSL连接,访问网站服务器,并根据iOS移动终端安全证书中默认设置的允许用户接受不被信任的TLS证书选项,设置永久信任该网站服务器安全证书,以使后续访问该网站服务器时,自动通过对该网站服务器的安全认证。
本步骤中,由于在现有的iOS移动终端安全证书中,默认设置有允许用户接受不被信任的传输层安全性(TLS,Transport Layer Security)证书选项。因而,如果用户通过单击继续浏览此网站服务器(不推荐),表明用户将永久信任该网站服务器安全证书,且不可恢复,后续只要访问该网站服务器,由于已执行过一次信任该网站服务器安全证书操作,根据默认的设置选项,默认将信任该网站服务器安全证书,因而,不会再向用户显示需要用户选取是否继续浏览此网站服务器操作的提示信息,并自动通过对该网站服务器的安全认证。
由上述可见,现有基于SSL连接进行安全访问的方法,在iOS移动终端(safari浏览器)对网站服务器返回的网站服务器安全证书进行安全认证时,如果没有通过网站服务器的安全认证,将在显示的提示信息中询问用户是否继续信任该网站服务器安全证书,如果用户选择信任,则表示永久信任该网站服务器安全证书。这样,在后续重新进行的SSL连接安全访问中,iOS移动终端将永久信任该网站服务器安全证书,不再向用户显示提示信息,使得用户的访问安全性降低。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的提升安全套接层访问安全性的方法及装置。
依据本发明的一个方面,提供了提升安全套接层访问安全性的方法,该方法包括:
智能终端设备接收网站服务器返回的网站服务器证书,对该网站服务器安全证书进行安全认证;
确定没有通过对网站服务器安全证书的安全认证,根据预先安装的智能终端设备安全证书中设置的不允许用户接受不被信任的TLS证书信息,在智能终端设备显示界面显示包含是否继续浏览所述网站服务器的提示信息;
在接收到用户选取的继续浏览该网站服务器的信息后,建立安全套接层连接,并根据建立的安全套接层连接访问所述网站服务器。
优选地,设置所述不允许用户接受不被信任的TLS证书信息包括:
在运行的智能终端设备配置实用工具界面中创建安全套接层连接安全配置文件;
在创建的安全套接层连接安全配置文件中,设置不允许用户接受不被信任的TLS证书信息;
安装设置的安全套接层连接安全配置文件,形成智能终端设备安全证书。
优选地,所述在安装设置的安全套接层连接安全配置文件之前,所述方法进一步包括:
对设置的安全套接层连接安全配置文件进行签名,将签名的安全套接层连接安全配置文件上传至签名服务器进行签名认证,并接收签名服务器下发的签名的安全套接层连接安全配置文件。
优选地,所述对设置的安全套接层连接配置文件进行签名包括:
在创建的安全套接层连接配置文件中,创建描述文件,并在创建的描述文件中导入自签证书。
优选地,通过邮件或短信方式下发所述签名的安全套接层连接安全配置文件,并在邮件或短信中,将签名的安全套接层连接配置文件的统一资源定位符信息作为附件,或者,将签名的安全套接层连接配置文件作为附件。
优选地,所述智能终端设备配置实用工具为iPhone配置实用工具,所述安全套接层连接安全配置文件的格式采用可扩展标记语言格式。
优选地,所述智能终端设备接收网站服务器返回的网站服务器证书包括:
智能终端设备浏览器接收用户通过智能终端设备输入的HTTPS信息,向该HTTPS信息对应的网站服务器发送安全套接层连接请求;
接收网站服务器返回的安全套接层连接请求响应,解析安全套接层连接请求响应,获取网站服务器安全证书。
优选地,所述对该网站服务器安全证书进行安全认证包括:
提取获取的网站服务器安全证书中包含的网站服务器认证信息,与用户通过智能终端设备输入的HTTPS信息进行匹配,如果HTTPS信息与所述网站服务器认证信息不完全匹配,确认没有通过安全认证,否则,通过安全认证。
优选地,所述对该网站服务器安全证书进行安全认证包括:
对网站服务器安全证书是否由受信任的证书颁发机构颁发进行安全认证,如果所述网站服务器安全证书是由受信任的证书颁发机构颁发的,通过安全认证,否则,确认没有通过安全认证。
优选地,所述方法进一步包括:
确定通过对网站服务器安全证书的安全认证,建立安全套接层连接,并根据建立的安全套接层连接访问所述网站服务器。
根据本发明的另一个方面提供了一种提升安全套接层访问安全性的装置,该装置包括:安全认证模块、安全套接层错误处理模块以及数据访问模块,其中,
安全认证模块,用于在智能终端设备在与网站服务器建立每一次安全套接层连接的过程中,接收网站服务器返回的网站服务器证书,对该网站服务器安全证书进行安全认证,确定没有通过对网站服务器安全证书的安全认证,通知安全套接层错误处理模块;
安全套接层错误处理模块,用于在接收到通知后,根据预先安装的智能终端设备安全证书中设置的不允许用户接受不被信任的TLS证书信息,在智能终端设备显示界面显示包含是否继续浏览所述网站服务器的提示信息;
数据访问模块,用于在接收到用户选取的继续浏览该网站服务器的信息后,建立安全套接层连接,并根据建立的安全套接层连接访问所述网站服务器。
优选地,所述安全认证模块进一步用于在确定通过对网站服务器安全证书的安全认证后,通知数据访问模块;数据访问模块进一步在接收到来自安全认证模块的通知后,执行所述建立安全套接层连接流程。
优选地,所述安全认证模块包括:请求处理单元、解析单元、安全认证单元以及安全认证结果处理单元,其中,
请求处理单元,用于在智能终端设备在与网站服务器建立每一次安全套接层连接的过程中,接收用户通过智能终端设备输入的HTTPS信息,向该HTTPS信息对应的网站服务器发送安全套接层连接请求;接收网站服务器返回的安全套接层连接请求响应,输出至解析单元;
解析单元,用于解析安全套接层连接请求响应,获取网站服务器安全证书;
安全认证单元,用于对解析单元获取的网站服务器安全证书进行安全认证;
安全认证结果处理单元,用于在安全认证单元没有通过对网站服务器安全证书的安全认证后,通知安全套接层错误处理模块;在安全认证单元没有通过对网站服务器安全证书的安全认证后,通知数据访问模块。
优选地,所述安全套接层错误处理模块包括:安全套接层错误处理单元、显示单元以及用户选择处理单元,其中,
安全套接层错误处理单元,用于在接收到通知后,如果预先安装的智能终端设备安全证书中设置了不允许用户接受不被信任的TLS证书信息,通知显示单元;
显示单元,用于接收到来自安全套接层错误处理单元的通知后,在智能终端设备显示界面显示包含是否继续浏览所述网站服务器的提示信息;
用户选择处理单元,用于接收用户在显示单元选取的信息,如果为继续浏览所述网站服务器信息,通知数据访问模块。
优选地,所述安全套接层错误处理单元包括:配置文件生成子单元、签名处理子单元、安装子单元以及安全套接层错误处理子单元,其中,
配置文件生成子单元,用于在运行的智能终端设备配置实用工具界面中创建安全套接层连接安全配置文件;在创建的安全套接层连接安全配置文件中,设置不允许用户接受不被信任的TLS证书信息;
签名处理子单元,用于对设置的安全套接层连接安全配置文件进行签名,将签名的安全套接层连接安全配置文件上传至签名服务器进行签名认证,并接收签名服务器下发的签名的安全套接层连接安全配置文件;
安装子单元,用于安装签名的安全套接层连接安全配置文件,形成智能终端设备安全证书;
安全套接层错误处理子单元,用于在接收到通知后,查询安装子单元形成的智能终端设备安全证书,如果所述智能终端设备安全证书中设置了不允许用户接受不被信任的TLS证书信息,通知显示单元。
根据本发明的提升安全套接层访问安全性的方法及装置,可以通过在安装的iOS移动终端安全证书中预先设置不允许用户接受不被信任的TLS证书信息,由此解决了用户在显示的提示信息中选择继续信任该网站服务器安全证书,也只是表明该用户在该次的SSL访问中临时信任该网站服务器安全证书,而非永久信任该网站服务器安全证书,使得在每次SSL连接建立过程中,如果未通过网站服务安全证书的安全认证,都向用户显示提示信息用以提升SSL访问安全性的技术问题,取得了既可以保证用户访问网站服务器,又可有效保障用户安全访问的有益效果。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了现有基于SSL连接进行安全访问的方法流程;
图2示出了本发明实施例提升安全套接层访问安全性的方法流程
图3示出了设置不允许用户接受不被信任的TLS证书信息的具体流程;以及,
图4示出了本发明实施例提升安全套接层访问安全性的装置结构。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
现有基于SSL连接进行安全访问的方法,如果iOS移动终端在认证网站服务器安全证书时,没有通过网站服务器安全证书的安全认证,将在显示的提示信息中询问用户是否继续信任该网站服务器安全证书,如果用户选择信任,则表示永久信任该网站服务器安全证书。这样,在后续重新进行的基于SSL连接进行安全访问的流程中,将直接通过安全认证,不再向用户显示提示信息,使得用户的访问安全性降低。
在现有的iOS移动终端安全证书中,默认设置有允许用户接受不被信任的TLS证书选项。因而,在用户接受一次不被信任的TLS证书,即网站服务器安全证书后,由于允许用户接受不被信任的TLS证书,则表明了该用户接受了该不被信任的网站服务器,从而使得用户永久信任该网站服务器安全证书,且不可恢复,后续只要访问该网站服务器,则iOS移动终端自动通过对该网站服务器的安全认证。
本发明实施例中,考虑重新生成iOS移动终端安全证书并在iOS移动终端进行安装,以对默认设置的允许用户接受不被信任的TLS证书选项进行修改,使得用户在iOS移动终端上使用safari浏览器输入HTTPS信息进行SSL连接安全访问时,在每一次遇到SSL错误,即没有通过网站服务器安全证书的安全认证时,都可以提示用户是否继续进行网站服务器访问。这样,在每一次SSL错误时提示用户,由用户根据自身的实际需要确定是否继续进行网站服务器访问,从而提升用户访问该网站服务器的安全性。
所应说明的是,本发明实施例中,只是以iOS移动终端为例进行说明,提升安全套接层访问安全性的方法可以应用于智能终端设备。
图2示出了本发明实施例提升安全套接层访问安全性的方法流程。参见图2,在iOS移动终端在与网站服务器建立每一次SSL连接的过程中,该流程包括:
步骤201,iOS移动终端接收网站服务器返回的网站服务器证书,对该网站服务器安全证书进行安全认证;
本步骤中,iOS移动终端接收网站服务器返回的网站服务器证书包括:
A11,iOS移动终端浏览器接收用户通过iOS移动终端输入的HTTPS信息,向该HTTPS信息对应的网站服务器发送SSL连接请求;
本步骤中,iOS移动终端浏览器包括但不限于以下浏览器:safari浏览器、IE浏览器、火狐浏览器、世界之窗浏览器、QQ浏览器等。
作为可选实施例,SSL连接请求中携带有SSL连接参数。其中,SSL连接参数包括但不限于:浏览器SSL版本号、加密参数、与SSL会话相关的数据。
A12,接收网站服务器返回的SSL连接请求响应,解析SSL连接请求响应,获取网站服务器安全证书。
本步骤中,作为可选实施例,网站服务器在向iOS移动终端浏览器返回网站服务器安全证书的同时,还可以将网站服务器SSL版本号、加密参数、网站服务器公钥、与SSL会话相关的数据等SSL连接参数携带在SSL连接请求响应中,发送给iOS移动终端浏览器。
作为一可选实施例,对该网站服务器安全证书进行安全认证包括:
提取获取的网站服务器安全证书中包含的网站服务器认证信息,与用户通过iOS移动终端输入的HTTPS信息进行匹配以进行安全认证。
本步骤中,网站服务器认证信息包括但不限于:网站服务器域名信息、网站服务器IP地址信息等。例如,如果用户输入的HTTPS信息为IP地址,则与网站服务器认证信息中的网站服务器IP地址信息进行匹配。
作为另一可选实施例,对该网站服务器安全证书进行安全认证包括:
对网站服务器安全证书是否由受信任的证书颁发机构颁发进行安全认证。
步骤202,确定没有通过对网站服务器安全证书的安全认证,根据预先安装的iOS移动终端安全证书中设置的不允许用户接受不被信任的TLS证书信息,在iOS移动终端显示界面显示包含是否继续浏览所述网站服务器的提示信息;
本步骤中,对应于提取获取的网站服务器安全证书中包含的网站服务器认证信息,与用户通过iOS移动终端输入的HTTPS信息进行匹配以进行安全认证的情形,确定没有通过对网站服务器安全证书的安全认证包括:
查询并得到HTTPS信息对应的网站服务器认证信息,如果HTTPS信息与查询并得到的网站服务器认证信息不完全匹配,确认没有通过安全认证。
本步骤中,举例来说,如果HTTPS信息为域名信息,对应的网站服务器安全证书中,所对应的域名为全域名,当HTTPS信息与全域名完全匹配时,则通过安全认证。例如,如果网站服务器安全证书中的全域名是www.domain.com,HTTPS信息为www.domain.com,则两者完全匹配,安全认证通过;如果HTTPS信息为其他相近的域名,例如,web.domain.com、app.domain.com、domain.com等,由于HTTPS信息与网站服务器认证信息中的全域名不能完全匹配,则不能通过安全认证。
对于对网站服务器安全证书是否由受信任的证书颁发机构颁发进行安全认证的情形,确定没有通过对网站服务器安全证书的安全认证包括:
确定所述网站服务器安全证书不是由受信任的证书颁发机构颁发的,确认没有通过安全认证。
本发明实施例中,在安装的iOS移动终端安全证书中设置不允许用户接受不被信任的TLS证书信息包括:
B11,在运行的iOS移动终端配置实用工具界面中创建SSL连接安全配置文件;
B12,在创建的SSL连接安全配置文件中,设置不允许用户接受不被信任的TLS证书信息;
B13,安装设置的SSL连接安全配置文件,形成iOS移动终端安全证书。
本步骤中,作为可选实施例,在安装设置的SSL连接安全配置文件之前,该方法还可以进一步包括:
对设置的SSL连接安全配置文件进行签名,将签名的SSL连接安全配置文件上传至签名服务器进行签名认证,并接收签名服务器下发的签名的SSL连接安全配置文件。
关于设置不允许用户接受不被信任的TLS证书信息的具体流程,后续再进行详细描述。
作为可选实施例,该方法还可以进一步包括:
确定通过对网站服务器安全证书的安全认证,建立SSL连接,并根据建立的SSL连接访问所述网站服务器。
步骤203,在接收到用户选取的继续浏览该网站服务器的信息后,建立SSL连接,并根据建立的SSL连接访问所述网站服务器。
本步骤中,关于建立SSL连接,并根据建立的SSL连接访问所述网站服务器为公知技术,在此略去详述。
本发明实施例中,通过在预先安装的iOS移动终端安全证书中设置不允许用户接受不被信任的TLS证书信息,使得用户在显示的提示信息中选择继续信任该网站服务器安全证书,也只是表明该用户在该次的SSL访问中临时信任该网站服务器安全证书,而非永久信任该网站服务器安全证书。这样,在iOS移动终端在与网站服务器建立每一次SSL连接的过程中,如果iOS移动终端没有通过对网站服务器安全证书的安全认证,由于iOS移动终端安全证书中设置的为不允许用户接受不被信任的TLS证书信息,因而,需要在每次SSL连接建立过程中,向用户显示提示信息,并根据用户的选取执行相应的操作。从而在用户每次访问不被信任的网站服务器时,都需要用户进行选择,确保了用户访问不被信任的网站服务器的安全性。
图3示出了设置不允许用户接受不被信任的TLS证书信息的具体流程。参见图3,该流程包括:
步骤301,运行预先获取的iOS移动终端配置实用工具,并在运行的iOS移动终端配置实用工具对应的界面中创建SSL连接安全配置文件;
本步骤中,如果iOS移动终端为iPhone,则iOS移动终端配置实用工具为iPhone配置实用工具(iPhone Configuration Utiltiy)。iPhone配置实用工具是iPhone的一款专用配置文件工具,能够帮助用户创建并可以发送到网页或服务器上包括SSL连接安全选项在内的配置文件,即iPhone配置文件。作为可选实施例,iPhone配置文件可以设置为可扩展标记语言(XML,EXtensi ble Markup Language)格式文件。
作为可选实施例,用于iPhone配置实用工具的iPhone配置实用工具安装包可以通过苹果官方网站获取。例如,用户可以通过苹果官方网站提供的下载地址:http://support.apple.com/downloads/DL1465/en_US/iPhoneConfigUtility.dmg下载iPhone配置实用工具安装包,然后,解析并安装下载的iPhone配置实用工具安装包后,得到iPhone配置实用工具。
运行iPhone配置实用工具,在显示的界面中创建SSL连接安全配置文件,以在后续流程中,iOS移动终端对网站服务器进行SSL连接安全认证,当发生SSL错误的处理措施进行配置。
作为另一可选实施例,在iPhone配置实用工具显示的界面中,还可以进一步进行虚拟专用网络(VPN,Virtual Private Network)安全设置、Wi-Fi设置、接入点(APN,AccessPoint Name)设定、账号互换设置、邮件设置等。这样,通过iPhone配置实用工具,能够生成一个XML文件,该XML文件能够完成iPhone上的各种安全连接设置,达到一键设置的效果。
步骤302,在创建的SSL连接安全配置文件中,将限制项中的允许用户接受不被信任的TLS证书选项设置为不允许;
本步骤中,在运行iPhone配置实用工具并创建新的SSL连接安全配置文件后,在SSL连接安全配置文件对应的界面中,在“限制”选项里勾掉“允许用户接受不被信任的传输层安全性(TLS,Transport Layer Security)证书”,从而将限制选项中的允许用户接受不被信任的TLS证书设置为不允许。这样,在后续进行SSL连接安全认证以建立SSL连接的过程中,当网站服务器安全证书为不被信任的TLS证书时,由于设置了不允许信任该TLS证书,因而,在后续每次进行SSL连接安全认证时,向用户显示提示信息以供用户进行相应操作。
本发明实施例中,在限制选项对应的控件界面,包括有设备功能性(是否启用设备功能)选项、应用程序(是否允许访问设备上的应用程序)选项、iCloud(是否启用对iCloud服务的访问)选项、安全性和隐私(是否实施安全性和隐私策略)选项等,其中,
设备功能性(启用设备功能)选项包括:是否允许安装应用程序选项、是否允许使用相机选项、是否允许屏幕捕捉选项、是否允许在漫游时自动同步选项、是否允许语音拨号选项、是否允许应用程序内购买选项、是否允许多人游戏选项;
应用程序(允许访问设备上的应用程序)选项包括:是否允许使用Youtube选项、是否允许使用iTunes Store选项、是否允许使用Safari选项、是否接受Cookie选项;
iCloud(启用对iCloud服务的访问)选项包括:是否允许备份选项、是否允许文档同步选项、是否允许照片流选项、是否允许共享的照片流选项;
安全性和隐私(实施安全性和隐私策略)选项包括:是否允许向Apple发送诊断数据选项、是否允许用户接受不被信任的TLS证书选项、是否强制对备份进行加密选项。其中,是否允许用户接受不被信任的TLS证书选项为本发明实施例需要进行设置的选项。
步骤303,对设置的SSL连接安全配置文件进行签名,并将签名的SSL连接安全配置文件上传至签名服务器进行签名认证;
本步骤中,对创建的SSL连接配置文件进行签名,以使得iOS移动终端在后续安装该SSL连接配置文件时,防止该SSL连接配置文件中的配置描述文件打开显示“未签名(unsigned)”或者“尚未签名”的情况,从而需要再次执行签名的流程,使得安装该SSL连接配置文件所需的时间延长。具体来说,对设置的SSL连接配置文件进行签名包括:
在创建的SSL连接配置文件中,创建描述文件,并在创建的描述文件中导入自签证书。
本步骤中,在iPhone配置实用工具的SSL连接配置文件显示界面,点击配置描述文件控件,然后,点击新建控件,接着,在显示的界面中点击通用控件,在显示的通用控件界面中设置描述文件名称和描述文件标识符,然后,在与通用控件同一显示的栏位中,点击凭证控件,在显示的凭证控件界面中,点击配置控件,最后,在配置控件界面中,选择自签的证书。这样,在iOS移动终端中,通过利用iPhone Configuration Utility添加描述文件,并在描述文件中进行授权证书等操作。
实际应用中,可以是由用户对创建并存储的SSL连接配置文件进行签名后,将签名的SSL连接配置文件上传至签名服务器,签名服务器进行签名认证后,将认证通过的签名的SSL连接配置文件进行下发,用户通过iPhone获取该SSL连接配置文件并进行安装后,能够批量完成SSL连接配置文件中的各种设置。关于进行签名认证的流程为公知技术,在此略去详述。
步骤304,签名服务器将认证的SSL连接安全配置文件下发至iOS移动终端;
本步骤中,将签名的SSL连接配置文件下发至iOS移动终端的方式可以是通过邮件方式,也可以通过短信方式,还可以是通过其他方式。例如,可以在邮件或短信中,将签名的SSL连接配置文件的统一资源定位符(URL,Uniform Resource Locator)信息,或者,将签名的SSL连接配置文件作为附件发送至iOS移动终端。
步骤305,iOS移动终端根据接收的认证的SSL连接安全配置文件进行安装。
本步骤中,用户获取该签名的SSL连接配置文件,点击后即可提示安装。这样,后续流程中,一旦遇到SSL安全证书错误,会自动报错并向用户显示提示信息。
本发明实施例中,对于iPhone移动电话,无论越狱与否,都可以通过上述的方法对网站服务器安全证书的漏洞进行补救。其中,如果是越狱的iPhone,可以在获取认证的SSL连接配置文件后,设置自动安装认证的SSL连接配置文件;如果是非越狱的iPhone,可以在获取签名的SSL连接配置文件后,由用户手动安装签名的SSL连接配置文件。这样,可以通过创建SSL连接配置文件的方法,并设置不允许用户接受不被信任的TLS证书,可以使iOS移动终端每次进行SSL连接安全认证时,在每一次发生SSL错误时,向用户显示包含是否继续信任该网站服务器安全证书的提示信息,以有效提升iOS***中safari浏览器与网站服务器建立SSL访问的安全性。
如前所述,如果创建有描述文件,则可以将描述文件安装至iOS移动终端,具体如下:将iPhone/iPod Touch连接到计算机,在运行的iPhone配置实用工具的显示界面,点击设备控件下的对应设备,然后,在显示界面,选择配置描述文件标签页,选取创建的描述文件,则可以安装配置好的描述文件。
图4示出了本发明实施例提升安全套接层访问安全性的装置结构。参见图4,该装置为iOS移动终端,包括:安全认证模块、SSL错误处理模块以及数据访问模块,其中,
安全认证模块,用于在iOS移动终端在与网站服务器建立每一次SSL连接的过程中,接收网站服务器返回的网站服务器证书,对该网站服务器安全证书进行安全认证,确定没有通过对网站服务器安全证书的安全认证,通知SSL错误处理模块;
SSL错误处理模块,用于在接收到通知后,根据预先安装的iOS移动终端安全证书中设置的不允许用户接受不被信任的TLS证书信息,在iOS移动终端显示界面显示包含是否继续浏览所述网站服务器的提示信息;
数据访问模块,用于在接收到用户选取的继续浏览该网站服务器的信息后,建立SSL连接,并根据建立的SSL连接访问所述网站服务器。
本发明实施例中,安全认证模块进一步用于在确定通过对网站服务器安全证书的安全认证后,通知数据访问模块;数据访问模块进一步在接收到来自安全认证模块的通知后,建立SSL连接。
作为可选实施例,安全认证模块包括:请求处理单元、解析单元、安全认证单元以及安全认证结果处理单元(图中未示出),其中,
请求处理单元,用于在iOS移动终端在与网站服务器建立每一次SSL连接的过程中,接收用户通过iOS移动终端输入的HTTPS信息,向该HTTPS信息对应的网站服务器发送SSL连接请求;接收网站服务器返回的SSL连接请求响应,输出至解析单元;
解析单元,用于解析SSL连接请求响应,获取网站服务器安全证书;
安全认证单元,用于对解析单元获取的网站服务器安全证书进行安全认证;
本发明实施例中,安全认证单元提取获取的网站服务器安全证书中包含的网站服务器认证信息,与用户通过iOS移动终端输入的HTTPS信息进行匹配,如果能够完全匹配,则通过安全认证,否则,安全认证未通过;或者,对网站服务器安全证书是否由受信任的证书颁发机构颁发进行安全认证,如果所述网站服务器安全证书是由受信任的证书颁发机构颁发的,则通过安全认证,否则,安全认证未通过。
安全认证结果处理单元,用于在安全认证单元没有通过对网站服务器安全证书的安全认证后,通知SSL错误处理模块;在安全认证单元没有通过对网站服务器安全证书的安全认证后,通知数据访问模块。
作为可选实施例,SSL错误处理模块包括:SSL错误处理单元、显示单元以及用户选择处理单元,其中,
SSL错误处理单元,用于在接收到通知后,如果预先安装的iOS移动终端安全证书中设置了不允许用户接受不被信任的TLS证书信息,通知显示单元;
本发明实施例中,对于预先安装的iOS移动终端安全证书中设置了允许用户接受不被信任的TLS证书信息的情形,按现有技术流程进行处理。即对于首次访问,通知显示单元,对于首次访问选择继续访问的后续访问,直接通知数据访问模块。
显示单元,用于接收到来自SSL错误处理单元的通知后,在iOS移动终端显示界面显示包含是否继续浏览所述网站服务器的提示信息;
用户选择处理单元,用于接收用户在显示单元选取的信息,如果为继续浏览所述网站服务器信息,通知数据访问模块。
本发明实施例中,如果用户在显示单元选取的信息为除继续浏览所述网站服务器信息之外的信息,按现有技术流程进行处理,在此略去详述。
作为可选实施例,SSL错误处理单元包括:配置文件生成子单元、签名处理子单元、安装子单元以及SSL错误处理子单元,其中,
配置文件生成子单元,用于在运行的iOS移动终端配置实用工具界面中创建SSL连接安全配置文件;在创建的SSL连接安全配置文件中,设置不允许用户接受不被信任的TLS证书信息;
签名处理子单元,用于对设置的SSL连接安全配置文件进行签名,将签名的SSL连接安全配置文件上传至签名服务器进行签名认证,并接收签名服务器下发的签名的SSL连接安全配置文件;
安装子单元,用于安装签名的SSL连接安全配置文件,形成iOS移动终端安全证书;
SSL错误处理子单元,用于在接收到通知后,查询安装子单元形成的iOS移动终端安全证书,如果所述iOS移动终端安全证书中设置了不允许用户接受不被信任的TLS证书信息,通知显示单元。
在此提供的算法和显示不与任何特定计算机、虚拟***或者其它设备固有相关。各种通用***也可以与基于在此的示教一起使用。根据上面的描述,构造这类***所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的提升安全套接层访问安全性的装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站服务器上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本发明公开了,A1.一种提升安全套接层访问安全性的方法,包括:
智能终端设备接收网站服务器返回的网站服务器证书,对该网站服务器安全证书进行安全认证;
确定没有通过对网站服务器安全证书的安全认证,根据预先安装的智能终端设备安全证书中设置的不允许用户接受不被信任的TLS证书信息,在智能终端设备显示界面显示包含是否继续浏览所述网站服务器的提示信息;
在接收到用户选取的继续浏览该网站服务器的信息后,建立安全套接层连接,并根据建立的安全套接层连接访问所述网站服务器。
A2.根据A1所述的方法,设置所述不允许用户接受不被信任的TLS证书信息包括:
在运行的智能终端设备配置实用工具界面中创建安全套接层连接安全配置文件;
在创建的安全套接层连接安全配置文件中,设置不允许用户接受不被信任的TLS证书信息;
安装设置的安全套接层连接安全配置文件,形成智能终端设备安全证书。
A3.根据A2所述的方法,所述在安装设置的安全套接层连接安全配置文件之前,所述方法进一步包括:
对设置的安全套接层连接安全配置文件进行签名,将签名的安全套接层连接安全配置文件上传至签名服务器进行签名认证,并接收签名服务器下发的签名的安全套接层连接安全配置文件。
A4.根据A3所述的方法,所述对设置的安全套接层连接配置文件进行签名包括:
在创建的安全套接层连接配置文件中,创建描述文件,并在创建的描述文件中导入自签证书。
A5.根据A3所述的方法,通过邮件或短信方式下发所述签名的安全套接层连接安全配置文件,并在邮件或短信中,将签名的安全套接层连接配置文件的统一资源定位符信息作为附件,或者,将签名的安全套接层连接配置文件作为附件。
A6.根据A2所述的方法,所述智能终端设备配置实用工具为iPhone配置实用工具,所述安全套接层连接安全配置文件的格式采用可扩展标记语言格式。
A7.根据A1所述的方法,所述智能终端设备接收网站服务器返回的网站服务器证书包括:
智能终端设备浏览器接收用户通过智能终端设备输入的HTTPS信息,向该HTTPS信息对应的网站服务器发送安全套接层连接请求;
接收网站服务器返回的安全套接层连接请求响应,解析安全套接层连接请求响应,获取网站服务器安全证书。
A8.根据A1所述的方法,所述对该网站服务器安全证书进行安全认证包括:
提取获取的网站服务器安全证书中包含的网站服务器认证信息,与用户通过智能终端设备输入的HTTPS信息进行匹配,如果HTTPS信息与所述网站服务器认证信息不完全匹配,确认没有通过安全认证,否则,通过安全认证。
A9.根据A1所述的方法,所述对该网站服务器安全证书进行安全认证包括:
对网站服务器安全证书是否由受信任的证书颁发机构颁发进行安全认证,如果所述网站服务器安全证书是由受信任的证书颁发机构颁发的,通过安全认证,否则,确认没有通过安全认证。
A10.根据A1所述的方法,所述方法进一步包括:
确定通过对网站服务器安全证书的安全认证,建立安全套接层连接,并根据建立的安全套接层连接访问所述网站服务器。
A11.一种提升安全套接层访问安全性的装置,该装置包括:安全认证模块、安全套接层错误处理模块以及数据访问模块,其中,
安全认证模块,用于在智能终端设备在与网站服务器建立每一次安全套接层连接的过程中,接收网站服务器返回的网站服务器证书,对该网站服务器安全证书进行安全认证,确定没有通过对网站服务器安全证书的安全认证,通知安全套接层错误处理模块;
安全套接层错误处理模块,用于在接收到通知后,根据预先安装的智能终端设备安全证书中设置的不允许用户接受不被信任的TLS证书信息,在智能终端设备显示界面显示包含是否继续浏览所述网站服务器的提示信息;
数据访问模块,用于在接收到用户选取的继续浏览该网站服务器的信息后,建立安全套接层连接,并根据建立的安全套接层连接访问所述网站服务器。
A12.根据A11所述的装置,所述安全认证模块进一步用于在确定通过对网站服务器安全证书的安全认证后,通知数据访问模块;数据访问模块进一步在接收到来自安全认证模块的通知后,执行所述建立安全套接层连接流程。
A13.根据A11或A12所述的装置,所述安全认证模块包括:请求处理单元、解析单元、安全认证单元以及安全认证结果处理单元,其中,
请求处理单元,用于在智能终端设备在与网站服务器建立每一次安全套接层连接的过程中,接收用户通过智能终端设备输入的HTTPS信息,向该HTTPS信息对应的网站服务器发送安全套接层连接请求;接收网站服务器返回的安全套接层连接请求响应,输出至解析单元;
解析单元,用于解析安全套接层连接请求响应,获取网站服务器安全证书;
安全认证单元,用于对解析单元获取的网站服务器安全证书进行安全认证;
安全认证结果处理单元,用于在安全认证单元没有通过对网站服务器安全证书的安全认证后,通知安全套接层错误处理模块;在安全认证单元没有通过对网站服务器安全证书的安全认证后,通知数据访问模块。
A14.根据A11或A12所述的装置,所述安全套接层错误处理模块包括:安全套接层错误处理单元、显示单元以及用户选择处理单元,其中,
安全套接层错误处理单元,用于在接收到通知后,如果预先安装的智能终端设备安全证书中设置了不允许用户接受不被信任的TLS证书信息,通知显示单元;
显示单元,用于接收到来自安全套接层错误处理单元的通知后,在智能终端设备显示界面显示包含是否继续浏览所述网站服务器的提示信息;
用户选择处理单元,用于接收用户在显示单元选取的信息,如果为继续浏览所述网站服务器信息,通知数据访问模块。
A15.根据A14所述的装置,所述安全套接层错误处理单元包括:配置文件生成子单元、签名处理子单元、安装子单元以及安全套接层错误处理子单元,其中,
配置文件生成子单元,用于在运行的智能终端设备配置实用工具界面中创建安全套接层连接安全配置文件;在创建的安全套接层连接安全配置文件中,设置不允许用户接受不被信任的TLS证书信息;
签名处理子单元,用于对设置的安全套接层连接安全配置文件进行签名,将签名的安全套接层连接安全配置文件上传至签名服务器进行签名认证,并接收签名服务器下发的签名的安全套接层连接安全配置文件;
安装子单元,用于安装签名的安全套接层连接安全配置文件,形成智能终端设备安全证书;
安全套接层错误处理子单元,用于在接收到通知后,查询安装子单元形成的智能终端设备安全证书,如果所述智能终端设备安全证书中设置了不允许用户接受不被信任的TLS证书信息,通知显示单元。
Claims (15)
1.一种提升安全套接层访问安全性的方法,包括:
智能终端设备接收网站服务器返回的网站服务器安全证书,对该网站服务器安全证书进行安全认证;
确定没有通过对网站服务器安全证书的安全认证,根据预先安装的智能终端设备安全证书中设置的不允许用户接受不被信任的TLS证书信息,在智能终端设备显示界面显示包含是否继续浏览所述网站服务器的提示信息;
在接收到用户选取的继续浏览该网站服务器的信息后,建立安全套接层连接,并根据建立的安全套接层连接访问所述网站服务器。
2.如权利要求1所述的方法,设置所述不允许用户接受不被信任的TLS证书信息包括:
在运行的智能终端设备配置实用工具界面中创建安全套接层连接安全配置文件;
在创建的安全套接层连接安全配置文件中,设置不允许用户接受不被信任的TLS证书信息;
安装设置的安全套接层连接安全配置文件,形成智能终端设备安全证书。
3.如权利要求2所述的方法,所述在安装设置的安全套接层连接安全配置文件之前,所述方法进一步包括:
对设置的安全套接层连接安全配置文件进行签名,将签名的安全套接层连接安全配置文件上传至签名服务器进行签名认证,并接收签名服务器下发的签名的安全套接层连接安全配置文件。
4.如权利要求3所述的方法,所述对设置的安全套接层连接配置文件进行签名包括:
在创建的安全套接层连接配置文件中,创建描述文件,并在创建的描述文件中导入自签证书。
5.如权利要求3所述的方法,通过邮件或短信方式下发所述签名的安全套接层连接安全配置文件,并在邮件或短信中,将签名的安全套接层连接配置文件的统一资源定位符信息作为附件,或者,将签名的安全套接层连接配置文件作为附件。
6.如权利要求2所述的方法,所述智能终端设备配置实用工具为iPhone配置实用工具,所述安全套接层连接安全配置文件的格式采用可扩展标记语言格式。
7.如权利要求1所述的方法,所述智能终端设备接收网站服务器返回的网站服务器安全证书包括:
智能终端设备浏览器接收用户通过智能终端设备输入的HTTPS信息,向该HTTPS信息对应的网站服务器发送安全套接层连接请求;
接收网站服务器返回的安全套接层连接请求响应,解析安全套接层连接请求响应,获取网站服务器安全证书。
8.如权利要求1所述的方法,所述对该网站服务器安全证书进行安全认证包括:
提取获取的网站服务器安全证书中包含的网站服务器认证信息,与用户通过智能终端设备输入的HTTPS信息进行匹配,如果HTTPS信息与所述网站服务器认证信息不完全匹配,确认没有通过安全认证,否则,通过安全认证。
9.如权利要求1所述的方法,所述对该网站服务器安全证书进行安全认证包括:
对网站服务器安全证书是否由受信任的证书颁发机构颁发进行安全认证,如果所述网站服务器安全证书是由受信任的证书颁发机构颁发的,通过安全认证,否则,确认没有通过安全认证。
10.如权利要求1所述的方法,所述方法进一步包括:
确定通过对网站服务器安全证书的安全认证,建立安全套接层连接,并根据建立的安全套接层连接访问所述网站服务器。
11.一种提升安全套接层访问安全性的装置,该装置包括:安全认证模块、安全套接层错误处理模块以及数据访问模块,其中,
安全认证模块,用于在智能终端设备在与网站服务器建立每一次安全套接层连接的过程中,接收网站服务器返回的网站服务器安全证书,对该网站服务器安全证书进行安全认证,确定没有通过对网站服务器安全证书的安全认证,通知安全套接层错误处理模块;
安全套接层错误处理模块,用于在接收到通知后,根据预先安装的智能终端设备安全证书中设置的不允许用户接受不被信任的TLS证书信息,在智能终端设备显示界面显示包含是否继续浏览所述网站服务器的提示信息;
数据访问模块,用于在接收到用户选取的继续浏览该网站服务器的信息后,建立安全套接层连接,并根据建立的安全套接层连接访问所述网站服务器。
12.如权利要求11所述的装置,所述安全认证模块进一步用于在确定通过对网站服务器安全证书的安全认证后,通知数据访问模块;数据访问模块进一步在接收到来自安全认证模块的通知后,执行所述建立安全套接层连接流程。
13.如权利要求11或12所述的装置,所述安全认证模块包括:请求处理单元、解析单元、安全认证单元以及安全认证结果处理单元,其中,
请求处理单元,用于在智能终端设备在与网站服务器建立每一次安全套接层连接的过程中,接收用户通过智能终端设备输入的HTTPS信息,向该HTTPS信息对应的网站服务器发送安全套接层连接请求;接收网站服务器返回的安全套接层连接请求响应,输出至解析单元;
解析单元,用于解析安全套接层连接请求响应,获取网站服务器安全证书;
安全认证单元,用于对解析单元获取的网站服务器安全证书进行安全认证;
安全认证结果处理单元,用于在安全认证单元没有通过对网站服务器安全证书的安全认证后,通知安全套接层错误处理模块;在安全认证单元没有通过对网站服务器安全证书的安全认证后,通知数据访问模块。
14.如权利要求11或12所述的装置,所述安全套接层错误处理模块包括:安全套接层错误处理单元、显示单元以及用户选择处理单元,其中,
安全套接层错误处理单元,用于在接收到通知后,如果预先安装的智能终端设备安全证书中设置了不允许用户接受不被信任的TLS证书信息,通知显示单元;
显示单元,用于接收到来自安全套接层错误处理单元的通知后,在智能终端设备显示界面显示包含是否继续浏览所述网站服务器的提示信息;
用户选择处理单元,用于接收用户在显示单元选取的信息,如果为继续浏览所述网站服务器信息,通知数据访问模块。
15.如权利要求14所述的装置,所述安全套接层错误处理单元包括:配置文件生成子单元、签名处理子单元、安装子单元以及安全套接层错误处理子单元,其中,
配置文件生成子单元,用于在运行的智能终端设备配置实用工具界面中创建安全套接层连接安全配置文件;在创建的安全套接层连接安全配置文件中,设置不允许用户接受不被信任的TLS证书信息;
签名处理子单元,用于对设置的安全套接层连接安全配置文件进行签名,将签名的安全套接层连接安全配置文件上传至签名服务器进行签名认证,并接收签名服务器下发的签名的安全套接层连接安全配置文件;
安装子单元,用于安装签名的安全套接层连接安全配置文件,形成智能终端设备安全证书;
安全套接层错误处理子单元,用于在接收到通知后,查询安装子单元形成的智能终端设备安全证书,如果所述智能终端设备安全证书中设置了不允许用户接受不被信任的TLS证书信息,通知显示单元。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410112833.7A CN104954315B (zh) | 2014-03-24 | 2014-03-24 | 提升安全套接层访问安全性的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410112833.7A CN104954315B (zh) | 2014-03-24 | 2014-03-24 | 提升安全套接层访问安全性的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104954315A CN104954315A (zh) | 2015-09-30 |
| CN104954315B true CN104954315B (zh) | 2018-03-06 |
Family
ID=54168675
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410112833.7A Active CN104954315B (zh) | 2014-03-24 | 2014-03-24 | 提升安全套接层访问安全性的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104954315B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109861947B (zh) * | 2017-11-30 | 2022-03-22 | 腾讯科技(武汉)有限公司 | 一种网络劫持处理方法及装置、电子设备 |
| CN108366112A (zh) * | 2018-02-06 | 2018-08-03 | 杭州朗和科技有限公司 | 客户端的数据传输方法及***、介质和计算设备 |
| CN110198297B (zh) * | 2018-10-08 | 2022-02-22 | 腾讯科技(深圳)有限公司 | 流量数据监控方法、装置、电子设备及计算机可读介质 |
| CN113328980B (zh) * | 2020-02-29 | 2022-05-17 | 杭州迪普科技股份有限公司 | Tls认证方法、装置、***、电子设备及可读介质 |
| CN112153572A (zh) * | 2020-09-24 | 2020-12-29 | 维沃移动通信有限公司 | 信息传输方法、装置及设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN200962603Y (zh) * | 2006-07-27 | 2007-10-17 | 公安部第三研究所 | 一种可信边界安全网关 |
| CN101350715A (zh) * | 2007-07-16 | 2009-01-21 | 国际商业机器公司 | 与信任的实施点安全共享传输层安全性会话密钥的方法和*** |
| WO2012036992A2 (en) * | 2010-09-15 | 2012-03-22 | Intel Corporation | Mobile device and method for secure on-line sign-up and provisioning for wi-fi hotspots using soap-xml techniques |
-
2014
- 2014-03-24 CN CN201410112833.7A patent/CN104954315B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN200962603Y (zh) * | 2006-07-27 | 2007-10-17 | 公安部第三研究所 | 一种可信边界安全网关 |
| CN101350715A (zh) * | 2007-07-16 | 2009-01-21 | 国际商业机器公司 | 与信任的实施点安全共享传输层安全性会话密钥的方法和*** |
| WO2012036992A2 (en) * | 2010-09-15 | 2012-03-22 | Intel Corporation | Mobile device and method for secure on-line sign-up and provisioning for wi-fi hotspots using soap-xml techniques |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104954315A (zh) | 2015-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105991589B (zh) | 一种用于重定向的方法、装置及*** | |
| CN104954315B (zh) | 提升安全套接层访问安全性的方法及装置 | |
| CN105917630B (zh) | 使用单点登录自举到检查代理的重定向 | |
| US9225711B1 (en) | Transferring an authenticated session between security contexts | |
| CN105357191B (zh) | 用户数据的加密方法及装置 | |
| CN104618108B (zh) | 安全通信*** | |
| JP2021510877A (ja) | Httpsトランザクションにおける中間者の検出 | |
| US11120418B2 (en) | Systems and methods for managing a payment terminal via a web browser | |
| US10601831B2 (en) | Accessing local information based on a browser session | |
| EP2786607A1 (en) | Mutually authenticated communication | |
| WO2015139725A1 (en) | User identifier based device, identity and activity management system | |
| US12015609B2 (en) | Secure identity provider authentication for native application to access web service | |
| CN107070931A (zh) | 云应用数据上传/访问方法、***及云代理服务器 | |
| KR20150043533A (ko) | 모바일 단말기들의 웹 기반 오버―디―에어 제공 및 활성화 | |
| EP2813051B1 (en) | Dynamic sharing of a webservice | |
| CN103647652B (zh) | 一种实现数据传输的方法、装置和服务器 | |
| CN111049789A (zh) | 域名访问的方法和装置 | |
| CN111786932B (zh) | 账号登录方法、装置、电子设备及计算机存储介质 | |
| US20230403562A1 (en) | Systems and methods for verified communication between mobile applications | |
| CN106470186A (zh) | 一种以跳转方式访问第三方资源的方法 | |
| EP1959629A1 (en) | Method for authenticating a user for access to server based applications from mobile device, gateway and identity management unit | |
| KR101660791B1 (ko) | 서비스 제공 시스템의 클라이언트 장치 및 그것의 서비스 제공 방법 | |
| EP3200420A1 (en) | Providing communications security to an end-to-end communication connection | |
| US20230376953A1 (en) | Systems and methods for verified communication between mobile applications | |
| US11425114B2 (en) | Systems and methods for supporting a secure connectivity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220727 Address after: Room 801, 8th floor, No. 104, floors 1-19, building 2, yard 6, Jiuxianqiao Road, Chaoyang District, Beijing 100015 Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |
|
| TR01 | Transfer of patent right |