CN106656455A - 一种网站访问方法及装置 - Google Patents
一种网站访问方法及装置 Download PDFInfo
- Publication number
- CN106656455A CN106656455A CN201510407842.3A CN201510407842A CN106656455A CN 106656455 A CN106656455 A CN 106656455A CN 201510407842 A CN201510407842 A CN 201510407842A CN 106656455 A CN106656455 A CN 106656455A
- Authority
- CN
- China
- Prior art keywords
- certificate
- validity
- state
- failure
- revocation list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种网站访问方法及装置,其中方法包括:获取目标网站发送的证书,所述证书与所述目标网站对应;选取预置的至少一个查询渠道,向查询渠道对应的服务器发送用于验证证书有效性的证书验证请求,其中,与查询渠道对应的服务器中存储有表示失效证书的证书撤销列表;接收服务器反馈的所述证书的有效性状态,并根据所述证书的有效性状态选择是否访问所述目标网站。本申请设置了至少一个查询渠道及其对应的服务器,并在服务器中存储失效证书列表,通过与浏览器的信息互动确定将要访问目标网站的证书的有效性,进而决定是否访问目标网站,提高了网站访问的安全性。
Description
技术领域
本申请涉及互联网技术领域,更具体地说,涉及一种证书管理方法及装置。
背景技术
随着互联网的发展,人们越来越多的采用网络来完成一些敏感的事务处理,例如:网上银行、网上购物等等。由于这些敏感数据需要在网络中进行传输,为了保证数据安全及用户隐私,人们发明了很多新技术,其中数字证书就是其中一个。通过数字证书来验证用户身份和网络上服务器的身份。
但是,如果一个证书在有效期内被证书签发机构撤销,或者出现安全问题(如证书的私钥被泄漏)等,而浏览器如果不能及时得到相应信息,继续信任该证书的话,HTTPS的安全性就可能受到攻击。
发明内容
有鉴于此,本申请提供了一种证书管理方法及装置,用于在浏览器访问过程中,及时了解各网站证书的有效状态,提高网站访问的安全性。
为了实现上述目的,现提出的方案如下:
一种网站访问方法,应用于浏览器,该方法包括:
获取目标网站发送的证书,所述证书与所述目标网站对应;
选取预置的至少一个查询渠道,向查询渠道对应的服务器发送用于验证证书有效性的证书验证请求,其中,与查询渠道对应的服务器中存储有表示失效证书的证书撤销列表;
接收服务器反馈的所述证书的有效性状态,并根据所述证书的有效性状态选择是否访问所述目标网站。
一种网站访问方法,应用于证书管理服务器,该方法包括:
接收浏览器发送的用于验证证书有效性的证书验证请求,所述证书验证请求包含待验证证书;
读取预置的证书撤销列表,所述证书撤销列表用于存储失效的证书;
判断在所述证书撤销列表中是否存在所述待验证证书,若是,确定所述待验证证书的有效性状态为失效,若否,确定所述待验证证书的有效性状态为有效;
将所述待验证证书的有效性状态反馈给浏览器,以供其根据该证书有效性状态选择是否继续访问网站。
一种网站访问装置,应用于浏览器,该装置包括:
证书获取单元,用于获取目标网站发送的证书,所述证书与所述目标网站对应;
状态查询单元,用于选取预置的至少一个查询渠道,向查询渠道对应的服务器发送用于验证证书有效性的证书验证请求,其中,与查询渠道对应的服务器中存储有表示失效证书的证书撤销列表;
访问处理单元,用于接收服务器反馈的所述证书的有效性状态,并根据所述证书的有效性状态选择是否访问所述目标网站。
一种网站访问装置,应用于服务器,该装置包括:
验证请求接收单元,用于接收浏览器发送的用于验证证书有效性的证书验证请求,所述证书验证请求包含待验证证书;
列表读取单元,用于读取预置的证书撤销列表,所述证书撤销列表用于存储失效的证书;
列表查询单元,用于判断在所述证书撤销列表中是否存在所述待验证证书;
证书状态确定单元,用于在所述列表查询单元判断结果为是时,确定所述待验证证书的有效性状态为失效,在所述列表查询单元判断结果为否时,确定所述待验证证书的有效性状态为有效;
证书状态反馈单元,用于将所述待验证证书的有效性状态反馈给浏览器,以供其根据该证书有效性状态选择是否继续访问网站。
从上述的技术方案可以看出,本申请实施例提供的网站访问方法,在获取目标网站发送的证书后,选取预置的至少一个查询渠道,向查询渠道对应的服务器发送用于验证证书有效性的证书验证请求,其中,与查询渠道对应的服务器中存储有表示失效证书的证书撤销列表,接收服务器反馈的所述证书的有效性状态,并根据所述证书的有效性状态选择是否访问所述目标网站。本申请的方法,设置了至少一个查询渠道及其对应的服务器,并在服务器中存储失效证书列表,通过与浏览器的信息互动确定将要访问目标网站的证书的有效性,进而决定是否访问目标网站,提高了网站访问的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例公开的一种网站访问方法流程图;
图2为本申请实施例公开的另一种网站访问方法流程图;
图3为本申请实施例公开的又一种网站访问方法流程图;
图4为本申请实施例公开的又一种网站访问方法流程图;
图5为本申请实施例公开的一种网站访问装置结构示意图;
图6为本申请实施例公开的另一种网站访问装置结构示意图;
图7为本申请实施例公开的一种第三状态查询子单元结构示意图;
图8为本申请实施例公开的又一种网站访问装置结构示意图;
图9为本申请实施例公开的一种列表查询单元结构示意图;
图10为本申请实施例公开的又一种网站访问装置结构示意图;
图11为本申请实施例公开的一种终端硬件结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请提供了一种基于证书验证的网站访问方法,在访问目标网站之前,先验证该网站的证书的有效性,在其证书失效时拒绝访问该网站。为了实现本申请的方案,本实施例中预先设置了至少一个查询渠道,及其对应的服务器,在服务器中收集并存储了失效证书的列表。
本申请实施例提供的网站访问方法基于一种网站访问架构,该架构包括浏览器、本地***、各证书颁发机构以及预置的证书管理服务器。浏览器通过查询本地***更新文件确定证书有效性状态、与证书颁发机构通信确定证书有效性状态、与证书管理服务器通信确定证书有效性状态,进而综合判断三种方式所确定的证书的有效性状态,决定是否访问目标网站。
首先从浏览器的角度对本申请的方案进行介绍。参见图1,图1为本申请实施例公开的一种网站访问方法流程图。
如图1所示,该方法包括:
步骤S100、获取目标网站发送的证书,所述证书与所述目标网站对应;
具体地,在访问某些网站时,这些网站可能对应设置有证书,例如访问各大银行网站以及某些网购平台网站。在进行网站访问时,网站会将对应的证书发送给用户。
步骤S110、选取预置的至少一个查询渠道,向查询渠道对应的服务器发送用于验证证书有效性的证书验证请求;
其中,与查询渠道对应的服务器中存储有表示失效证书的证书撤销列表。本申请中可以预先设置多种查询渠道,每种查询渠道均对应设置有服务器,用于存储失效证书的列表。
步骤S120、接收服务器反馈的所述证书的有效性状态,并根据所述证书的有效性状态选择是否访问所述目标网站。
具体地,所选取的查询渠道对应的服务器在接收到请求后会查询所述证书的有效性状态,并将结果进行反馈。本步骤中根据接收的证书的有效性状态,确定是否访问目标网站。例如,当确定证书为失效证书时,可以选择拒绝访问目标网站,以保证安全性。
本申请实施例提供的网站访问方法,在获取目标网站发送的证书后,选取预置的至少一个查询渠道,向查询渠道对应的服务器发送用于验证证书有效性的证书验证请求,其中,与查询渠道对应的服务器中存储有表示失效证书的证书撤销列表,接收服务器反馈的所述证书的有效性状态,并根据所述证书的有效性状态选择是否访问所述目标网站。本申请的方法,设置了至少一个查询渠道及其对应的服务器,并在服务器中存储失效证书列表,通过与浏览器的信息互动确定将要访问目标网站的证书的有效性,进而决定是否访问目标网站,提高了网站访问的安全性。
需要解释的是,对于获取的目标网站发送的证书,其包括了与该网站对应的所有证书,一般是通过递归的方式获取证书及证书的父证书,直至获取根证书为止,对于这些证书均需要进行有效性的验证。
参见图2,图2为本申请实施例公开的另一种网站访问方法流程图。
如图2所示,该方法包括:
步骤S200、获取目标网站发送的证书,所述证书与所述目标网站对应;
具体地,在访问某些网站时,这些网站可能对应设置有证书,例如访问各大银行网站以及某些网购平台网站。在进行网站访问时,网站会将对应的证书发送给用户。
步骤S210、查询本地***更新文件,以确定所述证书的有效性状态;
其中,所述本地***更新文件中记录有表示失效证书的证书撤销列表。
具体地,操作***会通过更新安全补丁的方式来更新***上的撤销证书列表,将有效性状态为失效的证书添加到本地***文件中。据此,本申请可以通过查询本地***文件来确定证书的有效性。
步骤S220、根据OCSP协议,向所述证书的颁发机构发送用于验证证书有效性的证书验证请求;
其中,OCSP协议为:Online Certificate Status Protocol,在线证书状态协议。在线证书状态协议规定了通讯语法。具体为按照OCSP协议规定的通讯语法向所述证书的颁发机构发送所述证书有效性验证请求。其中,所述证书颁发机构记录有表示失效证书的证书撤销列表。
需要说明的是,OCSP协议一般作为浏览器的一个可配置项,默认未开启或者被用户关闭,若要使用该功能需要用户开启。此外,OCSP协议还可能因为网络或服务器的原因,无法访问。
步骤S230、向预置的证书管理服务器发送用于验证证书有效性的证书验证请求;
其中预置的证书管理服务器中存储有表示失效证书的证书撤销列表。可以通过各种渠道将获取到的失效证书存储到证书管理服务器中。
步骤S240、接收本地***、所述证书的颁发机构及所述证书管理服务器三者各自反馈的所述证书的有效性状态;
上述步骤S210-S230分别向本地***、证书颁发机构及证书管理服务器发送了证书有效性验证请求,本步骤中对应的接收三者反馈的信息。
步骤S250、若确定接收的三个有效性状态中,任意一个有效性状态为失效状态,则拒绝访问所述目标网站。
上一步骤中分别接收了三者反馈的证书有效性状态,对于三个有效性状态,若判断其中任意一个有效性状态为失效状态,则拒绝访问所述目标网站。
本实施例中提供了三种查询渠道,通过综合上述三种查询方式来确定证书的有效性状态,提高了网站访问的安全性。
需要说明的是,上述步骤S210-S230的执行顺序并非限定为图2所示,三个步骤可以并行或者以其它顺序执行,对此本申请不进行限定。
可选的,对于预置的证书管理服务器,可以由维护人员定期进行证书撤销列表的更新,将证书的最新状态在证书管理服务器中进行更新,以保证后续依据证书管理服务器进行证书有效性状态确定的准确性。
需要说明的是,上述第三种查询渠道中,在向预置的证书管理服务器发送证书有效性验证请求时,考虑到通信开销的问题,我们可以不将待验证证书的全部信息都发给证书管理服务器,而仅仅将证书的指纹(证书的指纹为标识证书唯一身份的固有属性)发送给证书管理服务器。
相应地,证书管理服务器中也可以仅仅存储失效证书的指纹,在判断证书有效性时,仅仅需要查找证书撤销列表中是否存储有待验证证书的指纹即可,既方便又节省通信开销。
在本申请的另一个实施例中,我们以证书管理服务器的角度对本申请的方案进行介绍。参见图3,图3为本申请实施例公开的又一种网站访问方法流程图。
如图3所示,该方法包括:
步骤S300、接收浏览器发送的用于验证证书有效性的证书验证请求,所述证书验证请求包含待验证证书;
步骤S310、读取预置的证书撤销列表,所述证书撤销列表用于存储失效的证书;
步骤S320、通过验证所述待验证证书是否存储在所述证书撤销列表中,确定待验证证书的有效性状态;
具体地,判断在所述证书撤销列表中是否存在所述待验证证书,若是,确定所述待验证证书的有效性状态为失效,若否,确定所述待验证证书的有效性状态为有效。
步骤S330、将所述待验证证书的有效性状态反馈给浏览器,以供其根据该证书有效性状态选择是否继续访问网站。
本实施例从证书管理服务器的角度对方案进行了介绍,证书管理服务器通过查询本地预置的表示失效证书的证书撤销列表,确定待验证证书的有效性状态,进而反馈给浏览器,以便浏览器选择是否访问目标网站,提高了安全性。
需要说明的是,在证书管理服务器中可以仅仅存储失效证书的指纹。而浏览器端发送过来的证书验证请求中,携带的是待验证证书的指纹。在判断证书有效性时,仅仅需要查找证书撤销列表中是否存储有待验证证书的指纹,若有,则确定待验证证书为失效证书,否则,确定待验证证书为有效证书。这种方式既方便又节省通信开销。
在上一实施例基础上,本实施例进一步公开了又一种网站访问方法,参见图4,图4为本申请实施例公开的又一种网站访问方法流程图。
如图4所示,该方法包括:
步骤S400、接收浏览器发送的用于验证证书有效性的证书验证请求,所述证书验证请求包含待验证证书;
步骤S410、读取预置的证书撤销列表,所述证书撤销列表用于存储失效的证书;
步骤S420、通过验证所述待验证证书是否存储在所述证书撤销列表中,确定待验证证书的有效性状态;
具体地,判断在所述证书撤销列表中是否存在所述待验证证书,若是,确定所述待验证证书的有效性状态为失效,若否,确定所述待验证证书的有效性状态为有效。
步骤S430、将所述待验证证书的有效性状态反馈给浏览器,以供其根据该证书有效性状态选择是否继续访问网站;
步骤S440、按照预定策略,获取操作***厂商及安全公司发布的失效证书列表;
步骤S450、利用所述失效证书列表对本地预置的证书撤销列表进行更新。
可以理解的是,上述步骤S440和步骤S450的执行顺序并非限定为图4所示情况,其可以位于步骤S400-S430中的任意位置。
其中,预定策略可以是获取时间,例如每隔预定时间获取一次,或者实时获取等。对于操作***厂商而言,其可能是不定时的发布失效证书列表,而对于终端操作***而言,由于人为原因或者网络原因,可能并不能够及时的获取到该更新信息,因此不能够及时更新本地存储的证书撤销列表。本实施例中证书管理服务器有效解决了这个问题。此外,除了操作***厂商,某些安全公司也会披露一些不安全的证书,例如金山杀毒等。本实施例的证书管理服务器还可以对安全公司公布的失效证书列表进行监控获取,并利用其对证书撤销列表进行更新。
下面对本申请实施例提供的网站访问装置进行描述,下文描述的网站访问装置与上文描述的网站访问方法可相互对应参照。
本申请提供了一种网站访问装置,应用于浏览器中,如图5所示,该装置包括:
证书获取单元51,用于获取目标网站发送的证书,所述证书与所述目标网站对应;
状态查询单元52,用于选取预置的至少一个查询渠道,向查询渠道对应的服务器发送用于验证证书有效性的证书验证请求,其中,与查询渠道对应的服务器中存储有表示失效证书的证书撤销列表;
访问处理单元53,用于接收服务器反馈的所述证书的有效性状态,并根据所述证书的有效性状态选择是否访问所述目标网站。
可选的,图6示例了本申请网站访问装置的另一种结构,如图6所示,其中,所述状态查询单元52可以包括:
第一状态查询子单元521,用于查询本地***更新文件,以确定所述证书的有效性状态,其中,所述本地***更新文件中记录有表示失效证书的证书撤销列表;
第二状态查询子单元522,用于根据OCSP协议(Online Certificate StatusProtocol,在线证书状态协议),向所述证书的颁发机构发送用于验证证书有效性的证书验证请求,其中,所述证书颁发机构记录有表示失效证书的证书撤销列表;
第三状态查询子单元523,用于向预置的证书管理服务器发送用于验证证书有效性的证书验证请求,其中证书管理服务器中存储有表示失效证书的证书撤销列表;
所述访问处理单元53可以包括:
有效性状态接收单元531,用于接收本地***、所述证书的颁发机构及所述证书管理服务器三者各自反馈的所述证书的有效性状态;
有效性状态判断单元532,用于在确定接收的三个有效性状态中,任意一个有效性状态为失效状态时,拒绝访问所述目标网站。
可选的,所述证书管理服务器中存储的证书撤销列表是按照证书的指纹进行存储,则如图7所示,所述第三状态查询子单元523可以包括:
指纹查询单元5231,用于向预置的证书管理服务器发送携带有所述证书的指纹的证书有效性验证请求。
本申请实施例提供的网站访问装置,在获取目标网站发送的证书后,选取预置的至少一个查询渠道,向查询渠道对应的服务器发送用于验证证书有效性的证书验证请求,其中,与查询渠道对应的服务器中存储有表示失效证书的证书撤销列表,接收服务器反馈的所述证书的有效性状态,并根据所述证书的有效性状态选择是否访问所述目标网站。本申请的装置,设置了至少一个查询渠道及其对应的服务器,并在服务器中存储失效证书列表,通过与浏览器的信息互动确定将要访问目标网站的证书的有效性,进而决定是否访问目标网站,提高了网站访问的安全性。
本申请还提供了一种网站访问装置,应用于证书管理服务器中,如图8所示,该装置包括:
验证请求接收单元81,用于接收浏览器发送的用于验证证书有效性的证书验证请求,所述证书验证请求包含待验证证书;
列表读取单元82,用于读取预置的证书撤销列表,所述证书撤销列表用于存储失效的证书;
列表查询单元83,用于判断在所述证书撤销列表中是否存在所述待验证证书;
证书状态确定单元84,用于在所述列表查询单元83判断结果为是时,确定所述待验证证书的有效性状态为失效,在所述列表查询单元83判断结果为否时,确定所述待验证证书的有效性状态为有效;
证书状态反馈单元85,用于将所述待验证证书的有效性状态反馈给浏览器,以供其根据该证书有效性状态选择是否继续访问网站。
可选的,所述验证请求接收单元81接收的证书验证请求中包含的是待验证证书的指纹,所述证书撤销列表中存储的为失效证书的指纹,则如图9所示,所述列表查询单元83可以包括:
第一列表查询子单元831,用于判断在所述证书撤销列表中是否存在待验证证书的指纹。
可选的,图10示例了本申请网站访问装置的另一种结构,结合图8和图10可知,该装置还可以包括:
失效证书监控单元86,用于按照预定策略,获取操作***厂商及安全公司发布的失效证书列表;
列表更新单元87,用于利用所述失效证书列表对本地预置的证书撤销列表进行更新。
本申请提供的网站访问装置应用于证书管理服务器中,通过接收浏览器发送的待验证证书的证书验证请求,对预置的证书撤销列表进行查询,进而确定待验证证书的有效性,并反馈给浏览器端,若确定待验证证书为失效证书,则浏览器端可选选择拒绝访问目标网站,提高了安全性。
本申请实施例还提供一种终端,该终端能够进行网站访问控制,如平板电脑等;该终端可以包括上述的网站访问装置,对于网站访问装置的描述可参照上文对应部分描述,此处不再赘述。
下面对本申请实施例提供的终端的硬件结构进行描述,下文描述中涉及通话网站访问方法的部分可参照上文对应部分描述。图11为本申请实施例提供的终端的硬件结构示意图,参照图11,该终端可以包括:
处理器1,通信接口2,存储器3,通信总线4,和显示屏5;
其中处理器1、通信接口2、存储器3和显示屏5通过通信总线4完成相互间的通信;
可选的,通信接口2可以为通信模块的接口,如GSM模块的接口;
处理器1,用于执行程序;
存储器3,用于存放程序;
程序可以包括程序代码,所述程序代码包括处理器的操作指令。
处理器1可能是一个中央处理器CPU,或者是特定集成电路ASIC(Application Specific Integrated Circuit),或者是被配置成实施本申请实施例的一个或多个集成电路。
存储器3可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
其中,程序可具体用于:
获取目标网站发送的证书,所述证书与所述目标网站对应;
选取预置的至少一个查询渠道,向查询渠道对应的服务器发送用于验证证书有效性的证书验证请求,其中,与查询渠道对应的服务器中存储有表示失效证书的证书撤销列表;
接收服务器反馈的所述证书的有效性状态,并根据所述证书的有效性状态选择是否访问所述目标网站。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (12)
1.一种网站访问方法,其特征在于,应用于浏览器,该方法包括:
获取目标网站发送的证书,所述证书与所述目标网站对应;
选取预置的至少一个查询渠道,向查询渠道对应的服务器发送用于验证证书有效性的证书验证请求,其中,与查询渠道对应的服务器中存储有表示失效证书的证书撤销列表;
接收服务器反馈的所述证书的有效性状态,并根据所述证书的有效性状态选择是否访问所述目标网站。
2.根据权利要求1所述的方法,其特征在于,所述选取预置的至少一个查询渠道,向查询渠道对应的服务器发送用于验证证书有效性的证书验证请求,包括:
查询本地***更新文件,以确定所述证书的有效性状态,其中,所述本地***更新文件中记录有表示失效证书的证书撤销列表;
根据OCSP协议(Online Certificate Status Protocol,在线证书状态协议),向所述证书的颁发机构发送用于验证证书有效性的证书验证请求,其中,所述证书颁发机构记录有表示失效证书的证书撤销列表;
向预置的证书管理服务器发送用于验证证书有效性的证书验证请求,其中证书管理服务器中存储有表示失效证书的证书撤销列表;
所述接收服务器反馈的所述证书的有效性状态,并根据所述证书的有效性状态选择是否访问所述目标网站,包括:
接收本地***、所述证书的颁发机构及所述证书管理服务器三者各自反馈的所述证书的有效性状态;
若确定接收的三个有效性状态中,任意一个有效性状态为失效状态,则拒绝访问所述目标网站。
3.根据权利要求2所述的方法,其特征在于,所述证书管理服务器中存储的证书撤销列表是按照证书的指纹进行存储,则所述向预置的证书管理服务器发送用于验证证书有效性的证书验证请求,包括:
向预置的证书管理服务器发送携带有所述证书的指纹的证书有效性验证请求。
4.一种网站访问方法,其特征在于,应用于证书管理服务器,该方法包括:
接收浏览器发送的用于验证证书有效性的证书验证请求,所述证书验证请求包含待验证证书;
读取预置的证书撤销列表,所述证书撤销列表用于存储失效的证书;
判断在所述证书撤销列表中是否存在所述待验证证书,若是,确定所述待验证证书的有效性状态为失效,若否,确定所述待验证证书的有效性状态为有效;
将所述待验证证书的有效性状态反馈给浏览器,以供其根据该证书有效性状态选择是否继续访问网站。
5.根据权利要求4所述的方法,其特征在于,所述证书验证请求中包含的是待验证证书的指纹,所述证书撤销列表中存储的为失效证书的指纹,则所述判断在所述证书撤销列表中是否存在所述待验证证书,包括:
判断在所述证书撤销列表中是否存在待验证证书的指纹,若是,则确定所述证书撤销列表中存在所述待验证证书,若否,则确定所述证书撤销列表中不存在所述待验证证书。
6.根据权利要求4所述的方法,其特征在于,还包括:
按照预定策略,获取操作***厂商及安全公司发布的失效证书列表;
利用所述失效证书列表对本地预置的证书撤销列表进行更新。
7.一种网站访问装置,其特征在于,应用于浏览器,该装置包括:
证书获取单元,用于获取目标网站发送的证书,所述证书与所述目标网站对应;
状态查询单元,用于选取预置的至少一个查询渠道,向查询渠道对应的服务器发送用于验证证书有效性的证书验证请求,其中,与查询渠道对应的服务器中存储有表示失效证书的证书撤销列表;
访问处理单元,用于接收服务器反馈的所述证书的有效性状态,并根据所述证书的有效性状态选择是否访问所述目标网站。
8.根据权利要求7所述的装置,其特征在于,所述状态查询单元包括:
第一状态查询子单元,用于查询本地***更新文件,以确定所述证书的有效性状态,其中,所述本地***更新文件中记录有表示失效证书的证书撤销列表;
第二状态查询子单元,用于根据OCSP协议(Online Certificate StatusProtocol,在线证书状态协议),向所述证书的颁发机构发送用于验证证书有效性的证书验证请求,其中,所述证书颁发机构记录有表示失效证书的证书撤销列表;
第三状态查询子单元,用于向预置的证书管理服务器发送用于验证证书有效性的证书验证请求,其中证书管理服务器中存储有表示失效证书的证书撤销列表;
所述访问处理单元包括:
有效性状态接收单元,用于接收本地***、所述证书的颁发机构及所述证书管理服务器三者各自反馈的所述证书的有效性状态;
有效性状态判断单元,用于在确定接收的三个有效性状态中,任意一个有效性状态为失效状态时,拒绝访问所述目标网站。
9.根据权利要求8所述的装置,其特征在于,所述证书管理服务器中存储的证书撤销列表是按照证书的指纹进行存储,则所述第三状态查询子单元包括:
指纹查询单元,用于向预置的证书管理服务器发送携带有所述证书的指纹的证书有效性验证请求。
10.一种网站访问装置,其特征在于,应用于服务器,该装置包括:
验证请求接收单元,用于接收浏览器发送的用于验证证书有效性的证书验证请求,所述证书验证请求包含待验证证书;
列表读取单元,用于读取预置的证书撤销列表,所述证书撤销列表用于存储失效的证书;
列表查询单元,用于判断在所述证书撤销列表中是否存在所述待验证证书;
证书状态确定单元,用于在所述列表查询单元判断结果为是时,确定所述待验证证书的有效性状态为失效,在所述列表查询单元判断结果为否时,确定所述待验证证书的有效性状态为有效;
证书状态反馈单元,用于将所述待验证证书的有效性状态反馈给浏览器,以供其根据该证书有效性状态选择是否继续访问网站。
11.根据权利要求10所述的装置,其特征在于,所述验证请求接收单元接收的证书验证请求中包含的是待验证证书的指纹,所述证书撤销列表中存储的为失效证书的指纹,则所述列表查询单元包括:
第一列表查询子单元,用于判断在所述证书撤销列表中是否存在待验证证书的指纹。
12.根据权利要求10所述的装置,其特征在于,还包括:
失效证书监控单元,用于按照预定策略,获取操作***厂商及安全公司发布的失效证书列表;
列表更新单元,用于利用所述失效证书列表对本地预置的证书撤销列表进行更新。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510407842.3A CN106656455B (zh) | 2015-07-13 | 2015-07-13 | 一种网站访问方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510407842.3A CN106656455B (zh) | 2015-07-13 | 2015-07-13 | 一种网站访问方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106656455A true CN106656455A (zh) | 2017-05-10 |
| CN106656455B CN106656455B (zh) | 2020-11-03 |
Family
ID=58815004
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510407842.3A Active CN106656455B (zh) | 2015-07-13 | 2015-07-13 | 一种网站访问方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106656455B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107508682A (zh) * | 2017-08-16 | 2017-12-22 | 努比亚技术有限公司 | 浏览器证书认证方法及移动终端 |
| CN108092777A (zh) * | 2017-12-26 | 2018-05-29 | 北京奇虎科技有限公司 | 数字证书的监管方法及装置 |
| CN109921910A (zh) * | 2019-03-21 | 2019-06-21 | 平安科技(深圳)有限公司 | 证书状态的验证方法及装置、存储介质、电子装置 |
| CN111291369A (zh) * | 2020-01-20 | 2020-06-16 | 北京无限光场科技有限公司 | 一种信息检测方法和电子设备 |
| CN114143034A (zh) * | 2021-11-01 | 2022-03-04 | 清华大学 | 一种网络访问安全性检测方法及装置 |
| CN116455633A (zh) * | 2023-04-17 | 2023-07-18 | 清华大学 | 数字证书验证方法、装置、电子设备及存储介质 |
| CN116827648A (zh) * | 2023-07-07 | 2023-09-29 | 亚数信息科技(上海)有限公司 | 网站有效性检测方法、装置、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101002420A (zh) * | 2003-12-19 | 2007-07-18 | 摩托罗拉公司(在特拉华州注册的公司) | 用于提供基于证书的密码技术的移动设备和方法 |
| CN101212465A (zh) * | 2006-12-26 | 2008-07-02 | 中兴通讯股份有限公司 | 因特网密钥交换协议第二版证书有效性验证的方法 |
| CN101848218A (zh) * | 2010-05-14 | 2010-09-29 | 山东泰信电子有限公司 | 一种互联网电视终端安全访问互联网的方法 |
| CN102111378A (zh) * | 2009-12-25 | 2011-06-29 | 上海格尔软件股份有限公司 | 签名验证*** |
| CN102571770A (zh) * | 2011-12-27 | 2012-07-11 | 北京神州绿盟信息安全科技股份有限公司 | 中间人攻击检测方法、装置、服务器及*** |
| CN102647394A (zh) * | 2011-02-16 | 2012-08-22 | 中兴通讯股份有限公司 | 路由设备身份认证方法及装置 |
-
2015
- 2015-07-13 CN CN201510407842.3A patent/CN106656455B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101002420A (zh) * | 2003-12-19 | 2007-07-18 | 摩托罗拉公司(在特拉华州注册的公司) | 用于提供基于证书的密码技术的移动设备和方法 |
| CN101212465A (zh) * | 2006-12-26 | 2008-07-02 | 中兴通讯股份有限公司 | 因特网密钥交换协议第二版证书有效性验证的方法 |
| CN102111378A (zh) * | 2009-12-25 | 2011-06-29 | 上海格尔软件股份有限公司 | 签名验证*** |
| CN101848218A (zh) * | 2010-05-14 | 2010-09-29 | 山东泰信电子有限公司 | 一种互联网电视终端安全访问互联网的方法 |
| CN102647394A (zh) * | 2011-02-16 | 2012-08-22 | 中兴通讯股份有限公司 | 路由设备身份认证方法及装置 |
| CN102571770A (zh) * | 2011-12-27 | 2012-07-11 | 北京神州绿盟信息安全科技股份有限公司 | 中间人攻击检测方法、装置、服务器及*** |
Non-Patent Citations (3)
| Title |
|---|
| M. MYERS: "X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP", 《IETF 2560》 * |
| 徐文娟: "OCSP在CA安全认证***中的应用实现", 《计算机工程与应用》 * |
| 陈亨斌: "基于 OCSP 协议的证书状态查询***", 《微计算机信息》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107508682A (zh) * | 2017-08-16 | 2017-12-22 | 努比亚技术有限公司 | 浏览器证书认证方法及移动终端 |
| CN108092777A (zh) * | 2017-12-26 | 2018-05-29 | 北京奇虎科技有限公司 | 数字证书的监管方法及装置 |
| CN108092777B (zh) * | 2017-12-26 | 2021-08-24 | 北京奇虎科技有限公司 | 数字证书的监管方法及装置 |
| CN109921910A (zh) * | 2019-03-21 | 2019-06-21 | 平安科技(深圳)有限公司 | 证书状态的验证方法及装置、存储介质、电子装置 |
| CN111291369A (zh) * | 2020-01-20 | 2020-06-16 | 北京无限光场科技有限公司 | 一种信息检测方法和电子设备 |
| CN111291369B (zh) * | 2020-01-20 | 2022-05-20 | 北京无限光场科技有限公司 | 一种信息检测方法和电子设备 |
| CN114143034A (zh) * | 2021-11-01 | 2022-03-04 | 清华大学 | 一种网络访问安全性检测方法及装置 |
| CN116455633A (zh) * | 2023-04-17 | 2023-07-18 | 清华大学 | 数字证书验证方法、装置、电子设备及存储介质 |
| CN116455633B (zh) * | 2023-04-17 | 2024-01-30 | 清华大学 | 数字证书验证方法、装置、电子设备及存储介质 |
| CN116827648A (zh) * | 2023-07-07 | 2023-09-29 | 亚数信息科技(上海)有限公司 | 网站有效性检测方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106656455B (zh) | 2020-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106656455A (zh) | 一种网站访问方法及装置 | |
| EP3432541B1 (en) | Web site login method and apparatus | |
| EP3639496B1 (en) | Improved network access point | |
| JP5522307B2 (ja) | 仮想機械によるソフトウェアテストを用いた電子ネットワークにおけるクライアントシステムの遠隔保守のためのシステム及び方法 | |
| CN103597494B (zh) | 用于管理文档的数字使用权限的方法和设备 | |
| CN102281286B (zh) | 分布式混合企业的灵活端点顺从和强认证的方法和*** | |
| CN100573402C (zh) | 代码签字***及方法 | |
| JP6949064B2 (ja) | 認証及び承認方法並びに認証サーバー | |
| CN112912880A (zh) | 用于个性化的网络服务的容器构建器 | |
| WO2018228952A1 (en) | Expendable network access | |
| CN105052108A (zh) | 自动欺骗性数字证书检测 | |
| JP4533935B2 (ja) | ライセンス認証システム及び認証方法 | |
| CN110149328A (zh) | 接口鉴权方法、装置、设备及计算机可读存储介质 | |
| CN111079091A (zh) | 一种软件的安全管理方法、装置、终端及服务器 | |
| US9111079B2 (en) | Trustworthy device claims as a service | |
| CN109617926A (zh) | 业务权限的控制方法、装置和存储介质 | |
| CN105939362A (zh) | 用户账号管理方法及装置 | |
| CN104753944A (zh) | 账户安全验证方法和*** | |
| CN105959293B (zh) | 电子账号的管理方法和装置 | |
| CN104270391A (zh) | 一种访问请求的处理方法及装置 | |
| CN109818965B (zh) | 个人身份验证装置及方法 | |
| US20080046750A1 (en) | Authentication method | |
| JP2021149933A (ja) | 口座検証 | |
| CN102130907B (zh) | 开发者电话注册 | |
| CN102349065A (zh) | 设备辅助的服务安装 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |