CN107508682A - 浏览器证书认证方法及移动终端 - Google Patents
浏览器证书认证方法及移动终端 Download PDFInfo
- Publication number
- CN107508682A CN107508682A CN201710700612.5A CN201710700612A CN107508682A CN 107508682 A CN107508682 A CN 107508682A CN 201710700612 A CN201710700612 A CN 201710700612A CN 107508682 A CN107508682 A CN 107508682A
- Authority
- CN
- China
- Prior art keywords
- certificate
- browser
- authentication
- certification authority
- website
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种移动终端,其包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的浏览器证书认证程序,浏览器证书认证程序被处理器执行时实现如下步骤:浏览器接收到网址信息时访问所述网址信息对应的网站并接收所述网站返回的证书;所述浏览器根据预置的证书颁发机构列表、证书吊销列表以及***时间对所述证书进行本地认证;当本地认证失败时,发送委托认证请求至证书认证服务器以使所述证书认证服务器根据证书颁发机构和服务器时间对所述证书进行认证;接收并显示所述证书认证服务器返回的证书认证结果。与现有技术相比,本发明有效避免了浏览器本地认证受时间不准问题、禁用某证书时导致证书认证失败的问题。
Description
技术领域
本发明涉及移动终端技术领域,尤其涉及一种浏览器证书认证方法及移动终端。
背景技术
浏览器通常使用HTTP或者HTTPS协议与服务器进行通讯。HTTPS协议由网景公司在1994年首次提出,早期主要用于互联网上交易支付和企业敏感信息的传输,到2010年左右,其广泛用于保护浏览器到服务器之间的所有数据传输,能够有效防止网络通信中的窃听和中间人攻击。目前大概有50%的网站都部署了HTTPS。
HTTPS的信任源于预先安装在浏览器所在***的证书颁发机构,某网站的HTTPS连接可被信任的充要条件是浏览器正确实现了HTTPS协议并预置了正确的证书颁发机构、证书颁发机构仅向合法网站颁发证书、用户访问的网站提供了有效的证书、有效证书的通用名称跟用户访问的网站域名匹配、HTTPS的加密层(SSL/TLS)采用强加密算法能够有效防止窃听。
因此浏览器的实现对网站的证书验证至关重要,然而证书认证会受限于浏览器所在的***环境。例如:***环境的当前时间无效,处在网站提供的证书开始日期与截止日期之外,由于无法进一步确认到底是网站提供的证书日期失效还是当前***时间无效,浏览器通常建议不要继续访问此网站;或者,当用户禁用了浏览器内预置的某个证书时,此时证书验证失败,浏览器也会建议不要继续访问此网站。在上述两种情况下,用户无法确认证书验证失败是由***环境导致的还是由网站的不安全性导致的,即用户无法对证书进行有效认证,会给用户带来非常多的不便。
因此,有必要提供一种浏览器证书认证方法及移动终端来解决上述技术问题。
发明内容
本发明的主要目的在于提出一种浏览器证书认证方法及移动终端,旨在解决浏览器对网站的证书进行认证时受***环境影响,无法对证书进行有效认证的技术问题。
首先,为实现上述目的,本发明提供一种移动终端,所述移动终端包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的浏览器证书认证程序,所述浏览器证书认证程序被所述处理器执行时实现如下步骤:
浏览器接收到网址信息时访问所述网址信息对应的网站并接收所述网站返回的证书;
所述浏览器根据预置的证书颁发机构列表、证书吊销列表以及***时间对所述证书进行本地认证;
当本地认证失败时,发送委托认证请求至证书认证服务器以使所述证书认证服务器根据证书颁发机构和服务器时间对所述证书进行认证;
接收并显示所述证书认证服务器返回的证书认证结果。
可选地,所述处理器还用于执行所述浏览器证书认证程序,以实现如下步骤:
获取所述证书的证书信息;
根据所述证书信息和所述证书颁发机构列表对所述证书进行身份认证;
若所述身份认证成功,则根据所述证书信息和所述浏览器所处的***时间判断所述证书是否处于有效期内;
若所述证书处于有效期内,则根据所述浏览器内预置的所述证书吊销列表判断所述证书是否被吊销;
若所述身份认证失败、所述证书未处于有效期内或所述证书已被吊销,则判定所述本地认证失败。
可选地,所述证书信息包括证书序列号、证书通用名称、证书颁发者、有效期开始时间、有效期结束时间、证书用途以及证书签名;所述处理器还用于执行所述浏览器证书认证程序,以实现如下步骤:
查找所述证书颁发机构列表内是否存在与所述证书颁发者对应的证书颁发机构;
若查找结果为是,则根据所述证书颁发机构的公钥对所述证书签名进行解密以得到初始摘要信息;
根据散列算法对所述证书签名之外的所述证书信息进行计算以得到当前摘要信息,并判断所述当前摘要信息与所述初始摘要信息是否一致;
若所述当前摘要信息与所述初始摘要信息一致,则判断所述网址信息对应的域名与所述证书通用名称是否匹配;
若所述网址信息对应的域名与所述证书通用名称匹配,则判定所述身份认证成功。
可选地,所述证书认证服务器上还预置有常用安全网站的自签名证书列表;所述处理器还用于执行所述浏览器证书认证程序,以实现如下步骤:
通过所述常用安全网站的自签名证书列表对所述证书进行认证;
所述证书认证服务器根据预置的证书颁发机构列表对所述证书进行身份认证;
若所述身份认证通过,则发送OCSP请求至颁发所述证书的证书颁发机构以检测所述证书是否被吊销;
若所述证书未被吊销,则通过所述证书认证服务器的服务器时间断所述证书是否处于有效期内。
同时,本发明还提供一种浏览器证书认证方法,应用于移动终端,所述浏览器证书认证方法包括以下步骤:
浏览器接收到网址信息时访问所述网址信息对应的网站并接收所述网站返回的证书;
所述浏览器根据预置的证书颁发机构列表、证书吊销列表以及***时间对所述证书进行本地认证;
当本地认证失败时,发送委托认证请求至证书认证服务器以使所述证书认证服务器根据证书颁发机构和服务器时间对所述证书进行认证;
接收并显示所述证书认证服务器返回的证书认证结果。
可选地,所述浏览器根据预置的证书颁发机构列表、证书吊销列表以及***时间对所述证书进行本地认证的步骤包括:
获取所述证书的证书信息;
根据所述证书信息和所述证书颁发机构列表对所述证书进行身份认证;
若所述身份认证成功,则根据所述证书信息和所述浏览器所处的***时间判断所述证书是否处于有效期内;
若所述证书处于有效期内,则根据所述浏览器内预置的所述证书吊销列表判断所述证书是否被吊销;
若所述身份认证失败、所述证书未处于有效期内或所述证书已被吊销,则判定所述本地认证失败。
可选地,所述证书信息包括证书序列号、证书通用名称、证书颁发者、有效期开始时间、有效期结束时间、证书用途以及证书签名;所述根据所述证书信息和所述证书颁发机构列表对所述证书进行身份认证的步骤包括:
查找所述证书颁发机构列表内是否存在与所述证书颁发者对应的证书颁发机构;
若查找结果为是,则根据所述证书颁发机构的公钥对所述证书签名进行解密以得到初始摘要信息;
根据散列算法对所述证书签名之外的所述证书信息进行计算以得到当前摘要信息,并判断所述当前摘要信息与所述初始摘要信息是否一致;
若所述当前摘要信息与所述初始摘要信息一致,则判断所述网址信息对应的域名与所述证书通用名称是否匹配;
若所述网址信息对应的域名与所述证书通用名称匹配,则判定所述身份认证成功。
可选地,所述证书认证服务器上还预置有常用安全网站的自签名证书列表;
所述证书认证服务器根据证书颁发机构和服务器时间对所述证书进行认证的步骤之前还包括:
通过所述常用安全网站的自签名证书列表对所述证书进行认证。
可选地,所述证书认证服务器根据证书颁发机构和服务器时间对所述证书进行认证的步骤包括:
所述证书认证服务器根据预置的证书颁发机构列表对所述证书进行身份认证;
若所述身份认证通过,则发送OCSP请求至颁发所述证书的证书颁发机构以检测所述证书是否被吊销;
若所述证书未被吊销,则通过所述证书认证服务器的服务器时间断所述证书是否处于有效期内。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有浏览器证书认证程序,所述浏览器证书认证程序被处理器执行时实现如上述浏览器证书认证方法的步骤。
相较于现有技术,本发明所提出的浏览器证书认证方法、移动终端及计算机可读存储介质,在本地认证失败时,会发送委托认证请求至证书认证服务器以使所述证书认证服务器根据证书颁发机构和服务器时间对所述证书进行认证,由于证书认证服务器进行认证时是利用的证书颁发机构和服务器时间,而这些数据不会被受用户操作影响,因此其认证结果更为准确,能够有效避免浏览器本地认证受时间不准问题、禁用某证书时导致证书认证失败的问题,其能够帮助用户明确证书认证失败的原因,用户体验更好。
附图说明
图1为实现本发明各个实施例一可选的移动终端的硬件结构示意图;
图2为本发明实施例提供的一种通信网络***架构图;
图3为本发明浏览器证书认证程序第一实施例的功能模块示意图;
图4为本发明浏览器证书认证程序第二实施例的功能模块示意图;
图5为本发明浏览器证书认证方法第一实施例的实施流程示意图;
图6为本发明浏览器证书认证方法第二实施例的实施流程示意图;
图7为用户通过移动终端上的浏览器访问HTTPS网站时证书认证过程的示意图;
图8为一实施例中本地认证失败时移动终端上弹出提示信息时的用户界面示意图;
图9为用户查看证书时用户界面一实施例的示意图。
附图标记:
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明,其本身没有特定的意义。因此,“模块”、“部件”或“单元”可以混合地使用。
终端可以以各种形式来实施。例如,本发明中描述的终端可以包括诸如手机、平板电脑、笔记本电脑、掌上电脑、个人数字助理(Personal Digital Assistant,PDA)、便捷式媒体播放器(Portable Media Player,PMP)、导航装置、可穿戴设备、智能手环、计步器等移动终端,以及诸如数字TV、台式计算机等固定终端。
后续描述中将以移动终端为例进行说明,本领域技术人员将理解的是,除了特别用于移动目的的元件之外,根据本发明的实施方式的构造也能够应用于固定类型的终端。
请参阅图1,其为实现本发明各个实施例的一种移动终端的硬件结构示意图,该移动终端100可以包括:RF(Radio Frequency,射频)单元101、WiFi模块102、音频输出单元103、A/V(音频/视频)输入单元104、传感器105、显示单元106、用户输入单元107、接口单元108、存储器109、处理器110、以及电源111等部件。本领域技术人员可以理解,图1中示出的移动终端结构并不构成对移动终端的限定,移动终端可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
下面结合图1对移动终端的各个部件进行具体的介绍:
射频单元101可用于收发信息或通话过程中,信号的接收和发送,具体的,将基站的下行信息接收后,给处理器110处理;另外,将上行的数据发送给基站。通常,射频单元101包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器、双工器等。此外,射频单元101还可以通过无线通信与网络和其他设备通信。上述无线通信可以使用任一通信标准或协议,包括但不限于GSM(Global System of Mobile communication,全球移动通讯***)、GPRS(General Packet Radio Service,通用分组无线服务)、CDMA2000(CodeDivision Multiple Access 2000,码分多址2000)、WCDMA(Wideband Code DivisionMultiple Access,宽带码分多址)、TD-SCDMA(Time Division-Synchronous CodeDivision Multiple Access,时分同步码分多址)、FDD-LTE(Frequency DivisionDuplexing-Long Term Evolution,频分双工长期演进)和TDD-LTE(Time DivisionDuplexing-Long Term Evolution,分时双工长期演进)等。
WiFi属于短距离无线传输技术,移动终端通过WiFi模块102可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图1示出了WiFi模块102,但是可以理解的是,其并不属于移动终端的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
音频输出单元103可以在移动终端100处于呼叫信号接收模式、通话模式、记录模式、语音识别模式、广播接收模式等等模式下时,将射频单元101或WiFi模块102接收的或者在存储器109中存储的音频数据转换成音频信号并且输出为声音。而且,音频输出单元103还可以提供与移动终端100执行的特定功能相关的音频输出(例如,呼叫信号接收声音、消息接收声音等等)。音频输出单元103可以包括扬声器、蜂鸣器等等。
A/V输入单元104用于接收音频或视频信号。A/V输入单元104可以包括图形处理器(Graphics Processing Unit,GPU)1041和麦克风1042,图形处理器1041对在视频捕获模式或图像捕获模式中由图像捕获装置(如摄像头)获得的静态图片或视频的图像数据进行处理。处理后的图像帧可以显示在显示单元106上。经图形处理器1041处理后的图像帧可以存储在存储器109(或其它存储介质)中或者经由射频单元101或WiFi模块102进行发送。麦克风1042可以在电话通话模式、记录模式、语音识别模式等等运行模式中经由麦克风1042接收声音(音频数据),并且能够将这样的声音处理为音频数据。处理后的音频(语音)数据可以在电话通话模式的情况下转换为可经由射频单元101发送到移动通信基站的格式输出。麦克风1042可以实施各种类型的噪声消除(或抑制)算法以消除(或抑制)在接收和发送音频信号的过程中产生的噪声或者干扰。
移动终端100还包括至少一种传感器105,比如光传感器、运动传感器以及其他传感器。具体地,光传感器包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板1061的亮度,接近传感器可在移动终端100移动到耳边时,关闭显示面板1061和/或背光。作为运动传感器的一种,加速计传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;至于手机还可配置的指纹传感器、压力传感器、虹膜传感器、分子传感器、陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
显示单元106用于显示由用户输入的信息或提供给用户的信息。显示单元106可包括显示面板1061,可以采用液晶显示器(Liquid Crystal Display,LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置显示面板1061。
用户输入单元107可用于接收输入的数字或字符信息,以及产生与移动终端的用户设置以及功能控制有关的键信号输入。具体地,用户输入单元107可包括触控面板1071以及其他输入设备1072。触控面板1071,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板1071上或在触控面板1071附近的操作),并根据预先设定的程式驱动相应的连接装置。触控面板1071可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器110,并能接收处理器110发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板1071。除了触控面板1071,用户输入单元107还可以包括其他输入设备1072。具体地,其他输入设备1072可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种,具体此处不做限定。
进一步的,触控面板1071可覆盖显示面板1061,当触控面板1071检测到在其上或附近的触摸操作后,传送给处理器110以确定触摸事件的类型,随后处理器110根据触摸事件的类型在显示面板1061上提供相应的视觉输出。虽然在图1中,触控面板1071与显示面板1061是作为两个独立的部件来实现移动终端的输入和输出功能,但是在某些实施例中,可以将触控面板1071与显示面板1061集成而实现移动终端的输入和输出功能,具体此处不做限定。
接口单元108用作至少一个外部装置与移动终端100连接可以通过的接口。例如,外部装置可以包括有线或无线头戴式耳机端口、外部电源(或电池充电器)端口、有线或无线数据端口、存储卡端口、用于连接具有识别模块的装置的端口、音频输入/输出(I/O)端口、视频I/O端口、耳机端口等等。接口单元108可以用于接收来自外部装置的输入(例如,数据信息、电力等等)并且将接收到的输入传输到移动终端100内的一个或多个元件或者可以用于在移动终端100和外部装置之间传输数据。
存储器109可用于存储软件程序以及各种数据。存储器109可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器109可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
处理器110是移动终端的控制中心,利用各种接口和线路连接整个移动终端的各个部分,通过运行或执行存储在存储器109内的软件程序和/或模块,以及调用存储在存储器109内的数据,执行移动终端的各种功能和处理数据,从而对移动终端进行整体监控。处理器110可包括一个或多个处理单元;优选的,处理器110可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作***、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器110中。
移动终端100还可以包括给各个部件供电的电源111(比如电池),优选的,电源111可以通过电源管理***与处理器110逻辑相连,从而通过电源管理***实现管理充电、放电、以及功耗管理等功能。
尽管图1未示出,移动终端100还可以包括蓝牙模块等,在此不再赘述。
为了便于理解本发明实施例,下面对本发明的移动终端所基于的通信网络***进行描述。
请参阅图2,图2为本发明实施例提供的一种通信网络***架构图,该通信网络***为通用移动通信技术的LTE***,该LTE***包括依次通讯连接的UE(User Equipment,用户设备)201,E-UTRAN(Evolved UMTS Terrestrial Radio Access Network,演进式UMTS陆地无线接入网)202,EPC(Evolved Packet Core,演进式分组核心网)203和运营商的IP业务204。
具体地,UE201可以是上述终端100,此处不再赘述。
E-UTRAN202包括eNodeB2021和其它eNodeB2022等。其中,eNodeB2021可以通过回程(backhaul)(例如X2接口)与其它eNodeB2022连接,eNodeB2021连接到EPC203,eNodeB2021可以提供UE201到EPC203的接入。
EPC203可以包括MME(Mobility Management Entity,移动性管理实体)2031,HSS(Home Subscriber Server,归属用户服务器)2032,其它MME2033,SGW(Serving Gate Way,服务网关)2034,PGW(PDN Gate Way,分组数据网络网关)2035和PCRF(Policy andCharging Rules Function,政策和资费功能实体)2036等。其中,MME2031是处理UE201和EPC203之间信令的控制节点,提供承载和连接管理。HSS2032用于提供一些寄存器来管理诸如归属位置寄存器(图中未示)之类的功能,并且保存有一些有关服务特征、数据速率等用户专用的信息。所有用户数据都可以通过SGW2034进行发送,PGW2035可以提供UE 201的IP地址分配以及其它功能,PCRF2036是业务数据流和IP承载资源的策略与计费控制策略决策点,它为策略与计费执行功能单元(图中未示)选择及提供可用的策略和计费控制决策。
IP业务204可以包括因特网、内联网、IMS(IP Multimedia Subsystem,IP多媒体子***)或其它IP业务等。
虽然上述以LTE***为例进行了介绍,但本领域技术人员应当知晓,本发明不仅仅适用于LTE***,也可以适用于其他无线通信***,例如GSM、CDMA2000、WCDMA、TD-SCDMA以及未来新的网络***等,此处不做限定。
基于上述移动终端100硬件结构以及通信网络***,提出本发明方法各个实施例。
首先,本发明提出一种移动终端,所述移动终端包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的浏览器证书认证程序400。
如图3所示,是本发明浏览器证书认证程序400第一实施例的功能模块示意图。在本实施例中,所述浏览器证书认证程序400可以被分割成一个或多个模块,所述一个或多个模块存储于所述移动终端100的存储器109中,并由一个或多个处理器(本实施例中为所述控制器110)所执行,以完成本发明。例如,在图3中,所述浏览器证书认证程序400可以被分割成网站访问模块401、本地认证模块402、委托认证模块403以及结果显示模块404。本发明所称的模块是指一种能够完成特定功能的一系列获取机程序指令段,比获取机程序更适合于描述软件在所述移动终端100中的执行过程。以下将就上述各功能模块401-404的具体功能进行详细描述。其中:
所述网站访问模块401,用于在浏览器接收到网址信息时访问所述网址信息对应的网站并接收所述网站返回的证书。
其中,移动终端上安装有浏览器(客户端),用户可以在浏览器内输入网址信息,点击开始刷新网页后,浏览器向网址信息对应的网站发送网络请求。本实施例中,网址信息为HTTPS网址,故其对应的网站即为HTTPS网站。其中浏览器向网址信息对应的HTTPS网站发送网络请求时,会通过SSL/TLS协议与HTTPS网站建立套接字安全通道,HTTPS网站接收到网络请求后返回HTTPS网站使用的有效证书至浏览器。请参考图7,图7为用户通过移动终端上的浏览器访问HTTPS网站时证书认证过程的示意图。
所述本地认证模块402,用于实现所述浏览器根据预置的证书颁发机构列表、证书吊销列表以及***时间对所述证书进行本地认证。
其中,浏览器接收到HTTPS网站返回的证书后,会根据预置的证书颁发机构列表、证书吊销列表以及***时间对所述证书进行认证,此处记为本地认证。其中,证书颁发机构列表是指现有的一些安全可靠的证书颁发机构组成的列表;证书吊销列表中存储有已经吊销的证书,即不能再使用的证书,该列表中存储有吊销证书的证书序列号;***时间是指浏览器自身所处***的时间。基于此,本实施例中,本地认证模块402的具体实现过程包括:(1)获取所述证书的证书信息;(2)根据所述证书信息和所述证书颁发机构列表对所述证书进行身份认证;(3)若所述身份认证成功,则根据所述证书信息和所述浏览器所处的***时间判断所述证书是否处于有效期内;(4)若所述证书处于有效期内,则根据所述浏览器的证书吊销列表判断所述证书是否被吊销;(5)若所述身份认证失败、所述证书未处于有效期内或所述证书已被吊销,则判定所述本地认证失败,即只要证书满足身份认证失败、未处于有效期内、或者已被吊销这三者中的一者,均会判定该证书的本地认证失败,只有当证书身份认证成功、处于有效期内且未被吊销时,才会判定本地认证成功。需要说明的是,对证书进行的有效期认证以及吊销与否的认证的先后顺序还可以是先进行吊销与否的认证,本实施例仅是以有效期认证优先于吊销与否的认证为例进行说明。
本实施例中,本地认证中的有效期认证是利用浏览器自身所处的***时间进行的,而该***时间为移动终端的当前时间,由于移动终端的时间可以由用户任意修改或设置,因此该***时间可能会存在不准确的情况,而当该***时间不准确时,对证书的有效期认证的结果也是不准确的。此外,本地认证中的吊销与否的认证是利用浏览器内存储的证书吊销列表进行的,而当用户主动禁用某些合法的证书时,会导致该合法的证书存在于证书吊销列表中,即证书吊销列表可以由用户更改,此时通过该证书吊销列表对证书进行的安全认证是不准确的,当然,吊销与否的认证还可以利用证书颁发结构来实现,即浏览器通过OCSP协议向证书颁发机构发送查询请求以及证书序列号以通过证书颁发机构查询证书是否被吊销。因此,当本地认证失败时,有可能是由***时间或证书吊销列表的错误而导致的误判,因此需要进行进一步的判断,其中该***时间和证书吊销列表可以视为浏览器的***环境。
所述委托认证模块403,用于当本地认证失败时,发送委托认证请求至证书认证服务器以使所述证书认证服务器根据证书颁发机构和服务器时间对所述证书进行认证。
具体的,当浏览器对证书进行的本地认证失败时,为了更加明确证书认证失败的原因,会发送委托认证请求至证书认证服务器以通过证书认证服务器进行二次认证。其中,该委托认证请求中携带有用户输入的网址信息以及相应的网站的证书。本实施例中,证书认证服务器根据证书颁发机构和服务器时间对所述证书进行认证的步骤包括:(1)证书认证服务器根据预置的证书颁发机构列表对所述证书进行身份认证,此处的身份认证与浏览器本地认证中的身份认证原理相同,此处不再进行详细描述;(2)若所述身份认证成功,则发送OCSP请求至颁发所述证书的证书颁发机构以检测所述证书是否被吊销,并通过所述证书认证服务器的服务器时间断所述证书是否处于有效期内。再请参考图7,本实施例中,证书认证服务器可以与各证书颁发机构(CA)通信,当证书认证服务器判定接收到的证书身份认证通过时,会进一步进行吊销与否以及是否处于有效期的认证,其中进行吊销与否的认证时,是通过发送OCSP请求至颁发所述证书的证书颁发机构实现的,证书颁发机构根据接收到的OCSP请求中的证书序列号查找该证书是否被吊销,并返回查找结果至证书认证服务器,由于此处的吊销与否的认证过程是通过证书颁发机构实现的,而证书颁发机构上的信息是无法由用户个性化修改的,因此其信息准确度高,其认证结果不会由于浏览器***环境的误差而产生错误,其结果更为准确。此外,本实施例中判断证书是否处于有效期内时,采用的时间是服务器上的时间,该时间也不会被用户随意修改,因此该时间初始设置后或与网络同步后即是准确的,进而证书是否处于有效期内的判断结果也是准确的,而不会受到浏览器***环境的影响。
结果显示模块404,用于接收并显示所述证书认证服务器返回的证书认证结果。
证书认证服务器对证书进行认证后,会返回证书认证结果至浏览器,浏览器接收并显示该证书认证结果,以方便用户知道证书认证是否成功、以及证书认证失败时证书认证失败的原因。具体的,证书认证失败的原因可能是身份认证未通过、未处于有效期内或已被吊销。
通过上述模块401-403,本发明浏览器证书认证程序在浏览器接收到网址信息时访问所述网址信息对应的网站并接收所述网站返回的证书,然后根据预置的证书颁发机构列表、证书吊销列表以及***时间对所述证书进行本地认证,当本地认证失败时,会发送委托认证请求至证书认证服务器以使所述证书认证服务器根据证书颁发机构和服务器时间对所述证书进行认证,由于证书认证服务器进行认证时是利用的证书颁发机构和服务器时间,而这些数据不会被受用户操作影响,因此其认证结果更为准确,能够有效避免浏览器本地认证受时间不准问题、禁用某证书时导致证书认证失败的问题,其能够帮助用户明确证书认证失败的原因,用户体验更好。
进一步地,基于上述本发明浏览器证书认证程序400的第一实施例,提出本发明浏览器证书认证程序400的第二实施例。请参考图4,图4为本发明浏览器证书认证程序400第二实施例的功能模块示意图,与第一实施例相比,本实施例中,浏览器证书认证程序400还包括提示模块405、自签名证书认证模块406、以及浏览器显示模块407。本实施例中,各功能模块的说明如下:
所述提示模块405,用于在证书的本地认证失败时提示用户本地认证失败,并检测用户是否输入委托认证请求,当检测到委托认证请求时,执行委托认证模块403。请参考图8和图9,图8为一实施例中本地认证失败时移动终端上弹出提示信息时的用户界面示意图,图9为用户查看证书时用户界面一实施例的示意图,如图8所示,当本地认证失败时,移动终端上进行安全警告,提示“该网站的安全证书有问题”,并提供“返回”、“查看证书”以及“继续”三个操作选项给用户,当用户选择“查看证书后”,移动终端上的用户界面如图9所示,即会显示该证书认证失败的原因,如身份认证失败,有效期认证失败或已吊销等,图9所示实施例中,证书有效期认证失败,即会显示该证书的日期无效;同时,用户界面上还会给出“委托服务器认证”的操作选项,当用户选择了“委托服务器认证”时,判定为用户输入了委托认证请求,执行委托认证模块403。需要说明的是,本实施例中,委托服务器认证是根据用户的选择执行的,而在其他实施例中,该过程也可以在本地认证失败时自动执行,而无需干扰用户,直接在后台进行,且通过证书认证服务器认证失败后,会提示用户“建议不要继续此HTTPS网站”。
所述自签名证书认证模块406,用于在接收到浏览器上传的委托认证请求后,首先判断所述证书是否为自签名证书,若判断结果为是,则执行浏览器显示模块407,反之通过证书认证服务器进行身份认证、有效期认证和吊销认证。本实施例中,为了实现自签名证书认证,证书认证服务器上还预置有常用安全网站的自签名证书列表,该自签名证书列表中包括一些常用安全网站的自签名证书,如12306网站的自签名证书,当证书认证服务器接收到浏览器的委托认证请求时,首先查找该证书是否存在于自签名证书列表中,即通过自签名证书列表对所述证书进行认证,若所述证书存在于自签名证书列表中,则判定该证书为自签名证书且对应的HTTPS网站安全可靠,此时可以将该证书认证为安全证书,执行浏览器显示模块407,即实现了对一些自签名证书的放行管理;反之,若该证书不存在于自签名证书列表中,则通过证书认证服务器进行身份认证、有效期认证和吊销认证。
本实施例中,所述委托认证模块403用于实现:(1)所述证书认证服务器根据预置的证书颁发机构列表对所述证书进行身份认证,当身份认证成功时,执行步骤(2),反之若身份认证失败,则判定证书安全性有问题,发送证书认证失败以及失败的原因至浏览器;(2)发送OCSP请求至颁发所述证书的证书颁发机构以检测所述证书是否被吊销,若证书未被吊销,则执行步骤(3),反之判定证书安全性有问题,发送证书认证失败以及失败的原因至浏览器;(3)通过所述证书认证服务器的服务器时间断所述证书是否处于有效期内,若处于有效期内,则判定证书安全,返回证书认证成功的结果至浏览器,若证书未处于有效期内,则判定证书安全性有问题,发送证书认证失败以及失败的原因至浏览器。即,当证书认证服务器对所述证书的身份认证通过时,进一步通过证书颁发机构查询证书是否被吊销,以及通过服务器时间判断证书是否处于有效期内,当证书身份认证成功、处于有效期内且未被吊销时,返回认证成功的结果至浏览器,反之,将认证失败的结果以及认证失败的原因返回给浏览器。需要说明的是,对证书进行的身份认证、有效期认证以及吊销与否的认证并没有明确的先后顺序,本实施例仅举例说明。此外,证书认证服务器上预置有证书颁发机构列表,证书认证服务器根据预置的证书颁发机构列表对所述证书进行身份认证的过程与本地认证中,浏览器通过预置的证书颁发机构列表对所述证书进行身份认证的过程相同,故此处不再对身份认证的过程进行详细描述。
所述浏览器显示模块407,用于在本地认证成功或证书认证服务器对证书的认证成功时,与所述HTTPS网站建立SSL或TLS连接,获取所述HTTPS网站的网页内容并进行解析、渲染,显示解析、渲染后的所述网页内容。即当浏览器对证书认证成功时,浏览器不会提示用户,而是默默地与HTTPS网站建立SSL/TLS链接,将HTTPS网站的网页内容请求到浏览器,浏览器解析处理后将渲染后的内容展现给用户。
本实施例中,所述证书信息包括证书序列号、证书通用名称、证书颁发者、有效期开始时间、有效期结束时间、证书用途以及证书签名。基于此,本地认证模块402进行身份认证时,其具体过程包括:(1)查找所述证书颁发机构列表内是否存在与所述证书颁发者对应的证书颁发机构,若查找结果为是,则执行步骤(2),反之判定身份认证失败;(2)根据所述证书颁发机构的公钥对所述证书签名进行解密以得到初始摘要信息;(3)根据散列算法(HASH)对所述证书签名之外的所述证书信息进行计算以得到当前摘要信息,即对证书信息中除证书签名之外的其它字段进行散列(HASH)运算得到当前摘要信息;(4)判断所述当前摘要信息与所述初始摘要信息是否一致,若一致,则执行步骤(5),反之判定身份认证失败;(5)判断所述网址信息对应的域名与所述证书通用名称是否匹配,若匹配,则判定身份认证成功,反之判定身份认证失败。需要说明的是,上述步骤(1)至(5)为浏览器对证书进行本地认证时的一般方法,此处不再详细描述。
通过上述模块401-407,本发明所提出的浏览器证书认证程序在本地认证失败时,会委托证书认证服务器进行认证,由于证书认证服务器进行认证时是利用的证书颁发机构和服务器时间,而这些数据不会被受用户操作影响,因此其认证结果更为准确,能够有效避免浏览器本地认证受时间不准问题、禁用某证书时导致证书认证失败的问题,其能够帮助用户明确证书认证失败的原因,帮助用户做出合适决定,避免盲目放行此类网站给用户带来安全风险,用户体验更好;同时,本发明证书认证服务器上预存储有常用安全网站的自签名证书列表,通过该自签名证书列表可以对一些自签名证书进行认证;此外,本发明将证书认证过程委托服务器进行,能够充分利用服务器的计算能力,降低移动设备的功耗问题。
此外,本发明提出一种浏览器证书认证方法,该浏览器证书认证方法应用于图1至图2所示移动终端,所述移动终端包括存储器和处理器。
如图5所示,是本发明浏览器证书认证方法第一实施例的实施流程图。在本实施例中,根据不同的需求,图5所示的流程图中的步骤的执行顺序可以改变,某些步骤可以省略。所述浏览器证书认证方法包括:
步骤S501,浏览器接收到网址信息时访问所述网址信息对应的网站并接收所述网站返回的证书。
其中,移动终端上安装有浏览器(客户端),用户可以在浏览器内输入网址信息,点击开始刷新网页后,浏览器向网址信息对应的网站发送网络请求。本实施例中,网址信息为HTTPS网址,故其对应的网站即为HTTPS网站。其中浏览器向网址信息对应的HTTPS网站发送网络请求时,会通过SSL/TLS协议与HTTPS网站建立套接字安全通道,HTTPS网站接收到网络请求后返回HTTPS网站使用的有效证书至浏览器。请参考图7,图7为用户通过移动终端上的浏览器访问HTTPS网站时证书认证过程的示意图。
步骤S502,所述浏览器根据预置的证书颁发机构列表、证书吊销列表以及***时间对所述证书进行本地认证。
其中,浏览器接收到HTTPS网站返回的证书后,会根据预置的证书颁发机构列表、证书吊销列表以及***时间对所述证书进行认证,此处记为本地认证。其中,证书颁发机构列表是指现有的一些安全可靠的证书颁发机构组成的列表;证书吊销列表中存储有已经吊销的证书,即不能再使用的证书,该列表中存储有吊销证书的证书序列号;***时间是指浏览器自身所处***的时间。基于此,本实施例中,步骤S502包括以下步骤:(1)获取所述证书的证书信息;(2)根据所述证书信息和所述证书颁发机构列表对所述证书进行身份认证;(3)若所述身份认证成功,则根据所述证书信息和所述浏览器所处的***时间判断所述证书是否处于有效期内;(4)若所述证书处于有效期内,则根据所述浏览器的证书吊销列表判断所述证书是否被吊销;(5)若所述身份认证失败、所述证书未处于有效期内或所述证书已被吊销,则判定所述本地认证失败,即只要证书满足身份认证失败、未处于有效期内、或者已被吊销这三者中的一者,均会判定该证书的本地认证失败,只有当证书身份认证成功、处于有效期内且未被吊销时,才会判定本地认证成功。需要说明的是,对证书进行的有效期认证以及吊销与否的认证的先后顺序还可以是先进行吊销与否的认证,本实施例仅是以有效期认证优先于吊销与否的认证为例进行说明。
本实施例中,本地认证中的有效期认证是利用浏览器自身所处的***时间进行的,而该***时间为移动终端的当前时间,由于移动终端的时间可以由用户任意修改或设置,因此该***时间可能会存在不准确的情况,而当该***时间不准确时,对证书的有效期认证的结果也是不准确的。此外,本地认证中的吊销与否的认证是利用浏览器内存储的证书吊销列表进行的,而当用户主动禁用某些合法的证书时,会导致该合法的证书存在于证书吊销列表中,即证书吊销列表可以由用户更改,此时通过该证书吊销列表对证书进行的安全认证是不准确的,当然,吊销与否的认证还可以利用证书颁发结构来实现,即浏览器通过OCSP协议向证书颁发机构发送查询请求以及证书序列号以通过证书颁发机构查询证书是否被吊销。因此,当本地认证失败时,有可能是由***时间或证书吊销列表的错误而导致的误判,因此需要进行进一步的判断,其中该***时间和证书吊销列表可以视为浏览器的***环境。
步骤S503,当本地认证失败时,发送委托认证请求至证书认证服务器以使所述证书认证服务器根据证书颁发机构和服务器时间对所述证书进行认证。
具体的,当浏览器对证书进行的本地认证失败时,为了更加明确证书认证失败的原因,会发送委托认证请求至证书认证服务器以通过证书认证服务器进行二次认证。其中,该委托认证请求中携带有用户输入的网址信息以及相应的网站的证书。本实施例中,证书认证服务器根据证书颁发机构和服务器时间对所述证书进行认证的步骤包括:(1)证书认证服务器根据预置的证书颁发机构列表对所述证书进行身份认证,此处的身份认证与浏览器本地认证中的身份认证原理相同,此处不再进行详细描述;(2)若所述身份认证成功,则发送OCSP请求至颁发所述证书的证书颁发机构以检测所述证书是否被吊销,并通过所述证书认证服务器的服务器时间断所述证书是否处于有效期内。再请参考图7,本实施例中,证书认证服务器可以与各证书颁发机构(CA)通信,当证书认证服务器判定接收到的证书身份认证通过时,会进一步进行吊销与否以及是否处于有效期的认证,其中进行吊销与否的认证时,是通过发送OCSP请求至颁发所述证书的证书颁发机构实现的,证书颁发机构根据接收到的OCSP请求中的证书序列号查找该证书是否被吊销,并返回查找结果至证书认证服务器,由于此处的吊销与否的认证过程是通过证书颁发机构实现的,而证书颁发机构上的信息是无法由用户个性化修改的,因此其信息准确度高,其认证结果不会由于浏览器***环境的误差而产生错误,其结果更为准确。此外,本实施例中判断证书是否处于有效期内时,采用的时间是服务器上的时间,该时间也不会被用户随意修改,因此该时间初始设置后或与网络同步后即是准确的,进而证书是否处于有效期内的判断结果也是准确的,而不会受到浏览器***环境的影响。
步骤S504,接收并显示所述证书认证服务器返回的证书认证结果。
证书认证服务器对证书进行认证后,会返回证书认证结果至浏览器,浏览器接收并显示该证书认证结果,以方便用户知道证书认证是否成功、以及证书认证失败时证书认证失败的原因。具体的,证书认证失败的原因可能是身份认证未通过、未处于有效期内或已被吊销。
通过上述步骤S501-S504,本发明浏览器证书认证方法在浏览器接收到网址信息时访问所述网址信息对应的网站并接收所述网站返回的证书,然后根据预置的证书颁发机构列表、证书吊销列表以及***时间对所述证书进行本地认证,当本地认证失败时,会发送委托认证请求至证书认证服务器以使所述证书认证服务器根据证书颁发机构和服务器时间对所述证书进行认证,由于证书认证服务器进行认证时是利用的证书颁发机构和服务器时间,而这些数据不会被受用户操作影响,因此其认证结果更为准确,能够有效避免浏览器本地认证受时间不准问题、禁用某证书时导致证书认证失败的问题,其能够帮助用户明确证书认证失败的原因,用户体验更好。
进一步地,基于上述第一实施例,提出本发明浏览器证书认证方法的第二实施例。如图6所示,是本发明浏览器证书认证方法第二实施例的实施流程图。在本实施例中,根据不同的需求,图6所示的流程图中的步骤的执行顺序可以改变,某些步骤可以省略。所述浏览器证书认证方法包括:
步骤S601,浏览器接收到网址信息时访问所述网址信息对应的HTTPS网站并接收所述HTTPS网站返回的证书。
步骤S602,所述浏览器根据预置的证书颁发机构列表、证书吊销列表以及***时间对所述证书进行本地认证,当本地认证成功时,执行步骤S608,当本地认证失败时,执行步骤S603。
本实施例中,所述证书信息包括证书序列号、证书通用名称、证书颁发者、有效期开始时间、有效期结束时间、证书用途以及证书签名;其中,根据证书信息和证书颁发机构列表对证书进行身份认证的步骤包括:(1)查找所述证书颁发机构列表内是否存在与所述证书颁发者对应的证书颁发机构,若查找结果为是,则执行步骤(2),反之判定身份认证失败;(2)根据所述证书颁发机构的公钥对所述证书签名进行解密以得到初始摘要信息;(3)根据散列算法(HASH)对所述证书签名之外的所述证书信息进行计算以得到当前摘要信息,即对证书信息中除证书签名之外的其它字段进行散列(HASH)运算得到当前摘要信息;(4)判断所述当前摘要信息与所述初始摘要信息是否一致,若一致,则执行步骤(5),反之判定身份认证失败;(5)判断所述网址信息对应的域名与所述证书通用名称是否匹配,若匹配,则判定身份认证成功,反之判定身份认证失败。需要说明的是,上述步骤(1)至(5)为浏览器对证书进行本地认证时的一般方法,此处不再详细描述。
步骤S603,提示用户本地认证失败,并检测用户是否输入委托认证请求,当检测到委托认证请求时,执行步骤S604。请参考图8和图9,图8为一实施例中本地认证失败时移动终端上弹出提示信息时的用户界面示意图,图9为用户查看证书时用户界面一实施例的示意图,如图8所示,当本地认证失败时,移动终端上进行安全警告,提示“该网站的安全证书有问题”,并提供“返回”、“查看证书”以及“继续”三个操作选项给用户,当用户选择“查看证书后”,移动终端上的用户界面如图9所示,即会显示该证书认证失败的原因,如身份认证失败,有效期认证失败或已吊销等,图9所示实施例中,证书有效期认证失败,即会显示该证书的日期无效;同时,用户界面上还会给出“委托服务器认证”的操作选项,当用户选择了“委托服务器认证”时,判定为用户输入了委托认证请求,执行步骤S604。
步骤S604,当检测到委托认证请求时,发送委托认证请求至证书认证服务器。其中,所述委托认证请求中携带有用户输入的网址信息以及相应的HTTPS网站的证书。需要说明的是,本实施例中,委托服务器认证是根据用户的选择执行的,而在其他实施例中,该过程也可以在本地认证失败时自动执行,而无需干扰用户,直接在后台进行,且通过证书认证服务器认证失败后,会提示用户“建议不要继续此HTTPS网站”。
步骤S605,判断所述证书是否为自签名证书,若判断结果为是,则执行步骤S608,反之执行步骤S606。本实施例中,证书认证服务器上还预置有常用安全网站的自签名证书列表,该自签名证书列表中包括一些常用安全网站的自签名证书,如12306网站的自签名证书,当证书认证服务器接收到浏览器的委托认证请求时,首先查找该证书是否存在于自签名证书列表中,即通过自签名证书列表对所述证书进行认证,若所述证书存在于自签名证书列表中,则判定该证书为自签名证书且对应的HTTPS网站安全可靠,此时可以将该证书认证为安全证书,执行步骤S608,即实现了对一些自签名证书的放行管理;反之,若该证书不存在于自签名证书列表中,则执行步骤S606。
步骤S606,所述证书认证服务器根据预置的证书颁发机构列表对所述证书进行身份认证,发送OCSP请求至颁发所述证书的证书颁发机构以检测所述证书是否被吊销,并通过所述证书认证服务器的服务器时间断所述证书是否处于有效期内,若所述证书认证成功,则执行步骤S608,反之执行步骤S607。本实施例中,证书认证服务器上预置有证书颁发机构列表,证书认证服务器根据预置的证书颁发机构列表对所述证书进行身份认证的过程与本地认证中,浏览器通过预置的证书颁发机构列表对所述证书进行身份认证的过程相同,故此处不再对身份认证的过程进行详细描述。具体的,本实施例中,步骤S606具体是:(1)证书认证服务器根据预置的证书颁发机构列表对所述证书进行身份认证,若身份认证成功,则执行步骤(2),反之判定证书安全性有问题,发送证书认证失败以及失败的原因至浏览器;(2)发送OCSP请求至颁发所述证书的证书颁发机构以检测所述证书是否被吊销,若证书未被吊销,则执行步骤(3),反之则判定证书安全性有问题,发送证书认证失败以及失败的原因至浏览器;(3)通过所述证书认证服务器的服务器时间断所述证书是否处于有效期内,若处于有效期内,则判定证书安全,返回证书认证成功的结果至浏览器,若证书未处于有效期内,则判定证书安全性有问题,发送证书认证失败以及失败的原因至浏览器。即,本实施例中,当证书认证服务器对所述证书的身份认证通过时,进一步通过证书颁发机构查询证书是否被吊销,若未被吊销,则进一步通过服务器时间判断证书是否处于有效期内,当证书身份认证成功、处于有效期内且未被吊销时,返回认证成功的结果至浏览器,反之,将认证失败的结果以及认证失败的原因返回给浏览器。需要说明的是,对证书进行的身份认证、有效期认证以及吊销与否的认证并没有明确的先后顺序,本实施例仅举例说明。
步骤S607,浏览器接收并显示所述证书认证服务器返回的证书认证结果。
步骤S608,与所述HTTPS网站建立SSL或TLS连接,获取所述HTTPS网站的网页内容并进行解析、渲染,显示解析、渲染后的所述网页内容。即当浏览器对证书认证成功时,浏览器不会提示用户,而是默默地与HTTPS网站建立SSL/TLS链接,将HTTPS网站的网页内容请求到浏览器,浏览器解析处理后将渲染后的内容展现给用户。
通过上述步骤S601至S608,本发明浏览器证书认证方法在本地认证失败时,会委托证书认证服务器进行认证,由于证书认证服务器进行认证时是利用的证书颁发机构和服务器时间,而这些数据不会被受用户操作影响,因此其认证结果更为准确,能够有效避免浏览器本地认证受时间不准问题、禁用某证书时导致证书认证失败的问题,其能够帮助用户明确证书认证失败的原因,帮助用户做出合适决定,避免盲目放行此类网站给用户带来安全风险,用户体验更好;同时,本发明证书认证服务器上预存储有常用安全网站的自签名证书列表,通过该自签名证书列表可以对一些自签名证书进行认证;此外,本发明将证书认证过程委托服务器进行,能够充分利用服务器的计算能力,降低移动设备的功耗问题。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种移动终端,其特征在于,所述移动终端包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的浏览器证书认证程序,所述浏览器证书认证程序被所述处理器执行时实现如下步骤:
浏览器接收到网址信息时访问所述网址信息对应的网站并接收所述网站返回的证书;
所述浏览器根据预置的证书颁发机构列表、证书吊销列表以及***时间对所述证书进行本地认证;
当本地认证失败时,发送委托认证请求至证书认证服务器以使所述证书认证服务器根据证书颁发机构和服务器时间对所述证书进行认证;
接收并显示所述证书认证服务器返回的证书认证结果。
2.如权利要求1所述的移动终端,其特征在于,所述处理器还用于执行所述浏览器证书认证程序,以实现如下步骤:
获取所述证书的证书信息;
根据所述证书信息和所述证书颁发机构列表对所述证书进行身份认证;
若所述身份认证成功,则根据所述证书信息和所述浏览器所处的***时间判断所述证书是否处于有效期内;
若所述证书处于有效期内,则根据所述浏览器内预置的所述证书吊销列表判断所述证书是否被吊销;
若所述身份认证失败、所述证书未处于有效期内或所述证书已被吊销,则判定所述本地认证失败。
3.如权利要求2所述的移动终端,其特征在于,所述证书信息包括证书序列号、证书通用名称、证书颁发者、有效期开始时间、有效期结束时间、证书用途以及证书签名;所述处理器还用于执行所述浏览器证书认证程序,以实现如下步骤:
查找所述证书颁发机构列表内是否存在与所述证书颁发者对应的证书颁发机构;
若查找结果为是,则根据所述证书颁发机构的公钥对所述证书签名进行解密以得到初始摘要信息;
根据散列算法对所述证书签名之外的所述证书信息进行计算以得到当前摘要信息,并判断所述当前摘要信息与所述初始摘要信息是否一致;
若所述当前摘要信息与所述初始摘要信息一致,则判断所述网址信息对应的域名与所述证书通用名称是否匹配;
若所述网址信息对应的域名与所述证书通用名称匹配,则判定所述身份认证成功。
4.如权利要求1所述的移动终端,其特征在于,所述证书认证服务器上还预置有常用安全网站的自签名证书列表;所述处理器还用于执行所述浏览器证书认证程序,以实现如下步骤:
通过所述常用安全网站的自签名证书列表对所述证书进行认证;
所述证书认证服务器根据预置的证书颁发机构列表对所述证书进行身份认证;
若所述身份认证通过,则发送OCSP请求至颁发所述证书的证书颁发机构以检测所述证书是否被吊销;
若所述证书未被吊销,则通过所述证书认证服务器的服务器时间断所述证书是否处于有效期内。
5.一种浏览器证书认证方法,应用于移动终端,其特征在于,所述浏览器证书认证方法包括以下步骤:
浏览器接收到网址信息时访问所述网址信息对应的网站并接收所述网站返回的证书;
所述浏览器根据预置的证书颁发机构列表、证书吊销列表以及***时间对所述证书进行本地认证;
当本地认证失败时,发送委托认证请求至证书认证服务器以使所述证书认证服务器根据证书颁发机构和服务器时间对所述证书进行认证;
接收并显示所述证书认证服务器返回的证书认证结果。
6.如权利要求5所述的浏览器证书认证方法,其特征在于,所述浏览器根据预置的证书颁发机构列表、证书吊销列表以及***时间对所述证书进行本地认证的步骤包括:
获取所述证书的证书信息;
根据所述证书信息和所述证书颁发机构列表对所述证书进行身份认证;
若所述身份认证成功,则根据所述证书信息和所述浏览器所处的***时间判断所述证书是否处于有效期内;
若所述证书处于有效期内,则根据所述浏览器内预置的所述证书吊销列表判断所述证书是否被吊销;
若所述身份认证失败、所述证书未处于有效期内或所述证书已被吊销,则判定所述本地认证失败。
7.如权利要求6所述的浏览器证书认证方法,其特征在于,所述证书信息包括证书序列号、证书通用名称、证书颁发者、有效期开始时间、有效期结束时间、证书用途以及证书签名;所述根据所述证书信息和所述证书颁发机构列表对所述证书进行身份认证的步骤包括:
查找所述证书颁发机构列表内是否存在与所述证书颁发者对应的证书颁发机构;
若查找结果为是,则根据所述证书颁发机构的公钥对所述证书签名进行解密以得到初始摘要信息;
根据散列算法对所述证书签名之外的所述证书信息进行计算以得到当前摘要信息,并判断所述当前摘要信息与所述初始摘要信息是否一致;
若所述当前摘要信息与所述初始摘要信息一致,则判断所述网址信息对应的域名与所述证书通用名称是否匹配;
若所述网址信息对应的域名与所述证书通用名称匹配,则判定所述身份认证成功。
8.如权利要求7所述的浏览器证书认证方法,其特征在于,所述证书认证服务器上还预置有常用安全网站的自签名证书列表;
所述证书认证服务器根据证书颁发机构和服务器时间对所述证书进行认证的步骤之前还包括:
通过所述常用安全网站的自签名证书列表对所述证书进行认证。
9.如权利要求5所述的浏览器证书认证方法,其特征在于,所述证书认证服务器根据证书颁发机构和服务器时间对所述证书进行认证的步骤包括:
所述证书认证服务器根据预置的证书颁发机构列表对所述证书进行身份认证;
若所述身份认证通过,则发送OCSP请求至颁发所述证书的证书颁发机构以检测所述证书是否被吊销;
若所述证书未被吊销,则通过所述证书认证服务器的服务器时间断所述证书是否处于有效期内。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有浏览器证书认证程序,所述浏览器证书认证程序被处理器执行时实现如权利要求5至9中任一项所述的浏览器证书认证方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710700612.5A CN107508682A (zh) | 2017-08-16 | 2017-08-16 | 浏览器证书认证方法及移动终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710700612.5A CN107508682A (zh) | 2017-08-16 | 2017-08-16 | 浏览器证书认证方法及移动终端 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107508682A true CN107508682A (zh) | 2017-12-22 |
Family
ID=60692082
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710700612.5A Pending CN107508682A (zh) | 2017-08-16 | 2017-08-16 | 浏览器证书认证方法及移动终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107508682A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108599959A (zh) * | 2018-04-28 | 2018-09-28 | 深圳Tcl数字技术有限公司 | 授权证书校验方法、装置及可读存储介质、应用设备 |
| CN108810163A (zh) * | 2018-06-27 | 2018-11-13 | 北京奇安信科技有限公司 | 自签名ssl证书处理***及方法 |
| CN109101813A (zh) * | 2018-09-03 | 2018-12-28 | 郑州云海信息技术有限公司 | 一种应用程序拦截方法及相关装置 |
| CN109145649A (zh) * | 2018-08-03 | 2019-01-04 | 金联汇通信息技术有限公司 | 基于执法终端的视频处理方法、证书生成方法及相应装置 |
| CN110380857A (zh) * | 2018-04-12 | 2019-10-25 | ***通信有限公司研究院 | 数字证书处理方法及装置、区块链节点、存储介质 |
| CN110535886A (zh) * | 2019-09-30 | 2019-12-03 | 中国工商银行股份有限公司 | 用于检测中间人攻击的方法、装置、***、设备及介质 |
| WO2020042844A1 (zh) * | 2018-08-25 | 2020-03-05 | 华为技术有限公司 | 确定证书状态的方法 |
| CN111314085A (zh) * | 2020-01-22 | 2020-06-19 | 维沃移动通信有限公司 | 数字证书验证方法及装置 |
| CN114499940A (zh) * | 2021-12-22 | 2022-05-13 | 联想(北京)有限公司 | 一种网络连接方法、装置及计算机可读介质 |
| CN115296863A (zh) * | 2022-07-15 | 2022-11-04 | 天翼云科技有限公司 | 一种保证用户安全的方法、装置及存储介质 |
| CN118133271A (zh) * | 2024-05-06 | 2024-06-04 | 欢乐互娱(上海)科技股份有限公司 | 一种防止游戏代码泄露变成私服的防护方法 |
| CN118153024A (zh) * | 2024-05-13 | 2024-06-07 | 鹏城实验室 | 服务器证书应用风险检测方法、装置、设备和存储介质 |
| US12034871B2 (en) | 2018-08-25 | 2024-07-09 | Huawei Cloud Computing Technologies Co., Ltd. | Certificate status determining method |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102761529A (zh) * | 2011-04-29 | 2012-10-31 | 上海格尔软件股份有限公司 | 一种基于图片标识数字签名的网站认证方法 |
| CN103220303A (zh) * | 2013-05-06 | 2013-07-24 | 华为软件技术有限公司 | 服务器的登录方法及服务器、认证设备 |
| CN106656455A (zh) * | 2015-07-13 | 2017-05-10 | 腾讯科技(深圳)有限公司 | 一种网站访问方法及装置 |
-
2017
- 2017-08-16 CN CN201710700612.5A patent/CN107508682A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102761529A (zh) * | 2011-04-29 | 2012-10-31 | 上海格尔软件股份有限公司 | 一种基于图片标识数字签名的网站认证方法 |
| CN103220303A (zh) * | 2013-05-06 | 2013-07-24 | 华为软件技术有限公司 | 服务器的登录方法及服务器、认证设备 |
| CN106656455A (zh) * | 2015-07-13 | 2017-05-10 | 腾讯科技(深圳)有限公司 | 一种网站访问方法及装置 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110380857B (zh) * | 2018-04-12 | 2020-09-11 | ***通信有限公司研究院 | 数字证书处理方法及装置、区块链节点、存储介质 |
| US11863692B2 (en) | 2018-04-12 | 2024-01-02 | China Mobile Communication Co., Ltd Research Inst | Digital certificate processing method and device, blockchain node and storage medium |
| CN110380857A (zh) * | 2018-04-12 | 2019-10-25 | ***通信有限公司研究院 | 数字证书处理方法及装置、区块链节点、存储介质 |
| CN108599959A (zh) * | 2018-04-28 | 2018-09-28 | 深圳Tcl数字技术有限公司 | 授权证书校验方法、装置及可读存储介质、应用设备 |
| CN108810163B (zh) * | 2018-06-27 | 2021-08-17 | 奇安信科技集团股份有限公司 | 自签名ssl证书处理***及方法 |
| CN108810163A (zh) * | 2018-06-27 | 2018-11-13 | 北京奇安信科技有限公司 | 自签名ssl证书处理***及方法 |
| CN109145649A (zh) * | 2018-08-03 | 2019-01-04 | 金联汇通信息技术有限公司 | 基于执法终端的视频处理方法、证书生成方法及相应装置 |
| WO2020042844A1 (zh) * | 2018-08-25 | 2020-03-05 | 华为技术有限公司 | 确定证书状态的方法 |
| US12034871B2 (en) | 2018-08-25 | 2024-07-09 | Huawei Cloud Computing Technologies Co., Ltd. | Certificate status determining method |
| CN109101813A (zh) * | 2018-09-03 | 2018-12-28 | 郑州云海信息技术有限公司 | 一种应用程序拦截方法及相关装置 |
| CN110535886A (zh) * | 2019-09-30 | 2019-12-03 | 中国工商银行股份有限公司 | 用于检测中间人攻击的方法、装置、***、设备及介质 |
| CN111314085A (zh) * | 2020-01-22 | 2020-06-19 | 维沃移动通信有限公司 | 数字证书验证方法及装置 |
| CN114499940A (zh) * | 2021-12-22 | 2022-05-13 | 联想(北京)有限公司 | 一种网络连接方法、装置及计算机可读介质 |
| CN115296863A (zh) * | 2022-07-15 | 2022-11-04 | 天翼云科技有限公司 | 一种保证用户安全的方法、装置及存储介质 |
| CN118133271A (zh) * | 2024-05-06 | 2024-06-04 | 欢乐互娱(上海)科技股份有限公司 | 一种防止游戏代码泄露变成私服的防护方法 |
| CN118133271B (zh) * | 2024-05-06 | 2024-07-12 | 欢乐互娱(上海)科技股份有限公司 | 一种防止游戏代码泄露变成私服的防护方法 |
| CN118153024A (zh) * | 2024-05-13 | 2024-06-07 | 鹏城实验室 | 服务器证书应用风险检测方法、装置、设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107508682A (zh) | 浏览器证书认证方法及移动终端 | |
| JP6548348B2 (ja) | メッセージ保護方法、ならびに関連デバイスおよびシステム | |
| CN109257740A (zh) | Profile下载方法、移动终端及可读存储介质 | |
| CN109472166A (zh) | 一种电子签章方法、装置、设备及介质 | |
| CN107862196A (zh) | 指纹认证方法、移动终端及计算机可读存储介质 | |
| CN109165499A (zh) | 单点登录方法、移动终端及计算机可读存储介质 | |
| CN109558718A (zh) | 应用程序登录方法、电脑端、移动终端、***及存储介质 | |
| CN107451460A (zh) | 接口处理方法、设备、服务器及计算机可读存储介质 | |
| CN107317680B (zh) | 安全账号的标记方法、***及计算机可读存储介质 | |
| CN107295501A (zh) | 信息更新方法、终端、服务器及计算机可读存储介质 | |
| CN107040543A (zh) | 单点登录方法、终端及存储介质 | |
| CN109743696A (zh) | 验证码加密方法、***及可读存储介质 | |
| CN108733811A (zh) | 一种文件访问方法、终端及计算机可读存储介质 | |
| CN107360139A (zh) | 一种移动终端、数据加密方法及计算机可读存储介质 | |
| CN107395560A (zh) | 安全校验及其发起、管理方法、设备、服务器和存储介质 | |
| CN107273738A (zh) | 一种安全控制方法、终端及计算机可读存储介质 | |
| CN108616499A (zh) | 一种应用程序的鉴权方法、终端和计算机可读存储介质 | |
| CN107580336A (zh) | 一种网络连接方法、终端及计算机可读存储介质 | |
| CN107786569A (zh) | 一种验证码发送方法、接收方法及相关设备 | |
| CN110069229A (zh) | 屏幕共享方法、移动终端及计算机可读存储介质 | |
| CN107517208A (zh) | 设备控制方法、装置和计算机可读存储介质 | |
| CN108196762A (zh) | 一种终端控制方法、终端及计算机可读存储介质 | |
| CN108616878A (zh) | 一种加密解密方法、设备和计算机存储介质 | |
| CN107678798A (zh) | 一种sim卡快速初始化方法、装置及计算机可读存储介质 | |
| CN107563158A (zh) | 显示隐藏应用图标的方法、设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171222 |