The invention discloses a method and device for certificate management, which relates to the field of computer technology. An embodiment of the method includes: acquiring the local certificate information associated with the application, storing the acquired local certificate information into the local certificate chain array; transmitting the corresponding network request of the application to the server when the application is detected to start; receiving the feedback certificate information, traversing the local certificate chain array when there is no local certificate matching the certificate information When reading information, confirm that the received certificate information is abnormal information, and interrupt network communication. The implementation method realizes the designated app certificate chain verification mechanism, avoids the man in the middle attack, enhances the network communication security of app, and protects the rights and interests of developers.
【技术实现步骤摘要】
一种证书管理的方法和装置
本专利技术涉及计算机
,尤其涉及一种证书管理的方法和装置。
技术介绍
目前应用市场上大部分APP(Application,应用软件)都采用https(HyperTextTransferProtocoloverSecureSocketLayer,网络协议)方式进行网络通讯,而https通讯是需要依赖安全证书的。现有开发者在做https网络通讯时,对于证书的处理方式通常有两种:1)不考虑证书信任及校验的问题,直接默认信任设备中已信任的所有证书;例如,对实现X509TrustManager(证书信任管理器)的方法checkServerTrusted(X509Certificate[]chain,StringauthType)不做任何处理;2)对证书做严格校验;例如,对于实现X509TrustManager的方法checkServerTrusted(X509Certificate[]chain,StringauthType)做证书严格校验。在实现本专利技术的过程中,专利技术人发现现有技术至少存在如下问题:1)APP进行https网络通讯时,如果默认信任设备中所有的证书,导致网络通讯数据包可能会被抓包,造成信息泄露;2)虽然可以对证书进行严格校验,但若没有合理的证书管理方案,当遇到服务器升级或更换https证书时,也会导致网络访问失败,出现业务中断的情况。
技术实现思路
有鉴于此,本专利技术实施例提供一种证书管理的方法和装置,至
【技术保护点】
1.一种证书管理方法,其特征在于,包括:/n获取与应用相关联的本地证书信息,存储所获取的所述本地证书信息至本地证书链数组中;/n当检测到所述应用启动时,传输与所述应用相应的网络请求至服务端;/n接收所反馈的证书信息,遍历所述本地证书链数组,当不存在与所述证书信息相匹配的本地证书信息时,确定所接收的所述证书信息为异常信息,并中断网络通讯。/n
【技术特征摘要】
1.一种证书管理方法,其特征在于,包括:
获取与应用相关联的本地证书信息,存储所获取的所述本地证书信息至本地证书链数组中;
当检测到所述应用启动时,传输与所述应用相应的网络请求至服务端;
接收所反馈的证书信息,遍历所述本地证书链数组,当不存在与所述证书信息相匹配的本地证书信息时,确定所接收的所述证书信息为异常信息,并中断网络通讯。
2.根据权利要求1所述的方法,其特征在于,所述存储所获取的所述本地证书信息至本地证书链数组中还包括:
基于预定的转换规则,转换所获取的所述本地证书信息为预定标识,存储转换后的所述预定标识至所述本地证书链数组中。
3.根据权利要求1所述的方法,其特征在于,在所述确定所接收的所述证书信息为异常信息,并中断网络通讯之前,还包括:
传输与所述应用相应的第一网络请求至所述服务端,以接收所述服务端所反馈的最新证书信息;
基于所接收的所述最新证书信息,更新所述本地证书链数组;
所述确定所接收的所述证书信息为异常信息,并中断网络通讯还包括:
遍历更新后的本地证书链数组,当不存在与所述证书信息相匹配的本地证书信息时,确定所接收的所述证书信息为异常信息,并中断网络通讯。
4.根据权利要求1所述的方法,其特征在于,所述传输与所述应用相应的网络请求至服务端还包括:
传输与所述应用相应的第一网络请求至所述服务端,以接收所述服务端所反馈的最新证书信息;
基于所接收的所述最新证书信息,更新所述本地证书链数组;
所述遍历所述本地证书链数组,当不存在与所述证书信息相匹配的本地证书信息时,确定所接收的所述证书信息为异常信息,并中断网络通讯还包括:
遍历更新后的本地证书链数组,当不存在与所述证书信息相匹配的本地证书信息时,确定所接收的所述证书信息为异常信息,并中断网络通讯。
5.根据权利要求4所述的方法,其特征在于,所述传输与所述应用相应的第一网络请求至所述服务端还包括:
基于预定的加密方式,对所述第一网络请求进行加密,传输加密后的第一网络请求至所述服务端。
6.根据权利要求1所述的方法,其特征在于,还包括:
传输与所述应用相应的第二网络请求至所述服务端,以接收所述服务端所反馈的证书校验功能的执行状态;
所述遍历本地证书链数组,当不存在与所述证书信息相匹配的本地证书信息时,确定所接收的所述证书信息为异常信息,并中断网络通讯包括:
当所述证书校验功能为开启状态时,遍历所述本地证书链数组,当不存在与所述证书信息相匹配的本地证书信息时,确定所接收的所述证书信息为异常信息,并中断网络通讯;或
当所述证书校验功能为关闭状态时,确定所接收的所述证书信息为可信任信息。
7.根据权利要求1-6中任一项所述的方法,其特征在于,所述证书信息至少包括证书域名、证书公钥以及证书有效时间。
8.一...
【专利技术属性】
技术研发人员:侯伟浩,吕军委,李硕,
申请(专利权)人:北京京东尚科信息技术有限公司,北京京东世纪贸易有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。