一种证书管理的方法和装置制造方法及图纸

本发明专利技术公开了一种证书管理的方法和装置，涉及计算机技术领域。该方法的一具体实施方式包括：获取与应用相关联的本地证书信息，存储所获取的本地证书信息至本地证书链数组中；当检测到应用启动时，传输与应用相应的网络请求至服务端；接收所反馈的证书信息，遍历本地证书链数组，当不存在与证书信息相匹配的本地证书信息时，确定所接收的证书信息为异常信息，并中断网络通讯。该实施方式实现了指定APP证书链校验机制，规避了中间人攻击，增强了APP的网络通讯安全性，同时可以保护了开发者权益。

A method and device of certificate management

The invention discloses a method and device for certificate management, which relates to the field of computer technology. An embodiment of the method includes: acquiring the local certificate information associated with the application, storing the acquired local certificate information into the local certificate chain array; transmitting the corresponding network request of the application to the server when the application is detected to start; receiving the feedback certificate information, traversing the local certificate chain array when there is no local certificate matching the certificate information When reading information, confirm that the received certificate information is abnormal information, and interrupt network communication. The implementation method realizes the designated app certificate chain verification mechanism, avoids the man in the middle attack, enhances the network communication security of app, and protects the rights and interests of developers.

【技术实现步骤摘要】
一种证书管理的方法和装置
本专利技术涉及计算机
，尤其涉及一种证书管理的方法和装置。
技术介绍
目前应用市场上大部分APP(Application，应用软件)都采用https(HyperTextTransferProtocoloverSecureSocketLayer，网络协议)方式进行网络通讯，而https通讯是需要依赖安全证书的。现有开发者在做https网络通讯时，对于证书的处理方式通常有两种：1)不考虑证书信任及校验的问题，直接默认信任设备中已信任的所有证书；例如，对实现X509TrustManager(证书信任管理器)的方法checkServerTrusted(X509Certificate[]chain,StringauthType)不做任何处理；2)对证书做严格校验；例如，对于实现X509TrustManager的方法checkServerTrusted(X509Certificate[]chain,StringauthType)做证书严格校验。在实现本专利技术的过程中，专利技术人发现现有技术至少存在如下问题：1)APP进行https网络通讯时，如果默认信任设备中所有的证书，导致网络通讯数据包可能会被抓包，造成信息泄露；2)虽然可以对证书进行严格校验，但若没有合理的证书管理方案，当遇到服务器升级或更换https证书时，也会导致网络访问失败，出现业务中断的情况。
技术实现思路
有鉴于此，本专利技术实施例提供一种证书管理的方法和装置，至少能够解决现有技术中不校验、直接信任所有证书，导致数据被抓包；校验情况没有合理的证书管理方案，导致APP网络访问失败的现象。为实现上述目的，根据本专利技术实施例的一个方面，提供了一种证书管理的方法，包括：获取与应用相关联的本地证书信息，存储所获取的本地证书信息至本地证书链数组中；当检测到应用启动时，传输与应用相应的网络请求至服务端；接收所反馈的证书信息，遍历本地证书链数组，当不存在与证书信息相匹配的本地证书信息时，确定所接收的证书信息为异常信息，并中断网络通讯。可选的，存储所获取的本地证书信息至本地证书链数组中还包括：基于预定的转换规则，转换所获取的本地证书信息为预定标识，存储转换后的预定标识至本地证书链数组中。可选的，在确定所接收的证书信息为异常信息，并中断网络通讯之前，还包括：传输与应用相应的第一网络请求至服务端，以接收服务端所反馈的最新证书信息；基于所接收的最新证书信息，更新本地证书链数组；确定所接收的所述证书信息为异常信息，并中断网络通讯还包括：遍历更新后的本地证书链数组，当不存在与证书信息相匹配的本地证书信息时，确定所接收的证书信息为异常信息，并中断网络通讯。可选的，传输与所述应用相应的网络请求至服务端还包括：传输与应用相应的第一网络请求至服务端，以接收服务端所反馈的最新证书信息；基于所接收的最新证书信息，更新本地证书链数组；遍历本地证书链数组，当不存在与证书信息相匹配的本地证书信息时，确定所接收的证书信息为异常信息，并中断网络通讯还包括：遍历更新后的本地证书链数组，当不存在与证书信息相匹配的本地证书信息时，确定所接收的证书信息为异常信息，并中断网络通讯。可选的，传输与应用相应的第一网络请求至服务端还包括：基于预定的加密方式，对第一网络请求进行加密，传输加密后的第一网络请求至服务端。可选的，还包括：传输与应用相应的第二网络请求至服务端，以接收服务端所反馈的证书校验功能的执行状态；遍历本地证书链数组，当不存在与证书信息相匹配的本地证书信息时，确定所接收的证书信息为异常信息，并中断网络通讯包括：当证书校验功能为开启状态时，遍历本地证书链数组，当不存在与证书信息相匹配的本地证书信息时，确定所接收的证书信息为异常信息，并中断网络通讯；或当证书校验功能为关闭状态时，确定所接收的证书信息为可信任信息。可选的，证书信息至少包括证书域名、证书公钥以及证书有效时间。为实现上述目的，根据本专利技术实施例的另一方面，提供了一种证书管理的装置，包括：存储模块，用于获取与应用相关联的本地证书信息，存储所获取的本地证书信息至本地证书链数组中；传输模块，用于当检测到应用启动时，传输与应用相应的网络请求至服务端；校验模块，用于接收所反馈的证书信息，遍历本地证书链数组，当不存在与证书信息相匹配的本地证书信息时，确定所接收的证书信息为异常信息，并中断网络通讯。可选的，存储模块，用于：基于预定的转换规则，转换所获取的本地证书信息为预定标识，存储转换后的预定标识至本地证书链数组中。可选的，所述校验模块，还用于：传输与应用相应的第一网络请求至服务端，以接收服务端所反馈的最新证书信息；基于所接收的最新证书信息，更新本地证书链数组；遍历更新后的本地证书链数组，当不存在与证书信息相匹配的本地证书信息时，确定所接收的证书信息为异常信息，并中断网络通讯。可选的，传输模块，还用于：传输与应用相应的第一网络请求至服务端，以接收服务端所反馈的最新证书信息；基于所接收的最新证书信息，更新本地证书链数组；校验模块，还用于：遍历更新后的本地证书链数组，当不存在与证书信息相匹配的本地证书信息时，确定所接收的证书信息为异常信息，并中断网络通讯。可选的，传输模块，还用于：基于预定的加密方式，对第一网络请求进行加密，传输加密后的第一网络请求至服务端。可选的，还包括状态接收模块，用于：传输与应用相应的第二网络请求至服务端，以接收服务端所反馈的证书校验功能的执行状态；校验模块，还用于：当证书校验功能为开启状态时，遍历本地证书链数组，当不存在与证书信息相匹配的本地证书信息时，确定所接收的证书信息为异常信息，并中断网络通讯；或当证书校验功能为关闭状态时，确定所接收的证书信息为可信任信息。可选的，证书信息至少包括证书域名、证书公钥以及证书有效时间。为实现上述目的，根据本专利技术实施例的再一方面，提供了一种证书管理的电子设备。本专利技术实施例的电子设备包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现上述任一所述的证书管理的方法。为实现上述目的，根据本专利技术实施例的再一方面，提供了一种计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现上述任一所述的证书管理的方法。根据本专利技术所述提供的方案，上述专利技术中的一个实施例具有如下优点或有益效果：实现了指定APP证书链校验机制，规避了中间人攻击，增强了APP的网络通讯安全性；中断网络请求，保护了开发者权益。上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。附图说明附图用于更好地理解本专利技术，不构成对本专利技术的不当限定。其中：图1是根据本专利技术实施例的一种证书管理的方法的主要流程示意图；...

【技术保护点】
1.一种证书管理方法，其特征在于，包括：/n获取与应用相关联的本地证书信息，存储所获取的所述本地证书信息至本地证书链数组中；/n当检测到所述应用启动时，传输与所述应用相应的网络请求至服务端；/n接收所反馈的证书信息，遍历所述本地证书链数组，当不存在与所述证书信息相匹配的本地证书信息时，确定所接收的所述证书信息为异常信息，并中断网络通讯。/n

【技术特征摘要】
1.一种证书管理方法，其特征在于，包括：
获取与应用相关联的本地证书信息，存储所获取的所述本地证书信息至本地证书链数组中；
当检测到所述应用启动时，传输与所述应用相应的网络请求至服务端；
接收所反馈的证书信息，遍历所述本地证书链数组，当不存在与所述证书信息相匹配的本地证书信息时，确定所接收的所述证书信息为异常信息，并中断网络通讯。


2.根据权利要求1所述的方法，其特征在于，所述存储所获取的所述本地证书信息至本地证书链数组中还包括：
基于预定的转换规则，转换所获取的所述本地证书信息为预定标识，存储转换后的所述预定标识至所述本地证书链数组中。


3.根据权利要求1所述的方法，其特征在于，在所述确定所接收的所述证书信息为异常信息，并中断网络通讯之前，还包括：
传输与所述应用相应的第一网络请求至所述服务端，以接收所述服务端所反馈的最新证书信息；
基于所接收的所述最新证书信息，更新所述本地证书链数组；
所述确定所接收的所述证书信息为异常信息，并中断网络通讯还包括：
遍历更新后的本地证书链数组，当不存在与所述证书信息相匹配的本地证书信息时，确定所接收的所述证书信息为异常信息，并中断网络通讯。


4.根据权利要求1所述的方法，其特征在于，所述传输与所述应用相应的网络请求至服务端还包括：
传输与所述应用相应的第一网络请求至所述服务端，以接收所述服务端所反馈的最新证书信息；
基于所接收的所述最新证书信息，更新所述本地证书链数组；
所述遍历所述本地证书链数组，当不存在与所述证书信息相匹配的本地证书信息时，确定所接收的所述证书信息为异常信息，并中断网络通讯还包括：
遍历更新后的本地证书链数组，当不存在与所述证书信息相匹配的本地证书信息时，确定所接收的所述证书信息为异常信息，并中断网络通讯。


5.根据权利要求4所述的方法，其特征在于，所述传输与所述应用相应的第一网络请求至所述服务端还包括：
基于预定的加密方式，对所述第一网络请求进行加密，传输加密后的第一网络请求至所述服务端。


6.根据权利要求1所述的方法，其特征在于，还包括：
传输与所述应用相应的第二网络请求至所述服务端，以接收所述服务端所反馈的证书校验功能的执行状态；
所述遍历本地证书链数组，当不存在与所述证书信息相匹配的本地证书信息时，确定所接收的所述证书信息为异常信息，并中断网络通讯包括：
当所述证书校验功能为开启状态时，遍历所述本地证书链数组，当不存在与所述证书信息相匹配的本地证书信息时，确定所接收的所述证书信息为异常信息，并中断网络通讯；或
当所述证书校验功能为关闭状态时，确定所接收的所述证书信息为可信任信息。


7.根据权利要求1-6中任一项所述的方法，其特征在于，所述证书信息至少包括证书域名、证书公钥以及证书有效时间。


8.一...

【专利技术属性】
技术研发人员：侯伟浩，吕军委，李硕，
申请(专利权)人：北京京东尚科信息技术有限公司，北京京东世纪贸易有限公司，
类型：发明
国别省市：北京;11