本申请公开了一种数字证书的校验方法、装置、设备及介质。其中,该方法通过获取与通讯请求对应证书链的顶层证书的颁发者;根据顶层证书的颁发者和目标应用程序内置的根证书颁发者列表,确定顶层证书的颁发者是否命中根证书颁发者列表;若是,则遍历系统信任证书列表,确定与顶层证书对应的公钥;根据公钥对顶层证书进行校验,确定顶层证书的校验结果;若校验通过,则建立目标应用程序所在客户端与接收通讯请求的服务器之间的通讯。本技术方案通过目标应用程序中内置的根证书颁发者列表对自签证书进行过滤,以及通过客户端自身的证书校验能力对过滤后的数字证书进行校验,提高了数字证书校验的效率和安全性。书校验的效率和安全性。书校验的效率和安全性。
【技术实现步骤摘要】
一种数字证书的校验方法、装置、设备及介质
[0001]本申请涉及网络安全
,尤其涉及一种数字证书的校验方法、装置、设备及介质。
技术介绍
[0002]客户端与服务端在进行数据传输时,需要进行数字证书校验,以确保与客户端进行通信的服务器是安全可信的。其中,数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,用以识别对方身份。
[0003]目前,在安卓系统中通常是通过系统能力手动内置导入数字证书并基于系统能力对数字证书进行校验,但这样会被恶意攻击者利用安卓系统的系统漏洞获取根权限(ROOT)以导入自制证书到系统,然后通过中间人攻击替换通讯请求过程中的数字证书,以截取通讯数据。
[0004]因此,如何提供一种能够确保数字证书的校验安全性的技术方案,是本领域技术人员亟待解决的技术问题。
技术实现思路
[0005]本申请提供了一种数字证书的校验方法、装置、设备及介质,通过在目标应用程序中内置根证书颁发者列表,避免通过中间人攻击替换通讯请求中数字证书以截取通讯请求的问题,提高数字证书校验的安全性。
[0006]根据本申请的一方面,提供了一种数字证书的校验方法,该方法包括:获取与通讯请求对应证书链的顶层证书的颁发者;其中,所述顶层证书为所述证书链中距离根证书最近的数字证书;
[0007]根据所述顶层证书的颁发者和目标应用程序内置的根证书颁发者列表,确定所述顶层证书的颁发者是否命中所述根证书颁发者列表;
[0008]若是,则遍历系统信任证书列表,确定与所述顶层证书对应的公钥;其中,所述系统信任证书列表根据所述目标应用程序所在客户端进行获取;
[0009]根据所述公钥对所述顶层证书进行校验,确定所述顶层证书的校验结果;
[0010]若校验通过,则建立所述目标应用程序所在客户端与接收所述通讯请求的服务器之间的通讯。
[0011]根据本申请的另一方面,提供了一种数字证书的校验装置,该装置包括:顶层证书颁发者确定模块,用于获取与通讯请求对应证书链的顶层证书的颁发者;其中,所述顶层证书为所述证书链中距离根证书最近的数字证书;
[0012]顶层证书颁发者校验模块,用于根据所述顶层证书的颁发者和目标应用程序内置的根证书颁发者列表,确定所述顶层证书的颁发者是否命中所述根证书颁发者列表;
[0013]顶层证书公钥确定模块,用于若是,则遍历系统信任证书列表,确定与所述顶层证书对应的公钥;其中,所述系统信任证书列表根据所述目标应用程序所在客户端进行获取;
[0014]顶层证书校验模块,用于根据所述公钥对所述顶层证书进行校验,确定所述顶层证书的校验结果;
[0015]通讯关系建立模块,用于若校验通过,则建立所述目标应用程序所在客户端与接收所述通讯请求的服务器之间的通讯。
[0016]根据本申请的另一方面,提供了一种电子设备,该设备包括:
[0017]至少一个处理器;以及
[0018]与所述至少一个处理器通信连接的存储器;其中,
[0019]所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本申请任一实施例所述的数字证书的校验方法。
[0020]根据本申请的另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本申请任一实施例所述的数字证书的校验方法。
[0021]本申请提供的技术方案,通过获取与通讯请求对应证书链的顶层证书的颁发者;其中,顶层证书为证书链中距离根证书最近的数字证书;根据顶层证书的颁发者和目标应用程序内置的根证书颁发者列表,确定顶层证书的颁发者是否命中根证书颁发者列表;若是,则遍历系统信任证书列表,确定与顶层证书对应的公钥;其中,系统信任证书列表根据目标应用程序所在客户端进行获取;根据公钥对顶层证书进行校验,确定顶层证书的校验结果;若校验通过,则建立目标应用程序所在客户端与接收通讯请求的服务器之间的通讯。本技术方案通过在目标应用程序中内置的根证书颁发者列表对手动注入的自签证书进行过滤,以及通过客户端自身的证书校验能力对过滤后的数字证书进行校验,提高了数字证书校验的效率和安全性。
[0022]应当理解,本部分所描述的内容并非旨在标识本申请的实施例的关键或重要特征,也不用于限制本申请的范围。本申请的其它特征将通过以下的说明书而变得容易理解。
附图说明
[0023]为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0024]图1是根据本申请实施例一提供的一种数字证书的校验方法的流程图;
[0025]图2是根据本申请实施例二提供的一种数字证书的校验方法的流程图;
[0026]图3是根据本申请实施例三提供的一种数字证书的校验装置的结构示意图;
[0027]图4是实现本申请实施例的一种数字证书的校验方法的设备的结构示意图。
具体实施方式
[0028]为了使本
的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人
员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
[0029]需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“目标”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0030]实施例一
[0031]图1为本申请实施例一提供的一种数字证书的校验方法的流程图,本实施例可适用于通讯过程中对数字证书进行校验的情况,该方法可以由数字证书的校验装置来执行,该数字证书的校验装置可以采用硬件和/或软件的形式实现,该数字证书的校验装置可配置于具有数据处理能力的设备中。如图1所示,该方法包括:
[0032]S110、获取与通讯请求对应证书链的顶层证书的颁发者。其中,所述顶层证书为所述证书链中距离根证书最近的数字证书。
[0033]其中,通讯请求可为客户端向服务器发起的请求。例如,用户在客户端访问某个网络地址时,需要检测网络地址对应的服务器的数字证书是否安全,则可基于该网络地本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种数字证书的校验方法,其特征在于,所述方法包括:获取与通讯请求对应证书链的顶层证书的颁发者;其中,所述顶层证书为所述证书链中距离根证书最近的数字证书;根据所述顶层证书的颁发者和目标应用程序内置的根证书颁发者列表,确定所述顶层证书的颁发者是否命中所述根证书颁发者列表;若是,则遍历系统信任证书列表,确定与所述顶层证书对应的公钥;其中,所述系统信任证书列表根据所述目标应用程序所在客户端进行获取;根据所述公钥对所述顶层证书进行校验,确定所述顶层证书的校验结果;若校验通过,则建立所述目标应用程序所在客户端与接收所述通讯请求的服务器之间的通讯。2.根据权利要求1所述的方法,其特征在于,在获取与通讯请求对应证书链的顶层证书的颁发者之前,所述方法还包括:确定所述通讯请求的域名是否位于白名单或者需要进行绕过校验;若所述通讯请求的域名位于白名单或者需要进行绕过校验,则建立目标应用程序所在客户端与接收所述通讯请求的服务器之间的通讯;若所述通讯请求的域名不位于白名单或者不需要进行绕过校验,则执行所述获取所述与通讯请求对应证书链的顶层证书的颁发者的步骤。3.根据权利要求1所述的方法,其特征在于,获取所述与通讯请求对应证书链的顶层证书的颁发者,包括:根据目标应用程序预先设置的回调对象和回调方法,解析所述通讯请求中的对话信息对象;根据所述对话信息对象确定与所述通讯请求对应的证书链;根据所述证书链获取顶层证书的颁发者。4.根据权利要求1所述的方法,其特征在于,在确定所述顶层证书的颁发者是否命中所述根证书颁发者列表之后,所述方法还包括:若否,则生成第一异常错误码,并中断所述通讯请求。5.根据权利要求1所述的方法,其特征在于,遍历系统信任证书列表,确定与所述顶层证书对应的公钥,包括:遍历系统信任证书列表,确定系统信任证书列表中与所述顶层证书为同一颁发者的目标系统信任证书;根据所述目标系统信任证书携带的公钥,确定与所述顶层证书的颁发者对应的公钥。6.根据权利要求5所述的方法,...
【专利技术属性】
技术研发人员:李毅,
申请(专利权)人:深圳乐信软件技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。