【技术实现步骤摘要】
一种恶意证书检测方法
本专利技术涉及证书加密领域,特别是涉及一种恶意证书检测方法。
技术介绍
X.509证书是HTTPS协议的基础,它是由证书认证机构签发的用于加密传输信息的公钥的认证信息。X.509证书中包含认证机构签名时所使用的签名算法,经认证机构私钥处理后的签名和一些关于认证机构、申请证书机构及公钥的一些基本信息。在进行基于HTTPS协议的通信时,服务器端在握手阶段将自己的X.509证书发送至客户端,客户端进行证书信息解析以及证书链的构建之后确定该张证书是否为可信的。确定的指标一般包含该证书是否过期,该证书的根证书是否是可信的,该证书是否处于证书撤销列表和该证书的在线验证状态是否有效。由于X.509证书在一定程度上能够保证访问和连接的安全性,越来越多的网站使用HTTPS协议进行信息的传递。这同时也带来了一些问题,钓鱼网站和一些僵死网络的控制服务器也开始使用证书来加密数据信息,从而逃避一些恶意流量分析工具的检测。网络钓鱼小组APWG(Anti-PhishingWorkingGroup)发布的2020年第一季度的钓鱼活动趋...
【技术保护点】
1.一种恶意证书检测方法,其特征是,包括如下步骤:/n一、基于Cryptography和RFC 5280对证书进行基本的内容解析和规范性的检验,初步获取所述证书的基本信息并判断它是否符合RFC 5280的规范和约束,并记录相关的信息;/n二、基于从CCADB获取的可信根证书和中间证书,结合证书本身AIA拓展信息中的CERT_ISSUER来构建完整的证书链,验证证书签名并记录相应信息;/n三、如证书链构建成功,没有出现签名验证不符的错误,而且找到了最终的根证书即可信的自签证书,那么再利用OpenSSL来对该张证书链的每一张证书进行证书链的验证,直至整个证书链上的证书都验证完成...
【技术特征摘要】 【专利技术属性】
1.一种恶意证书检测方法,其特征是,包括如下步骤:
一、基于Cryptography和RFC5280对证书进行基本的内容解析和规范性的检验,初步获取所述证书的基本信息并判断它是否符合RFC5280的规范和约束,并记录相关的信息;
二、基于从CCADB获取的可信根证书和中间证书,结合证书本身AIA拓展信息中的CERT_ISSUER来构建完整的证书链,验证证书签名并记录相应信息;
三、如证书链构建成功,没有出现签名验证不符的错误,而且找到了最终的根证书即可信的自签证书,那么再利用OpenSSL来对该张证书链的每一张证书进行证书链的验证,直至整个证书链上的证书都验证完成;如证书链上的证书验证未成功,则直接进行步骤四;
四、对之前获取的证书的内容及相关的验证信息进行特征的提取;
五、收集良性证书数据和恶意证书数据,对证书进行特征的提取;
六、在数据特征提取之后,构建检测模型并实现对恶意证书的验证。
2.根据权利要求1所述恶意证书检测方法,其特征在于,所述步骤一获取所述证书的基本信息包括以下步骤:
步骤(1):对于输入的pem和cer格式证书导入,并进行格式的转换和存储;
步骤(2):依据Cryptography对于X.509证书的基本信息和存在的拓展信息进行获取;
步骤(3):以RFC5280为根据,对文档中涉及的规范约束进行检查并记录相关的检查信息。
3.根据权利要求1所述恶意证书检测方法,其特征在于,所述步骤三中证书链验证具体的过程如下:
步骤1):将windows下可信的根证书库导入到上下文中,作为基础的可信证书库;
步骤2):将解析证书过程中收集的CRL信息加载到上下文,用于对证书进行CRL验证,验证其是否处于证书撤销列表之中;
步骤3):依据证书链中根证书到端证书的次序将每一张证书添加至上下文中并验证当前添入证书的证书链,并且将新发现的CRL信息也添加至上下文利于验证,这样相当于把整个证书链上的每个证书的证书链都验证了一下,同时进行相应的信息记录。
技术研发人员:闫健恩,李佳欣,程亚楠,张兆心,黄俊凯,姚雨辰,
申请(专利权)人:哈尔滨工业大学威海,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。