【技术实现步骤摘要】
一种数字证书验证的方法和装置
本专利技术涉及计算机
,尤其涉及一种数字证书验证的方法和装置。
技术介绍
为了解决互联网中网络传输过程中的安全性问题,通常使用安全连接协议来进行数据传输,由于使用安全连接协议传输的数据是经过加密的,企业的代理服务或者网络监管部门无法对网络中的非法数据进行监管,因此由代理服务器使用自己的证书对服务端的证书重新进行签发,然后将签发后的证书发送给客户端,在此之前,需要在客户端将代理服务器的证书设置为受信任的数字证书,由此可以对数据进行解密;在实现本专利技术过程中,专利技术人发现现有技术中至少存在如下问题:上述方法隔离了客户端与服务端之间原有的证书验证机制,如果网站服务器本身是恶意网站或者证书本身存在问题,按照现有流程,客户端在访问该服务端时,会提示证书错误然后由用户选择是否继续,但是客户端收到代理服务器重新签发的证书后,客户端会无条件地信任代理服务器重新签发的证书,在这样的情况下可能产生因客户端访问恶意网站而带来的数据安全问题。
技术实现思路
有鉴于此,本专利...
【技术保护点】
1.一种数字证书验证的方法,其特征在于,包括:/n获取客户端访问请求中包含的网络地址,建立与所述网络地址对应的网站服务器的安全连接;/n当所述安全连接指示为成功时,获取所述网站服务器的原始证书;/n对所述原始证书生成证书链,并验证所述原始证书;/n当验证结果为所述原始证书可信时,使用本地可信证书签发所述原始证书,生成可信目标证书;/n当验证结果为所述原始证书不可信时,或者当确定所述网络地址对应恶意网站时,使用所述本地不可信证书签发所述原始证书,生成不可信目标证书;/n当验证结果为无法确定所述原始证书是否可信时,使用所述本地未知证书签发所述原始证书,生成未知目标证书;/n向客...
【技术特征摘要】
1.一种数字证书验证的方法,其特征在于,包括:
获取客户端访问请求中包含的网络地址,建立与所述网络地址对应的网站服务器的安全连接;
当所述安全连接指示为成功时,获取所述网站服务器的原始证书;
对所述原始证书生成证书链,并验证所述原始证书;
当验证结果为所述原始证书可信时,使用本地可信证书签发所述原始证书,生成可信目标证书;
当验证结果为所述原始证书不可信时,或者当确定所述网络地址对应恶意网站时,使用所述本地不可信证书签发所述原始证书,生成不可信目标证书;
当验证结果为无法确定所述原始证书是否可信时,使用所述本地未知证书签发所述原始证书,生成未知目标证书;
向客户端发送所述可信目标证书、所述不可信目标证书以及所述未知目标证书中的任意一个。
2.根据权利要求1所述的方法,其特征在于,
所述本地可信证书、所述本地不可信证书以及所述本地未知目标证书安装于所述客户端。
3.根据权利要求1所述的方法,其特征在于,
在对所述原始证书生成证书链失败的情况下,使用所述本地未知证书签发所述原始证书,生成未知目标证书。
4.根据权利要求1所述的方法,其特征在于,
当所述原始证书为自签名证书时,使用所述本地未知证书签发所述原始证书,生成未知目标证书。
5.根据权利要求1所述的方法,其特征在于,
使用证书吊销列表验证所述原始证书:
当证书吊销列表中不包括所述原始证书时,所述验证结果为所述原始证书可信;
当证书吊销列表中包括所述原始证书时,所述验证结果为所述原始证书不可信。
6.根据权利要求1所述的方法,其特征在于,
使用在线证书状态协议验证所述原始证书:
当根据在线证书状态协议获得的证书状态为证书有效时,所述验证结果为所述原始证书可信;
当根据在线证书状态协议获得的证书状态为证书失效时,所述验证结果为所述原始证书不可信;
当根据在线证书状态协议未获得证书状态时...
【专利技术属性】
技术研发人员:徐超,杨建,周志鹏,
申请(专利权)人:北京天空卫士网络安全技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。