本發(fā)明涉及一種HTTPS連接驗(yàn)證的方法和裝置。所述方法包括以下步驟：向網(wǎng)站發(fā)起HTTPS連接請(qǐng)求時(shí)，獲取所述網(wǎng)站的證書(shū)；對(duì)所述證書(shū)及除根證書(shū)外的所述證書(shū)的其余父證書(shū)進(jìn)行驗(yàn)證；若所述證書(shū)及其余父證書(shū)驗(yàn)證通過(guò)，則判斷所述根證書(shū)是否在預(yù)先設(shè)置的認(rèn)可的證書(shū)庫(kù)中，若是，則所述證書(shū)驗(yàn)證通過(guò)，繼續(xù)HTTPS連接，若否，則對(duì)所述證書(shū)、根證書(shū)及HTTPS連接所訪問(wèn)網(wǎng)站的統(tǒng)一資源定位符進(jìn)行校驗(yàn)，判斷所述證書(shū)、根證書(shū)及HTTPS連接所訪問(wèn)網(wǎng)站的統(tǒng)一資源定位符是否在預(yù)先配置的證書(shū)驗(yàn)證集合中，若是，則所述證書(shū)驗(yàn)證通過(guò)，繼續(xù)HTTPS連接，否則結(jié)束。上述HTTPS連接驗(yàn)證的方法和裝置，不需安裝根證書(shū)，避免了對(duì)系統(tǒng)的威脅，提高了系統(tǒng)的安全性。

技術(shù)領(lǐng)域

本發(fā)明涉及信息安全領(lǐng)域，特別是涉及一種HTTPS連接驗(yàn)證的方法和裝置。

背景技術(shù)

由于信息安全等各方面的因素，一些網(wǎng)站使用自己的證書(shū)體系，自己生成根證書(shū)，自己簽發(fā)證書(shū)，例如鐵路客戶服務(wù)中心需要安裝其根證書(shū)。因這類網(wǎng)站的根證書(shū)，不是由國(guó)際上受信任的證書(shū)簽發(fā)機(jī)構(gòu)簽發(fā)，所以沒(méi)有內(nèi)置在操作系統(tǒng)的證書(shū)Store中。

當(dāng)瀏覽器訪問(wèn)這些網(wǎng)站，進(jìn)行HTTPS(Hyper Transfer Protocol Over SecureSocket Layer，以安全為目標(biāo)的超文本傳輸協(xié)議)驗(yàn)證時(shí)，或彈出安全警告，或者由于證書(shū)原因而阻止繼續(xù)訪問(wèn)，用戶為了繼續(xù)訪問(wèn)，需要按照網(wǎng)站要求安裝根證書(shū)，因安裝的根證書(shū)并非國(guó)際上受信任的根證書(shū)，對(duì)整個(gè)系統(tǒng)的安全造成潛在的威脅。

發(fā)明內(nèi)容

基于此，有必要針對(duì)傳統(tǒng)的HTTPS連接驗(yàn)證需要安裝根證書(shū)而影響系統(tǒng)安全的問(wèn)題，提供一種HTTPS連接驗(yàn)證的方法，不需安裝根證書(shū)，提高了系統(tǒng)的安全性。

此外，還有必要提供一種HTTPS連接驗(yàn)證的裝置。

一種HTTPS連接驗(yàn)證的方法，包括以下步驟：

向網(wǎng)站發(fā)起HTTPS連接請(qǐng)求時(shí)，獲取所述網(wǎng)站的證書(shū)；

對(duì)所述證書(shū)及除根證書(shū)外的所述證書(shū)的其余父證書(shū)進(jìn)行驗(yàn)證；

若所述證書(shū)及其余父證書(shū)驗(yàn)證通過(guò)，則判斷所述根證書(shū)是否在預(yù)先設(shè)置的認(rèn)可的證書(shū)庫(kù)中，若是，則所述證書(shū)驗(yàn)證通過(guò)，繼續(xù)HTTPS連接，若否，則對(duì)所述證書(shū)、根證書(shū)及HTTPS連接所訪問(wèn)網(wǎng)站的統(tǒng)一資源定位符進(jìn)行校驗(yàn)，判斷所述證書(shū)、根證書(shū)及HTTPS連接所訪問(wèn)網(wǎng)站的統(tǒng)一資源定位符是否在預(yù)先配置的證書(shū)驗(yàn)證集合中，若是，則所述證書(shū)驗(yàn)證通過(guò)，繼續(xù)HTTPS連接，否則結(jié)束。

一種HTTPS連接驗(yàn)證的裝置，包括：

獲取模塊，用于向網(wǎng)站發(fā)起HTTPS連接請(qǐng)求時(shí)，獲取所述網(wǎng)站的證書(shū)；

驗(yàn)證模塊，用于對(duì)所述證書(shū)及除根證書(shū)外的所述證書(shū)的其余父證書(shū)進(jìn)行驗(yàn)證；

判斷模塊，用于當(dāng)所述證書(shū)及其余父證書(shū)驗(yàn)證通過(guò)時(shí)，判斷所述根證書(shū)是否在預(yù)先設(shè)置的認(rèn)可的證書(shū)庫(kù)中，若是，則所述證書(shū)驗(yàn)證通過(guò)，繼續(xù)HTTPS連接，若否，則對(duì)所述證書(shū)、根證書(shū)及HTTPS連接所訪問(wèn)網(wǎng)站的統(tǒng)一資源定位符進(jìn)行校驗(yàn)，判斷所述證書(shū)、根證書(shū)及HTTPS連接所訪問(wèn)網(wǎng)站的統(tǒng)一資源定位符是否在預(yù)先配置的證書(shū)驗(yàn)證集合中，若是，則所述證書(shū)驗(yàn)證通過(guò)，繼續(xù)HTTPS連接，否則結(jié)束。

上述HTTPS連接驗(yàn)證的方法和裝置，在向網(wǎng)站發(fā)起HTTPS請(qǐng)求時(shí)，獲取網(wǎng)站的證書(shū)，對(duì)該證書(shū)及其父證書(shū)進(jìn)行驗(yàn)證，并在驗(yàn)證通過(guò)后判斷對(duì)應(yīng)的根證書(shū)是否在認(rèn)可的證書(shū)庫(kù)中，若是，則該證書(shū)驗(yàn)證通過(guò)，若否，則對(duì)該證書(shū)、根證書(shū)及對(duì)應(yīng)的HTTPS所訪問(wèn)的網(wǎng)站的統(tǒng)一資源定位符進(jìn)行校驗(yàn)，若在配置的證書(shū)驗(yàn)證集合中，則證書(shū)驗(yàn)證通過(guò)，進(jìn)行HTTPS連接，不需安裝根證書(shū)，避免了對(duì)系統(tǒng)的威脅，提高了系統(tǒng)的安全性。

附圖說(shuō)明

圖1為一個(gè)實(shí)施例中HTTP連接驗(yàn)證的方法的應(yīng)用環(huán)境圖；