本發明提供了一種證書獲取方法及裝置，該方法包括：對服務器的根證書或者證書鏈進行認證；在認證結果失敗的情況下，向服務器發送獲取請求，其中，獲取請求用于請求獲取服務器中變更后的根證書，所述根證書用于形成完整的證書鏈；根據服務器響應于獲取請求的響應信息，獲取所述服務器中變更后的根證書。通過本發明，解決了因終端在本地保存的預制的證書列表中沒有包含服務器中變更后的根證書，導致認證失敗出現無法正常連接服務器的問題，達到了保證終端和服務器的正常交互的效果。

技術領域

本發明涉及通信領域，具體而言，涉及一種證書獲取方法及裝置。

背景技術

目前，終端項目大多涉及到和局方服務器的數據交互。涉及到這方面的終端應用有：移動終端的空中下載軟件(Firmware Over-The-Air，簡稱為FOTA)升級以及流量追蹤datausage等。這些數據交互無論如何交互，均涉及到安全問題。原因很簡單，局方服務器上的內容不對大眾開放,具有一定的機密性。目前，項目常用的處理安全問題的方法是：安全套接層(Secure Sockets Layer，簡稱為SSL)及其繼任者傳輸層安全(Transport LayerSecurity，簡稱為TLS)。

一些項目因為服務器證書的安全問題，如加密技術的不斷進步以及專業人事、黑客對相關領域的深入研究，引起很多算法不斷被破解，從而使得一些證書可以被篡改、偽造，也就成為了不可信證書，因此，局方服務器需更新服務器證書。

而終端(例如，ufi、手機等無線上網產品)一般會按需求預制相關證書，出于安全性考慮，除非版本升級，否則終端預制的證書不會改變，例如，個人計算機(PersonalComputer，簡稱為PC)默認關閉“關閉根證書自動更新”功能，如果PC不想下載證書，需手動開啟該功能，這是終端的常用做法。因此，局方服務器更新的服務器證書并不在之前協商好的證書列表之內。這樣，由于終端內部沒有預制新的服務器證書，就會出現證書認證失敗，從而導致datausage以及FOTA升級不能使用，嚴重影響用戶體驗。

認證失敗后，終端可以通過internet從某預先指定的服務器下載證書，例如，PC未開啟“關閉根證書自動更新”功能。但是，服務器以服務器地址安全性有待確認。還有些瀏覽器即便認證不通過，也能進行下一步操作，很明顯，這是非常不安全的。

因此，相關技術中，服務器中的根證書發生了變更后，由于終端內預制的證書列表中沒有服務器中變更后的根證書，導致證書認證失敗出現無法正常連接服務器的問題。

發明內容

本發明實施例提供了一種證書獲取方法及裝置，以至少解決相關技術中服務器中的根證書發生了變更后，由于終端內預制的證書列表中沒有服務器中變更后的根證書，導致證書認證失敗出現無法正常連接服務器的問題。

根據本發明的一個實施例，提供了一種證書獲取方法，包括：對服務器的根證書或者證書鏈進行認證；在認證結果失敗的情況下，向所述服務器發送獲取請求，其中，所述獲取請求用于請求獲取所述服務器中變更后的根證書，所述根證書用于形成完整的證書鏈；根據所述服務器響應于所述獲取請求的響應信息，獲取所述服務器中變更后的根證書。

可選地，對所述服務器的所述根證書或者證書鏈進行認證包括：向所述服務器發起握手請求；接收所述服務器根據所述握手請求返回的證書；通過檢測本地是否有與所述服務器根據所述握手請求返回的證書相匹配的證書的方式，對所述服務器的所述根證書或者所述證書鏈進行認證。

可選地，向所述服務器發送所述獲取請求包括：通過第一預定信令向所述服務器發送所述獲取請求。

可選地，根據所述服務器響應于所述獲取請求的響應信息，獲取所述服務器中變更后的根證書包括：接收所述服務器通過第二預定信令響應所述獲取請求的響應信息，其中，所述響應信息中攜帶有用于獲取所述變更后的根證書的參數；解析所述響應信息獲取所述參數，根據所述參數獲取所述變更后的根證書。