本發明實施例公開了一種身份校驗方法，包括：服務器獲取終端的第一證書，并對第一證書進行身份校驗，第一證書為終端的自簽名證書；當服務器對第一證書進行身份校驗失敗時，服務器向終端發送證書信息；服務器生成第二證書；服務器使用第二證書與終端之間建立通信連接。本發明實施例還公開了一種身份校驗裝置。本發明實施例提供了一種方法，終端在使用自簽名證書進行身份校驗時，向終端發送經過服務器認證的新簽名證書，終端和服務器可以使用新簽名證書進行通信，提升了身份校驗的安全性，降低信息泄露的風險。

技術領域

本發明涉及網絡安全領域，尤其涉及一種身份校驗方法以及相關裝置。

背景技術

數字證書就是互聯網通訊中標志通訊各方身份信息的一串數字，提供了一種在互聯網上驗證通信實體身份的方式，人們可以在網上用它來識別對方的身份，由受信任的證書授權中心(certificate authority，CA)在驗證通信實體身份后頒發，具有身份驗證和數據傳輸加密功能。

隨著互聯網技術的應用與發展，終端對網絡通信的安全性提出了更高的要求。因此，超文本傳輸安全協議(hyper text transfer protocol over secure socket layer，HTTPS)得到了越來越廣泛的應用。HTTPS是通過安全套接層(security socket layer，SSL)證書實現身份驗證和數據加密。SSL證書是數字證書的一種。SSL證書可以由CA頒發也可以由服務器自簽發，當SSL證書為服務器自簽發時，稱為自簽名證書。當不同的通信實體之間進行通信時，需要使用數字證書進行身份校驗，在校驗成功后才可以建立安全通信通道。

當使用自簽名證書進行身份校驗時，采用的方法為對終端發送安全確認提示，當接收到終端的確認回復后，即通過身份校驗。這種處理方法易形成安全漏洞，造成信息泄露。

發明內容

本發明實施例提供了一種身份校驗方法以及相關裝置，實現了終端在使用自簽名證書進行身份校驗時，服務器在對自簽名證書進行校驗后，向終端發送經過服務器認證的新簽名證書，終端和服務器可以使用新簽名證書進行通信，提升了身份校驗的安全性，降低信息泄露的風險。

有鑒于此，本發明第一方面提供了一種身份校驗方法，包括：

服務器獲取終端的第一證書，并對所述第一證書進行身份校驗，所述第一證書為所述終端的自簽名證書；

當所述服務器對所述第一證書進行身份校驗失敗時，所述服務器向所述終端發送證書信息，所述證書信息中至少包括所述服務器的根證書，以使得所述終端將所述根證書確定為可信任證書并向所述服務器發送第一身份信息；

所述服務器根據接收到的所述第一身份信息生成第二證書；

所述服務器使用所述第二證書與所述終端之間建立通信連接。

結合本發明實施例的第一方面，在第一方面的第一種可能的實現方式中，所述服務器獲取終端的第一證書之前，所述方法還包括：

所述服務器接收所述終端發送的第二身份信息，所述第一身份信息中至少包括所述終端的統一資源定位符URL；

所述服務器獲取終端的第一證書，包括：

所述服務器根據所述URL獲取所述第一證書。

結合本發明實施例的第一方面的第一種可能的實現方式，在第一方面的第二種可能的實現方式中，所述對所述第一證書進行身份校驗，包括：

所述服務器使用所述根證書與所述第一證書進行對比；

若所述根證書與所述第一證書的對比結果一致，則身份校驗成功；

若所述根證書與所述第一證書的對比結果不一致，則身份校驗失敗。