提升安全套接層訪問安全性的方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及移動終端通信技術(shù),具體涉及一種提升安全套接層(SSL,SecureSocket Layer)訪問安全性的方法及裝置。
【背景技術(shù)】
[0002]蘋果移動操作系統(tǒng)(1S,iPhone OS)作為蘋果公司為iPhone、iPad等1S移動終端開發(fā)的移動操作系統(tǒng),由于可以兼容大量的應(yīng)用軟件,滿足了不同用戶的個(gè)性化需求,應(yīng)用的用戶越來越多。而隨著信息網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展以及因特網(wǎng)的開放性,電子商務(wù),尤其是基于1S移動終端的因特網(wǎng)的電子商務(wù),其安全性成為關(guān)注的焦點(diǎn)。安全套接層(SSL,Secure Socket Layer)協(xié)議通過對計(jì)算機(jī)與計(jì)算機(jī)之間的整個(gè)會話進(jìn)行加密,以保證在因特網(wǎng)上數(shù)據(jù)傳輸?shù)谋C苄院屯暾?,從而可以向基于傳輸控制協(xié)議/因特網(wǎng)協(xié)議(TCP/IP,Transmiss1n Control Protocol/Internet Protocol)的應(yīng)用程序提供身份認(rèn)證、數(shù)據(jù)完整性及信息機(jī)密性等安全機(jī)制,可以保障數(shù)據(jù)的可靠加密和安全的通信服務(wù),且由于SSL協(xié)議具有應(yīng)用面廣、實(shí)施成本低、安全高效、操作簡單等優(yōu)點(diǎn),已廣泛地用于1S移動終端瀏覽器與網(wǎng)站服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸,成為因特網(wǎng)安全通信標(biāo)準(zhǔn)之一,即1S移動終端瀏覽器與網(wǎng)站服務(wù)器進(jìn)行交互,對網(wǎng)站服務(wù)器進(jìn)行安全認(rèn)證,在安全認(rèn)證通過后,基于SSL協(xié)議,建立與網(wǎng)站服務(wù)器的SSL連接,并通過建立的SSL連接實(shí)現(xiàn)1S移動終端與網(wǎng)站服務(wù)器之間的數(shù)據(jù)安全傳輸。
[0003]在邏輯架構(gòu)上,SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間,為數(shù)據(jù)通信提供安全支持。SSL協(xié)議可分為兩層:一層為SSL記錄協(xié)議(SSL Record Protocol), SSL記錄協(xié)議建立在可靠的傳輸協(xié)議(如TCP)之上,為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持;另一層為SSL握手協(xié)議(SSL Handshake Protocol),SSL握手協(xié)議建立在SSL記錄協(xié)議之上,用于在實(shí)際的數(shù)據(jù)傳輸開始前,對通訊雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰,從而建立用于后續(xù)數(shù)據(jù)傳輸?shù)腟SL連接。具體來說,SSL協(xié)議提供的服務(wù)主要包括:
[0004]I)對1S移動終端和網(wǎng)站服務(wù)器進(jìn)行認(rèn)證,以確保數(shù)據(jù)能夠發(fā)送到正確的1S移動終端以及網(wǎng)站服務(wù)器;
[0005]2)加密數(shù)據(jù),以防止數(shù)據(jù)在傳輸中被竊?。?br>[0006]3)維護(hù)數(shù)據(jù)的完整性,以確保數(shù)據(jù)在傳輸中不被改變。
[0007]圖1示出了現(xiàn)有基于SSL連接進(jìn)行安全訪問的方法流程。參見圖1,當(dāng)1S移動終端中安裝的瀏覽器訪問網(wǎng)站服務(wù)器時(shí),例如,safari瀏覽器訪問網(wǎng)站服務(wù)器時(shí),需要先與網(wǎng)站服務(wù)器進(jìn)行安全認(rèn)證,并在安全認(rèn)證通過后,在1S移動終端與網(wǎng)站服務(wù)器之間建立SSL連接以進(jìn)行數(shù)據(jù)安全傳輸,該流程包括:
[0008]步驟101,safari瀏覽器接收用戶通過1S移動終端首次輸入的待訪問網(wǎng)站服務(wù)器的超文本傳輸安全套接層協(xié)議(HTTPS, Hypertext Transfer Protocol over SecureSocket Layer)信息,向該待訪問網(wǎng)站服務(wù)器發(fā)送SSL連接請求;
[0009]本步驟中,在safari瀏覽器界面,如果接收到用戶輸入的待訪問服務(wù)器的HTTPS信息,表明1S移動終端中安裝的瀏覽器需要與HTTPS信息對應(yīng)的網(wǎng)站服務(wù)器建立SSL連接,因而,在接收到HTTPS信息后,觸發(fā)safari瀏覽器向HTTPS信息對應(yīng)的網(wǎng)站服務(wù)器發(fā)送建立安全連接通道的SSL連接請求。
[0010]本步驟中,除了在SSL連接請求中攜帶HTTPS信息外,SSL連接請求中還可以攜帶safari瀏覽器SSL版本號、加密參數(shù)、與SSL會話相關(guān)的數(shù)據(jù)等SSL連接參數(shù)。
[0011]步驟102,接收網(wǎng)站服務(wù)器返回的SSL連接請求響應(yīng),解析SSL連接請求響應(yīng),獲取網(wǎng)站服務(wù)器安全證書;
[0012]本步驟中,網(wǎng)站服務(wù)器在向safari瀏覽器返回網(wǎng)站服務(wù)器安全證書的同時(shí),還可以將網(wǎng)站服務(wù)器SSL版本號、加密參數(shù)、與SSL會話相關(guān)的數(shù)據(jù)等SSL連接參數(shù)攜帶在SSL連接請求響應(yīng)中,發(fā)送給safari瀏覽器。
[0013]步驟103,safari瀏覽器對獲取的網(wǎng)站服務(wù)器安全證書進(jìn)行安全認(rèn)證,如果安全認(rèn)證通過,執(zhí)行步驟104,否則,執(zhí)行步驟105 ;
[0014]本步驟中,safari瀏覽器根據(jù)預(yù)先配置的安全認(rèn)證策略,對解析獲取的網(wǎng)站服務(wù)器安全證書進(jìn)行安全認(rèn)證,即從網(wǎng)站服務(wù)器安全證書中獲取網(wǎng)站服務(wù)器名稱(域名),與用戶通過1S移動終端輸入的HTTPS信息對應(yīng)的域名進(jìn)行匹配,如果能夠匹配上,則通過安全認(rèn)證,否則,安全認(rèn)證未通過。
[0015]步驟104,safari瀏覽器與HTTPS信息對應(yīng)的網(wǎng)站服務(wù)器協(xié)商SSL連接參數(shù),建立SSL連接,訪問網(wǎng)站服務(wù)器;
[0016]本步驟中,1S移動終端的safari瀏覽器根據(jù)安全認(rèn)證結(jié)果確定是否建立SSL連接。如果從網(wǎng)站服務(wù)器安全證書中獲取的網(wǎng)站服務(wù)器名稱與HTTPS信息相匹配,則通過安全認(rèn)證,1S移動終端與HTTPS信息對應(yīng)的網(wǎng)站服務(wù)器進(jìn)行SSL連接參數(shù)協(xié)商,并根據(jù)協(xié)商的SSL連接參數(shù),建立SSL連接,訪問網(wǎng)站服務(wù)器并進(jìn)行數(shù)據(jù)安全傳輸。如果從網(wǎng)站服務(wù)器安全證書中獲取的網(wǎng)站服務(wù)器名稱與HTTPS信息不相匹配,則未通過該網(wǎng)站服務(wù)器的安全認(rèn)證。
[0017]本步驟中,舉例來說,如果HTTPS信息對應(yīng)的網(wǎng)站服務(wù)器安全證書中,所對應(yīng)的域名為全域名(FQDN, Fully Qualified Domain Name),當(dāng)HTTPS信息對應(yīng)的域名與全域名完全匹配時(shí),則通過安全認(rèn)證。例如,如果網(wǎng)站服務(wù)器安全證書中的全域名是WWW.domain, com, HTTPS信息對應(yīng)的域名為www.domain, com,則兩者完全I(xiàn)Kj配,安全認(rèn)證通過;如果HTTPS信息對應(yīng)的域名為其他相近的域名,例如,web.domain, com、app.domain, com、domain, com等,由于HTTPS信息對應(yīng)的域名與網(wǎng)站安全證書中的全域名不能完全匹配,則不能通過安全認(rèn)證。此外,如果網(wǎng)站服務(wù)器安全證書不是由受信任的證書頒發(fā)機(jī)構(gòu)頒發(fā)的,則也不能通過安全認(rèn)證。而且,如果網(wǎng)站服務(wù)器安全證書中包含的名稱(IP地址)與以IP地址表示的HTTPS信息不符,也不能通過安全認(rèn)證。
[0018]步驟105,確定發(fā)生SSL錯(cuò)誤,并在顯示界面向用戶顯示包含是否繼續(xù)瀏覽HTTPS信息對應(yīng)的鏈接網(wǎng)站服務(wù)器的提示信息;
[0019]本步驟中,以與貝寶(paypal)網(wǎng)站服務(wù)器建立SSL連接安全訪問為例,通過網(wǎng)絡(luò)診斷工具(ping),獲得該貝寶網(wǎng)站服務(wù)器的IP地址為:23.66.98.234,然后在iPhone上通過safari瀏覽器,用HTTPS連接該IP地址,由于返回的網(wǎng)站服務(wù)器安全證書上的名稱(IP地址)與用HTTPS連接該IP地址不符,將會顯示如下提示信息:
[0020]此網(wǎng)站服務(wù)器的安全證書有問題;
[0021]此網(wǎng)站服務(wù)器出具的安全證書是為其他網(wǎng)站服務(wù)器地址頒發(fā)的;
[0022]安全證書問題可能顯示試圖欺騙您或截獲您向服務(wù)器發(fā)送的數(shù)據(jù);
[0023]建議關(guān)閉此網(wǎng)站服務(wù)器,并且不要繼續(xù)瀏覽該網(wǎng)站服務(wù)器;
[0024]單擊此處關(guān)閉該網(wǎng)站服務(wù)器。
[0025]繼續(xù)瀏覽此網(wǎng)站服務(wù)器(不推薦)。
[0026]更多信息。
[0027]本步驟中,如果用戶點(diǎn)擊繼續(xù)瀏覽此網(wǎng)站服務(wù)器,即表示信任該網(wǎng)站服務(wù)器安全證書。
[0028]步驟106,接收用戶選取的繼續(xù)瀏覽此網(wǎng)站服務(wù)器的信息,建立SSL連接,訪問網(wǎng)站服務(wù)器,并根據(jù)1S移動終端安全證書中默認(rèn)設(shè)置的允許用戶接受不被信任的TLS證書選項(xiàng),設(shè)置永久信任該網(wǎng)站服務(wù)器安全證書,以使后續(xù)訪問該網(wǎng)站服務(wù)器時(shí),自動通過對該網(wǎng)站服務(wù)器的安全認(rèn)證。
[0029]本步驟中,由于在現(xiàn)有的1S移動終端安全證書中,默認(rèn)設(shè)置有允許用戶接受不被信任的傳輸層安全性(TLS, Transport Layer Security)證書選項(xiàng)。因而,如果用戶通過單擊繼續(xù)瀏覽此網(wǎng)站服務(wù)器(不推薦),表明用戶將永久信任該網(wǎng)站服務(wù)器安全證書,且不可恢復(fù),后續(xù)只要訪問該網(wǎng)站服務(wù)器,由于已執(zhí)行過一次信任該網(wǎng)站服務(wù)器安全證書操作,根據(jù)默認(rèn)的設(shè)置選項(xiàng),默認(rèn)將信任該網(wǎng)站服務(wù)器安全證書,因而,不會再向用戶顯示需要用戶選取是否繼續(xù)瀏覽此網(wǎng)站服務(wù)器操作的提示信息,并自動通過對該網(wǎng)站服務(wù)器的安全認(rèn)證。
[0030]由上述可見,現(xiàn)有基于SSL連接進(jìn)行安全訪問的方法,在1S移動終端(safari瀏覽器)對網(wǎng)站服務(wù)器返回的網(wǎng)站服務(wù)器安全證書進(jìn)行安全認(rèn)證時(shí),如果沒有通過網(wǎng)站服務(wù)器的安全認(rèn)證,將在顯示的提示信息中詢問用戶是否繼續(xù)信任該網(wǎng)站服務(wù)器安全證書,如果用戶選擇信任,則表示永久信任該網(wǎng)站服務(wù)器安全證書。這樣,在后續(xù)重新進(jìn)行的SSL連接安全訪問中,1S移動終端將永久信任該網(wǎng)站服務(wù)器安全證書,不再向用戶顯示提示信息,使得用戶的訪問安全性降低。
【發(fā)明內(nèi)容】
[0031]鑒于上述問題,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的提升安全套接層訪問安全性的方法及裝置。
[0032]依據(jù)本發(fā)明的一個(gè)方面,提供了提升安全套接層訪問安全性的方法,該方法包括:
[0033]智能終端設(shè)備接收網(wǎng)站服務(wù)器返回的網(wǎng)站服務(wù)器證書,對該網(wǎng)站服務(wù)器安全證書進(jìn)行安全認(rèn)證;
[0034]確定沒有通過對網(wǎng)站服務(wù)器安全證書的安全認(rèn)證,根據(jù)預(yù)先安裝的智能終端設(shè)備安全證書中設(shè)置的不允許用戶接受不被信任的TLS證書信息,在智能終端設(shè)備顯示界面顯示包含是否繼續(xù)瀏覽所述網(wǎng)站服務(wù)器的提示信息;
[0035]在接收到用戶選取的繼續(xù)瀏覽該網(wǎng)站服務(wù)器的信息后,建立安全套接層連接,并根據(jù)建立的安全套接層連接訪問所述網(wǎng)站服務(wù)器。
[0036]優(yōu)選地,設(shè)置所述不允許用戶接受不被信任的TLS證書信息包括:
[0037]在運(yùn)行的智能終端設(shè)備配置實(shí)用工具界面中創(chuàng)建安全套接層連接安全配置文件;
[0038]在創(chuàng)建的安全套接層連接安全配置文件中,設(shè)置不允許用戶接受不被信任的TLS證書信息;
[0039]安裝設(shè)置的安全套接層連接安全配置文件,形成智能終端設(shè)備安全證書。
[0040]優(yōu)選地,所述在安裝設(shè)置的安全套接層連接安全配置文件之前,所述方法進(jìn)一步包括:
[0041]對設(shè)置的安全套接層連接安全配置文件進(jìn)行簽名,將簽名的安全套接層連接安全配置文件上傳至簽名服務(wù)器進(jìn)行簽名認(rèn)證,并接收簽名服務(wù)器下發(fā)的簽名的安全套接層連接安全配置文件。
[0042]優(yōu)選地,所述對設(shè)置的安全套接層連接配置文件進(jìn)行簽名包括:
[0043]在創(chuàng)建的安全套接層連接配置文件中,創(chuàng)建描述文