CN105634744B - 一种根证书存储装置及安全接入方法 - Google Patents

一种根证书存储装置及安全接入方法 Download PDF

Info

Publication number
CN105634744B
CN105634744B CN201511021454.8A CN201511021454A CN105634744B CN 105634744 B CN105634744 B CN 105634744B CN 201511021454 A CN201511021454 A CN 201511021454A CN 105634744 B CN105634744 B CN 105634744B
Authority
CN
China
Prior art keywords
root certificate
storage area
subdirectory
developer
name
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201511021454.8A
Other languages
English (en)
Other versions
CN105634744A (zh
Inventor
杨玉奇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yuanxin Information Technology Group Co.,Ltd.
Original Assignee
Beijing Yuanxin Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Yuanxin Science and Technology Co Ltd filed Critical Beijing Yuanxin Science and Technology Co Ltd
Priority to CN201511021454.8A priority Critical patent/CN105634744B/zh
Publication of CN105634744A publication Critical patent/CN105634744A/zh
Application granted granted Critical
Publication of CN105634744B publication Critical patent/CN105634744B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了一种根证书存储装置及安全接入方法,其中所述方法包括:在需要验证证书时,确定固定存储区是否有相应的CA根证书;在所述固定存储区不包含相应的CA根证书时,获取所述应用的开发者名称;确定可扩展存储区是否包含以所述开发者名称命名的子目录;在所述可扩展存储区包含以所述开发者名称命名的子目录时,确定该子目录中是否包含相应的CA根证书;在所述可扩展存储区不包含以所述开发者名称命名的子目录或者在子目录中不包含相应的CA根证书时,询问用户是否信任拟连接站点的根证书;在用户确认不信任时断开连接。本发明可防止应用连接到假冒的站点,从而防止信息的可能失窃,增强了不同应用间的安全性。

Description

一种根证书存储装置及安全接入方法
技术领域
本申请涉及通信安全领域,尤其涉及一种根证书存储装置及使用根证书存储装置实现安全接入的方法。
背景技术
为了满足PKI技术在手机上的应用,例如正确地建立https连接,手机中需要维护很多CA站点的根证书。目前市面上的手机***中,具有两类根证书管理办法。一类是对于知名CA颁发机构,一般手机内都是内置这些机构的CA根证书到手机只读存储区,用户和应用可以使用这些CA根证书但无法更改。这类管理办法会导致没有内置到手机中的CA颁发的站点证书在建立https连接时***无法自动验证通过。第二类管理方法是对于没有内置到手机***中的CA根证书,在建立连接时,询问用户是否信任,如果用户信任,那么将这类根证书存储到***中,以后再访问任何由该CA颁发的站点证书时都可以自动验证通过。但这导致一个问题:如果这个CA假冒了其他的应用***的站点,那么会导致其他应用在连接到假冒的服务器时,被***自动验证通过,无法收到任何提示,大大增加了***中应用的风险,有可能导致用户信息及金融信息的泄漏。
发明内容
本申请的目标在于提供一种使应用能较安全地建立https连接的方法和装置。
本申请的目标由一种根证书存储装置实现,其包括用于保存知名CA根证书的固定存储区,及用于保存可信任根证书的可扩展存储区,其中所述可扩展存储区包括分别以应用开发者为名称的多个子目录,每一子目录包括其名称对应的应用开发者信任的一个或多个CA根证书。
在本说明书中,术语“知名CA”指公认的安全根证书签发机构,如Verisign、Globalsign、Beijing CA等。
本申请的目标还由一种使用前述根证书存储装置实现安全接入的方法实现,该方法包括:
在需要验证证书时,确定固定存储区是否有相应的CA根证书;
在所述固定存储区不包含相应的CA根证书时,获取所述应用的开发者名称;
确定可扩展存储区是否包含以所述开发者名称命名的子目录;
在所述可扩展存储区包含以所述开发者名称命名的子目录时,确定该子目录中是否包含相应的CA根证书;
在所述可扩展存储区不包含以所述开发者名称命名的子目录或者在子目录中不包含相应的CA根证书时,询问用户是否信任拟连接站点的根证书;
在用户确认不信任时断开连接。
本申请的目标还由一种实现安全接入的装置实现,该装置包括:
固定存储区检查模块,用于在需要验证证书时确定固定存储区是否有相应的CA根证书;
开发者名称获取模块,用于在所述固定存储区不包含相应的CA根证书时获取所述应用的开发者名称;
子目录检查模块,用于确定可扩展存储区是否包含以所述开发者名称命名的子目录;
子目录根证书检查模块,用于在所述可扩展存储区包含以所述开发者名称命名的子目录时,确定该子目录中是否包含相应的CA根证书;
信任确定模块,用于在所述可扩展存储区不包含以所述开发者名称命名的子目录或者在子目录中不包含相应的CA根证书时,询问用户是否信任拟连接站点的根证书;
连接断开模块,用于在用户确认不信任时断开连接。
本发明在允许用户可以添加其他CA根证书到***可信根证书存储区的基础上,以应用开发者来隔离这些CA根证书,使不同应用开发者开发的应用信任的根证书不会互相影响。这样既保证了这些应用能够以后自动连接到他们CA颁发的站点证书的服务器,也保障了其他应用不会被这种独立的行为影响而导致连接到假冒的站点,从而导致信息的失窃。换言之,本发明使得应用可以使用用户自维护的可信任根证书区内的本应用开发者区域内的CA根证书来验证https站点证书,不能使用任何其他区域的CA根证书,增强了不同应用间的安全性。
除非明确指出,在此所用的单数形式“一”、“该”均包括复数含义(即具有“至少一”的意思)。应当进一步理解,说明书中使用的术语“具有”、“包括”和/或“包含”表明存在所述的特征、步骤、操作、元件和/或部件,但不排除存在或增加一个或多个其他特征、步骤、操作、元件、部件和/或其组合。如在此所用的术语“和/或”包括一个或多个列举的相关项目的任何及所有组合。除非明确指出,在此公开的任何方法的步骤不必精确按照所公开的顺序执行。
附图说明
本发明将在下面参考附图并结合优选实施例进行更完全地说明。
图1为本发明根证书存储装置的存储区结构示意图。
图2为根据本发明方法的一实施例的流程图。
图3为本发明的实现安全接入的装置的一实施例的结构示意图。
为清晰起见,这些附图均为示意性及简化的图,它们只给出了对于理解本发明所必要的细节,而省略其他细节。
具体实施方式
通过下面给出的详细描述,本发明的适用范围将显而易见。然而,应当理解,在详细描述和具体例子表明本发明优选实施例的同时,它们仅为说明目的给出。
图1示出了本发明的根证书存储装置100的根证书存储区结构示意图,其中根证书存储装置100为移动终端如手机的内置存储器或与手机连接的SD卡,根证书存储装置100包括用于保存知名CA根证书的固定存储区D0,这里面的根证书不能被修改,也不能添加,只能读取。此区域内的根证书在手机出厂前被内置到手机中,用于以后手机内应用建立https连接时验证对方站点证书时使用。这个区域内的根证书的有效应用范围为整个手机***。根证书存储装置100还包括用于保存可信任根证书的可扩展存储区D1,此存储区的内容经用户同意,可以修改,即可以添加或删除里面的根证书。存储区D1包括分别以应用开发者名称Name1…NameN命名的多个子目录,这些子目录下分别存放各个应用需要的CA根证书。每一子目录包括其名称对应的应用开发者信任的一个或多个CA根证书。
图2示出了根据本发明方法的一实施例的流程图,该方法用于实现安全接入,该方法开始于步骤S10,当手机中的一应用访问一个https服务器时,需要验证整个证书链的完整和正确性,首先在根证书固定存储区D0区域查找是否有此服务器站点证书SC的CA根证书。如果有,则处理进行到步骤S70,使用此CA根证书验证SC;如果没有,则处理进行到步骤S20,从应用中获取该应用的开发者名称例如“AND”。之后,处理进行到步骤S30,确定可扩展存储区D1是否包含以开发者名称AND命名的子目录即“D1/AND/”,如果没有,则处理进行到步骤S50;否则,处理进行到步骤S40。在步骤S40,在/D1/AND/目录下查找是否有此服务器站点证书SC的CA根证书,如果有,则处理进行到步骤S70,使用此根证书验证SC;如果没有,则处理进行到步骤S50。在步骤S50,询问用户是否要信任这个站点的CA根证书,如果用户选择不信任,则处理进行到步骤S100,断开连接,处理结束;如果用户选择信任,那么处理进行到步骤S60,将这个站点的根证书存储到/D1/AND/目录下,如果D1区没有/D1/AND/子目录,则先创建该子目录然后再存储站点的根证书。这样,下次再访问同类站点***就可以自动验证站点证书。之后,处理进行到步骤S70,使用该站点的CA根证书验证站点证书SC。之后,处理进行到步骤S80,确定验证是否通过。如果在步骤S80确定验证通过,则处理进行到步骤S90,建立应用到站点的连接;否则,处理进行到步骤S100,断开连接。该实施例的方法既保证了应用能够以后自动连接到他们CA颁发的站点证书的服务器,也保障了其他应用不会被这种独立的行为影响而导致连接到假冒的站点,增强了不同应用间的安全性。
图3示出了本发明的实现安全接入的装置的一实施例的结构示意图,其包括:固定存储区检查模块10,用于在需要验证证书时如基于应用建立https连接的请求确定仅存储知名根证书的固定存储区D0是否有相应的CA根证书;开发者名称获取模块20,用于在所述固定存储区D0不包含相应的CA根证书时获取所述应用的开发者名称例如AND;子目录检查模块30,用于确定可扩展存储区D1是否包含以所述开发者名称AND命名的子目录即/D1/AND/子目录;子目录根证书检查模块40,用于在所述可扩展存储区D1包含/D1/AND/子目录时,确定该子目录中是否包含相应的CA根证书;信任确定模块50,用于在所述可扩展存储区不包含以所述开发者名称命名的子目录或者在子目录中不包含相应的CA根证书时,询问用户是否信任拟连接站点的根证书;根证书存储模块60,用于在用户确认信任拟连接站点的根证书时,将拟连接站点的根证书保存到以所述应用的开发者名称命名的子目录下。连接断开模块90,用于在用户确认不信任时断开连接。在实施例中,该装置还包括站点证书验证模块70,用于使用固定存储区D0内的根证书、/D1/AND/子目录下的根证书、或者用户选择信任的根证书验证站点证书;及连接建立模块80,用于在站点证书验证通过时建立应用到站点的连接。
在其他实施例中,本发明的方法和装置也可用于验证签名、建立SSL链接等。
一些优选实施例已经在前面进行了说明,但是应当强调的是,本发明不局限于这些实施例,而是可以本发明主题范围内的其它方式实现。

Claims (8)

1.一种使用根证书存储装置实现安全接入的方法,其中所述根证书存储装置包括用于保存知名CA根证书的固定存储区(D0),其特征在于,所述存储装置还包括用于保存可信任根证书的可扩展存储区(D1),其中所述可扩展存储区包括分别以应用开发者名称命名的多个子目录,每一子目录包括其名称对应的应用开发者信任的一个或多个CA根证书;所述方法包括:
在需要验证证书时,确定固定存储区是否有相应的CA根证书;
在所述固定存储区不包含相应的CA根证书时,获取应用的开发者名称;
确定可扩展存储区是否包含以所述开发者名称命名的子目录;
在所述可扩展存储区包含以所述开发者名称命名的子目录时,确定该子目录中是否包含相应的CA根证书;
在所述可扩展存储区不包含以所述开发者名称命名的子目录或者在子目录中不包含相应的CA根证书时,询问用户是否信任拟连接站点的根证书;
在用户确认不信任时断开连接。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在用户确认信任拟连接站点的根证书时,将拟连接站点的根证书保存到以所述应用的开发者名称命名的子目录下。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述固定存储区有相应的CA根证书时使用其验证拟连接站点的证书。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在以所述开发者名称命名的子目录中包含相应的CA根证书时使用其验证拟连接站点的证书。
5.根据权利要求2所述的方法,其特征在于,所述方法还包括:
使用拟连接站点的根证书验证其证书。
6.根据权利要求3-5任一所述的方法,其特征在于,所述方法还包括:
在验证通过时建立连接;和/或
在验证未通过时断开连接。
7.一种实现安全接入的装置,其特征在于,所述装置包括:
固定存储区检查模块,用于在需要验证证书时确定根证书存储装置的固定存储区是否有相应的CA根证书;
开发者名称获取模块,用于在所述固定存储区不包含相应的CA根证书时获取应用的开发者名称;
子目录检查模块,用于确定根证书存储装置的可扩展存储区是否包含以所述开发者名称命名的子目录;
子目录根证书检查模块,用于在所述可扩展存储区包含以所述开发者名称命名的子目录时,确定该子目录中是否包含相应的CA根证书;
信任确定模块,用于在所述可扩展存储区不包含以所述开发者名称命名的子目录或者在子目录中不包含相应的CA根证书时,询问用户是否信任拟连接站点的根证书;
连接断开模块,用于在用户确认不信任时断开连接。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
根证书存储模块,用于在用户确认信任拟连接站点的根证书时,将拟连接站点的根证书保存到以所述应用的开发者名称命名的子目录下。
CN201511021454.8A 2015-12-31 2015-12-31 一种根证书存储装置及安全接入方法 Active CN105634744B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201511021454.8A CN105634744B (zh) 2015-12-31 2015-12-31 一种根证书存储装置及安全接入方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201511021454.8A CN105634744B (zh) 2015-12-31 2015-12-31 一种根证书存储装置及安全接入方法

Publications (2)

Publication Number Publication Date
CN105634744A CN105634744A (zh) 2016-06-01
CN105634744B true CN105634744B (zh) 2020-01-21

Family

ID=56049300

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201511021454.8A Active CN105634744B (zh) 2015-12-31 2015-12-31 一种根证书存储装置及安全接入方法

Country Status (1)

Country Link
CN (1) CN105634744B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108881484B (zh) * 2018-07-26 2021-04-02 杭州云缔盟科技有限公司 一种检测终端是否能访问互联网的方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1866816A (zh) * 2006-01-25 2006-11-22 华为技术有限公司 移动终端根证书的维护方法、***及移动终端
CN101770553A (zh) * 2008-12-31 2010-07-07 ***通信集团公司 一种移动终端、以及移动终端中根证书的调用方法
CN102088699A (zh) * 2009-12-08 2011-06-08 中兴通讯股份有限公司 一种基于信任列表的***及方法
CN104580172A (zh) * 2014-12-24 2015-04-29 北京奇虎科技有限公司 一种基于https协议的数据通信方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2362970B (en) * 2000-05-31 2004-12-29 Hewlett Packard Co Improvements relating to information storage

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1866816A (zh) * 2006-01-25 2006-11-22 华为技术有限公司 移动终端根证书的维护方法、***及移动终端
CN101770553A (zh) * 2008-12-31 2010-07-07 ***通信集团公司 一种移动终端、以及移动终端中根证书的调用方法
CN102088699A (zh) * 2009-12-08 2011-06-08 中兴通讯股份有限公司 一种基于信任列表的***及方法
CN104580172A (zh) * 2014-12-24 2015-04-29 北京奇虎科技有限公司 一种基于https协议的数据通信方法及装置

Also Published As

Publication number Publication date
CN105634744A (zh) 2016-06-01

Similar Documents

Publication Publication Date Title
CN101699820B (zh) 动态口令的认证方法和装置
CN110784450A (zh) 一种基于浏览器的单点登录方法和装置
CN110266642A (zh) 身份认证方法及服务器、电子设备
JP6044299B2 (ja) データ参照システムおよびアプリケーション認証方法
CN105827577A (zh) 一种信息验证方法及装置
CN108990047B (zh) 签约关系管理数据准备平台的测试方法、装置及介质
US10621335B2 (en) Method and device for verifying security of application
CN112966253B (zh) 一种第三方应用集成登录方法、登录装置及平台
CN110611647A (zh) 一种区块链***上的节点加入方法和装置
US20090007261A1 (en) Receiving data in a data store in a server computer system
CN105871556A (zh) 信息处理方法和***、电子设备及服务器
CN102282826A (zh) 对等网络的网络节点的认证方法和***
CN105634744B (zh) 一种根证书存储装置及安全接入方法
CN102752754A (zh) 用户识别卡锁数据进行安全认证的方法及移动终端
CN103685259B (zh) 账户登录的方法及其装置
CN111970117B (zh) 证书下载方法、装置及设备
CN110378125A (zh) 可信计算的验证方法
CN111949955A (zh) web***单点登录方法、装置、设备及可读存储介质
CN106599619A (zh) 一种验证方法及装置
CN107172082B (zh) 一种文件共享方法及***
CN107770143B (zh) 一种验证客户端合法性的方法和装置
CN107995214B (zh) 一种网站登录方法及相关设备
CN113852596B (zh) 基于Kubernetes的应用认证代理方法及***
CN105656936A (zh) 数据加密存储方法
CN105279414A (zh) 一种基于指纹应用的验证装置及方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20210128

Address after: 101300 room 153, 1 / F, building 17, 16 Caixiang East Road, Nancai Town, Shunyi District, Beijing

Patentee after: Yuanxin Information Technology Group Co.,Ltd.

Address before: 100176 room 2222, building D, building 33, 99 Kechuang 14th Street, Beijing Economic and Technological Development Zone, Daxing District, Beijing

Patentee before: BEIJING YUANXIN SCIENCE & TECHNOLOGY Co.,Ltd.

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20160601

Assignee: Beijing Yuanxin Junsheng Technology Co.,Ltd.

Assignor: Yuanxin Information Technology Group Co.,Ltd.

Contract record no.: X2021110000018

Denomination of invention: Root certificate storage device and secure access method

Granted publication date: 20200121

License type: Common License

Record date: 20210531