一种根证书存储装置及安全接入方法专利检索-站点电子零件及设备专利检索查询-专利查询网

一种根证书存储装置及安全接入方法

阅读：0发布：2020-06-05

专利汇可以提供一种根证书存储装置及安全接入方法专利检索，专利查询，专利分析的服务。并且本申请公开了一种根证书存储装置及安全接入方法，其中所述方法包括：在需要验证证书时，确定固定存储区是否有相应的CA根证书；在所述固定存储区不包含相应的CA根证书时，获取所述应用的开发者名称；确定可扩展存储区是否包含以所述开发者名称命名的子目录；在所述可扩展存储区包含以所述开发者名称命名的子目录时，确定该子目录中是否包含相应的CA根证书；在所述可扩展存储区不包含以所述开发者名称命名的子目录或者在子目录中不包含相应的CA根证书时，询问用户是否信任拟连接站点的根证书；在用户确认不信任时断开连接。本发明可防止应用连接到假冒的站点，从而防止信息的可能失窃，增强了不同应用间的安全性。，下面是一种根证书存储装置及安全接入方法专利的具体信息内容。

权利要求

1.一种使用根证书存储装置实现安全接入的方法，其中所述根证书存储装置包括用于保存知名CA根证书的固定存储区(D0)，其特征在于，所述存储装置还包括用于保存可信任根证书的可扩展存储区(D1)，其中所述可扩展存储区包括分别以应用开发者名称命名的多个子目录，每一子目录包括其名称对应的应用开发者信任的一个或多个CA根证书；所述方法包括：
在需要验证证书时，确定固定存储区是否有相应的CA根证书；
在所述固定存储区不包含相应的CA根证书时，获取应用的开发者名称；
确定可扩展存储区是否包含以所述开发者名称命名的子目录；
在所述可扩展存储区包含以所述开发者名称命名的子目录时，确定该子目录中是否包含相应的CA根证书；
在所述可扩展存储区不包含以所述开发者名称命名的子目录或者在子目录中不包含相应的CA根证书时，询问用户是否信任拟连接站点的根证书；
在用户确认不信任时断开连接。
2.根据权利要求1所述的方法，其特征在于，所述方法还包括：
在用户确认信任拟连接站点的根证书时，将拟连接站点的根证书保存到以所述应用的开发者名称命名的子目录下。
3.根据权利要求1所述的方法，其特征在于，所述方法还包括：
在所述固定存储区有相应的CA根证书时使用其验证拟连接站点的证书。
4.根据权利要求1所述的方法，其特征在于，所述方法还包括：
在以所述开发者名称命名的子目录中包含相应的CA根证书时使用其验证拟连接站点的证书。
5.根据权利要求2所述的方法，其特征在于，所述方法还包括：
使用拟连接站点的根证书验证其证书。
6.根据权利要求3-5任一所述的方法，其特征在于，所述方法还包括：
在验证通过时建立连接；和/或
在验证未通过时断开连接。
7.一种实现安全接入的装置，其特征在于，所述装置包括：
固定存储区检查模块，用于在需要验证证书时确定根证书存储装置的固定存储区是否有相应的CA根证书；
开发者名称获取模块，用于在所述固定存储区不包含相应的CA根证书时获取应用的开发者名称；
子目录检查模块，用于确定根证书存储装置的可扩展存储区是否包含以所述开发者名称命名的子目录；
子目录根证书检查模块，用于在所述可扩展存储区包含以所述开发者名称命名的子目录时，确定该子目录中是否包含相应的CA根证书；
信任确定模块，用于在所述可扩展存储区不包含以所述开发者名称命名的子目录或者在子目录中不包含相应的CA根证书时，询问用户是否信任拟连接站点的根证书；
连接断开模块，用于在用户确认不信任时断开连接。
8.根据权利要求7所述的装置，其特征在于，所述装置还包括：
根证书存储模块，用于在用户确认信任拟连接站点的根证书时，将拟连接站点的根证书保存到以所述应用的开发者名称命名的子目录下。

说明书全文

一种根证书存储装置及安全接入方法

技术领域

[0001] 本申请涉及通信安全领域，尤其涉及一种根证书存储装置及使用根证书存储装置实现安全接入的方法。

背景技术

[0002] 为了满足PKI技术在手机上的应用，例如正确地建立https连接，手机中需要维护很多CA站点的根证书。目前市面上的手机系统中，具有两类根证书管理办法。一类是对于知名CA颁发机构，一般手机内都是内置这些机构的CA根证书到手机只读存储区，用户和应用可以使用这些CA根证书但无法更改。这类管理办法会导致没有内置到手机中的CA颁发的站点证书在建立https连接时系统无法自动验证通过。第二类管理方法是对于没有内置到手机系统中的CA根证书，在建立连接时，询问用户是否信任，如果用户信任，那么将这类根证书存储到系统中，以后再访问任何由该CA颁发的站点证书时都可以自动验证通过。但这导致一个问题：如果这个CA假冒了其他的应用系统的站点，那么会导致其他应用在连接到假冒的服务器时，被系统自动验证通过，无法收到任何提示，大大增加了系统中应用的风险，有可能导致用户信息及金融信息的泄漏。发明内容

[0003] 本申请的目标在于提供一种使应用能较安全地建立https连接的方法和装置。

[0004] 本申请的目标由一种根证书存储装置实现，其包括用于保存知名CA根证书的固定存储区，及用于保存可信任根证书的可扩展存储区，其中所述可扩展存储区包括分别以应用开发者为名称的多个子目录，每一子目录包括其名称对应的应用开发者信任的一个或多个CA根证书。

[0005] 在本说明书中，术语“知名CA”指公认的安全根证书签发机构，如Verisign、Globalsign、Beijing CA等。

[0006] 本申请的目标还由一种使用前述根证书存储装置实现安全接入的方法实现，该方法包括：

[0007] 在需要验证证书时，确定固定存储区是否有相应的CA根证书；

[0008] 在所述固定存储区不包含相应的CA根证书时，获取所述应用的开发者名称；

[0009] 确定可扩展存储区是否包含以所述开发者名称命名的子目录；

[0010] 在所述可扩展存储区包含以所述开发者名称命名的子目录时，确定该子目录中是否包含相应的CA根证书；

[0011] 在所述可扩展存储区不包含以所述开发者名称命名的子目录或者在子目录中不包含相应的CA根证书时，询问用户是否信任拟连接站点的根证书；

[0012] 在用户确认不信任时断开连接。

[0013] 本申请的目标还由一种实现安全接入的装置实现，该装置包括：

[0014] 固定存储区检查模块，用于在需要验证证书时确定固定存储区是否有相应的CA根证书；

[0015] 开发者名称获取模块，用于在所述固定存储区不包含相应的CA根证书时获取所述应用的开发者名称；

[0016] 子目录检查模块，用于确定可扩展存储区是否包含以所述开发者名称命名的子目录；

[0017] 子目录根证书检查模块，用于在所述可扩展存储区包含以所述开发者名称命名的子目录时，确定该子目录中是否包含相应的CA根证书；

[0018] 信任确定模块，用于在所述可扩展存储区不包含以所述开发者名称命名的子目录或者在子目录中不包含相应的CA根证书时，询问用户是否信任拟连接站点的根证书；

[0019] 连接断开模块，用于在用户确认不信任时断开连接。

[0020] 本发明在允许用户可以添加其他CA根证书到系统可信根证书存储区的基础上，以应用开发者来隔离这些CA根证书，使不同应用开发者开发的应用信任的根证书不会互相影响。这样既保证了这些应用能够以后自动连接到他们CA颁发的站点证书的服务器，也保障了其他应用不会被这种独立的行为影响而导致连接到假冒的站点，从而导致信息的失窃。换言之，本发明使得应用可以使用用户自维护的可信任根证书区内的本应用开发者区域内的CA根证书来验证https站点证书，不能使用任何其他区域的CA根证书，增强了不同应用间的安全性。

[0021] 除非明确指出，在此所用的单数形式“一”、“该”均包括复数含义(即具有“至少一”的意思)。应当进一步理解，说明书中使用的术语“具有”、“包括”和/或“包含”表明存在所述的特征、步骤、操作、元件和/或部件，但不排除存在或增加一个或多个其他特征、步骤、操作、元件、部件和/或其组合。如在此所用的术语“和/或”包括一个或多个列举的相关项目的任何及所有组合。除非明确指出，在此公开的任何方法的步骤不必精确按照所公开的顺序执行。附图说明

[0022] 本发明将在下面参考附图并结合优选实施例进行更完全地说明。

[0023] 图1为本发明根证书存储装置的存储区结构示意图。

[0024] 图2为根据本发明方法的一实施例的流程图。

[0025] 图3为本发明的实现安全接入的装置的一实施例的结构示意图。

[0026] 为清晰起见，这些附图均为示意性及简化的图，它们只给出了对于理解本发明所必要的细节，而省略其他细节。

具体实施方式

[0027] 通过下面给出的详细描述，本发明的适用范围将显而易见。然而，应当理解，在详细描述和具体例子表明本发明优选实施例的同时，它们仅为说明目的给出。

[0028] 图1示出了本发明的根证书存储装置100的根证书存储区结构示意图，其中根证书存储装置100为移动终端如手机的内置存储器或与手机连接的SD卡，根证书存储装置100包括用于保存知名CA根证书的固定存储区D0，这里面的根证书不能被修改，也不能添加，只能读取。此区域内的根证书在手机出厂前被内置到手机中，用于以后手机内应用建立https连接时验证对方站点证书时使用。这个区域内的根证书的有效应用范围为整个手机系统。根证书存储装置100还包括用于保存可信任根证书的可扩展存储区D1，此存储区的内容经用户同意，可以修改，即可以添加或删除里面的根证书。存储区D1包括分别以应用开发者名称Name1…NameN命名的多个子目录，这些子目录下分别存放各个应用需要的CA根证书。每一子目录包括其名称对应的应用开发者信任的一个或多个CA根证书。

[0029] 图2示出了根据本发明方法的一实施例的流程图，该方法用于实现安全接入，该方法开始于步骤S10，当手机中的一应用访问一个https服务器时，需要验证整个证书链的完整和正确性，首先在根证书固定存储区D0区域查找是否有此服务器站点证书SC的CA根证书。如果有，则处理进行到步骤S70，使用此CA根证书验证SC；如果没有，则处理进行到步骤S20,从应用中获取该应用的开发者名称例如“AND”。之后，处理进行到步骤S30，确定可扩展存储区D1是否包含以开发者名称AND命名的子目录即“D1/AND/”，如果没有，则处理进行到步骤S50；否则，处理进行到步骤S40。在步骤S40，在/D1/AND/目录下查找是否有此服务器站点证书SC的CA根证书，如果有，则处理进行到步骤S70，使用此根证书验证SC；如果没有，则处理进行到步骤S50。在步骤S50，询问用户是否要信任这个站点的CA根证书，如果用户选择不信任，则处理进行到步骤S100，断开连接，处理结束；如果用户选择信任，那么处理进行到步骤S60，将这个站点的根证书存储到/D1/AND/目录下，如果D1区没有/D1/AND/子目录，则先创建该子目录然后再存储站点的根证书。这样，下次再访问同类站点系统就可以自动验证站点证书。之后，处理进行到步骤S70，使用该站点的CA根证书验证站点证书SC。之后，处理进行到步骤S80，确定验证是否通过。如果在步骤S80确定验证通过，则处理进行到步骤S90，建立应用到站点的连接；否则，处理进行到步骤S100，断开连接。该实施例的方法既保证了应用能够以后自动连接到他们CA颁发的站点证书的服务器，也保障了其他应用不会被这种独立的行为影响而导致连接到假冒的站点，增强了不同应用间的安全性。

[0030] 图3示出了本发明的实现安全接入的装置的一实施例的结构示意图，其包括：固定存储区检查模块10，用于在需要验证证书时如基于应用建立https连接的请求确定仅存储知名根证书的固定存储区D0是否有相应的CA根证书；开发者名称获取模块20，用于在所述固定存储区D0不包含相应的CA根证书时获取所述应用的开发者名称例如AND；子目录检查模块30，用于确定可扩展存储区D1是否包含以所述开发者名称AND命名的子目录即/D1/AND/子目录；子目录根证书检查模块40，用于在所述可扩展存储区D1包含/D1/AND/子目录时，确定该子目录中是否包含相应的CA根证书；信任确定模块50，用于在所述可扩展存储区不包含以所述开发者名称命名的子目录或者在子目录中不包含相应的CA根证书时，询问用户是否信任拟连接站点的根证书；根证书存储模块60，用于在用户确认信任拟连接站点的根证书时，将拟连接站点的根证书保存到以所述应用的开发者名称命名的子目录下。连接断开模块90，用于在用户确认不信任时断开连接。在实施例中，该装置还包括站点证书验证模块70，用于使用固定存储区D0内的根证书、/D1/AND/子目录下的根证书、或者用户选择信任的根证书验证站点证书；及连接建立模块80，用于在站点证书验证通过时建立应用到站点的连接。

[0031] 在其他实施例中，本发明的方法和装置也可用于验证签名、建立SSL链接等。

[0032] 一些优选实施例已经在前面进行了说明，但是应当强调的是，本发明不局限于这些实施例，而是可以本发明主题范围内的其它方式实现。

标题	发布/更新时间	阅读量
一种基于BP神经网络的公交客流量预测方法	2020-09-08	2
一种基于NRF的分布式门禁系统	2020-09-24	0
一种基于协同训练的城市区域空气质量估计方法	2021-02-08	1
基于大数据的全景电网多元异构数据融合方法	2021-02-24	2
用于监控和跟踪运动活动的设备、方法和计算机可读介质	2020-10-23	0
一种容灾方法、设备和系统	2023-07-14	0
电话回呼方法、回呼平台以及通信运营商服务器	2023-12-24	1
数字地震仪交叉站和电源站的混合功能站设计方案	2020-06-20	0
一种用于公共自行车系统的双模无线通讯站点控制器	2020-05-12	2
Method and system for propagating statistics between federated contact center sites for use in event distribution	2021-12-12	0

一种根证书存储装置及安全接入方法

一种根证书存储装置及安全接入方法

技术领域

背景技术

具体实施方式

该功能需要专业版企业版VIP权限，您可以：