一種根證書存儲裝置及安全接入方法制造方法及圖紙

本申請公開了一種根證書存儲裝置及安全接入方法，其中所述方法包括：在需要驗證證書時，確定固定存儲區是否有相應的CA根證書；在所述固定存儲區不包含相應的CA根證書時，獲取所述應用的開發者名稱；確定可擴展存儲區是否包含以所述開發者名稱命名的子目錄；在所述可擴展存儲區包含以所述開發者名稱命名的子目錄時，確定該子目錄中是否包含相應的CA根證書；在所述可擴展存儲區不包含以所述開發者名稱命名的子目錄或者在子目錄中不包含相應的CA根證書時，詢問用戶是否信任擬連接站點的根證書；在用戶確認不信任時斷開連接。本發明專利技術可防止應用連接到假冒的站點，從而防止信息的可能失竊，增強了不同應用間的安全性。

【技術實現步驟摘要】

本申請涉及通信安全領域，尤其涉及一種根證書存儲裝置及使用根證書存儲裝置實現安全接入的方法。
技術介紹
為了滿足PKI技術在手機上的應用，例如正確地建立https連接，手機中需要維護很多CA站點的根證書。目前市面上的手機系統中，具有兩類根證書管理辦法。一類是對于知名CA頒發機構，一般手機內都是內置這些機構的CA根證書到手機只讀存儲區，用戶和應用可以使用這些CA根證書但無法更改。這類管理辦法會導致沒有內置到手機中的CA頒發的站點證書在建立https連接時系統無法自動驗證通過。第二類管理方法是對于沒有內置到手機系統中的CA根證書，在建立連接時，詢問用戶是否信任，如果用戶信任，那么將這類根證書存儲到系統中，以后再訪問任何由該CA頒發的站點證書時都可以自動驗證通過。但這導致一個問題：如果這個CA假冒了其他的應用系統的站點，那么會導致其他應用在連接到假冒的服務器時，被系統自動驗證通過，無法收到任何提示，大大增加了系統中應用的風險，有可能導致用戶信息及金融信息的泄漏。
技術實現思路
本申請的目標在于提供一種使應用能較安全地建立https連接的方法和裝置。本申請的目標由一種根證書存儲裝置實現，其包括用于保存知名CA根證書的固定存儲區，及用于保存可信任根證書的可擴展存儲區，其中所述可擴展存儲區包括分別以應用開發者為名稱的多個子目錄，每一子目錄包括其名稱對應的應用開發者信任的一個或多個CA根證書。在本說明書中，術語“知名CA”指公認的安全根證書簽發機構，如Verisign、Globalsign、BeijingCA等。本申請的目標還由一種使用前述根證書存儲裝置實現安全接入的方法實現，該方法包括：在需要驗證證書時，確定固定存儲區是否有相應的CA根證書；在所述固定存儲區不包含相應的CA根證書時，獲取所述應用的開發者名稱；確定可擴展存儲區是否包含以所述開發者名稱命名的子目錄；在所述可擴展存儲區包含以所述開發者名稱命名的子目錄時，確定該子目錄中是否包含相應的CA根證書；在所述可擴展存儲區不包含以所述開發者名稱命名的子目錄或者在子目錄中不包含相應的CA根證書時，詢問用戶是否信任擬連接站點的根證書；在用戶確認不信任時斷開連接。本申請的目標還由一種實現安全接入的裝置實現，該裝置包括：固定存儲區檢查模塊，用于在需要驗證證書時確定固定存儲區是否有相應的CA根證書；開發者名稱獲取模塊，用于在所述固定存儲區不包含相應的CA根證書時獲取所述應用的開發者名稱；子目錄檢查模塊，用于確定可擴展存儲區是否包含以所述開發者名稱命名的子目錄；子目錄根證書檢查模塊，用于在所述可擴展存儲區包含以所述開發者名稱命名的子目錄時，確定該子目錄中是否包含相應的CA根證書；信任確定模塊，用于在所述可擴展存儲區不包含以所述開發者名稱命名的子目錄或者在子目錄中不包含相應的CA根證書時，詢問用戶是否信任擬連接站點的根證書；連接斷開模塊，用于在用戶確認不信任時斷開連接。本專利技術在允許用戶可以添加其他CA根證書到系統可信根證書存儲區的基礎上，以應用開發者來隔離這些CA根證書，使不同應用開發者開發的應用信任的根證書不會互相影響。這樣既保證了這些應用能夠以后自動連接到他們CA頒發的站點證書的服務器，也保障了其他應用不會被這種獨立的行為影響而導致連接到假冒的站點，從而導致信息的失竊。換言之，本專利技術使得應用可以使用用戶自維護的可信任根證書區內的本應用開發者區域內的CA根證書來驗證https站點證書，不能使用任何其他區域的CA根證書，增強了不同應用間的安全性。除非明確指出，在此所用的單數形式“一”、“該”均包括復數含義(即具有“至少一”的意思)。應當進一步理解，說明書中使用的術語“具有”、“包括”和/或“包含”表明存在所述的特征、步驟、操作、元件和/或部件，但不排除存在或增加一個或多個其他特征、步驟、操作、元件、部件和/或其組合。如在此所用的術語“和/或”包括一個或多個列舉的相關項目的任何及所有組合。除非明確指出，在此公開的任何方法的步驟不必精確按照所公開的順序執行。附圖說明本專利技術將在下面參考附圖并結合優選實施例進行更完全地說明。圖1為本專利技術根證書存儲裝置的存儲區結構示意圖。圖2為根據本專利技術方法的一實施例的流程圖。圖3為本專利技術的實現安全接入的裝置的一實施例的結構示意圖。為清晰起見，這些附圖均為示意性及簡化的圖，它們只給出了對于理解本專利技術所必要的細節，而省略其他細節。具體實施方式通過下面給出的詳細描述，本專利技術的適用范圍將顯而易見。然而，應當理解，在詳細描述和具體例子表明本專利技術優選實施例的同時，它們僅為說明目的給出。圖1示出了本專利技術的根證書存儲裝置100的根證書存儲區結構示意圖，其中根證書存儲裝置100為移動終端如手機的內置存儲器或與手機連接的SD卡，根證書存儲裝置100包括用于保存知名CA根證書的固定存儲區D0，這里面的根證書不能被修改，也不能添加，只能讀取。此區域內的根證書在手機出廠前被內置到手機中，用于以后手機內應用建立https連接時驗證對方站點證書時使用。這個區域內的根證書的有效應用范圍為整個手機系統。根證書存儲裝置100還包括用于保存可信任根證書的可擴展存儲區D1，此存儲區的內容經用戶同意，可以修改，即可以添加或刪除里面的根證書。存儲區D1包括分別以應用開發者名稱Name1…NameN命名的多個子目錄，這些子目錄下分別存放各個應用需要的CA根證書。每一子目錄包括其名稱對應的應用開發者信任的一個或多個CA根證書。圖2示出了根據本專利技術方法的一實施例的流程圖，該方法用于實現安全接入，該方法開始于步驟S10，當手機中的一應用訪問一個https服務器時，需要驗證整個證書鏈的完整和正確性，首先在根證書固定存儲區D0區域查找是否有此服務器站點證書SC的CA根證書。如果有，則處理進行到步驟S70，使用此CA根證書驗證SC；如果沒有，則處理進行到步驟S20,從應用中獲取該應用的開發者名稱例如“AND”。之后，處理進行到步驟S30，確定可擴展存儲區D1是否包含以開發者名稱AND命名的子目錄即“D1/AND/”，如果沒有，則處理進行到步驟S50；否則，處理進行到步驟S40。在步驟S40，在/D1/AND/目錄下查找是否有此服務器站點證書SC的CA根證書，如果有，則處理進行到步驟S70，使用此根證書驗證SC；如果沒有，則處理進行到步驟S50。本文檔來自技高網...

【技術保護點】
一種根證書存儲裝置，包括用于保存知名CA根證書的固定存儲區(D0)，其特征在于：所述存儲裝置還包括：用于保存可信任根證書的可擴展存儲區(D1)，其中所述可擴展存儲區包括分別以應用開發者名稱命名的多個子目錄，每一子目錄包括其名稱對應的應用開發者信任的一個或多個CA根證書。

【技術特征摘要】
1.一種根證書存儲裝置，包括用于保存知名CA根證書的固定存儲區
(D0)，其特征在于：所述存儲裝置還包括：
用于保存可信任根證書的可擴展存儲區(D1)，其中所述可擴展存儲區包
括分別以應用開發者名稱命名的多個子目錄，每一子目錄包括其名稱對應的應
用開發者信任的一個或多個CA根證書。
2.根據權利要求1所述的根證書存儲裝置，其特征在于，所述存儲裝置
為移動終端的內置存儲器或與移動終端連接的SD卡。
3.一種使用根據權利要求1或2的根證書存儲裝置實現安全接入的方法，
其特征在于，所述方法包括：
在需要驗證證書時，確定固定存儲區是否有相應的CA根證書；
在所述固定存儲區不包含相應的CA根證書時，獲取所述應用的開發者名
稱；
確定可擴展存儲區是否包含以所述開發者名稱命名的子目錄；
在所述可擴展存儲區包含以所述開發者名稱命名的子目錄時，確定該子目
錄中是否包含相應的CA根證書；
在所述可擴展存儲區不包含以所述開發者名稱命名的子目錄或者在子目錄
中不包含相應的CA根證書時，詢問用戶是否信任擬連接站點的根證書；
在用戶確認不信任時斷開連接。
4.根據權利要求3所述的方法，其特征在于，所述方法還包括：
在用戶確認信任擬連接站點的根證書時，將擬連接站點的根證書保存到以
所述應用的開發者名稱命名的子目錄下。
5.根據權利要求3所述的方法，其特征在于，所述方法還包括：
在所述固定存儲區有相應的CA根證書時使用其驗證擬連接...

【專利技術屬性】
技術研發人員：楊玉奇，
申請(專利權)人：北京元心科技有限公司，
類型：發明
國別省市：北京;11