數(shù)字證書的添加的檢查方法和檢查裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本申請(qǐng)涉及計(jì)算機(jī)技術(shù)領(lǐng)域,具體涉及計(jì)算機(jī)安全技術(shù)領(lǐng)域,尤其涉及數(shù)字證書的添加的檢查方法和檢查裝置。
【背景技術(shù)】
[0002]數(shù)字證書是一種經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的文件,最簡(jiǎn)單的數(shù)字證書包含一個(gè)公開(kāi)密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。
[0003]數(shù)字證書的使用有助于在計(jì)算機(jī)的操作或應(yīng)用的過(guò)程期間提高安全性。例如,安全軟件在攔截到針對(duì)操作系統(tǒng)的關(guān)鍵或敏感操作時(shí),通常會(huì)對(duì)發(fā)起這個(gè)操作的主體和來(lái)源進(jìn)行檢查,再?zèng)Q定是否允許或者拒絕這個(gè)操作。而在對(duì)上述主體和來(lái)源進(jìn)行檢查時(shí),所采用的一個(gè)重要的方法就是數(shù)字證書,例如,檢查發(fā)起這個(gè)操作的進(jìn)程的數(shù)字證書是否在系統(tǒng)的證書信任列表中。然而,這種檢查方法常常會(huì)面臨以下方面的問(wèn)題:惡意程序或應(yīng)用可以先釋放和添加數(shù)字證書到證書信任列表,然后再運(yùn)行攜帶這個(gè)數(shù)字證書的惡意程序來(lái)繞過(guò)安全軟件的檢查。
【發(fā)明內(nèi)容】
[0004]鑒于現(xiàn)有技術(shù)中的上述缺陷或不足,期望能夠提供一種更好的數(shù)字證書的添加的檢查方案。為了實(shí)現(xiàn)上述目的,本申請(qǐng)?zhí)峁┝烁倪M(jìn)的數(shù)字證書的添加的檢查方法和檢查裝置。
[0005]第一方面,本申請(qǐng)?zhí)峁┝艘环N數(shù)字證書的添加的檢查方法,所述方法包括:獲取數(shù)字證書的添加請(qǐng)求;基于所述添加請(qǐng)求,確定是否滿足預(yù)定條件,其中所述預(yù)定條件包括以下至少一項(xiàng):所述添加請(qǐng)求的發(fā)起對(duì)象的名稱是操作系統(tǒng)中用于密鑰、數(shù)字證書管理的對(duì)象的名稱;創(chuàng)建所述添加請(qǐng)求的發(fā)起對(duì)象的進(jìn)程是操作系統(tǒng)中用于管理密鑰、數(shù)字證書的系統(tǒng)服務(wù)進(jìn)程;所述系統(tǒng)服務(wù)進(jìn)程托管的數(shù)字證書服務(wù)正常運(yùn)行;所述添加請(qǐng)求中用于添加數(shù)字證書的接口標(biāo)識(shí)符是操作系統(tǒng)中用于數(shù)字證書管理的接口標(biāo)識(shí)符;所述添加請(qǐng)求中用于添加數(shù)字證書的功能代碼符合操作系統(tǒng)中相應(yīng)功能代碼;基于所述預(yù)定條件的滿足情況,確定所述數(shù)字證書的添加是否合法。
[0006]在一些實(shí)施例中,所述基于所述預(yù)定條件的滿足情況確定所述數(shù)字證書的添加是否合法包括:在所述預(yù)定條件中的任一項(xiàng)不滿足時(shí),確定所述數(shù)字證書的添加不合法。
[0007]在一些實(shí)施例中,所述方法還包括:響應(yīng)于確定所述數(shù)字證書的添加不合法,執(zhí)行對(duì)數(shù)字證書的添加的阻止操作和/或警告操作。
[0008]在一些實(shí)施例中,所述基于所述預(yù)定條件的滿足情況確定所述數(shù)字證書的添加是否合法包括:在所述預(yù)定條件中的全部項(xiàng)都滿足時(shí),確定所述數(shù)字證書的添加合法。
[0009]在一些實(shí)施例中,所述方法還包括:響應(yīng)于確定所述數(shù)字證書的添加合法,執(zhí)行數(shù)字證書的添加操作。
[0010]在一些實(shí)施例中,所述獲取數(shù)字證書的添加請(qǐng)求包括:通過(guò)鉤子操作來(lái)獲取數(shù)字證書的添加請(qǐng)求。
[0011]第二方面,本申請(qǐng)?zhí)峁┝艘环N數(shù)字證書的添加的檢查裝置,所述檢查裝置包括:獲取單元,配置用于獲取數(shù)字證書的添加請(qǐng)求;條件確定單元,配置用于基于所述添加請(qǐng)求,確定是否滿足預(yù)定條件,其中所述預(yù)定條件包括以下至少一項(xiàng):所述添加請(qǐng)求的發(fā)起對(duì)象的名稱是操作系統(tǒng)中用于密鑰、數(shù)字證書管理的對(duì)象的名稱;創(chuàng)建所述添加請(qǐng)求的發(fā)起對(duì)象的進(jìn)程是操作系統(tǒng)中用于管理密鑰、數(shù)字證書的系統(tǒng)服務(wù)進(jìn)程;所述系統(tǒng)服務(wù)進(jìn)程托管的數(shù)字證書服務(wù)正常運(yùn)行;所述添加請(qǐng)求中用于添加數(shù)字證書的接口標(biāo)識(shí)符是操作系統(tǒng)中用于數(shù)字證書管理的接口標(biāo)識(shí)符;所述添加請(qǐng)求中用于添加數(shù)字證書的功能代碼符合操作系統(tǒng)中相應(yīng)功能代碼;合法性確定單元,配置用于基于所述預(yù)定條件的滿足情況,確定所述數(shù)字證書的添加是否合法。
[0012]在一些實(shí)施例中,所述合法性確定單元進(jìn)一步配置用于:在所述預(yù)定條件中的任一項(xiàng)不滿足時(shí),則確定所述數(shù)字證書的添加不合法。
[0013]在一些實(shí)施例中,所述檢查裝置還包括:處理單元,配置用于響應(yīng)于所述合法性確定單元確定所述數(shù)字證書的添加不合法,執(zhí)行對(duì)數(shù)字證書的添加的阻止操作和/或警告操作。
[0014]在一些實(shí)施例中,所述合法性確定單元進(jìn)一步配置用于:在所述預(yù)定條件中的全部項(xiàng)都滿足時(shí),確定所述數(shù)字證書的添加合法。
[0015]在一些實(shí)施例中,所述檢查裝置還包括:處理單元,配置用于響應(yīng)于所述合法性確定單元確定所述數(shù)字證書的添加合法,執(zhí)行數(shù)字證書的添加操作。
[0016]在一些實(shí)施例中,所述獲取單元進(jìn)一步配置用于:通過(guò)鉤子操作來(lái)獲取數(shù)字證書的添加請(qǐng)求。
[0017]本申請(qǐng)?zhí)峁┑臄?shù)字證書的添加的檢查方法和檢查裝置,通過(guò)獲取數(shù)字證書的添加請(qǐng)求,然后基于上述添加請(qǐng)求確定一系列預(yù)定條件是否得到滿足,再確定數(shù)字證書的添加是否合法,實(shí)現(xiàn)了對(duì)數(shù)字證書的添加操作的合法性的有效檢查。
【附圖說(shuō)明】
[0018]通過(guò)閱讀參照以下附圖所作的對(duì)非限制性實(shí)施例所作的詳細(xì)描述,本申請(qǐng)的其它特征、目的和優(yōu)點(diǎn)將會(huì)變得更明顯:
[0019]圖1是可以應(yīng)用本申請(qǐng)的數(shù)字證書的添加的檢查方法或檢查裝置的實(shí)施例的示例性系統(tǒng)架構(gòu);
[0020]圖2是根據(jù)本申請(qǐng)的數(shù)字證書的添加的檢查方法的一個(gè)實(shí)施例的流程圖;
[0021]圖3是Windows操作系統(tǒng)的IE瀏覽器中的證書信任列表的示意圖;
[0022]圖4是根據(jù)本申請(qǐng)的數(shù)字證書的添加的檢查方法的又一個(gè)實(shí)施例的流程圖;
[0023]圖5是根據(jù)本申請(qǐng)的數(shù)字證書的添加的檢查裝置的一個(gè)實(shí)施例的結(jié)構(gòu)示意圖;
[0024]圖6是適于用來(lái)實(shí)現(xiàn)本申請(qǐng)實(shí)施例的終端設(shè)備或主機(jī)的計(jì)算機(jī)系統(tǒng)的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0025]下面結(jié)合附圖和實(shí)施例對(duì)本申請(qǐng)作進(jìn)一步的詳細(xì)說(shuō)明??梢岳斫獾氖?,此處所描述的具體實(shí)施例僅僅用于解釋相關(guān)發(fā)明,而非對(duì)該發(fā)明的限定。另外還需要說(shuō)明的是,為了便于描述,附圖中僅示出了與有關(guān)發(fā)明相關(guān)的部分。
[0026]需要說(shuō)明的是,在不沖突的情況下,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互組合。下面將參考附圖并結(jié)合實(shí)施例來(lái)詳細(xì)說(shuō)明本申請(qǐng)。
[0027]圖1示出了可以應(yīng)用本申請(qǐng)實(shí)施例的示例性系統(tǒng)架構(gòu)100。
[0028]如圖1所示,系統(tǒng)架構(gòu)100可以包括終端設(shè)備101、102、103,網(wǎng)絡(luò)104和主機(jī)105。網(wǎng)絡(luò)104用以在終端設(shè)備101、102、103和主機(jī)105之間提供通信鏈路的介質(zhì)。網(wǎng)絡(luò)104可以包括各種連接類型,例如有線、無(wú)線通信鏈路或者光纖電纜等等。
[0029]用戶可以使用終端設(shè)備101、102、103通過(guò)網(wǎng)絡(luò)104與主機(jī)105交互,以向主機(jī)105添加數(shù)字證書。終端設(shè)備101、102、103上可以安裝有各種通訊客戶端應(yīng)用,例如銀行類應(yīng)用、購(gòu)物類應(yīng)用、搜索類應(yīng)用、即時(shí)通信工具、郵箱客戶端、社交平臺(tái)軟件等。
[0030]終端設(shè)備101、102、103可以是各種電子設(shè)備,包括但不限于智能手機(jī)、平板電腦、電子書閱讀器、MP3 播放器(Moving Picture Experts Group Aud1 Layer III,動(dòng)態(tài)影像專家壓縮標(biāo)準(zhǔn)音頻層面 3)、MP4 (Moving Picture Experts Group Aud1 Layer IV,動(dòng)態(tài)影像專家壓縮標(biāo)準(zhǔn)音頻層面4)播放器、膝上型便攜計(jì)算機(jī)和臺(tái)式計(jì)算機(jī)等等。
[0031]主機(jī)105可以是常見(jiàn)的膝上型便攜計(jì)算機(jī)或臺(tái)式計(jì)算機(jī),也可以是提供各種服務(wù)的服務(wù)器,例如對(duì)終端設(shè)備101、102、103上的銀行類應(yīng)用(這些應(yīng)用通常需要數(shù)字證書技術(shù)的支持以便確保安全)等提供支持的后臺(tái)服務(wù)器。主機(jī)105可以對(duì)接收到的數(shù)據(jù)進(jìn)行存儲(chǔ)、分析等處理,并將處理結(jié)果反饋給終端設(shè)備。
[0032]需要說(shuō)明的是,本申請(qǐng)實(shí)施例所提供的數(shù)字證書的添加的檢查方法可以由終端設(shè)備101、102、103執(zhí)行,也可以由主機(jī)105執(zhí)行。在由主機(jī)105執(zhí)行數(shù)字證書的添加的檢查的情況下,數(shù)字證書的添加請(qǐng)求可以是由終端設(shè)備101、102、103發(fā)起,也可以由主機(jī)105上運(yùn)行的各種應(yīng)用發(fā)起。相應(yīng)地,數(shù)字證書的添加的檢查裝置可以設(shè)置于終端設(shè)備101、102、103中,也可以設(shè)置于主機(jī)105中。
[0033]應(yīng)該理解,圖1中的終端設(shè)備、網(wǎng)絡(luò)和服務(wù)器的數(shù)目?jī)H僅是示意性的。根據(jù)實(shí)現(xiàn)需要,可以具有任意數(shù)目的終端設(shè)備、網(wǎng)絡(luò)和服務(wù)器。
[0034]繼續(xù)參考圖2,其示出了根據(jù)本申請(qǐng)的數(shù)字證書的添加的檢查方法的一個(gè)實(shí)施例的流程200。所述的數(shù)字證書的添加的檢查方法,包括以下步驟:
[0035]步驟201,獲取數(shù)字證書的添加請(qǐng)求。
[0036]在本實(shí)施例中,數(shù)字證書的添加的上述檢查方法運(yùn)行于其上的電子設(shè)備可以對(duì)數(shù)字證書的添加請(qǐng)求進(jìn)行攔截,從而獲取該添加請(qǐng)求。
[0037]在本實(shí)施例的一些實(shí)現(xiàn)方式中,以windows操作系統(tǒng)為例,對(duì)數(shù)字證書的添加請(qǐng)求進(jìn)行攔截可以通過(guò)對(duì)數(shù)字證書的添加所涉及的系統(tǒng)函數(shù)(例如NtRequestffaitReplyPort ()函數(shù))進(jìn)行鉤子(hook)操作來(lái)進(jìn)行。例如,可以自定義一個(gè)攔截處理函數(shù),