數(shù)字證書的添加的檢查方法和檢查裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本申請(qǐng)涉及計(jì)算機(jī)技術(shù)領(lǐng)域，具體涉及計(jì)算機(jī)安全技術(shù)領(lǐng)域，尤其涉及數(shù)字證書的添加的檢查方法和檢查裝置。
【背景技術(shù)】
[0002]數(shù)字證書是一種經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件，最簡(jiǎn)單的數(shù)字證書包含一個(gè)公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。
[0003]數(shù)字證書的使用有助于在計(jì)算機(jī)的操作或應(yīng)用的過程期間提高安全性。例如，安全軟件在攔截到針對(duì)操作系統(tǒng)的關(guān)鍵或敏感操作時(shí)，通常會(huì)對(duì)發(fā)起這個(gè)操作的主體和來源進(jìn)行檢查，再?zèng)Q定是否允許或者拒絕這個(gè)操作。而在對(duì)上述主體和來源進(jìn)行檢查時(shí)，所采用的一個(gè)重要的方法就是數(shù)字證書，例如，檢查發(fā)起這個(gè)操作的進(jìn)程的數(shù)字證書是否在系統(tǒng)的證書信任列表中。然而，這種檢查方法常常會(huì)面臨以下方面的問題:惡意程序或應(yīng)用可以先釋放和添加數(shù)字證書到證書信任列表，然后再運(yùn)行攜帶這個(gè)數(shù)字證書的惡意程序來繞過安全軟件的檢查。

【發(fā)明內(nèi)容】

[0004]鑒于現(xiàn)有技術(shù)中的上述缺陷或不足，期望能夠提供一種更好的數(shù)字證書的添加的檢查方案。為了實(shí)現(xiàn)上述目的，本申請(qǐng)?zhí)峁┝烁倪M(jìn)的數(shù)字證書的添加的檢查方法和檢查裝置。
[0005]第一方面，本申請(qǐng)?zhí)峁┝艘环N數(shù)字證書的添加的檢查方法，所述方法包括:獲取數(shù)字證書的添加請(qǐng)求；基于所述添加請(qǐng)求，確定是否滿足預(yù)定條件，其中所述預(yù)定條件包括以下至少一項(xiàng):所述添加請(qǐng)求的發(fā)起對(duì)象的名稱是操作系統(tǒng)中用于密鑰、數(shù)字證書管理的對(duì)象的名稱；創(chuàng)建所述添加請(qǐng)求的發(fā)起對(duì)象的進(jìn)程是操作系統(tǒng)中用于管理密鑰、數(shù)字證書的系統(tǒng)服務(wù)進(jìn)程；所述系統(tǒng)服務(wù)進(jìn)程托管的數(shù)字證書服務(wù)正常運(yùn)行；所述添加請(qǐng)求中用于添加數(shù)字證書的接口標(biāo)識(shí)符是操作系統(tǒng)中用于數(shù)字證書管理的接口標(biāo)識(shí)符；所述添加請(qǐng)求中用于添加數(shù)字證書的功能代碼符合操作系統(tǒng)中相應(yīng)功能代碼；基于所述預(yù)定條件的滿足情況，確定所述數(shù)字證書的添加是否合法。
[0006]在一些實(shí)施例中，所述基于所述預(yù)定條件的滿足情況確定所述數(shù)字證書的添加是否合法包括:在所述預(yù)定條件中的任一項(xiàng)不滿足時(shí)，確定所述數(shù)字證書的添加不合法。
[0007]在一些實(shí)施例中，所述方法還包括:響應(yīng)于確定所述數(shù)字證書的添加不合法，執(zhí)行對(duì)數(shù)字證書的添加的阻止操作和/或警告操作。
[0008]在一些實(shí)施例中，所述基于所述預(yù)定條件的滿足情況確定所述數(shù)字證書的添加是否合法包括:在所述預(yù)定條件中的全部項(xiàng)都滿足時(shí)，確定所述數(shù)字證書的添加合法。
[0009]在一些實(shí)施例中，所述方法還包括:響應(yīng)于確定所述數(shù)字證書的添加合法，執(zhí)行數(shù)字證書的添加操作。
[0010]在一些實(shí)施例中，所述獲取數(shù)字證書的添加請(qǐng)求包括:通過鉤子操作來獲取數(shù)字證書的添加請(qǐng)求。
[0011]第二方面，本申請(qǐng)?zhí)峁┝艘环N數(shù)字證書的添加的檢查裝置，所述檢查裝置包括:獲取單元，配置用于獲取數(shù)字證書的添加請(qǐng)求；條件確定單元，配置用于基于所述添加請(qǐng)求，確定是否滿足預(yù)定條件，其中所述預(yù)定條件包括以下至少一項(xiàng):所述添加請(qǐng)求的發(fā)起對(duì)象的名稱是操作系統(tǒng)中用于密鑰、數(shù)字證書管理的對(duì)象的名稱；創(chuàng)建所述添加請(qǐng)求的發(fā)起對(duì)象的進(jìn)程是操作系統(tǒng)中用于管理密鑰、數(shù)字證書的系統(tǒng)服務(wù)進(jìn)程；所述系統(tǒng)服務(wù)進(jìn)程托管的數(shù)字證書服務(wù)正常運(yùn)行；所述添加請(qǐng)求中用于添加數(shù)字證書的接口標(biāo)識(shí)符是操作系統(tǒng)中用于數(shù)字證書管理的接口標(biāo)識(shí)符；所述添加請(qǐng)求中用于添加數(shù)字證書的功能代碼符合操作系統(tǒng)中相應(yīng)功能代碼；合法性確定單元，配置用于基于所述預(yù)定條件的滿足情況，確定所述數(shù)字證書的添加是否合法。
[0012]在一些實(shí)施例中，所述合法性確定單元進(jìn)一步配置用于:在所述預(yù)定條件中的任一項(xiàng)不滿足時(shí)，則確定所述數(shù)字證書的添加不合法。
[0013]在一些實(shí)施例中，所述檢查裝置還包括:處理單元，配置用于響應(yīng)于所述合法性確定單元確定所述數(shù)字證書的添加不合法，執(zhí)行對(duì)數(shù)字證書的添加的阻止操作和/或警告操作。
[0014]在一些實(shí)施例中，所述合法性確定單元進(jìn)一步配置用于:在所述預(yù)定條件中的全部項(xiàng)都滿足時(shí)，確定所述數(shù)字證書的添加合法。
[0015]在一些實(shí)施例中，所述檢查裝置還包括:處理單元，配置用于響應(yīng)于所述合法性確定單元確定所述數(shù)字證書的添加合法，執(zhí)行數(shù)字證書的添加操作。
[0016]在一些實(shí)施例中，所述獲取單元進(jìn)一步配置用于:通過鉤子操作來獲取數(shù)字證書的添加請(qǐng)求。
[0017]本申請(qǐng)?zhí)峁┑臄?shù)字證書的添加的檢查方法和檢查裝置，通過獲取數(shù)字證書的添加請(qǐng)求，然后基于上述添加請(qǐng)求確定一系列預(yù)定條件是否得到滿足，再確定數(shù)字證書的添加是否合法，實(shí)現(xiàn)了對(duì)數(shù)字證書的添加操作的合法性的有效檢查。
【附圖說明】
[0018]通過閱讀參照以下附圖所作的對(duì)非限制性實(shí)施例所作的詳細(xì)描述，本申請(qǐng)的其它特征、目的和優(yōu)點(diǎn)將會(huì)變得更明顯:
[0019]圖1是可以應(yīng)用本申請(qǐng)的數(shù)字證書的添加的檢查方法或檢查裝置的實(shí)施例的示例性系統(tǒng)架構(gòu)；
[0020]圖2是根據(jù)本申請(qǐng)的數(shù)字證書的添加的檢查方法的一個(gè)實(shí)施例的流程圖；
[0021]圖3是Windows操作系統(tǒng)的IE瀏覽器中的證書信任列表的示意圖；
[0022]圖4是根據(jù)本申請(qǐng)的數(shù)字證書的添加的檢查方法的又一個(gè)實(shí)施例的流程圖；
[0023]圖5是根據(jù)本申請(qǐng)的數(shù)字證書的添加的檢查裝置的一個(gè)實(shí)施例的結(jié)構(gòu)示意圖；
[0024]圖6是適于用來實(shí)現(xiàn)本申請(qǐng)實(shí)施例的終端設(shè)備或主機(jī)的計(jì)算機(jī)系統(tǒng)的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0025]下面結(jié)合附圖和實(shí)施例對(duì)本申請(qǐng)作進(jìn)一步的詳細(xì)說明?？梢岳斫獾氖?，此處所描述的具體實(shí)施例僅僅用于解釋相關(guān)發(fā)明，而非對(duì)該發(fā)明的限定。另外還需要說明的是，為了便于描述，附圖中僅示出了與有關(guān)發(fā)明相關(guān)的部分。
[0026]需要說明的是，在不沖突的情況下，本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互組合。下面將參考附圖并結(jié)合實(shí)施例來詳細(xì)說明本申請(qǐng)。
[0027]圖1示出了可以應(yīng)用本申請(qǐng)實(shí)施例的示例性系統(tǒng)架構(gòu)100。
[0028]如圖1所示，系統(tǒng)架構(gòu)100可以包括終端設(shè)備101、102、103，網(wǎng)絡(luò)104和主機(jī)105。網(wǎng)絡(luò)104用以在終端設(shè)備101、102、103和主機(jī)105之間提供通信鏈路的介質(zhì)。網(wǎng)絡(luò)104可以包括各種連接類型，例如有線、無線通信鏈路或者光纖電纜等等。
[0029]用戶可以使用終端設(shè)備101、102、103通過網(wǎng)絡(luò)104與主機(jī)105交互，以向主機(jī)105添加數(shù)字證書。終端設(shè)備101、102、103上可以安裝有各種通訊客戶端應(yīng)用，例如銀行類應(yīng)用、購(gòu)物類應(yīng)用、搜索類應(yīng)用、即時(shí)通信工具、郵箱客戶端、社交平臺(tái)軟件等。
[0030]終端設(shè)備101、102、103可以是各種電子設(shè)備，包括但不限于智能手機(jī)、平板電腦、電子書閱讀器、MP3 播放器(Moving Picture Experts Group Aud1 Layer III，動(dòng)態(tài)影像專家壓縮標(biāo)準(zhǔn)音頻層面 3)、MP4 (Moving Picture Experts Group Aud1 Layer IV，動(dòng)態(tài)影像專家壓縮標(biāo)準(zhǔn)音頻層面4)播放器、膝上型便攜計(jì)算機(jī)和臺(tái)式計(jì)算機(jī)等等。
[0031]主機(jī)105可以是常見的膝上型便攜計(jì)算機(jī)或臺(tái)式計(jì)算機(jī)，也可以是提供各種服務(wù)的服務(wù)器，例如對(duì)終端設(shè)備101、102、103上的銀行類應(yīng)用(這些應(yīng)用通常需要數(shù)字證書技術(shù)的支持以便確保安全)等提供支持的后臺(tái)服務(wù)器。主機(jī)105可以對(duì)接收到的數(shù)據(jù)進(jìn)行存儲(chǔ)、分析等處理，并將處理結(jié)果反饋給終端設(shè)備。
[0032]需要說明的是，本申請(qǐng)實(shí)施例所提供的數(shù)字證書的添加的檢查方法可以由終端設(shè)備101、102、103執(zhí)行，也可以由主機(jī)105執(zhí)行。在由主機(jī)105執(zhí)行數(shù)字證書的添加的檢查的情況下，數(shù)字證書的添加請(qǐng)求可以是由終端設(shè)備101、102、103發(fā)起，也可以由主機(jī)105上運(yùn)行的各種應(yīng)用發(fā)起。相應(yīng)地，數(shù)字證書的添加的檢查裝置可以設(shè)置于終端設(shè)備101、102、103中，也可以設(shè)置于主機(jī)105中。
[0033]應(yīng)該理解，圖1中的終端設(shè)備、網(wǎng)絡(luò)和服務(wù)器的數(shù)目?jī)H僅是示意性的。根據(jù)實(shí)現(xiàn)需要，可以具有任意數(shù)目的終端設(shè)備、網(wǎng)絡(luò)和服務(wù)器。
[0034]繼續(xù)參考圖2，其示出了根據(jù)本申請(qǐng)的數(shù)字證書的添加的檢查方法的一個(gè)實(shí)施例的流程200。所述的數(shù)字證書的添加的檢查方法，包括以下步驟:
[0035]步驟201，獲取數(shù)字證書的添加請(qǐng)求。
[0036]在本實(shí)施例中，數(shù)字證書的添加的上述檢查方法運(yùn)行于其上的電子設(shè)備可以對(duì)數(shù)字證書的添加請(qǐng)求進(jìn)行攔截，從而獲取該添加請(qǐng)求。
[0037]在本實(shí)施例的一些實(shí)現(xiàn)方式中，以windows操作系統(tǒng)為例，對(duì)數(shù)字證書的添加請(qǐng)求進(jìn)行攔截可以通過對(duì)數(shù)字證書的添加所涉及的系統(tǒng)函數(shù)(例如NtRequestffaitReplyPort ()函數(shù))進(jìn)行鉤子(hook)操作來進(jìn)行。例如，可以自定義一個(gè)攔截處理函數(shù)，