The invention relates to the field of information security, in particular to a certificate importing method and a terminal. The invention compiles a preset root certificate to an executable file; when a write database request corresponding to a certificate is received, the executable file obtains a public key corresponding to the root certificate; the executable file verifies the digital signature of the certificate according to the public key and obtains the verification result; and the verification knot. The executable file writes the certificate and the certificate chain corresponding to the certificate to the database when the result of the verification is the certificate pass. It can improve the validity of certificate without increasing the cost of hardware.
【技术实现步骤摘要】
【国外来华专利技术】一种证书导入方法及终端
本专利技术涉及信息安全领域,尤其涉及一种证书导入方法及终端。
技术介绍
随着数字证书技术的广泛使用,越来越多的系统平台和交易终端采用X.509的证书体系来完成安全认证或者敏感数据下载的交易。因为X.509证书自带真实性和完整性验证,因此其应用非常广泛,在电子支付领域,支付终端证书可以作为终端的身份凭证,实现与交互后台的身份认证,此外,支付终端与收单后台的密钥下载业务前置可使用证书来进行终端主密钥的下载。X.509证书,特别是根证书和证书链,是交易双方进行相互认证的信任基础。虽然证书本身带有完整性验证,但是系统或终端如果不进行合理存储和保管,根证书或证书链被替换,或者被攻击者插入恶意的根证书及证书链,由证书建立的信任大厦便岌岌可危了。尤其是在一些敏感的应用场景中,比如远程下载金融密钥的密钥管理系统中,如果系统存在该漏洞,极易造成金融机构密钥泄露,由此带来严重的安全事故。采用X.509证书认证体系进行身份认证,密钥管理系统中的X.509证书是重要的数据,其是保证认证体系可靠性的关键,任何无意的修改或是恶意的攻击,都可能导致整个远程密钥分发体系陷于风险之中,威胁到分发密钥的安全性。当前常见的做法,如下:方式1:证书直接以文本形式存储在数据库或者文件系统中,比如使用STUNNEL代理建立安全通信链路时,证书文件配置的文本文件中,可随意修改,增加或删除证书;如果被攻击者访问到了存储证书的数据库或文件,那么攻击者极易添加、删除、修改系统中的证书和证书链。方式2:使用专门的物理设备存储证书,比如银行系统中用于验证客户端身份的U盾。该方式并不适合系 ...
【技术保护点】
1.一种证书导入方法,其特征在于,包括:S1、编译预设的根证书至可执行文件;S2、当接收到与一证书对应的写入数据库请求时,所述可执行文件获取与所述根证书对应的公钥;S3、所述可执行文件根据所述公钥验证所述一证书的数字签名,得到验证结果;所述验证结果包括验证通过和验证未通过;S4、当所述验证结果为验证通过时,所述可执行文件写入所述一证书和与所述一证书对应的证书链至数据库。
【技术特征摘要】
【国外来华专利技术】1.一种证书导入方法,其特征在于,包括:S1、编译预设的根证书至可执行文件;S2、当接收到与一证书对应的写入数据库请求时,所述可执行文件获取与所述根证书对应的公钥;S3、所述可执行文件根据所述公钥验证所述一证书的数字签名,得到验证结果;所述验证结果包括验证通过和验证未通过;S4、当所述验证结果为验证通过时,所述可执行文件写入所述一证书和与所述一证书对应的证书链至数据库。2.根据权利要求1所述的证书导入方法,其特征在于,所述S2之前,还包括:获取身份信息;当所述身份信息通过身份验证时,激活所述可执行文件的证书写入功能;所述证书写入功能用于接收与一证书对应的写入数据库请求。3.根据权利要求1所述的证书导入方法,其特征在于,所述S4之后,还包括:获取预设的验证密钥;根据所述一证书和所述证书链,得到待验证数据;根据所述验证密钥对所述待验证数据进行MAC运算,得到第一MAC值;存储所述第一MAC值至所述数据库。4.根据权利要求3所述的证书导入方法,其特征在于,还包括:当接收到密钥分发请求时,从所述数据库中获取所述待验证数据;根据所述验证密钥对所述待验证数据进行MAC运算,得到第二MAC值;当所述第一MAC值和所述第二MAC值相同时,根据所述一证书分发密钥。5.根据权利要求3所述的证书导入方法,其特征在于,还包括:采用X9.19算法进行所述MAC运算。6.根据权利要求3所述的证书导入方法,其特征在于,所述待验证数据包括写入所述一证书的时间、所述一证书和所述证书链。7.根据权利要求3所述的证书导入方法,其特征在于,所述S2之前,还包括:注入所述验证密钥至硬件安全模块。8.根据权利要求1所述的证书导入方法,其特征在于,还包括:设置所述根证书的数据类型为常量。9.一种证书导入终端,其特征在于,包括一个或多个处理器及存...
【专利技术属性】
技术研发人员:王明伟,徐永标,
申请(专利权)人:福建联迪商用设备有限公司,
类型:发明
国别省市:福建,35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。