一种证书导入方法及终端技术

本发明专利技术涉及信息安全领域，尤其涉及一种证书导入方法及终端。本发明专利技术通过编译预设的根证书至可执行文件；当接收到与一证书对应的写入数据库请求时，所述可执行文件获取与所述根证书对应的公钥；所述可执行文件根据所述公钥验证所述一证书的数字签名，得到验证结果；所述验证结果包括验证通过和验证未通过；当所述验证结果为验证通过时，所述可执行文件写入所述一证书和与所述一证书对应的证书链至数据库。实现在不增加硬件成本的前提下提高证书的有效性。

Certificate import method and terminal

The invention relates to the field of information security, in particular to a certificate importing method and a terminal. The invention compiles a preset root certificate to an executable file; when a write database request corresponding to a certificate is received, the executable file obtains a public key corresponding to the root certificate; the executable file verifies the digital signature of the certificate according to the public key and obtains the verification result; and the verification knot. The executable file writes the certificate and the certificate chain corresponding to the certificate to the database when the result of the verification is the certificate pass. It can improve the validity of certificate without increasing the cost of hardware.

【技术实现步骤摘要】
【国外来华专利技术】一种证书导入方法及终端
本专利技术涉及信息安全领域，尤其涉及一种证书导入方法及终端。
技术介绍
随着数字证书技术的广泛使用，越来越多的系统平台和交易终端采用X.509的证书体系来完成安全认证或者敏感数据下载的交易。因为X.509证书自带真实性和完整性验证，因此其应用非常广泛，在电子支付领域，支付终端证书可以作为终端的身份凭证，实现与交互后台的身份认证，此外，支付终端与收单后台的密钥下载业务前置可使用证书来进行终端主密钥的下载。X.509证书，特别是根证书和证书链，是交易双方进行相互认证的信任基础。虽然证书本身带有完整性验证，但是系统或终端如果不进行合理存储和保管，根证书或证书链被替换，或者被攻击者插入恶意的根证书及证书链，由证书建立的信任大厦便岌岌可危了。尤其是在一些敏感的应用场景中，比如远程下载金融密钥的密钥管理系统中，如果系统存在该漏洞，极易造成金融机构密钥泄露，由此带来严重的安全事故。采用X.509证书认证体系进行身份认证，密钥管理系统中的X.509证书是重要的数据，其是保证认证体系可靠性的关键，任何无意的修改或是恶意的攻击，都可能导致整个远程密钥分发体系陷于风险之中，威胁到分发密钥的安全性。当前常见的做法，如下：方式1：证书直接以文本形式存储在数据库或者文件系统中，比如使用STUNNEL代理建立安全通信链路时，证书文件配置的文本文件中，可随意修改，增加或删除证书；如果被攻击者访问到了存储证书的数据库或文件，那么攻击者极易添加、删除、修改系统中的证书和证书链。方式2：使用专门的物理设备存储证书，比如银行系统中用于验证客户端身份的U盾。该方式并不适合系统端证书存储，且基于硬件设备的存储方式也会增加额外的成本。
技术实现思路
本专利技术所要解决的技术问题是：如何在不增加硬件成本的前提下提高证书的有效性。为了解决上述技术问题，本专利技术采用的技术方案为：本专利技术提供一种证书导入方法，包括：S1、编译预设的根证书至可执行文件；S2、当接收到与一证书对应的写入数据库请求时，所述可执行文件获取与所述根证书对应的公钥；S3、所述可执行文件根据所述公钥验证所述一证书的数字签名，得到验证结果；所述验证结果包括验证通过和验证未通过；S4、当所述验证结果为验证通过时，所述可执行文件写入所述一证书和与所述一证书对应的证书链至数据库。本专利技术还提供一种证书导入终端，包括一个或多个处理器及存储器，所述存储器存储有程序，并且被配置成由所述一个或多个处理器执行以下步骤：S1、编译预设的根证书至可执行文件；S2、当接收到与一证书对应的写入数据库请求时，所述可执行文件获取与所述根证书对应的公钥；S3、所述可执行文件根据所述公钥验证所述一证书的数字签名，得到验证结果；所述验证结果包括验证通过和验证未通过；S4、当所述验证结果为验证通过时，所述可执行文件写入所述一证书和与所述一证书对应的证书链至数据库。本专利技术的有益效果在于：本专利技术通过将用于验证待导入的证书有效性的根证书编译至可执行文件中，使得在编译时即将根证书载入到可执行文件，因此在可执行文件运行过程中，没有任何方法可以替换、修改或增加根证书的信息。在接收到一证书的导入请求时，需先使用根证书对其进行数字签名验证，只有有效的证书才可被成功导入到数据库中，不法分子无法对数据库中存储的根证书进行修改操作，从而无法成功地导入恶意证书至数据库。实现在不增加硬件成本的前提下，有效地提高了数据库中存储的证书的有效性。附图说明图1为本专利技术提供的一种证书导入方法的具体实施方式的流程框图；图2为本专利技术提供的一种证书导入终端的具体实施方式的结构框图；标号说明：1、处理器；2、存储器。具体实施方式本专利技术最关键的技术构思在于：本专利技术通过将用于验证待导入的证书有效性的根证书编译至可执行文件中，使得在可执行文件运行过程中，没有任何方法可以替换、修改或增加根证书的信息，从而实现在不增加硬件成本的前提下有效地提高了数据库中存储的证书的有效性。请参照图1以及图2，如图1所示，本专利技术提供一种证书导入方法，包括：S1、编译预设的根证书至可执行文件；S2、当接收到与一证书对应的写入数据库请求时，所述可执行文件获取与所述根证书对应的公钥；S3、所述可执行文件根据所述公钥验证所述一证书的数字签名，得到验证结果；所述验证结果包括验证通过和验证未通过；S4、当所述验证结果为验证通过时，所述可执行文件写入所述一证书和与所述一证书对应的证书链至数据库。进一步地，还包括：获取身份信息；当所述身份信息通过身份验证时，激活所述可执行文件的证书写入功能；所述证书写入功能用于接收与一证书对应的写入数据库请求。由上述描述可知，只有通过合法途径编译链接生成的可执行程序才可以修改、替换、增加证书和证书链信息，且只有通过身份验证的合法操作员才可执行修改证书信息的操作，有效提高了数据库中存储的证书的有效性。进一步地，还包括：获取预设的验证密钥；根据所述一证书和所述证书链，得到待验证数据；根据所述验证密钥对所述待验证数据进行MAC运算，得到第一MAC值；存储所述第一MAC值至所述数据库。进一步地，还包括：当接收到密钥分发请求时，从所述数据库中获取所述待验证数据；根据所述验证密钥对所述待验证数据进行MAC运算，得到第二MAC值；当所述第一MAC值和所述第二MAC值相同时，根据所述一证书分发密钥。进一步地，还包括：采用X9.19算法进行所述MAC运算。进一步地，所述待验证数据包括写入所述一证书的时间、所述一证书和所述证书链。进一步地，还包括：注入所述验证密钥至硬件安全模块。由上述描述可知，每次使用数据库中存储的证书进行密钥分发前，都强制对数据库中的证书信息进行MAC校验，因此，任何非法的对证书的修改都可以被检测到，提高密钥分发的安全性。进一步地，还包括：设置所述根证书的数据类型为常量。由上述描述可知，本专利技术将根证书设计成可执行文件的常量，在可执行文件编译时，就已经被载入到系统应用中，使得在可执行程序运行过程中不法分子无法篡改根证书的信息，提高了对待导入的证书有效性验证的可靠性，从而提高了数据库中存储的证书的有效性。如图2所示，本专利技术还提供一种证书导入终端，包括一个或多个处理器1及存储器2，所述存储器2存储有程序，并且被配置成由所述一个或多个处理器1执行以下步骤：S1、编译预设的根证书至可执行文件；S2、当接收到与一证书对应的写入数据库请求时，所述可执行文件获取与所述根证书对应的公钥；S3、所述可执行文件根据所述公钥验证所述一证书的数字签名，得到验证结果；所述验证结果包括验证通过和验证未通过；S4、当所述验证结果为验证通过时，所述可执行文件写入所述一证书和与所述一证书对应的证书链至数据库。进一步地，还包括：获取身份信息；当所述身份信息通过身份验证时，激活所述可执行文件的证书写入功能；所述证书写入功能用于接收与一证书对应的写入数据库请求。进一步地，还包括：获取预设的验证密钥；根据所述一证书和所述证书链，得到待验证数据；根据所述验证密钥对所述待验证数据进行MAC运算，得到第一MAC值；存储所述第一MAC值至所述数据库。进一步地，还包括：当接收到密钥分发请求时，从所述数据库中获取所述待验证数据；根据所述验证密钥对所述待验证数据进行MAC运算，得到第二MAC值；当所述第一MAC本文档来自技高网...

【技术保护点】
1.一种证书导入方法，其特征在于，包括：S1、编译预设的根证书至可执行文件；S2、当接收到与一证书对应的写入数据库请求时，所述可执行文件获取与所述根证书对应的公钥；S3、所述可执行文件根据所述公钥验证所述一证书的数字签名，得到验证结果；所述验证结果包括验证通过和验证未通过；S4、当所述验证结果为验证通过时，所述可执行文件写入所述一证书和与所述一证书对应的证书链至数据库。

【技术特征摘要】
【国外来华专利技术】1.一种证书导入方法，其特征在于，包括：S1、编译预设的根证书至可执行文件；S2、当接收到与一证书对应的写入数据库请求时，所述可执行文件获取与所述根证书对应的公钥；S3、所述可执行文件根据所述公钥验证所述一证书的数字签名，得到验证结果；所述验证结果包括验证通过和验证未通过；S4、当所述验证结果为验证通过时，所述可执行文件写入所述一证书和与所述一证书对应的证书链至数据库。2.根据权利要求1所述的证书导入方法，其特征在于，所述S2之前，还包括：获取身份信息；当所述身份信息通过身份验证时，激活所述可执行文件的证书写入功能；所述证书写入功能用于接收与一证书对应的写入数据库请求。3.根据权利要求1所述的证书导入方法，其特征在于，所述S4之后，还包括：获取预设的验证密钥；根据所述一证书和所述证书链，得到待验证数据；根据所述验证密钥对所述待验证数据进行MAC运算，得到第一MAC值；存储所述第一MAC值至所述数据库。4.根据权利要求3所述的证书导入方法，其特征在于，还包括：当接收到密钥分发请求时，从所述数据库中获取所述待验证数据；根据所述验证密钥对所述待验证数据进行MAC运算，得到第二MAC值；当所述第一MAC值和所述第二MAC值相同时，根据所述一证书分发密钥。5.根据权利要求3所述的证书导入方法，其特征在于，还包括：采用X9.19算法进行所述MAC运算。6.根据权利要求3所述的证书导入方法，其特征在于，所述待验证数据包括写入所述一证书的时间、所述一证书和所述证书链。7.根据权利要求3所述的证书导入方法，其特征在于，所述S2之前，还包括：注入所述验证密钥至硬件安全模块。8.根据权利要求1所述的证书导入方法，其特征在于，还包括：设置所述根证书的数据类型为常量。9.一种证书导入终端，其特征在于，包括一个或多个处理器及存...

【专利技术属性】
技术研发人员：王明伟，徐永标，
申请(专利权)人：福建联迪商用设备有限公司，
类型：发明
国别省市：福建,35