本申请提供了一种用于商用设备的加载CA证书的方法,包括:在待加载的CA证书校验失败,且导致CA证书校验失败的原因是目标证书的公钥校验失败的情况下,电子设备调用授权证书,授权证书用于确定CA证书是否可以加载,CA证书包括根证书、二级证书以及三级证书,目标证书为根证书、二级证书以及三级证书中的任一种;在授权证书校验成功的情况下,电子设备加载CA证书。本申请还提供一种用于研发设备的加载CA证书的方法,包括:电子设备判断CA证书校验是否成功,CA证书包括三级证书;在CA证书校验失败,且导致CA证书校验失败的原因是三级证书的公钥校验失败,电子设备加载CA证书。本申请的目的是减小CA证书泄露的后果。
【技术实现步骤摘要】
加载数字证书认证机构证书的方法及装置
本申请涉及信息安全领域,尤其涉及一种加载数字证书认证机构证书的方法及装置。
技术介绍
数字证书认证机构(certificateauthority,CA)证书是一种权威性的电子文档,由CA中心签发。CA证书中包含用户的个人信息、公钥信息以及CA中心的签名信息。芯片厂商发布商用CA证书,并在该商用CA证书上使用私钥签名。在芯片加载CA证书时,可以启动CA证书校验,确保在芯片上启动的CA证书是该芯片厂商签发的CA证书,不是该芯片厂商签发的CA证书无法加载在芯片上。电子设备通常可以分为商用设备和研发设备,其中,商用设备为用于商业用途的设备,可以被投入市场,由用户购买或使用。研发设备则用于研发人员研发调试。通常情况下,一个CA证书仅被加载在一个电子设备上,例如商用设备可以加载商用版本的CA证书,研发设备可以加载研发版本的CA证书。在一些特殊的场景下,一个CA证书可以被加载在多个电子设备上。一种可能的情况,研发人员在完成研发版本的CA证书的调试后,希望加载在商用设备上,此时研发版本的CA证书可以被加载在商用设备上。另一种可能的情况,研发人员希望在研发设备上对商用版本的CA证书进行调试,此时商用版本的CA证书可以被加载在研发设备上。如果研发版本的CA证书泄露,由于CA证书可以被加载在商用设备上,会引发一系列的信息安全问题,例如篡改商用手机原装系统、在商用手机上恶意安装应用程序等。
技术实现思路
本申请提供一种加载数字证书认证机构证书的方法及装置,目的在于减小数字证书认证机构(certificateauthority,CA)证书泄露的后果。第一方面,提供了一种加载数字证书认证机构CA证书的方法,包括:在待加载的CA证书校验失败的情况下,电子设备调用授权证书,所述授权证书用于确定所述CA证书是否可以加载;在所述授权证书校验成功的情况下,所述电子设备加载所述CA证书。CA证书包括电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等。根证书包括根公钥、二级公钥的哈希值、根证书签名。二级证书包括二级公钥、三级公钥的哈希值、二级证书签名。三级证书包括三级公钥、三级公钥的哈希值、三级证书签名。根公钥的哈希值可以通过熔断熔丝寄存器内的物理熔丝的方式记录在芯片内部。在本申请实施例中,当CA证书校验失败时,可以引用由CA中心签发的授权证书,当授权证书满足校验条件时,可以认为CA证书虽然校验失败但仍可以获得加载权限。此时即使CA证书泄露,也不会泄露可用于商用设备的完整证书信息,因此信息泄露的后果较小。结合第一方面,在第一方面的某些实现方式中,所述CA证书包括根证书、二级证书以及三级证书,导致所述CA证书校验失败的原因是目标证书的公钥校验失败,所述目标证书为所述根证书、所述二级证书以及所述三级证书中的任一种。根公钥校验成功,意味着根证书内的根公钥的哈希值与熔丝寄存器中记录的根公钥哈希值匹配。二级公钥校验成功,意味着二级证书内的二级公钥的哈希值与一级证书中记录的二级公钥哈希值匹配。三级公钥校验成功,意味着三级证书内的三级公钥的哈希值与二级证书中记录的三级公钥哈希值匹配。在本申请实施例中,导致CA证书校验失败原因只有目标证书的公钥校验失败时才引用授权证书,有利于提高CA证书加载的安全性。结合第一方面,在第一方面的某些实现方式中,所述授权证书校验成功,包括:所述授权证书包含所述电子设备的硬件序列号,和/或所述授权证书的公钥校验成功。当授权证书包含硬件序列号时,如果授权证书也被泄露,由于该授权证书只能用于某一特定的硬件设备,因此信息泄露的后果较小。如果授权证书的公钥校验成功,且授权证书也被泄露,由于不同设备的证书不同,并且不是所有的设备均可以调用授权证书继续CA证书校验,因此信息泄露的后果较小。结合第一方面,在第一方面的某些实现方式中,所述授权证书还包括申请地址、申请用户名、申请时间中的一个或多个。申请地址例如可以是申请授权证书所使用的互联网协议(internetprotocol,IP)地址,还可以是申请授权证书的研发人员或单位所在的城市或地区。申请用户名例如可以是申请授权证书的研发人员的用户名,还可以是申请授权证书的单位的用户名。申请时间例如可以是研发人员申请授权证书的时间。在本申请实施例中,在授权证书中存储申请地址、申请用户名、申请时间中的一个或多个,提高授权证书的可追溯性。当授权证书发生泄露时,可以追溯到申请该授权证书的用户、地址或时间,甚至可以统计该授权证书的使用率,有利于及时制止信息泄露的后果。结合第一方面,在第一方面的某些实现方式中,所述目标证书为三级证书,所述授权证书的公钥校验成功,包括:所述授权证书中的公钥与所述二级证书中的公钥哈希值匹配,且所述三级证书的公钥与所述授权证书中的公钥哈希值匹配。在本申请实施例中,在导致CA证书校验失败的原因是三级公钥校验失败的情况下,授权证书可以为CA证书提供正确的三级公钥,且按照证据链顺序,根证书、授权证书、二级证书、三级证书可以形成完整的证书链,既能够使满足条件的CA证书完成校验,又能够保证授权证书的验证难度。结合第一方面,在第一方面的某些实现方式中,所述CA证书包含所述授权证书。在本申请实施例中,在加载CA证书时无需在其他存储介质中搜索授权证书,提高证书加载效率。结合第一方面,在第一方面的某些实现方式中,所述电子设备为是商用设备。商用设备为用于商业用途的设备,可以被投入市场,由用户购买或使用。例如,在研发人员希望将研发版本的CA证书加载在商用手机时,由于研发版本的CA证书与商用版本的CA证书不同,研发版本的CA证书在商用手机上的校验是失败的。如果CA证书校验时发现只有目标证书的公钥校验失败,因此可以调用授权证书继续校验。如果授权证书校验成功,商用设备上就可以加载研发版本的CA证书,提高了商用设备调试的灵活性。结合第一方面,在第一方面的某些实现方式中,所述电子设备包括用于指示所述电子设备为研发设备的熔丝位。在本申请实施例中,由于熔丝位仅可烧写一次,不容易被人篡改,因此通过熔丝寄存器内的熔丝表示设备类型的方式具有高的安全系数。第二方面,提供了一种加载数字证书认证机构CA证书的方法,包括:电子设备判断待加载的CA证书校验是否成功,所述CA证书包括三级证书;在所述CA证书校验失败,且导致所述CA证书校验失败的原因是所述三级证书的公钥校验失败,所述电子设备加载所述CA证书。在本申请实施例中,由于研发手机流入市场的可能性较小,并且通常商用版本的CA证书与研发版本的CA证书共用根证书和二级证书,此时将CA证书加载在研发手机,且该CA证书的校验失败原因只有三级公钥校验失败,为了提高调试研发手机的灵活性,可以减弱对CA证书的验证,忽略三级公钥校验失败,授权加载该CA证书。即使CA证书泄露,也不会泄露可用于研发设备的完整证书信息,因本文档来自技高网...
【技术保护点】
1.一种加载数字证书认证机构CA证书的方法,其特征在于,所述方法包括:/n在待加载的CA证书校验失败的情况下,电子设备调用授权证书,所述授权证书用于确定所述CA证书是否可以加载;/n在所述授权证书校验成功的情况下,所述电子设备加载所述CA证书。/n
【技术特征摘要】
1.一种加载数字证书认证机构CA证书的方法,其特征在于,所述方法包括:
在待加载的CA证书校验失败的情况下,电子设备调用授权证书,所述授权证书用于确定所述CA证书是否可以加载;
在所述授权证书校验成功的情况下,所述电子设备加载所述CA证书。
2.根据权利要求1所述的方法,其特征在于,所述CA证书包括根证书、二级证书以及三级证书,导致所述CA证书校验失败的原因是目标证书的公钥校验失败,所述目标证书为所述根证书、所述二级证书以及所述三级证书中的任一种。
3.根据权利要求2所述的方法,其特征在于,所述授权证书校验成功,包括:所述授权证书包含所述电子设备的硬件序列号,和/或所述授权证书的公钥校验成功。
4.根据权利要求3所述的方法,其特征在于,所述目标证书为所述三级证书,所述授权证书的公钥校验成功,包括:所述授权证书中的公钥与所述二级证书中的公钥哈希值匹配,且所述三级证书的公钥与所述授权证书中的公钥哈希值匹配。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述授权证书包括申请地址、申请用户名、申请时间中的一个或多个。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述CA证书包含所述授权证书。
7.根据权利要求1至6中任一项所述的方法,其特征在于,所述电子设备为是商用设备。
8.根据权利要求7所述的方法,其特征在于,所述电子设备包括用于指示所述电子设备为商用设备的熔丝位。
9.一种加载数字证书认证机构CA证书的方法,其特征在于,所述方法包括:
电子设备判断待加载的CA证书校验是否成功,所述CA证书包括三级证书;
在所述CA证书校验失败,且导致所述CA证书校验失败的原因是所述三级证书的公钥校验失败,所述电子设备加载所述CA证书。
10.根据权利要求9所述的方法,其特征在于,所述电子设备为研发设备。
11.根据权利要求9或10所述的方法,其特征在于,所述电子设备包括用于指示所述电子设备为研发设备的熔丝位。
12.一种加载数字证书认证机构CA证书的装置,其特征在于,所述装置包括:
处理模块,用于在待加载的CA证书校验失败的情况下,调用授权证书,所述授权证书用于确定所述CA证书是否可以加载;
所述处理模块还用于,在所述授权证书校验成功的情况下,加载所述CA证书。
13.根据权利要求12所述的装置,其特征在于,所述CA证书包括根证书、二级证书以及三级证书,导致所述CA证书校验失败的原因是目标证书的公钥校验失败,所述目...
【专利技术属性】
技术研发人员:朱志英,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。