数字证书的添加的检查方法和检查装置的制造方法
【技术领域】
[0001]本申请涉及计算机技术领域,具体涉及计算机安全技术领域,尤其涉及数字证书的添加的检查方法和检查装置。
【背景技术】
[0002]数字证书是一种经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件,最简单的数字证书包含一个公开密钥、名称以及证书授权中心的数字签名。
[0003]数字证书的使用有助于在计算机的操作或应用的过程期间提高安全性。例如,安全软件在拦截到针对操作系统的关键或敏感操作时,通常会对发起这个操作的主体和来源进行检查,再决定是否允许或者拒绝这个操作。而在对上述主体和来源进行检查时,所采用的一个重要的方法就是数字证书,例如,检查发起这个操作的进程的数字证书是否在系统的证书信任列表中。然而,这种检查方法常常会面临以下方面的问题:恶意程序或应用可以先释放和添加数字证书到证书信任列表,然后再运行携带这个数字证书的恶意程序来绕过安全软件的检查。
【发明内容】
[0004]鉴于现有技术中的上述缺陷或不足,期望能够提供一种更好的数字证书的添加的检查方案。为了实现上述目的,本申请提供了改进的数字证书的添加的检查方法和检查装置。
[0005]第一方面,本申请提供了一种数字证书的添加的检查方法,所述方法包括:获取数字证书的添加请求;基于所述添加请求,确定是否满足预定条件,其中所述预定条件包括以下至少一项:所述添加请求的发起对象的名称是操作系统中用于密钥、数字证书管理的对象的名称;创建所述添加请求的发起对象的进程是操作系统中用于管理密钥、数字证书的系统服务进程;所述系统服务进程托管的数字证书服务正常运行;所述添加请求中用于添加数字证书的接口标识符是操作系统中用于数字证书管理的接口标识符;所述添加请求中用于添加数字证书的功能代码符合操作系统中相应功能代码;基于所述预定条件的满足情况,确定所述数字证书的添加是否合法。
[0006]在一些实施例中,所述基于所述预定条件的满足情况确定所述数字证书的添加是否合法包括:在所述预定条件中的任一项不满足时,确定所述数字证书的添加不合法。
[0007]在一些实施例中,所述方法还包括:响应于确定所述数字证书的添加不合法,执行对数字证书的添加的阻止操作和/或警告操作。
[0008]在一些实施例中,所述基于所述预定条件的满足情况确定所述数字证书的添加是否合法包括:在所述预定条件中的全部项都满足时,确定所述数字证书的添加合法。
[0009]在一些实施例中,所述方法还包括:响应于确定所述数字证书的添加合法,执行数字证书的添加操作。
[0010]在一些实施例中,所述获取数字证书的添加请求包括:通过钩子操作来获取数字证书的添加请求。
[0011]第二方面,本申请提供了一种数字证书的添加的检查装置,所述检查装置包括:获取单元,配置用于获取数字证书的添加请求;条件确定单元,配置用于基于所述添加请求,确定是否满足预定条件,其中所述预定条件包括以下至少一项:所述添加请求的发起对象的名称是操作系统中用于密钥、数字证书管理的对象的名称;创建所述添加请求的发起对象的进程是操作系统中用于管理密钥、数字证书的系统服务进程;所述系统服务进程托管的数字证书服务正常运行;所述添加请求中用于添加数字证书的接口标识符是操作系统中用于数字证书管理的接口标识符;所述添加请求中用于添加数字证书的功能代码符合操作系统中相应功能代码;合法性确定单元,配置用于基于所述预定条件的满足情况,确定所述数字证书的添加是否合法。
[0012]在一些实施例中,所述合法性确定单元进一步配置用于:在所述预定条件中的任一项不满足时,则确定所述数字证书的添加不合法。
[0013]在一些实施例中,所述检查装置还包括:处理单元,配置用于响应于所述合法性确定单元确定所述数字证书的添加不合法,执行对数字证书的添加的阻止操作和/或警告操作。
[0014]在一些实施例中,所述合法性确定单元进一步配置用于:在所述预定条件中的全部项都满足时,确定所述数字证书的添加合法。
[0015]在一些实施例中,所述检查装置还包括:处理单元,配置用于响应于所述合法性确定单元确定所述数字证书的添加合法,执行数字证书的添加操作。
[0016]在一些实施例中,所述获取单元进一步配置用于:通过钩子操作来获取数字证书的添加请求。
[0017]本申请提供的数字证书的添加的检查方法和检查装置,通过获取数字证书的添加请求,然后基于上述添加请求确定一系列预定条件是否得到满足,再确定数字证书的添加是否合法,实现了对数字证书的添加操作的合法性的有效检查。
【附图说明】
[0018]通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
[0019]图1是可以应用本申请的数字证书的添加的检查方法或检查装置的实施例的示例性系统架构;
[0020]图2是根据本申请的数字证书的添加的检查方法的一个实施例的流程图;
[0021]图3是Windows操作系统的IE浏览器中的证书信任列表的示意图;
[0022]图4是根据本申请的数字证书的添加的检查方法的又一个实施例的流程图;
[0023]图5是根据本申请的数字证书的添加的检查装置的一个实施例的结构示意图;
[0024]图6是适于用来实现本申请实施例的终端设备或主机的计算机系统的结构示意图。
【具体实施方式】
[0025]下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
[0026]需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
[0027]图1示出了可以应用本申请实施例的示例性系统架构100。
[0028]如图1所示,系统架构100可以包括终端设备101、102、103,网络104和主机105。网络104用以在终端设备101、102、103和主机105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
[0029]用户可以使用终端设备101、102、103通过网络104与主机105交互,以向主机105添加数字证书。终端设备101、102、103上可以安装有各种通讯客户端应用,例如银行类应用、购物类应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
[0030]终端设备101、102、103可以是各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、MP3 播放器(Moving Picture Experts Group Aud1 Layer III,动态影像专家压缩标准音频层面 3)、MP4 (Moving Picture Experts Group Aud1 Layer IV,动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。
[0031]主机105可以是常见的膝上型便携计算机或台式计算机,也可以是提供各种服务的服务器,例如对终端设备101、102、103上的银行类应用(这些应用通常需要数字证书技术的支持以便确保安全)等提供支持的后台服务器。主机105可以对接收到的数据进行存储、分析等处理,并将处理结果反馈给终端设备。
[0032]需要说明的是,本申请实施例所提供的数字证书的添加的检查方法可以由终端设备101、102、103执行,也可以由主机105执行。在由主机105执行数字证书的添加的检查的情况下,数字证书的添加请求可以是由终端设备101、102、103发起,也可以由主机105上运行的各种应用发起。相应地,数字证书的添加的检查装置可以设置于终端设备101、102、103中,也可以设置于主机105中。
[0033]应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
[0034]继续参考图2,其示出了根据本申请的数字证书的添加的检查方法的一个实施例的流程200。所述的数字证书的添加的检查方法,包括以下步骤:
[0035]步骤201,获取数字证书的添加请求。
[0036]在本实施例中,数字证书的添加的上述检查方法运行于其上的电子设备可以对数字证书的添加请求进行拦截,从而获取该添加请求。
[0037]在本实施例的一些实现方式中,以windows操作系统为例,对数字证书的添加请求进行拦截可以通过对数字证书的添加所涉及的系统函数(例如NtRequestffaitReplyPort ()函数)进行钩子(hook)操作来进行。例如,可以自定义一个拦截处理函数,