解耦和更新移动设备上的锁定证书制造技术

公开了用于解耦和更新用户设备上的锁定证书的系统。具有硬编码的锁定证书的移动应用程序可以安装在用户设备上。该锁定证书可以与该移动应用程序解耦，并存储在用户设备上。响应于移动应用程序试图与服务器建立安全连接，系统可以通过查询证书存储库来检查解耦的锁定证书是否为最新。响应于确定锁定证书已过期，系统可以将当前证书发送到用户设备以更新解耦的锁定证书。

【技术实现步骤摘要】
【国外来华专利技术】解耦和更新移动设备上的锁定证书相关申请的交叉引用本申请要求2018年11月28日提交的、专利技术名称为“解耦和更新移动设备上的锁定证书”的美国申请号为15/824,846的优先权和权益，出于参考目的将其全部内容通过引用并入本文。
本公开大体上涉及在不安全的网络上的安全通信，更具体地涉及用于解耦和更新移动设备上的锁定证书的系统和方法。
技术介绍
通过计算机网络的通信可能是不安全的。例如，通过计算机网络在移动设备和服务器之间的通信可能容易被窃听者拦截通信。然而，可以使用安全套接字层(SSL)协议或传输层安全性(TLS)协议来保护通信。SSL和TLS是通过使用数字证书提供身份验证和加密来提供在计算机网络上的通信安全性的加密协议。为了验证数字证书是真实有效的，可以用数字证书的层次结构(例如，链)对数字证书进行数字签名，例如根证书，然后是由根证书签名的中间证书。数字证书可以由受信任的证书颁发机构(CA)发布。移动设备和服务器可以维护受信任CA根证书的列表，以验证数字证书已由受信任CA发布并签名。依赖数字证书链验证的协议(例如，SSL和TLS)可能易受多种攻击(例如，中间人攻击)，其中未经授权的一方能够查看和修改移动设备和服务器之间的通信。证书锁定(certificatepinning)可以用于指定用于验证的证书，并且可以至少部分削弱数字证书链验证中的漏洞(vulnerability)。证书锁定可以指将证书硬编码(例如“锁定”)到移动设备上的应用程序或浏览器中的过程。硬编码的证书可以对应于存储在服务器中的数字证书，从而可以验证和确认数字证书以在移动设备和服务器之间建立安全通信。但是，响应于对证书的更新，必须更新应用程序或浏览器中的硬编码的证书以反映新证书(并与存储在服务器上的证书匹配)。另外，证书通常包括到期日期(例如，两年等)，并且必须响应于证书到期而更新应用程序或浏览器中的硬编码的证书。因此，必须开发、编码和发布更新的应用程序或浏览器以对更新的证书做出解释。此外，在可以再次与服务器建立通信之前，可能迫使移动设备的用户更新和/或重新安装应用程序或浏览器。
技术实现思路
公开了用于解耦和更新锁定证书的系统、方法和制品(统称为“系统”)。所述系统可以从安装在用户设备上的移动应用程序接收连接请求。用户设备可以包括与移动应用程序解耦的锁定证书。所述系统可以确定锁定证书的证书版本。所述系统可以基于锁定证书查询证书存储库以定位存储的证书。所述系统可以确定锁定证书的证书版本是否与证书存储库中存储的证书的第二证书版本匹配。响应于锁定证书的证书版本与所存储的证书的第二证书版本不匹配，系统可以将所存储的证书发送至用户设备。所述系统可以在用户设备上更新锁定证书以包括来自所存储的证书的数据。在各个实施例中，锁定证书可以包括由中间证书数字签名的叶证书(leafcertificate)，其中，中间证书由根证书数字签名。响应于锁定证书的证书版本与存储的证书的第二证书版本不匹配，锁定证书中的叶证书可以不同于存储的证书中的第二叶证书。所述系统还可以通过解密根证书和中间证书来验证锁定证书。在各个实施例中，所述系统还可以响应于更新用户设备上的锁定证书批准来自移动应用程序的连接请求。在各个实施例中，所述系统还可以在用户设备上安装移动应用程序，其中，移动应用程序包括锁定证书。所述系统还可将锁定证书与移动应用程序解耦，并通过处理器将解耦的锁定证书存储在用户设备上。除非本文另外明确指出，否则前述特征和要素可以以各种组合而没有排他性地结合。根据以下描述和附图，所公开的实施方案的这些特征和要素以及操作将变得更加明显。附图说明在说明书的结论部分中特别指出并明确要求保护本公开的主题。然而，当结合附图考虑时，可以通过参考详细描述和权利要求来获得对本公开的更完整的理解，其中，相同的附图标记表示相同的元素。图1是示出了根据各种实施例的用于解耦和更新用户设备上的锁定证书的系统的各个系统组件的框图。图2是示出了根据各种实施例的用于更新和发布具有锁定证书的应用程序的系统的各种系统组件的框图。图3示出了根据各种实施例的用于锁定应用程序中证书的方法的处理流程。图4示出了根据各种实施例的用于解耦和更新用户设备上的锁定证书的方法的处理流程。图5示出了根据各种实施例的用于更新证书存储库中的证书的方法的处理流程。具体实施方式本文中示例性实施方案的详细描述参考了附图，这些附图通过说明示出了各个实施例。尽管足够详细地描述了这些各个实施例以使本领域技术人员能够实施本公开，但是应当理解，在不脱离本公开的精神和范围的情况下，可以实现其他实施方案并且可以进行逻辑改变和机械改变。因此，本文的详细描述仅出于说明目的而非限制的目的。例如，在任何方法或过程描述中叙述的步骤可以以任何顺序执行，并且不限于所描述的顺序。而且，任何功能或步骤都可以外包给一个或多个第三方或由一个或多个第三方执行。此外，提到的任何单数形式都包括复数形式的实施方案，并且任何提到的多于一个组件可包括单数的实施方案。该系统可以允许锁定证书的部分或全部解耦，其中可以将锁定证书部分或全部硬编码到应用程序或浏览器中(例如，对于移动设备)。该系统还可以启用解耦的锁定证书的更新，而不需要或强制对相应的应用程序或浏览器进行部分或全部更新。在这方面，响应于先前锁定的证书需要更新，软件开发人员可能不需要至少部分地手动将新证书硬编码到更新的应用程序中。因此，可以在证书更新期间改善软件开发过程并减少停机时间。系统可以通过使用设备上的安全存储数据库(例如，通过白盒密码技术等)将应用程序和锁定数据紧密耦合到移动设备中，从而保持解耦后的锁定证书的完整性和真实性。因此，该系统可以通过增加锁定证书周围的安全性并使回滚锁定证书或检索锁定证书至少某些方面对攻击者而言更加困难，来改善移动设备中的计算机功能和计算机安全性。与现有技术中的典型系统相比，这样的系统还使得在移动设备和服务器之间的机密数据的传输更加安全。该系统进一步改善了计算机(例如，用户设备110，简要参考图1)的运行。例如，通过使机密数据(例如，锁定证书)自动化解耦和更新，而不需要用户、开发人员等手动输入数据(例如，更新的锁定证书)或手动将更新的锁定证书编码到更新的应用程序，用户执行较少的计算机功能并提供较少的输入，从而节省了数据存储和内存，因此加快了计算机的处理速度。类似地，通过将锁定证书与应用程序解耦并启用对锁定证书的更新而无需重新安装或更新相应的应用程序，可以提高计算机(例如，智能手机、移动电话等)的电池寿命。另外，通过使用本文描述的进程解耦和更新锁定证书，计算机和服务器之间的通信安全性得到了改善，从而降低了计算机或网络(例如，网络105-1、105-2)的风险，或数据本身(包括机密数据，例如交易帐户数据)不被泄露。如本文所用，“电子通信”是指具有物理耦合(例如，“电通信”或“电耦合”)和/或没有物理耦合并且经由电磁场(例如，“感应通信”或“感应耦合”或“感应耦合”)本文档来自技高网...

【技术保护点】
1.一种方法，包括：/n通过处理器从安装在用户设备上的移动应用程序接收连接请求，其中，所述用户设备包括与所述移动应用程序解耦的锁定证书；/n通过所述处理器确定所述锁定证书的证书版本；/n通过所述处理器基于所述锁定证书查询证书存储库，以定位存储的证书；/n通过所述处理器确定所述锁定证书的所述证书版本是否与所述证书存储库中所述存储的证书的第二证书版本匹配；/n响应于所述锁定证书的所述证书版本与所述存储的证书的所述第二证书版本不匹配，通过所述处理器将所述存储的证书发送至所述用户设备；以及/n通过所述处理器更新所述用户设备上的所述锁定证书以包括来自所述存储的证书的数据。/n

【技术特征摘要】
【国外来华专利技术】20171128 US 15/824,8461.一种方法，包括：
通过处理器从安装在用户设备上的移动应用程序接收连接请求，其中，所述用户设备包括与所述移动应用程序解耦的锁定证书；
通过所述处理器确定所述锁定证书的证书版本；
通过所述处理器基于所述锁定证书查询证书存储库，以定位存储的证书；
通过所述处理器确定所述锁定证书的所述证书版本是否与所述证书存储库中所述存储的证书的第二证书版本匹配；
响应于所述锁定证书的所述证书版本与所述存储的证书的所述第二证书版本不匹配，通过所述处理器将所述存储的证书发送至所述用户设备；以及
通过所述处理器更新所述用户设备上的所述锁定证书以包括来自所述存储的证书的数据。


2.根据权利要求1所述的方法，其中，所述锁定证书包括由中间证书数字签名的叶证书，其中，所述中间证书由根证书数字签名。


3.根据权利要求2所述的方法，其中，响应于所述锁定证书的所述证书版本与所述存储的证书的所述第二证书版本不匹配，所述锁定证书中的所述叶证书不同于所述存储的证书中的第二叶证书。


4.根据权利要求2所述的方法，还包括通过解密所述根证书和所述中间证书来通过所述处理器验证所述锁定证书。


5.根据权利要求1所述的方法，还包括响应于更新所述用户设备上的所述锁定证书通过所述处理器批准来自所述移动应用程序的所述连接请求。


6.根据权利要求1所述的方法，还包括通过所述处理器在所述用户设备上安装所述移动应用程序，其中，所述移动应用程序包括所述锁定证书。


7.根据权利要求6所述的方法，还包括：
通过所述处理器将所述锁定证书与所述移动应用程序解耦；以及
通过所述处理器将解耦的锁定证书存储在所述用户设备上。


8.一种系统，包括：
处理器，
有形的非暂时性存储器，配置为与所述处理器通信，所述有形的非暂时性存储器具有存储在其上的指令，所述指令响应于所述处理器的执行而使所述处理器执行操作，所述操作包括：
通过所述处理器从安装在用户设备上的移动应用程序接收连接请求，其中，所述用户设备包括与所述移动应用程序解耦的锁定证书；
通过所述处理器确定所述锁定证书的证书版本；
通过所述处理器基于所述锁定证书查询证书存储库，以定位存储的证书；
通过所述处理器确定所述锁定证书的所述证书版本是否与所述证书存储库中所述存储的证书的第二证书版本匹配；
响应于所述锁定证书的所述证书版本与所述存储的证书的所述第二证书版本不匹配，通过所述处理器将所述存储的证书发送至所述用户设备；以及
通过所述处理器更新所述用户设备上的所述锁定证书以包括来自所述存储的证书的数据。


9.根据权利要求8所述的系统，其中，所述锁定证书包括由中间证书数字签名的叶证书，其中，所述中间证书由根证书数字签名。


10.根...

【专利技术属性】
技术研发人员：威尔·易卜拉欣，
申请(专利权)人：美国运通旅游有关服务公司，
类型：发明
国别省市：美国;US