技術領域

本發明涉及信息安全技術領域，特別是涉及一種基于安全標識文件的軟件實名認證方法和裝置。

背景技術

公開密鑰基礎設施(Public?Key?Infrastructure，簡稱PKI)，是一種遵循X.509標準的密鑰管理和用戶驗證安全基礎設施，它能夠為所有網絡應用透明地提供加密和數字簽名等密碼服務所必需的密鑰，并通過認證權威機構CA將用戶的公鑰和用戶的身份信息捆綁在一起，并結合公鑰密碼和對稱密碼，實現密鑰的自動管理，保證網上數據的安全傳輸。

PKI主要由認證權威機構(CA)、注冊機構(RA)、密鑰管理系統、證書簽發系統、證書注冊系統、證書目錄系統、證書服務系統以及證書應用中間件等部分組成。PKI提供了一個框架，在這個框架下可以實施認證、完整性和機密性三種基本加密安全服務。

數字簽名(Digital?Signature)，是手寫簽名的電子模擬，數字簽名可以確定簽名者身份，說明簽名者與被簽名數據之間的關系。數字簽名與手寫簽名一樣，是認證的主要工具，其主要目的是防抵賴、防否認、防冒充和防篡改。

數字簽名是一個具有特殊性質的數學運算的輸出結果，其安全性基于非對稱加密，即加密與解密過程使用不同的密鑰。通過數字簽名，可以對簽名者身份、簽名日期進行驗證，對被簽名的消息內容進行認證，而且在出現爭執時，簽名可由第三方進行仲裁。

數字簽名具有不可仿造性和不可否認性。在身份認證、數據完整性、不可否認性以及匿名性等信息中具有重要應用，特別是在大型網絡安全通信的密鑰分配、認證以及電子商務系統中具有重要作用。隨著計算機網絡技術的發展,數字簽名技術也在不斷發展，并得到廣泛應用。通常，我們需要用數字簽名保護的對象是一些重要的文件資料。但在這之外，數字簽名也可用于軟件代碼，可對軟件起到防篡改、防抵賴的作用。軟件實名認證機制中軟件安全標識的生成，以及檢查軟件撤銷列表的有效性上均要用到數字簽名技術。

軟件實名認證技術，是運用數字簽名技術和PKI技術，對計算機軟件進行完整性保護和身份認證，將計算機軟件和其編制者以及發布者的身份信息進行綁定。實名化后的軟件具備防篡改及防抵賴的功能，當軟件分發安裝或啟動運行時可在計算環境中對軟件進行認證，根據認證的結果來決定是否允許軟件的安裝以及運行，同時如果軟件對計算機系統造成了危害，將依據軟件編制者及發布者的身份信息進行責任追究。因此，通過軟件實名認證，既可以限制惡意軟件的執行，又可以為軟件造成損害的責任追究提供科學證據，從而給計算機系統提供一種強有力的安全保障。

目前，軟件實名認證機制是利用可執行文件加殼技術實現軟件編制者身份信息以及軟件完整性信息的添加。該機制在實際應用方面存在以下問題：

(1)依賴于具體的軟件文件類型，技術通用性差。現有的實名認證只適用于EXE、DLL等PE格式文件，不適用于ELF格式的可執行文件和庫文件以及RPM、TAR等格式的安裝文件，因此技術應用的適用范圍受限。

(2)修改可執行文件改變加載時的執行流程，影響軟件執行效率。現有的軟件實名認證機制需要修改PE格式文件結構，為PE文件添加一個新節以插入一段代碼，并且修改加載流程，使得PE文件加載時先加載用于認證的動態鏈接庫，由該庫完成認證功能。雖然該方法能夠達到確保軟件安全性的目的，但是每次可執行文件尤其是DLL文件加載時都需要進行認證，影響了計算機系統的可用性。

(3)在系統用戶層實現對軟件的實名認證，系統自身安全性難以保證。現有的軟件實名認證機制利用應用層的動態鏈接庫來對軟件進行認證，但是該動態鏈接庫的安全沒有保證。一旦該動態鏈接庫被替換或遭到篡改，則整個實名認證機制將失效。

發明內容

為了解決上述技術問題，本發明提供了一種基于安全標識的軟件實名認證方法和裝置。基于上述技術問題，本發明是通過以下技術方案來解決的。

一方面，本發明提供一種基于安全標識文件的軟件實名認證方法，包括：預先存儲為軟件生成的與其對應的安全標識文件，形成安全標識文件庫；基于預先存儲的所述安全標識文件庫，在軟件啟動時，對所述軟件進行安全認證。

其中，基于預先存儲的所述安全標識文件庫，在軟件啟動時，對所述軟件進行安全認證，包括：根據為軟件預設的安全等級和預先存儲的所述安全標識文件庫，在軟件啟動時，對軟件進行相應的安全認證。

其中，在所述安全標識文件中，包括：軟件基本信息、軟件安全信息、軟件標識符信息、軟件簽名信息。

其中，對所述軟件進行安全認證的方式，包括：本地認證和遠程認證。