技術領域

本發明涉及計算機網絡安全領域，特別涉及一種國產操作系統的數字簽名驗證方法及系統。

背景技術

現有國產操作對數字簽名驗證模式為聯網驗證，具體實現方法是通過聯網提取軟件的數字簽名，并解析數字簽名中的證書鏈的層級關系，驗證根證書、一級證書等的合法性。但現有驗證方法均需要通過聯網進行，國產操作系統本身缺乏對數字簽名的驗證機制，無法實現在離線的情況下對數字簽名進行驗證。

發明內容

本發明提出一種國產操作系統的數字簽名離線驗證方法，通過在國產操作系統內集成數字簽名驗證機制的方法，解決了現有國產操作系統無法進行離線驗證數字簽名的問題，保證了用戶在使用軟件時的安全性。

本發明提出一種國產操作系統的數字簽名離線驗證方法，包括：

建立應用軟件數字簽名證書庫，并將所述數字簽名證書庫集成到現有國產操作系統中；所述數字簽名證書庫包括根證書、一級證書及吊銷列表；

載入待安裝應用軟件代碼，計算軟件HASH值并提取數字簽名部分；

判斷是否包含數字簽名部分，如果是，則繼續判斷數字簽名的證書鏈中各證書是否合法；否則，數字簽名不合法，不通過驗證，退出安裝；

判斷數字簽名的證書鏈中各證書是否合法，如果是，則驗證數字簽名的證書鏈中各證書是否在有效期內；否則，數字簽名不合法，不通過驗證，退出安裝；

驗證數字簽名的證書鏈中各證書是否在有效期內，如果是，則進一步判斷數字簽名的證書鏈中各證書是否存在吊銷；否則，數字簽名不合法，不通過驗證，退出安裝；

判斷數字簽名的證書鏈中各證書是否存在吊銷證書，如果是，則數字簽名不合法，不通過驗證，退出安裝；否則，驗證通過，檢測軟件安裝環境，進行安裝。

所述的方法中，在載入待安裝應用軟件代碼前，還包括，檢查操作系統是否需要更新，如果是則進行更新后，再加載待安裝應用軟件代碼，否則，直接加載待安裝應用軟件代碼。

所述的方法中，所述數字簽名證書庫通過對國產操作系統證書頒發者頒發的證書統計獲得。

所述的方法中，所述將所述數字簽名證書庫集成到現有國產操作系統中，具體為通過國產操作系統內置的應用程序集成。

本發明還提出一種國產操作系統的數字簽名離線驗證系統，包括：

證書庫模塊，用于建立應用軟件數字簽名證書庫，并將所述數字簽名證書庫集成到現有國產操作系統中；所述數字簽名證書庫包括根證書、一級證書及吊銷列表；

數字簽名提取模塊，載入待安裝應用軟件代碼，計算軟件HASH值并提取數字簽名部分；

簽名判斷模塊，用于判斷是否包含數字簽名部分，如果是，則繼續判斷數字簽名的證書鏈中各證書是否合法；否則，數字簽名不合法，不通過驗證，退出安裝；

合法性判斷模塊，用于判斷數字簽名的證書鏈中各證書是否合法，如果是，則驗證數字簽名的證書鏈中各證書是否在有效期內；否則，數字簽名不合法，不通過驗證，退出安裝；

有效期判斷模塊，用于驗證數字簽名的證書鏈中各證書是否在有效期內，如果是，則進一步判斷數字簽名的證書鏈中各證書是否存在吊銷；否則，數字簽名不合法，不通過驗證，退出安裝；

吊銷證書判斷模塊，用于判斷數字簽名的證書鏈中各證書是否存在吊銷證書，如果是，則數字簽名不合法，不通過驗證，退出安裝；否則，驗證通過，檢測軟件安裝環境，進行安裝。

所述的系統中，還包括，系統更新模塊，用于在載入待安裝應用軟件代碼前，檢查操作系統是否需要更新，如果是則進行更新后，再加載待安裝應用軟件代碼，否則，直接加載待安裝應用軟件代碼。

所述的系統中，所述數字簽名證書庫通過對國產操作系統證書頒發者頒發的證書統計獲得。

所述的系統中，所述將所述數字簽名證書庫集成到現有國產操作系統中，具體為通過國產操作系統內置的應用程序集成。

本發明主要在于，將數字簽名驗證集成在國產操作系統環境下，實現了在離線模式下，對開發者的軟件進行離線簽名確認，對不支持的開發應用軟件拒絕安裝使用，保證了用戶在使用軟件時的安全性。

通過本發明的技術方案，可以實現對國產操作系統建立穩定的驗證機制，可以通過更新操作系統實現對證書庫管理的更新，實現了離線模式下驗證應用軟件數字簽名。

附圖說明