本發明提供一種軟件分發安全保護方法，包括：步驟一、對軟件開發者進行第一身份驗證，第一身份驗證通過后，將軟件開發者提供的第一軟件包進行第一加密和第一數字簽名，上傳給軟件庫管理員；步驟二、軟件庫管理員進行第一數字簽名驗證，通過后對經第一加密的第一軟件包進行第一解密，審核后進行第二加密和第二數字簽名形成第二軟件包，將所述第二軟件包發布到軟件庫；步驟三、對訪問軟件庫的用戶進行第二身份驗證，第二身份驗證通過后，用戶下載第二軟件包并進行第二數字簽名驗證和第二解密，通過后安裝第二軟件包。本發明能夠保證分發軟件數據的安全性、完整性和不可否認性，從而增強軟件分發過程中的軟件安全性。

技術領域

本發明涉及軟件安全技術領域，尤其涉及一種軟件分發安全保護方法。

背景技術

為了解決大型企事業中計算機軟件的統一管理，往往需要在每個員工的計算機中安裝、更新或者卸載某些特定的軟件。傳統做法是通過每個員工手動進行軟件的下載、安裝、更新或者卸載，這種做法不僅浪費了大量的工作時間，而且容易出現安裝版本不一致等問題，效率較低且可靠性不高。為了解決該問題，人們開發了軟件分發技術，軟件分發技術通過網絡連接自動批量的將軟件從服務器安裝到多臺不同的計算機中或者對計算機中的軟件進行統一的升級和卸載，從而達到高效準確的軟件管理。

現有軟件分發方式主要有兩種，分別是網頁分發和用戶端安裝軟件管家類APP分發兩種，這兩種分發方式適用于包括國產操作系統在內的各類操作系統。在網頁分發方式中，用戶通過單擊瀏覽器頁面的軟件下載鏈接就可以下載到所需軟件；在軟件管家類APP分發方式中，用戶通過客戶端人機交互界面從商家維護的軟件庫中獲取相應軟件。以上兩種網絡化軟件分發方式都能夠保證軟件分發的時效性和便利性，有利于推廣使用應用軟件和完善應用軟件的功能。

目前，在現有軟件分發過程中，為了保證軟件的完整性，通常在分發應用軟件的同時，分發軟件包的HASH值，以便客戶端安裝軟件包前能對軟件包進行完整性驗證。針對單個軟件的保護技術包括基于硬件的保護方法和基于軟件的保護方法等，能夠阻礙對應用軟件源代碼的獲取、可執行文件的調試，阻礙軟件逆向分析人員分析程序算法和組織結構并進行篡改，保護軟件版權的同時，保證軟件的完整性、可信性與不可抵賴性。然而，在軟件集中分發過程中，軟件源中的應用軟件繁多，對于單個軟件的保護技術難以實現對多個應用軟件進行有效的安全保護，特別是在基于Linux內核的國產操作系統的軟件分發中表現的更為明顯。

因此，亟需設計一種軟件分發安全保護方法，實現在軟件分發條件下對軟件源中多個軟件的有效安全保護。

發明內容

本發明提供的軟件分發安全保護方法，能夠針對現有技術的不足，實現在軟件分發條件下對軟件源中多個軟件的有效安全保護。

本發明提供一種軟件分發安全保護方法，包括：

步驟一、對軟件開發者進行第一身份驗證，所述第一身份驗證通過后，將所述軟件開發者提供的第一軟件包進行第一加密和第一數字簽名，上傳給軟件庫管理員；

步驟二、所述軟件庫管理員進行第一數字簽名驗證，通過后對經所述第一加密的第一軟件包進行第一解密，審核后進行第二加密和第二數字簽名形成第二軟件包，將所述第二軟件包發布到軟件庫；

步驟三、對訪問所述軟件庫的用戶進行第二身份驗證，所述第二身份驗證通過后，所述用戶下載所述第二軟件包并進行第二數字簽名驗證和第二解密，通過后安裝所述第二軟件包。

可選地，上述第一加密和所述第二加密用于將軟件明文轉換為軟件密文，所述第一數字簽名和所述第二數字簽名用于產生判斷軟件包是否被改動的證據。

可選地，上述軟件開發者具有第一公鑰密鑰對，所述軟件庫管理員和軟件庫服務器端共用第二公鑰密鑰對，所述用戶具有第三公鑰密鑰對，用于保護所述第一身份驗證和所述第二身份驗證的安全性。