[发明专利]一种基于标识的安装包签名方法及其装置

说明书

技术领域

本发明涉及信息安全领域，尤其涉及一种针对安装包在传输过程中的实名制签名认证的方法及其装置。

背景技术

基于标识的密码技术(IBC,Identity-Based Cryptograph)是在传统的PKI(Public Key Infrastructure,公开密钥基础设施)基础上发展而来的，其主要解决了在具体安全应用中PKI需要大量交换数字证书的问题，使安全应用更加易于部署和使用。

IBC密码技术使用的是非对称密码体系，即加密与解密使用两套不同的密钥，每个用户的公钥就是他的身份标识，比如邮箱地址，并通过可信的中央服务器(私钥生成服务器，Private Key Generator,简称PKG)得到到自己的私钥，由于公钥是简单的身份标识，所以在IBC密码技术中不存在证书和密钥管理问题，大大简化了整个认证的过程。

其实现流程包括：

1)用户客户端在初始化IBC应用时，首先向PKG请求系统公告参数；

2)用户根据系统公共参数及接受者的身份信息，即用户ID(Identity,身份标识号码)公钥，利用IBC加密明文信息，将密文发送给接受者；

3)接受者收到密文，必须首先向PKG请求解密私钥；PKG接收用户私钥请求，并验证客户端参数信息，如IBC客户端版本信息等、用户信息、公钥信息等，若认证成功，PKG根据系统主密钥和用户ID产生和ID相对应的私钥。

4)接收者成功获得私钥后，即可解密获得明文。之后私钥可临时安全保存在接收方，也可解密后彻底销毁，每次需要解密时再向PKG请求。

发明内容

目前的应用程序的安装包大部分都没有经过安全认证过程，手机或者电脑就从网站上下载了安装包即直接进行了安装；即使经过了安全认证的，采用的也都是PKI的认证方式，过程较为繁琐。本发明中提供了一种基于标识的安装包签名的方法及装置，其采用IBC的认证机制对用户需要使用的安装包进行认证，不仅简化了整个认证的过程，同时保障了安装包的安全。

本发明提供了一种基于标识的安装包签名方法及其装置，技术方案如下：

一种基于标识的安装包签名方法，具体包括以下步骤：

S1形成唯一标记第一用户的标识,同时将所述标识发送至公共平台；

S2所述公共平台根据所述标识生成公共参数和私钥，同时将所述私钥发送至所述第一用户；

S3所述第一用户根据所述私钥对安装包进行数字签名形成签名信息；

S4所述第一用户将所述标识、签名信息以及所述安装包发送至第二用户；

S5所述第二用户将接收到的所述标识发送至所述公共平台，且根据所述标识在所述公共平台获取所述公共参数；

S6所述第二用户结合所述公共参数和所述标识对所述签名信息进行解密形成解密信息；

S7所述第二用户比对所述解密信息和所述安装包，完成所述安装包签名的认证。

这里提到的标识即公钥。

优选地，在步骤S2中，所述公共参数与所述私钥相互关联。

在整个装置方法中，公共参数和私钥是对应的，当私钥丢失时，则需要使用标识在公共平台上重新生成新的公共参数和私钥。使用了私钥加密的数据需要使用标识和公共参数一起进行解密。

优选地，在步骤S3中，所述第一用户根据所述私钥对安装包进行数字签名形成签名信息，具体步骤包括：

S31所述第一用户信息提取所述安装包中的第一摘要信息；

S32所述第一用户根据所述私钥对所述第一摘要信息进行数字签名形成签名信息。

在步骤S31中，第一用户信息使用，如哈希算法提取安装包中的摘要信息，其中，哈希算法将任意长度的二进制值映射为较短的固定长度的二进制值，这个小的二进制值称为哈希值。哈希值是一段数据唯一且极其紧凑的数值表示形式。如果散列一段明文而且哪怕只更改该段落的一个字母，随后的哈希都将产生不同的值。要找到散列为同一个值的两个不同的输入，在计算上是不可能的，所以数据的哈希值可以检验数据的完整性。

优选地，在步骤S7中，所述第二用户比对所述解密信息和所述安装包，完成所述安装包签名的认证，具体包括：

S71所述第二用户提取接收的所述安装包的第二摘要信息；

S72所述第二用户将解密信息与所述第二摘要信息进行比对；

S73若比对成功，完成所述安装包签名的认证。