[发明专利]软件证书生成方法

说明书

技术领域

本发明涉及计算机技术，特别涉及计算机系统安全的技术。

背景技术

随着网络信息技术的应用领域不断扩展，相关的各行各业所面临的网络安全问题越来越复杂，计算机系统面临的威胁也变得更加多样化，专用的计算机系统例如网络电视机顶盒、智能手机等，由于其采用专用平台、开发人员较少，对病毒的抵抗力更为薄弱，除了使用杀毒软件外，保证软件来源的安全可靠更是比较有效的安全手段。PKI(Public Key Infrastructure)公钥基础设施时用公钥概念和技术实施的，提供真实性、保密性、完整性以及可追究性安全服务的具有普遍适用性的安全基础设施，PKI被广泛应用于电子商务中，是一种非常成熟的安全手段，X.509标准是ITU-T(国际电信联盟远程通信标准化组织)设计的PKI标准，目前被广泛使用，X.5093版支持扩展概念，因此任何人都可以定义扩展并将其纳入证书之中，用于扩展自己的应用需求。但是数字证书系统被用来保护软件安全的应用还很不专业，缺乏完善的系统。

发明内容

本发明的目的是克服目前没有完善的软件安全保护系统的缺点，提供一种软件证书生成方法。

本发明解决其技术问题，采用的技术方案是使用完善的软件证书系统方法，其特征在于，包括以下步骤：

a.软件发布商自己生产私钥和证书请求文件，并将证书请求文件和软件发布商的身份证明文件提交给证书颁发机构；

b.证书颁发机构根据接收到的软件发布商的身份证明文件证明软件发布商的身份合法性后，利用软件发布商提交的证书请求文件生成二级CA(数字证书认证中心)证书，将该二级CA证书发送给软件发布商，并赋予其受限的数字证书认证中心的权利；

c.软件使用者向软件发布商提供其申请者的唯一标识号和将下载的软件标识；

d.软件发布商生成签名软件证书并将该签名软件证书及软件发送给软件使用者；

e.软件使用者安装软件，验证签名软件证书的合法性、有效性及软件的完整性，并在签名软件证书合法、有效且软件完整时完成软件安装，并按照签名软件证书中软件的权限赋予软件相应的权限；

f.软件开发者生成密钥和证书请求文件，并将证书请求文件和开发机器的标识号组提交给软件发布商；

g.软件发布商根据软件开发者提供的信息生成软件开发者证书，并在该软件开发者证书中限制开发者的权限，且将该软件开发者证书下发给软件开发者，并提供用于软件签名的软件；

h.软件开发者根据接收到的软件开发者证书在开发机器上运行用于软件签名的软件，并将开发的软件签名后上传给软件发布商进行发布。

具体的，步骤b所述受限的数字证书认证中心的权利包括签发证书、签名及加密的权利。

进一步的，所述权限包括用户权限、系统权限、受限系统权限及设备制造商权限。

具体的，步骤d包括以下步骤：

d1.软件发布商获取软件使用者申请下载的软件信息；

d2.根据获取的软件信息通过数据库查询获得该申请的软件摘要值、摘要顺序信息及软件权限信息；

d3.软件发布商获取软件使用者的申请者的唯一标识号；

d4.软件发布商将软件摘要、摘要顺序、申请者的唯一标识号及软件权限信息加入到软件证书扩展字段；

d5.使用软件发布商的证书私钥签名该软件证书，并与软件一起发送给软件使用者。

再进一步的，步骤d1所述软件信息包括软件名字、软件编号及软件版本号。

具体的，步骤e包括以下步骤：

e1.软件使用者开始安装软件，安装程序验证签名软件证书扩展字段中的申请者唯一标示号是否与本机的唯一标识号相同，若是则进入下一步，若不是则进入e6步骤；

e2.安装程序到软件发布商和证书颁发机构获取相应的CA根证书和吊销列表，判断该签名软件证书是否有效，若是则进入下一步，若不是则进入e6步骤；

e3.安装程序按照签名软件证书扩展字段中的软件摘要顺序信息和相应的摘要算法，对软件进行摘要，判断该摘要值是否与签名软件证书扩展字段中的软件摘要值相同，若是则进入下一步，若不是则进入e6步骤；

e4.安装程序将该软件安装到该设备的指定位置；

e5.安装程序根据签名软件证书扩展字段中的软件权限信息设置该软件的权限，完成软件安装；

e6.程序出错，提示出错原因。

再进一步的，步骤g包括以下步骤：