CN106953730B - 物理隔离网络环境下实现含时间戳的Windows代码签名的安全方法 - Google Patents
物理隔离网络环境下实现含时间戳的Windows代码签名的安全方法 Download PDFInfo
- Publication number
- CN106953730B CN106953730B CN201610006798.XA CN201610006798A CN106953730B CN 106953730 B CN106953730 B CN 106953730B CN 201610006798 A CN201610006798 A CN 201610006798A CN 106953730 B CN106953730 B CN 106953730B
- Authority
- CN
- China
- Prior art keywords
- timestamp
- signature
- data file
- response data
- network environment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了物理隔离网络环境下实现含时间戳的Windows代码签名的安全方法,包括以下步骤:1)启动该时间戳代理服务;2)调用Windows代码签名工具;3)时间戳代理服务收到请求数据并保存到一个文本中;4)代码签名过程停止;5)人工审查文本中的数据内容并传输至互联网环境;6)发送至有效的时间戳服务,并返回值;7)将返回值传输至物理隔离网络环境;8)返回值放置到时间戳代理服务的目录下;9)重新调用Windows代码签名工具;10)返回值,从而完成代码签名。本发明不仅方便地完成物理隔离网络环境下的含时间戳的Windows代码签名操作,而且确保物理隔离网络的安全性要求。
Description
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种物理隔离网络环境下实现含时间戳的Windows代码签名的安全方法。
背景技术
Windows应用程序包括可执行程序(EXE)、控件(如IE浏览器控件等)和驱动,都需要开发商进行代码签名,以保证应用发布源的可信性。WindowsXP以后的系统,会在运行这些应用前先检查是否有代码签名,若没有代码签名,则会提示风险(对EXE、控件)或拒绝运行(对驱动)。
为此,对Windows应用进行代码签名是应用发布的惯例,在进行代码签名时,一般都要包含时间戳,这样才能保证在签名证书失效后(一般签名证书有效期为1-3年),这些应用还能继续使用而不受影响。
如果要包含时间戳,就要指定提供时间戳服务的网址,这些网址都由代码证书签发商免费提供,并通过互联网提供服务。例如,Symantec的时间戳服务:(http://timestamp.verisign.com/scripts/timstamp.dll)、WoSign的时间戳服务(http://timestamp.wosign.com/timestamp)等。
但在物理隔离网络环境下,微软提供的签名工具因为无法直接连接到互联网与时间戳服务交互,所以无法实现包含时间戳的代码签名,在执行包含时间戳的代码签名时,会因连接不到时间戳服务出错而无法进行有效签名。
为此,申请人进行了有益的探索和尝试,找到了解决上述问题的办法,下面将要介绍的技术方案便是在这种背景下产生的。
发明内容
本发明所要解决的技术问题:针对物理隔离网络环境下的限制,而提供一种物理隔离网络环境下实现含时间戳的Windows代码签名的安全方法,该方法可以在保证物理隔离网络安全性要求的前提下,实现含时间戳的Windows代码签名。
本发明所解决的技术问题可以采用以下技术方案来实现:
物理隔离网络环境下实现含时间戳的Windows代码签名的安全方法,包括以下步骤:
1)在物理隔离网络环境中,创建一个时间戳代理服务,并启动该时间戳代理服务;
2)调用Windows代码签名工具,并指定步骤1)中的时间戳代理服务的地址为时间戳服务地址,并侦听是否有应用程序发出时间戳签名请求;
3)当时间戳代理服务侦听到有时间戳签名请求时,检查时间戳代理服务的目录下是否存在与该时间戳签名请求相对应的时间戳签名应答数据文件,若检查为有,则进入步骤10),若检查为否,则进入步骤4);
4)时间戳代理服务将时间戳签名请求保存在文本中形成时间戳签名请求数据文件,并返回错误信息通知应用程序的代码签名过程停止;
5)人工审查步骤4)中的时间戳签名请求数据文件,并将其通过安全管理要求的合规方式离线传输至互联网环境中;
6)互联网环境接收到步骤5)人工审查的时间戳签名请求数据文件,并将该时间戳签名请求数据文件内的时间戳签名请求发送至有效的时间戳服务;
7)有效的时间戳服务对时间戳签名请求进行处理后返回与之相对应的时间戳签名应答数据,并将该时间戳签名应答数据保存在文本中形成时间戳签名应答数据文件;
8)人工审查步骤7)中的时间戳签名应答数据文件,并将其通过安全管理要求的合规方式离线回传至物理隔离网络环境中;
9)物理隔离网络环境接收到步骤8)传来的时间戳签名应答数据文件,并将该时间戳签名应答数据文件保存在时间戳代理服务的目录下,继而返回步骤2);
10)返回时间戳签名应答数据文件至应用程序,完成含时间戳的应用代码签名。
由于采用了如上的技术方案,本发明的有益效果在于:本发明不仅可以方便地完成物理隔离网络环境下的含时间戳的Windows代码签名操作,而且可以确保从物理隔离网络传送到互联网环境的数据得以进行人工审查,从而保证了物理隔离网络的其他数据不会外泄,可满足物理隔离网络的安全性要求。
附图说明
图1为本发明的原理流程图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本发明的物理隔离网络环境下实现含时间戳的Windows代码签名的安全方法,包括以下步骤:
步骤1,在物理隔离网络环境中,创建一个时间戳代理服务,并启动该时间戳代理服务;
步骤2,调用Windows代码签名工具,并指定步骤1中的时间戳代理服务的地址为时间戳服务地址,并侦听是否有应用程序发出时间戳签名请求;
步骤3,当时间戳代理服务侦听到有时间戳签名请求时,时间戳代理服务收到该时间戳签名请求;
步骤4,时间戳代理服务检查其目录下是否存在与该时间戳签名请求相对应的时间戳签名应答数据文件,若检查为有,则进入步骤12,若检查为否,则进入步骤5;
步骤5,时间戳代理服务将时间戳签名请求保存在文本中形成时间戳签名请求数据文件100,并返回错误信息通知应用程序的代码签名过程停止;
步骤6,人工审查步骤5中的时间戳签名请求数据文件100,并将时间戳签名请求数据文件100通过安全管理要求的合规方式离线传输至互联网环境中;
步骤7,互联网环境接收到步骤6人工审查的时间戳签名请求数据文件100,并将该时间戳签名请求数据文件100内的时间戳签名请求发送至有效的时间戳服务;
步骤8,有效的时间戳服务对时间戳签名请求进行处理后,返回与之相对应的时间戳签名应答数据;
步骤9,有效的时间戳服务将该时间戳签名应答数据保存在文本中形成时间戳签名应答数据文件200;
步骤10,人工审查步骤9中的时间戳签名应答数据文件200,并将时间戳签名应答数据文件200通过安全管理要求的合规方式离线回传至物理隔离网络环境中;
步骤11,物理隔离网络环境接收到步骤10传来的时间戳签名应答数据文件200,并将该时间戳签名应答数据文件200保存在时间戳代理服务的目录下,继而返回步骤2);
步骤12,返回时间戳签名应答数据文件至应用程序,完成含时间戳的应用代码签名。
另外,需要说明的是,本发明的时间戳代理服务运行在物理隔离网络环境,其接口同互联网上的时间戳服务一样,是通过提供Web服务(侦听HTTP请求),来接收时间戳签名请求,并返回时间戳签名应答,其自身只是一个代理,只负责将请求存储到文件,或在有时间戳签名应答数据文件的情况下,直接该文件的内容返回,自身并没有签名功能。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (1)
1.物理隔离网络环境下实现含时间戳的Windows代码签名的安全方法,其特征在于,包括以下步骤:
1)在物理隔离网络环境中,创建一个时间戳代理服务,并启动该时间戳代理服务;
2)调用Windows代码签名工具,并指定步骤1)中的时间戳代理服务的地址为时间戳服务地址,并侦听是否有应用程序发出时间戳签名请求;
3)当时间戳代理服务侦听到有时间戳签名请求时,检查时间戳代理服务的目录下是否存在与该时间戳签名请求相对应的时间戳签名应答数据文件,若检查为有,则进入步骤10),若检查为否,则进入步骤4);
4)时间戳代理服务将时间戳签名请求保存在文本中形成时间戳签名请求数据文件,并返回错误信息通知应用程序的代码签名过程停止;
5)人工审查步骤4)中的时间戳签名请求数据文件,并将其通过安全管理要求的合规方式离线传输至互联网环境中;
6)互联网环境接收到步骤5)人工审查的时间戳签名请求数据文件,并将该时间戳签名请求数据文件内的时间戳签名请求发送至有效的时间戳服务;
7)有效的时间戳服务对时间戳签名请求进行处理后返回与之相对应的时间戳签名应答数据,并将该时间戳签名应答数据保存在文本中形成时间戳签名应答数据文件;
8)人工审查步骤7)中的时间戳签名应答数据文件,并将其通过安全管理要求的合规方式离线回传至物理隔离网络环境中;
9)物理隔离网络环境接收到步骤8)传来的时间戳签名应答数据文件,并将该时间戳签名应答数据文件保存在时间戳代理服务的目录下,继而返回步骤2);
10)返回时间戳签名应答数据文件至应用程序,完成含时间戳的应用代码签名。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610006798.XA CN106953730B (zh) | 2016-01-07 | 2016-01-07 | 物理隔离网络环境下实现含时间戳的Windows代码签名的安全方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610006798.XA CN106953730B (zh) | 2016-01-07 | 2016-01-07 | 物理隔离网络环境下实现含时间戳的Windows代码签名的安全方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106953730A CN106953730A (zh) | 2017-07-14 |
CN106953730B true CN106953730B (zh) | 2021-01-05 |
Family
ID=59465502
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610006798.XA Active CN106953730B (zh) | 2016-01-07 | 2016-01-07 | 物理隔离网络环境下实现含时间戳的Windows代码签名的安全方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106953730B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108632296B (zh) * | 2018-05-17 | 2021-08-13 | 中体彩科技发展有限公司 | 一种网络通信的动态加密与解密方法 |
CN110704815A (zh) * | 2019-09-29 | 2020-01-17 | 北京数字认证股份有限公司 | 数据包代码签名及其验证方法、装置、系统及存储介质 |
CN112465502A (zh) * | 2020-11-11 | 2021-03-09 | 中国农业银行股份有限公司上海市分行 | 一种离线部署数字时间戳的方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7290252B2 (en) * | 2003-04-17 | 2007-10-30 | International Business Machines Corporaiton | Method and apparatus for building executable computer programs using compiled program libraries |
CN103116728A (zh) * | 2012-11-16 | 2013-05-22 | 福建联迪商用设备有限公司 | 一种程序文件签名及验证签名的方法 |
CN104123488A (zh) * | 2014-08-14 | 2014-10-29 | 北京网秦天下科技有限公司 | 应用程序的验证方法和装置 |
CN104680061A (zh) * | 2015-02-28 | 2015-06-03 | 国鼎网络空间安全技术有限公司 | 一种Android环境下应用程序启动中代码签名验证的方法和系统 |
CN105229652A (zh) * | 2013-03-28 | 2016-01-06 | 爱迪德技术有限公司 | 检测针对软件应用的利用 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7103779B2 (en) * | 2003-09-18 | 2006-09-05 | Apple Computer, Inc. | Method and apparatus for incremental code signing |
-
2016
- 2016-01-07 CN CN201610006798.XA patent/CN106953730B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7290252B2 (en) * | 2003-04-17 | 2007-10-30 | International Business Machines Corporaiton | Method and apparatus for building executable computer programs using compiled program libraries |
CN103116728A (zh) * | 2012-11-16 | 2013-05-22 | 福建联迪商用设备有限公司 | 一种程序文件签名及验证签名的方法 |
CN105229652A (zh) * | 2013-03-28 | 2016-01-06 | 爱迪德技术有限公司 | 检测针对软件应用的利用 |
CN104123488A (zh) * | 2014-08-14 | 2014-10-29 | 北京网秦天下科技有限公司 | 应用程序的验证方法和装置 |
CN104680061A (zh) * | 2015-02-28 | 2015-06-03 | 国鼎网络空间安全技术有限公司 | 一种Android环境下应用程序启动中代码签名验证的方法和系统 |
Non-Patent Citations (1)
Title |
---|
代码签名技术及应用探讨;孙青;《电脑编程技巧与维护》;20090318;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN106953730A (zh) | 2017-07-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10681050B2 (en) | Ephemeral applications | |
US10419289B2 (en) | System and method for configuration management service | |
US10127057B2 (en) | Method and apparatus for dynamically implementing application function | |
US9635138B2 (en) | Client-server input method editor architecture | |
EP3198418B1 (en) | Method to modify android application life cycle to control its execution in a containerized workspace environment | |
US7779409B2 (en) | Device-to-device software distribution | |
US9135030B2 (en) | Method, an apparatus and a computer program product for extending an application in a client device | |
CN103379481B (zh) | 一种实现安全防护的方法 | |
RU2011101770A (ru) | Способ доступа к приложениям в защищенной мобильной среде | |
CN106953730B (zh) | 物理隔离网络环境下实现含时间戳的Windows代码签名的安全方法 | |
US20130104220A1 (en) | System and method for implementing a secure USB application device | |
US9628939B2 (en) | Data calling method and device | |
US8886706B1 (en) | Server-based backup system for user data | |
CN102945337A (zh) | Subversion用户密码在线自助管理方法和系统 | |
US20190166123A1 (en) | User terminal using cloud service, integrated security management server for user terminal, and integrated security management method for user terminal | |
CN107679831B (zh) | 一种调用erp功能的方法及相关装置 | |
KR20060093932A (ko) | 윈도우즈 운영체제에서 보안 입력 필터 드라이버와 인터넷익스플로러 내부의 키보드 보안 입력 비에이치오를 통한 인터넷 익스플로러 사용자의 키보드 입력 정보 해킹 방지 방법 | |
US11108702B1 (en) | Customized command execution for a computing resource fleet | |
CN112416462B (zh) | 离线h5应用加载方法及系统 | |
CN110557507A (zh) | 文件传输方法、装置及电子设备 | |
US11244042B2 (en) | Systems and methods for zero-footprint email and browser lifecycle | |
US20150161691A1 (en) | Subscription auto rekey | |
US20200186537A1 (en) | Segregation of protected resources from network frontend | |
US9355180B2 (en) | Name-based customization of executables from web | |
CN114117360A (zh) | 外网源的访问方法、访问授权方法、装置及计算机设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
CB02 | Change of applicant information |
Address after: 200436 Room 601, Lane 299, Lane 299, JIANGCHANG West Road, Jingan District, Shanghai Applicant after: Geer software Limited by Share Ltd Address before: 200070 Room 601, Lane 299, Lane 299, JIANGCHANG West Road, Zhabei District, Shanghai Applicant before: Geer Software Co., Ltd., Shanghai |
|
CB02 | Change of applicant information | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |