CN107135074A - 一种高级安全方法和装置 - Google Patents
一种高级安全方法和装置 Download PDFInfo
- Publication number
- CN107135074A CN107135074A CN201610111754.3A CN201610111754A CN107135074A CN 107135074 A CN107135074 A CN 107135074A CN 201610111754 A CN201610111754 A CN 201610111754A CN 107135074 A CN107135074 A CN 107135074A
- Authority
- CN
- China
- Prior art keywords
- signature
- file
- password
- presumptive area
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3249—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种高级安全方法和装置,通过签名模块对数据包进行预处理,并对预处理后的结果进行签名,安装模块将签名后的数据包安装到预定区域,对所述预定区域内的文件添加签名属性,当确定预定区域内有文件执行时,读取所述文件的签名属性获取合法的签名,验证模块验证所述文件的签名与合法的签名的一致性,确定验证结果不一致时,则阻止所述文件执行,这样使得在文件打开时就执行签名验证,执行模块在确定验证后的签名不合法时,阻止所述文件执行操作,进而可以从源头就保证用户数据的安全,提高了安全性。
Description
技术领域
本发明涉及网络安全技术领域,尤指一种高级安全方法和装置。
背景技术
目前,随着智能操作系统的发展,涌现出越来越多的智能设备,主流的如:智能手机、机顶盒、智能电视、智能手表等产品,而且还在不断地发明有新型智能设备。这些智能设备都存有很多涉及个人隐私的数据,而且很多智能设备之间都是互相信任的,因此可以互相控制,比如:智能手表和智能手机一旦绑定,两者之间发送数据或者接收数据是不受限制的,这些给人们带来方便的同时,也存在非常大的安全隐患,有可能使个人隐私数据被恶意窃取,也有可能被远程控制,比如:现在网络上流行的超级用户(root),在手机上登录成为超级用户之后,操作者可以远程控制相机、可以窃取用户健康数据等等。
现有技术中,智能设备常用的安全技术主要是给智能设备安装杀毒软件、在智能设备生产时采用安全固件和采用芯片级的高级安全等等措施。
但是,采用安装杀毒软件是根据已存在的病毒进行杀毒,如果遇到新的病毒,容易泄露用户的数据;采用在智能设备生产时采用安全固件是为了防止刷机,如果设备被root后,也容易泄露用户的数据;采用芯片级的高级安全则会导致硬件成本增加,认证时间非常长。
发明内容
为了解决上述技术问题,本发明提供了一种高级安全方法和装置,能够通过验证文件签名的合法性来确定文件的执行状态,从而可以提高用户数据的安全性。
为了达到本发明目的,第一方面,本发明提供了一种高级安全方法,该方法包括:
对数据包进行预处理,并对预处理后的结果进行签名;
将签名后的数据包安装到预定区域,对所述预定区域内的文件添加签名属性;
当确定预定区域内有文件执行时,读取所述文件的签名属性获取合法的签名,验证所述文件的签名与合法的签名的一致性;
确定验证结果不一致时,则阻止所述文件执行。
与现有技术相比,本发明提供的一种高级安全方法,通过对数据包进行预处理,并对预处理后的结果进行签名,将签名后的数据包安装到预定区域,对所述预定区域内的文件添加签名属性,当确定预定区域内有文件执行时,读取所述文件的签名属性获取合法的签名,验证所述文件的签名与合法的签名的一致性,确定验证结果不一致时,则阻止所述文件执行,这样使得在文件打开时就执行签名验证,执行模块在确定验证后的签名不合法时,阻止所述文件执行操作,进而可以从源头就保证用户数据的安全,提高了安全性。
第二方面,本发明提供了一种高级安全装置,该装置包括:签名模块、安装模块、验证模块和执行模块;
所述签名模块设置于对数据包进行预处理,并对预处理后的结果进行签名;
所述安装模块设置于将签名后的数据包安装到预定区域,对所述预定区域内的文件添加签名属性;
所述验证模块设置于当确定预定区域内有文件执行时,读取所述文件的签名属性获取合法的签名,验证所述文件的签名与合法的签名的一致性;
所述执行模块设置于确定验证后的签名不合法,则阻止所述文件执行。
与现有技术相比,本发明提供的一种高级安全装置,通过签名模块对数据包进行预处理,并对预处理后的结果进行签名,安装模块将签名后的数据包安装到预定区域,对所述预定区域内的文件添加签名属性,当确定预定区域内有文件执行时,读取所述文件的签名属性获取合法的签名,验证模块验证所述文件的签名与合法的签名的一致性,确定验证结果不一致时,则阻止所述文件执行,这样使得在文件打开时就执行签名验证,执行模块在确定验证后的签名不合法时,阻止所述文件执行操作,进而可以从源头就保证用户数据的安全,提高了安全性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为本发明提供的一种高级安全方法实施例一的流程示意图;
图2为本发明提供的一种高级安全方法实施例二的流程示意图;
图3为本发明提供的一种高级安全方法实施例三的流程示意图;
图4为本发明提供的一种高级安全方法实施例四的流程示意图;
图5为本发明提供的一种高级安全方法实施例五的流程示意图;
图6为本发明提供的一种高级安全装置实施例一的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本发明实施例涉及的方法可以应用于带有固件文件的设备,该设备可以是机顶盒、智能手机、平板电脑、手持机等智能设备,但并不限于此。
本发明实施例涉及的方法,旨在解决现有技术中采用的安全技术容易泄露用户数据或者保护成本较高的技术问题。
下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
图1为本发明提供的一种高级安全方法实施例一的流程示意图。本实施例涉及的是实现高级安全方法的具体过程。如图1所示,该方法包括:
S101、对数据包进行预处理,并对预处理后的结果进行签名。
具体的,对数据包是固件包或者固件升级包中的每个只读文件进行预处理,该预处理的方法可以是SHA256算法,也可以是CRC算法,然后将预处理后的只读文件进行签名加密,其中,为了方便将加密后的数据进行存储,可以将加密数据进行后处理变成可读的字符串,该后处理方法可以是反向解码的BASE64编码算法,也可以是其他的方法,但并不限于此。
S102、将签名后的数据包安装到预定区域,对所述预定区域内的文件添加签名属性。
具体的,上述签名后的数据包可以以固件或者固件升级包的形式去安装,以便安装到预定区域,该预定区域可以是设备上的存储区域,如:系统盘、硬盘、光盘等,在该预定区域内文件的文件属性中添加扩展的签名属性,以便后续验证的时候方便提取验证。
S103、当确定预定区域内有文件执行操作时,读取所述文件的签名属性获取合法的签名,验证所述文件的签名与合法的签名的一致性。
具体的,当确定所述预定区域内有文件需要执行时,都需要经过打开文件这一步,可以在操作系统内核(kernel)中调用打开文件的函数,在该函数中进行验证:首先,读取该文件的文件属性中的签名属性,如果签名的时候有进行过后处理,则在这里对签名属性的字段进行反向解码操作;然后进行解密,得到合法的签名,将所述文件的签名与合法的签名进行一致性验证,其中,该文件的签名通过进行预处理算法后获得的签名。
S104、确定验证结果不一致时,则阻止所述文件执行。
具体的,将该文件内容使用上述步骤S101中的经过预处理算法后得到一个签名,将所述签名与上述步骤S103中合法的签名进行对比,若确定对比结果不一致,即确定验证后的签名不合法,则阻止所述文件执行操作,若确定对比结果一致,即确定验证后的签名合法,则所述文件可以执行操作。
本发明实施例提供的一种高级安全方法,通过对数据包进行预处理,并对预处理后的结果进行签名,将签名后的数据包安装到预定区域,对所述预定区域内的文件添加签名属性,当确定预定区域内有文件执行时,读取所述文件的签名属性获取合法的签名,验证所述文件的签名与合法的签名的一致性,确定验证结果不一致时,则阻止所述文件执行,这样使得在文件打开时就执行签名验证,在确定验证后的签名不合法时,就可以阻止所述文件执行,进而可以从源头就保证用户数据的安全,提高了安全性。
进一步地,在上述实施例的基础上,在上述步骤101在对数据包进行预处理,并对预处理后的结果进行签名之前,还包括:
生成非对称密钥对,所述非对称密钥对包括私钥和公钥。
具体的,可以使用非对称加密算法生产公钥和私钥,其中,所述非对称密钥对包括私钥和公钥,在进行高级安全保护过程中,可以是所述私钥用于签名,所述公钥用于验证,也可以是所述公钥用于加密,所述私钥用于解密,具体可以根据实际情况来定,但并以此为限。
通过非对称密钥对,可以不要求通信双方事先传递密钥或有任何约定就能完成保密通信,并且密钥管理方便,可实现防止假冒和抵赖,因此,更适合网络通信中的保密通信要求,使得保密性更好。
进一步地,在上述实施例的基础上,上述步骤S102中将签名后的数据包安装到预定区域,包括:
将私钥签名后的数据包安装到预定区域,其中,所述私钥存储在一次性编程区域OTP或系统存储区域。
具体的,将每个文件用私钥签名后,可以使用打包工具重新制作出固件包或升级包,并将该固件包或升级包安装到可以是智能设备的预定区域上,并且在智能设备的文件系统中对每个文件的文件属性中添加扩展的签名属性,再将非对称密钥对中的私钥传输到智能设备的预定区域上,该智能设备的预定区域可以是写入到CPU的OTP中,然后熔断efuse,也可以写入闪存或系统盘中的一块安全区域,但需要注意的是,该系统存储区域需保证升级时不会被擦除,这样可以保证的文件的安全。
进一步地,在上述实施例的基础上,上述步骤S102中将签名后的数据包安装到预定区域,对所述预定区域内的文件添加签名属性,包括:
将公钥加密后的数据包安装到预定区域,其中,将所述公钥存储在一次性编程区域OTP或系统存储区域。
具体的,将每个文件用公钥加密后,可以使用打包工具重新制作出固件包或升级包,并将该固件包或升级包安装到可以是智能设备的预定区域上,并且在智能设备的文件系统中对每个文件的文件属性中添加扩展的签名属性,再将非对称密钥对中的公钥传输到智能设备的预定区域上,该智能设备的预定区域可以是写入到CPU的OTP中,然后熔断efuse,也可以写入闪存或系统盘中的一块安全区域,但需要注意的是,该系统存储区域需保证升级时不会被擦除,这样可以保证的文件的安全。
通过将非对称密钥对中的私钥或者公钥写入预定区域,从可以保证签名密码的安全,进而有利于后续文件的签名验证。
进一步地,在上述实施例的基础上,上述步骤S101中所述对数据包进行预处理,并对预处理后的结果进行签名,包括:
对数据包进行预处理获取第一密码,采用所述私钥对所述第一密码进行签名。
可选地,在上述实施例的基础上,上述步骤S101中所述对数据包进行预处理,并对预处理后的结果进行签名,包括:
对数据包进行预处理获取第二密码,采用所述公钥对所述第二密码进行加密。
进一步地,在上述实施例的基础上,上述步骤S103中当确定预定区域内有文件执行时,读取所述文件的签名属性获取合法的签名,验证所述文件的签名与合法的签名的一致性,包括:
当确定所述预定区域内的文件打开时,读取所述文件的签名属性获取第三密码,采用公钥验证所述第三密码获取第四密码,验证所述第四密码与对所述文件进行预处理获取的第五密码的一致性。
可选地,在上述实施例的基础上,上述步骤S103中当确定预定区域内有文件执行时,读取所述文件的签名属性获取合法的签名,验证所述文件的签名与合法的签名的一致性,包括:
当确定所述预定区域内的文件打开时,读取所述文件的签名获取第六密码,采用私钥解密所述第六密码获取第七密码,验证所述第七密码与对所述文件进行预处理获取的第八密码的一致性。
具体的,可以将公钥存储在OTP区域或者系统盘中,分别采用私钥签名公钥验证或者公钥加密私钥解密的高级安全方法,从而来进一步地更好地提高数据的安全性。
下面通过四个具体的实施例来具体说明如下:
实施例二:图2为本发明提供的一种高级安全方法实施例二的流程示意图,如图2所示,在CPU的OTP区域中存储非对称密钥对中的公钥,采用私钥签名公钥验证的高级安全方法,具体地步骤如下:
S201、使用非对称加密算法生产公钥和私钥,私钥用于签名,公钥用于验证。
S202、将需要进行签名的固件包或升级包解开,对里面所有的文件内容进行预处理,包括且不限于SHA256、CRC等算法,得到第一密码key1。
S203、使用非对称密钥对中的私钥对key1进行签名,得到key2。
S204、为方便将加密后的数据进行存储,将加密数据进行后处理变成可读的字符串,包括且不限于使用可以反向解码的BASE64编码算法等,得到key3,需要说明的是,该步骤也可以不用进行后处理,具体可以根据实际情况来。
S205、将每个文件签名后,在使用打包工具重新制作出固件包或升级包。
S206、将固件包或升级包安装到智能设备上,并且在智能设备的文件系统中对每个文件的文件属性中添加扩展的签名属性。
S207、将非对称密钥对中的公钥传输到智能设备上,并写入到CPU的OTP中,然后熔断efuse。
S208、在智能设备上执行一个涉及文件读写或执行的操作。
S209、操作系统首先会调用内核的打开文件函数,在该函数中进行验证:首先读取文件属性中的签名字段,如果在S204进行了后处理,那么在这里也进行反向解码操作,得到key4;然后从CPU的OTP区域中读出公钥,使用该公钥进行解密,得到key5。
S210、然后对该文件内容使用和S202中一致的算法进行加密,得到key6。
S211、比较key5和key6,如果相等,那么可以继续打开文件后的操作;如果不相等,说明该文件已被篡改,直接返回错误。
实施例三:图3为本发明提供的一种高级安全方法实施例三的流程示意图,如图3所示,在CPU的OTP区域中存储非对称密钥对中的公钥,采用公钥加密私钥解密的高级安全方法,具体地步骤如下:
S301、使用非对称加密算法生产公钥和私钥,公钥用于加密,私钥用于解密。
S302、将需要进行签名的固件包或升级包解开,对里面所有的文件内容进行预处理,包括且不限于SHA256、CRC等算法,得到key1。
S303、使用非对称密钥对中的公钥对key1进行加密,得到key2。
S304、为方便将加密后的数据进行存储,将加密数据进行后处理变成可读的字符串,包括且不限于使用可以反向解码的BASE64编码算法等,得到key3,需要说明的是,该步骤也可以不用进行后处理,具体可以根据实际情况来。
S305、将每个文件签名后,在使用打包工具重新制作出固件包或升级包。
S306、将固件包或升级包安装到智能设备上,并且在智能设备的文件系统中对每个文件的文件属性中添加扩展的签名属性。
S307、将非对称密钥对中的私钥传输到智能设备上,并写入到CPU的OTP中,然后熔断efuse。
S308、在智能设备上执行一个涉及文件读写或执行的操作。
S309、操作系统首先会调用内核的打开文件函数,在该函数中进行验证:首先读取文件属性中的签名字段,如果在S304进行了后处理,那么在这里也进行反向解码操作,得到key4;然后从CPU的OTP区域中读出私钥,使用该私钥进行解密,得到key5。
S310、然后对该文件内容使用和S302中一致的算法进行加密,得到key6。
S311、比较key5和key6,如果相等,那么可以继续打开文件后的操作;如果不相等,说明该文件已被篡改,直接返回错误。
实施例四:图4为本发明提供的一种高级安全方法实施例四的流程示意图,如图4所示,在闪存或系统盘中存储非对称密钥对中的公钥,采用私钥签名公钥验证的高级安全方法,具体地步骤如下:
S401、使用非对称加密算法生产公钥和私钥,私钥用于签名,公钥用于验证。
S402、将需要进行签名的固件包或升级包解开,对里面所有的文件内容进行预处理,包括且不限于SHA256、CRC等算法,得到key1。
S403、使用非对称密钥对中的私钥对key1进行签名,得到key2。
S404、为方便将加密后的数据进行存储,将加密数据进行后处理变成可读的字符串,包括且不限于使用可以反向解码的BASE64编码算法等,得到key3,需要说明的是,该步骤也可以不用进行后处理,具体可以根据实际情况来。
S405、将每个文件签名后,在使用打包工具重新制作出固件包或升级包。
S406、将固件包或升级包安装到智能设备上,并且在智能设备的文件系统中对每个文件的文件属性中添加扩展的签名属性。
S407、将非对称密钥对中的公钥传输到智能设备上,并写入闪存或系统盘中的一块安全区域,保证升级时不会被擦除。
S408、在智能设备上执行一个涉及文件读写或执行的操作。
S409、操作系统首先会调用内核的打开文件函数,在该函数中进行验证:首先读取文件属性中的签名字段,如果在S404进行了后处理,那么在这里也进行反向解码操作,得到key4;然后从闪存或系统盘中的安全区域中读出公钥,使用该公钥进行解密,得到key5。
S410、然后对该文件内容使用和S402中一致的算法进行加密,得到key6。
S411、比较key5和key6,如果相等,那么可以继续打开文件后的操作;如果不相等,说明该文件已被篡改,直接返回错误。
实施例五:图5为本发明提供的一种高级安全方法实施例五的流程示意图,如图5所示,在闪存或系统盘中存储非对称密钥对中的公钥,采用公钥加密私钥解密的高级安全方法,具体地步骤如下:
S501、使用非对称加密算法生产公钥和私钥,公钥用于加密,私钥用于解密。
S502、将需要进行签名的固件包或升级包解开,对里面所有的文件内容进行预处理,包括且不限于SHA256、CRC等算法,得到key1。
S503、使用非对称密钥对中的公钥对key1进行加密,得到key2。
S504、为方便将加密后的数据进行存储,将加密数据进行后处理变成可读的字符串,包括且不限于使用可以反向解码的BASE64编码算法等,得到key3需要说明的是,该步骤也可以不用进行后处理,具体可以根据实际情况来。
S505、将每个文件签名后,在使用打包工具重新制作出固件包或升级包。
S506、将固件包或升级包安装到智能设备上,并且在智能设备的文件系统中对每个文件的文件属性中添加扩展的签名属性。
S507、将非对称密钥对中的公钥传输到智能设备上,并写入闪存或系统盘中的一块安全区域,保证升级时不会被擦除。
S508、在智能设备上执行一个涉及文件读写或执行的操作。
S509、操作系统首先会调用内核的打开文件函数,在该函数中进行验证:首先读取文件属性中的签名字段,如果在S504进行了后处理,那么在这里也进行反向解码操作,得到key4;然后从闪存或系统盘中的安全区域中读出私钥,使用该私钥进行解密,得到key5。
S510、然后对该文件内容使用和S502中一致的算法进行加密,得到key6。
S511、比较key5和key6,如果相等,那么可以继续打开文件后的操作;如果不相等,说明该文件已被篡改,直接返回错误。
通过将公钥存储在OTP区域或者系统盘中,分别采用私钥签名公钥验证或者公钥加密私钥解密的高级安全方法,都可以进一步地更好地提高数据的安全性。
图6为本发明提供的一种高级安全装置实施例一的结构示意图,如图6所示,一种高级安全装置,包括:签名模块10,安装模块20、验证模块30和执行模块40;
所述签名模块10设置于对数据包进行预处理,并对预处理后的结果进行签名;
所述安装模块20设置于将签名后的数据包安装到预定区域,对所述预定区域内的文件添加签名属性;
所述验证模块30设置于当确定预定区域内有文件执行时,读取所述文件的签名属性获取合法的签名,验证所述文件的签名与合法的签名的一致性;
所述执行模块40设置于确定验证后的签名不合法,则阻止所述文件执行。
本发明实施例提供的一种高级安全装置,通过签名模块对数据包进行预处理,并对预处理后的结果进行签名,安装模块将签名后的数据包安装到预定区域,对所述预定区域内的文件添加签名属性,当验证模块确定所述预定区域内有文件需要执行时,读取所述文件的签名属性获取合法的签名,验证所述文件的签名与合法的签名的一致性,执行模块确定验证结果不一致时,则阻止所述文件执行,这样使得在文件打开时就执行签名验证,在确定验证后的签名不合法时,阻止所述文件执行操作,进而可以从源头就保证用户数据的安全,提高了安全性。
进一步地,在上述实施例的基础上,该装置还包括:密钥模块50;
所述密钥模块50,设置于生成非对称密钥对,所述非对称密钥对包括私钥和公钥。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
所述安装模块20设置于将签名后的数据包安装到预定区域,是指:
进一步地,在上述实施例的基础上,所述安装模块20设置于将私钥签名后的数据包安装到预定区域,其中,所述私钥存储在一次性编程区域OTP或系统存储区域。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
进一步地,在上述实施例的基础上,所述安装模块20设置于将将公钥加密后的数据包安装到预定区域,其中,将所述公钥存储在一次性编程区域OTP或系统存储区域。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
进一步地,在上述实施例的基础上,所述签名模块设置于对数据包进行预处理,并对预处理后的结果进行签名,是指:
所述签名模块10设置于对数据包进行预处理获取第一密码,采用所述私钥对所述第一密码进行签名。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
可选地,在上述实施例的基础上,所述签名模块设置于对数据包进行预处理,并对预处理后的结果进行签名,是指:
所述签名模块10设置于对数据包进行预处理获取第二密码,采用所述公钥对所述第二密码进行加密。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
进一步地,在上述实施例的基础上,所述验证模块设置于当确定预定区域内有文件执行时,读取所述文件的签名属性获取合法的签名,验证所述文件的签名与合法的签名的一致性,是指:
所述验证模块设置于当确定所述预定区域内的文件打开时,读取所述文件的签名属性获取第三密码,采用公钥验证所述第三密码获取第四密码,验证所述第四密码与对所述文件进行预处理获取的第五密码的一致性。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
可选地,在上述实施例的基础上,所述验证模块设置于当确定预定区域内有文件执行时,读取所述文件的签名属性获取合法的签名,验证所述文件的签名与合法的签名的一致性,是指:
所述验证模块设置于当确定所述预定区域内的文件打开时,读取所述文件的签名属性获取第六密码,采用私钥解密所述第六密码获取第七密码,验证所述第七密码与对所述文件进行预处理获取的第八密码的一致性。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
虽然本发明所揭露的实施方式如上,但所述的内容仅为便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (16)
1.一种高级安全方法,其特征在于,包括:
对数据包进行预处理,并对预处理后的结果进行签名;
将签名后的数据包安装到预定区域,对所述预定区域内的文件添加签名属性;
当确定预定区域内有文件执行时,读取所述文件的签名属性获取合法的签名,验证所述文件的签名与合法的签名的一致性;
确定验证结果不一致时,则阻止所述文件执行。
2.根据权利要求1所述的方法,其特征在于,在对数据包进行预处理,并对预处理后的结果进行签名之前,还包括:
生成非对称密钥对,所述非对称密钥对包括私钥和公钥。
3.根据权利要求2所述的方法,其特征在于,将签名后的数据包安装到预定区域,包括:
将私钥签名后的数据包安装到预定区域,其中,所述私钥存储在一次性编程区域OTP或系统存储区域。
4.根据权利要求2所述的方法,其特征在于,将签名后的数据包安装到预定区域包括:
将公钥加密后的数据包安装到预定区域,其中,将所述公钥存储在一次性编程区域OTP或系统存储区域。
5.根据权利要求3所述的方法,其特征在于,对数据包进行预处理,并对预处理后的结果进行签名,包括:
对数据包进行预处理获取第一密码,采用所述私钥对所述第一密码进行签名。
6.根据权利要求4所述的方法,其特征在于,对数据包进行预处理,并对预处理后的结果进行签名,包括:
对数据包进行预处理获取第二密码,采用所述公钥对所述第二密码进行加密。
7.根据权利要求5所述的方法,其特征在于,当确定预定区域内有文件执行时,读取所述文件的签名属性获取合法的签名,验证所述文件的签名与合法的签名的一致性,包括:
当确定所述预定区域内的文件打开时,读取所述文件的签名属性获取第三密码,采用公钥验证所述第三密码获取第四密码,验证所述第四密码与对所述文件进行预处理获取的第五密码的一致性。
8.根据权利要求6所述的方法,其特征在于,当确定预定区域内有文件执行时,读取所述文件的签名属性获取合法的签名,验证所述文件的签名与合法的签名的一致性,包括:
当确定所述预定区域内的文件打开时,读取所述文件的签名属性获取第六密码,采用私钥解密所述第六密码获取第七密码,验证所述第七密码与对所述文件进行预处理获取的第八密码的一致性。
9.一种高级安全装置,其特征在于,包括:签名模块、安装模块、验证模块和执行模块;
所述签名模块设置于对数据包进行预处理,并对预处理后的结果进行签名;
所述安装模块设置于将签名后的数据包安装到预定区域,对所述预定区域内的文件添加签名属性;
所述验证模块设置于当确定预定区域内有文件执行时,读取所述文件的签名属性获取合法的签名,验证所述文件的签名与合法的签名的一致性;
所述执行模块设置于确定验证后的签名不合法,则阻止所述文件执行。
10.根据权利要求9所述的装置,其特征在于,还包括:密钥模块;
所述密钥模块,设置于生成非对称密钥对,所述非对称密钥对包括私钥和公钥。
11.根据权利要求10所述的装置,其特征在于,所述安装模块设置于将签名后的数据包安装到预定区域,是指:
所述安装模块设置于将私钥签名后的数据包安装到预定区域,其中,所述私钥存储在一次性编程区域OTP或系统存储区域。
12.根据权利要求10所述的装置,其特征在于,所述安装模块设置于将签名后的数据包安装到预定区域,对所述预定区域内的文件添加签名属性,是指:
所述安装模块设置于将公钥加密后的数据包安装到预定区域,其中,将所述公钥存储在一次性编程区域OTP或系统存储区域。
13.根据权利要求11所述的装置,其特征在于,所述签名模块设置于对数据包进行预处理,并对预处理后的结果进行签名,是指:
所述签名模块设置于对数据包进行预处理获取第一密码,采用所述私钥对所述第一密码进行签名。
14.根据权利要求12所述的装置,其特征在于,所述签名模块设置于对数据包进行预处理,并对预处理后的结果进行签名,是指:
所述签名模块设置于对数据包进行预处理获取第二密码,采用所述公钥对所述第二密码进行加密。
15.根据权利要求13所述的装置,其特征在于,所述验证模块设置于当确定预定区域内有文件执行时,读取所述文件的签名属性获取合法的签名,验证所述文件的签名与合法的签名的一致性,是指:
所述验证模块设置于当确定所述预定区域内的文件打开时,读取所述文件的签名属性获取第三密码,采用公钥验证所述第三密码获取第四密码,验证所述第四密码与对所述文件进行预处理获取的第五密码的一致性。
16.根据权利要求14所述的装置,其特征在于,所述验证模块设置于当确定预定区域内有文件执行时,读取所述文件的签名属性获取合法的签名,验证所述文件的签名与合法的签名的一致性,是指:
所述验证模块设置于当确定所述预定区域内的文件打开时,读取所述文件的签名属性获取第六密码,采用私钥解密所述第六密码获取第七密码,验证所述第七密码与对所述文件进行预处理获取的第八密码的一致性。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610111754.3A CN107135074B (zh) | 2016-02-29 | 2016-02-29 | 一种高级安全方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610111754.3A CN107135074B (zh) | 2016-02-29 | 2016-02-29 | 一种高级安全方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107135074A true CN107135074A (zh) | 2017-09-05 |
| CN107135074B CN107135074B (zh) | 2021-11-02 |
Family
ID=59720794
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610111754.3A Active CN107135074B (zh) | 2016-02-29 | 2016-02-29 | 一种高级安全方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107135074B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107634859A (zh) * | 2017-09-30 | 2018-01-26 | 飞天诚信科技股份有限公司 | 一种固件升级方法及装置 |
| CN108595981A (zh) * | 2018-05-09 | 2018-09-28 | 深圳市桑格尔科技股份有限公司 | 加密安卓系统的方法 |
| CN111984962A (zh) * | 2020-09-08 | 2020-11-24 | 英韧科技(上海)有限公司 | 固件安全验证方法及装置 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1512355A (zh) * | 2002-12-30 | 2004-07-14 | 成都三零盛安信息系统有限公司 | 一种elf文件格式的代码签名验证方法 |
| US20050246530A1 (en) * | 2004-03-31 | 2005-11-03 | Canon Kabushiki Kaisha | Confirmation method of software and apparatus for executing software |
| CN101520832A (zh) * | 2008-12-22 | 2009-09-02 | 康佳集团股份有限公司 | 一种文件代码签名验证系统及其方法 |
| CN102446106A (zh) * | 2010-09-30 | 2012-05-09 | 联想(北京)有限公司 | 应用程序的安装管理方法、服务器和终端 |
| CN103078746A (zh) * | 2013-02-07 | 2013-05-01 | 飞天诚信科技股份有限公司 | 一种数据包的生成方法 |
| CN103530534A (zh) * | 2013-09-23 | 2014-01-22 | 北京理工大学 | 一种基于签名验证的Android程序ROOT授权方法 |
| US20140032915A1 (en) * | 2012-07-27 | 2014-01-30 | Adobe Systems Inc. | Method and apparatus for validating the integrity of installer files prior to installation |
| CN103577206A (zh) * | 2012-07-27 | 2014-02-12 | 北京三星通信技术研究有限公司 | 一种应用软件的安装方法和装置 |
| CN103685138A (zh) * | 2012-08-30 | 2014-03-26 | 卓望数码技术(深圳)有限公司 | 移动互联网上的Android平台应用软件的认证方法和系统 |
| CN103995992A (zh) * | 2014-05-28 | 2014-08-20 | 全联斯泰克科技有限公司 | 一种软件的保护方法和装置 |
| US20140351581A1 (en) * | 2013-05-21 | 2014-11-27 | Cisco Technology, Inc. | Revocation of Public Key Infrastructure Signatures |
-
2016
- 2016-02-29 CN CN201610111754.3A patent/CN107135074B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1512355A (zh) * | 2002-12-30 | 2004-07-14 | 成都三零盛安信息系统有限公司 | 一种elf文件格式的代码签名验证方法 |
| US20050246530A1 (en) * | 2004-03-31 | 2005-11-03 | Canon Kabushiki Kaisha | Confirmation method of software and apparatus for executing software |
| CN101520832A (zh) * | 2008-12-22 | 2009-09-02 | 康佳集团股份有限公司 | 一种文件代码签名验证系统及其方法 |
| CN102446106A (zh) * | 2010-09-30 | 2012-05-09 | 联想(北京)有限公司 | 应用程序的安装管理方法、服务器和终端 |
| US20140032915A1 (en) * | 2012-07-27 | 2014-01-30 | Adobe Systems Inc. | Method and apparatus for validating the integrity of installer files prior to installation |
| CN103577206A (zh) * | 2012-07-27 | 2014-02-12 | 北京三星通信技术研究有限公司 | 一种应用软件的安装方法和装置 |
| CN103685138A (zh) * | 2012-08-30 | 2014-03-26 | 卓望数码技术(深圳)有限公司 | 移动互联网上的Android平台应用软件的认证方法和系统 |
| CN103078746A (zh) * | 2013-02-07 | 2013-05-01 | 飞天诚信科技股份有限公司 | 一种数据包的生成方法 |
| US20140351581A1 (en) * | 2013-05-21 | 2014-11-27 | Cisco Technology, Inc. | Revocation of Public Key Infrastructure Signatures |
| CN103530534A (zh) * | 2013-09-23 | 2014-01-22 | 北京理工大学 | 一种基于签名验证的Android程序ROOT授权方法 |
| CN103995992A (zh) * | 2014-05-28 | 2014-08-20 | 全联斯泰克科技有限公司 | 一种软件的保护方法和装置 |
Non-Patent Citations (4)
| Title |
|---|
| ORACLE公司: "在 Oracle® Solaris 11.2 中添加和更新软件", 《ORACLE SOLARIS 11.2 INFORMATION LIBRARY(简体中文)》 * |
| 于成丽等: "基于信任链传递的APK重签名算法设计", 《电视技术》 * |
| 星火卓越: "RSA不对称加密,公钥加密私钥解密,私钥加密公钥解密", 《博客园》 * |
| 王一平: "Windows下代码签名验证的研究与实现", 《计算机应用与软件》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107634859A (zh) * | 2017-09-30 | 2018-01-26 | 飞天诚信科技股份有限公司 | 一种固件升级方法及装置 |
| CN108595981A (zh) * | 2018-05-09 | 2018-09-28 | 深圳市桑格尔科技股份有限公司 | 加密安卓系统的方法 |
| CN111984962A (zh) * | 2020-09-08 | 2020-11-24 | 英韧科技(上海)有限公司 | 固件安全验证方法及装置 |
| CN111984962B (zh) * | 2020-09-08 | 2024-07-12 | 英韧科技股份有限公司 | 固件安全验证方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107135074B (zh) | 2021-11-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102328725B1 (ko) | 하나의 장치를 이용하여 다른 장치를 언로크하는 방법 | |
| US20180082050A1 (en) | Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device | |
| KR102381153B1 (ko) | 신원 정보에 기초한 암호화 키 관리 | |
| CN108763917B (zh) | 一种数据加解密方法及装置 | |
| RU2631136C2 (ru) | Способ защищенного доступа и устройство защищенного доступа прикладной программы | |
| CN103279411A (zh) | 基于指纹识别进入应用程序的方法及系统 | |
| CN111401901B (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
| JP2016520265A (ja) | セキュリティパラメータに基づくワーキングセキュリティキーの生成 | |
| CN103246850A (zh) | 文件处理方法和装置 | |
| WO2015180689A1 (zh) | 验证信息的获取方法及装置 | |
| TWI724684B (zh) | 用於執行經過身分驗證的加密操作的方法、系統及裝置 | |
| EP3059897A1 (en) | Methods and devices for authentication and key exchange | |
| WO2013178154A1 (zh) | 一种在存储卡中实现加密的方法、解密的方法和装置 | |
| WO2017050152A1 (zh) | 用于移动设备的密码安全系统及其密码安全输入方法 | |
| CN103888429A (zh) | 虚拟机启动方法、相关设备和系统 | |
| CN106100851A (zh) | 密码管理系统、智能腕表及其密码管理方法 | |
| CN107135074A (zh) | 一种高级安全方法和装置 | |
| CN103164661A (zh) | 用于对终端中的数据进行管理的装置及方法 | |
| EP3193262A1 (en) | Database operation method and device | |
| KR20150073567A (ko) | 보안영역을 포함하는 단말을 이용한 보안문자 송수신 방법 | |
| JP2016515778A (ja) | アプリケーション暗号化処理方法、装置及び端末 | |
| CN104239809A (zh) | 文件保护方法、装置与文件解密方法、装置及终端 | |
| Vachon | The identity in everyone's pocket | |
| Schürmann et al. | Openkeychain: an architecture for cryptography with smart cards and nfc rings on android | |
| WO2017020449A1 (zh) | 一种指纹读取方法及用户设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |