本發(fā)明涉及網(wǎng)絡安全技術(shù)領域,尤指一種高級安全方法和裝置。
背景技術(shù):
目前,隨著智能操作系統(tǒng)的發(fā)展,涌現(xiàn)出越來越多的智能設備,主流的如:智能手機、機頂盒、智能電視、智能手表等產(chǎn)品,而且還在不斷地發(fā)明有新型智能設備。這些智能設備都存有很多涉及個人隱私的數(shù)據(jù),而且很多智能設備之間都是互相信任的,因此可以互相控制,比如:智能手表和智能手機一旦綁定,兩者之間發(fā)送數(shù)據(jù)或者接收數(shù)據(jù)是不受限制的,這些給人們帶來方便的同時,也存在非常大的安全隱患,有可能使個人隱私數(shù)據(jù)被惡意竊取,也有可能被遠程控制,比如:現(xiàn)在網(wǎng)絡上流行的超級用戶(root),在手機上登錄成為超級用戶之后,操作者可以遠程控制相機、可以竊取用戶健康數(shù)據(jù)等等。
現(xiàn)有技術(shù)中,智能設備常用的安全技術(shù)主要是給智能設備安裝殺毒軟件、在智能設備生產(chǎn)時采用安全固件和采用芯片級的高級安全等等措施。
但是,采用安裝殺毒軟件是根據(jù)已存在的病毒進行殺毒,如果遇到新的病毒,容易泄露用戶的數(shù)據(jù);采用在智能設備生產(chǎn)時采用安全固件是為了防止刷機,如果設備被root后,也容易泄露用戶的數(shù)據(jù);采用芯片級的高級安全則會導致硬件成本增加,認證時間非常長。
技術(shù)實現(xiàn)要素:
為了解決上述技術(shù)問題,本發(fā)明提供了一種高級安全方法和裝置,能夠通過驗證文件簽名的合法性來確定文件的執(zhí)行狀態(tài),從而可以提高用戶數(shù)據(jù)的安全性。
為了達到本發(fā)明目的,第一方面,本發(fā)明提供了一種高級安全方法,該方法包括:
對數(shù)據(jù)包進行預處理,并對預處理后的結(jié)果進行簽名;
將簽名后的數(shù)據(jù)包安裝到預定區(qū)域,對所述預定區(qū)域內(nèi)的文件添加簽名屬性;
當確定預定區(qū)域內(nèi)有文件執(zhí)行時,讀取所述文件的簽名屬性獲取合法的簽名,驗證所述文件的簽名與合法的簽名的一致性;
確定驗證結(jié)果不一致時,則阻止所述文件執(zhí)行。
與現(xiàn)有技術(shù)相比,本發(fā)明提供的一種高級安全方法,通過對數(shù)據(jù)包進行預處理,并對預處理后的結(jié)果進行簽名,將簽名后的數(shù)據(jù)包安裝到預定區(qū)域,對所述預定區(qū)域內(nèi)的文件添加簽名屬性,當確定預定區(qū)域內(nèi)有文件執(zhí)行時,讀取所述文件的簽名屬性獲取合法的簽名,驗證所述文件的簽名與合法的簽名的一致性,確定驗證結(jié)果不一致時,則阻止所述文件執(zhí)行,這樣使得在文件打開時就執(zhí)行簽名驗證,執(zhí)行模塊在確定驗證后的簽名不合法時,阻止所述文件執(zhí)行操作,進而可以從源頭就保證用戶數(shù)據(jù)的安全,提高了安全性。
第二方面,本發(fā)明提供了一種高級安全裝置,該裝置包括:簽名模塊、安裝模塊、驗證模塊和執(zhí)行模塊;
所述簽名模塊設置于對數(shù)據(jù)包進行預處理,并對預處理后的結(jié)果進行簽名;
所述安裝模塊設置于將簽名后的數(shù)據(jù)包安裝到預定區(qū)域,對所述預定區(qū)域內(nèi)的文件添加簽名屬性;
所述驗證模塊設置于當確定預定區(qū)域內(nèi)有文件執(zhí)行時,讀取所述文件的簽名屬性獲取合法的簽名,驗證所述文件的簽名與合法的簽名的一致性;
所述執(zhí)行模塊設置于確定驗證后的簽名不合法,則阻止所述文件執(zhí)行。
與現(xiàn)有技術(shù)相比,本發(fā)明提供的一種高級安全裝置,通過簽名模塊對數(shù)據(jù)包進行預處理,并對預處理后的結(jié)果進行簽名,安裝模塊將簽名后的數(shù)據(jù)包安裝到預定區(qū)域,對所述預定區(qū)域內(nèi)的文件添加簽名屬性,當確定預定區(qū) 域內(nèi)有文件執(zhí)行時,讀取所述文件的簽名屬性獲取合法的簽名,驗證模塊驗證所述文件的簽名與合法的簽名的一致性,確定驗證結(jié)果不一致時,則阻止所述文件執(zhí)行,這樣使得在文件打開時就執(zhí)行簽名驗證,執(zhí)行模塊在確定驗證后的簽名不合法時,阻止所述文件執(zhí)行操作,進而可以從源頭就保證用戶數(shù)據(jù)的安全,提高了安全性。
本發(fā)明的其它特征和優(yōu)點將在隨后的說明書中闡述,并且,部分地從說明書中變得顯而易見,或者通過實施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點可通過在說明書、權(quán)利要求書以及附圖中所特別指出的結(jié)構(gòu)來實現(xiàn)和獲得。
附圖說明
附圖用來提供對本發(fā)明技術(shù)方案的進一步理解,并且構(gòu)成說明書的一部分,與本申請的實施例一起用于解釋本發(fā)明的技術(shù)方案,并不構(gòu)成對本發(fā)明技術(shù)方案的限制。
圖1為本發(fā)明提供的一種高級安全方法實施例一的流程示意圖;
圖2為本發(fā)明提供的一種高級安全方法實施例二的流程示意圖;
圖3為本發(fā)明提供的一種高級安全方法實施例三的流程示意圖;
圖4為本發(fā)明提供的一種高級安全方法實施例四的流程示意圖;
圖5為本發(fā)明提供的一種高級安全方法實施例五的流程示意圖;
圖6為本發(fā)明提供的一種高級安全裝置實施例一的結(jié)構(gòu)示意圖。
具體實施方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚明白,下文中將結(jié)合附圖對本發(fā)明的實施例進行詳細說明。需要說明的是,在不沖突的情況下,本申請中的實施例及實施例中的特征可以相互任意組合。
在附圖的流程圖示出的步驟可以在諸如一組計算機可執(zhí)行指令的計算機系統(tǒng)中執(zhí)行。并且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同于此處的順序執(zhí)行所示出或描述的步驟。
本發(fā)明實施例涉及的方法可以應用于帶有固件文件的設備,該設備可以是機頂盒、智能手機、平板電腦、手持機等智能設備,但并不限于此。
本發(fā)明實施例涉及的方法,旨在解決現(xiàn)有技術(shù)中采用的安全技術(shù)容易泄露用戶數(shù)據(jù)或者保護成本較高的技術(shù)問題。
下面以具體地實施例對本發(fā)明的技術(shù)方案進行詳細說明。下面這幾個具體的實施例可以相互結(jié)合,對于相同或相似的概念或過程可能在某些實施例不再贅述。
圖1為本發(fā)明提供的一種高級安全方法實施例一的流程示意圖。本實施例涉及的是實現(xiàn)高級安全方法的具體過程。如圖1所示,該方法包括:
s101、對數(shù)據(jù)包進行預處理,并對預處理后的結(jié)果進行簽名。
具體的,對數(shù)據(jù)包是固件包或者固件升級包中的每個只讀文件進行預處理,該預處理的方法可以是sha256算法,也可以是crc算法,然后將預處理后的只讀文件進行簽名加密,其中,為了方便將加密后的數(shù)據(jù)進行存儲,可以將加密數(shù)據(jù)進行后處理變成可讀的字符串,該后處理方法可以是反向解碼的base64編碼算法,也可以是其他的方法,但并不限于此。
s102、將簽名后的數(shù)據(jù)包安裝到預定區(qū)域,對所述預定區(qū)域內(nèi)的文件添加簽名屬性。
具體的,上述簽名后的數(shù)據(jù)包可以以固件或者固件升級包的形式去安裝,以便安裝到預定區(qū)域,該預定區(qū)域可以是設備上的存儲區(qū)域,如:系統(tǒng)盤、硬盤、光盤等,在該預定區(qū)域內(nèi)文件的文件屬性中添加擴展的簽名屬性,以便后續(xù)驗證的時候方便提取驗證。
s103、當確定預定區(qū)域內(nèi)有文件執(zhí)行操作時,讀取所述文件的簽名屬性獲取合法的簽名,驗證所述文件的簽名與合法的簽名的一致性。
具體的,當確定所述預定區(qū)域內(nèi)有文件需要執(zhí)行時,都需要經(jīng)過打開文件這一步,可以在操作系統(tǒng)內(nèi)核(kernel)中調(diào)用打開文件的函數(shù),在該函數(shù)中進行驗證:首先,讀取該文件的文件屬性中的簽名屬性,如果簽名的時候有進行過后處理,則在這里對簽名屬性的字段進行反向解碼操作;然后進行解密,得到合法的簽名,將所述文件的簽名與合法的簽名進行一致性驗證,其中,該文件的簽名通過進行預處理算法后獲得的簽名。
s104、確定驗證結(jié)果不一致時,則阻止所述文件執(zhí)行。
具體的,將該文件內(nèi)容使用上述步驟s101中的經(jīng)過預處理算法后得到一個簽名,將所述簽名與上述步驟s103中合法的簽名進行對比,若確定對比結(jié)果不一致,即確定驗證后的簽名不合法,則阻止所述文件執(zhí)行操作,若確定對比結(jié)果一致,即確定驗證后的簽名合法,則所述文件可以執(zhí)行操作。
本發(fā)明實施例提供的一種高級安全方法,通過對數(shù)據(jù)包進行預處理,并對預處理后的結(jié)果進行簽名,將簽名后的數(shù)據(jù)包安裝到預定區(qū)域,對所述預定區(qū)域內(nèi)的文件添加簽名屬性,當確定預定區(qū)域內(nèi)有文件執(zhí)行時,讀取所述文件的簽名屬性獲取合法的簽名,驗證所述文件的簽名與合法的簽名的一致性,確定驗證結(jié)果不一致時,則阻止所述文件執(zhí)行,這樣使得在文件打開時就執(zhí)行簽名驗證,在確定驗證后的簽名不合法時,就可以阻止所述文件執(zhí)行,進而可以從源頭就保證用戶數(shù)據(jù)的安全,提高了安全性。
進一步地,在上述實施例的基礎上,在上述步驟101在對數(shù)據(jù)包進行預處理,并對預處理后的結(jié)果進行簽名之前,還包括:
生成非對稱密鑰對,所述非對稱密鑰對包括私鑰和公鑰。
具體的,可以使用非對稱加密算法生產(chǎn)公鑰和私鑰,其中,所述非對稱密鑰對包括私鑰和公鑰,在進行高級安全保護過程中,可以是所述私鑰用于簽名,所述公鑰用于驗證,也可以是所述公鑰用于加密,所述私鑰用于解密,具體可以根據(jù)實際情況來定,但并以此為限。
通過非對稱密鑰對,可以不要求通信雙方事先傳遞密鑰或有任何約定就能完成保密通信,并且密鑰管理方便,可實現(xiàn)防止假冒和抵賴,因此,更適合網(wǎng)絡通信中的保密通信要求,使得保密性更好。
進一步地,在上述實施例的基礎上,上述步驟s102中將簽名后的數(shù)據(jù)包安裝到預定區(qū)域,包括:
將私鑰簽名后的數(shù)據(jù)包安裝到預定區(qū)域,其中,所述私鑰存儲在一次性編程區(qū)域otp或系統(tǒng)存儲區(qū)域。
具體的,將每個文件用私鑰簽名后,可以使用打包工具重新制作出固件包或升級包,并將該固件包或升級包安裝到可以是智能設備的預定區(qū)域上,并且在智能設備的文件系統(tǒng)中對每個文件的文件屬性中添加擴展的簽名屬 性,再將非對稱密鑰對中的私鑰傳輸?shù)街悄茉O備的預定區(qū)域上,該智能設備的預定區(qū)域可以是寫入到cpu的otp中,然后熔斷efuse,也可以寫入閃存或系統(tǒng)盤中的一塊安全區(qū)域,但需要注意的是,該系統(tǒng)存儲區(qū)域需保證升級時不會被擦除,這樣可以保證的文件的安全。
進一步地,在上述實施例的基礎上,上述步驟s102中將簽名后的數(shù)據(jù)包安裝到預定區(qū)域,對所述預定區(qū)域內(nèi)的文件添加簽名屬性,包括:
將公鑰加密后的數(shù)據(jù)包安裝到預定區(qū)域,其中,將所述公鑰存儲在一次性編程區(qū)域otp或系統(tǒng)存儲區(qū)域。
具體的,將每個文件用公鑰加密后,可以使用打包工具重新制作出固件包或升級包,并將該固件包或升級包安裝到可以是智能設備的預定區(qū)域上,并且在智能設備的文件系統(tǒng)中對每個文件的文件屬性中添加擴展的簽名屬性,再將非對稱密鑰對中的公鑰傳輸?shù)街悄茉O備的預定區(qū)域上,該智能設備的預定區(qū)域可以是寫入到cpu的otp中,然后熔斷efuse,也可以寫入閃存或系統(tǒng)盤中的一塊安全區(qū)域,但需要注意的是,該系統(tǒng)存儲區(qū)域需保證升級時不會被擦除,這樣可以保證的文件的安全。
通過將非對稱密鑰對中的私鑰或者公鑰寫入預定區(qū)域,從可以保證簽名密碼的安全,進而有利于后續(xù)文件的簽名驗證。
進一步地,在上述實施例的基礎上,上述步驟s101中所述對數(shù)據(jù)包進行預處理,并對預處理后的結(jié)果進行簽名,包括:
對數(shù)據(jù)包進行預處理獲取第一密碼,采用所述私鑰對所述第一密碼進行簽名。
可選地,在上述實施例的基礎上,上述步驟s101中所述對數(shù)據(jù)包進行預處理,并對預處理后的結(jié)果進行簽名,包括:
對數(shù)據(jù)包進行預處理獲取第二密碼,采用所述公鑰對所述第二密碼進行加密。
進一步地,在上述實施例的基礎上,上述步驟s103中當確定預定區(qū)域內(nèi)有文件執(zhí)行時,讀取所述文件的簽名屬性獲取合法的簽名,驗證所述文件的簽名與合法的簽名的一致性,包括:
當確定所述預定區(qū)域內(nèi)的文件打開時,讀取所述文件的簽名屬性獲取第三密碼,采用公鑰驗證所述第三密碼獲取第四密碼,驗證所述第四密碼與對所述文件進行預處理獲取的第五密碼的一致性。
可選地,在上述實施例的基礎上,上述步驟s103中當確定預定區(qū)域內(nèi)有文件執(zhí)行時,讀取所述文件的簽名屬性獲取合法的簽名,驗證所述文件的簽名與合法的簽名的一致性,包括:
當確定所述預定區(qū)域內(nèi)的文件打開時,讀取所述文件的簽名獲取第六密碼,采用私鑰解密所述第六密碼獲取第七密碼,驗證所述第七密碼與對所述文件進行預處理獲取的第八密碼的一致性。
具體的,可以將公鑰存儲在otp區(qū)域或者系統(tǒng)盤中,分別采用私鑰簽名公鑰驗證或者公鑰加密私鑰解密的高級安全方法,從而來進一步地更好地提高數(shù)據(jù)的安全性。
下面通過四個具體的實施例來具體說明如下:
實施例二:圖2為本發(fā)明提供的一種高級安全方法實施例二的流程示意圖,如圖2所示,在cpu的otp區(qū)域中存儲非對稱密鑰對中的公鑰,采用私鑰簽名公鑰驗證的高級安全方法,具體地步驟如下:
s201、使用非對稱加密算法生產(chǎn)公鑰和私鑰,私鑰用于簽名,公鑰用于驗證。
s202、將需要進行簽名的固件包或升級包解開,對里面所有的文件內(nèi)容進行預處理,包括且不限于sha256、crc等算法,得到第一密碼key1。
s203、使用非對稱密鑰對中的私鑰對key1進行簽名,得到key2。
s204、為方便將加密后的數(shù)據(jù)進行存儲,將加密數(shù)據(jù)進行后處理變成可讀的字符串,包括且不限于使用可以反向解碼的base64編碼算法等,得到key3,需要說明的是,該步驟也可以不用進行后處理,具體可以根據(jù)實際情況來。
s205、將每個文件簽名后,在使用打包工具重新制作出固件包或升級包。
s206、將固件包或升級包安裝到智能設備上,并且在智能設備的文件系統(tǒng)中對每個文件的文件屬性中添加擴展的簽名屬性。
s207、將非對稱密鑰對中的公鑰傳輸?shù)街悄茉O備上,并寫入到cpu的otp中,然后熔斷efuse。
s208、在智能設備上執(zhí)行一個涉及文件讀寫或執(zhí)行的操作。
s209、操作系統(tǒng)首先會調(diào)用內(nèi)核的打開文件函數(shù),在該函數(shù)中進行驗證:首先讀取文件屬性中的簽名字段,如果在s204進行了后處理,那么在這里也進行反向解碼操作,得到key4;然后從cpu的otp區(qū)域中讀出公鑰,使用該公鑰進行解密,得到key5。
s210、然后對該文件內(nèi)容使用和s202中一致的算法進行加密,得到key6。
s211、比較key5和key6,如果相等,那么可以繼續(xù)打開文件后的操作;如果不相等,說明該文件已被篡改,直接返回錯誤。
實施例三:圖3為本發(fā)明提供的一種高級安全方法實施例三的流程示意圖,如圖3所示,在cpu的otp區(qū)域中存儲非對稱密鑰對中的公鑰,采用公鑰加密私鑰解密的高級安全方法,具體地步驟如下:
s301、使用非對稱加密算法生產(chǎn)公鑰和私鑰,公鑰用于加密,私鑰用于解密。
s302、將需要進行簽名的固件包或升級包解開,對里面所有的文件內(nèi)容進行預處理,包括且不限于sha256、crc等算法,得到key1。
s303、使用非對稱密鑰對中的公鑰對key1進行加密,得到key2。
s304、為方便將加密后的數(shù)據(jù)進行存儲,將加密數(shù)據(jù)進行后處理變成可讀的字符串,包括且不限于使用可以反向解碼的base64編碼算法等,得到key3,需要說明的是,該步驟也可以不用進行后處理,具體可以根據(jù)實際情況來。
s305、將每個文件簽名后,在使用打包工具重新制作出固件包或升級包。
s306、將固件包或升級包安裝到智能設備上,并且在智能設備的文件系統(tǒng)中對每個文件的文件屬性中添加擴展的簽名屬性。
s307、將非對稱密鑰對中的私鑰傳輸?shù)街悄茉O備上,并寫入到cpu的 otp中,然后熔斷efuse。
s308、在智能設備上執(zhí)行一個涉及文件讀寫或執(zhí)行的操作。
s309、操作系統(tǒng)首先會調(diào)用內(nèi)核的打開文件函數(shù),在該函數(shù)中進行驗證:首先讀取文件屬性中的簽名字段,如果在s304進行了后處理,那么在這里也進行反向解碼操作,得到key4;然后從cpu的otp區(qū)域中讀出私鑰,使用該私鑰進行解密,得到key5。
s310、然后對該文件內(nèi)容使用和s302中一致的算法進行加密,得到key6。
s311、比較key5和key6,如果相等,那么可以繼續(xù)打開文件后的操作;如果不相等,說明該文件已被篡改,直接返回錯誤。
實施例四:圖4為本發(fā)明提供的一種高級安全方法實施例四的流程示意圖,如圖4所示,在閃存或系統(tǒng)盤中存儲非對稱密鑰對中的公鑰,采用私鑰簽名公鑰驗證的高級安全方法,具體地步驟如下:
s401、使用非對稱加密算法生產(chǎn)公鑰和私鑰,私鑰用于簽名,公鑰用于驗證。
s402、將需要進行簽名的固件包或升級包解開,對里面所有的文件內(nèi)容進行預處理,包括且不限于sha256、crc等算法,得到key1。
s403、使用非對稱密鑰對中的私鑰對key1進行簽名,得到key2。
s404、為方便將加密后的數(shù)據(jù)進行存儲,將加密數(shù)據(jù)進行后處理變成可讀的字符串,包括且不限于使用可以反向解碼的base64編碼算法等,得到key3,需要說明的是,該步驟也可以不用進行后處理,具體可以根據(jù)實際情況來。
s405、將每個文件簽名后,在使用打包工具重新制作出固件包或升級包。
s406、將固件包或升級包安裝到智能設備上,并且在智能設備的文件系統(tǒng)中對每個文件的文件屬性中添加擴展的簽名屬性。
s407、將非對稱密鑰對中的公鑰傳輸?shù)街悄茉O備上,并寫入閃存或系統(tǒng)盤中的一塊安全區(qū)域,保證升級時不會被擦除。
s408、在智能設備上執(zhí)行一個涉及文件讀寫或執(zhí)行的操作。
s409、操作系統(tǒng)首先會調(diào)用內(nèi)核的打開文件函數(shù),在該函數(shù)中進行驗證:首先讀取文件屬性中的簽名字段,如果在s404進行了后處理,那么在這里也進行反向解碼操作,得到key4;然后從閃存或系統(tǒng)盤中的安全區(qū)域中讀出公鑰,使用該公鑰進行解密,得到key5。
s410、然后對該文件內(nèi)容使用和s402中一致的算法進行加密,得到key6。
s411、比較key5和key6,如果相等,那么可以繼續(xù)打開文件后的操作;如果不相等,說明該文件已被篡改,直接返回錯誤。
實施例五:圖5為本發(fā)明提供的一種高級安全方法實施例五的流程示意圖,如圖5所示,在閃存或系統(tǒng)盤中存儲非對稱密鑰對中的公鑰,采用公鑰加密私鑰解密的高級安全方法,具體地步驟如下:
s501、使用非對稱加密算法生產(chǎn)公鑰和私鑰,公鑰用于加密,私鑰用于解密。
s502、將需要進行簽名的固件包或升級包解開,對里面所有的文件內(nèi)容進行預處理,包括且不限于sha256、crc等算法,得到key1。
s503、使用非對稱密鑰對中的公鑰對key1進行加密,得到key2。
s504、為方便將加密后的數(shù)據(jù)進行存儲,將加密數(shù)據(jù)進行后處理變成可讀的字符串,包括且不限于使用可以反向解碼的base64編碼算法等,得到key3需要說明的是,該步驟也可以不用進行后處理,具體可以根據(jù)實際情況來。
s505、將每個文件簽名后,在使用打包工具重新制作出固件包或升級包。
s506、將固件包或升級包安裝到智能設備上,并且在智能設備的文件系統(tǒng)中對每個文件的文件屬性中添加擴展的簽名屬性。
s507、將非對稱密鑰對中的公鑰傳輸?shù)街悄茉O備上,并寫入閃存或系統(tǒng)盤中的一塊安全區(qū)域,保證升級時不會被擦除。
s508、在智能設備上執(zhí)行一個涉及文件讀寫或執(zhí)行的操作。
s509、操作系統(tǒng)首先會調(diào)用內(nèi)核的打開文件函數(shù),在該函數(shù)中進行驗證:首先讀取文件屬性中的簽名字段,如果在s504進行了后處理,那么在這里也進行反向解碼操作,得到key4;然后從閃存或系統(tǒng)盤中的安全區(qū)域中讀出私鑰,使用該私鑰進行解密,得到key5。
s510、然后對該文件內(nèi)容使用和s502中一致的算法進行加密,得到key6。
s511、比較key5和key6,如果相等,那么可以繼續(xù)打開文件后的操作;如果不相等,說明該文件已被篡改,直接返回錯誤。
通過將公鑰存儲在otp區(qū)域或者系統(tǒng)盤中,分別采用私鑰簽名公鑰驗證或者公鑰加密私鑰解密的高級安全方法,都可以進一步地更好地提高數(shù)據(jù)的安全性。
圖6為本發(fā)明提供的一種高級安全裝置實施例一的結(jié)構(gòu)示意圖,如圖6所示,一種高級安全裝置,包括:簽名模塊10,安裝模塊20、驗證模塊30和執(zhí)行模塊40;
所述簽名模塊10設置于對數(shù)據(jù)包進行預處理,并對預處理后的結(jié)果進行簽名;
所述安裝模塊20設置于將簽名后的數(shù)據(jù)包安裝到預定區(qū)域,對所述預定區(qū)域內(nèi)的文件添加簽名屬性;
所述驗證模塊30設置于當確定預定區(qū)域內(nèi)有文件執(zhí)行時,讀取所述文件的簽名屬性獲取合法的簽名,驗證所述文件的簽名與合法的簽名的一致性;
所述執(zhí)行模塊40設置于確定驗證后的簽名不合法,則阻止所述文件執(zhí)行。
本發(fā)明實施例提供的一種高級安全裝置,通過簽名模塊對數(shù)據(jù)包進行預處理,并對預處理后的結(jié)果進行簽名,安裝模塊將簽名后的數(shù)據(jù)包安裝到預定區(qū)域,對所述預定區(qū)域內(nèi)的文件添加簽名屬性,當驗證模塊確定所述預定區(qū)域內(nèi)有文件需要執(zhí)行時,讀取所述文件的簽名屬性獲取合法的簽名,驗證所述文件的簽名與合法的簽名的一致性,執(zhí)行模塊確定驗證結(jié)果不一致時,則阻止所述文件執(zhí)行,這樣使得在文件打開時就執(zhí)行簽名驗證,在確定驗證后的簽名不合法時,阻止所述文件執(zhí)行操作,進而可以從源頭就保證用戶數(shù) 據(jù)的安全,提高了安全性。
進一步地,在上述實施例的基礎上,該裝置還包括:密鑰模塊50;
所述密鑰模塊50,設置于生成非對稱密鑰對,所述非對稱密鑰對包括私鑰和公鑰。
本發(fā)明實施例提供的裝置,可以執(zhí)行上述方法實施例,其實現(xiàn)原理和技術(shù)效果類似,在此不再贅述。
所述安裝模塊20設置于將簽名后的數(shù)據(jù)包安裝到預定區(qū)域,是指:
進一步地,在上述實施例的基礎上,所述安裝模塊20設置于將私鑰簽名后的數(shù)據(jù)包安裝到預定區(qū)域,其中,所述私鑰存儲在一次性編程區(qū)域otp或系統(tǒng)存儲區(qū)域。
本發(fā)明實施例提供的裝置,可以執(zhí)行上述方法實施例,其實現(xiàn)原理和技術(shù)效果類似,在此不再贅述。
進一步地,在上述實施例的基礎上,所述安裝模塊20設置于將將公鑰加密后的數(shù)據(jù)包安裝到預定區(qū)域,其中,將所述公鑰存儲在一次性編程區(qū)域otp或系統(tǒng)存儲區(qū)域。
本發(fā)明實施例提供的裝置,可以執(zhí)行上述方法實施例,其實現(xiàn)原理和技術(shù)效果類似,在此不再贅述。
進一步地,在上述實施例的基礎上,所述簽名模塊設置于對數(shù)據(jù)包進行預處理,并對預處理后的結(jié)果進行簽名,是指:
所述簽名模塊10設置于對數(shù)據(jù)包進行預處理獲取第一密碼,采用所述私鑰對所述第一密碼進行簽名。
本發(fā)明實施例提供的裝置,可以執(zhí)行上述方法實施例,其實現(xiàn)原理和技術(shù)效果類似,在此不再贅述。
可選地,在上述實施例的基礎上,所述簽名模塊設置于對數(shù)據(jù)包進行預處理,并對預處理后的結(jié)果進行簽名,是指:
所述簽名模塊10設置于對數(shù)據(jù)包進行預處理獲取第二密碼,采用所述公鑰對所述第二密碼進行加密。
本發(fā)明實施例提供的裝置,可以執(zhí)行上述方法實施例,其實現(xiàn)原理和技術(shù)效果類似,在此不再贅述。
進一步地,在上述實施例的基礎上,所述驗證模塊設置于當確定預定區(qū)域內(nèi)有文件執(zhí)行時,讀取所述文件的簽名屬性獲取合法的簽名,驗證所述文件的簽名與合法的簽名的一致性,是指:
所述驗證模塊設置于當確定所述預定區(qū)域內(nèi)的文件打開時,讀取所述文件的簽名屬性獲取第三密碼,采用公鑰驗證所述第三密碼獲取第四密碼,驗證所述第四密碼與對所述文件進行預處理獲取的第五密碼的一致性。
本發(fā)明實施例提供的裝置,可以執(zhí)行上述方法實施例,其實現(xiàn)原理和技術(shù)效果類似,在此不再贅述。
可選地,在上述實施例的基礎上,所述驗證模塊設置于當確定預定區(qū)域內(nèi)有文件執(zhí)行時,讀取所述文件的簽名屬性獲取合法的簽名,驗證所述文件的簽名與合法的簽名的一致性,是指:
所述驗證模塊設置于當確定所述預定區(qū)域內(nèi)的文件打開時,讀取所述文件的簽名屬性獲取第六密碼,采用私鑰解密所述第六密碼獲取第七密碼,驗證所述第七密碼與對所述文件進行預處理獲取的第八密碼的一致性。
本發(fā)明實施例提供的裝置,可以執(zhí)行上述方法實施例,其實現(xiàn)原理和技術(shù)效果類似,在此不再贅述。
雖然本發(fā)明所揭露的實施方式如上,但所述的內(nèi)容僅為便于理解本發(fā)明而采用的實施方式,并非用以限定本發(fā)明。任何本發(fā)明所屬領域內(nèi)的技術(shù)人員,在不脫離本發(fā)明所揭露的精神和范圍的前提下,可以在實施的形式及細節(jié)上進行任何的修改與變化,但本發(fā)明的專利保護范圍,仍須以所附的權(quán)利要求書所界定的范圍為準。