[发明专利]物理隔离网络环境下实现含时间戳的Windows代码签名的安全方法

说明书

本发明公开了物理隔离网络环境下实现含时间戳的Windows代码签名的安全方法，包括以下步骤：1)启动该时间戳代理服务；2)调用Windows代码签名工具；3)时间戳代理服务收到请求数据并保存到一个文本中；4)代码签名过程停止；5)人工审查文本中的数据内容并传输至互联网环境；6)发送至有效的时间戳服务，并返回值；7)将返回值传输至物理隔离网络环境；8)返回值放置到时间戳代理服务的目录下；9)重新调用Windows代码签名工具；10)返回值，从而完成代码签名。本发明不仅方便地完成物理隔离网络环境下的含时间戳的Windows代码签名操作，而且确保物理隔离网络的安全性要求。

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及一种物理隔离网络环境下实现含时间戳的Windows代码签名的安全方法。

背景技术

Windows应用程序包括可执行程序(EXE)、控件(如IE浏览器控件等)和驱动，都需要开发商进行代码签名，以保证应用发布源的可信性。WindowsXP以后的系统，会在运行这些应用前先检查是否有代码签名，若没有代码签名，则会提示风险(对EXE、控件)或拒绝运行(对驱动)。

为此，对Windows应用进行代码签名是应用发布的惯例，在进行代码签名时，一般都要包含时间戳，这样才能保证在签名证书失效后(一般签名证书有效期为1-3年)，这些应用还能继续使用而不受影响。

如果要包含时间戳，就要指定提供时间戳服务的网址，这些网址都由代码证书签发商免费提供，并通过互联网提供服务。例如，Symantec的时间戳服务：(http://timestamp.verisign.com/scripts/timstamp.dll)、WoSign的时间戳服务(http://timestamp.wosign.com/timestamp)等。

但在物理隔离网络环境下，微软提供的签名工具因为无法直接连接到互联网与时间戳服务交互，所以无法实现包含时间戳的代码签名，在执行包含时间戳的代码签名时，会因连接不到时间戳服务出错而无法进行有效签名。

为此，申请人进行了有益的探索和尝试，找到了解决上述问题的办法，下面将要介绍的技术方案便是在这种背景下产生的。

发明内容

本发明所要解决的技术问题：针对物理隔离网络环境下的限制，而提供一种物理隔离网络环境下实现含时间戳的Windows代码签名的安全方法，该方法可以在保证物理隔离网络安全性要求的前提下，实现含时间戳的Windows代码签名。

本发明所解决的技术问题可以采用以下技术方案来实现：

物理隔离网络环境下实现含时间戳的Windows代码签名的安全方法，包括以下步骤：

1)在物理隔离网络环境中，创建一个时间戳代理服务，并启动该时间戳代理服务；

2)调用Windows代码签名工具，并指定步骤1)中的时间戳代理服务的地址为时间戳服务地址，并侦听是否有应用程序发出时间戳签名请求；

3)当时间戳代理服务侦听到有时间戳签名请求时，检查时间戳代理服务的目录下是否存在与该时间戳签名请求相对应的时间戳签名应答数据文件，若检查为有，则进入步骤10)，若检查为否，则进入步骤4)；

4)时间戳代理服务将时间戳签名请求保存在文本中形成时间戳签名请求数据文件，并返回错误信息通知应用程序的代码签名过程停止；

5)人工审查步骤4)中的时间戳签名请求数据文件，并将其通过安全管理要求的合规方式离线传输至互联网环境中；

6)互联网环境接收到步骤5)人工审查的时间戳签名请求数据文件，并将该时间戳签名请求数据文件内的时间戳签名请求发送至有效的时间戳服务；