[发明专利]基于系统级包管理的签名认证方法及服务器

权利要求书

1.一种基于系统级包管理的签名认证方法，其特征在于，包括：

接收开发者发送的使用gpg密钥签名的软件包以及入库申请；

对所述软件包进行签名验证；

当签名验证通过时，对所述软件包的格式及内容进行审查，审查通过后擦除原有gpg签名，并重新签上官方仓库的gpg签名；

将签有官方仓库的gpg签名的软件包放入软件仓库中。

2.根据权利要求1所述的方法，其特征在于，所述接收开发者上传的使用gpg密钥签名的软件包包括：当开发者为第一次上传时，接收开发者上传的gpg公钥以及使用gpg密钥签名的软件包，并将所述gpg公钥进行保存。

3.根据权利要求1所述的方法，其特征在于，所述对所述软件包进行签名验证包括：首先查看所述软件包是否带有gpg签名，再根据上传者的身份信息，到gpg公钥库中匹配签名，确认开发者是否进行过身份登记入库，最后用身份匹配的gpg公钥对所述软件包进行签名认证，确认开发者身份是否真实。

4.根据权利要求1或3所述的方法，其特征在于，所述对所述软件包进行签名验证包括：搭建gpg签名验证环境；在搭建好签名验证环境后，使用密钥环中公钥对软件包的签名进行验证。

5.根据权利要求1所述的方法，其特征在于，所述擦除原有gpg签名包括：查看所述软件包的签名信息，根据签名信息找到对应的type信息，再进行擦除；对软件包进行擦除后，通过之前验证签名的命令进行验证是否擦除干净。

6.一种服务器，其特征在于，包括：

接收模块，用于接收开发者发送的使用gpg密钥签名的软件包以及入库申请；

签名验证模块，用于对所述软件包进行签名验证；

重新签名模块，用于当签名验证通过时，对所述软件包的格式及内容进行审查，审查通过后擦除原有gpg签名，并重新签上官方仓库的gpg签名；

入库模块，用于将签有官方仓库的gpg签名的软件包放入软件仓库中。

7.根据权利要求6所述的服务器，其特征在于，所述接收模块，用于当开发者为第一次上传时，接收开发者上传的gpg公钥以及使用gpg密钥签名的软件包，并将所述gpg公钥进行保存。

8.根据权利要求6所述的服务器，其特征在于，所述签名验证模块，用于首先查看所述软件包是否带有gpg签名，再根据上传者的身份信息，到gpg公钥库中匹配签名，确认开发者是否进行过身份登记入库，最后用身份匹配的gpg公钥对所述软件包进行签名认证，确认开发者身份是否真实。

9.根据权利要求6或8所述的服务器，其特征在于，所述签名验证模块，用于搭建gpg签名验证环境；在搭建好签名验证环境后，使用密钥环中公钥对软件包的签名进行验证。

10.根据权利要求6所述的服务器，其特征在于，所述重新签名模块，用于查看所述软件包的签名信息，根据签名信息找到对应的type信息，再进行擦除；对软件包进行擦除后，通过之前验证签名的命令进行验证是否擦除干净。