[发明专利]基于系统级包管理的签名认证方法及服务器

说明书

本发明提供一种基于系统级包管理的签名认证方法及服务器。所述方法包括：接收开发者发送的使用gpg密钥签名的软件包以及入库申请；对所述软件包进行签名验证；当签名验证通过时，对所述软件包的格式及内容进行审查，审查通过后擦除原有gpg签名，并重新签上官方仓库的gpg签名；将签有官方仓库的gpg签名的软件包放入软件仓库中。本发明能够与系统级的包管理进行结合，实现系统级的签名认证，保证安全性。

技术领域

本发明涉及计算机技术领域，尤其涉及一种基于系统级包管理的签名认证方法及服务器。

背景技术

在一些对安全性要求较严的领域中，需要对系统安装软件包进行严格管控，只有符合要求并带有官方签名的软件包才能让用户进行安装。但目前常见的认证方式存在一些问题，一方面，不能与系统级的包管理进行结合，独立的认证容易被避开和出现漏洞；另一方面，认证机制没有深度集成进系统容易被删除或清理。

发明内容

本发明提供的基于系统级包管理的签名认证方法及服务器，能够与系统级的包管理进行结合，实现系统级的签名认证，保证安全性。

第一方面，本发明提供一种基于系统级包管理的签名认证方法，包括：

接收开发者发送的使用gpg密钥签名的软件包以及入库申请；

对所述软件包进行签名验证；

当签名验证通过时，对所述软件包的格式及内容进行审查，审查通过后擦除原有gpg签名，并重新签上官方仓库的gpg签名；

将签有官方仓库的gpg签名的软件包放入软件仓库中。

可选地，所述接收开发者上传的使用gpg密钥签名的软件包包括：当开发者为第一次上传时，接收开发者上传的gpg公钥以及使用gpg密钥签名的软件包，并将所述gpg公钥进行保存。

可选地，所述对所述软件包进行签名验证包括：首先查看所述软件包是否带有gpg签名，再根据上传者的身份信息，到gpg公钥库中匹配签名，确认开发者是否进行过身份登记入库，最后用身份匹配的gpg公钥对所述软件包进行签名认证，确认开发者身份是否真实。

可选地，所述对所述软件包进行签名验证包括：搭建gpg签名验证环境；在搭建好签名验证环境后，使用密钥环中公钥对软件包的签名进行验证。

可选地，所述擦除原有gpg签名包括：查看所述软件包的签名信息，根据签名信息找到对应的type信息，再进行擦除；对软件包进行擦除后，通过之前验证签名的命令进行验证是否擦除干净。

第二方面，本发明提供一种服务器，包括：

接收模块，用于接收开发者发送的使用gpg密钥签名的软件包以及入库申请；

签名验证模块，用于对所述软件包进行签名验证；

重新签名模块，用于当签名验证通过时，对所述软件包的格式及内容进行审查，审查通过后擦除原有gpg签名，并重新签上官方仓库的gpg签名；

入库模块，用于将签有官方仓库的gpg签名的软件包放入软件仓库中。

可选地，所述接收模块，用于当开发者为第一次上传时，接收开发者上传的gpg公钥以及使用gpg密钥签名的软件包，并将所述gpg公钥进行保存。

可选地，所述签名验证模块，用于首先查看所述软件包是否带有gpg签名，再根据上传者的身份信息，到gpg公钥库中匹配签名，确认开发者是否进行过身份登记入库，最后用身份匹配的gpg公钥对所述软件包进行签名认证，确认开发者身份是否真实。

可选地，所述签名验证模块，用于搭建gpg签名验证环境；在搭建好签名验证环境后，使用密钥环中公钥对软件包的签名进行验证。