[发明专利]一种代码签名方法及其存储介质

权利要求书

1.一种代码签名方法，其特征在于，应用于服务端，所述方法包括：

接收客户端发送的摘要，所述摘要基于需要进行代码签名的代码文件生成；

接收所述客户端发送的操作员证书，采用所述操作员证书对所述摘要进行签名验证，确定所述摘要已通过所述操作员证书的认证；

接收所述客户端发送的文件信息，采用所述操作员证书对所述文件信息进行签名验证，确定所述文件信息是完整的，所述文件信息包括所述代码文件的文件类型、文件名和文件大小；

通过连接的可信部件对所述摘要进行私钥签名，生成数字信封，并将所述数字信封发送至所述客户端，其中，所述可信部件中存储有用于私钥签名的第一私钥。

2.根据权利要求1所述的代码签名方法，其特征在于，在所述接收客户端发送的摘要之前，所述方法还包括：

接收所述客户端发送的证书申请请求；

基于初始设置的根证书和所述证书申请请求生成操作员证书，向所述客户端返回所述操作员证书。

3.根据权利要求2所述的代码签名方法，其特征在于，在所述接收所述客户端发送的证书申请请求之前，所述方法还包括：

接收所述客户端的操作员账号的登录请求，向所述客户端返回所述操作员账号对应的登录验证值；

在所述向所述客户端返回所述操作员证书之前，所述方法还包括：

基于所述客户端的登录验证值确定所述操作员账号为正常登录账号。

4.根据权利要求2所述的代码签名方法，其特征在于，所述方法还包括：

确定所述客户端的互联网协议地址、所述客户端完成签名的时间、所述摘要、所述代码文件的文件名、所述根证书以及所述代码文件的完整哈希值；

将所述互联网协议地址、所述时间、所述摘要、所述文件名、所述根证书以及所述完整哈希值进行存储并作为审计数据。

5.根据权利要求1所述的代码签名方法，其特征在于，所述通过连接的可信部件对所述摘要进行私钥签名，包括：

通过连接的可信部件，调用基于PKCS#11标准定义的应用程序编程接口对所述摘要进行私钥签名。

6.根据权利要求1所述的代码签名方法，其特征在于，所述生成数字信封，包括：

基于PKCS#7标准生成数字信封。

7.根据权利要求1－6中任一项所述的代码签名方法，其特征在于，所述可信部件为USBKey。

8.一种代码签名方法，其特征在于，应用于客户端，所述方法包括：

向服务端发送证书申请请求；

接收所述服务端返回的操作员证书，并将所述操作员证书导入证书池；

生成与所述证书申请请求对应的第二私钥；

基于需要进行代码签名的代码文件生成摘要；

采用所述第二私钥，基于所述操作员证书对所述摘要以及文件信息进行私钥签名，所述文件信息包括所述代码文件的文件类型、文件名和文件大小；

将所述摘要发送至服务端；

接收所述服务端返回的数字信封，将所述数字信封写入所述代码文件的对应区域，获得签名文件。

9.根据权利要求8所述的代码签名方法，其特征在于，在所述向所述服务端发送证书申请请求之前，所述方法还包括：

向所述服务端发送操作员账号的登录请求，接收所述服务端返回的所述操作员账号对应的登录验证值。

10.一种计算机可读取存储介质，其特征在于，所述计算机可读取存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行权利要求1－9任一项所述方法中。