[发明专利]用于验证文件的数字签名的系统和方法

说明书

本申请提供了一种用于验证文件的数字签名的系统和方法。检查工具可以通过检查DS证书具有所需的完整性并通过验证颁发中心数据来确定DS证书是有效的，以及通过检查文件具有适当的完整性并且DS证书有效来确定数字签名是有效的，如果DS证书是有效的，则通过查找与DS证书数据相关的可信证书数据来确定DS证书是可信的，以及在数字签名是有效的且DS证书是可信的时将至少一个文件分类为可信的。

相关申请的交叉引用

本申请要求于2018年12月28日提交的俄罗斯联邦专利申请RU2018147246号的权益，其全部内容通过引用并入本文。本申请进一步涉及于2019年9月6日提交的、题为“用于验证数字签名中的攻击复原的系统和方法(System and Method for Attack Resiliencyin Verifying Digital Signatures)”的16/563,207号美国申请，其全部内容也通过引用并入本文。

技术领域

实施例通常涉及计算机化的数字签名，并且更具体地，涉及检查数字签名和数字签名文件证书。

背景技术

随着恶意应用的日益普及，需要旨在保护用户数据和用户设备免遭未经授权的访问和使用的改进的防病毒技术。在不断寻求防病毒应用程序的改进的竞赛中，开发人员面临着重要的任务，即减少检测恶意文件中的两种类型的错误。I类错误(误报)是将非恶意文件识别为恶意的。II类错误是未能将恶意文件识别为恶意的。

为了减少I类错误的数量，防病毒应用程序的开发人员使用了各种技术，以便不会删除或隔离被(例如，使用启发式分析)识别为恶意的文件。这种技术之一包括使用可信文件的数据库检查文件。这样的检查会在可信文件的数据库中搜索被识别为恶意的该文件的ID(例如，MD5或SHA-1校验和)，如果在该文件中找到了相同的ID，则将文件识别为恶意文件的决定取消。减少I类错误的另一种方法是检查被识别为恶意的文件的电子数字签名(“DS”或简称为“数字签名”)。

为了检查数字签名，防病毒应用程序通常使用操作系统(“OS”)中内置的DS检查工具，例如CryptoAPI。例如，美国专利申请公开第2017/0257361A1号描述了一种基于对包含代码的文件的DS的检查结果来验证可执行代码的方法。但是，这种方法具有许多缺点，例如DS检查的速度相对较低，并且容易受到违法者的攻击。

因此，需要努力可靠且有效地检查数字签名的有效性或可信赖性以减少I类和II类错误。

发明内容

本申请的实施例基本上满足了行业的前述需求。特别地，本文描述的实施例提供了用于比现有系统更有效和更准确地评估数字签名和数字签名证书的有效性和可信赖性的系统和方法。

在一个实施例中，一种用于验证至少一个文件的数字签名的系统包括：证书数据库，被配置为存储多个证书；可信证书数据库，被配置为存储可信证书数据；以及数据传输设备，包括：至少一个处理器的计算硬件和可操作地耦合到所述至少一个处理器的存储器；以及指令，当该指令在计算平台上执行时，使所述计算平台实现：检查工具，配置为：获得至少一个文件，至少一个文件具有数字签名，并且该数字签名包括具有颁发中心数据和DS证书数据的DS证书，通过检查DS证书具有所需的DS证书完整性并通过使用证书数据库验证颁发中心证书来确定DS证书是有效的，通过检查至少一个文件具有所需的文件完整性且DS证书有效来确定数字签名是有效的，如果DS证书是有效的，则通过查找与DS证书数据相关的可信证书数据来确定DS证书是可信的，以及当数字签名有效且DS证书可信时将至少一个文件分类为可信的。