[发明专利]一种插件发布与离线安全认证方法

说明书

本发明公开了一种插件发布与离线安全认证方法，包括有以下步骤：S1，获取插件信息；S2，使用插件发布工具对插件信息与插件进行计算获得插件描述文件；S3，导入插件与插件描述文件，并进行验证，本发明涉及插件安全认证技术领域。本发明，解决了插件加载无认证来源导致程序加载了非法插件而被恶意攻击或破坏带来的负面影响。

技术领域

本发明涉及插件安全认证技术领域，特别是涉及一种插件发布与离线安全认证方法。

背景技术

随着程序的越来越庞大，考虑程序的可扩展性易维护性，插件加载的方式越来越多，通过插件可以扩展原有程序功能，也能多人快速协同开发。插件开发带来方便的同时也导致了一些安全隐患，比如恶意插件，一旦加载了该插件可能引起主程序的崩溃、拖累并使得主程序非常卡或者引入一段病毒代码导致主机被攻击。

现有插件加载使用分进程分离、线程分离和直接调用，插件使用进程分离的方式可以防止插件导致主程序崩溃导致的问题，但是无法避免恶意插件注入病毒，线程分离与直接调用则都无法防止这些问题发生。因为现有的插件加载方式几本都不验证插件来源，一旦使用了插件就只能祈祷插件本身没有问题，否则无法保证主程序正常运行。

发明内容

为了解决插件来源无认证直接调用的风险，插件使用进程分离无法避免恶意插件注入病毒，线程分离与直接调用则都无法防止恶意情况的发生的问题，本发明的目的是提供一种插件发布与离线安全认证方法。

为了实现上述目的，本发明采用如下技术方案：一种插件发布与离线安全认证方法，包括有以下步骤：

S1，获取插件信息；

S2，使用插件发布工具对插件信息与插件进行计算获得插件描述文件；

S3，导入插件与插件描述文件，并进行验证。

优选的，所述S1中，通过人工输入插件的发布信息，包括但不限于插件名称、插件版本号、插件的发布日期、插件发布者信息。

优选的，所述S2中，生成插件描述文件包括有以下步骤：

F1、随机生成AES的加密key，与插件信息组合后进行json格式化得到原始内容1；

F2、使用RSA私钥对原始内容1进行加密得到密文1，对密文1进行base64编码得到字符串1；

F3、对插件二进制数据进行MD5值处理得到的结果进行16进制字符串转化成二进制数据1，二进制数据1异或AES的加密key得到最终的加密key1；

F4、使用key1对原始内容1进行AES加密然后base64处理得到字符串2；

F5、对字符串1与字符串2的拼接字符串进行哈希签名得到字符串3；

F6、然后把字符串1、字符串2、字符串3拼接得到一串新的字符串并保存成文件，即插件描述文件。

优选的，所述S3中，插件验证包括有以下步骤：

H1、从描述文件中取出Encrypt STRING1、Encrypt STRING2、SIGN，分别对应字符串1、字符串2、字符串3；

H2、对字符串1与字符串2的拼接字符串进行哈希签名得到字符串4，字符串4与字符串3进行比较，如果相同则继续以下步骤，否则进行步骤H7；

H3、对字符串1进行base64解密，然后使用RSA私钥对应的公钥对解密结果进行解密得到原始内容1，然后验证原始内容1的json格式，查找AES的key，如果非json格式或者没有这个key则进行步骤H7；