[发明专利]一种确定二进制映像真实性的方法

说明书

本申请提供了一种确定二进制映像真实性的方法，属于计算机系统软件技术领域，具体包括接收要加载在处理设备上的程序的源代码；生成源代码的表示；生成第一身份验证指示符，用于说明所述未签名二进制映像是真实的并且基于源代码；生成第二身份验证指示符，用于说明生成未签名二进制映像的构建服务器是真实的，使用证明操作生成证明签名；分别使用供应商和管理员密钥使用二进制签名和证明签名对未签名的二进制映像进行签署，并生成包含所述二进制签名和所述证明签名的已签名二进制映像。通过本申请的处理方案，验证二进制映像的真实性。

技术领域

本申请涉及计算机系统软件的领域，尤其是涉及一种确定二进制映像真实性的方法。

背景技术

源代码可以表示程序的基本组成。可以编译源代码以生成可在处理器上执行的目标代码。构建服务器可以创建源代码的二进制映像。接收和使用相应程序的目标组件可以将二进制映像与所接收的程序进行比较，以确定是否已经接收到源代码供应商所期望的程序的干净版本。例如，可以对二进制映像进行签名，并且可以使用所产生的签名来验证程序对应源代码的真实性。然而，构建服务器可能会受到攻击，恶意软件会插入到生成的二进制映像(例如，未签名二进制映像)中，进而破坏二进制映像的创建过程。对二进制映像进行签署的签名服务器假定二进制映像仅基于源代码来执行此操作。因此，当构建服务器被渗透时，签名服务器会对来自构建服务器的任何可能包括恶意软件的二进制映像进行签名，导致目标组件认为不正确的二进制映像是真实性。

发明内容

有鉴于此，本申请提供一种确定二进制映像真实性的方法，解决了现有技术中的问题，验证二进制映像的真实性。

本申请提供的一种确定二进制映像真实性的方法采用如下的技术方案：

一种确定二进制映像真实性的方法，包括如下步骤：

接收要加载在处理设备上的程序的源代码；

生成源代码的表示；

生成第一身份验证指示符，用于说明所述未签名二进制映像是真实的并且基于源代码；

生成第二身份验证指示符，用于说明生成未签名二进制映像的构建服务器是真实的，使用证明操作生成证明签名；

分别使用供应商和管理员密钥使用二进制签名和证明签名对未签名的二进制映像进行签署，并生成包含所述二进制签名和所述证明签名的已签名二进制映像。

可选的，表示为二进制映像，第一身份验证指示符为二进制签名，其中，第二身份验证指示符为证明签名。

可选的，使用至少一个密钥用二进制签名和证明签名对表示进行签署。

可选的，提供至少一个密钥来解密所述二进制签名和所述证明签名；而且，将二进制签名和证明签名分别与至少一个已验证的二进制签名和至少一个已验证的证明签名进行比较。

可选的，采用目标处理组件接收用于解密二进制签名和证明签名的至少一个密钥，配置的目标处理组件分别将二进制签名和证明签名与至少一个已验证的二进制签名和至少一个已验证的证明签名进行比较。

可选的，已签名二进制映像在可信加载序列中使用，以验证所述程序基于所述二进制签名和所述证明签名在可信状态下加载。

可选的，可信加载序列为安全启动序列。

可选的，在相对于构建服务器的独立的、受保护环境中执行生成证明签名操作。

可选得，通过构建服务器接收要加载在处理设备上的程序的源代码，所述构建服务器配置为生成所述源代码的表示，通过签名服务器生成第一身份验证指示符，通过证明器生成第二身份验证指示符。

综上所述，本申请包括以下有益技术效果：