【技术实现步骤摘要】
本申请实施例涉及计算机,特别是涉及一种软件包的处理方法、装置、电子设备和介质。
技术介绍
1、操作系统的实际应用离不开各类软件的安装与升级,而现有的linux操作系统主要是由软件仓库负责软件或软件包的管理。软件仓库就是存放于服务端中一种特别的目录,供用户从中挑选需要的软件包,并对软件包进行下载、安装或者升级。
2、目前的软件包的处理方法,通常利用软件包的签名,来提高软件包的真实性。目前的软件包的处理方法具体包括:软件仓库对软件包进行签名;操作系统在从软件仓库下载软件包后,利用公钥,对软件包的签名进行签名校验,若签名校验通过,则进行软件包的安装。
3、然而,在实际应用中,签名校验所采用的公钥可能存在泄露的风险。而在公钥被泄露的情况下,即使软件包受到软件供应链的攻击,也能够得到签名校验通过的结果;因此,目前的软件包的处理方法仍然存在软件包受到软件供应链的攻击的问题。
技术实现思路
1、本申请实施例提供了一种软件包的处理方法,可以防止软件仓库中的软件包在入库之前和传输过程中受到软件供应链攻击。
2、相应的,本申请实施例还提供了一种软件包的处理装置、一种电子设备和一种机器可读介质,用以保证上述方法的实现及应用。
3、为了解决上述问题,本申请实施例公开了一种软件包的处理方法,应用于软件仓库服务端,所述软件仓库服务端设置有第一安全硬件,所述方法包括:
4、接收安全管理服务端通过第三安全硬件发送的私钥,并将所述私钥保存至所述第一安全硬件
5、对软件包进行拆包,以得到所述软件包所包含的文件单元;
6、对所述软件包所包含的每个文件单元进行安全检测,以得到每个文件单元对应的安全检测结果;
7、在所有文件单元的安全检测结果均为安全的情况下,利用所述私钥,生成所述软件包对应的数字签名,将所述数字签名添加在软件包中,并执行软件包的入库操作;
8、确定所述软件包和软件包所包含文件单元的第一哈希值,并将所述第一哈希值保存至所述第一安全硬件;
9、接收客户端针对目标软件包发送的下载请求;所述客户端设置有第二安全硬件;
10、利用加密通道,向所述客户端发送所述目标软件包;
11、利用所述第一安全硬件与所述第二安全硬件之间的通道,向所述第二安全硬件发送所述目标软件包和所述目标软件包所包含文件单元的第一哈希值,以使所述客户端对所述第一哈希值与重新确定的第二哈希值进行匹配。
12、为了解决上述问题,本申请实施例公开了一种软件包的处理方法,应用于客户端,所述客户端设置有第二安全硬件,所述方法包括:
13、向软件仓库服务端发送目标软件包的下载请求;
14、利用加密通道,接收所述软件仓库服务端发送的目标软件包;
15、利用第一安全硬件与所述第二安全硬件之间的通道,接收所述目标软件包和所述目标软件包所包含文件单元的第一哈希值,并将所述第一哈希值保存至所述第二安全硬件;
16、利用所述第二安全硬件与安全管理服务端的第三安全硬件之间的通道,接收公钥,并将所述公钥保存至所述第二安全硬件;
17、确定所述目标软件包和目标软件包所包含文件单元的第二哈希值;
18、对所述第一哈希值与所述第二哈希值进行匹配,以得到对应的匹配结果;
19、在所述匹配结果为匹配成功的情况下,从所述目标软件包中获取对应的数字签名,利用所述公钥,对所述数字签名进行签名校验;
20、在签名校验通过的情况下,对所述目标软件包进行安装处理。
21、为了解决上述问题,本申请实施例还公开了一种软件包的处理装置,应用于软件仓库服务端,所述软件仓库服务端设置有第一安全硬件,所述装置包括:
22、密钥处理模块,用于接收安全管理服务端通过第三安全硬件发送的私钥,并将所述私钥保存至所述第一安全硬件;
23、软件包拆包模块,用于对软件包进行拆包,以得到所述软件包所包含的文件单元;
24、安全检测模块,用于对所述软件包所包含的每个文件单元进行安全检测,以得到每个文件单元对应的安全检测结果;
25、数字签名模块,用于在所有文件单元的安全检测结果均为安全的情况下,利用所述私钥,生成所述软件包对应的数字签名,将所述数字签名添加在软件包中;
26、入库模块,用于在将所述数字签名添加在软件包中后,执行软件包的入库操作;
27、哈希值处理模块,用于确定所述软件包和软件包所包含文件单元的第一哈希值,并将所述第一哈希值保存至所述第一安全硬件;
28、下载请求接收模块,用于接收客户端针对目标软件包发送的下载请求;所述客户端设置有第二安全硬件;
29、软件包发送模块,用于利用加密通道,向所述客户端发送所述目标软件包;
30、哈希值发送模块,用于利用所述第一安全硬件与所述第二安全硬件之间的通道,向所述第二安全硬件发送所述目标软件包和所述目标软件包所包含文件单元的第一哈希值。
31、可选地,所述安全检测模块,具体用于对所述软件包所包含的每个文件单元进行漏洞和恶意代码检测。
32、可选地,所述数字签名模块包括:
33、记录生成模块,用于在每个文件单元的检测结果均为安全的情况下,生成所述软件包所包含的每个文件单元的检测记录;
34、记录发送模块,用于向安全管理服务端发送所述检测记录,以使安全管理服务端对所述检测记录进行审批;
35、签名生成模块,用于在接收到安全管理服务端发送的审批通过消息后,利用所述私钥,生成所述软件包对应的数字签名。
36、可选地,所述私钥为所述安全管理服务端利用国家商用密码算法生成的密钥。
37、本申请实施例还公开了一种软件包的处理装置,所述装置应用于客户端,所述客户端设置有第二安全硬件,所述装置包括:
38、下载请求发送模块,用于向软件仓库服务端发送目标软件包的下载请求;
39、软件包接收模块,用于利用加密通道,接收所述软件仓库服务端发送的目标软件包;
40、哈希值接收保存模块,用于利用所述第一安全硬件与所述第二安全硬件之间的通道,接收所述目标软件包和所述目标软件包所包含文件单元的第一哈希值,并将所述第一哈希值保存至所述第二安全硬件;
41、公钥处理模块,用于利用所述第二安全硬件与安全管理服务端的第三安全硬件之间的通道,接收公钥,并将所述公钥保存至所述第二安全硬件;
42、哈希值确定模块,用于确定所述目标软件包和目标软件包所包含文件单元的第二哈希值;
43、匹配模块,用于对所述第一哈希值与所述第二哈希值进行匹配,以得到对应的匹配结果;
44、签名校验模块,用于在所述匹配结果为匹配成功的情况下,从所述目标软件包中获取对应的数字签名,利用所述公钥,对所述数字签名进行签名校验;
45本文档来自技高网...
【技术保护点】
1.一种软件包的处理方法,其特征在于,应用于软件仓库服务端,所述软件仓库服务端设置有第一安全硬件,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述对所述软件包所包含的每个文件单元进行安全检测,包括:
3.根据权利要求1所述的方法,其特征在于,所述在所有文件单元的安全检测结果均为安全的情况下,利用所述私钥,生成所述软件包对应的数字签名,包括:
4.根据权利要求1至3中任一所述的方法,其特征在于,所述私钥为所述安全管理服务端利用国家商用密码算法生成的密钥。
5.一种软件包的处理方法,其特征在于,应用于客户端,所述客户端设置有第二安全硬件,所述方法包括:
6.根据权利要求5所述的方法,其特征在于,所述在签名校验通过的情况下,对所述目标软件包进行安装处理,包括:
7.一种软件包的处理装置,其特征在于,应用于软件仓库服务端,所述软件仓库服务端设置有第一安全硬件,所述装置包括:
8.一种软件包的处理装置,其特征在于,应用于客户端,所述客户端设置有第二安全硬件,所述装置包括:
9.一种
10.一种机器可读介质,其上存储有可执行代码,当所述可执行代码被执行时,使得处理器执行如权利要求1-6中任一项所述的方法。
...【技术特征摘要】
1.一种软件包的处理方法,其特征在于,应用于软件仓库服务端,所述软件仓库服务端设置有第一安全硬件,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述对所述软件包所包含的每个文件单元进行安全检测,包括:
3.根据权利要求1所述的方法,其特征在于,所述在所有文件单元的安全检测结果均为安全的情况下,利用所述私钥,生成所述软件包对应的数字签名,包括:
4.根据权利要求1至3中任一所述的方法,其特征在于,所述私钥为所述安全管理服务端利用国家商用密码算法生成的密钥。
5.一种软件包的处理方法,其特征在于,应用于客户端,所述客户端设...
【专利技术属性】
技术研发人员:请求不公布姓名,
申请(专利权)人:中科方德软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。