(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210159085.2 (22)申请日 2022.02.22 (65)同一申请的已公布的文献号 申请公布号 CN 114239080 A (43)申请公布日 2022.03.25 (73)专利权人 麒麟软件有限公司 地址 300450 天津市滨 海新区塘沽海 洋科 技园信安创业广场3号楼6 -8层 (72)发明人 蒋杏松　王玉成　康昱　孟圆　 姬一文　杨诏钧　魏立峰　孔金珠　 谌志华　 (74)专利代理 机构 北京汇智英财专利代理事务 所(普通合伙) 11301 专利代理师 张玮玮(51)Int.Cl. G06F 21/64(2013.01) H04L 9/32(2006.01) 审查员 宫召英 (54)发明名称 一种基于数字证书的软件多层签名方法及 系统 (57)摘要 本发明公开了一种基于数字证书的软件多 层签名方法及系统， 包括在软件包内设置证书分 区和签名分区， 所述证书分区用于存储数字证 书， 所述签名分区用于存储数字签名， 所述数字 证书和所述数字签名一一配套； 对待签名数字证 书进行签名后， 在所述证书分区已有的数字证书 末尾添加新的数字证书， 在所述签名分区已有的 数字签名末尾添加新的数字签名。 实现过程简 单， 签名稳定速度快， 实施成本低； 能支持不同组 织的证书多层签名， 解决了因本次签名导致的上 层签名失效的问题； 能有效的保证软件包来源的 可靠性； 能有效的保证软件包在安装之前的完整 性和一致性。 权利要求书2页 说明书6页 附图5页 CN 114239080 B 2022.07.08 CN 114239080 B 1.一种基于数字证书的软件多层签名方法， 其特 征在于， 包括如下步骤： 在软件包内设置证书分区和签名分区， 所述证书分区用于存储数字证书， 所述签名分 区用于存 储数字签名， 所述数字证书和所述数字签名一 一配套； 对待签名数字证书进行签名后， 在所述证书分区已有的数字证书末尾添加新的数字证 书， 在所述签名分区已有的数字签名末尾添加新的数字签名 还包括多证书验证， 所述多证书验证包括： 判断软件包是否存在多个所述数字证书和所述数字签名， 若存在， 则定位所述数字证 书字段， 并对多个所述数字证书进行切割， 逐个验证所述数字证书的合法性， 读取所述数字 证书配套的所述数字签名， 并验证所述数字签名的合法性， 返回验证结果。 2.根据权利要求1所述的基于数字证书的软件多层签名方法， 其特征在于， 在添加新的 数字证书和数字签名之前， 先在所述证书分区已有的数字证书末 尾和所述签名分区已有的 数字签名末尾添加分隔符。 3.根据权利要求1所述的基于数字证书的软件多层签名方法， 其特征在于， 对待签名数 字证书进 行签名时还包括： 判断待签名数字证书的组织是否已签名， 若已签名则阻止签名， 若未签名则进行签名。 4.根据权利要求3所述的基于数字证书的软件多层签名方法， 其特征在于， 判断待签名 数字证书的组织是否已签名， 若已签名则阻止签名， 若未签名则进行签名包括： 判断软件包中是否存在所述数字证书和所述数字签名， 若不存在， 则正常签名， 若存 在， 则读取待签名数字证书的组织， 然后分割所述证书分区中存储的所述数字证书， 读取存 储的所述数字证书的组织和证书序号， 将待签名数字证书的组织和存储的所述数字证书的 组织逐个匹配， 若匹配成功， 则返回证书序号并阻止签名， 若匹配不成功， 则正常签名。 5.根据权利要求1所述的基于数字证书的软件多层签名方法， 其特征在于， 还包括指定 证书验证， 所述指定证书验证包括： 获取软件包的路径和指定组织名， 判断软件包中是否存在指定组织的数字证书， 如果 存在， 则返回指 定组织的数字证书及其证书序号， 验证指 定组织的数字证书的合法性， 根据 返回的证书序号截取配套的指定组织的数字签名， 验证截取 的所述数字签名的合法性， 返 回验证结果； 如果 不存在， 则验证终止 。 6.一种基于数字证书的软件多层签名系统， 其特 征在于， 包括： 设置在软件包内的证书分区和签名分区， 所述证书分区用于存储数字证书， 所述签名 分区用于存 储数字签名， 所述数字证书和所述数字签名一 一配套； 多层证书签名模块， 用于对待签名数字证书进行签名后， 在所述证书分区 已有的数字 证书末尾添加新的数字证书， 在所述签名分区已有的数字签名末尾添加新的数字签名； 多证书验证模块支持不同组织的数字证书验证； 为了实现对多数字证书验证的支持， 首选要判断软件包是否存在数字证书， 然后定位 到数字证书字段， 用数字证书末尾的分隔符对多个数字证书进行分割处理； 其次逐个读入 数字证书分区的数字证书信息， 调用系统库验证证书的合法性； 最后 从数字签名分区读入 配套的数字签名信息， 用来验证数字签名的合法性； 数字证书分区保存的是签名时使用的 数字证书， 数字签名分区保存的是使用数字证书和对应的私钥对软件包数据进行签名的签 名值； 麒麟系统集成了证书链， 用来验证证书的合法性， 从证书中提取的公钥， 才能解密对权　利　要　求　书 1/2 页 2 CN 114239080 B 2应的签名信息， 从而保障了签名的合法性。权　利　要　求　书 2/2 页 3 CN 114239080 B 3