verisign软件代码安全认证解决方案
当用户从商店中购买软件产品时,用户可以通过询问软件发布者,并检查软件的外包装来确认产品的来源,从而决定是否购买并在多大程度上信任该软件。然而当软件放到了Internet上,当用户通过互联网下载软件时,因为互联网缺乏提供软件额外信息的机制,所以用户通常会看到一个消息框,警告运行该软件可能造成的危险。所以在缺乏对软件完整性保护并且其发布者不详的情况下,用户对该软件产品的信任度将大打折扣。特别是在计算机病毒横行的今天,也许用户正在下载的软件或者杀毒软件恰是一个病毒程序。
任何软件开发者如果计划通过网络发布代码或信息,都会面临下列问题:
Ø 软件开发者通过网络发布各种客户端插件、软件代码或补丁程序,让用户下载或在线安装,但是如何让用户相信其真实性,用户如何判断自己下载或在线安装的代码是真正的软件开发者开发的代码,代码是否未被恶意篡改过,或者是否未被恶意替换过,或者是否是病毒程序;
Ø 当今一些主流操作系统(如Windows XP及以上),在安装应用程序时会自动检查该程序的真实性及是否被篡改,如无法验证,在高安全级别下会禁止安装,将导致用户无法安装该程序。
针对软件下载存在的安全问题,美国VeriSign公司推出了基于PKI(Public Key Infrastructure,公钥基础设施)技术的、易于实施的、完善的代码安全认证解决方案。代码签名证书 (Code Signing Digital IDs) 是数字证书的一种,由PKI/CA认证中心(CA:Certification Authority,认证中心)签发,发放给软件开发者(主要是企业)。软件开发者可以利用代码签名证书进行代码签名,即软件开发者借助数字签名技术,使用代码签名证书在软件代码中附加一些相关信息,使得用户在下载这些具有代码签名的软件时,可以确信:(1)软件的来源:最终用户可以相信该软件确实出自于其签发者;(2)软件的完整性:最终用户可以确信该软件在签发之后未经篡改或破坏。
采用verisign代码签名安全认证解决方案,通过verisign认证中心,软件开发者可以申请代码签名证书,verisign通过严格的鉴证流程,为软件开发者签发代码签名证书。在控件及应用程序开发完毕后,软件开发者使用代码签名证书对代码进行数字签名,该数字签名可用来验证软件代码来源的真实性,即开发者身份的真实性,同时可以确保该软件代码未被任何第三者恶意篡改过。
VeriSign公司提供的软件代码签名证书能够在全球范围内受到信任,因为此代码签名证书的最终的根证书是预埋在当今主流浏览器中,作为可信的证书颁发机构存在。在安装控件的提示对话框中不会出现不受信的对话框,使用户可以放心的安装使用。
利用verisign的软件代码签名,将为软件开发和软件下载提供可靠的安全保证。从用户的角度看,他们可以通过代码签名技术鉴别软件的发布者及软件在传输过程中是否被篡改。例如:如果某软件产品在用户计算机上执行后造成恶性后果,用户可依法向软件发布者索取赔偿。正因为代码签名技术的可审计性造成了这种可能的索赔,所以很好的制止了发布攻击性代码的行为。从软件开发者和Web管理者的角度看,他们同样是受益者。因为利用代码签名的抗伪造性,可以防止假冒软件的出现,他们可为其商标和产品建立一定信誉。因为在用户多次成功下载并运行具有代码签名的软件后,用户和开发者间的信任关系将会得到巩固。简而言之,利用代码签名技术,一方面开发者可借助Java 小程序,各种插件和执行文件创建出丰富多彩的页面,另一方面用户也可理性地选择所需下载的软件包,因而造成了一种双赢结局。
适用范围:
软硬件开发商,网络游戏运营商,ISP/ICP,金融在线交易等提供控件下载或应用软件的企业。
典型成功案例:
微软.Net战略、瑞星、盛大网络、中国万网、阿里巴巴、新浪、搜狐、腾讯、上海电信、华为、清华同方、北大方正、厦新电子、TCL、中国工商银行、招商银行、昆仑证券、中国民航等。
价格