本发明专利技术公开了一种应用程序的验证方法和装置。其中,该应用程序的验证方法包括:读取应用程序的辅助文件夹中时间戳签名证书,其中,辅助文件夹为存储应用程序的标准验证证书的文件;提取时间戳签名证书中的验证标记;计算应用程序的验证标记;判断时间戳签名证书中的验证标记与应用程序的验证标记是否相同;以及如果相同,则通过验证以指示应用程序没有被修改。通过本发明专利技术,解决了现有技术中无法验证应用程序的安全性的问题,进而达到了验证应用程序的安全性的效果。
【技术实现步骤摘要】
【专利摘要】本专利技术公开了一种应用程序的验证方法和装置。其中,该应用程序的验证方法包括:读取应用程序的辅助文件夹中时间戳签名证书,其中,辅助文件夹为存储应用程序的标准验证证书的文件;提取时间戳签名证书中的验证标记;计算应用程序的验证标记;判断时间戳签名证书中的验证标记与应用程序的验证标记是否相同;以及如果相同,则通过验证以指示应用程序没有被修改。通过本专利技术,解决了现有技术中无法验证应用程序的安全性的问题,进而达到了验证应用程序的安全性的效果。【专利说明】应用程序的验证方法和装置
本专利技术涉及互联网安全认证领域,具体而言,涉及一种应用程序的验证方法和装 置。
技术介绍
安卓(Android)应用随着基于安卓系统的手机的普及呈现爆炸式增长,Google公 司在推出安卓系统时,为了最大化兼容性,争取最多的开发者和用户,对安卓应用的安全认 证机制只设置了最低限度的要求,即对于一款安卓应用,只需要存在签名文件,就可以让此 安卓应用在系统中运行。由于签名文件可以由任何人生成,原始开发者的签名文件可被替 换掉,从而无法验证安卓应用的原始性,无法保护原始开发者的版权。另外,在目前的安全 认证机制下,也无法验证安卓应用是否已被修改,对安卓应用修改后重新打包就能发布安 卓病毒,导致安卓应用程序不安全。 安卓应用可以采用自签名方案,应用开发者可以对自己开发的安卓应用进行签 名;但是没有对签名的统一管理,无法验证某款安卓应用的签名是否为原始作者签发,同时 也无法验证某款安卓应用是否安全。 各安卓应用商城在后台提供了病毒扫描功能,对安全的安卓应用会在页面上明示 其是安全的,但如果某款安卓应用被下载后更改再发送给其他安卓平台,就无法对其安全 性进行验证。 针对现有技术中无法验证应用程序的安全性的问题,目前尚未提出有效的解决方 案。
技术实现思路
本专利技术的主要目的在于提供一种应用程序的验证方法和装置,以解决现有技术中 无法验证应用程序的安全性的问题。 为了实现上述目的,根据本专利技术的一个方面,提供了一种应用程序的验证方法。根 据本专利技术的应用程序的验证方法包括:读取应用程序的辅助文件夹中时间戳签名证书,其 中,所述辅助文件夹为存储所述应用程序的标准验证证书的文件夹;提取所述时间戳签名 证书中的验证标记;计算所述应用程序的验证标记;判断所述时间戳签名证书中的验证标 记与所述应用程序的验证标记是否相同;以及如果相同,则通过验证以表示所述应用程序 没有被修改。 进一步地,在读取应用程序的辅助文件夹中时间戳签名证书之前,所述验证方法 还包括:从所述应用程序中提取验证摘要信息,其中,所述验证摘要信息包含所述应用程序 的验证标记;获取所述应用程序的时间信息,其中,所述时间信息用于记录所述应用程序的 形成时间;利用私钥对所述验证摘要信息和所述时间信息加密,得到加密后的时间戳;以 及将所述加密后的时间戳和与所述私钥配对的公钥作为所述时间戳签名证书存储在所述 辅助文件夹中。 进一步地,提取所述时间戳签名证书中的验证标记包括:从所述时间戳签名证书 中提取所述公钥;利用所述公钥对所述加密后的时间戳进行解密,得到所述验证摘要信息; 以及提取所述验证摘要信息中的验证标记。 进一步地,在利用所述公钥对所述加密后的时间戳进行解密,得到所述验证摘要 信息之前,所述验证方法还包括:判断是否能够利用所述公钥对所述加密后的时间戳进行 解密;如果利用所述公钥成功对所述加密后的时间戳解密,则通过验证以表示所述应用程 序没有被修改;如果利用所述公钥无法对所述加密后的时间戳解密,则确定所述应用程序 被修改。 进一步地,在读取应用程序的辅助文件夹中时间戳签名证书之前,所述验证方法 还包括:获取所述应用程序的黑名单;判断所述应用程序是否在所述黑名单中;以及如果 所述应用程序在所述黑名单中,则确定所述应用程序为不安全的应用程序,其中,在确定所 述应用程序为不安全的应用程序之后,不再验证所述应用程序是否被修改。 为了实现上述目的,根据本专利技术的另一方面,提供了一种应用程序的验证装置。根 据本专利技术的应用程序的验证装置包括:读取单元,用于读取应用程序的辅助文件夹中时间 戳签名证书,其中,所述辅助文件夹为存储所述应用程序的标准验证证书的文件夹;第一提 取单元,用于提取所述时间戳签名证书中的验证标记;计算单元,用于计算所述应用程序的 验证标记;判断单元,用于判断所述时间戳签名证书中的验证标记与所述应用程序的验证 标记是否相同;以及验证单元,用于在相同时,通过验证以表示所述应用程序没有被修改。 进一步地,所述验证装置还包括:第二提取单元,用于在读取所述应用程序的辅助 文件夹中时间戳签名证书之前,从所述应用程序中提取验证摘要信息,其中,所述验证摘要 信息包含所述应用程序的验证标记;第一获取单元,用于获取所述应用程序的时间信息,其 中,所述时间信息用于记录所述应用程序的形成时间;加密单元,用于利用私钥对所述验证 摘要信息和所述时间信息加密,得到加密后的时间戳;以及存储单元,用于将所述加密后的 时间戳和与所述私钥配对的公钥作为所述时间戳签名证书存储在所述辅助文件夹中。 进一步地,所述第一提取单元包括:第一提取模块,用于从所述时间戳签名证书中 提取所述公钥;解密模块,用于利用所述公钥对所述加密后的时间戳进行解密,得到所述验 证摘要信息;以及第二提取模块,用于提取所述验证摘要信息中的验证标记。 进一步地,所述第一提取单元还包括:判断模块,用于在利用所述公钥对所述加密 后的时间戳进行解密,得到所述验证摘要信息之前,判断是否能够利用所述公钥对所述加 密后的时间戳进行解密;第一验证模块,用于在利用所述公钥成功对所述加密后的时间戳 解密时,通过验证以表示所述应用程序没有被修改;第二验证模块,用于在利用所述公钥无 法对所述加密后的时间戳解密时,确定所述应用程序被修改。 进一步地,所述验证装置还包括:第二获取单元,用于在读取所述应用程序的辅助 文件夹中时间戳签名证书之前,获取所述应用程序的黑名单;判断单元,用于判断所述应用 程序是否在所述黑名单中;以及确定单元,用于在所述应用程序在所述黑名单中时,确定所 述应用程序为不安全的应用程序。 通过本专利技术,采用读取应用程序的辅助文件夹中时间戳签名证书,其中,辅助文件 夹为存储应用程序的标准验证证书的文件夹;提取时间戳签名证书中的验证标记;计算应 用程序的验证标记;判断时间戳签名证书中的验证标记与应用程序的验证标记是否相同; 以及如果相同,则通过应用程序没有被修改的验证的方法,由于应用程序中存储了用于验 证应用程序是否被修改的签名证书,则无论该应用程序处于什么装置中,都可以利用应用 程序自身携带的签名证书进行安全验证,而无需依赖于应用商城提供的安全扫描功能,解 决了现有技术中无法验证应用程序的安全性的问题,进而达到了验证应用程序的安全性的 效果。 【专利附图】【附图说明】 构成本申请的一部分的附图用来提供对本专利技术的进一步理解,本专利技术的示意性实 施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中: 图1是根据本专利技术实施例的应用程序的验证方法的流程图; 图本文档来自技高网...
【技术保护点】
一种应用程序的验证方法,其特征在于,包括:读取应用程序的辅助文件夹中时间戳签名证书,其中,所述辅助文件夹为存储所述应用程序的标准验证证书的文件夹;提取所述时间戳签名证书中的验证标记;计算所述应用程序的验证标记;判断所述时间戳签名证书中的验证标记与所述应用程序的验证标记是否相同;以及如果相同,则通过验证以表示所述应用程序没有被修改。
【技术特征摘要】
【专利技术属性】
技术研发人员:郑辉,王怀州,
申请(专利权)人:北京网秦天下科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。