移动应用软件自动化签名和验证方法及装置的制造方法
【技术领域】
[0001]本发明涉及移动应用软件签名技术领域,尤其涉及一种移动应用软件自动化签名和验证方法及装置。
【背景技术】
[0002]近年来,移动设备(例如智能手机和平板电脑)的发展十分迅速,伴随着移动设备的发展,大量的移动应用软件也越来越多,因此移动应用软件的安全性越发重要。当前,很多移动应用软件包含隐私窃取、吸费等恶意行为。为了遏制恶意移动应用软件的传播,并对恶意移动应用软件有效溯源,一般需要通过检测机构对移动应用软件进行第三方签名,从而帮助用户更好的选择正规应用软件。
[0003]当前为了对移动应用软件进行第三方签名,通常需要签名的商家需要和多家电子认证服务机构(Certificate Authority,简称CA)进行接洽,在此过程中,证书的申请、审核和下载均受限制于电子认证服务机构工作人员的查验速度和对签名操作的了解程度。可见当前大量的移动应用软件若需要进行第三方签名和验证,需要耗费大量的人力,不利于移动应用软件签名和验证的进行,过程缓慢且繁琐复杂。
【发明内容】
[0004]本发明的实施例提供一种移动应用软件自动化签名和验证方法及装置,以解决当前对移动应用软件进行第三方签名过程中有过多人为干涉,过程缓慢且繁琐,不利于移动应用软件签名和验证进行的问题。
[0005]为达到上述目的,本发明采用如下技术方案:
[0006]一种移动应用软件自动化签名和验证方法,包括:
[0007]接收待检测的移动应用软件,并判断所述移动应用软件是否包含第三方认证签名;所述第三方认证签名包括移动应用软件开发者第三方认证签名或者移动应用软件下载平台第三方认证签名;
[0008]若所述移动应用软件包含所述第三方认证签名,对所述第三方认证签名进行验证,并输出第一验证结果;
[0009]若所述移动应用软件不包含所述第三方认证签名,根据签名服务器上的第三方签名证书对所述移动应用软件进行第三方签名,并输出签名结果;所述签名结果包括已签名移动应用软件;
[0010]接收移动应用软件检测机构服务器发送的已签名移动应用软件,并对所述已签名移动应用软件的检测机构签名进行验证;
[0011]若对所述已签名移动应用软件的检测机构签名进行验证通过,确定所述已签名移动应用软件是否处于一预先设置的移动应用软件黑名单中,并输出黑名单应用筛查结果;
[0012]若对所述已签名移动应用软件的检测机构签名进行验证未通过,向移动应用软件检测机构服务器发送未通过通知消息,并接收移动应用软件检测机构服务器发送的打包文件;所述打包文件带有移动应用软件检测机构服务器签名;
[0013]对所述移动应用软件检测机构服务器签名进行验签,并输出第二验证结果。
[0014]具体的,所述第一验证结果为验证失败结果;
[0015]在对所述第三方认证签名进行验证,并输出第一验证结果之后,包括:
[0016]判断所述移动应用软件的第三方签名证书是否合法;
[0017]若所述移动应用软件的第三方签名证书不合法,向电子认证服务机构服务器发送移动应用软件身份信息,以对所述移动应用软件的进行第三方签名证书申请或者更新所述移动应用软件的第三方签名证书;
[0018]若所述移动应用软件的第三方签名证书合法,且在所述签名服务器上保存有所述移动应用软件的第三方签名证书,根据所述签名服务器上的第三方签名证书对所述移动应用软件进行第三方签名;
[0019]若所述移动应用软件的第三方签名证书合法,且在所述签名服务器上未保存所述移动应用软件的第三方签名证书,从电子认证服务机构服务器获取所述移动应用软件的第三方签名证书,并对所述移动应用软件进行第三方签名。
[0020]具体的,若所述移动应用软件不包含所述第三方认证签名,根据签名服务器上的第三方签名证书对所述移动应用软件进行第三方签名,包括:
[0021]若所述移动应用软件不包含所述第三方认证签名,接收移动应用软件开发者或者移动应用软件下载平台上传的第三方签名证书,并根据所述第三方签名证书对所述移动应用软件进行第三方签名;
[0022]或者,若所述移动应用软件不包含所述第三方认证签名,向电子认证服务机构服务器发送移动应用软件身份信息,以对所述移动应用软件的进行第三方签名证书申请或者更新所述移动应用软件的第三方签名证书,并根据所述第三方签名证书对所述移动应用软件进行第三方签名。
[0023]具体的,确定所述已签名移动应用软件是否处于一预先设置的移动应用软件黑名单中,并输出黑名单应用筛查结果,包括:
[0024]若所述已签名移动应用软件处于所述移动应用软件黑名单中,确定所述移动应用软件为不合格应用,并输出不合格应用结果到所述移动应用软件检测机构服务器;
[0025]若所述已签名移动应用软件未处于所述移动应用软件黑名单中,确定所述移动应用软件为合格应用,并输出合格应用结果到所述移动应用软件检测结构服务器。
[0026]具体的,对所述移动应用软件检测机构服务器签名进行验签,并输出第二验证结果,包括:
[0027]若对所述移动应用软件检测机构服务器签名进行验签通过,根据预先设置的移动应用软件检测机构证书对所述打包文件中的每个移动应用软件进行第三方签名,并将签名后的移动应用软件反馈给移动应用软件检测机构服务器;
[0028]若对所述移动应用软件检测机构服务器签名进行验签未通过,确定所述打包文件被篡改,并输出不合格应用结果到移动应用软件检测机构服务器。
[0029]—种移动应用软件自动化签名和验证装置,包括:
[0030]第三方认证签名判断单元,用于接收待检测的移动应用软件,并判断所述移动应用软件是否包含第三方认证签名;所述第三方认证签名包括移动应用软件开发者第三方认证签名或者移动应用软件下载平台第三方认证签名;
[0031]第三方认证签名验证单元,用于在所述移动应用软件包含所述第三方认证签名时,对所述第三方认证签名进行验证,并输出第一验证结果;
[0032]第三方签名单元,用于在所述移动应用软件不包含所述第三方认证签名时,根据签名服务器上的第三方签名证书对所述移动应用软件进行第三方签名,并输出签名结果;所述签名结果包括已签名移动应用软件;
[0033]检测机构签名验证单元,用于接收移动应用软件检测机构服务器发送的已签名移动应用软件,并对所述已签名移动应用软件的检测机构签名进行验证;
[0034]黑名单应用筛查单元,用于在对所述已签名移动应用软件的检测机构签名进行验证通过时,确定所述已签名移动应用软件是否处于一预先设置的移动应用软件黑名单中,并输出黑名单应用筛查结果;
[0035]通知消息发送单元,用于在对所述已签名移动应用软件的检测机构签名进行验证未通过时,向移动应用软件检测机构服务器发送未通过通知消息;
[0036]打包文件接收单元,用于接收移动应用软件检测机构服务器发送的打包文件;所述打包文件带有移动应用软件检测机构服务器签名;
[0037]检测机构服务器签名验签单元,用于对所述移动应用软件检测机构服务器签名进行验签,并输出第二验证结果。
[0038]具体的,所述第三方认证签名验证单元输出的第一验证结果为验证失败结果;
[0039]所述装置,还包括:
[0040]第三方签名证书合法性验证单元,用于判断所述移动应用软件的第三方签名证书是否合法;
[0041]移动应用软件身份信息发送单元,用于在所述移动应用软件的第三方签名证书不合法时,向电子认证服务机构服务器发送移动应用软件身份信息,以对所述移动应用软件的进行第三方签名证书申请或者更新所述移动应用软件的第三方签名证书;
[0042]所述第三方签名单元,还用于在所述移动应用软件的第三方签名证书合法,且在所述签名服务器上保存有所述移动应用软件的第三方签名证书时,根据所述签名服务器上的第三方签名证书对所述移动应用软件进行第三方签名;
[0043]所述第三方签名单元,还用于在所述移动应用软件的第三方签名证书合法,且在所述签名服务器上未保存所述移动应用软件的第三方签名证书时,从电子认证服务机构服务器获取所述移动应用软件的第三方签名证书,并对所述移动应用软件进行第三方签名。
[0044]另外,所述第三方签名单元,具体用于:
[0045]在所述移动应用软件不包含所述第三方认证签名时,接收移动应用软件开发者或者移动应用软件下载平台上传的第三方签名证书,并根据所述第三方签名证书对所述移动应用软件进行第三方签名;
[0046]或者,在所述移动应用软件不包含所述第三方认证签名时,向电子认证服务机构服务器发送移动应用软件身份信息,以对所述移动应用软件的进行第三方签名证书申请或者更新所述移动应用软件的第三方签名证书,并根据所述第三方签名证书对所述移动应用软件进行第三方签名。
[0047]此外,所述黑名单应用筛查单元,具体用于:
[0048]在所述已签名移动应用软件处于所述移动应用软件黑名单中时,确定所述移动应用软件为不合格应用,并输出不合格应用结果到所述移动应用软件检测机构服务器;
[0049]在所述已签名移动应用软件未处于所