一种终端设备的应用验签方法、装置及终端设备与流程

技术特征：
1.一种终端设备的应用验签方法，其特征在于，包括：接收apk文件的安装请求；其中，所述apk文件包括原生apk文件和apk签名块，所述apk签名块包括授权签名块和原生签名块，所述授权签名块包括工作证书；所述工作证书通过采用根私钥将工作公钥和所述apk文件的签名者信息进行加密生成，所述根私钥和根公钥为一组根密钥对，所述工作公钥和工作私钥为一组工作密钥对；读取预先存储的根证书，根据所述根证书验证所述工作证书的合法性；其中，所述根证书通过采用根私钥将根公钥进行加密生成；若所述工作证书验证通过，则基于所述工作证书验证所述授权签名块的合法性；若所述授权签名块验证通过，则对所述原生签名块进行验签；若所述原生签名块验证通过，则安装所述apk文件。2.根据权利要求1所述的终端设备的应用验签方法，其特征在于，所述根据所述根证书验证所述工作证书的合法性，包括：提取所述apk签名块中的授权签名块，并将所述授权签名块从所述apk签名块中删掉；解压所述授权签名块得到工作证书；使用所述根证书验证所述工作证书的合法性，如果验签失败，则确定所述apk文件非法，如果验签成功，则确定所述工作证书验证通过。3.根据权利要求1所述的终端设备的应用验签方法，其特征在于，所述授权签名块还包括：签名信息和签名数据，所述基于所述工作证书验证所述授权签名块的合法性，包括：解压所述授权签名块得到签名信息和签名数据，从所述工作证书中提取出工作公钥，并解析得到所述apk文件中的原生apk文件；将所述签名信息添加到所述apk文件所包含的二进制文件的末尾，并将所述原生apk文件和签名信息合并，对合并后的数据进行哈希运算得到hash摘要值；对所述签名数据、所述工作公钥和所述hash摘要值进行验签，如果验签失败，则确定所述apk文件非法，如果验签成功则确定所述授权签名块验证通过。4.根据权利要求3所述的终端设备的应用验签方法，其特征在于，所述签名信息包括工作证书的id号、数字签名算法、签名时间中至少一种。5.根据权利要求4所述的终端设备的应用验签方法，其特征在于，所述签名数据采用以下方法确定：对所述签名信息进行哈希运算得到摘要值，采用所述工作私钥对所述摘要值进行签名操作，生成签名数据。6.根据权利要求1所述的终端设备的应用验签方法，其特征在于，所述根证书预置于所述终端设备的se安全芯片中；所述方法还包括：当从所述se安全芯片中读取根证书时，触发终端设备自动擦除所述根证书，并锁住所述终端设备的操作系统。7.一种终端设备的应用验签装置，其特征在于，所述终端设备的应用验签装置包括：接收模块，用于接收apk文件的安装请求；其中，所述apk文件包括原生apk文件和apk签名块，所述apk签名块包括授权签名块和原生签名块，所述授权签名块包括工作证书；所述工作证书通过采用根私钥将工作公钥和所述apk文件的签名者信息进行加密生成，所述根私钥和根公钥为一组根密钥对，所述工作公钥和工作私钥为一组工作密钥对；
第一验证模块，用于读取预先存储的根证书，根据所述根证书验证所述工作证书的合法性；其中，所述根证书通过采用根私钥将根公钥进行加密生成；第二验证模块，用于若所述工作证书验证通过，则基于所述工作证书验证所述授权签名块的合法性；第三验证模块，用于若所述授权签名块验证通过，则对所述原生签名块进行验签；安装模块，用于若所述原生签名块验证通过，则安装所述apk文件。8.一种终端设备，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至6中任意一项所述的终端设备的应用验签方法。9.一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行如权利要求1至6中任意一项所述的终端设备的应用验签方法。

技术总结
本公开提供了一种终端设备的应用验签方法、装置及终端设备，涉及移动安全技术领域，该方法包括接收APK文件的安装请求，所述APK文件包括原生APK文件和APK签名块，APK签名块包括授权签名块和原生签名块，授权签名块包括工作证书，工作证书通过采用根私钥将工作公钥和所述APK文件的签名者信息进行加密生成；读取预先存储的根证书，根据所述根证书验证所述工作证书的合法性；其中，所述根证书通过采用根私钥将根公钥进行加密生成；若所述工作证书验证通过，则基于所述工作证书验证所述授权签名块的合法性；若所述授权签名块验证通过，则对所述原生签名块进行验签；若所述原生签名块验证通过，则安装所述APK文件；本公开不仅安全可靠，也灵活方便。也灵活方便。也灵活方便。


技术研发人员：陈堪宜 吴雄辉
受保护的技术使用者：广东天波信息技术股份有限公司
技术研发日：2021.11.04
技术公布日：2022/3/21