[发明专利]一种通过签名鉴定文件来源的方法和装置

说明书

技术领域

本发明涉及信息安全技术领域，尤其是一种通过签名鉴定安卓文件来源的方法和装置。

背景技术

由于安卓系统的开源性，其安全问题也伴随而来。近年来，使用安卓系统的设备越来越多，随之而来的安全性问题也越来越多。目前，市场上的安卓应用程序的监管还不到位，一些别有用心的制作者往往会修改官方的安卓程序，在其中加入一些恶意代码或者一些可以实现其目的的代码，然后再打包发布供使用者下载。由于监管缺失的问题，一些用户并不知道这些加入了不明代码的安装包，从一些不明渠道中下载这些被修改过的安装程序使用。这样就会造成信息安全、用户资费损失、电子设备不正常运行等问题。

发明内容

本发明的目的，就是克服现有技术的不足，提供一种通过签名鉴定安卓文件来源的方法和装置，本发明和装置可以判断安卓程序的来源，在安装前就可以得知安卓程序是否是来自官方的程序，并且有没有被修改。

为了达到上述目的，采用如下技术方案：

一种通过签名鉴定文件来源的方法，所述文件为安卓程序，包括以下步骤：提取所述安卓程序的数字签名和包名；根据数字签名与数据库中该包名对应的数字签名信息判断所述安卓程序是否为安全程序。

进一步地，所述方法具体包括以下步骤：提取所述安卓程序的包名和数字签名的哈希值；根据包名从哈希数据库中提取该包名对应的哈希值，所述安卓程序的哈希值与哈希数据库中对应的哈希值比较，若相同，判断所述安卓程序为安全程序。

进一步地，所述方法具体包括以下步骤：

提取所述安卓程序的包名，数字签名的哈希值、签名人姓名；

根据包名从哈希数据库中提取该包名对应的哈希值，从签名人数据库中提取该包名对应的签名人姓名；

所述安卓程序的数字签名的签名人姓名与签名人数据库中对应的签名人姓名比较，若相同，则进行下一步；若不同，则所述安卓程序为不可信程序；

所述安卓程序的数字签名的哈希值与哈希数据库中对应的哈希值比较，若相同，则所述安卓程序为安全程序。

一种通过签名鉴别文件来源的装置，所述文件为安卓程序，包括提取模块，用于提取所述安卓程序的数字签名和包名；判断模块，用于根据数字签名与数据库中该包名对应的签名信息判断所述安卓程序是否为安全程序。

进一步地，所述数据库包括哈希数据库，所述哈希数据库中预存与该包名对应的哈希值，所述哈希值与提取模块提取的数字签名的哈希值比较；若哈希数据库中对应的哈希值和提取模块提取的哈希值相同，判断模块判断所述安卓程序为安全程序。

进一步地，所述数据库包括哈希数据库和签名人数据库；所述哈希数据库中预存与包名对应的哈希值，所述哈希值用于与提取模块提取的数字签名的哈希值比较；所述签名人数据库中预存与包名对应的签名人姓名，所述签名人姓名用于与提取模块提取的数字签名的签名人姓名比较；若哈希数据库中对应的哈希值与提取模块提取的哈希值相同，且签名人姓名数据库中对应的签名人姓名与提取模块提取的签名人姓名相同，判断模块判断所述安卓程序为安全程序。

进一步地，所述判断模块先判断所述安卓程序的签名人姓名是否与哈希数据库中对应的签名人姓名相同，若相同，再判断所述安卓程序的哈希值是否与哈希数据库中对应的哈希值相同，若相同，则所述安卓程序为安全程序。

进一步地，所述签名人姓名为公司名。

与现有技术相比，本发明的有益效果在于：

通过判断安卓程序的数字签名中的哈希值确认所述安卓程序的来源。由于哈希值具有唯一性，因此通过与预设的从官方程序中提取的哈希值比较，可以判断所述安卓程序是否为未经改动的安卓程序，在未安装所述程序之前就能确定该安卓程序的合法性，保护了用户的设备安全和使用安全。

另外，结合签名人信息可以在一定程度上排查出非官方签名的安卓程序。

附图说明

图1是本发明实施例一的通过签名鉴定文件来源的方法的步骤流程图；

图2是本发明实施例一的通过签名鉴定文件来源的装置的结构示意图；

图3是本发明实施例二的通过签名鉴定文件来源的方法的步骤流程图；

图4是本发明实施例二的通过签名鉴定文件来源的装置的结构示意图。

图示：1-提取模块；2-判断模块；3-哈希数据库；4-签名人数据库。

具体实施方式

下面将结合附图以及具体实施方法来详细说明本发明，在本发明的示意性实施及说明用来解释本发明，但并不作为对本发明的限定。

实施例一