[发明专利]数字签名方法及移动终端和服务器

权利要求书

1.一种移动终端的数字签名方法，其特征在于，包括：

移动终端对于二阶散列值文件中的二阶散列值序列，对该二阶散列值序列中除了代码文件的二阶散列值之外的各二阶散列值进行摘要计算，得到第一子摘要信息；

将第一子摘要信息和所述代码文件的二阶散列值向服务器上传；

其中，所述二阶散列值对应原始文件；所述原始文件的二阶散列值是根据该原始文件的一阶散列值算得的，该原始文件的一阶散列值是根据该原始文件的内容算得的；所述代码文件是所述原始文件之一；

接收所述服务器针对第一子摘要信息和所述代码文件返回的数字签名文件；所述数字签名文件是由所述服务器根据预先生成的私钥对摘要信息进行非对称加密、进而根据加密结果以及预先生成的公钥生成的；所述摘要信息是由所述服务器根据所述代码文件的二阶散列值预设在二阶散列值文件中的二阶散列值序列中的位置信息，将第一子摘要信息与第二子摘要信息拼接成的；第二子摘要信息是所述服务器对接收的所述代码文件的二阶散列值进行摘要计算得到的。

2.根据权利要求1所述的方法，其特征在于，所述将该二阶散列值序列中除了代码文件的二阶散列值之外的各二阶散列值进行摘要计算之前，还包括：

将所述代码文件的二阶散列值，移动到所述二阶散列值序列的末尾，得到二阶散列值序列重排后的二阶散列值文件。

3.根据权利要求2所述的方法，其特征在于，还包括：

所述移动终端接收到所述服务器返回的数字签名文件后，对于一阶散列值文件中的一阶散列值序列，将该一阶散列值序列中所述代码文件的一阶散列值，移动到所述一阶散列值序列的末尾，得到一阶散列值序列重排后的一阶散列值文件；

将所述数字签名文件、二阶散列值序列重排后的二阶散列值文件、一 阶散列值序列重排后的一阶散列值文件，以及所述二阶散列值序列中各二阶散列值各自对应的原始文件一起打包成安装包。

4.根据权利要求3所述的方法，其特征在于，所述一阶散列值文件具体为Manifest.mf文件；所述二阶散列值文件具体为Cert.sf文件；所述数字签名文件具体为Cert.rsa文件。

5.一种服务器端的数字签名方法，其特征在于，包括：接收到移动终端上传的第一子摘要信息和代码文件的二阶散列值后，对接收的代码文件的二阶散列值进行摘要计算，得到第二子摘要信息；所述第一子摘要信息是由所述移动终端对于二阶散列值文件中的二阶散列值序列，对该二阶散列值序列中除了代码文件的二阶散列值之外的各二阶散列值进行摘要计算而得到的；

根据所述代码文件的二阶散列值预设在二阶散列值文件中的二阶散列值序列中的位置信息，将第一子摘要信息与第二子摘要信息拼接成摘要信息；

根据预先生成的私钥对所述摘要信息进行非对称加密；

根据加密结果、以及预先生成的公钥，生成数字签名文件返回至所述移动终端。

6.根据权利要求5所述的方法，其特征在于，所述对接收的代码文件的二阶散列值进行摘要计算之前，还包括：

根据预存的经过认证的代码文件的二阶散列值，对接收的代码文件的二阶散列值进行校验。

7.一种移动终端的安全防护方法，其特征在于，包括：

确定目标应用，保存所述目标应用的安装包至指定目录；

利用所述目标应用的安装包配置外壳应用安装包，向所述目标应用的安装包中注入用于调用监控单元的桩模块，修改所述目标应用的安装包中 的配置参数以用于加载所述目标应用，所述监控单元用于实现对源自所述目标应用的事件行为的挂钩监控；

对于所述外壳应用安装包中的每个原始文件，根据该原始文件的内容算得该原始文件的一阶散列值，进而根据所述一阶散列值算得该原始文件的二阶散列值；将所述安装包中各原始文件的二阶散列值组成二阶散列值序列记录到二阶散列值文件中；所述各原始文件中包括代码文件；

对于所述二阶散列值序列中除了代码文件的二阶散列值文件之外的各二阶散列值进行摘要计算，得到第一子摘要信息；将第一子摘要信息和所述代码文件的二阶散列值向服务器上传；

根据所述服务器返回的数字签名文件，对所述各原始文件进行签名认证；认证通过后安装所述各原始文件；加载运行所述目标应用和所述监控单元；

根据监控的结果判断所述目标应用的安全性。