[发明专利]安卓平台上APK文件的二次打包签名验证方法

说明书

本发明提供一种安卓平台上APK文件的二次打包签名验证方法，所述方法包括：步骤1、签名工具使用私钥对经过打包的原始APK文件进行签名，生成嵌有数字签名文件的APK文件；步骤2、在终端设备上预置公钥证书，且将嵌有数字签名文件的APK文件下载到终端设备上；步骤3、终端设备使用公钥证书验证嵌有数字签名文件的APK文件的合法性。本发明优点：可以有效防止应用程序被非法破解，并植入恶意代码重新打包的情况发生，有利于确保用户的账户、密码、流量等各种数据的安全。

技术领域

本发明涉及一种安卓平台上APK文件的二次打包签名验证方法。

背景技术

Android是一种基于Linux的自由及开放源代码的操作系统，主要使用在移动设备上，如智能手机、平板电脑等。在Android平台上，应用(APP)的安装文件都是以APK(AndroidPackage)格式来保存的，APK文件在本质上是一个zip压缩文件，主要包括res/class/jar以及权限配置文件等。同时在APK文件中存在有一个META-INFO目录，该目录主要用于保存APK文件在进行原生签名时所生成的数据信息。

一般情况下，开发人员都会通过Eclipse/Android Studio或者Ant工具等对APK进行签名，生成一个原生签名文件，并保存到META-INFO目录中。在进行APK文件安装时，android平台的底层会先对APK文件进行签名验证和解析，从而得到应用程序的相关信息，然后再对应用程序进行安装。但是，现有的原生签名技术属于自签名方式，其理论上都是合法的(即都是允许被安装的)，因此现有的原生签名都无法把控APK的安装。而一些APP程序很容易被盗版，一旦被破解并植入恶意代码重新打包后，不管从性能、用户体验和外观上，它都跟原来的APP一模一样，但是它的背后却可能悄悄的运行着可怕的程序，而这些程序将可能导致在不知不觉中浪费手机电量、流量，恶意扣费、偷窥隐私等行为。

发明内容

本发明要解决的技术问题，在于提供一种安卓平台上APK文件的二次打包签名验证方法，通过该方法来把控APK文件的安装，可以有效防止应用程序被非法破解，并植入恶意代码重新打包的情况发生，有利于确保用户的账户、密码、流量等各种数据的安全。

本发明是这样实现的：安卓平台上APK文件的二次打包签名验证方法，所述方法包括如下步骤：

步骤1、签名工具使用私钥对经过打包的原始APK文件进行签名，生成嵌有数字签名文件的APK文件；

步骤2、在终端设备上预置公钥证书，且将嵌有数字签名文件的APK文件下载到终端设备上；

步骤3、终端设备使用公钥证书验证嵌有数字签名文件的APK文件的合法性。

进一步地，所述步骤1具体为：

由签名工具使用私钥生成一个数字签名文件，并将该数字签名文件嵌入到经过打包的原始APK文件的目录中，生成嵌有数字签名文件的APK文件；

所述数字签名文件包括签名信息、自定义信息以及文件头；

所述签名信息由文件类别名称、头部分、签名信息主体以及签名数据组成，其中，所述签名信息主体包括主体部分开始标识、结构版本、签名证书ID号、数字签名算法、签名时间以及原始文件哈希值；

所述文件头由文件类别名称、头部分、结构版本、文件体长度、源文件长度、原始APK文件长度以及校验值组成。

进一步地，所述步骤3具体为：

终端设备在安装嵌有数字签名文件的APK文件时，首先对嵌有数字签名文件的APK文件中的原生签名文件进行验证，待原生签名文件验证通过以后，再从嵌有数字签名文件的APK文件的目录中提取出数字签名文件，还原原始APK文件；