[发明专利]一种基于V2或V3签名机制的第三方副署签名及验证方法

权利要求书

1.一种基于V2或V3签名机制的第三方副署签名方法，其特征在于：

在安卓应用程序签名数据块中，找出V2或V3的签名数据块，找到安卓原生签名者数据块序列，在每一个签名者数据块中找到额外属性addtional attributes数据块，在额外属性数据块中插入ID，额外属性数据块中插入的ID的值为副署签名数据；

在V2签名数据块中，ID非0x7109871a；在V3签名数据块中，ID非0x7109871a或0xf05368c0或0x3ba06f8c。

2.根据权利要求1所述的基于V2或V3签名机制的第三方副署签名方法，其特征在于：

副署签名是以安卓V2或V3签名数据块中原生签名值为原文，使用第三方副署证书的私钥对原文进行签名。

3.根据权利要求1或2所述的基于V2或V3签名机制的第三方副署签名方法，其特征在于，具体包括以下步骤：

S1、读取安卓应用软件原生签名块，从ID 0x7109871a中获取V2签名数据或从ID0xf05368c0中获取V3签名数据；

S2、读出签发者的数据结构；

S3、生成副署签名数据结构，副署签名数据结构包括版本号、杂凑算法、签发者主题项、签发者证书、签名算法；

S4、使用原生签名值作为副署签名的原文，对其做杂凑运算，把计算得出的杂凑值设置到可信属性中；

S5、使用副署签名可信属性数据作为原文使用副署签名证书私钥签名；

S6、把副署签名添加到原生签名的额外属性数据块中插入的ID的值中。

4.根据权利要求3所述的基于V2或V3签名机制的第三方副署签名方法，其特征在于，S3后进一步包括如下步骤：

如副署签名需要加入可信时间，则从可信时间源中获取可信时间，在副署签名数据格式中加入可信时间属性。

5.根据权利要求4所述的基于V2或V3签名机制的第三方副署签名方法，其特征在于：

如果原生签名中有不止一个签发者，则分别读出每一个签发者的数据结构，对每一个签发者的数据结构，执行步骤S3至S6，执行完毕后签名结束。

6.根据权利要求3所述的基于V2或V3签名机制的第三方副署签名方法，其特征在于：

如果原生签名中有不止一个签发者，则分别读出每一个签发者的数据结构，对每一个签发者的数据结构，执行步骤S3至S6，执行完毕后签名结束。

7.一种基于V2或V3签名机制的第三方副署签名验证方法，其特征在于，包括以下步骤：

S11、读取安卓应用软件原生签名块，从ID 0x7109871a中获取V2版本签名数据或从ID0xf05368c0中获取签名数据；

S12、读出签发者的数据结构、副署签名的数据结构；

S13、从副署签名数据结构中获取副署签名的数字证书；

S14、对副署签名的数字证书有效性进行验证；

S15、副署签名证书有效性验证通过后，判断副署签名是否有杂凑属性，如果没有则验证失败；

S16、对原生签名进行杂凑，将计算的杂凑值与杂凑属性中的杂凑值对比，如果不同则验证失败；

S17、把副署签名中可信属性数据作为原文，使用副署签名证书对副署签名值进行验证；如果副署签名值验证不同则验证失败。

8.根据权利要求7所述的基于V2或V3签名机制的第三方副署签名验证方法，其特征在于，对副署签名的数字证书有效性验证的方法为：

如果需要在线验证数字证书状态，则通过可信证书服务进行验证；

如果不需要在线验证，则在本地验证证书有效性、验证证书链、验证黑白名单。

9.根据权利要求7或8所述的基于V2或V3签名机制的第三方副署签名验证方法，其特征在于：

如果原生签名中有不止一个签发者，则分别读出每一个签发者的数据结构、每个签发者的数据结构的每个副署签名的数据结构；

对每个签发者对应的所有副署签名均执行S13至S17。