移動應用軟件自動化簽名和驗證方法及裝置的制造方法
【技術領域】
[0001]本發明涉及移動應用軟件簽名技術領域，尤其涉及一種移動應用軟件自動化簽名和驗證方法及裝置。
【背景技術】
[0002]近年來，移動設備(例如智能手機和平板電腦)的發展十分迅速，伴隨著移動設備的發展，大量的移動應用軟件也越來越多，因此移動應用軟件的安全性越發重要。當前，很多移動應用軟件包含隱私竊取、吸費等惡意行為。為了遏制惡意移動應用軟件的傳播，并對惡意移動應用軟件有效溯源，一般需要通過檢測機構對移動應用軟件進行第三方簽名，從而幫助用戶更好的選擇正規應用軟件。
[0003]當前為了對移動應用軟件進行第三方簽名，通常需要簽名的商家需要和多家電子認證服務機構(Certificate Authority，簡稱CA)進行接洽，在此過程中，證書的申請、審核和下載均受限制于電子認證服務機構工作人員的查驗速度和對簽名操作的了解程度。可見當前大量的移動應用軟件若需要進行第三方簽名和驗證，需要耗費大量的人力，不利于移動應用軟件簽名和驗證的進行，過程緩慢且繁瑣復雜。

【發明內容】

[0004]本發明的實施例提供一種移動應用軟件自動化簽名和驗證方法及裝置，以解決當前對移動應用軟件進行第三方簽名過程中有過多人為干涉，過程緩慢且繁瑣，不利于移動應用軟件簽名和驗證進行的問題。
[0005]為達到上述目的，本發明采用如下技術方案:
[0006]一種移動應用軟件自動化簽名和驗證方法，包括:
[0007]接收待檢測的移動應用軟件，并判斷所述移動應用軟件是否包含第三方認證簽名；所述第三方認證簽名包括移動應用軟件開發者第三方認證簽名或者移動應用軟件下載平臺第三方認證簽名；
[0008]若所述移動應用軟件包含所述第三方認證簽名，對所述第三方認證簽名進行驗證，并輸出第一驗證結果；
[0009]若所述移動應用軟件不包含所述第三方認證簽名，根據簽名服務器上的第三方簽名證書對所述移動應用軟件進行第三方簽名，并輸出簽名結果；所述簽名結果包括已簽名移動應用軟件；
[0010]接收移動應用軟件檢測機構服務器發送的已簽名移動應用軟件，并對所述已簽名移動應用軟件的檢測機構簽名進行驗證；
[0011]若對所述已簽名移動應用軟件的檢測機構簽名進行驗證通過，確定所述已簽名移動應用軟件是否處于一預先設置的移動應用軟件黑名單中，并輸出黑名單應用篩查結果；
[0012]若對所述已簽名移動應用軟件的檢測機構簽名進行驗證未通過，向移動應用軟件檢測機構服務器發送未通過通知消息，并接收移動應用軟件檢測機構服務器發送的打包文件；所述打包文件帶有移動應用軟件檢測機構服務器簽名；
[0013]對所述移動應用軟件檢測機構服務器簽名進行驗簽，并輸出第二驗證結果。
[0014]具體的，所述第一驗證結果為驗證失敗結果；
[0015]在對所述第三方認證簽名進行驗證，并輸出第一驗證結果之后，包括:
[0016]判斷所述移動應用軟件的第三方簽名證書是否合法；
[0017]若所述移動應用軟件的第三方簽名證書不合法，向電子認證服務機構服務器發送移動應用軟件身份信息，以對所述移動應用軟件的進行第三方簽名證書申請或者更新所述移動應用軟件的第三方簽名證書；
[0018]若所述移動應用軟件的第三方簽名證書合法，且在所述簽名服務器上保存有所述移動應用軟件的第三方簽名證書，根據所述簽名服務器上的第三方簽名證書對所述移動應用軟件進行第三方簽名；
[0019]若所述移動應用軟件的第三方簽名證書合法，且在所述簽名服務器上未保存所述移動應用軟件的第三方簽名證書，從電子認證服務機構服務器獲取所述移動應用軟件的第三方簽名證書，并對所述移動應用軟件進行第三方簽名。
[0020]具體的，若所述移動應用軟件不包含所述第三方認證簽名，根據簽名服務器上的第三方簽名證書對所述移動應用軟件進行第三方簽名，包括:
[0021]若所述移動應用軟件不包含所述第三方認證簽名，接收移動應用軟件開發者或者移動應用軟件下載平臺上傳的第三方簽名證書，并根據所述第三方簽名證書對所述移動應用軟件進行第三方簽名；
[0022]或者，若所述移動應用軟件不包含所述第三方認證簽名，向電子認證服務機構服務器發送移動應用軟件身份信息，以對所述移動應用軟件的進行第三方簽名證書申請或者更新所述移動應用軟件的第三方簽名證書，并根據所述第三方簽名證書對所述移動應用軟件進行第三方簽名。
[0023]具體的，確定所述已簽名移動應用軟件是否處于一預先設置的移動應用軟件黑名單中，并輸出黑名單應用篩查結果，包括:
[0024]若所述已簽名移動應用軟件處于所述移動應用軟件黑名單中，確定所述移動應用軟件為不合格應用，并輸出不合格應用結果到所述移動應用軟件檢測機構服務器；
[0025]若所述已簽名移動應用軟件未處于所述移動應用軟件黑名單中，確定所述移動應用軟件為合格應用，并輸出合格應用結果到所述移動應用軟件檢測結構服務器。
[0026]具體的，對所述移動應用軟件檢測機構服務器簽名進行驗簽，并輸出第二驗證結果，包括:
[0027]若對所述移動應用軟件檢測機構服務器簽名進行驗簽通過，根據預先設置的移動應用軟件檢測機構證書對所述打包文件中的每個移動應用軟件進行第三方簽名，并將簽名后的移動應用軟件反饋給移動應用軟件檢測機構服務器；
[0028]若對所述移動應用軟件檢測機構服務器簽名進行驗簽未通過，確定所述打包文件被篡改，并輸出不合格應用結果到移動應用軟件檢測機構服務器。
[0029]—種移動應用軟件自動化簽名和驗證裝置，包括:
[0030]第三方認證簽名判斷單元，用于接收待檢測的移動應用軟件，并判斷所述移動應用軟件是否包含第三方認證簽名；所述第三方認證簽名包括移動應用軟件開發者第三方認證簽名或者移動應用軟件下載平臺第三方認證簽名；
[0031]第三方認證簽名驗證單元，用于在所述移動應用軟件包含所述第三方認證簽名時，對所述第三方認證簽名進行驗證，并輸出第一驗證結果；
[0032]第三方簽名單元，用于在所述移動應用軟件不包含所述第三方認證簽名時，根據簽名服務器上的第三方簽名證書對所述移動應用軟件進行第三方簽名，并輸出簽名結果；所述簽名結果包括已簽名移動應用軟件；
[0033]檢測機構簽名驗證單元，用于接收移動應用軟件檢測機構服務器發送的已簽名移動應用軟件，并對所述已簽名移動應用軟件的檢測機構簽名進行驗證；
[0034]黑名單應用篩查單元，用于在對所述已簽名移動應用軟件的檢測機構簽名進行驗證通過時，確定所述已簽名移動應用軟件是否處于一預先設置的移動應用軟件黑名單中，并輸出黑名單應用篩查結果；
[0035]通知消息發送單元，用于在對所述已簽名移動應用軟件的檢測機構簽名進行驗證未通過時，向移動應用軟件檢測機構服務器發送未通過通知消息；
[0036]打包文件接收單元，用于接收移動應用軟件檢測機構服務器發送的打包文件；所述打包文件帶有移動應用軟件檢測機構服務器簽名；
[0037]檢測機構服務器簽名驗簽單元，用于對所述移動應用軟件檢測機構服務器簽名進行驗簽，并輸出第二驗證結果。
[0038]具體的，所述第三方認證簽名驗證單元輸出的第一驗證結果為驗證失敗結果；
[0039]所述裝置，還包括:
[0040]第三方簽名證書合法性驗證單元，用于判斷所述移動應用軟件的第三方簽名證書是否合法；
[0041]移動應用軟件身份信息發送單元，用于在所述移動應用軟件的第三方簽名證書不合法時，向電子認證服務機構服務器發送移動應用軟件身份信息，以對所述移動應用軟件的進行第三方簽名證書申請或者更新所述移動應用軟件的第三方簽名證書；
[0042]所述第三方簽名單元，還用于在所述移動應用軟件的第三方簽名證書合法，且在所述簽名服務器上保存有所述移動應用軟件的第三方簽名證書時，根據所述簽名服務器上的第三方簽名證書對所述移動應用軟件進行第三方簽名；
[0043]所述第三方簽名單元，還用于在所述移動應用軟件的第三方簽名證書合法，且在所述簽名服務器上未保存所述移動應用軟件的第三方簽名證書時，從電子認證服務機構服務器獲取所述移動應用軟件的第三方簽名證書，并對所述移動應用軟件進行第三方簽名。
[0044]另外，所述第三方簽名單元，具體用于:
[0045]在所述移動應用軟件不包含所述第三方認證簽名時，接收移動應用軟件開發者或者移動應用軟件下載平臺上傳的第三方簽名證書，并根據所述第三方簽名證書對所述移動應用軟件進行第三方簽名；
[0046]或者，在所述移動應用軟件不包含所述第三方認證簽名時，向電子認證服務機構服務器發送移動應用軟件身份信息，以對所述移動應用軟件的進行第三方簽名證書申請或者更新所述移動應用軟件的第三方簽名證書，并根據所述第三方簽名證書對所述移動應用軟件進行第三方簽名。
[0047]此外，所述黑名單應用篩查單元，具體用于:
[0048]在所述已簽名移動應用軟件處于所述移動應用軟件黑名單中時，確定所述移動應用軟件為不合格應用，并輸出不合格應用結果到所述移動應用軟件檢測機構服務器；
[0049]在所述已簽名移動應用軟件未處于所