具体实施方式

为了便于本领域技术人员的理解，下面结合实施例与附图对本发明作进一步的说明。

如图1所示，与安卓应用程序原生签名V1整体数据结构不同的是，V2/V3在原有 移动应用数据块基础上增加了APK签名块(APK Signature Block)，形成包括ZIP条路 的内容块(Contents of ZIP Entries)，APK签名块(APK Signature Block)，ZIP中央目录 块(Central Directory)，中央目录结尾块(End of Central Directory)的四部分数据块，在签 名块中有ID-VALUE配对的数据结构，其中ID为0x7109871a的代表V2签名，ID为0xf05368c0代表V3签名。

安卓应用程序原生签名V2，V3方案并没有一个在不改变Android原生签名验证基础上的副署签名机制，本实施例的方法主要解决在安卓原生签名V2，V3方案下的副署 签名机制。

实施例1：如图2所示，安卓V2签名分块，ID为0x7109871a，格式如下：

·带长度前缀的signer(带长度前缀)序列：

·带长度前缀的signed data：

·带长度前缀的digests(带长度前缀)序列：

·signature algorithm ID(uint32)

·(带长度前缀)digest-请参阅受完整性保护的内容

·带长度前缀的X.509certificates序列：

·带长度前缀的X.509certificate(ASN.1DER格式)

·带长度前缀的additional attributes(带长度前缀)序列：

·ID(uint32)

·value(可变长度：附加属性的长度-4个字节)

·带长度前缀的signatures(带长度前缀)序列：

·signature algorithm ID(uint32)

·signed data上带长度前缀的signature

·带长度前缀的public key(SubjectPublicKeyInfo，ASN.1DER形式)

本实施例是在V2签名块的基础上，实现可以在安卓签名机制V2版本上添加多个副署签名，而不影响安卓签名V2版本原有的验证机制，可以正常的安装及升级，并能 达到副署效果。

如图3所示，具体操作是在安卓应用程序签名数据块中，找出V2签名数据块(ID 为0x7109871a)，找到安卓原生签名者(Signer)数据块序列，在每一个签名者数据块 中找到addtional attributes数据块，在此数据块中插入ID为非0x7109871a的任意ID， ID的值为副署签名数据，副署签名是以安卓V2签名块中Signatures中的Signed data中 的签名值为原文，使用第三方副署证书的私钥对原文进行签名，但在此并不具体约束副 署签名数据格式，副署签名数据格式可以是PKCS#7，或者是如图3的左侧3列展示的 副署签名数据格式，以及其他副署签名格式。如果放置在此位置都是在本发明保护的范 围内，由于安卓原生签名是对安卓数据块ZIP条路的内容块(Contents of ZIP Entries)， ZIP中央目录块(Central Directory)，中央目录结尾块(End of Central Directory)的杂凑进 行签名，所以在此位置加入副署签名并不影响原生安卓应用的安装以及升级。

实施例2：如图4所示，安卓V3签名分块，ID为0xf05368c0,格式如下：

·带长度前缀的signer(带长度前缀)序列：

·带长度前缀的signed data：

·带长度前缀的digests(带长度前缀)序列：

·signature algorithm ID(4个字节)

·digest(带长度前缀)

·带长度前缀的X.509certificates序列：

·带长度前缀的X.509certificate(ASN.1DER形式)

·minSDK(uint32)-如果平台版本低于此数字，应忽略该签名者。

·maxSDK(uint32)-如果平台版本高于此数字，应忽略该签名者。

·带长度前缀的additional attributes(带长度前缀)序列：

·ID(uint32)

·value(可变长度：附加属性的长度-4个字节)

·ID-0x3ba06f8c

·value-Proof-of-rotation结构

·minSDK(uint32)-签名数据部分中minSDK值的副本-用于在当前平台不 在相应范围内时跳过对此签名的验证。必须与签名数据值匹配。

·maxSDK(uint32)-签名数据部分中maxSDK值的副本-用于在当前平台不 在相应范围内时跳过对此签名的验证。必须与签名数据值匹配。

·带长度前缀的signatures(带长度前缀)序列：

·signature algorithm ID(uint32)

·signed data上带长度前缀的signature

·带长度前缀的public key(SubjectPublicKeyInfo，ASN.1DER形式)

本实施例是在安卓应用原生签名V3版本机制的基础上，发明一种第三方数字证书副署签名的放置方法，通过此方法可以在安卓应用程序原生签名机制V3版本上添加多 个的副署签名，而不影响安卓应用程序V3版本本身的验证机制，能够正常的安装及升 级，并能达到副署的效果。

如图5所示，具体操作是在安卓应用程序签名数据块中，找出V3签名数据块(ID 为0xf05368c0)，找到安卓原生签名者(Signer)数据块序列，在每一个签名者的数据 块中找到addtional attributes数据块，在此数据块中插入ID为非0x7109871a和 0xf05368c0和0x3ba06f8c的任一ID，ID的VALUE为副署签名数据，副署签名是以安 卓V3签名块中Signatures中的Signed data中的签名值为原文，使用第三方副署证书的 私钥对原文进行签名，但在此并不具体约束副署签名数据格式，副署签名数据格式可以 是PKCS#7，或者是如图5的左侧3列展示的副署签名数据格式，以及其他副署签名格 式。由于安卓原生签名是对安卓数据块ZIP条路的内容块(Contents of ZIP Entries)，ZIP 中央目录块(CentralDirectory)，中央目录结尾块(End of Central Directory)的杂凑进行签 名，所以在位置中加入副署签名并不影响原生安卓应用的安装以及升级。

更具体的，如图6所示的基于V2或V3签名机制的第三方副署签名流程为：

1、读取安卓应用软件原生签名块(APK Signature Block)，从ID 0x7109871a中获取V2版本签名数据或从ID0xf05368c0中获取签名数据。

2、分别读出每一个签发者的数据结构。

3、生成副署签名数据结构(此结构不仅限于PKCS#7，以及如图3或图5的副署签 名数据格式，也可以为任意副署签名格式)，包括版本号，杂凑算法，签发者主题项， 签发者证书，签名算法等。

4、如副署签名需要加入可信时间，则从可信时间源中获取可信时间，在副署签名数据格式中加入可信时间属性。

5、使用原生签名值作为附属签名的原文(Signatures数据结构中的Signed data中的 签名值为原文)，对其做杂凑运算，把计算得出的杂凑值设置到可信属性中。

6、使用副署签名可信属性数据作为原文使用副署签名证书私钥签名。

7、把副署签名添加到原生签名的额外属性中ID-VALUE对中(ID可以是任意非0x7109871a和0xf05368c0和0x3ba06f8c的任一ID)。

8、如果原生签名中还有签发者，如果有跳到步骤2。

9、签名结束。

更具体的，如图7所示的基于V2或V3签名机制的第三方副署签名验证流程：

1、读取安卓应用软件原生签名块(APK Signature Block)，从ID 0x7109871a中获取V2版本签名数据或从ID0xf05368c0中获取签名数据。

2、分别读出每一个签发者的数据结构。

3、分别读出每一个副署签名的数据结构。

4、从副署签名数据结构中获取副署签名的数字证书。

5、如果需要在线验证证书状态，则通过可信证书服务进行验证。

6、如果不需要，则在本地验证证书有效性，验证证书链、验证黑白名单。

7、副署签名是否有杂凑属性，如果没有则验证失败。

8、获取杂凑属性，对原生签名进行杂凑，将计算的杂凑值与杂凑属性中的杂凑值对比，如果不同则验证失败。

9、把副署签名中可信属性数据作为原文，使用副署签名证书对副署签名值进行验证，验证失败则验证失败。

10、如果还有副署签名则跳转步骤3。

11、如果还有原生签名则跳转2。

12、验证成功。

以上的实施例仅为说明本发明的技术思想，不能以此限定本发明的保护范围，凡是 按照本发明提出的技术思想，在技术方案基础上所做的任何改动，均落入本发明保护范围之内。