[发明专利]移动Widget的数字签名方法

说明书

技术领域

本发明涉及移动Widget的数字签一种名方法。

背景技术

Widget是一小块可以在任意一个基于HTML的Web页面上执行的代码，其可用于实现如视频、地图、新闻、小游戏等应用。其思想在于代码复用，Widget的代码可包含动态HTML、JavaScript以及Adobe的Flash等。Widget提供了新的用户体验，能够使得用户定制自己需要的各种服务，个性化自己的用户界面。Widget的内容往往是通过网络实时更新的，因此用户使用Widget能够及时获得其所需要的信息，或者使得Widget程序本身能够即时更新。移动Widget是指在移动设备如手机上运行的Widget应用。

数字签名通常利用了非对称密钥或称为公开密钥加密的方法。非对称密钥指计算密钥时一次产生一对密钥，使用其中一个密钥加密后只能用这一对中的另一个密钥解密，其中只有加密者持有的一个密钥称为私钥，而另一个密钥称为公钥，由于私钥只有加密者持有，而公钥则可以事先公开给任何解密者或者随着加密的信息一同传递给解密者，解密者只要确定公钥是可靠的，若能利用公钥将信息解密就可以确定此信息确实是相应的加密者加密发送的。

由于非对称密钥的加解密计算量大，数字签名通常先计算所有要签名的文件的信息摘要，并且仅对摘要进行签名，由于对原始的文件进行任何的修改都会导致摘要的改变，因此数字签名可以对文件的完整性进行验证，同时还具有鉴权和不可抵赖的功能。

XML数字签名标准XML Signature是一个定义数字签名的XML语法的W3C推荐标准，可用来对任何类型的数据进行签名。

缺少数字签名的移动Widget包可能被未经授权修改，且最终用户无法得知移动Widget的来源是其所信任的可靠来源，这些都可能导致用户的信息泄露或其它安全问题。因此对移动Widget包进行数字签名，以对其完整性和来源可靠性进行验证是非常有必要的。

发明内容

本发明的目的在于提供一种移动Widget的数字签名方法，它利用了数字签名的功能，使得移动Widget用户能够对移动Widget包的完整性和来源可靠性进行验证，保证用户的移动Widget安全性。

本发明解决其技术问题所采用的技术方案是：

一种移动Widget的数字签名方法，其特征在于，包括以下两个方面：

1)生成移动Widget数字签名配置文件，所述移动Widget数字签名配置文件为XML文档，其生成步骤如下：

i.生成签名信息，其中包括数字签名方法、XML文档规范化方法和被签名文档的引用信息，其中被签名文档的引用信息又包含文档引用、计算摘要前转换方法、摘要计算方法以及摘要值；

ii.计算数字签名，对上一步中的签名信息内容进行XML文档规范化，然后使用开发者或发行者的私钥和签名信息中指定的数字签名方法对规范化的结果进行数字签名计算；

iii.按照数字签名配置文件命名规则在移动Widget包内根目录下创建数字签名配置文件，将前两步中生成的签名信息和数字签名值添加到数字签名配置文件中；

2)验证移动Widget数字签名，其包含以下步骤：

i.确定数字签名配置文件列表，按照生成数字签名配置文件的顺序将移动Widget包内根目录下的所有数字签名配置文件加入数字签名配置文件列表；

ii.按数字签名配置文件列表顺序逐一验证各数字签名配置文件，若其中有任何一个文件验证失败则此移动Widget的数字签名验证失败，提示出错；对于每个数字签名配置文件，验证方法包含以下步骤：

a)引用验证，计算所有被签名文件的摘要并对比数字签名配置文件中预先计算的摘要值，若不相等则验证失败，停止验证；

b)数字签名验证，对数字签名配置文件中的签名信息部分进行规范化，然后计算XML规范化结果的摘要，使用移动Widget客户端密钥库中的对应的公钥解密数字签名配置文件中包含的签名结果，并与摘要计算结果对比，若不相等则验证失败，否则此数字签名配置文件验证成功。

所述移动Widget数字签名配置文件中生成签名信息的步骤包括：

1)生成XML文档的“SignedInfo”元素；

2)生成“SignedInfo”元素的子元素“SignatureMethod”，该“SignatureMethod”子元素的“Algorithm”属性是数字签名方法的URI；