[发明专利]应用安装包的发布方法、验证方法和装置

说明书

本说明书实施例提供一种应用安装包的发布方法、验证方法和装置，该发布方法由已加入第一网络作为网络中第一节点的应用开发者执行，第一网络为去中心化的可信网络，可信网络包括多个节点，多个节点保存了第一节点的公钥；在可信网络中广播第一应用的应用信息和第一签名信息，以使可信网络中的第二节点根据第一节点的公钥对第一签名信息进行验证，并在验证成功后存储第一应用的应用信息；通过第二网络发布第一应用的安装包和第二签名信息，以使应用获取者根据从可信网络获取的第一节点的公钥对第二签名信息进行验证，并至少根据签名验证结果确定安装包是否为可信安装包，从而能够保证应用安装包的真实性以及可追溯性。

技术领域

本说明书一个或多个实施例涉及计算机领域，尤其涉及应用安装包的发布方法、验证方法和装置。

背景技术

随着手机、平板等智能设备的普及，应用(application，APP)的更新速度也逐渐加快，通常需要将应用安装包发布到网络上以供用户下载安装。在APP快速发展背景下，现行的应用安装包的发布方法中，主要通过各大应用商店发布应用安装包，应用商店作为主要APP发布渠道存在被黑客攻击的风险，如果应用商店被攻击，则会影响大规模用户。同时，很多小网站也会发布应用安装包，从而网上有很多山寨版的应用安装包，难以鉴别应用安装包的真假，并且这些山寨版的应用安装包有很多是恶意的应用安装包，例如病毒和木马APP，恶意APP的作者难以追溯。

因此，希望能有改进的方案，使得应用安装包的发布能够保证应用安装包的真实性以及可追溯性。

发明内容

本说明书一个或多个实施例描述了一种应用安装包的发布方法、验证方法和装置，使得应用安装包的发布能够保证应用安装包的真实性以及可追溯性。

第一方面，提供了一种应用安装包的发布方法，所述方法由已加入第一网络作为网络中第一节点的应用开发者执行，所述第一节点具有密钥对，所述密钥对包括所述第一节点的公钥和所述第一节点的私钥，所述第一网络为去中心化的可信网络，所述可信网络包括多个节点，所述多个节点保存了所述第一节点的公钥；方法包括：

所述应用开发者获取第一应用的应用信息，所述第一应用的应用信息包括所述第一节点的公钥；

所述应用开发者利用所述第一节点的私钥对所述第一应用的应用信息进行签名计算得到第一签名信息；

所述应用开发者在所述可信网络中广播所述第一应用的应用信息和所述第一签名信息，以使所述可信网络中的第二节点根据所述第一节点的公钥对所述第一签名信息进行验证，并在验证成功后存储所述第一应用的应用信息；

所述应用开发者利用所述第一节点的私钥对所述第一应用的安装包进行签名计算得到第二签名信息；

所述应用开发者通过第二网络发布所述第一应用的安装包和所述第二签名信息，以使应用获取者根据从所述可信网络获取的所述第一节点的公钥对所述第二签名信息进行验证，并至少根据签名验证结果确定所述安装包是否为可信安装包。

在一种可能的实施方式中，所述可信网络为区块链网络，所述第一应用的应用信息以区块的形式进行存储。

在一种可能的实施方式中，所述第一应用的应用信息还包括：

所述第一应用的安装包的标识信息和所述第一应用的安装包的属性信息。

进一步地，所述第一应用的安装包的标识信息包括以下至少一种信息：

所述第一应用的名称、所述第一应用的安装包的包名、所述第一应用的安装包的版本。

进一步地，所述第一应用的安装包的属性信息包括以下至少一种信息：

所述第一应用的安装包的大小、所述第一应用的安装包的开发时间、所述第一应用的安装包的哈希值。

第二方面，提供了一种应用安装包的验证方法，方法包括：