[发明专利]应用的签名校验方法、装置及电子设备

说明书

本发明公开了一种应用的签名校验方法、装置及电子设备，其中，方法包括：提取应用的签名验证信息；将预设签名校验工具集成在应用中；在运行已集成预设签名校验工具的应用的过程中，调用预设签名校验工具，以根据签名验证信息对已集成预设签名校验工具的应用所对应的签名信息进行验证。该方式在应用导出前进行应用的签名校验信息的筛选采集，可以最大程度保证信息的完整性、一致性和多样性，加大了应用的破解难度；其次，将检测方案独立成签名校验工具，能够更好地集成与兼容不同的应用开发框架。

技术领域

本发明涉及应用安全技术领域，具体涉及一种应用的签名校验方法、装置及电子设备。

背景技术

随着科学技术的不断发展，破解应用不再是一件难事，将应用进行破解修改，例如做游戏外挂、应用脱壳、免费下载安装等，都严重损害了应用开发者的利益。若应用被修改之后重新上线，则需要修改应用的签名，因此为了保障应用开发者的利益，有效防止应用被破解重签，可以在运用运行时增加签名校验功能。

在一种现有的IOS签名校验方式中，首先在开发者的开发机器上生成一对公私钥L。同时系统有一对固定的公私钥A，公钥放在每一个IOS设备上，私钥放在系统后台。当开发者将公钥L传输到系统后台，系统用私钥L去签名公钥L，生成一份证书；系统根据开发者提供的证书、AppleID、可用权限和设备列表组成的数据，用私钥A签名生成描述文件；开发时用私钥L对应用进行签名得到数字签名文件，安装运行时IOS设备用私钥A去验证应用的数字签名是否正确。

在另一种现有的IOS签名校验方式中，应用的签名校验主要通过首页启动时，调用API接口与后台服务器进行验证，API对相关数据进行哈希，相关数据具体包括：原始URL、应用BundleIdentifier和时间戳，后台服务器通过算法进行校验，判断签名是否正确，若正确再返回访问令牌。

但是，发明人在实现本发明的过程中发现：针对于上述第一种签名校验方式，现如今应用破解的工具有很多，可以很方便地对应用进行重签名，并且依据其签名验证功能的原理，第三方只需拥有开发账号，使用签名机制重新打包签名，就可以避免签名检测功能，伪装成新的应用继续上架。针对上述第二种签名校验方式，该方式仅适合开发者单个使用，且需要后台服务器提供API接口支持，成本较高，不具备通用性，并且由于在该模式下进行重签，无需修改BundleIdentifier，一旦应用被逆向，第三方只需使用通配符的描述文件或企业签名进行重打包，很容易被破解。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的应用的签名校验方法、装置及电子设备。

根据本发明的一个方面，提供了一种应用的签名校验方法，包括：

提取应用的签名验证信息；

将预设签名校验工具集成在应用中；

在运行已集成预设签名校验工具的应用的过程中，调用预设签名校验工具，以根据签名验证信息对已集成预设签名校验工具的应用所对应的签名信息进行验证。

可选地，预设签名校验工具具体为签名校验SDK或者签名校验脚本。

可选地，将预设签名校验工具集成在应用中具体包括：

在应用的源码中配置预设签名校验工具；

或者，在应用的程序应用文件中集成预设签名校验工具。

可选地，根据签名验证信息对已集成预设签名校验工具的应用所对应的签名信息进行验证具体包括：

获取已集成签名校验工具的应用在安装过程中存储在数据磁盘中的文件信息，将文件信息与签名验证信息进行比对；

获取已集成签名校验工具的应用在运行内存中的签名段信息，将签名验证信息与运行内存中的签名段信息进行比对。