[发明专利]APK签名信息的安全验证方法、装置以及POS机

说明书

本发明提供了一种APK签名信息的安全验证方法，应用于POS机，所述POS机上封装有CA库的根证书，所述方法包括以下步骤：获取客户端签名证书以及客户端签名证书安装请求；通过封装于所述POS机的所述根证书校验所述客户端签名证书的合法性；其中，合法客户端签名证书是由所述根证书对应的子证书签名私钥获得；若校验到所述客户端签名证书合法，则将所述客户端签名证书安装并添加入信任证书列表。

技术领域

本发明涉及移动支付安全技术领域，尤其涉及一种APK签名信息的安全验证方法、装置以及POS机。

背景技术

现有的智能销售点终端(Point of Sale，POS)广泛采用Android系统，Android系统的应用程序称为APK，由于Android系统的开放性，并没有对APK进行严格的签名验签，各终端厂商都需要对其进行定制，保证只有合法的签名APK程序才能够允许被安装执行。

目前设备端的APK验签是直接将收单机构的APK签名公钥在设备出厂前就预置入终端，在安装时用公钥来验签APK签名，这种方式不灵活，而且很难保证APK签名公钥不会被篡改，另一方面由于多个用户的AOK签名公钥不同，则需要厂商针对每个签名公钥进行定制化设计，影响成本，因此需要一种满足不同用户的APK签名校验的APK签名信息的安全验证方法。

发明内容

本发明提供了一种APK签名信息的安全验证方法、装置以及POS机，旨在解决上述背景技术中提及的定制化问题以及签名容易被篡改的问题。

本发明提供了一种APK签名信息的安全验证方法，应用于POS机，所述POS机上封装有CA库的根证书，所述方法包括以下步骤：

获取客户端签名证书以及客户端签名证书安装请求；

通过封装于所述POS机的所述根证书校验所述客户端签名证书的合法性；其中，合法客户端签名证书是由所述根证书对应的子证书签名私钥获得；

若校验到所述客户端签名证书合法，则将所述客户端签名证书安装并添加入信任证书列表。

进一步的，所述“获取客户端签名证书以及客户端签名证书安装请求”之后还包括：

获取所述客户端签名证书的证书链；

将所述证书链转化为数组，沿证书链自上而下验证证书的所有者是否为下一个证书的颁布者；

若验证通过，则确定所述证书链合法。

进一步的，获取所述客户端签名证书的证书链，所述“通过封装于所述POS机的所述根证书校验所述客户端签名证书的合法性”具体包括：

校验所述证书链中的最上层证书的所有者是否所述POS机保存的所述根证书；

若校验到所述最上层证书的所有者为保存的所述根证书，则确定所述客户端签名证书合法。

进一步的，所述“校验到所述证书链中的最上层证书的所有者为所述POS机保存的所述根证书”之后还包括：

获取当前时间；

检验在当前时间下所述根证书是否处于撤销列表中；

若检验到所述根证书处于撤销列表中，则将相应的所述根证书标记为无效证书并确定所述客户端签名证书非法。

进一步的，所述方法还包括：

获取APK安装请求以及签名信息；

通过所述信任证书列表与所述签名信息与进行对比校验；

若检验到所述APK的签名信息与所述信任证书列表匹配，则进行APK安装步骤。

本发明还提供了一种APK签名信息的安全验证方法，应用于终端，所述方法包括：