[发明专利]一种安卓软件完整性校验方法和装置

说明书

本发明公开了一种安卓软件完整性校验方法和装置，包括：在从第三方软件平台获取安卓软件并安装后，获取安卓软件的基本信息；对基本信息进行填充处理，生成填充信息；通过SM3密码杂凑算法对填充信息进行杂凑运算，得到杂凑值；从第三方软件平台获取安卓软件的初始杂凑值；采用初始杂凑值对杂凑值进行完整性校验，根据校验结果判断安卓软件是否完整。本发明采用SM3密码杂凑算法对所获取的信息进行杂凑运算得到安卓软件的杂凑值，避免了MD5算法、SHA‑1算法所带来了安全隐患。此外，采用从第三方软件平台获取初始杂凑值对杂凑值进行校验，通过第三方平台校验当前安装的安卓软件的完整性，提高了对安卓软件进行校验的安全性。

技术领域

本发明涉及完整性校验技术领域，尤其涉及一种安卓软件完整性校验方法和装置。

背景技术

随着互联网的快速发展，Android设备成为人们生活、学习的重要组成部分。基于Android平台的移动设备让工作和生活变得高效、便捷的同时，因为其系统的开源性，Android成为最易受恶意攻击的平台之一，安全问题日益严重。由于勒索软件的制作成本低廉，可以进行点对点式直接敲诈，所以受到攻击者青睐，且二维码解锁与语音解锁正成为新的勒索形式。

为了提高移动设备的安全性，需要提供一种校验机制，在用户使用Android前的安装阶段就能够识别该APK(Android application package，安卓应用程序包)是否完整，是否是开发者提供的原始安装包，是否发生过第三方的篡改。Android应用程序采用签名机制来保证开发者的唯一性，对APK的完整性和唯一性进行校验。所有的Android应用程序，包括系统应用，必须由开发者签名。数据摘要算法是Android应用程序签名机制中重要的算法，目前Android市场上对于APK的校验都是基于MD5、SHA-1等传统密码算法，存在以下两个方面的问题：

(1)MD5算法、SHA-1算法是属于国际密码算法，可能存在算法上的后门，安全问题存在隐患。

(2)MD5算法对原始数据进行运算后可以产生16字节是散列值，即128bit数据长度；SHA-1算法对原始数据进行哈希运算后产生160bit的信息摘要作为输出。2160的数据映射空间尽管已经有很高的安全性，但是为了更大的数据映射空间以获得更高的安全性，还有其它数据摘要算法可以选择替代。

发明内容

本发明提供了一种安卓软件完整性校验方法和装置，用于解决现有的安卓软件完整性校验方法安全性低的技术问题。

本发明提供的一种安卓软件完整性校验方法，应用于安装有安卓系统的电子设备；所述电子设备与第三方软件平台通信；所述方法包括：

在从所述第三方软件平台获取安卓软件并安装后，获取所述安卓软件的基本信息；

对所述基本信息进行填充处理，生成填充信息；

通过SM3密码杂凑算法对所述填充信息进行杂凑运算，得到杂凑值；

从所述第三方软件平台获取所述安卓软件的初始杂凑值；

采用所述初始杂凑值对所述杂凑值进行完整性校验，根据校验结果判断所述安卓软件是否完整。

可选地，所述采用所述初始杂凑值对所述杂凑值进行完整性校验，根据校验结果判断所述安卓软件是否完整的步骤，包括：

判断所述初始杂凑值与所述杂凑值是否相等，若相等，则判定校验通过，所述安卓软件完整。

可选地，还包括：

当所述杂凑值与所述初始杂凑值不相等时，则判定校验失败，所述安卓软件不完整，并卸载所述安卓软件。

可选地，所述在从所述第三方软件平台获取安卓软件并安装后，获取所述安卓软件的基本信息的步骤包括：