本發明提供了一種APK簽名信息的安全驗證方法，應用于POS機，所述POS機上封裝有CA庫的根證書，所述方法包括以下步驟：獲取客戶端簽名證書以及客戶端簽名證書安裝請求；通過封裝于所述POS機的所述根證書校驗所述客戶端簽名證書的合法性；其中，合法客戶端簽名證書是由所述根證書對應的子證書簽名私鑰獲得；若校驗到所述客戶端簽名證書合法，則將所述客戶端簽名證書安裝并添加入信任證書列表。

技術領域

本發明涉及移動支付安全技術領域，尤其涉及一種APK簽名信息的安全驗證方法、裝置以及POS機。

背景技術

現有的智能銷售點終端(Point of Sale，POS)廣泛采用Android系統，Android系統的應用程序稱為APK，由于Android系統的開放性，并沒有對APK進行嚴格的簽名驗簽，各終端廠商都需要對其進行定制，保證只有合法的簽名APK程序才能夠允許被安裝執行。

目前設備端的APK驗簽是直接將收單機構的APK簽名公鑰在設備出廠前就預置入終端，在安裝時用公鑰來驗簽APK簽名，這種方式不靈活，而且很難保證APK簽名公鑰不會被篡改，另一方面由于多個用戶的AOK簽名公鑰不同，則需要廠商針對每個簽名公鑰進行定制化設計，影響成本，因此需要一種滿足不同用戶的APK簽名校驗的APK簽名信息的安全驗證方法。

發明內容

本發明提供了一種APK簽名信息的安全驗證方法、裝置以及POS機，旨在解決上述背景技術中提及的定制化問題以及簽名容易被篡改的問題。

本發明提供了一種APK簽名信息的安全驗證方法，應用于POS機，所述POS機上封裝有CA庫的根證書，所述方法包括以下步驟：

獲取客戶端簽名證書以及客戶端簽名證書安裝請求；

通過封裝于所述POS機的所述根證書校驗所述客戶端簽名證書的合法性；其中，合法客戶端簽名證書是由所述根證書對應的子證書簽名私鑰獲得；

若校驗到所述客戶端簽名證書合法，則將所述客戶端簽名證書安裝并添加入信任證書列表。

進一步的，所述“獲取客戶端簽名證書以及客戶端簽名證書安裝請求”之后還包括：

獲取所述客戶端簽名證書的證書鏈；

將所述證書鏈轉化為數組，沿證書鏈自上而下驗證證書的所有者是否為下一個證書的頒布者；

若驗證通過，則確定所述證書鏈合法。

進一步的，獲取所述客戶端簽名證書的證書鏈，所述“通過封裝于所述POS機的所述根證書校驗所述客戶端簽名證書的合法性”具體包括：

校驗所述證書鏈中的最上層證書的所有者是否所述POS機保存的所述根證書；

若校驗到所述最上層證書的所有者為保存的所述根證書，則確定所述客戶端簽名證書合法。

進一步的，所述“校驗到所述證書鏈中的最上層證書的所有者為所述POS機保存的所述根證書”之后還包括：

獲取當前時間；

檢驗在當前時間下所述根證書是否處于撤銷列表中；

若檢驗到所述根證書處于撤銷列表中，則將相應的所述根證書標記為無效證書并確定所述客戶端簽名證書非法。

進一步的，所述方法還包括：

獲取APK安裝請求以及簽名信息；

通過所述信任證書列表與所述簽名信息與進行對比校驗；

若檢驗到所述APK的簽名信息與所述信任證書列表匹配，則進行APK安裝步驟。

本發明還提供了一種APK簽名信息的安全驗證方法，應用于終端，所述方法包括：