WO2015101149A1

WO2015101149A1 - 基于应用证书来检测应用安装包的安全性的方法、终端以及辅助服务器

Info

Publication number: WO2015101149A1
Application number: PCT/CN2014/093443
Authority: WO
Inventors: 陈继
Original assignee: 北京网秦天下科技有限公司
Priority date: 2013-12-30
Filing date: 2014-12-10
Publication date: 2015-07-09
Also published as: CN103778367A

Abstract

本发明提供了基于应用证书来检测应用安装包的安全性的方法、终端以及辅助服务器。该方法包括：(a)在应用证书库中，查找与待检测的应用安装包中包含的应用相对应的应用证书；(b)对在所述应用证书库中查找到的应用证书以及所述应用安装包中包含的应用证书进行比对；以及(c)基于所述比对的结果，根据一条或多条预定检测标准来提供相应的检测结果。

Description

基于应用证书来检测应用安装包的安全性的方法、终端以及辅助服务器

技术领域

本发明涉及应用安全领域，更具体地涉及移动终端上基于应用证书来检测应用安装包的安全性的方法、终端以及辅助服务器。

背景技术

随着移动终端的广泛流行，其已经成为了人们在生产生活中不可或缺的一部分，而终端上的应用(app)更是其中的重要组成部分。目前，对于基于例如安卓平台的应用市场和应用发布来说，应用的制作和发布通常比较随意和自由。具体地，任何用户只要使用合规的证书签发机制，则在对需要发布的应用证书签名之后，通过简单的认证流程，就能够在应用市场上顺利发布和允许应用下载和后续安装。

由于缺乏类似于由苹果商店提供的完善的验证机制，所以在各种安卓应用市场中的各类合法的官方应用经常会被恶意第三方进行二次或多次打包，并在向其中加入恶意代码或过度权限要求等之后被作为官方应用重新发布(例如，通过一些第三方下载站等)。由于在安卓系统下安装应用时，缺乏完备的应用验证机制，所以在安装过程中在终端的简单权限提示后，这种经过非法再次打包的恶意应用就可在终端上顺利安装，并最终导致用户的损失(例如，产生未经许可的流量、扣费、甚至敏感信息泄漏等等)，甚至使用户终端沦为傀儡设备(指利用漏洞，而成为恶意攻击的源头或跳板的设备)。

发明内容

为了解决上述问题，提供了根据本发明的基于应用证书来检测应用安装包的安全性的方法、终端及相应的辅助服务器。

根据本发明的第一方面，提供了一种在终端中执行的基于应用证书来检测应用安装包的安全性的方法。该方法包括：(a)在应用证书库中，查找与待检测的应用安装包中包含的应用相对应的应用证书；(b)对在所述应用证书库中查找到的应用证书以及所述应用安装包中包含的应用证书进行比对；以及(c)基于所述比对的结果，根据一条或多条预定检测标准来提供相应的检测结果。

在一些实施例中，所述应用证书库位于所述终端中，且是由所述终端从远程服务器下载的。

在一些实施例中，所述方法还包括：(d)向所述远程服务器发送更新请求，所述更新请求用于请求更新所述应用证书库；(e)从所述远程服务器接收更新请求结果以及可能的用于更新应用证书库的更新数据。

在一些实施例中，所述方法在步骤(e)之后还包括：如果所述更新请求结果指示存在针对所述应用证书库的更新，则所述终端使用接收到的所述更新数据来更新所述应用证书库。

在一些实施例中，所述更新数据是完全更新数据或增量更新数据。

在一些实施例中，所述应用证书库中的每一条应用证书记录至少包括：用于识别应用的应用特征数据；以及与该应用相对应的应用证书。

在一些实施例中，所述应用证书包括以下数据中的至少一项：版本信息、序列号、签名算法、发行机构、有效期、证书所有人、证书所有人公开密钥、以及证书发行者对证书的签名信息。

在一些实施例中，所述预定检测标准包括：在所述应用证书库中查找到的应用证书和所述应用安装包中包含的应用证书之间比对得到的不匹配项是否包括以下一项或多项：版本信息、序列号、签名算法、发行机构、证书所有人、证书所有人公开密钥、以及证书发行者对证书的签名信息。

在一些实施例中，步骤(c)包括：如果确定不匹配项包括版本信息、序列号、签名算法、发行机构、证书所有人、证书所有人公开密钥、以及证书发行者对证书的签名信息中的一项或多项，则提供指示所述应用安装包的应用证书非法的检测结果，否则提供指示所述应用安装包的应用证书合法的检测结果。

在一些实施例中，如果所述应用安装包被加密，则在所述应用安装包自解密之后，才执行步骤(a)及其后续步骤。

在一些实施例中，如果所述应用安装包未被加密，则在获取到所述应用安装包之后，就执行步骤(a)及其后续步骤。

在一些实施例中，所述方法在步骤(a)之前还包括：将所述应用安装包保存在存储器的临时隔离区中。

在一些实施例中，所述方法在步骤(c)之后还包括：如果所述检测结果指示所述应用安装包的应用证书合法，则将所述应用安装包移动至原目标下载位置并继续正常安装步骤；以及如果所述检测结果指示所述应用安装包的应用证书非法，则终止所述应用安装包的安装过程和/或向所述终端的用户告警。

在一些实施例中，如果在步骤(a)中未找到与待检测的应用安装包中包含的应用相对应的应用证书，则所述方法在步骤(a)和步骤(b)之间包括：(a1)向远程服务器提交所述应用安装包并请求所述远程服务器更新应用证书库；(a2)从所述远程服务器接收针对所述应用证书库的更新数据；以及(a3)使用接收到的所述更新数据来更新所述应用证书库。

根据本发明的第二方面，提供了一种基于应用证书来检测应用安装包的安全性的终端。该终端包括：查找单元，用于在应用证书库中，查找与待检测的应用安装包中包含的应用相对应的应用证书；比对单元，用于对在所述应用证书库中查找到的应用证书以及所述应用安装包中包含的应用证书进行比对；以及提供单元，用于基于所述比对的结果，根据一条或多条预定检测标准来提供相应的检测结果。

在一些实施例中，所述终端还包括：更新请求单元，用于向所述远程服务器发送更新请求，所述更新请求用于请求更新所述应用证书库；更新接收单元，用于从所述远程服务器接收更新请求结果以及可能的用于更新应用证书库的更新数据。

在一些实施例中，所述终端还包括：更新单元，用于如果所述更新请求结果指示存在针对所述应用证书库的更新，则所述终端使用接收到的所述更新数据来更新所述应用证书库。

在一些实施例中，所述提供单元还用于：如果确定不匹配项包括版本信息、序列号、签名算法、发行机构、证书所有人、证书所有人公开密钥、以及证书发行者对证书的签名信息中的一项或多项，则提供指示所述应用安装包的应用证书非法的检测结果，否则提供指示所述应用安装包的应用证书合法的检测结果。

在一些实施例中，所述终端还包括：解密单元，用于在所述应用安装包被加密的情况下，对所述应用安装包解密。

在一些实施例中，所述终端还包括：临时保存单元，用于将所述应用安装包保存在存储器的临时隔离区中。

在一些实施例中，所述临时保存单元还用于：如果所述检测结果指示所述应用安装包的应用证书合法，则将所述应用安装包移动至原目标下载位置并继续正常安装步骤；以及如果所述检测结果指示所述应用安装包的应用证书非法，则终止所述应用安装包的安装过程和/或向所述终端的用户告警。

在一些实施例中，所述终端还包括：特定应用更新请求单元，用于向远程服务器提交所述应用安装包并请求所述远程服务器更新应用证书库；特定应用更新接收单元，用于从所述远程服务器接收针对所述应用证书库的更新数据；以及特定应用更新单元，用于使用接收到的所述更新数据来更新所述应用证书库。

根据本发明的第三方面，提供了一种在服务器中执行的辅助检测应用安装包的安全性的方法。该方法包括：(a)从应用的官方发布渠道获取所述应用；(b)针对所述应用执行一项或多项安全性分析；(c)基于所述一项或多项安全性分析的结果，判断所述应用的安全性；以及(d)将被判断为安全的应用的应用证书存放到应用证书库中。

在一些实施例中，所述安全性分析包括以下各项中的一项或多项：证书信息分析、权限要求分析、网络行为分析、以及关键API调用分析。

在一些实施例中，所述方法还包括：(e)从终端接收更新请求，所述更新请求用于请求更新所述终端上的终端应用证书库；(f)根据所述更新请求中包括的版本信息，判断所述终端是否应当更新其终端应用证书库；以及(g)基于所述判断，向所述终端发送更新请求结果以及可能的用于更新所述终端的终端应用证书库的更新数据。

在一些实施例中，所述方法还包括：从终端接收用于针对特定应用安装包来更新应用证书库的请求和所述特定应用安装包的数据；针对所述特定应用安装包中包含的应用执行一项或多项安全性分析；基于所述一项或多项安全性分析的结果，判断所述特定应用安装包中包含的应用的安全性；以及基于所述判断，更新所述服务器的应用证书库，并向所述终端发送与所述特定应用安装包相关的针对所述终端的终端应用证书库的更新数据。

根据本发明的第四方面，提供了一种辅助检测应用安装包的安全性的服务器。该服务器包括：获取单元，用于从应用的官方发布渠道获取所述应用；分析单元，用于针对所述应用执行一项或多项安全性分析；判断单元，用于基于所述一项或多项安全性分析的结果，判断所述应用的安全性；以及存放单元，用于将被判断为安全的应用的应用证书存放到应用证书库中。

在一些实施例中，所述服务器还包括：更新请求接收单元，用于从终端接收更新请求，所述更新请求用于请求更新所述终端上的终端应用证书库；版本判断单元，用于根据所述更新请求中包括的版本信息，判断所述终端是否应当更新其终端应用证书库；以及更新结果发送单元，用于基于所述判断，向所述终端发送更新请求结果以及可能的用于更新所述终端的终端应用证书库的更新数据。

在一些实施例中，所述服务器还包括：特定应用更新接收单元，用于从终端接收用于针对特定应用安装包来更新应用证书库的请求和所述特定应用安装包的数据；特定应用分析单元，用于针对所述特定应用安装包中包含的应用执行一项或多项安全性分析；特定应用更新判断单元，用于基于所述一项或多项安全性分析的结果，判断所述特定应用安装包中包含的应用的安全性；以及特定应用更新单元，用于基于所述判断，更新所述服务器的应用证书库，并向所述终端发送与所述特定应用安装包相关的针对所述终端的终端应用证书库的更新数据。

通过使用本发明的方法、终端及相应的辅助服务器，可以提供基于移动终端的合法证书库建立和应用验证机制。从应用的发布到应用在终端上的安装，本发明以官方发布的应用作为验证基础，实现对移动应用签名证书的合法性验证机制。此外，本发明确保了应用在发布到安装使用过程中的合法性，避免用户安装经过非法再次打包的恶意应用，减少用户因使用恶意应用造成的各种损失，提高移动终端应用的安全性。

附图说明

通过下面结合附图说明本发明的优选实施例，将使本发明的上述及其它目的、特征和优点更加清楚，其中：

图1是示出了根据本发明的基于应用证书来检测应用安装包的安全性的系统的示例应用场景的示意图。

图2是示出了根据本发明的在服务器处创建、管理和下发合法证书信息以及在终端处检测应用安装包的安全性的示例流程图。

图3是示出了根据本发明实施例的在终端处执行的基于应用证书来检测应用安装包的安全性的示例方法的流程图。

图4是示出了根据本发明实施例的用于执行图3所示方法的示例终端的框图。

图5是示出了根据本发明实施例的在服务器处执行的用于辅助检测应用安装包的安全性的示例方法的流程图。

图6是示出了根据本发明实施例的用于执行图5所示的方法的示例服务器的框图。

具体实施方式

下面参照附图对本发明的优选实施例进行详细说明，在描述过程中省略了对于本发明来说是不必要的细节和功能，以防止对本发明的理解造成混淆。以下，以本发明应用于无线移动通信系统的场景为例，对本发明进行了详细描述。但本发明并不局限于此，本发明也可以应用于固定通信系统、有线通信系统，或者应用于无线移动通信系统、固定通信系统、有线通信系统等的任意混合结构。就移动通信系统而言，本发明并不局限于所涉及的各个移动通信终端的具体通信协议，可以包括(但不限于)2G、3G、4G、5G网络，WCDMA、CDMA2000、TD-SCDMA系统等，不同的移动终端可以采用相同的通信协议，也可以采用不同的通信协议。此外，本发明并不局限于移动终端的具体操作系统，可以包括(但不限于)iOS、Windows Phone、Symbian(塞班)、Android(安卓)等，不同的移动终端可以采用相同的操作系统，也可以采用不同的操作系统。

图1是示出了根据本发明的应用安全检测系统1000的应用场景的示意图。如图1所示，系统1000可以包括终端100和服务器200。为了清楚起见，图中仅示出了一个终端100、一个服务器200，但本发明并不局限于此，可以包括两个或更多数目的终端和/或服务器等等。终端100可以属于用户或者可以由用户操作。终端100和服务器200可以通过通信网络300进行通信。通信网络300的示例可以包括(但不限于)：互联网、移动通信网络、固定线路(如xDSL、光纤等)等。

在本发明的下述实施例中，以安卓平台为例来详细说明本发明的创造性理念。然而本发明不限于此，其也可以适用于其他平台，例如iOS、Windows Phone、Symbian等等。此外，在本发明的下述实施例中，主要通过以Python、Java等计算机语言编写的程序来实现。然而本发明不限于此，其也可以适用于其他计算机语言和/或其组合。

下面将参照图1和2来详细描述在服务器200处执行的应用证书库的建立、管理(维护)、下发等流程以及在终端100处执行的基于应用证书的应用安装包安全性检测流程。

服务器200处的应用证书库的建立、管理和下发的流程

(a)首先，可以通过Python语言实现“样本获取”模块(以下简称为SFM，即Sample Fetch Module)。该模块可以通过应用开发人员或开发机构公布的官方发布渠道，和/或辅以Google Play商店等权威第三方应用分发渠道，来获取应用的样本，以形成基本应用样本数据库(以下简称为BASD，即Basic App Sample Database)。当然，本发明不限于此，其也可以通过其他方式获得作为样本的应用，例如通过SD卡从受信的第三方复制等等。

(b)然后，可以通过Python语言实现样本验证和构建模块(以下简称为SVBM，即Sample Verification and Build Module)。该模块可以解析来自BASD的应用样本，并对其进行各种安全性分析。安全性分析可以包括以下各项中的一项或多项：证书信息分析、权限要求分析、网络行为分析、关键API调用分析等等。当然，安全性分析还可以包括针对安全性的其他分析，例如针对应用的特征代码分析等。

如果根据上述一个或多个分析的结果，确定应用的样本符合合法性要求，则可以将该应用样本的基本信息(例如，样本名称、样本版本、和/或签发时间)和对应的证书信息(例如，证书颁发机构、证书有效期、和/或证书文件)存放到合法样本数据库(以下简称为LSD，即Legal Sample Database)中，以形成LSD信息；

(c)接下来，可以通过Python语言来实现LSD信息的文件化处理(以下简称为LSDF，即LSD Filelize)。该模块从LSD信息中解析出最新的合法应用样本和对应的证书信息，并将这些信息以XML方式进行组织，以形成证书库文件(以下简称为CLF，即Certificate Library File)(完全更新)和更新证书库文件(以下简称为UCLF，即Updated Certificate Library File)(增量更新)。然后，可以将CLF和UCLF文件属性信息和保存位置信息写入证书库文件管理数据库中(以下简称为CLFM，即CLF Management)，用于证书库文件的归档管理和历史回溯等。换言之，这些更新文件是预先生成的，并被存储在CLFM中的。

在另一实施例中，可以不提前生成各种更新文件，而是在终端100请求时，根据终端100的更新请求中携带的版本信息等，实时生成针对终端100的更新数据。在该情况下，可以通过用时间换空间的方式，牺牲一定的响应速度来实现存储空间的节约。

(d)在LSDF的工作完成后，可以通过消息推送方式(例如，SIP消息等)，通知终端100存在证书库更新文件；或者通过其他方式来通知终端100存在证书库更新文件，例如短信、电子邮件等。终端100可以从服务器200下载和/或被推送完全更新(例如，CLF)，或者可以下载和/或被推送增量更新(例如，UCLF)。下载过程可以采用加密方式进行(例如，使用HTTPS协议)。同时，可以通过例如3DES加密算法(或其他任何加密算法)对CLF本身进行加密处理，以防止中间人攻击劫持造成文件丢失等。

接下来，将详细描述终端100处的基于应用证书来验证应用安装包的安全性的流程以及服务器200的对应流程。

(a)首先，可以通过Java结合NDK和SDK来实现终端100的证书合法性验证(以下简称为LCV，即Legal Certificate Verification)，LCV的主要功能模块包括CLF的管理和更新(以下简称为CLFC，即CLF Check)、下载应用证书验证(以下简称为DACV，即Downloaded Application Certificate Verification)、安装应用证书验证(以下简称为IACV，即Installed App Certificate Verification)、服务器合法应用证书获取通讯(以下简称为CFS，即Certificate From Server)等。这些模块都可以采用后端service方式运行，并工作在应用层。

大体上，DACV和IACV的工作方式类似，只是DACV负责对下载到的未加密的应用安装包进行安全性检测，而IACV负责对下载到的加密的应用安装包在该包解密之后进行安全性检测(由于其被加密，因此DACV不可能在加密情况下对该应用安装包进行证书)，下文中将对此进行更详细的描述。

(b)系统可以在启动时加载LCV，并由LCV来启用CLFC，以检测本地CLF是否存在。如果不存在，则CLFC可以向服务器200请求CLF，服务器200验证终端100身份有效后，可以将加密后的完全CLF通过HTTPS通道传递给CLFC。本发明不限于此，实际上在其他实施例中，服务器200可以不对终端100的身份进行验证。

如果本地CLF已经存在，则CLFC可以向服务器200请求CLF更新检查，如果存在更新，则服务器200可以在验证终端信息有效后(或可以不验证)，将基于更新请求中包含的终端100的本地CLF的版本信息所确定的相应UCLF加密后通过HTTPS通道传递给CLFC。基于本地CLF的版本信息所确定的UCLF可以确保该UCLF可以用于终端100，从而防止了更新失配。

在另一实施例中，可以将完整的CLF加密后通过HTTPS通道传递给CLFC，以整体替换原有的CLF。在另一些实施例中，CLF和/或UCLF可以是不加密的。

(c)接下来，CLFC可以在接收到加密的CLF或UCLF后，通过3DES算法(或其他对应解密算法)使用对应密钥进行解密，以获取明文CLF或UCLF。当然，如果CLF或UCLF并未被加密，则直接进行后续步骤。

如果是UCLF，则可以将文件内容更新到本地CLF，以形成最新CLF。否则，可以用CLF整体替换原有的CLF。

(d)之后，CLFC可以解析CLF文件，并在内存中形成文件信息和证书信息MAP对应关系链表(以下简称为ACM，即Application and Certificate Mapping)。在本发明的一个实施例中，证书信息可以包括以下各项中的一项或多项：版本信息、序列号、签名算法、发行机构、有效期、证书所有人、证书所有人公开密钥、以及证书发行者对证书的签名信息。在一个实施例中，ACM中的每条记录的格式可以如下所述：

<SHA1[证书信息(版本信息、序列号、签名算法...)]>

当然，本发明不限于此，也可以使用能够实现类似功能的其他格式。例如可以使用MD5值来替换SHA1值，或者可以交换数据项的顺序等等。

(e)然后，LCV可以启用DACV和IACV，以监测下载行为和安装行为。

(f)在DACV发现下载行为时，其可以接管下载动作，并将下载内容(以下简称为DC，即Downloaded Content)首先保存在临时隔离区(以下简称为TIL，即Temporary Isolation Location)。当然，此处的下载为广义的下载，即至少可以包含：通过互联网下载，通过局域网下载，通过蓝牙下载，通过WiFi下载，通过可拆卸式存储器卡(例如，SD卡)下载(拷贝)，通过USB端口下载，通过红外端口下载等等。

(g)之后，DACV可以分析DC，如果该DC不是应用安装文件，则DACV可以释放其对下载行为的接管，并将DC从TIL移动到原目标下载地址，并执行正常的下载操作。

如果DC是安装文件而且DACV可以对DC进行信息解析时(例如，由于DC未被加密)，DACV可以首先解析DC的文件信息。然后DACV可以根据文件信息(例如，该应用的名称、数字摘要MD5或SHAl值)来查询ACM，以获取对应完整文件信息和证书信息(以下简称为MCI，即Matched Certificate Info)。

如果查询到匹配信息，则DACV可以对DC中的证书内容和MCI进行比较。如果发现存在不匹配项且符合设定的检测标准中的危险级别时，将给出系统警告消息，以通知用户下载应用安装文件证书信息非法，存在高风险。DC相关信息在本地进行记录后，将被删除。

在一个实施例中，检测标准可以是：通过在MCI和DC中的应用证书之间比对得到的不匹配项是否包括以下一项或多项：版本信息、序列号、签名算法、发行机构、证书所有人、证书所有人公开密钥、以及证书发行者对证书的签名信息。即，检测标准可以是判断证书中除了有效期之外的其它数据项是否一致。

如果DACV发现DC内容被加密而无法解析时，IACV将被启用，并接管对DC的后续行为检测。在DC完成自解密过程(例如由终端100的主处理器对其进行解密)并产生解密后文件(以下简称为DDC，即Decrypted Download Content)并开始采取安装行为时，IACV将接管DDC的安装行为。其对DDC进行分析，获取文件信息，然后根据文件信息查询ACM，以获取MCI。

类似于DACV的操作，如果查询到匹配信息，则IACV可以对DDC中证书内容和MCI进行比较，如果发现存在不匹配项且符合设定的检测标准中的危险级别时，将给出系统警告消息，通知用户下载应用安装文件证书信息非法，存在高风险。DDC相关信息在本地进行记录后，将被终止其安装行为，并将操作过程记录到指定日志文件中。

如果DACV和IACV对DC或DDC的检查均为正常，则该DC或DDC将被允许后续的所有操作。

(h)当在ACM中无法查找到匹配选项时，DACV和/或IACV向服务器200发出CLF更新请求并同时上传相应的DC和/或DDC信息。然后等待服务器200针对相应应用生成了更新CLF、并下发到终端100后，由DACV和/或IACV重新查找ACM信息，然后再次进行(g)中的所有验证过程。

(i)LCV、DACV、IACV工作过程产生的所有日志可以通过明文方式记录在SD卡中的指定位置，例如“/sdcard/lcv/alllog”。文件可以通过XML格式进行存放。当然那，本发明不限于此，也可以用其他加密/不加密格式在终端100和/或服务器200的任意存储位置单独和/或合并存储各个模块的日志。日志文件定期进行归档打包后，可以上传到服务器200进行统一管理。

这样，通过上述流程，可以提供基于终端100的合法证书库建立和应用验证机制。其从应用发布到应用在终端100上的安装，以官方发布应用作为验证基础，实现对移动应用签名证书的合法性验证机制。此外，其确保应用在发布到安装使用过程中的合法性，避免用户安装经过非法再次打包的恶意应用，减少用户因使用恶意应用造成的各种损失，提高移动终端应用的安全性。

图3是示出了根据本发明实施例的在终端100中执行的基于应用证书来检测应用安装包的安全性的方法400的流程图。如图3所示，方法400可以包括步骤S410、S420和S430。根据本发明，方法400的一些步骤可以单独执行或组合执行，以及可以并行执行或顺序执行，并不局限于图3所示的具体操作顺序。在一些实施例中，方法400可以由图1所示的终端100执行。

图5是示出了根据本发明实施例的在服务器200中执行的辅助检测应用安装包的安全性的方法450的流程图。如图5所示，方法450可以包括步骤S460、S470、S480和S490。根据本发明，方法450的一些步骤可以单独执行或组合执行，以及可以并行执行或顺序执行，并不局限于图5所示的具体操作顺序。在一些实施例中，方法450可以由图1所示的服务器200执行。

图4是示出了根据本发明实施例的基于应用证书来检测应用安装包的安全性的示例终端100的框图。如图4所示，终端100可以包括：查找单元110、比对单元120和提供单元130。

查找单元110可以用于在应用证书库中，查找与待检测的应用安装包中包含的应用相对应的应用证书。查找单元110可以是终端100的中央处理单元(CPU)、数字信号处理器(DSP)、微处理器、微控制器等等，其可以与终端100的通信部分(例如，无线收发信机、以太网卡、xDSL调制解调器等)和/或存储部分(例如，RAM、SD卡等)相配合，在本地的应用证书库和/或远程的应用证书库中，查找与待检测的应用安装包中包含的应用相对应的应用证书。

比对单元120可以用于对在应用证书库中查找到的应用证书以及应用安装包中包含的应用证书进行比对。比对单元110可以是终端100的中央处理单元(CPU)、数字信号处理器(DSP)、微处理器、微控制器等等，其可以与终端100的存储部分(例如，RAM、SD卡等)相配合，对在应用证书库中查找到的应用证书以及应用安装包中包含的应用证书进行比对。

提供单元130可以用于基于比对的结果，根据一条或多条预定检测标准来提供相应的检测结果。提供单元130可以是终端100的中央处理单元(CPU)、数字信号处理器(DSP)、微处理器、微控制器等等，其可以与终端100的输出部分(例如，显示器、打印机等)相配合，基于比对的结果，根据一条或多条预定检测标准来提供相应的检测结果。

此外，终端100还可以包括图4中未示出的其他单元，例如更新请求单元、更新接收单元、更新单元、解密单元、临时保存单元、特定应用更新请求单元、特定应用更新接收单元、以及特定应用更新单元等。在一些实施例中，更新请求单元可以用于向远程服务器200发送更新请求，该更新请求用于请求更新应用证书库。在一些实施例中，更新接收单元可以用于从远程服务器200接收更新请求结果以及可能的用于更新应用证书库的更新数据。在一些实施例中，更新单元可以用于如果更新请求结果指示存在针对应用证书库的更新，则终端100使用接收到的更新数据来更新应用证书库。在一些实施例中，解密单元可以用于在应用安装包被加密的情况下，对该应用安装包解密。在一些实施例中，临时保存单元可以用于将应用安装包保存在存储器的临时隔离区中。在一些实施例中，特定应用更新请求单元可以用于向远程服务器200提交应用安装包并请求远程服务器200更新应用证书库。在一些实施例中，特定应用更新接收单元可以用于从远程服务器200接收针对应用证书库的更新数据。在一些实施例中，特定应用更新单元可以用于使用接收到的更新数据来更新应用证书库。

图6是示出了根据本发明实施例的用于辅助检测应用安装包的安全性的示例服务器200的框图。如图6所示，服务器200可以包括：获取单元210、分析单元220、判断单元230和存放单元240。

获取单元210可以用于从应用的官方发布渠道获取应用。获取单元210可以是服务器200的中央处理单元(CPU)、数字信号处理器(DSP)、微处理器、微控制器等等，其可以与服务器200的通信部分(例如，无线收发信机、以太网卡、xDSL调制解调器等)和/或存储部分(例如，RAM、SD卡等)相配合，从应用的官方发布渠道获取应用。

分析单元220可以用于针对应用执行一项或多项安全性分析。比分析元220可以是服务器200的中央处理单元(CPU)、数字信号处理器(DSP)、微处理器、微控制器等等，其可以针对应用执行一项或多项安全性分析，例如证书信息分析、权限要求分析、网络行为分析、关键API调用分析等。

判断单元230可以用于基于一项或多项安全性分析的结果，判断该应用的安全性。判断单元230可以是服务器200的中央处理单元(CPU)、数字信号处理器(DSP)、微处理器、微控制器等等，其可以基于一项或多项安全性分析的结果，判断该应用的安全性。

存放单元240可以用于将被判断为安全的应用的应用证书存放到应用证书库中。存放单元240可以是服务器200的中央处理单元(CPU)、数字信号处理器(DSP)、微处理器、微控制器等等，其可以与服务器200的存储部分(例如，RAM、SD卡等)相配合，将被判断为安全的应用的应用证书存放到应用证书库中。

此外，服务器200还可以包括图6中未示出的其他单元，例如更新请求接收单元、版本判断单元、更新结果发送单元、特定应用更新接收单元、特定应用分析单元、特定应用更新判断单元、以及特定应用更新单元。在一些实施例中，更新请求接收单元可以用于从终端100接收更新请求，该更新请求用于请求更新终端100上的终端应用证书库。在一些实施例中，版本判断单元可以用于根据更新请求中包括的版本信息，判断终端100是否应当更新其终端应用证书库。在一些实施例中，更新结果发送单元可以用于基于判断，向终端100发送更新请求结果以及可能的用于更新终端100的终端应用证书库的更新数据。在一些实施例中，特定应用更新接收单元可以用于从终端100接收用于针对特定应用安装包来更新应用证书库的请求和该特定应用安装包的数据。在一些实施例中，特定应用分析单元可以用于针对特定应用安装包中包含的应用执行一项或多项安全性分析。在一些实施例中，特定应用更新判断单元可以用于基于一项或多项安全性分析的结果，判断特定应用安装包中包含的应用的安全性。在一些实施例中，特定应用更新单元可以基于该判断，更新服务器200的应用证书库，并向终端100发送与特定应用安装包相关的针对终端100的终端应用证书库的更新数据。

以下将结合图3和图4，对根据本发明实施例的在终端100上执行的基于应用证书来检测应用安装包的安全性的方法400和终端100进行详细的描述。

方法400开始于步骤S410，在步骤S410中，可以由终端100的查找单元110在应用证书库中，查找与待检测的应用安装包中包含的应用相对应的应用证书。

在步骤S420中，可以由终端100的比对单元120对在应用证书库中查找到的应用证书以及应用安装包中包含的应用证书进行比对。

在步骤S430中，可以由终端100的提供单元130基于比对的结果，根据一条或多条预定检测标准来提供相应的检测结果。

在一些实施例中，应用证书库可以位于终端100中，且可以是由终端100从远程服务器200下载的。

在一些实施例中，方法400还可以包括：(402)向远程服务器200发送更新请求，更新请求用于请求更新应用证书库；(404)从远程服务器200接收更新请求结果以及可能的用于更新应用证书库的更新数据。

在一些实施例中，方法400在步骤(404)之后还可以包括：如果更新请求结果指示存在针对应用证书库的更新，则终端100使用接收到的更新数据来更新应用证书库。

在一些实施例中，更新数据可以是完全更新数据或增量更新数据。

在一些实施例中，应用证书库中的每一条应用证书记录可以至少包括：用于识别应用的应用特征数据；以及与该应用相对应的应用证书。

在一些实施例中，应用证书可以包括以下数据中的至少一项：版本信息、序列号、签名算法、发行机构、有效期、证书所有人、证书所有人公开密钥、以及证书发行者对证书的签名信息。

在一些实施例中，预定检测标准可以包括：在应用证书库中查找到的应用证书和应用安装包中包含的应用证书之间比对得到的不匹配项是否包括以下一项或多项：版本信息、序列号、签名算法、发行机构、证书所有人、证书所有人公开密钥、以及证书发行者对证书的签名信息。

在一些实施例中，步骤S430可以包括：如果确定不匹配项包括版本信息、序列号、签名算法、发行机构、证书所有人、证书所有人公开密钥、以及证书发行者对证书的签名信息中的一项或多项，则提供指示应用安装包的应用证书非法的检测结果，否则提供指示应用安装包的应用证书合法的检测结果。

在一些实施例中，如果应用安装包被加密，则可以在应用安装包自解密之后，才执行步骤S410及其后续步骤。

在一些实施例中，如果应用安装包未被加密，则可以在获取到应用安装包之后，就执行步骤S410及其后续步骤。

在一些实施例中，方法400在步骤S410之前还可以包括：将应用安装包保存在存储器的临时隔离区中。

在一些实施例中，方法400在步骤S430之后还可以包括：如果检测结果指示应用安装包的应用证书合法，则将应用安装包移动至原目标下载位置并继续正常安装步骤；以及如果检测结果指示应用安装包的应用证书非法，则终止应用安装包的安装过程和/或向终端100的用户告警。

在一些实施例中，如果在步骤S410中未找到与待检测的应用安装包中包含的应用相对应的应用证书，则方法400在步骤S410和步骤S420之间可以包括：(S412)向远程服务器200提交应用安装包并请求远程服务器200更新应用证书库；(S414)从远程服务器200接收针对应用证书库的更新数据；以及(S416)使用接收到的更新数据来更新应用证书库。

以下将结合图5和图6，对根据本发明实施例的用于在服务器200处执行的辅助检测应用安装包的安全性的方法450和服务器200进行详细的描述。

方法450开始于步骤S460，在步骤S460中，可以由服务器200的获取单元210从应用的官方发布渠道获取应用。

在步骤S470中，可以由服务器200的分析单元220针对应用执行一项或多项安全性分析。

在步骤S480中，可以由服务器200的判断单元230基于一项或多项安全性分析的结果，判断应用的安全性。

在步骤S490中，可以由服务器200的存放单元240将被判断为安全的应用的应用证书存放到应用证书库中。

在一些实施例中，安全性分析可以包括以下各项中的一项或多项：证书信息分析、权限要求分析、网络行为分析、以及关键API调用分析。

在一些实施例中，方法450还可以包括：(452)从终端100接收更新请求，该更新请求用于请求更新终端100上的终端应用证书库；(454)根据更新请求中包括的版本信息，判断终端100是否应当更新其终端应用证书库；以及(456)基于该判断，向终端100发送更新请求结果以及可能的用于更新终端100的终端应用证书库的更新数据。

在一些实施例中，方法450还可以包括：从终端100接收用于针对特定应用安装包来更新应用证书库的请求和该特定应用安装包的数据；针对特定应用安装包中包含的应用执行一项或多项安全性分析；基于一项或多项安全性分析的结果，判断特定应用安装包中包含的应用的安全性；以及基于该判断，更新服务器200的应用证书库，并向终端100发送与特定应用安装包相关的针对终端100的终端应用证书库的更新数据。

至此已经结合优选实施例对本发明进行了描述。应该理解，本领域技术人员在不脱离本发明的精神和范围的情况下，可以进行各种其它的改变、替换和添加。因此，本发明的范围不局限于上述特定实施例，而应由所附权利要求所限定。

Claims

一种在终端中执行的基于应用证书来检测应用安装包的安全性的方法，包括：

(a)在应用证书库中，查找与待检测的应用安装包中包含的应用相对应的应用证书；

(b)对在所述应用证书库中查找到的应用证书以及所述应用安装包中包含的应用证书进行比对；以及

(c)基于所述比对的结果，根据一条或多条预定检测标准来提供相应的检测结果。
根据权利要求1所述的方法，其中，所述应用证书库位于所述终端中，且是由所述终端从远程服务器下载的。
根据权利要求2所述的方法，还包括：

(d)向所述远程服务器发送更新请求，所述更新请求用于请求更新所述应用证书库；

(e)从所述远程服务器接收更新请求结果以及可能的用于更新应用证书库的更新数据。
根据权利要求3所述的方法，在步骤(e)之后还包括：

如果所述更新请求结果指示存在针对所述应用证书库的更新，则所述终端使用接收到的所述更新数据来更新所述应用证书库。
根据权利要求3所述的方法，其中，所述更新数据是完全更新数据或增量更新数据。
根据权利要求1所述的方法，其中，所述应用证书库中的每一条应用证书记录至少包括：

用于识别应用的应用特征数据；以及

与该应用相对应的应用证书。
根据权利要求1所述的方法，其中，所述应用证书包括以下数据中的至少一项：版本信息、序列号、签名算法、发行机构、有效期、证书所有人、证书所有人公开密钥、以及证书发行者对证书的签名信息。
根据权利要求7所述的方法，其中，所述预定检测标准包括：在所述应用证书库中查找到的应用证书和所述应用安装包中包含的应用证书之间比对得到的不匹配项是否包括以下一项或多项：版本信息、序列号、签名算法、发行机构、证书所有人、证书所有人公开密钥、以及证书发行者对证书的签名信息。
根据权利要求8所述的方法，其中，步骤(c)包括：

如果确定不匹配项包括版本信息、序列号、签名算法、发行机构、证书所有人、证书所有人公开密钥、以及证书发行者对证书的签名信息中的一项或多项，则提供指示所述应用安装包的应用证书非法的检测结果，否则提供指示所述应用安装包的应用证书合法的检测结果。
根据权利要求1所述的方法，其中，如果所述应用安装包被加密，则在所述应用安装包自解密之后，才执行步骤(a)及其后续步骤。
根据权利要求1所述的方法，其中，如果所述应用安装包未被加密，则在获取到所述应用安装包之后，就执行步骤(a)及其后续步骤。
根据权利要求1所述的方法，在步骤(a)之前还包括：

将所述应用安装包保存在存储器的临时隔离区中。
根据权利要求12所述的方法，在步骤(c)之后还包括：

如果所述检测结果指示所述应用安装包的应用证书合法，则将所述应用安装包移动至原目标下载位置并继续正常安装步骤；以及

如果所述检测结果指示所述应用安装包的应用证书非法，则终止所述应用安装包的安装过程和/或向所述终端的用户告警。
根据权利要求1所述的方法，其中，如果在步骤(a)中未找到与待检测的应用安装包中包含的应用相对应的应用证书，则所述方法在步骤(a)和步骤(b)之间包括：

(a1)向远程服务器提交所述应用安装包并请求所述远程服务器更新应用证书库；

(a2)从所述远程服务器接收针对所述应用证书库的更新数据；以及

(a3)使用接收到的所述更新数据来更新所述应用证书库。
一种基于应用证书来检测应用安装包的安全性的终端，包括：

查找单元，用于在应用证书库中，查找与待检测的应用安装包中包含的应用相对应的应用证书；

比对单元，用于对在所述应用证书库中查找到的应用证书以及所述应用安装包中包含的应用证书进行比对；以及

提供单元，用于基于所述比对的结果，根据一条或多条预定检测标准来提供相应的检测结果。
一种在服务器中执行的辅助检测应用安装包的安全性的方法，包括：

(a)从应用的官方发布渠道获取所述应用；

(b)针对所述应用执行一项或多项安全性分析；

(c)基于所述一项或多项安全性分析的结果，判断所述应用的安全性；以及

(d)将被判断为安全的应用的应用证书存放到应用证书库中。
根据权利要求16所述的方法，其中，所述安全性分析包括以下各项中的一项或多项：证书信息分析、权限要求分析、网络行为分析、以及关键API调用分析。
根据权利要求16所述的方法，其中，所述应用证书包括以下数据中的至少一项：版本信息、序列号、签名算法、发行机构、有效期、证书所有人、证书所有人公开密钥、以及证书发行者对证书的签名信息。
根据权利要求16所述的方法，其中，所述应用证书库中的每一条应用证书记录至少包括：

用于识别应用的应用特征数据；以及

与该应用相对应的应用证书。
根据权利要求16所述的方法，还包括：

(e)从终端接收更新请求，所述更新请求用于请求更新所述终端上的终端应用证书库；

(f)根据所述更新请求中包括的版本信息，判断所述终端是否应当更新其终端应用证书库；以及

(g)基于所述判断，向所述终端发送更新请求结果以及可能的用于更新所述终端的终端应用证书库的更新数据。
根据权利要求20所述的方法，其中，所述更新数据是完全更新数据或增量更新数据。
根据权利要求16所述的方法，还包括：

从终端接收用于针对特定应用安装包来更新应用证书库的请求和所述特定应用安装包的数据；

针对所述特定应用安装包中包含的应用执行一项或多项安全性分析；

基于所述一项或多项安全性分析的结果，判断所述特定应用安装包中包含的应用的安全性；以及

基于所述判断，更新所述服务器的应用证书库，并向所述终端发送与所述特定应用安装包相关的针对所述终端的终端应用证书库的更新数据。
一种辅助检测应用安装包的安全性的服务器，包括：

获取单元，用于从应用的官方发布渠道获取所述应用；

分析单元，用于针对所述应用执行一项或多项安全性分析；

判断单元，用于基于所述一项或多项安全性分析的结果，判断所述应用的安全性；以及

存放单元，用于将被判断为安全的应用的应用证书存放到应用证书库中。