WO2017166561A1 - 一种基于安卓系统apk下载方法及其系统 - Google Patents

Abstract

一种基于安卓系统APK下载方法及其系统，方法包括：对包含授信应用列表文件的APK进行签名，得到签名后APK，所述授信应用列表文件包括各个授信APK的包名和对应的公钥证书（S1）；终端获取所述签名后APK（S2）；验证所述签名后APK的合法性（S3），验证通过后，存储所述授信应用列表文件至终端；获取一APK（S4），终端验证所述一APK的合法性（S41）；若验证不通过，则判断所述一APK的包头和对应的公钥证书是否存储于所述授信应用列表文件中（S43）；若是，则继续使用安卓签名机制验证所述一APK的合法性（S45）。该方法增加授信应用列表文件，简化已授信APK下载安装的过程，进而简化授信APK的更新升级过程；减少应用更新升级对终端正常工作的影响。

Description

一种基于安卓系统APK下载方法及其系统 技术领域

本发明涉及签名认证领域，具体说的是一种基于安卓系统APK下载方法及其系统。

背景技术

Android安卓系统是Google公司开发的基于Linux架构的开源操作系统，其上的安装程序均为APK(Android Package)格式。

在金融支付领域，一般是由收单机构(如银行系统)采购支付终端厂商(如各个POS机厂商)的智能终端设备(POS机)，由收单系统对支付终端进行集中管理，包括参数下载，密钥下载，接受、处理或转发支付终端的交易请求，并向支付终端回送交易结果信息，是集中管理和交易处理的系统。收单系统会在支付终端上安装自己的程序，并为支付终端设备维护已签名的APK，也可能需要将APK安装到其他Android设备中。

为了保证支付终端上程序的合法性，终端需要引入数字签名方案，在终端预置收单机构下发的根公钥证书，只有通过根公钥证书下属的工作公钥证书对应的私钥签名的APK才能安装到支付终端。若APK的版本等信息需要更新升级，则新升级的APK便需要重新通过收单方进行上述的签名后，才能被下载安装到支付终端。这样，即使是已经授信的APK，每次的更新升级都还是需要重新进行签名和验证，重复签名验证的过程加重了终端的工作负担，同时延长了APK更新升级所耗费的时间，耽误支付终端的正常工作。

公开号为CN101425114的中国专利，公开了一种软件升级包封装的方法，具体公开了包括以下步骤：a、软件升级包发行商确定需要对升级软件包进行验证的多个认证机构；b、升级软件明文经哈希运算后得到的信息摘要经多个认证机构的私钥分别进行加密，得到各认证机构的数字签名；c、软件升级包发行商将软件明文、各认证机构的数字签名和各认证机构的数字证书重新组合为软件升级包发送至终端设备。

上述更新安装还是需要经过认证机构的签名验证，仍然无法消除每次APK升级时都需要终端重新签名和验签而对终端正常工作带来的影响。

发明内容

本发明所要解决的技术问题是：提供一种基于安卓系统APK下载方法及其系统，在保证APK安全性的前提下，简化下载过程的验签流程，便于授信APK更新升级。

为了解决上述技术问题，本发明采用的技术方案为：

一种基于安卓系统APK下载方法，包括：

对包含授信应用列表文件的APK进行签名，得到签名后APK，所述授信应用列表文件包括各个授信APK的包名和对应的公钥证书；

终端获取所述签名后APK；验证所述签名后APK的合法性，验证通过后，存储所述授信应用列表文件；

获取一APK，终端验证所述一APK的合法性；

若验证不通过，则判断所述一APK的包头和对应的公钥证书是否存储于所述授信应用列表文件中；

若是，则使用安卓签名机制验证所述一APK的合法性。

本发明提供的另一个技术方案为：

一种基于安卓系统APK下载系统，包括：

第一签名模块，用于对包含授信应用列表文件的APK进行签名，得到签名后APK，所述授信应用列表文件包括各个授信APK的包名和对应的公钥证书；

第一获取模块，用于终端获取所述签名后APK；

第一验证模块，用于验证所述签名后APK的合法性；

存储模块，用于第一验证模块的验证结果为验证通过时，存储所述授信应用列表文件；

第二验证模块，用于获取一APK，终端验证所述一APK的合法性；

第一判断模块，用于第二验证模块的验证结果为不通过时，判断所述一APK的包头和对应的公钥证书是否存储于所述授信应用列表文件中；

第三验证模块，用于第一判断模块的判断结果为是时，则使用安卓签名机制验证所述一APK的合法性。

本发明的有益效果在于：本发明的APK下载方法及其系统，允许授信的APK不需要经过终端根公钥证书下属的工作公钥证书对应的私钥签名，就可以下载到终端。由于是授信的APK，因此能够确保该APK的来源可靠，符合安全性要求；与此同时，由于该APK的安全性已经得到肯定，便无需再经过收单机构的签名，以及终端依据收单机构根公钥证书的验签流程，安全可靠的授信APK能够直接下载安装到终端，大大简化了授信APK的更新升级过程；避免授信APK的更新升级影响终端的正常工作，同时减轻收单系统以及终端的工作负担，又能确保安装的APK的合法性。

附图说明

图1为本发明一种基于安卓系统APK下载方法的方法流程示意图；

图2为本发明一种基于安卓系统APK下载方法中包含授信应用列表的APK下载流程示意图；

图3为本发明一种基于安卓系统APK下载方法中APK验签流程示意图；

图4为本发明一种基于安卓系统APK下载系统的功能模块组成示意图；

图5为本发明基于安卓系统APK下载系统中第一签名模块的组成示意图；

图6为本发明基于安卓系统APK下载系统中第一验证模块的组成示意图；

图7为本发明基于安卓系统APK下载系统中第三验证模块的组成示意图。

标号说明：

1、第一签名模块；2、第一获取模块；3、第一验证模块；

4、存储模块；5、第二验证模块；6、第一判断模块；7、第三验证模块；

11、第一生成单元；12、第一签名单元；13、第二生成单元；

31、第三生成单元；32、第一验证单元；33、第二验证单元；

71、第三验证单元；72、第四验证单元；73、第五验证单元。

具体实施方式

本发明最关键的构思在于：将包含授信应用列表文件的APK按照现有签名验签机制下载到终端；判断无法通过收单机构验签机制的APK及其签名证书是否存储在授信应用列表中，判定该APK是否授信，只有授信的APK才继续进行系统的原生验签。

请参照图1，本发明提供一种基于安卓系统APK下载方法，包括：

对包含授信应用列表文件的APK进行签名，得到签名后APK，所述授信应用列表文件包括各个授信APK的包名和对应的公钥证书；

终端获取所述签名后APK；验证所述签名后APK的合法性，验证通过后，存储所述授信应用列表文件；

获取一APK，终端验证所述一APK的合法性；

若验证不通过，则判断所述一APK的包头和对应的公钥证书是否存储于所述授信应用列表文件中；

若是，则使用安卓签名机制验证所述一APK的合法性。

从上述描述可知，本发明的有益效果在于：终端预置收单机构根公钥证书，只有使用收单机构根公钥证书下属的收单机构工作公钥证书对应的私钥签名的APK或存在于授信应用列表中的APK才能下载到终端，保证非法的APK无法下载到终端支付设备，确保已下载APK的安全性。同时，已授信APK可以不需要经过终端根公钥证书下属的工作公钥证书对应的私钥签名，只要使用已授信的工作公钥证书及私钥签名，便可通过终端验证，可以下载到终端支付设备，便于授信APK的更新升级，免去已授信APK每次更新升级后都需要再经过收单机构签名验签的过程。

请参阅图2，进一步的，所述“对包含授信应用列表文件的APK进行签名，得到签名后APK”具体为：

收单机构生成收单机构工作公钥证书，下发收单机构工作公钥证书对应的公钥至不同厂商；

收单机构使用收单机构工作公钥证书对应的私钥对包含授信应用列表文件的APK进行签名，生成签名数据；

生成包含收单机构工作公钥证书以及所述签名数据的签名后APK。

进一步的，所述“验证所述签名后APK的合法性，验证通过后，存储所述授信应用列表文件”具体为：

不同厂商根据各自的证书生成机制使用所述公钥生成收单机构根公钥证书，并预装在各自的终端中；

终端使用收单机构根证书验证所述签名后APK中的收单机构工作公钥证书的合法性；

若验证通过，则使用收单机构工作公钥证书验证所述签名信息的合法性；

若验证通过，则存储所述授信应用列表文件至终端。

由上述描述可知，授信应用列表文件将以APK的形式，经过收单机构的签名，以及终端的验签，确保其合法安全后，才能被存储在终端中，用于APK是否授信的判断，保证了授信应用列表的安全可靠，未被非法篡改。

请参阅图3，进一步的，所述“终端验证所述一APK的合法性”具体为：

终端使用收单机构根证书验证所述一APK中存储的工作公钥证书的合法性；

若验证通过，则使用所述工作公钥证书验证所述一APK中的签名数据的合法性；

若验证通过，则使用安卓签名机制验证所述一APK的合法性。

由上述描述可知，终端获取到一APK后，首先使用预置的收单机构根公钥证书判断其合法性，只有确认该APK合法，才能安装在终端中，保证了终端设备上程序的合法性。

进一步的，所述授信应用列表文件还包括授权应用列表文件版本、创建时间、授权APK列表条数、单条授权APK列表中各个授权APK的包名以及对应的公钥证书。

由上述描述可知，通过版本可以识别所述授信应用列表的版本高低，便于后续高版本替换低版本；通过创建时间来追溯列表的源头属性；通过特殊的包名来识别不同的已授信APK；通过对应各个已授信APK的开发商所使用的第三方公钥证书，实现系统原生验签机制的验签；同时将包名和公钥证书一起作为判断是否存储在授信应用列表的依据，提高判断精确度。

请参阅图4，本发明提供的另一个技术方案为：

一种基于安卓系统APK下载系统，包括：

第一签名模块1，用于对包含授信应用列表文件的APK进行签名，得到签名后APK，所述授信应用列表文件包括各个授信APK的包名和对应的公钥证书；

第一获取模块2，用于终端获取所述签名后APK；

第一验证模块3，用于验证所述签名后APK的合法性；

存储模块4，用于第一验证模块的验证结果为验证通过时，存储所述授信应用列表文件；

第二验证模块5，用于获取一APK，终端验证所述一APK的合法性；

第一判断模块6，用于第二验证模块的验证结果为不通过时，判断所述一APK的包头和对应的公钥证书是否存储于所述授信应用列表文件中；

第三验证模块7，用于第一判断模块的判断结果为是时，则使用安卓签名机制验证所述一APK的合法性。

请参阅图5，进一步的，所述第一签名模块1包括：

第一生成单元11，用于收单机构生成收单机构工作公钥证书，下发收单机构工作公钥证书对应的公钥至不同厂商；

第一签名单元12，用于收单机构使用收单机构工作公钥证书对应的私钥对包含授信应用列表文件的APK进行签名，生成签名数据；

第二生成单元13，用于生成包含收单机构工作公钥证书以及所述签名数据的签名后APK。

请参阅图6，进一步的，所述第一验证模块3包括：

第三生成单元31，用于不同厂商根据各自的证书生成机制使用所述公钥生成收单机构根公钥证书，并预装在各自的终端中；

第一验证单元32，用于终端使用收单机构根证书验证所述签名后APK中的收单机构工作公钥证书的合法性；

第二验证单元33，用于第一验证单元32的验证结果为验证通过，则使用收单机构工作公钥证书验证所述签名信息的合法性；

所述存储模块4，具体用于第二验证单元33的验证结果为验证通过，则存 储所述授信应用列表文件至终端。

请参阅图7，进一步的，所述第三验证模块71包括：

第三验证单元71，用于终端使用收单机构根证书验证所述一APK中存储的工作公钥证书的合法性；

第四验证单元72，用于第三验证单元71的验证结果为验证通过，则使用所述工作公钥证书验证所述一APK中的签名数据的合法性；

第五验证单元73，用于第四验证单元的验证结果为验证通过，则使用安卓签名机制验证所述一APK的合法性。

进一步的，所述授信应用列表文件还包括授权应用列表文件版本、创建时间、授权APK列表条数、单条授权APK列表中各个授权APK的包名以及对应的公钥证书。

实施例一

请参照图1-图3，本实施例提供一种基于安卓系统APK下载方法，该方法具体可以包括：

S1：收单机构对包含授信应用列表文件的原始APK文件进行签名，得到签名后APK；

如下表所示，所述授信应用列表文件包括授权应用列表文件版本、创建时间、授权APK列表条数、单条授权APK列表中各个授权APK的包名以及对应的公钥证书。授信应用列表文件放在原始APK文件中，文件路径为assets/trustedapp.list；存储有授信应用列表文件的APK为特殊包名：com.acquirer.trustedapplist；用于区别普通的APK。

内容	说明
TrustedApp-Version	授信应用列表文件版本
CreateTime	创建时间
TrustedApp-Number	授信应用列表条数
Name	单条授信应用列表授信的APK的包名
SHA2-Digest-PubK	单条授信应用列表授信的APK对应的公钥

ey	证书HASH值，SHA256，经过Base64编码
Info	备注信息

如一具体的授信应用列表文件为：

TrustedApp-Version:1

CreateTime:2016-01-01

TrustedApp-Number:2

Name:com.example.test

SHA2-Digest-PubKey:MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI＝

Info:test

Name:com.example2.test2

SHA2-Digest-PubKey:cTIzNDU2Nzg5MDFyZXc1Njc4OTAxMjM0NTY3ODkwMTI＝

Info:

S1具体可以包括：

S11：收单机构的签名服务器调用加密设备生成第一公私钥对和第二公私钥对，收单机构的签名服务器使用第一私钥对第二公钥进行签名操作生成收单机构工作公钥证书，将第一公钥分发至不同厂商的CA服务器；

S12：不同厂商的CA服务器根据各自的证书生成机制使用收单机构下发的第一公钥生成收单机构根公钥证书，并将所述收单机构根公钥证书预装在厂商各自的终端设备中；

S13：收单机构的签名服务器将包含授信应用列表文件的原始APK文件；对原始APK文件计算哈希，获得第一哈希值HASH1；

S14：收单机构的签名服务器从安全存储介质中获取与收单机构工作公钥证书对应的第二私钥，并利用第二私钥对所述第一哈希值HASH1进行加密签名，生成收单机构签名数据；

S15：将收单机构签名描述信息、收单机构签名数据、收单机构工作公钥证书一起生成签名后APK；

S2：终端获取所述签名后APK；

具体的，不同厂商的终端设备可以通过自动下载或者周期自检的方式获取所述签名后APK；

S3：验证所述签名后APK的合法性，验证通过后，存储所述授信应用列表文件；具体的，请参阅图2，可以包括以下步骤：

S31：依据APK的包名判断是否为存储有授信应用列表的特殊包名；若是，则执行S32；若否，则同样执行S32，但不执行将列表存储至终端安全模块的步骤；

S32：终端使用预存在终端中的收单机构根证书验证所述签名后APK中的收单机构工作公钥证书的合法性；

若验证通过，则终端使用收单机构工作公钥证书提取第二公钥，使用第二公钥解密所述收单机构签名数据，解密成功，获得第一哈希值HASH1；

S33：终端对原始APK文件计算哈希，得到第二哈希值HASH2；

S34：判断所述第二哈希值HASH1与第一哈希值HASH2是否一致，若一致，则证明终端所获取到的签名后APK合法，未被篡改，厂商设备对签名后APK的验证通过，继续使用安卓系统原生验签机制验签所述原始APK文件的合法性；若通过，则允许终端安装所述原始APK文件；若不通过，则安装失败；

若不一致，则所述获取的签名后APK不合法，可能被篡改，安装失败；

具体的，所述安卓系统原生验签机制可以包括：

原生签名流程：

S35：第三方APK开发商使用加密机生成第三方工作公钥证书；

S36：使用所述第三方工作公钥证书对应的私钥对所开发的APK文件进行签名，生成开发签名信息；

S37：生成包含所述第三方工作公钥证书以及所述开发签名信息的原始APK文件；

原生验签流程：

S38：安卓系统获取所述原始APK文件中的第三方工作公钥证书和所述开发签名信息；使用所述第三方工作公钥证书验证所述开发签名信息的合法性；

若验证通过，则执行S39；

S39：安装所述原始APK文件，存储其中的所述授信应用列表文件至终端。

通过上述步骤，便完成了终端下载获取授信应用列表文件，为后续直接依据授信应用列表文件判断是否为授信APK提供依据；且所述授信应用列表文件经过收单机构的签名，以及终端的验签，安全合法性得到保证，进而能够确保授信APK判断的准确性。

请结合图3，下述为终端在获取任意一APK时候的验签流程：

S4：终端设备同样可以通过自动下载或者周期自检的方式获取一APK；并对所获取的APK进行合法性验证；合法性验证可以包括以下：

S41：终端首先使用预存在终端中的收单机构根证书验证所获取的APK中存储的工作公钥证书的合法性；若验证通过，执行S42，同时证明所述工作公钥证书为收单机构工作公钥证书，且该收单机构工作公钥证书合法，所述APK经过收单机构的签名；若验证不通过，则执行S43证明所述工作公钥证书不合法，被非法篡改过，或者所述工作公钥证书并非收单机构工作公钥证书，可能是第三方工作公钥证书。

S42：终端使用收单机构工作公钥证书验证该APK中的签名数据的合法性；

若验证通过，则证明该APK合法，未被篡改，是经过收单机构的合法签名的APK，继续使用安卓系统原生验签机制验签该APK的合法性；若原生验签通过，则允许终端安装该APK文件；若不通过，则安装失败；

若验证不通过，则执行S43，证明该APK可能被非法篡改，或者未经过收单机构的签名机制签名；

S42中具体的终端对APK的验签过程以及安卓系统的原生验签过程与上述S32-S34以及S35-S39类似，在此不重复累述。

S43：获取所述APK中的工作公钥证书，以及对应的包头；

S44：判断所述APK的包头以及工作公钥证书是否存储在终端的授信应用列表文件中；若有，则执行S45；若没有，则执行S46；

S45：判定所述APK为授信APK，继续使用安卓签名机制验证所述一APK的合法性；

S46：提示安装失败；证明所述APK既不是授信APK，又没有经过收单机构的合法签名，属于非法APK。

通过上述，当终端获取到一APK后，将首先默认所述APK经过现有的，收单机构签名机制进行合法签名，使用预置的收单机构根公约证书对APK合法性进行验证；虽然APK的签名验签过程较为复杂、耗时，却能确保所获取到的APK的合法性；而当APK无法通过终端依据收单机构的验签机制时，再判断所述APK及其工作公钥证书是否存在于授信应用列表中，即判断该APK是否为授信APK，若是，则可以进行下一步的系统原生验签。虽然该APK无法通过终端基于收单机构的验签机制，却同样能够保证其合法性，属于已经授信的APK，同样合法可信任；由此省去了APK通过收单机构的签名过程，简化了已经授信的APK的更新升级过程，避免更新升级过程对终端的工作带来影响。

本发明的实施例二为：

请参照图4，本实施例基于实施例一提供一种安卓系统APK下载系统，包括：

第一签名模块1，用于对包含授信应用列表文件的APK进行签名，得到签名后APK，所述授信应用列表文件包括各个授信APK的包名和对应的公钥证书；所述授信应用列表文件具体包括授权应用列表文件版本、创建时间、授权APK列表条数、单条授权APK列表中各个授权APK的包名以及对应的公钥证书；

具体的，请参阅图5，所述第一签名模块1包括：

第一生成单元11，用于收单机构生成收单机构工作公钥证书，下发收单机构工作公钥证书对应的公钥至不同厂商；

第一签名单元12，用于收单机构使用收单机构工作公钥证书对应的私钥对包含授信应用列表文件的APK进行签名，生成签名数据；

第二生成单元13，用于生成包含收单机构工作公钥证书以及所述签名数据的签名后APK。

第一获取模块2，用于终端获取所述签名后APK；

第一验证模块3，用于验证所述签名后APK的合法性；

具体的，请参阅图6，所述第一验证模块包括：

第三生成单元31，用于不同厂商根据各自的证书生成机制使用所述公钥生成收单机构根公钥证书，并预装在各自的终端中；

第一验证单元32，用于终端使用收单机构根证书验证所述签名后APK中的收单机构工作公钥证书的合法性；

第二验证单元33，用于第一验证单元32的验证结果为验证通过，则使用收单机构工作公钥证书验证所述签名信息的合法性；

所述存储模块4，具体用于第二验证单元33的验证结果为验证通过，则存储所述授信应用列表文件至终端。

存储模块4，用于第一验证模块3的验证结果为验证通过时，存储所述授信应用列表文件；

第二验证模块33，用于获取一APK，终端验证所述一APK的合法性；

第一判断模块6，用于第二验证模块5的验证结果为不通过时，判断所述一APK的包头和对应的公钥证书是否存储于所述授信应用列表文件中；

第三验证模块7，用于第一判断模块6的判断结果为是时，则使用安卓签名机制验证所述一APK的合法性。

具体的，请参阅图7，所述第三验证模块7包括：

第三验证单元71，用于终端使用收单机构根证书验证所述一APK中存储的工作公钥证书的合法性；

第四验证单元72，用于第三验证单元71的验证结果为验证通过，则使用所述工作公钥证书验证所述一APK中的签名数据的合法性；

第五验证单元73，用于第四验证单元72的验证结果为验证通过，则使用安卓签名机制验证所述一APK的合法性。

实施例一至实施例三中的终端设备为POS机或者其他智能支付终端。

综上所述，本发明提供的一种基于安卓系统APK下载方法及其系统，解决现有的已授信APK每次的简单更新升级都需要重新经过收单机构的签名验签机制，从而影响终端的正常工作的问题；通过在终端存储有授信应用列表，在无 法通过终端基于收单机构的验签时，只需判断APK及其工作公钥证书是否存储在授信应用列表中，便可判定APK是否为已授信APK，已授信APK直接跳过收单机构的验签，进入系统原生验签过程，从而大大简化了授信APK的更新升级过程；避免授信APK的更新升级影响终端的正常工作，同时减轻收单系统以及终端的工作负担，又能确保安装的APK的合法性。

Claims (10)

1. 一种基于安卓系统APK下载方法，其特征在于，包括：

   对包含授信应用列表文件的APK进行签名，得到签名后APK，所述授信应用列表文件包括各个授信APK的包名和对应的公钥证书；

   终端获取所述签名后APK；验证所述签名后APK的合法性，验证通过后，存储所述授信应用列表文件；

   获取一APK，终端验证所述一APK的合法性；

   若验证不通过，则判断所述一APK的包头和对应的公钥证书是否存储于所述授信应用列表文件中；

   若是，则使用安卓签名机制验证所述一APK的合法性。
2. 如权利要求1所述的一种基于安卓系统APK下载方法，其特征在于，所述“对包含授信应用列表文件的APK进行签名，得到签名后APK”具体为：

   收单机构生成收单机构工作公钥证书，下发收单机构工作公钥证书对应的公钥至不同厂商；

   收单机构使用收单机构工作公钥证书对应的私钥对包含授信应用列表文件的APK进行签名，生成签名数据；

   生成包含收单机构工作公钥证书以及所述签名数据的签名后APK。
3. 如权利要求2所述的一种基于安卓系统APK下载方法，其特征在于，所述“验证所述签名后APK的合法性，验证通过后，存储所述授信应用列表文件”具体为：

   不同厂商根据各自的证书生成机制使用所述公钥生成收单机构根公钥证书，并预装在各自的终端中；

   终端使用收单机构根证书验证所述签名后APK中的收单机构工作公钥证书的合法性；

   若验证通过，则使用收单机构工作公钥证书验证所述签名信息的合法性；

   若验证通过，则存储所述授信应用列表文件至终端。
4. 如权利要求3所述的一种基于安卓系统APK下载方法，其特征在于，所述“终端验证所述一APK的合法性”具体为：

   终端使用收单机构根证书验证所述一APK中存储的工作公钥证书的合法性；

   若验证通过，则使用所述工作公钥证书验证所述一APK中的签名数据的合法性；

   若验证通过，则使用安卓签名机制验证所述一APK的合法性。
5. 如权利要求1-4任意一项所述的一种基于安卓系统APK下载方法，其特征在于，所述授信应用列表文件具体包括授权应用列表文件版本、创建时间、授权APK列表条数、单条授权APK列表中各个授权APK的包名以及对应的公钥证书。
6. 一种基于安卓系统APK下载系统，其特征在于，包括：

   第一签名模块，用于对包含授信应用列表文件的APK进行签名，得到签名后APK，所述授信应用列表文件包括各个授信APK的包名和对应的公钥证书；

   第一获取模块，用于终端获取所述签名后APK；

   第一验证模块，用于验证所述签名后APK的合法性；

   存储模块，用于第一验证模块的验证结果为验证通过时，存储所述授信应用列表文件；

   第二验证模块，用于获取一APK，终端验证所述一APK的合法性；

   第一判断模块，用于第二验证模块的验证结果为不通过时，判断所述一APK的包头和对应的公钥证书是否存储于所述授信应用列表文件中；

   第三验证模块，用于第一判断模块的判断结果为是时，则使用安卓签名机制验证所述一APK的合法性。
7. 依据权利要求6所述的一种基于安卓系统APK下载系统，其特征在于，所述第一签名模块包括：

   第一生成单元，用于收单机构生成收单机构工作公钥证书，下发收单机构工作公钥证书对应的公钥至不同厂商；

   第一签名单元，用于收单机构使用收单机构工作公钥证书对应的私钥对包含授信应用列表文件的APK进行签名，生成签名数据；

   第二生成单元，用于生成包含收单机构工作公钥证书以及所述签名数据的签名后APK。
8. 依据权利要求7所述的一种基于安卓系统APK下载系统，其特征在于， 所述第一验证模块包括：

   第三生成单元，用于不同厂商根据各自的证书生成机制使用所述公钥生成收单机构根公钥证书，并预装在各自的终端中；

   第一验证单元，用于终端使用收单机构根证书验证所述签名后APK中的收单机构工作公钥证书的合法性；

   第二验证单元，用于第一验证单元的验证结果为验证通过，则使用收单机构工作公钥证书验证所述签名信息的合法性；

   所述存储模块，具体用于第二验证单元的验证结果为验证通过，则存储所述授信应用列表文件至终端。
9. 依据权利要求8所述的一种基于安卓系统APK下载系统，其特征在于，所述第三验证模块包括：

   第三验证单元，用于终端使用收单机构根证书验证所述一APK中存储的工作公钥证书的合法性；

   第四验证单元，用于第三验证单元的验证结果为验证通过，则使用所述工作公钥证书验证所述一APK中的签名数据的合法性；

   第五验证单元，用于第四验证单元的验证结果为验证通过，则使用安卓签名机制验证所述一APK的合法性。
10. 依据权利要求6-9任意一项所述的一种基于安卓系统APK下载系统，其特征在于，所述授信应用列表文件具体包括授权应用列表文件版本、创建时间、授权APK列表条数、单条授权APK列表中各个授权APK的包名以及对应的公钥证书。

Images