申请/专利权人：深圳市新国都支付技术有限公司

申请日：2017-08-28

公开（公告）日：2020-11-24

公开（公告）号：CN107493288B

主分类号：H04L29/06(20060101)

分类号：H04L29/06(20060101)

优先权：

专利状态码：有效-授权

法律状态：2020.11.24#授权;2018.01.12#实质审查的生效;2017.12.19#公开

摘要：本发明公开了一种基于Android版POS的应用网络安全控制方法及装置，方法包括以下步骤：在应用安装时解析并读取应用的签名文件内携带的权限信息；根据所述权限信息在android系统生成应用的网络权限配置；根据网络权限配置控制应用在指定条件下连接网络。本方案通过在安装前将应用的权限信息写入到签名文件中，在安装验证签名文件时，读取其中权限信息，并根据权限信息在系统中配置该应用的网络权限，能够在安装应用时就做好应用的网络权限管理，不用在安装完应用后再为每一个应用单独设置对应的网络权限，整个方案简单高效，且能够具体对每一个安装在系统内的应用进行网络权限管理。

主权项：1.一种基于Android版POS的应用网络安全控制方法，其特征在于，包括以下步骤：将应用的权限信息写入到应用的签名文件；在应用安装时解析并读取应用的签名文件内携带的权限信息；根据所述权限信息在android系统生成应用的网络权限配置；根据网络权限配置控制应用在指定条件下连接网络；所述将应用的权限信息写入到应用的签名文件步骤，包括，对应用进行第二次签名，并生成新的APKINFO.SIGN文件存放在应用的META-INF目录内，APKINFO.SIGN文件存储有权限信息，所述权限信息包括应用的网络权限。

全文数据：基于Android版POS的应用网络安全控制方法及装置技术领域[0001]本发明涉及到Android系统应用权限管理，特别是涉及到一种基于Android版P0S的应用网络安全控制方法及装置。背景技术[0002]Android的应用文件要签名验证通过才能被安装到系统里。有相关权限的应用才能访问网络，可针对不同的应用通过签名来进行网络策略控制，可以保证机器流量不会被损耗，同时只有受信任的应用才能访问网络，保证机器的安全性。[0003]P0S机是一种具有非现金结算功能的销售终端，广泛应用在超市、连锁店、商场、饭店等场所。在很多情况下是没有WIFI，一般对于流量的损耗都会有要求，同时因涉及一些交易相关的业务，对网络安全控制也是有必要的。所以一个好的网络控制策略是有必要的。[0004]目前AndroidP0S对于签名过的APP都可以安装系统，安装在系统里的APP可以随便访问网络，无法对流量进行控制，同时也不能保证应用的安全访问网络。现有的技术是在设置里把某个应用的网络关掉，应用比较多的时候设置麻烦，无法在安装之前就把应用的网络关掉。发明内容[0005]为了解决上述现有技术的缺陷，本发明的目的是提供一种基于Android版P0S的应用网络安全控制方法及装置，能够有效管理安装后的应用的网络访问权限。[0006]为达到上述目的，本发明的技术方案是：[0007]一种基于Android版P0S的应用网络安全控制方法，包括以下步骤：[0008]在应用安装时解析并读取应用的签名文件内携带的权限信息；[0009]根据所述权限信息在android系统生成应用的网络权限配置；[0010]根据网络权限配置控制应用在指定条件下连接网络。进一步地，所述在应用安装时解析并读取应用的签名文件内携带的权限信息步骤之前，还包括，[0012]将应用的权限信息写入到应用的签名文件。[0013]进一步地，所述将应用的权限信息写入到应用的签名文件步骤，包括，[00M]对应用进行第二次签名，并生成新的APKINFO.SIGN文件存放在应用的META-INF目录内。[0015]进一步地，所述在应用安装时解析应用安装文件内携带的权限信息步骤，包括，[0016]解析并读取应用的APKINF0.SIGN文件内携带的权限信息。[0017]进一步地，所述根据网络权限配置控制应用在指定条件下连接网络步骤，包括，[0018]根据网络权限配置控制应用连接指定类型的网络;或者，[0019]根据网络权限配置控制应用在指定地点连接网络;或者，[0020]根据网络权限配置控制应用在指定的时间段连接网络;或者，[0021]根据网络权限配置控制应用在指定的用户场景下连接网络。[0022]本发明还提出一种基于Android版P0S的应用网络安全控制装置，包括，[0023]签名解析单元，用于在应用安装时解析并读取应用的签名文件内携带的权限信息；[0024]配置生成单元，用于根据所述权限信息在Android系统生成应用的网络权限配置；[0025]网络控制单元，用于根据网络权限配置控制应用在指定条件下连接网络。[0026]进一步地，还包括再签名单元，用于将应用的权限信息写入到应用的签名文件。[0027]进一步地，所述再签名单元包括再签名模块，用于对应用进行第二次签名，并生成新的APKINF0•SIGN文件存放在应用的META-INF目录内。[0028]进一步地，所述签名解析单元包括解析模块，用于解析并读取应用的APKINFO.SIGN文件内携带的权限信息。[0029]进一步地，所述网络控制单元包括：[0030]第一控制模块，用于根据网络权限配置控制应用连接指定类型的网络；[0031]第二控制模块，用于根据网络权限配置控制应用在指定地点连接网络；[0032]第三控制模块，用于根据网络权限配置控制应用在指定的时间段连接网络；[0033]第四控制模块，用于根据网络权限配置控制应用在指定的用户场景下连接网络。[0034]本发明的有益效果是:通过在安装前将应用的权限信息写入到签名文件中，在安装验证签名文件时，读取其中权限信息，并根据权限信息在系统中配置该应用的网络权限，能够在安装应用时就做好应用的网络权限管理，不用在安装完应用后再为每一个应用单独设置对应的网络权限，整个方案简单高效，且能够具体对每一个安装在系统内的应用进行网络权限管理。附图说明[0035]图1为本发明一实施例一种基于Android版P0S的应用网络安全控制方法的流程示意图；[0036]图2为本发明另一实施例一种基于Android版P0S的应用网络安全控制方法的流程不意图；[0037]图3为本发明一实施例一种基于的应用网络安全控制装置的结构框图；[0038]图4为本发明一实施例一种网络控制单元的结构框图。具体实施方式[0039]为阐述本发明的思想及目的，下面将结合附图和具体实施例对本发明做进一步的说明。[0040]说明书中部分名称定义如下：[0041]ndroid，是一种基于Linux的自由及开放源代码的操作系统，主要使用于移动设备，如智能手机、平板电脑和其他移动终端，由G〇〇gle公司和开放手机联盟领导及开发。[0042]APK，为AndroidPackage的缩写，g卩Android安装包（apkAPK是类似SymbianSis或Sisx的文件格式，通过将apk文件直接传到Android模拟器或Android手机中执行即可安装。[0043]参照图1，提出本发明一实施例一种基于Android版POS的应用网络安全控制方法，包括以下步骤：[0044]S10、在应用安装时解析并读取应用的签名文件内携带的权限信息。[0045]S1l、根据权限信息在android系统生成应用的网络权限配置。[0046]S12、根据网络权限配置控制应用在指定条件下连接网络。[0047]对于步骤S10，Andr〇id系统中，应用安装时需要验证签名，签名验证通过才能被安装在Android系统内。应用文件内包括多个用于存放不同类型数据的文件目录，具体包括：AndroidManifest.xml目录，用于保存应用的一些配置文件，包括应用名字、版本、访问权限等;assests、1ib和res目录，用于保存的是一些资源文件和相关的库文件;Classes.dex目录，用于存放JAVA的二进制可以执行代码;ffiTA-INF目录，用于存放签名文件，里面包括有CERT•RSA、CERT•SF和MANIFEST.MF三个文件。其中解析和读取的权限信息来源于META-INF目录下的签名文件。[0048]对于步骤S11，权限信息之中包括有应用的网络权限信息，在获得权限信息之后，可以进一步地获取其中的网络权限，可以根据读取到的网络权限信息在系统中自动设置应用的网络权限配置，不用在安装完应用后再为每一个应用单独设置对应的网络权限，整个方案操作简单，而且高效。[0049]对于步骤S12,网络权限配置能够控制对应的应用在指定的条件下连接网络，应用无法自己直接连接网络，也就是Android系统能够在应用安装后，自动根据应用本身被赋予的网络权限连接网络，能够精准高效的控制已安装应用的网络访问情况。[0050]本方案通过在安装验证签名文件时，读取其中权限信息，并根据权限信息在系统中配置该应用的网络权限，能够在安装应用时就做好应用的网络权限管理，不用在安装完应用后再为每一个应用单独设置对应的网络权限，整个方案简单高效，且能够具体对每一个安装在系统内的应用进行网络权限管理。[0051]参考图2,提出本发明另一实施例，一种基于Android版P0S的应用网络安全控制方法，包括以下步骤：[0052]S20、将应用的权限信息写入到应用的签名文件。[0053]S21、在应用安装时解析并读取应用的签名文件内携带的权限信息。[0054]S22、根据权限信息在android系统生成应用的网络权限配置。[0055]S23、根据网络权限配置控制应用在指定条件下连接网络。[0056]对于步骤S20,应用文件内包括多个用于存放不同类型数据的文件目录，具体包括:AndroidManifest.xml目录，用于保存应用的一些配置文件，包括应用名字、版本、访问权限等；assests、lib和res目录，用于保存的是一些资源文件和相关的库文件；Classes.dex目录，用于存放JAVA的二进制可以执行代码;META-INF目录，用于存放签名文件，里面包括有CERT.RSA、CERT•SF和MANIFEST•MF三个文件。为了不破坏原有APK的签名文件，本方案在META-INF目录下增加一个APKINF0.SIGN文件，APKINF0.SIGN文件存储有权限信息，而权限信息包括应用的网络权限。[0057]因此，步骤S20具体为：对应用进行第二次签名，并生成新的APKINF0•SIGN文件存放在应用的META-INF目录内。L0058]对于步骤S2l，Android系统中，应用安装时需要验证签名，签名验证通过才能被安装在Android系统内。其中解析和读取的权限信息来源于META-INF目录下的签名文件。[0059]因此步骤S21具体为:解析并读取应用的APKINFO.SIGN文件内携带的权限信息。[0060]APKINFO.SIGN文件中携带有应用的权限信息，权限信息具体又包含了应用的网络权限信息，通过解析并读取应用的APKINFO.SIGN文件，能够获得签名文件中预设的网络权限信息，可用于后续生成网络权限配置。[0061]对于步骤S22,权限信息之中包括有应用的网络权限信息，在获得权限信息之后，可以进一步地获取其中的网络权限，可以根据读取到的网络权限信息在系统中自动设置应用的网络权限配置，不用在安装完应用后再为每一个应用单独设置对应的网络权限，整个方案操作简单，而且高效。[0062]对于步骤S23,网络权限配置能够控制对应的应用在指定的条件下连接网络，应用无法自己直接连接网络，也就是Android系统能够在应用安装后，自动根据应用本身被赋予的网络权限连接网络，能够精准高效的控制已安装应用的网络访问情况。[0063]具体的，步骤S23实际包括：[0064]S2：31、根据网络权限配置控制应用连接指定类型的网络。[0065]S232、根据网络权限配置控制应用在指定地点连接网络。C0066]S233、根据网络权限配置控制应用在指定的时间段连接网络。[0067]S234、根据网络权限配置控制应用在指定的用户场景下连接网络。[0068]对于步骤S231，应用在连接网络时，网络类型可以为移动网络或WiFi无线网络，当实际连接时，部分应用只能通过移动网络上网，部分网络只能通过WiFi无线网络上网，有些两者都可以。在网络权限配置中为应用预先设定好，就可以根据当前网络类型，而进一步选择有对应权限的应用接入网络，其余应用保持断网状态，有效的管理系统中应用的连网情况，保证系统安全。[0069]对于步骤S232,部分移动智能终端只能在指定地点内才能被使用，如P0S机只能在商城内使用，当移动智能终端处于指定位置时，可以连网，并正常工作，当移动智能终端所处位置不是指定位置时，网络权限配置可以控制对应的应用无法连网，也就是无法工作。通过网络权限配置能够控制在非指定地点无法正常连网工作，可以更好的管理对工作地点有要求的移动智能终端，例如P0S机。[0070]对于步骤S233,当应用只能在指定的时间段内连网工作时，可以通过网络权限配置控制应用在对应的时间段内连接网络，且在预设时间段之外不连接网络，这种控制方式可以更好的管理对工作时间段有要求的应用。[0071]对于步骤S234,不同的应用在对应的用户场景下才能使用，比如建设银行的交易应用，只能在建设银行的用户场景里才能连接网络，在交通银行或中国银行的系统里就不能连接网络，也就无法使用。[0072]本发明的有益效果是:通过在安装前将应用的权限信息写入到签名文件中，在安装验证签名文件时，读取其中权限信息，并根据权限信息在系统中配置该应用的网络权限，能够在安装应用时就做好应用的网络权限管理，不用在安装完应用后再为每一个应用单独设置对应的网络权限，整个方案简单高效，且能够具体对每一个安装在系统内的应用进行网络权限管理。[0073]参考图3和图4,本发明另一实施例还提出了一种基于Android版P0S的应用网络安全控制装置，包括，[0074]再签名单元10,用于将应用的权限信息写入到对应的应用签名文件夹。[0075]签名解析单元20,用于在应用安装时解析并读取应用的签名文件内携带的权限信息。[0076]配置生成单元30,用于根据权限信息在android系统生成应用的网络权限配置。[0077]网络控制单元40,用于根据网络权限配置控制应用在指定条件下连接网络。[0078]应用文件内包括多个用于存放不同类型数据的文件目录，具体包括：AndroidManifest.xml目录，用于保存应用的一些配置文件，包括应用名字、版本、访问权限等;assests、lib和res目录，用于保存的是一些资源文件和相关的库文件;Classes.dex目录，用于存放JAVA的二进制可以执行代码;META-INF目录，用于存放签名文件，里面包括有CERT.RSA、CERT.SF和MANIFEST.MF三个文件。为了不破坏原有APK的签名文件，再签名单元10在META-INF目录下增加一个APKINFO.SIGN文件，APKINFO.SIGN文件存储有权限信息，而权限信息包括应用的网络权限。[0079]具体的，再签名单元10包括再签名模块，用于对应用进行第二次签名，并生成新的APKINFO•SIGN文件存放在应用的META-INF目录内。[0080]Android系统中，应用安装时需要验证签名，签名验证通过才能被安装在Android系统内。通过签名解析单元20来解析和读取的权限信息来源于META-INF目录下的签名文件，并获得具体的权限信息。t〇〇81]具体的，签名解析单元20包括解析模块，用于解析并读取应用的APKINFO.SIGN文件内携带的权限信息。[0082]APKINFO.SIGN文件中携带有应用的权限信息，权限信息具体又包含了应用的网络权限信息，通过解析模块解析并读取应用的APKINFO.SIGN文件，能够获得签名文件中预设的网络权限信息，可用于后续生成网络权限配置。[0083]权限信息之中包括有应用的网络权限信息，在获得权限信息之后，可以进一步地获取其中的网络权限，配置生成单元30可以根据读取到的网络权限信息在系统中自动设置应用的网络权限配置，不用在安装完应用后再为每一个应用单独设置对应的网络权限，整个方案操作简单，而且高效。[0084]网络控制单元40能够控制对应的应用在指定的条件下连接网络，应用无法自己直接连接网络，也就是Android系统能够在应用安装后，网络控制单元40自动根据应用本身被赋予的网络权限连接网络，能够精准高效的控制已安装应用的网络访问情况。[0085]网络控制单元40包括：[0086]第一控制模块41，用于根据网络权限配置控制应用连接指定类型的网络。[0087]第二控制模块42,用于根据网络权限配置控制应用在指定地点连接网络。[0088]第三控制模块43,用于根据网络权限配置控制应用在指定的时间段连接网络。[0089]第四控制模块44,用于根据网络权限配置控制应用在指定的用户场景下连接网络[0090]对于第一控制模块41，应用在连接网络时，网络类型可以为移动网络或WiFi无线网络，当实际连接时，部分应用只能通过移动网络上网，部分网络只能通过WiFi无线网络上网，有些两者都可以。在网络权限配置中为应用预先设定好，第一控制模块41就可以根据当前网络类型，而进一步选择有对应权限的应用接入网络，其余应用保持断网状态，有效的管理系统中应用的连网情况，保证系统安全。[0091]对于第二控制模块42,部分移动智能终端只能在指定地点内才能被使用，如POS机只能在商城内使用。当移动智能终端处于指定位置时，可以连网，并正常工作，当移动智能终端所处位置不是指定位置时，第二控制模块42可以控制对应的应用无法连网，也就是无法工作。通过第二控制模块42能够控制在非指定地点无法正常连网工作，可以更好的管理对工作地点有要求的移动智能终端，例如p〇s机。[0092]对于第三控制模块43，当应用只能在指定的时间段内连网工作时，第三控制模块43可以通过网络权限配置控制应用在对应的时间段内连接网络，且在预设时间段之外不连接网络，这种控制方式可以更好的管理对工作时间段有要求的应用。[0093]对于第四控制模块44,不同的应用在对应的用户场景下才能使用，比如建设银行的交易应用，只能在建设银行的用户场景里才能连接网络，在交通银行或中国银行的系统里就不能连接网络，也就无法使用。第四控制模块44能够通过判断当前的用户场景是否为对应的用户场景，来控制应用连接网络。[0094]本方案的装置通过在安装前将应用的权限信息写入到签名文件中，在安装验证签名文件时，读取其中权限信息，并根据权限信息在系统中配置该应用的网络权限，能够在安装应用时就做好应用的网络权限管理，不用在安装完应用后再为每一个应用单独设置对应的网络权限，整个方案简单高效，且能够具体对每一个安装在系统内的应用进行网络权限管理。[0095]以上所述仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

权利要求：1.一种基于Android版POS的应用网络安全控制方法，其特征在于，包括以下步骤：在应用安装时解析并读取应用的签名文件内携带的权限信息；根据所述权限信息在android系统生成应用的网络权限配置；根据网络权限配置控制应用在指定条件下连接网络。2.如权利要求1所述的基于Android版P0S的应用网络安全控制方法，其特征在于，所述在应用安装时解析并读取应用的签名文件内携带的权限信息步骤之前，还包括，将应用的权限信息写入到应用的签名文件。3.如权利要求2所述的基于Android版P0S的应用网络安全控制方法，其特征在于，所述将应用的权限信息写入到应用的签名文件步骤，包括，对应用进行第二次签名，并生成新的APKINF0•SIGN文件存放在应用的META-INF目录内。4.如权利要求3所述的基于Android版P0S的应用网络安全控制方法，其特征在于，所述在应用安装时解析应用安装文件内携带的权限信息步骤，包括，解析并读取应用的APKINF0•SIGN文件内携带的权限信息。5.如权利要求1所述的基于Android版P0S的应用网络安全控制方法，其特征在于，所述根据网络权限配置控制应用在指定条件下连接网络步骤，包括，根据网络权限配置控制应用连接指定类型的网络;或者，根据网络权限配置控制应用在指定地点连接网络;或者，根据网络权限配置控制应用在指定的时间段连接网络;或者，根据网络权限配置控制应用在指定的用户场景下连接网络。6.—种基于Android版P0S的应用网络安全控制装置，其特征在于，包括，签名解析单元，用于在应用安装时解析并读取应用的签名文件内携带的权限信息；配置生成单元，用于根据所述权限信息在android系统生成应用的网络权限配置；网络控制单元，用于根据网络权限配置控制应用在指定条件下连接网络。7.如权利要求6所述的基于Android版P0S的应用网络安全控制装置，其特征在于，还包括再签名单元，用于将应用的权限信息写入到应用的签名文件。8.如权利要求7所述的基于Android版P0S的应用网络安全控制装置，其特征在于，所述再签名单元包括再签名模块，用于对应用进行第二次签名，并生成新的APKINFO.SIGN文件存放在应用的META-INF目录内。9.如权利要求8所述的基于Android版P0S的应用网络安全控制装置，其特征在于，所述签名解析单元包括解析模块，用于解析并读取应用的APKINFO.SIGN文件内携带的权限信息。10.如权利要求6所述的基于Android版P0S的应用网络安全控制装置，其特征在于，所述网络控制单元包括：第一控制模块，用于根据网络权限配置控制应用连接指定类型的网络；第二控制模块，用于根据网络权限配置控制应用在指定地点连接网络；第三控制模块，用于根据网络权限配置控制应用在指定的时间段连接网络；第四控制模块，用于根据网络权限配置控制应用在指定的用户场景下连接网络。

百度查询： 深圳市新国都支付技术有限公司 基于Android版POS的应用网络安全控制方法及装置

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD