CN111465009B - 检测移动应用的网络接口请求的方法及相关装置 - Google Patents
检测移动应用的网络接口请求的方法及相关装置 Download PDFInfo
- Publication number
- CN111465009B CN111465009B CN202010155662.1A CN202010155662A CN111465009B CN 111465009 B CN111465009 B CN 111465009B CN 202010155662 A CN202010155662 A CN 202010155662A CN 111465009 B CN111465009 B CN 111465009B
- Authority
- CN
- China
- Prior art keywords
- mobile application
- network interface
- encryption
- content
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/302—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请是关于一种检测移动应用的网络接口请求的方法及相关装置,属于互联网技术领域,该方法包括:当移动应用启动时,根据所述移动应用所在终端的标识,获取访问节点信息;根据服务端的配置信息,在移动应用配置加密文件;解密加密文件,得到所述加密文件的文件内容;根据文件内容,获取移动应用的加密所需数据,并与访问节点信息加密得到加密内容;在预定网络请求接口中,上报所述加密内容至所述服务端,以使得所述服务端针对需要部署加密策略的网络接口解密所述加密内容,并与所述配置信息进行比较,确定所述网络接口是否为模拟网络接口。本申请可以实现移动应用网络接口检测的可靠性,有效保证移动应用用户的利益。
Description
技术领域
本申请涉及互联网技术领域,具体而言,涉及一种检测移动应用的网络接口请求的方法及相关装置。
背景技术
随着移动互联网的兴起,移动应用App几乎已成为各大小公司产品的重要用户流量入口,产品信息展示宣传,以及业务开展的重要渠道平台。然而,对于网络服务器提供的API接口的请求访问,通常是不区分任何产品端发起的访问,一旦出现用户脱离移动应用App模拟纯网络API接口攻击时,由于服务端不能随便变更访问策略,因为移动应用App不同于web等产品特性,它需要一个相对较长时间的一个产品迭代周期,否则正常的移动App端不能适应该访问策略而导致正常的移动App用户不能正常访问。所以,目前存在通过拦截网络接口,然后单独模拟网络接口发起网络请求,通过非正常的手段来访问服务器而获取利益的问题。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本申请的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本申请的目的在于提供一种检测移动应用的网络接口请求的方案,进而至少在一定程度上实现移动应用网络接口检测的可靠性,有效保证移动应用用户的利益。
根据本申请的一个方面,提供一种检测移动应用的网络接口请求的方法,包括:
当移动应用启动时,根据所述移动应用所在终端的标识,从安全容器中获取所述移动应用的访问节点信息;
根据服务端的配置信息,在所述移动应用配置加密文件,所述加密文件包括网络接口加密策略相关的文件内容;
解密所述加密文件,得到所述加密文件的文件内容;
根据所述文件内容,获取所述移动应用的加密所需数据,并将所述加密所需数据与所述访问节点信息加密得到加密内容;
在预定网络请求接口中,上报所述加密内容至所述服务端,以使得所述服务端针对需要部署加密策略的网络接口解密所述加密内容,并与所述配置信息进行比较,确定所述网络接口是否为模拟网络接口。
本实施的一种实施例中,所述加密文件的文件内容包括加密公钥、需要部署加密策略的网络接口、加密因子、加密因子策略、启动执行方法列表、访问节点信息及需加密内容。
本实施的一种实施例中,所述访问节点信息,包括:
所述终端第一次访问所述移动应用、非第一次且未切换终端访问所述移动应用及切换终端访问所述移动应用。
本实施的一种实施例中,所述从安全容器中获取与所述终端标识对应的访问节点信息,包括:
若没有从所述安全容器中获取到与所述标识对应的节点信息,则确定所述访问节点信息为所述终端第一次访问所述移动应用,并同步所述终端第一次访问所述移动应用的标识及访问时间到所述安全容器;
若从所述安全容器中获取到与所述标识对应的节点信息,且登录所述移动应用的账号与所述节点信息中相同,则确定所述访问节点信息为非第一次且未切换终端访问所述移动应用,并累计所述终端访问所述移动应用的访问次数及访问时间,与登录所述移动应用的用户账号信息共同同步至所述安全容器;
若从所述安全容器中获取到与所述标识对应的节点信息,且登录所述移动应用的账号与所述节点信息中不相同,则确定所述访问节点信息为切换终端访问所述移动应用,并累计所述终端访问所述移动应用的访问次数及访问时间,与账号切换设备访问的记录信息共同同步至所述安全容器。
本实施的一种实施例中,所述根据所述文件内容,获取所述移动应用的加密所需数据,并将所述加密所需数据与所述访问节点信息加密得到加密内容,包括:
从所述文件内容中读取加密因子策略、加密因子及加密公钥,并根据所述加密因子策略从加密因子中筛选出目标加密因子;
从所述文件内容中读取需加密内容,并根据所述需加密内容获取所述需加密内容的数据;
从所述文件内容中读取执行方法列表,并记录所述执行方法列表中的方法的执行时间点信息;
将所述需加密内容的数据、所述执行时间点信息及所述访问节点信息,结合所述目标加密因子及所述加密公钥进行加密,得到加密内容。
本实施的一种实施例中,所述服务端针对需要部署加密策略的网络接口解密所述加密内容,并与所述配置信息进行比较,确定所述网络接口是否为模拟网络接口,包括:
根据所述服务端的配置信息确定需要部署加密策略的网络接口;
针对需要部署加密策略的网络接口解密所述加密内容,得到解密内容;
将所述解密内容与所述配置信息进行比较,当所述解密内容与所述配置信息不一致时,确定所述网络接口为模拟网络接口。
本实施的一种实施例中,在所述在预定网络请求接口中,上报所述加密内容至所述服务端,以使得所述服务端针对需要部署加密策略的网络接口解密所述加密内容,并与所述配置信息进行比较,确定所述网络接口是否为模拟网络接口之后,所述方法还包括:
如果所述网络接口是模拟网络接口,则拒绝所述移动应用访问所述需要部署加密策略的网络接口;
如果所述网络接口不是模拟网络接口,则允许所述移动应用访问所述需要部署加密策略的网络接口。
根据本申请的一个方面,提供一种检测移动应用的网络接口请求的装置,其特征在于,包括:
第一获取模块,用于当移动应用启动时,根据所述移动应用所在终端的标识,从安全容器中获取所述移动应用的访问节点信息;
配置模块,用于根据服务端的配置信息,在所述移动应用配置加密文件,所述加密文件包括网络接口加密策略相关的文件内容;
解密模块,用于解密所述加密文件,得到所述加密文件的文件内容;
第二获取模块,用于根据所述文件内容,获取所述移动应用的加密所需数据,并将所述加密所需数据与所述访问节点信息加密得到加密内容;
确定模块,用于在预定网络请求接口中,上报所述加密内容至所述服务端,以使得所述服务端针对需要部署加密策略的网络接口解密所述加密内容,并与所述配置信息进行比较,确定所述网络接口是否为模拟网络接口。
根据本申请的一个方面,提供一种计算机可读存储介质,其上存储有程序指令,其特征在于,所述程序指令被处理器执行时实现上述任一项所述的方法。
根据本申请的一个方面,提供一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的程序指令;其中,所述处理器配置为经由执行所述程序指令来执行上述任一项所述的方法。
本申请一种检测移动应用的网络接口请求的方法及相关装置,当移动应用启动时,根据移动应用所在终端的标识,从安全容器中获取移动应用的访问节点信息;可以根据终端的标识,从安全容器中获取到该终端触发该移动应用访问的节点信息,进而可以基于终端触发访问的访问节点信息反映网络接口请求的真实性。根据服务端的配置信息,在移动应用配置加密文件,加密文件包括网络接口加密策略相关的文件内容;可以实现服务端对移动应用进行动态配置网络接口的加密策略。然后,解密加密文件,得到加密文件的文件内容;根据文件内容,获取移动应用的加密所需数据,并将加密所需数据与访问节点信息加密得到加密内容;实现服务器的动态配置,关联于移动应用的自身数据加密策略。然后,在预定网络请求接口中,上报加密内容至服务端,以使得服务端针对需要部署加密策略的网络接口解密加密内容后,与配置信息进行比较,确定网络接口是否为模拟网络接口;这样可以实现服务端针对移动应用的网络接口请求,通过服务端的配置信息安全的验证网络接口请求中上报的解密内容是否来自移动应用本身,进而可靠验证移动应用网络接口是否为模拟网络接口,有效保证移动应用用户的利益。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示意性示出一种检测移动应用的网络接口请求的方法的流程图。
图2示意性示出一种检测移动应用的网络接口请求的方法的应用场景示例图。
图3示意性示出一种检测移动应用的网络接口请求的方法流程图。
图4示意性示出一种检测移动应用的网络接口请求的装置的方框图。
图5示意性示出一种用于实现检测移动应用的网络接口请求的方法的电子设备示例框图。
图6示意性示出一种用于实现检测移动应用的网络接口请求的方法的计算机可读存储介质的示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本申请将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本申请的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本申请的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本申请的各方面变得模糊。
此外,附图仅为本申请的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
本示例实施方式中首先提供了检测移动应用的网络接口请求的方法,该检测移动应用的网络接口请求的方法可以运行于移动终端,也可以运行于服务器集群或云服务器等,当然,本领域技术人员也可以根据需求在其他平台运行本发明的方法,本示例性实施例中对此不做特殊限定。参考图1所示,该检测移动应用的网络接口请求的方法可以包括以下步骤:
步骤S110,当移动应用启动时,根据所述移动应用所在终端的标识,从安全容器中获取所述移动应用的访问节点信息;
步骤S120,根据服务端的配置信息,在所述移动应用配置加密文件,所述加密文件包括网络接口加密策略相关的文件内容;
步骤S130,解密所述加密文件,得到所述加密文件的文件内容;
步骤S140,根据所述文件内容,获取所述移动应用的加密所需数据,并将所述加密所需数据与所述访问节点信息加密得到加密内容;
步骤S150,在预定网络请求接口中,上报所述加密内容至所述服务端,以使得所述服务端针对需要部署加密策略的网络接口解密所述加密内容,并与所述配置信息进行比较,确定所述网络接口是否为模拟网络接口。
该检测移动应用的网络接口请求的方法,当移动应用启动时,根据移动应用所在终端的标识,从安全容器中获取移动应用的访问节点信息;可以根据终端的标识,从安全容器中获取到该终端触发该移动应用访问的节点信息,进而可以基于终端触发访问的访问节点信息反映网络接口请求的真实性。根据服务端的配置信息,在移动应用配置加密文件,加密文件包括网络接口加密策略相关的文件内容;可以实现服务端对移动应用进行动态配置网络接口的加密策略。然后,解密加密文件,得到加密文件的文件内容;根据文件内容,获取移动应用的加密所需数据,并将加密所需数据与访问节点信息加密得到加密内容;实现服务器的动态配置,关联于移动应用的自身数据加密策略。然后,在预定网络请求接口中,上报加密内容至服务端,以使得服务端针对需要部署加密策略的网络接口解密加密内容后,与配置信息进行比较,确定网络接口是否为模拟网络接口;这样可以实现服务端针对移动应用的网络接口请求,通过服务端的配置信息安全的验证网络接口请求中上报的解密内容是否来自移动应用本身,进而可靠验证移动应用网络接口是否为模拟网络接口,有效保证移动应用用户的利益。
下面,将结合附图对本示例实施方式中上述检测移动应用的网络接口请求的方法中的各步骤进行详细的解释以及说明。
在步骤S110中,当移动应用启动时,根据所述移动应用所在终端的标识,从安全容器中获取所述移动应用的访问节点信息。
本示例的实施方式中,参考图2所示,当移动应用启动时,可以根据移动应用所在终端201的标识,从终端20上设置的安全容器中获取移动应用的访问节点信息,进而在后续步骤中可以与其他数据加密后在网络接口请求中上报至服务端202进行验证。可以理解,其中,终端201可以是任何具有移动应用支持功能的设备,例如,手机、平板电脑等,在此不做特殊限定;服务器202可以是任何具有信息处理能力的终端,例如,服务器、微处理器等。
安全容器可以是设置在移动终端的安全存储数据的文件,一个示例中,该安全容器为Keychain,KeychainServices是macOS系统和iOS系统提供的一种安全的存储敏感信息的工具,可以用于安全存储认证的证书,密钥,和身份信息等。Keychain Services的安全机制可以保证存储这些敏感信息不会被窃取。另一个示例中,该安全容器为预设的加密数据库。
访问节点信息就是移动应用安装的终端触发移动应用访问的节点信息,例如移动应用第一次安全在终端上时,本次启动则是终端第一次访问该移动应用,所以访问节点信息为第一次访问。访问节点信息可以通过关联标识符的形式表达,例如,移动应用标识符-终端标识符-访问次数-访问时间-访问账号等关联表达。节点访问记录同样可以通过关联标识符的形式存储在安全容器中。
当移动应用启动时,根据移动应用所在终端的标识,从安全容器中存储的访问节点信息记录,可以获取该终端本次触发移动应用访问的访问节点信息,例如,启动移动应用App时,首先获取设备唯一标识(IDFA,IDFV,UUID),通过设备唯一标识Key读取KeyChain缓存中的访问节点信息,即第一次访问,非首次未切换设备访问,切换设备访问的记录。若为首次访问App,则获取的节点信息为空,此时则同步第一次访问标识及访问时间到KeyChain缓存中。若为非首次访问App,则累计本设备访问App的访问次数和访问时间同步到KeyChain缓存中。若登录过,则增加并缓存用户账号至KeyChain中,若切换终端登录,则再增加一条账号切换设备访问的记录至KeyChain中。
这样可以根据终端的标识,从安全容器中获取到该终端触发该移动应用访问的节点信息,进而可以基于终端触发访问的访问节点信息反映网络接口请求的真实性。
一种实施例中,所述访问节点信息,包括:
所述终端第一次访问所述移动应用、非第一次且未切换终端访问所述移动应用及切换终端访问所述移动应用。
终端第一次访问移动应用,例如,移动应用第一次安全在终端上时,本次启动则是终端第一次访问该移动应用,所以访问节点信息为第一次访问。
非第一次且未切换终端访问移动应用,例如,移动应用非第一次安全在终端上时,本次启动则是终端在第一次访问之后的该移动应用的访问,所以访问节点信息为第一次访问非第一次访问,同时如果安全容器中,存在该移动应用历史登录的账号与本次相同,或者连续两次登录的账号相同等情况,则移动应用未切换终端访问。
切换终端访问移动应用,例如,移动应用非第一次安全在终端上时,本次启动则是终端在第一次访问之后的该移动应用的访问,所以访问节点信息为第一次访问非第一次访问,同时如果安全容器中,不存在该移动应用历史登录的账号与本次相同,则移动应用切换终端访问。
一种实施例中,参考图3所示,从安全容器中获取与所述终端标识对应的访问节点信息,包括:
步骤S310,若没有从所述安全容器中获取到与所述标识对应的节点信息,则确定所述访问节点信息为所述终端第一次访问所述移动应用,并同步所述终端第一次访问所述移动应用的标识及访问时间到所述安全容器;
步骤S320,若从所述安全容器中获取到与所述标识对应的节点信息,且登录所述移动应用的账号与所述节点信息中相同,则确定所述访问节点信息为非第一次且未切换终端访问所述移动应用,并累计所述终端访问所述移动应用的访问次数及访问时间,与登录所述移动应用的用户账号信息共同同步至所述安全容器;
步骤S330,若从所述安全容器中获取到与所述标识对应的节点信息,且登录所述移动应用的账号与所述节点信息中不相同,则确定所述访问节点信息为切换终端访问所述移动应用,并累计所述终端访问所述移动应用的访问次数及访问时间,与账号切换设备访问的记录信息共同同步至所述安全容器。
若没有从安全容器中获取到与标识对应的节点信息,则确定访问节点信息(本次终端触发的移动应用访问)为终端第一次访问移动应用,此时,同步终端第一次访问移动应用的标识(例如,终端标识-移动应用标识-first)及访问时间到安全容器,可以在后续启动时准确进行访问节点信息的获取。
若从安全容器中获取到与标识对应的节点信息(例如,安全容器中存储的某天节点信息记录中,存在于该标识相同的标识对应的节点信息),且登录移动应用的账号与任一条节点信息中包含的账号记录相同,则确定本次的访问节点信息为非第一次且未切换终端访问移动应用,并累计所述终端访问所述移动应用的访问次数及访问时间,与登录移动应用的用户账号信息共同同步至安全容器。
若从安全容器中获取到与终端标识对应的任意节点信息,且登录移动应用的账号与任一条节点信息中不相同,则确定访问节点信息为切换终端访问移动应用,并累计终端访问移动应用的访问次数及访问时间,与账号切换设备访问的记录信息共同同步至安全容器。
这样可以准确获取本次的访问节点信息的同时,保证在后续启动时准确进行访问节点信息的获取。
在步骤S120中,根据服务端的配置信息,在所述移动应用配置加密文件,所述加密文件包括网络接口加密策略相关的文件内容。
本示例的实施方式中,加密文件可以包括服务端配置的网络接口请求中数据加密的加密策略相关文件,可以在移动应用请求网络接口时按照加密文件指示的加密策略,从移动应用获取需要的加密源数据,进而在后续步骤发送到服务端进行验证。以实现服务端对移动应用进行动态配置网络接口的加密策略,保证网络接口监测是动态性。
移动应用端可以内置默认的加密文件,在启动时,可以同时异步请求服务端的配置信息,检查是否有新版本的加密文件,如有新版本,则及时更新本地的加密文件内容至最新版本。例如,每个移动应用App版本内置当前最新版本的加密文件,历史旧版本可根据服务端配置升级到指定版本的加密文件,从而更新本地使用的加密策略方案。
一种实施例中,所述加密文件的文件内容包括加密公钥、需要部署加密策略的网络接口、加密因子、加密因子策略、启动执行方法列表、访问节点信息及需加密内容。
加密文件可以带有版本号,加密文件的文件内容可以包含一个加密公钥(与服务端的私钥对应的公钥),一组需要部署加密策略的网络接口(根据服务端的配置对应的移动应用功能请求的重要的至少一个网络接口,需要进行加密策略的部署,以验证是否为模拟网络接口),一组加密因子(可以具有加密因子名及对应的加密因子值),一个选择加密因子策略(根据服务端的配置实施更新的加密因子选择则策略,可以保证加密因子选择的动态性),一组启动执行方法列表(移动应用内部的方法的启动执行列表,可以是其中部分方法的启动执行列表,可以根据服务端配置动态配置,进而保证采集执行方法执行信息的动态性,验证的动态性),一组访问节点信息(第一次访问,非首次未切换设备访问,切换设备访问),一组加密内容数据(如加密文件版本号,首页编号,App版本号)等。
在步骤S130中,解密所述加密文件,得到所述加密文件的文件内容。
本示例的实施方式中,通过解密服务端动态配置的加密文件,可以得到指示网络接口加密策略的文件内容,进而在后续步骤中可以准确获取相关数据。
在步骤S140中,根据所述文件内容,获取所述移动应用的加密所需数据,并将所述加密所需数据与所述访问节点信息加密得到加密内容。
本示例的实施方式中,根据文件内容的信息,可以从移动应用获取需要加密的数据,移动应用本身的数据为移动应用自身的数据,网络接口的模拟中难以获取这些数据,可以在验证是有效监测模拟接口。
这样,可以实现服务器的动态配置,关联于移动应用的自身数据加密策略。
一种实施例中,所述根据所述文件内容,获取所述移动应用的加密所需数据,并将所述加密所需数据与所述访问节点信息加密得到加密内容,包括:
从所述文件内容中读取加密因子策略、加密因子及加密公钥,并根据所述加密因子策略从加密因子中筛选出目标加密因子;
从所述文件内容中读取需加密内容,并根据所述需加密内容获取所述需加密内容的数据;
从所述文件内容中读取执行方法列表,并记录所述执行方法列表中的方法的执行时间点信息;
将所述需加密内容的数据、所述执行时间点信息及所述访问节点信息,结合所述目标加密因子及所述加密公钥进行加密,得到加密内容。
可以读取加密因子策略筛选出一个加密因子;根据加密内容(可以是移动引用的加密文件的版本号等)获取对应的数据;读取加密文件中的执行方法列表,并记录这些方法执行的时间点信息;然后将执行方法列表的执行时间点和访问节点信息以及加密内容数据,结合加密因子和加密公钥进行统一加密。
在步骤S150中,在预定网络请求接口中,上报所述加密内容至所述服务端,以使得所述服务端针对需要部署加密策略的网络接口解密所述加密内容,并与所述配置信息进行比较,确定所述网络接口是否为模拟网络接口。
在预定网络请求接口(针对网络接口检测设置的接口)中,上报加密内容可以请求进行网络接口的检测。
服务端在接收到预定网络请求接口中上报的加密内容后,可以根据自己的私钥解密,然后得到上报的数据内容,根据服务端的动态配置信息,可以针对需要部署加密策略的网络接口,验证上报的数据是否与配置内容一致,如果一致,则说明这些上报的数据是来自移动应用App本身,从而可以有效的阻止模拟的网络API接口访问。
一种实施例中,所述服务端针对需要部署加密策略的网络接口解密所述加密内容,并与所述配置信息进行比较,确定所述网络接口是否为模拟网络接口,包括:
根据所述服务端的配置信息确定需要部署加密策略的网络接口;
针对需要部署加密策略的网络接口解密所述加密内容,得到解密内容;
将所述解密内容与所述配置信息进行比较,当所述解密内容与所述配置信息不一致时,确定所述网络接口为模拟网络接口。
服务端的配置与加密文件一致,所以可以通过服务端的配置信息确定需要部署加密策略的网络接口,进而准确针对需要部署加密策略的网络接口解密加密内容,得到解密内容后,与配置信息进行比较,当解密内容与所述配置信息不一致时,确定本次网络接口为模拟网络接口,否则为真实的网络接口。
一种实施例中,在所述在预定网络请求接口中,上报所述加密内容至所述服务端,以使得所述服务端针对需要部署加密策略的网络接口解密所述加密内容,并与所述配置信息进行比较,确定所述网络接口是否为模拟网络接口之后,所述方法还包括:
如果所述网络接口是模拟网络接口,则拒绝所述移动应用访问所述需要部署加密策略的网络接口;
如果所述网络接口不是模拟网络接口,则允许所述移动应用访问所述需要部署加密策略的网络接口。
服务器在重要的网络接口(需要部署加密策略的网络接口)通过解密内容并核对是否来自App本身,如果网络接口是模拟网络接口,则拒绝移动应用访问需要部署加密策略的网络接口,如果网络接口不是模拟网络接口,则允许移动应用访问需要部署加密策略的网络接口。从而可以有效的阻止模拟的网络API接口访问。这样即使有服务端的信息泄露到外部,也可以通过更换服务器上的加密因子等内容阻止非法访问。
本申请还提供了一种检测移动应用的网络接口请求的装置。参考图4所示,检测移动应用的网络接口请求的装置,其特征在于,包括:
第一获取模块410用于当移动应用启动时,根据所述移动应用所在终端的标识,从安全容器中获取所述移动应用的访问节点信息;
配置模块420用于根据服务端的配置信息,在所述移动应用配置加密文件,所述加密文件包括网络接口加密策略相关的文件内容;
解密模块430用于解密所述加密文件,得到所述加密文件的文件内容;
第二获取模块440用于根据所述文件内容,获取所述移动应用的加密所需数据,并将所述加密所需数据与所述访问节点信息加密得到加密内容;
确定模块450用于在预定网络请求接口中,上报所述加密内容至所述服务端,以使得所述服务端针对需要部署加密策略的网络接口解密所述加密内容,并与所述配置信息进行比较,确定所述网络接口是否为模拟网络接口。
上述检测移动应用的网络接口请求的装置中各模块的具体细节已经在对应的检测移动应用的网络接口请求的方法中进行了详细的描述,因此此处不再赘述。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本申请中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本申请实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本申请实施方式的方法。
在本申请的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图5来描述根据本发明的这种实施方式的电子设备500。图5显示的电子设备500仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图5所示,电子设备500以通用计算设备的形式表现。电子设备500的组件可以包括但不限于:上述至少一个处理单元510、上述至少一个存储单元520、连接不同系统组件(包括存储单元520和处理单元510)的总线530。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元510执行,使得所述处理单元510执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如,所述处理单元510可以执行如图1中所示的步骤。
存储单元520可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)5201和/或高速缓存存储单元5202,还可以进一步包括只读存储单元(ROM)5203。
存储单元520还可以包括具有一组(至少一个)程序模块5205的程序/实用工具5204,这样的程序模块5205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线530可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备500也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得客户能与该电子设备500交互的设备通信,和/或与使得该电子设备500能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口550进行。并且,电子设备500还可以通过网络适配器560与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器560通过总线530与电子设备500的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备500使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本申请实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本申请实施方式的方法。
在本申请的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
参考图6所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品600,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在客户计算设备上执行、部分地在客户设备上执行、作为一个独立的软件包执行、部分在客户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到客户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其他实施例。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由权利要求指出。
Claims (10)
1.一种检测移动应用的网络接口请求的方法,其特征在于,包括:
当移动应用启动时,根据所述移动应用所在终端的标识,从安全容器中获取所述移动应用的访问节点信息;
根据服务端的配置信息,在所述移动应用配置加密文件,所述加密文件包括网络接口加密策略相关的文件内容;
解密所述加密文件,得到所述加密文件的文件内容;
根据所述文件内容,获取所述移动应用的加密所需数据,并将所述加密所需数据与所述访问节点信息加密得到加密内容;
在预定网络请求接口中,上报所述加密内容至所述服务端,以使得所述服务端针对需要部署加密策略的网络接口解密所述加密内容,并与所述配置信息进行比较,确定所述网络接口是否为模拟网络接口。
2.根据权利要求1所述的方法,其特征在于,所述加密文件的文件内容包括加密公钥、需要部署加密策略的网络接口、加密因子、加密因子策略、启动执行方法列表、访问节点信息及需加密内容。
3.根据权利要求1所述的方法,其特征在于,所述访问节点信息,包括:
所述终端第一次访问所述移动应用、非第一次且未切换终端访问所述移动应用及切换终端访问所述移动应用。
4.根据权利要求1或3所述的方法,其特征在于,所述从安全容器中获取与所述终端标识对应的访问节点信息,包括:
若没有从所述安全容器中获取到与所述标识对应的节点信息,则确定所述访问节点信息为所述终端第一次访问所述移动应用,并同步所述终端第一次访问所述移动应用的标识及访问时间到所述安全容器;
若从所述安全容器中获取到与所述标识对应的节点信息,且登录所述移动应用的账号与所述节点信息中相同,则确定所述访问节点信息为非第一次且未切换终端访问所述移动应用,并累计所述终端访问所述移动应用的访问次数及访问时间,与登录所述移动应用的用户账号信息共同同步至所述安全容器;
若从所述安全容器中获取到与所述标识对应的节点信息,且登录所述移动应用的账号与所述节点信息中不相同,则确定所述访问节点信息为切换终端访问所述移动应用,并累计所述终端访问所述移动应用的访问次数及访问时间,与账号切换设备访问的记录信息共同同步至所述安全容器。
5.根据权利要求1所述的方法,其特征在于,所述根据所述文件内容,获取所述移动应用的加密所需数据,并将所述加密所需数据与所述访问节点信息加密得到加密内容,包括:
从所述文件内容中读取加密因子策略、加密因子及加密公钥,并根据所述加密因子策略从加密因子中筛选出目标加密因子;
从所述文件内容中读取需加密内容,并根据所述需加密内容获取所述需加密内容的数据;
从所述文件内容中读取执行方法列表,并记录所述执行方法列表中的方法的执行时间点信息;
将所述需加密内容的数据、所述执行时间点信息及所述访问节点信息,结合所述目标加密因子及所述加密公钥进行加密,得到加密内容。
6.根据权利要求1所述的方法,其特征在于,所述服务端针对需要部署加密策略的网络接口解密所述加密内容,并与所述配置信息进行比较,确定所述网络接口是否为模拟网络接口,包括:
根据所述服务端的配置信息确定需要部署加密策略的网络接口;
针对需要部署加密策略的网络接口解密所述加密内容,得到解密内容;
将所述解密内容与所述配置信息进行比较,当所述解密内容与所述配置信息不一致时,确定所述网络接口为模拟网络接口。
7.根据权利要求1所述的方法,其特征在于,在所述在预定网络请求接口中,上报所述加密内容至所述服务端,以使得所述服务端针对需要部署加密策略的网络接口解密所述加密内容,并与所述配置信息进行比较,确定所述网络接口是否为模拟网络接口之后,所述方法还包括:
如果所述网络接口是模拟网络接口,则拒绝所述移动应用访问所述需要部署加密策略的网络接口;
如果所述网络接口不是模拟网络接口,则允许所述移动应用访问所述需要部署加密策略的网络接口。
8.一种检测移动应用的网络接口请求的装置,其特征在于,包括:
第一获取模块,用于当移动应用启动时,根据所述移动应用所在终端的标识,从安全容器中获取所述移动应用的访问节点信息;
配置模块,用于根据服务端的配置信息,在所述移动应用配置加密文件,所述加密文件包括网络接口加密策略相关的文件内容;
解密模块,用于解密所述加密文件,得到所述加密文件的文件内容;
第二获取模块,用于根据所述文件内容,获取所述移动应用的加密所需数据,并将所述加密所需数据与所述访问节点信息加密得到加密内容;
确定模块,用于在预定网络请求接口中,上报所述加密内容至所述服务端,以使得所述服务端针对需要部署加密策略的网络接口解密所述加密内容,并与所述配置信息进行比较,确定所述网络接口是否为模拟网络接口。
9.一种计算机可读存储介质,其上存储有程序指令,其特征在于,所述程序指令被处理器执行时实现权利要求1-7任一项所述的方法。
10.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的程序指令;其中,所述处理器配置为经由执行所述程序指令来执行权利要求1-7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010155662.1A CN111465009B (zh) | 2020-03-09 | 2020-03-09 | 检测移动应用的网络接口请求的方法及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010155662.1A CN111465009B (zh) | 2020-03-09 | 2020-03-09 | 检测移动应用的网络接口请求的方法及相关装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111465009A CN111465009A (zh) | 2020-07-28 |
| CN111465009B true CN111465009B (zh) | 2023-03-21 |
Family
ID=71682641
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010155662.1A Active CN111465009B (zh) | 2020-03-09 | 2020-03-09 | 检测移动应用的网络接口请求的方法及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111465009B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104052630A (zh) * | 2013-03-14 | 2014-09-17 | 北京百度网讯科技有限公司 | 对网站执行验证的方法和系统 |
| CA2874277A1 (en) * | 2014-10-04 | 2015-02-10 | 2381371 Ontario Inc. | Tamper-evident network messaging method and system, and device configured therefor |
| CN104767653A (zh) * | 2015-01-29 | 2015-07-08 | 小米科技有限责任公司 | 一种网络接口监控的方法和装置 |
| CN105389704A (zh) * | 2015-11-16 | 2016-03-09 | 小米科技有限责任公司 | 判断用户真实性的方法及装置 |
| CN107872355A (zh) * | 2016-09-26 | 2018-04-03 | 平安科技(深圳)有限公司 | 接口模拟测试的方法及装置 |
-
2020
- 2020-03-09 CN CN202010155662.1A patent/CN111465009B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104052630A (zh) * | 2013-03-14 | 2014-09-17 | 北京百度网讯科技有限公司 | 对网站执行验证的方法和系统 |
| CA2874277A1 (en) * | 2014-10-04 | 2015-02-10 | 2381371 Ontario Inc. | Tamper-evident network messaging method and system, and device configured therefor |
| CN104767653A (zh) * | 2015-01-29 | 2015-07-08 | 小米科技有限责任公司 | 一种网络接口监控的方法和装置 |
| CN105389704A (zh) * | 2015-11-16 | 2016-03-09 | 小米科技有限责任公司 | 判断用户真实性的方法及装置 |
| CN107872355A (zh) * | 2016-09-26 | 2018-04-03 | 平安科技(深圳)有限公司 | 接口模拟测试的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111465009A (zh) | 2020-07-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112818380B (zh) | 业务行为的回溯处理方法、装置、设备及系统 | |
| CN108322461B (zh) | 应用程序自动登录的方法、系统、装置、设备和介质 | |
| US9208339B1 (en) | Verifying Applications in Virtual Environments Using a Trusted Security Zone | |
| US10169589B2 (en) | Securely booting a computer from a user trusted device | |
| CN111723383B (zh) | 数据存储、验证方法及装置 | |
| JP6422059B2 (ja) | 処理装置、車載端末装置、処理装置の起動方法、及び処理装置の起動プログラム | |
| US8953796B2 (en) | Techniques for accessing features of a hardware adapter | |
| EP2352109B1 (en) | Monitoring system, program-executing device, monitoring program, recording medium and integrated circuit | |
| CN105340309A (zh) | 具有多个操作模式的应用 | |
| KR20100003234A (ko) | 신뢰 검증 방법 및 신뢰 검증 시스템 | |
| CN104462965A (zh) | 应用程序完整性验证方法及网络设备 | |
| US20120137372A1 (en) | Apparatus and method for protecting confidential information of mobile terminal | |
| CN105843653A (zh) | 一种安全应用配置方法及装置 | |
| CN112468294B (zh) | 一种车载tbox的访问方法及鉴权设备 | |
| CN111200593A (zh) | 应用登录方法、装置和电子设备 | |
| CN114880011A (zh) | Ota升级方法、装置、电子设备及可读存储介质 | |
| CN111159712B (zh) | 检测方法、设备及存储介质 | |
| CN111465009B (zh) | 检测移动应用的网络接口请求的方法及相关装置 | |
| US20240163264A1 (en) | Real-time data encryption/decryption security system and method for network-based storage | |
| KR102468823B1 (ko) | 애플릿 패키지 전송 방법, 장치, 전자 기기, 컴퓨터 판독 가능 매체 및 컴퓨터 프로그램 | |
| CN109582454A (zh) | 一种分布式存储集群中的权限释放控制方法、装置及设备 | |
| KR20150030047A (ko) | 애플리케이션 인증 방법 및 그 시스템 | |
| CN104866761B (zh) | 一种高安全性安卓智能终端 | |
| CN110362983B (zh) | 一种保证双域系统一致性的方法、装置及电子设备 | |
| CN110851881A (zh) | 终端设备的安全检测方法及装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |