[发明专利]应用程序运行控制方法与装置

说明书

技术领域

本发明涉及计算机软件安全技术领域，尤其涉及一种应用程序运行控制方法及相应的装置。

背景技术

沙箱是一种按照安全策略限制程序行为的执行环境，目前已经广泛实用于各种操作系统中。以Android为例，一些应用程序，出于实现应用程序固有功能需要之外的目的，特别是商业目的，随意申请系统权限，获取用户隐私数据、执行网络访问、保持设备活动、发送短信行为等。轻则可能导致用户隐私数据泄露，或者占用系统资源，重则可能通过恶意扣费、植入广告、消耗资费、欺诈诱骗等，使用户遭受损失。因此，通过沙箱技术提供的执行环境，由沙箱对系统的资源、权限进行管理，让应用程序于该沙箱中运行，应用程序的访问先经沙箱按安全策略进行审查，由此，形成一种相对于系统本身的隔离运行效果，可以有效地保护系统的安全。对于沙箱中所用到的安全策略，适应各种不同的操作系统有不同的细节考虑，这些有关技术实现的基本知识，均已为本领域技术人员所掌握，恕不赘述。

目前有多种实例来实现沙箱技术。这些实例中，一方面，沙箱技术为了兼容市面的多种应用，一般仅仅通过限定沙箱的安全策略，控制该应用的可执行资源而实现。然而，在安全领域，攻防双方的技术水平此消彼长，传统的仅仅通过限制安全策略的沙箱，有时难以确保能够达到所期望的目的，必须借助于更富技术含量的新方案。另一方面，沙箱技术往往涉及系统底层操作，而在诸如以Android为代表的Unix系的操作系统中，本身有着严格的权限管理，这样，便导致在未获得Root授权的前提下，难以应用沙箱技术去构造沙箱。可以独辟蹊径，去实现免Root环境下的沙箱环境，然而，在这种情况下，往往会引起多方面的一些技术障碍，这些障碍依沙箱的具体实现方式而定。

目前现有技术中，对于这种免Root沙箱，尽管存在理论可能，未见成熟案例。但是，从以上的分析可以看出，要基于免Root环境实现一种更为安全的沙箱技术，需要结合其具体技术原理，来考虑其自身的具体构造以及在必要时考虑对相关应用程序的重构，使得重构后的应用程序可以无缝运行于已经基于系统而保持相对独立的沙箱之中，通过该应用程序在沙箱中的运行，实现应有的安全控制效果。

发明内容

本发明的第一目的在于提供一种应用程序安全运行控制方法，以确保免Root沙箱环境中已配置的应用程序的安全运行。

本发明的第二目的在于提供一种适于运行第一目的所述的方法的应用程序运行控制装置。

为实现本发明的目的，本发明采取如下技术方案：

本发明的一种应用程序运行控制方法，包括如下步骤：

反射调用与宿主应用程序具有相同包名的作为宿主应用程序附带资源的安装包，以加载该安装包所实现的目标应用程序；

由宿主应用程序调用监控模块，对目标应用程序的活动进行监控；

当监控到目标应用程序需要调用未匹配的资源时，重定向相关调用指令的资源引用，以为该目标应用程序的运行提供正确资源。

较佳的，所述宿主应用程序反射调用的目标应用程序的安装包，属于宿主应用程序的已安装资源文件。

较佳的，采用反射调用加载目标应用程序时，通过对宿主应用程序的已安装资源的调用而满足目标应用程序的资源访问。

较佳的，所述宿主应用程序以所述安装包的配置文件向系统注册。

所述监控模块被注册为服务进程，以钩子函数关联目标应用程序活动进程的调用指令以实现对所述目标应用程序的活动监控。

所述未匹配的资源包括因目标应用程序未安装却被反射调用而导致的被认为错误访问的资源。

所述未匹配的资源包括系统资源和该安装包中的资源。

所述系统资源对应到系统通知栏指令和动画切换指令，监控到目标应用程序进程访问该类系统资源时，对其返回空值以屏蔽其调用指令。

目标应用程序调用所述安装包中的资源时，采用反射调用方式为相应的调用指令重定向到该安装包中的正确资源。

较佳的，当监控到目标应用程序进行未经授权的访问时，向相关调用指令返回自定义数据。

较佳的，所述宿主程序的资源文件和/或动态库文件与所述目标应用安装包中的相应文件相同。

本发明的一种应用程序运行控制装置，其包括：

调用单元，反射调用与宿主应用程序具有相同包名的作为宿主应用程序附带资源的安装包，以加载该安装包所实现的目标应用程序；

监控模块，被配置为由宿主应用程序调用，对目标应用程序的活动进行监控；