[发明专利]一种应用软件和SDK管控的方法

说明书

本发明提供一种应用软件和SDK管控的方法，包括：提取需要管控的SDK特征信息，生成SDK特征数据库；提取与隐私访问相关的API特征信息，生成管控API特征数据库；将SDK访问的管控API替换为安全API；当用户终端设备运行某个被管控的应用软件时，安全策略执行引擎搜索管控规则数据库，查询到终端设备属性、终端设备应用软件属性以及API标识所对应的访问配置信息，如果禁止访问，安全API伪造到一个与SDK访问要求对应的伪造访问结果，并将伪造访问结果返回给SDK。优点为：根据云端配置的管控规则，灵活地禁止应用软件和第三方SDK访问用户隐私数据，有效地防止用户的隐私数据被泄露和利益被侵害。

技术领域

本发明属于计算机安全技术领域，具体涉及一种应用软件和SDK管控的方法。

背景技术

当前移动应用、第三方SDK和移动应用市场参差不齐，大部分应用市场没有做到应用软件上线前的严格审核，导致大量低质量、对用户个人隐私和利益有损害的应用软件及第三方SDK被安装到用户的移动设备上，最终致使用户的个人隐私被泄露，流量被偷取，利益被侵害。

应用软件和第三方SDK隐私泄露主要形式包括：读取用户通讯录、通话记录、短信、日历安排、位置信息和录音等。例如，一款天气应用软件在运行时，通过SDK访问API，会读取用户的通讯录；一款地图应用软件在运行时，通过SDK访问API，会在未通知用户的情况下，偷偷录音。一些危害严重的应用软件和SDK还会短信暗扣、刷广告、静默安装和卸载应用等。

因此，如何有效对应用软件和第三方SDK进行管控，防止第三方SDK未授权而访问用户隐私数据，从而有效地防止用户的隐私数据被泄露和利益被侵害，是目前迫切需要解决的事情。

发明内容

针对现有技术存在的缺陷，本发明提供一种应用软件和SDK管控的方法，可有效解决上述问题。

本发明采用的技术方案如下：

本发明提供一种应用软件和SDK管控的方法，包括以下步骤：

步骤1，提取需要管控的每个SDK的SDK特征信息，生成SDK特征数据库；其中，所述SDK特征数据库由多条SDK特征信息组成，每个SDK特征信息包括：SDK名称信息、SDK版本信息、SDK特征类型以及SDK特征值；其中，所述SDK特征类型包括包名特征和类名特征，如果为包名特征，则对应的SDK特征值为包名；如果为类名特征，则对应的SDK特征值为类名；

提取与隐私访问相关的每个API的API特征信息，生成管控API特征数据库；其中，所述管控API特征数据库由多条API特征信息组成，每个API特征信息包括：API名称信息以及API特征值；其中，所述API特征值包括API所属类名和方法签名；

步骤2，生成被管控的应用软件包，采用以下两种方式之一实现：

第一种，将客户端代码安全管控处理引擎以安全插件的形式提供给开发者开发应用软件的应用开发环境中，在开发者开发应用软件的过程中，客户端代码安全管控处理引擎对应用软件集成的SDK以及每个SDK访问的API进行识别，并将SDK访问的管控API替换为安全API，从而得到被管控应用软件；然后，开发者将开发到的被管控应用软件上传到云端；

第二种，云端服务器将云端代码安全管控处理引擎嵌入到云端安全管控操作界面；当开发者开发完成应用软件，得到原始应用软件后，将原始应用软件上传到云端安全管控操作界面；

云端安全管控操作界面调用云端代码安全管控处理引擎，云端代码安全管控处理引擎对应用软件集成的SDK以及每个SDK访问的API进行识别，并将SDK访问的管控API替换为安全API，从而得到被管控应用软件；然后，云端安全管控操作界面将被管控应用软件上传到云端；

在上述两种方式中，采用以下方法，对应用软件集成的SDK以及每个SDK访问的API进行识别，并将SDK访问的管控API替换为安全API：