一种移动终端中web应用来源安全的保障方法
【技术领域】
[0001 ]本发明属于移动终端安全技术领域,更为具体地讲,涉及一种移动终端中web应用来源安全的保障方法。
【背景技术】
[0002]与Android App、1S App等移动终端原生应用相比较,web应用具有标准化、易用性强、平台无关等突出优势,因而被越来越多地部署在移动终端上为用户提供应用服务。然而由于典型的web应用由应用源代码(包含HTML源代码,CSS源代码,JavaScript源代码,资源文件)及其配置文件组成,在现阶段程序源代码和应用配置文件未被安全保护就存放在移动终端并交由移动终端上的web引擎解析执行,存在被恶意篡改、网络钓鱼等安全隐患。因此,保证移动终端上web应用本身的来源安全就显得尤为重要。
【发明内容】
[0003]本发明的目的在于克服现有技术的不足,提供一种移动终端中web应用来源安全的保障方法,防止web应用被恶意篡改和网络钓鱼,提高应用来源安全性。
[0004]为实现上述发明目的,本发明移动终端中web应用来源安全的保障方法包括以下步骤:
[0005]S1:应用开发者将web应用上传到应用服务器,采用服务器预先保存的私钥对web应用的配置文件进行非对称加密,对移动web应用源代码文件求解MD5摘要值,将求解得到的MD5值与web应用文件一起保存在应用服务器中;用户通过移动终端从应用服务器中将web应用及其MD5值下载至移动终端;
[0006]S2:移动终端采用对应的公钥对应用配置文件进行解密验证,如果解密成功,根据解密后的配置文件对web应用进行安装,否则停止安装应用并删除安装包;
[0007]S3:对成功安装的web应用,每当用户启动web应用时,移动终端首先对应用源代码文件求解MD5摘要值,如果求解得到的MD5摘要值与从应用服务器下载的MD5摘要值一致,则启动应用,否则终止启动应用。
[0008]本发明移动终端中web应用来源安全的保障方法,对于存放在应用服务器上的web应用,对配置文件采用加密处理,对源代码文件求解MD5摘要值并存储,用户通过移动终端下载web应用文件及MD5摘要值,先对配置文件进行解密,解密成功则进行安装,安装后在每次启动时都对源代码文件求解MD5摘要值,然后与下载的MD5摘要值进行比对,如果一致则正常启动应用,否则不启动应用。
[0009]本发明通过对web应用的配置文件进行加密,可以防止网络钓鱼恶意行为,在应用启动时通过MD5摘要值的比对,可以防止web应用源代码文件被恶意篡改,从而保障移动终端中web应用来源安全。
【附图说明】
[0010]图1是本发明移动终端中web应用来源安全的保障方法的流程图。
【具体实施方式】
[0011]下面结合附图对本发明的【具体实施方式】进行描述,以便本领域的技术人员更好地理解本发明。需要特别提醒注意的是,在以下的描述中,当已知功能和设计的详细描述也许会淡化本发明的主要内容时,这些描述在这里将被忽略。
[0012]实施例
[0013]图1是移动终端中web应用来源安全的保障方法的流程图。如图1所示,本发明移动终端中web应用来源安全的保障方法包括以下步骤:
[0014]SlOl:应用文件预处理:
[0015]一般来说,应用开发者在开发完成一个web应用后,会将其上传到应用服务器中供用户移动终端下载、安装,web应用文件包含源程序代码和应用配置文件。本发明为了提高web应用来源安全性,在将web应用上传到应用服务器后,会对web应用文件进行预处理。预处理主要包括两个方面,一方面是采用服务器预先保存的私钥对web应用的配置文件进行非对称加密,另一方面是对移动web应用源代码文件求解MD5摘要值,源代码文件包含HTML5、CSS、JavaScript文件,不含资源文件,将求解得到的MD5值与web应用文件一起保存在应用服务器中。
[0016]S102:下载应用:
[0017]用户通过移动终端从应用服务器中将web应用及其MD5值下载至移动终端。
[0018]S103:解密应用配置文件:
[0019]移动终端采用对应的公钥对应用配置文件进行解密验证。
[0020]S104:判断是否解密成功,如果成功,进入步骤S106,如果解密不成功,则不能安装应用,进入步骤S105。
[0021 ] S105:停止安装并删除安装包,也就是删除下载的web应用文件,安装结束。
[0022]S106:安装 web 应用:
[0023]解密成功后,移动终端即根据解密后的配置文件对web应用进行安装。
[0024]S107:求解web应用MD5摘要值:
[0025]每当用户启动web应用时,移动终端首先对应用源代码(不包含资源文件)求解MD5摘要值。
[0026]S108:判断移动终端求解得到的MD5摘要值与从应用服务器下载的MD5摘要值是否一致,如果一致,进入步骤S109,否则进入步骤SI 10。
[0027]S109:启动应用。
[0028]SI 10:终止启动应用。
[0029]根据本发明的实施具体步骤可知,本发明在服务器端对web应用的配置文件进行加密,这样在对web应用进行安装的时候,先进行解密验证,从而防止通过配置文件中的web应用源代码入口地址这一关键信息对web应用配置文件进行破坏,从而导致的网络钓鱼恶意行为。然后在启动时通过MD5摘要值的比对,防止web应用源代码文件被恶意篡改。此外,由于web应用源代码数据量通常较大,相对于非对称加密算法,利用MD5校验方式可以提高应用安全认证的效率。
[0030]尽管上面对本发明说明性的【具体实施方式】进行了描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于【具体实施方式】的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
【主权项】
1.一种移动终端中web应用来源安全的保障方法,其特征在于,包括以下步骤: S1:应用开发者将web应用上传到应用服务器,采用服务器预先保存的私钥对web应用的配置文件进行非对称加密,对移动web应用源代码文件求解MD5摘要值,将求解得到的MD5值与web应用文件一起保存在应用服务器中;用户通过移动终端从应用服务器中将web应用及其MD5值下载至移动终端; S2:移动终端采用对应的公钥对应用配置文件进行解密验证,如果解密成功,根据解密后的配置文件对web应用进行安装,否则停止安装应用并删除安装包; S3:对成功安装的web应用,每当用户启动web应用时,移动终端首先对应用源代码文件求解MD5摘要摘要值,如果求解得到的MD5摘要值与从应用服务器下载的MD5摘要值一致,则启动应用,否则终止启动应用。2.根据权利要求1所述的保障方法,其特征在于,所述源代码文件包含HTML5、CSS、JavaScr ipt文件,不含资源文件。
【专利摘要】本发明公开了一种移动终端中web应用来源安全的保障方法,对于存放在应用服务器上的web应用,对配置文件采用加密处理,对源代码文件求解MD5摘要值并存储,用户通过移动终端下载web应用文件及MD5摘要值,先对配置文件进行解密,解密成功则进行安装,安装后在每次启动时都对源代码文件求解MD5摘要值,然后与下载的MD5摘要值进行比对,如果一致则正常启动应用,否则不启动应用。本发明通过对web应用的配置文件进行加密,可以防止网络钓鱼恶意行为,在应用启动时通过MD5摘要值的比对,可以防止web应用源代码文件被恶意篡改,从而保障移动终端中web应用来源安全。
【IPC分类】G06F21/51, H04L29/08, G06F21/56, H04L29/06
【公开号】CN105554091
【申请号】CN201510919293
【发明人】俸志刚, 罗建超, 丘志杰
【申请人】电子科技大学
【公开日】2016年5月4日
【申请日】2015年12月11日