本发明属于信息技术领域,特别涉及一种app安全验证方法及系统。
背景技术
伴随着互联网+时代的到来,移动互联网发展迅猛,人们已经能很方便地利用手机来随时随地上网,实现更多智能化的应用,如qq聊天、购物、手机移动支付、日常工作业务处理。它在丰富大家日常生活和工作的同时,也给我们带来了超强娱乐体验,但是移动互联在无线接入网络、移动终端、应用服务上都面临着前所未有的挑战,其中智能手机app的安全问题尤为突出。据不完全统计,2015年上半年,智能手机平台新增病毒应用约127.3万个,较2014年下半年环比增长240%。另外,手机app的漏洞问题非常严重,尤其是android平台下的安全漏洞现状更是不容乐观,近97%的app都存在漏洞问题。去年8月,国家出台了《移动互联网应用程序信息服务管理规定》规定,明确要求所有app上架前必须进行安全测试。综上所述,对app进行安全检测就显得非常重要。
2017年3月,我国android系统用户的占比达到了87.2%,ios系统用户的占比达到了21%,其他的系统不超过1%,可以看出现行的app主要市场是android系统和ios系统两大类。但是由于android的app存在开源性,android的app非常容易反编译,因此整个android市场十分混乱。同时整个android应用市场鱼目混珠,各个应用市场的认证流程不同,没有一个统一的验证方法。
技术实现要素:
本发明的目的在于提供一种app安全验证方法,可以净化我国移动互联网安全的环境,提升app安全交易和使用量。
为了达到上述目的,本发明所采用的技术方案为:
一种app安全验证方法,其特征在于包括以下步骤:
a、资质审查:审查申请人信息与所需检测的app信息是否一致;
b、病毒检测:检测app中是否存在病毒及木马;
c、技术检测:敏感权限模块检测、代码加密模块检测、动态防护模块检测、盗版检测模块检测、漏洞分析模块检测;
d、信息检测:检测评估实名认证模块、用户信息安全保护模块、信息内容审核管理模块、用户行为日志记录个模块。
本发明所述的步骤a中的审查内容包括营业执照加盖复印件公章、软件著作权、授权书、app认证申请书、app内容、经办人电话、法人电话、app开发人员电话以及app应用安装包检测。
本发明中所述的步骤b采用预先设定的病毒数据库对app进行病毒监测评估,如果发现病毒则生成病毒评估报告,告知病毒或木马类型。
本发明所述的步骤c中
所述的敏感权限模块检测为扫描应用是否存在恶意、流氓等敏感权限,避免给用户带来隐私信息泄露、恶意扣费等风险,维护应用的信誉度;
所述的代码加密模块检测为对dex文件、so文件和dll文件的加密强度做安全评估分析,避免核心代码被恶意分析或窃取;
所述的动态防护模块检测为动态检测应用在运行时的安全强度:内存保护、签名校验、防调试器、防系统加速等多项检测;
所述的盗版检测模块检测为检测是否有篡改apk的应用包,是否植入恶意代码,检测是否能正常运行,是否具备防盗版的功能;
所述的漏洞分析模块检测为扫描apk存在的安全漏洞,及时封堵漏洞,避免被攻击者恶意利用,谋取利益。
本发明所述的步骤d中
所述的实名认证模块主要对注册用户进行基于移动电话号码等真实身份信息的认证,对内容供给端(b端)进行严格的真实身份信息认证;
所述的用户信息安全保护模块主要评估应用是否有健全的用户信息安全保护机制,收集、使用用户个人信息应当遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,并经用户同意;
所述的信息内容审核管理主要检测应用是否有健全的信息内容审核管理机制,对发布违法违规信息内容的,视情采取警示、限制功能、暂停更新、关闭账号等处置措施并保存记录;
所述的用户行为日志记录主要检测应用是否有记录用户行为日志信息,并保存六十日。
本发明的另外一个目的在于提供一种app安全验证的系统,用于对app的安全进行验证。
为了达到上述目的,本发明所采用的技术方案为:一种app安全验证系统,包括资质审查模块、病毒检测模块、技术检测模块和信息检测模块。
本发明技术方案的有益效果有:
1、净化我国移动互联网安全的环境,提升app安全交易和使用量;
2、为用户对app应用进行辨别是否存在对个人的信息泄露和个人财产安全的威胁,减少个人损失;
3、对于app商城可以方便辨别app中是否有安全问题,更好地管理应用市场。
附图说明
图1为本发明一种app安全验证方法的流程示意图;
图2为本发明一种app安全验证系统的模块结构图。
具体实施方式
以下通过附图和实施例,对本发明技术方案做出进一步的详细阐述。
如图1所示,本发明一种app安全验证方法,包括以下步骤:
a、资质审查:审查申请人信息与所需检测的app信息是否一致;
b、病毒检测:检测app中是否存在病毒及木马;
c、技术检测:敏感权限模块检测、代码加密模块检测、动态防护模块检测、盗版检测模块检测、漏洞分析模块检测;
d、信息检测:检测评估实名认证模块、用户信息安全保护模块、信息内容审核管理模块、用户行为日志记录个模块。
本发明所述的步骤a中的审查内容包括营业执照加盖复印件公章、软件著作权、授权书、app认证申请书、app内容、经办人电话、法人电话、app开发人员电话以及app应用安装包检测。
本发明中所述的步骤b采用预先设定的病毒数据库对app进行病毒监测评估,如果发现病毒则生成病毒评估报告,告知病毒或木马类型。
本发明所述的步骤c中
所述的敏感权限模块检测为扫描应用是否存在恶意、流氓等敏感权限,避免给用户带来隐私信息泄露、恶意扣费等风险,维护应用的信誉度;
所述的代码加密模块检测为对dex文件、so文件和dll文件的加密强度做安全评估分析,避免核心代码被恶意分析或窃取;
所述的动态防护模块检测为动态检测应用在运行时的安全强度:内存保护、签名校验、防调试器、防系统加速等多项检测;
所述的盗版检测模块检测为检测是否有篡改apk的应用包,是否植入恶意代码,检测是否能正常运行,是否具备防盗版的功能;
所述的漏洞分析模块检测为扫描apk存在的安全漏洞,及时封堵漏洞,避免被攻击者恶意利用,谋取利益。
本发明所述的步骤d中
所述的实名认证模块主要对注册用户进行基于移动电话号码等真实身份信息的认证,对内容供给端(b端)进行严格的真实身份信息认证;
所述的用户信息安全保护模块主要评估应用是否有健全的用户信息安全保护机制,收集、使用用户个人信息应当遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,并经用户同意;
所述的信息内容审核管理主要检测应用是否有健全的信息内容审核管理机制,对发布违法违规信息内容的,视情采取警示、限制功能、暂停更新、关闭账号等处置措施并保存记录;所述的用户行为日志记录主要检测应用是否有记录用户行为日志信息,并保存六十日。
本发明的另外一个目的在于提供一种app安全验证的系统,用于对app的安全进行验证。
为了达到上述目的,本发明所采用的技术方案如图2所示:一种app安全验证系统,包括资质审查模块、病毒检测模块、技术检测模块和信息检测模块。