一种应用分发的风险控制方法、设备和存储介质与流程

【技术领域】

本申请涉及互联网应用领域，尤其涉及一种应用分发的风险控制方法、设备和存储介质。

背景技术：

在当今社会，随着移动设备的性能不断增强，其上安装的各种应用在工作和生活中的使用已经相当普及化，有越来越多的信息可以借助不同的移动终端设备和具体应用软件间接或直接地展现给用户终端使用。广大用户对这些应用的使用及依赖性越来越强。

由于安卓系统的开放性，用户不仅能从谷歌官方市场上下载和安装应用，也可以从任意的第三方市场甚至网站和论坛下载和安装应用。同时，应用的开发者可以将应用提交到任意第三方市场来供用户下载。但这些应用往往会因为各种不同来源修改和广告注入更甚至是隐私吸费注入后的盗版应用、恶意篡改、恶意代码注入等危险行为严重影响这些应用的服务使用和用户体验。

对于用户而言，终端设备的各种应用软件能够满足用户的诸多不同需求，并能得到更好更直接的产品服务和技术支持；但是，这些通过不同渠道或应用市场所下载的应用软件可能会被劫持、篡改、注入大量的广告，更甚至是恶意的隐私、吸费功能，造成用户隐私泄露和费用扣减，从而严重影响用户体验和终端用户的安全性。

对于开发者而言，应用市场仅能提供应用在该应用市场的总体下载次数，应用开发者无法获知通过其他渠道的下载次数，也无法获知应用的安装情况，例如，同一应用下载后被安装在多个终端设备上，用于投票，抢红包等非正常使用，这对应用服务器的运行也带来了风险。

技术实现要素：

本申请的多个方面提供一种应用分发的风险控制方法、设备和存储介质，用于提高应用安装的安全性并避免安装包被滥用。

本申请的一方面，提供一种应用分发的风险控制方法，包括：

接收应用开发者上传的安装包；

接收用户的下载请求，根据应用分发服务器的身份、安装包的下载次数/安装包的下载时间生成标识安装包身份的id，将所述id写入安装包；

向用户分发携带所述id的安装包。

本申请的一方面，提供一种应用分发的风险控制方法，包括：

接收标识安装包身份的id，所述id根据应用分发服务器的身份、安装包的下载次数/安装包的下载时间生成并写入安装包；

根据所述id对安装包进行验证；

返回验证结果。

本申请的另一方面，提供一种设备，其特征在于，所述设备包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现任一上述的方法。

本申请的另一方面，提供一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现任一上述的方法。

由所述技术方案可知，通过本申请实施例，可以提高应用安装的安全性并避免安装包被滥用。

【附图说明】

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例一提供的一种应用分发的风险控制方法的流程示意图；

图2为本申请实施例二提供的一种应用分发的风险控制方法的流程示意图；

图3为适于用来实现本发明实施例的示例性计算机系统/服务器的框图。

【具体实施方式】

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例，都属于本申请保护的范围。

另外，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

如图1所示，本发明第一实施例提出了一种应用分发的风险控制方法，该方法应用于应用分发服务器侧，如图1所示，包括以下步骤：

步骤s11、应用分发服务器接收应用开发者上传的安装包；

优选地，应用分发服务器对应用开发者的身份进行验证，验证通过后接收应用开发者上传的安装包。应用开发者通过网页或其他平台上传安装包。

优选地，应用分发服务器对应用开发者上传的安装包进行安全性分析。

所述安装包中预留了id字段，供应用分发服务器根据应用分发服务器的身份、安装包的下载次数/安装包的下载时间生成标识安装包身份的id写入所述安装包的id字段。

以安卓安装包apk为例，apk是androidpackage的缩写，即android安装包(apk)。apk是类似symbiansis或sisx的文件格式。通过将apk文件直接传到android模拟器或android手机中执行即可安装。apk文件和sis一样，把androidsdk编译的工程打包成一个安装程序文件，格式为apk。apk文件其实是zip格式，但后缀名被修改为apk。通过unzip解压后，可以看到dex文件，dex是dalvikvmexecutes的简称，即androiddalvik执行程序，并非javame的字节码而是dalvik字节码。

androidmanifest.xml文件是android应用程序的配置文件，是一个用来描述android应用“整体资讯”的设定文件，简单来说，相当于android应用向android系统“自我介绍”的配置文件，android系统可以根据这个“自我介绍”完整地了解apk应用程序的资讯。

应用开发者上传的安装包中，dex文件对应的androidmanifest.xml文件中预留了id字段，可以用于写入标识安装包身份的唯一id。每个用户下载的安装包都包括标识其身份的id，每一次下载获得的安装包的id都是不同的。

所述安装包被配置为在安装过程中向预设的应用服务器上报androidmanifest.xml文件中的所述id，从而通过预设的应用服务器对所述id进行验证，从而实现对当前待安装的安装包的合法性进行验证。

步骤s12、接收用户的下载请求，根据应用分发服务器的身份、安装包的下载次数/安装包的下载时间生成标识安装包身份的id写入所述安装包，向用户分发安装包。

优选地，所述id的预设编码规则如下，包括来源字段、下载次数字段/时间字段。其中，来源字段表示应用分发服务器的身份，由应用开发者为每一个合法的应用分发服务器协商分配。下载次数字段是由应用分发服务器分配的，为当前应用分发服务器中所述安装包的下载次数，安装包每被下载一次，下载次数字段加1。时间字段为安装包的下载时间。

优选地，各个应用分发服务器采取同样的编码规则，即各个应用分发服务器生成的id都是包括来源字段、下载次数字段；或各个应用分发服务器生成的id都是包括来源字段、时间字段。

优选地，所述id长度为48比特(6字节)，前24位为来源字段，后24位为下载次数字段/时间字段。其中，第25位，即后24位的第1位可以用来表示所述字段为下载次数字段还是时间字段，例如，置位为1则表示所述字段为下载次数字段，置位为0则标识所述字段为时间字段。

即使不同应用分发服务器中存在安装包的下载次数或下载时间相同的情况，但是由于来源字段的存在，仍可以唯一标识安装包的身份。

在本实施例中，对所述id的具体内容不做限制，可以是当前安装包的任何能够标识其身份的数据信息，每个用户下载的安装包都包括标识其身份的id。每一次下载获得的安装包id都是不同的。

优选地，可以采用由应用分发服务器和应用服务器预先协商的密钥对所述id进行加密，防止第三方对其进行篡改。

优选地，将所述id写入安装包包括以下子步骤：

子步骤s121、对安装包进行解包；

根据用户的下载请求，获取对应的安装包进行解包，可使用apktool等工具对apk进行解包。

步骤s122、写入所述id；

所述id被写入安装包的androidmanifest.xml文件中预留的id字段。

子步骤s123、将写入所述id后的文件重新打包，以生成携带所述id的安装包。

将所述携带所述id的安装包分发给终端，由终端进行安装。

由于所述安装包被配置为在安装过程中向预设的应用服务器上报androidmanifest.xml文件中的所述id，从而通过预设的应用服务器对所述id进行验证，从而实现了对安装包的合法性的验证。

优选地，也可以将所述id写入安装包的其他文件中，只要能够使安装包在安装过程中向预设的应用服务器上报所述id即可。

如图2所示，本发明第一实施例提出了一种应用分发的风险控制方法，该方法应用于应用服务器侧，如图2所示，包括以下步骤：

步骤s21、接收终端上传的标识安装包身份的唯一id；

在本实施例中，当安装包在安装过程中向预设的应用服务器上报androidmanifest.xml文件中的所述id，应用服务器会接收所述id，并将所述id存储在服务器中，以便根据所述id对安装包进行验证。

由于现有使用环境中，安卓应用用于移动终端，都可以连接到网络。在安装包的安装过程中，读取androidmanifest.xml文件中的所述id，向预设服务器上报所述id。

优选地，所述id也可以由应用分发服务器写入安装包的其他文件中，只要能够使安装包在安装过程中向预设的应用服务器上报所述id即可。

以安卓安装包apk为例，apk是androidpackage的缩写，即android安装包(apk)。apk是类似symbiansis或sisx的文件格式。通过将apk文件直接传到android模拟器或android手机中执行即可安装。apk文件和sis一样，把androidsdk编译的工程打包成一个安装程序文件，格式为apk。apk文件其实是zip格式，但后缀名被修改为apk。，通过unzip解压后，可以看到dex文件，dex是dalvikvmexecutes的简称，即androiddalvik执行程序，并非javame的字节码而是dalvik字节码。

优选地，安装包的dex文件对应的androidmanifest.xml文件中预留了id字段，可以用于写入标识安装包身份的唯一id。每个用户下载的安装包都包括标识其身份的id，每一次下载获得的安装包的id都是不同的。androidmanifest.xml文件是android应用程序的配置文件，是一个用来描述android应用“整体资讯”的设定文件，简单来说，相当于android应用向android系统“自我介绍”的配置文件，android系统可以根据这个“自我介绍”完整地了解apk应用程序的资讯。

应用分发服务器接收与其连接的终端设备发送的应用下载请求，为安装包分配标识其身份的唯一id，将携带id的所述安装包分发给终端设备。

优选地，所述id的预设编码规则如下，包括来源字段、下载次数字段/时间字段。其中，来源字段表示应用分发服务器的身份，由应用开发者为每一个合法的应用分发服务器协商分配。下载次数字段是由应用分发服务器分配的，为当前应用分发服务器中所述安装包的下载次数，安装包每被下载一次，下载次数字段加1。时间字段为安装包的下载时间。

优选地，各个应用分发服务器采取同样的编码规则，即各个应用分发服务器生成的id都是包括来源字段、下载次数字段；或各个应用分发服务器生成的id都是包括来源字段、时间字段。

优选地，所述id长度为48比特(6字节)，前24位为来源字段，后24位为下载次数字段/时间字段。其中，第25位，即后24位的第1位可以用来表示所述字段为下载次数字段还是时间字段，例如，置位为1则表示所述字段为下载次数字段，置位为0则标识所述字段为时间字段。

即使不同应用分发服务器中存在安装包的下载次数或下载时间相同的情况，但是由于来源字段的存在，仍可以唯一标识安装包的身份。

在本实施例中，对所述id的具体内容不做限制，可以是当前安装包的任何能够标识其身份的数据信息，每个用户下载的安装包都包括标识其身份的id。每一次下载获得的安装包id都是不同的。

优选地，所述id可以被写入安装包的dex文件对应的androidmanifest.xml文件中预留的id字段。

所述安装包被配置为在安装过程中向预设应用服务器上报androidmanifest.xml文件中的所述id，从而通过预设应用服务器对所述id进行验证，从而实现对当前待安装的安装包的合法性进行验证。

步骤s22、根据所述id对安装包进行验证；

优选地，当所述id包括来源字段和下载次数字段/时间字段等信息时可以通过以下方案对安装包进行验证。

优选地，所述id是由应用分发服务器和应用服务器预先协商的密钥进行了加密，采用对应密钥进行解密，以便进一步进行验证。

优选地，验证所述id是否符合预设编码规则，若不符合，则所述安装包存在风险，验证失败。例如，验证所述id是否包括来源字段和下载次数字段/时间字段，来源字段是否为已知的应用分发服务器等。

优选地，对所述id与黑名单进行匹配，根据匹配结果确定出所述安装包是否合法。作为示例，如，所述id与黑名单匹配成功，则所述安装包存在风险，验证失败。

所述黑名单可以是技术人员根据预设时间内的应用下载中出现的盗版情况或网络劫持以及篡改情况，对存在风险的安装包的id进行汇总得到的。

所述黑名单还可以是根据预设时间，例如一天，内接收到的id进行汇总，相同id的出现次数超过阈值，例如10次，则放入黑名单中。例如，用户从应用分发服务器下载安装包进行安装后，可能存在应用被卸载，用户再次使用所述安装包重新安装的情况，则预设应用服务器会到两次同一id，同时，这两次安装可能间隔较久。但如果同一安装包大规模的安装在多个不同设备上用于非正常应用，其安装时间一般比较接近。

步骤s23、将验证结果返回终端。

当预设应用服务器根据所述id对安装包进行验证后，便可以将验证结果返回给终端，以便终端根据该验证结果做出风险判断。

优选地，如果验证成功，预设应用服务器向终端返回该安装包合法的提示信息，并可以进一步给出安装提示信息，确定用户是否继续安装，例如在安装包的安装界面弹出提示窗口/页面，“当前安装包不存在风险，是否继续安装”。这样使得用户在安装软件时能够对当前安装包的安全性有明确的了解，提高了用户体验。

优选地，如果验证失败，预设应用服务器可以停止该安装包的继续安装，向终端返回对所述安装包的提示信息，提示用户前往可信的应用分发服务器重新下载安装包，例如在安装包的安装界面弹出提示窗口/页面，“当前安装包存在风险，请前往应用分发服务器重新下载安装”。优选地，所述提示窗口/页面还可以包括前往可信的应用分发服务器的网址下载并安装的引导信息；还可以调用终端中已安装的可信的应用分发服务器的客户端，帮助用户进行下载。

在本实施例的一种优选实现方式中，由于终端大多为联网状态，应用的使用也多需要联网。在应用的使用过程中，需要与应用服务器交互，应用发出数据请求携带有所述id。应用服务器对所述id进行验证，如果验证失败，则应用服务器可以向应用程序发送风险提示信息，例如，在应用程序主界面中弹出提示窗口/页面，提示正在使用的应用“您的当前版本存在风险，请前往应用分发服务器重新下载安装”。优选地，可以拒绝所述应用与应用服务器的交互。

通过采用本发明实施例的方案，

对于普通用户，通过将待安装的安装包的id发送给预设的应用服务器，由预设的应用服务器对待安装的安装包是否合法进行验证，并给出用户明确的是否合法的信息，避免了用户针对待安装的软件承担的决策风险，提高了用户终端系统的安全性。

对于同时使用大批量的同一应用的非法用户，可以停止该安装包的继续安装。需要为每一个终端单独下载并安装，因而无法大批量的自动安装同一安装包，提高了非法用户下载应用的复杂度，可以防止同一安装包被滥用，提高了整体应用及应用服务器运行的安全性。

图3示出了适于用来实现本发明实施方式的示例性计算机系统/服务器012的框图。图3显示的计算机系统/服务器012仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图3所示，计算机系统/服务器012以通用计算设备的形式表现。计算机系统/服务器012的组件可以包括但不限于：一个或者多个处理器或者处理单元016，系统存储器028，连接不同系统组件(包括系统存储器028和处理单元016)的总线018。

总线018表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(isa)总线，微通道体系结构(mac)总线，增强型isa总线、视频电子标准协会(vesa)局域总线以及外围组件互连(pci)总线。

计算机系统/服务器012典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机系统/服务器012访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。

系统存储器028可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(ram)030和/或高速缓存存储器032。计算机系统/服务器012可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统034可以用于读写不可移动的、非易失性磁介质(图3未显示，通常称为“硬盘驱动器”)。尽管图3中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如cd-rom,dvd-rom或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线018相连。存储器028可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本发明各实施例的功能。

具有一组(至少一个)程序模块042的程序/实用工具040，可以存储在例如存储器028中，这样的程序模块042包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块042通常执行本发明所描述的实施例中的功能和/或方法。

计算机系统/服务器012也可以与一个或多个外部设备014(例如键盘、指向设备、显示器024等)通信，在本发明中，计算机系统/服务器012与外部雷达设备进行通信，还可与一个或者多个使得用户能与该计算机系统/服务器012交互的设备通信，和/或与使得该计算机系统/服务器012能与一个或多个其它计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口022进行。并且，计算机系统/服务器012还可以通过网络适配器020与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图3所示，网络适配器020通过总线018与计算机系统/服务器012的其它模块通信。应当明白，尽管图3中未示出，可以结合计算机系统/服务器012使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。

处理单元016通过运行存储在系统存储器028中的程序，从而执行本发明所描述的实施例中的功能和/或方法。

上述的计算机程序可以设置于计算机存储介质中，即该计算机存储介质被编码有计算机程序，该程序在被一个或多个计算机执行时，使得一个或多个计算机执行本发明上述实施例中所示的方法流程和/或装置操作。

随着时间、技术的发展，介质含义越来越广泛，计算机程序的传播途径不再受限于有形介质，还可以直接从网络下载等。可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于——无线、电线、光缆、rf等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c++，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(lan)或广域网(wan)连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

最后应说明的是：以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。