基于安卓系统的签名方法、装置以及设备与流程

文档序号：23426442发布日期：2020-12-25 11:56阅读：218来源：国知局

本发明实施例涉及反爬虫技术领域，具体涉及一种基于安卓系统的签名方法、装置以及设备。

背景技术：

目前在安卓系统的使用过程中，存在一些爬虫应用通过破解请求的签名方式，伪装成合法请求者与服务器进行通信从而获取资源，这样一方面增加了服务器的负担，另一方面也降低了核心业务数据的安全性。而现有技术中的针对安卓系统的签名过程暂时没有针对恶意爬虫程序进行防范设置，这样就导致了安卓系统的签名过程安全性不高易被破解，从而导致安卓系统的核心业务数据容易被爬虫者非法获取的问题。

技术实现要素：

鉴于上述问题，本发明实施例提供了一种基于安卓系统的签名方法、装置以及设备，用于解决现有技术中存在的安卓系统的签名过程安全性不高易被破解，从而导致数据容易被爬虫者非法获取的问题。

根据本发明实施例的一个方面，提供了一种基于安卓系统的签名方法，所述方法基于安卓系统的目标应用，所述方法包括：

加载第一应用程序包文件以运行所述目标应用，所述第一应用程序包文件中包括类加载器，所述类加载器包含预设的第二应用程序包文件的路径，所述第二应用程序包文件由包含有签名函数的动态库文件封装得到；

检测是否接受到http请求，所述http请求由所述目标应用上的目标操作触发，确定所述http请求对应的请求参数；

当确定接收到所述http请求时，根据所述第二应用程序包文件的路径反射调用所述签名函数；

根据所述签名函数对所述请求参数进行签名，得到所述http请求对应的目标签名信息；

将所述目标签名信息发送给与所述目标应用连接的服务器，以通过所述服务器对所述目标签名信息进行验证。

在一种可选的方式中，所述方法还包括：

对所述类加载器进行初始化；

创建类加载器实例；

通过所述类加载器实例从所述路径中解析出所述第二应用程序包文件；

从所述第二应用程序包文件中解析出目标安卓可执行文件；

加载所述目标安卓可执行文件中的目标类并返回给所述第一应用程序包文件，所述目标类中包括所述签名方法。

在一种可选的方式中，所述方法还包括：

确定签名函数，将所述签名函数写入目标签名方法；

将所述目标签名方法所在的目标类编译后封装为所述动态库文件；

对所述动态库文件进行加固处理；

将加固处理后的动态库文件进行封装，得到第二应用程序包文件。

在一种可选的方式中，所述方法还包括：

在所述动态库文件中写入目标程序，所述目标程序中包括目标节区，所述目标节区中包括所述签名方法；

确定加固解密函数，将所述加固解密函数的属性确定为预先执行属性；

确定与所述加固解密函数对应的加固加密函数，通过所述加固加密函数以对所述动态库文件进行加密。

在一种可选的方式中，所述方法还包括：

实时获取所述目标应用的进程状态文件；

根据所述进程状态文件判断所述目标应用是否处于调试状态，所述调试状态表征所述目标应用的进程被调试器附加；

当所述目标应用处于所述调试状态时，调用预设的退出程序以终止所述目标应用的运行。

在一种可选的方式中，所述方法还包括：对所述签名方法所对应的代码数据进行混淆处理。

根据本发明实施例的另一方面，提供了一种基于安卓系统的签名装置，包括：

第一加载模块，用于加载第一应用程序包文件以运行所述目标应用，所述第一应用程序包文件中包括类加载器，所述类加载器包含预设的第二应用程序包文件的路径，所述第二应用程序包文件由包含有签名函数的动态库文件封装得到；

检测模块，用于检测是否接受到http请求，所述http请求由所述目标应用上的目标操作触发，确定所述http请求对应的请求参数；

调用模块，用于当确定接收到所述http请求时，根据所述第二应用程序包文件的路径反射调用所述签名函数；

签名模块，用于根据所述签名函数对所述请求参数进行签名，得到所述http请求对应的目标签名信息；

验证模块，用于将所述目标签名信息发送给与所述目标应用连接的服务器，以通过所述服务器对所述目标签名信息进行验证。

在一种可选的方式中，所述调用模块还包括：

初始化模块，用于对所述类加载器进行初始化；

创建模块，用于创建类加载器实例；

第一解析模块，用于通过所述类加载器实例从所述路径中解析出所述第二应用程序包文件；

第二解析模块，用于从所述第二应用程序包文件中解析出目标安卓可执行文件；

第二加载模块，用于加载所述目标安卓可执行文件中的目标类并返回给所述第一应用程序包文件，所述目标类中包括所述签名方法。

根据本发明实施例的另一方面，提供了一种基于安卓系统的签名设备，所述设备包括：处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；

所述存储器用于存放至少一可执行指令，所述可执行指令使所述处理器执行前述任意一项实施例所述的基于安卓系统的签名方法的操作。

根据本发明实施例的另一方面，提供了一种计算机可读存储介质，所述存储介质中存储有至少一可执行指令，所述可执行指令在基于安卓系统的签名设备上运行时，使得基于安卓系统的签名设备执行如前述任意一项实施例所述的基于安卓系统的签名方法的操作。

本发明实施例通过加载第一应用程序包文件以运行目标应用，其中第一应用程序包文件中包括类加载器，类加载器中包含预设的第二应用程序包文件的路径，第二应用程序包文件由包含有签名函数的动态库文件封装得到。再检测是否接受到http请求，http请求由所述目标应用上的目标操作触发。在检测到http请求时，确定所述http请求对应的请求参数，根据第二应用程序包文件的路径来反射调用所述签名函数，根据所述签名函数对所述请求参数进行签名，得到所述http请求对应的目标签名信息。最后将所述目标签名信息发送给与所述目标应用创建连接的服务器，以使得所述服务器对所述目标签名信息进行验证。

本发明实施例首先将签名方法对应的代码打包成第二应用程序包文件进行隐藏，并且第二应用程序包文件写入破解难度更大的位于native层的动态库文件中，以此在目标应用需要进行签名时，通过反射机制在第一应用程序包文件中动态调用包含第二应用程序包文件中的签名方法，从而进行签名。

针对现有技术的安卓系统中所采取的直接根据请求参数进行加密得到签名，将签名发送给服务器进行验证的方案所导致的签名过程完全暴露在爬虫者前而造成的安全性较低的问题，本发明实施例通过将签名过程多层封装，并且采用反射调用的方式进行签名，增加了对签名认证过程进行爬虫和破解的难度，从而提高了安卓系统的应用的安全性。

上述说明仅是本发明实施例技术方案的概述，为了能够更清楚了解本发明实施例的技术手段，而可依照说明书的内容予以实施，并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

附图仅用于示出实施方式，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的基于安卓系统的签名方法的流程示意图；

图2示出了本发明实施例提供的基于安卓系统的签名装置的结构示意图；

图3示出了本发明实施例提供的基于安卓系统的签名设备的结构示意图。

具体实施方式

下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。

图1示出了本发明实施例提供的基于安卓系统的反爬虫签名方法的流程图，该方法由安装了安卓系统的计算机处理设备执行。具体的设备可以包括安装了安卓系统的手机、平板电脑以及虚拟机等设备。如图1所示，该方法包括以下步骤：

步骤110：加载第一应用程序包文件以运行所述目标应用，所述第一应用程序包文件中包括类加载器，所述类加载器包含预设的第二应用程序包文件的路径，所述第二应用程序包文件由包含有签名函数的动态库文件封装得到。

第一应用程序包文件即安卓系统的第一apk文件，第一apk文件中包括安卓可执行文件（即dex文件）、assets文件等文件类型，其中classes.dex是安卓平台上可执行文件的类型，在安装了安卓系统的目标设备上通过对第一应用程序包文件进行解析，从而运行目标应用。在对第一应用程序包文件进行解析和加载的同时，第一应用程序包文件中的类加载器也被加载。

在本发明的一个实施例中，类加载器的类型是dexclassloader，用于加载未安装的包含dex类型文件的jar包或应用程序包文件到宿主程序中。在加载了dexclassloader之后，可以基于java的反射机制，通过该类加载器dexclassloader动态调用未安装的第二应用程序包文件中的已知类中的方法，并将该方法放在宿主程序（即第一应用程序包文件对应的目标应用）的进程中进行执行。

在本发明的一个实施例中，为了提高目标应用运行过程中的代码安全性，即对爬虫者为了试图反编译程序代码而发送的调试请求进行拦截或者在检测到被调试时发出报警，还可以对代码进行反调试操作从而对其进行保护。因此，步骤110在运行目标应用之后还可以执行步骤1101-步骤1103。

步骤1101：获取所述目标应用的进程状态文件。

进程状态文件是安卓系统在运行过程中实时生成与保存的当前进行的各个进程的状态文件。进程状态文件可以是通过调用预设的反调试函数来获取的。其中，所述反调试函数存储在预设的动态库文件中，反调试函数在被执行时会创建目标应用的主进程的子进程，该子进程每隔预设时长（如1s）获取目标应用的进程状态文件。

步骤1102：根据所述进程状态文件判断所述目标应用是否处于调试状态，所述调试状态表征所述目标应用的进程被调试器附加。

考虑到爬虫者一般是调试器来对代码进行分析、试图破解或者注入恶意代码，因此可以根据进程状态文件来判断当前是否有调试器附加在目标应用的进程上，试图对目标应用进行调试和破解。

根据进程状态文件中包含的tracerpid字段的值进行判断，在tracerpid字段值为非0（如1）时，则确定目标应用处于调试状态，在所述tracerpid字段值为0时，则确定目标应用处于非调试状态。

步骤1103：当所述目标应用处于调试状态时，调用预设的退出程序以终止所述目标应用的运行。

在本发明的另一个实施例中，在确定处于调试状态即终止目标应用的同时，还可以获取调试端口信息，将调试端口信息发送给预设服务器。预设的服务器可以对该调试端口发送的请求进行拦截等操作，从而保护目标应用的代码不被调试，减小代码被非法逆向的可能性。

步骤120：检测是否接受到http请求，所述http请求由所述目标应用上的目标操作触发，确定所述http请求对应的请求参数。

首先，目标应用上的目标操作可以包括数据下载请求、页面加载请求等爬虫者常用的操作。因此，需要对目标操作采取更高安全级别的签名方式，防止爬虫者通过逆向签名过程，对签名方法进行破解。在本发明的一个实施例中，将http请求封装为一个util类，在检测到目标应用的客户端发送了上述目标操作之后，则调用该util类，执行该类中的代码从而将http请求发送给与目标应用连接的预设的服务器端，其中该util类的代码中就包括了下述步骤中加载类加载器、通过类加载器反射调用第一应用程序包文件中的签名方法。

在util类中签名方法会在请求发送给预设的服务器端前执行，这样就实现了在将客户端的请求发送至服务器端之前，都先通过本发明的经过反爬虫设计的签名方法进行签名，提高了请求的签名过程的安全性。

调用http请求对该http请求包含的请求参数进行校验，在确定为合法请求的情况下会执行该请求。在本发明的一个实施例中，具体的请求参数可以可以包括如目标应用的软件标识、时间戳、设备标识等。

步骤130：当确定接收到所述http请求时，根据所述第二应用程序包文件的路径反射调用所述签名函数。

具体的通过类加载器反射调用第二应用程序包文件中的签名函数的过程可以包括步骤1301-步骤1305：

步骤1301：对所述类加载器进行初始化。

进行初始化的过程包括指定类加载器的加载参数，具体的加载参数包括需要加载的第二应用程序包文件的路径、提取出的目标安卓可执行文件的存放目录、目标类所使用的c/c++库的列表以及当前类加载器的父类加载器。上述加载参数可以通过包管理器获取。

步骤1302：创建类加载器实例。

在dexclassloader类下新建一个实例作为此处的类加载器实例。

步骤1303：通过所述类加载器实例从所述路径中解析出所述第二应用程序包文件。

步骤1304：从所述第二应用程序包文件中解析出目标安卓可执行文件。

需要说明的是，为了保证目标应用能够调用第二应用程序包文件，目标安卓可执行文件必须存在第一应用程序包文件的本地目录中。

步骤1305：加载所述目标安卓可执行文件中的目标类并返回给所述第一应用程序包文件，所述目标类中包括所述签名方法。

java反射机制是指在运行状态中，对于任意一个类，都能够知道这个类的所有属性和方法；对于任意一个对象，都能够调用它的任意一个方法和属性，这种动态获取的信息以及动态调用对象的方法的功能即java反射机制。

在本发明的一个实施例中，具体的反射调用的过程可以如下：通过上述反射机制获取签名方法所在的目标类和实例化目标类以获取对应的对象，然后通过所获取的目标类下的对象，使用反射调用其目标类包含的签名方法，通过签名方法调用对应的资源加载到主程序中，从而对第二应用程序包文件对应的目标应用接收到的请求参数进行签名。

现有技术中一般都是将应用程序包文件直接存储于安卓系统的java层，这样的破解难度低，相当于把签名过程直接暴露在爬虫者的眼前，因此在本发明的另一个实施例中，还可以进一步地将包含签名函数的第二应用程序包文件隐藏于安卓系统的native层。由于native层的代码是用c/c++语言编写的，区别于java层的代码用java语言编写，native层的代码破解难度大，这样就为爬虫者制造了反编译的难度。即在反射调用第二应用程序包文件中的签名函数之前，还进一步包括步骤1310-步骤1313：

步骤1310：确定签名函数，将所述签名函数写入签名方法。

在本发明的一个实施例中，签名函数可以根据预设的加密算法，对请求参数进行加密得到加密后的结果作为http请求对应的签名。加密算法可以包括aes、rsa算法、sha-1算法以及md5算法等。

步骤1311：将所述签名方法所在的目标类编译后封装为所述动态库文件。

首先在安卓系统的native层中的一个动态库文件（即so文件）中建立一个目标文件夹，在将签名方法所在的目标类的代码数据编译后存储于前述目标文件夹。

在本发明的一个实施例中，除了通过前述步骤将签名方法的核心代码经过封装成第二应用程序包文件，并且将第二应用程序包文件写入native层的动态库文件，还可以进一步对所述签名方法的代码进行混淆处理。这样即使爬虫者突破了前述步骤的反爬虫设计，找到了签名函数所在的代码部分，由于该代码部分也就进行了代码混淆处理，使得阅读难度和反汇编难度增大，这样就增加了爬虫者的时间和计算成本，降低了签名方法被破解的可能性。

在本发明的一个实施例中，具体的混淆处理可以是在签名方法对应的代码数据中添加花指令，然后将添加了花指令的代码编译封装成前述的第二应用程序包文件。

步骤1312：对所述动态库文件进行加固处理。

对动态库文件进行进一步的加固处理，从而加大反汇编的难度。进行加固的处理即将动态库文件中的核心函数即本发明实施例中的签名函数（区别于系统中自带的函数）部分的代码通过加密保护起来，在执行该核心函数之前需要先按照预设的解密函数对代码进行解密。

步骤1313：将加固处理后的动态库文件进行封装，得到第二应用程序包文件。在本发明的一个实施例中，对动态库文件进行加固处理的步骤1312还至少包括步骤131201-步骤131203。

步骤131201：在所述动态库文件中写入目标程序，所述目标程序中包括目标节区，所述目标节区中包括所述签名方法。

即在动态库文件的目标native程序中单独划分出一个目标节区（section），用于存放加固后的签名方法的代码数据。

步骤131202：确定加固解密函数，将所述加固解密函数的属性确定为预先执行属性。

在本发明的一个实施例中，预先执行属性为__attribute__((constructor))属性，该属性表征加固解密函数的执行在main函数之前进行。这样首先要执行加固解密函数对动态库文件进行解密，在解密成功的情况下，才可以访问核心的签名函数部分的代码。这样就提高了签名代码的安全性和隐蔽性，增加了爬虫者破解代码的难度。

步骤131203：确定与所述加固解密函数对应的加固加密函数，通过所述加固加密函数以对所述动态库文件进行加密。

本发明的一个实施例中，加固加密函数可以采用异或加密（即取反）操作。

步骤140：根据所述签名函数对所述请求参数进行签名，得到所述http请求对应的目标签名信息。

签名函数中存有加密算法对应的密钥。将密钥与请求参数按照加密算法进行计算，得到加密结果作为目标签名信息。

步骤150：将所述目标签名信息发送给与所述目标应用创建连接的服务器，通过所述服务器对所述目标签名信息进行验证。

在服务器上存有签名函数中包含的加密参数，在接收到目标签名信息后，根据服务器存有的加密参数对目标签名信息进行解密验证。

图2示出了本发明实施例提供的基于安卓系统的反爬虫的签名装置的结构示意图。如图2所示，该装置200包括：第一加载模块210、检测模块220和调用模块230、签名模块240和验证模块250。

第一加载模块210，用于加载第一应用程序包文件以运行所述目标应用，所述第一应用程序包文件中包括类加载器，所述类加载器包含预设的第二应用程序包文件的路径，所述第二应用程序包文件由包含有签名函数的动态库文件封装得到；

检测模块220，用于检测是否接受到http请求，所述http请求由所述目标应用上的目标操作触发，确定所述http请求对应的请求参数；

调用模块230，用于当确定接收到所述http请求时，根据所述第二应用程序包文件的路径反射调用所述签名函数；

签名模块240，用于根据所述签名函数对所述请求参数进行签名，得到所述http请求对应的目标签名信息；

验证模块250，将所述目标签名信息发送给与所述目标应用创建连接的服务器，通过所述服务器对所述目标签名信息进行验证。

在本发明的一个实施例中，所述调用模块230还包括：

初始化模块2301，用于对所述类加载器进行初始化；

创建模块2302，用于创建类加载器实例；

第一解析模块2303，用于通过所述类加载器实例从所述路径中解析出所述第二应用程序包文件；

第二解析模块2304，用于从所述第二应用程序包文件中解析出目标安卓可执行文件；

第二加载模块2305，用于加载所述目标安卓可执行文件中的目标类并返回给所述第一应用程序包文件，所述目标类中包括所述签名方法。

本发明实施例的基于安卓系统的签名装置的具体工作过程与上述基于安卓系统的签名方法的具体流程步骤相同，此处不再赘述。

本发明实施例提出的基于安卓系统的签名装置通过将签名方法打包成第二应用程序包文件进行隐藏，并且写入存储于破解难度更大的native层的动态库文件，并且在目标应用需要进行签名时，通过反射机制在目标应用中的第一应用程序包文件中动态调用包含第二应用程序包文件中的签名方法，本发明实施例增加了对签名认证过程进行爬虫的难度，从而提高了安卓系统的应用的安全性。

图3示出了本发明实施例提供的基于安卓系统的签名设备的结构示意图，本发明具体实施例并不对基于安卓系统的签名设备的具体实现做限定。

如图3所示，该基于安卓系统的签名设备可以包括：处理器(processor)302、通信接口(communicationsinterface)304、存储器(memory)306、以及通信总线308。

其中：处理器302、通信接口304、以及存储器306通过通信总线308完成相互间的通信。通信接口304，用于与其它设备比如客户端或其它服务器等的网元通信。处理器302，用于执行程序310，具体可以执行上述用于基于安卓系统的签名方法实施例中的相关步骤。

具体地，程序310可以包括程序代码，该程序代码包括计算机可执行指令。

处理器302可能是中央处理器cpu，或者是特定集成电路asic（applicationspecificintegratedcircuit），或者是被配置成实施本发明实施例的一个或多个集成电路。基于安卓系统的签名设备包括的一个或多个处理器，可以是同一类型的处理器，如一个或多个cpu；也可以是不同类型的处理器，如一个或多个cpu以及一个或多个asic。

存储器306，用于存放程序310。存储器306可能包含高速ram存储器，也可能还包括非易失性存储器（non-volatilememory），例如至少一个磁盘存储器。

程序310具体可以被处理器302调用使基于安卓系统的签名设备执行以下操作：

检测是否接受到http请求，所述http请求由所述目标应用上的目标操作触发，确定所述http请求对应的请求参数；

当确定接收到所述http请求时，根据所述第二应用程序包文件的路径反射调用所述签名函数；

根据所述签名函数对所述请求参数进行签名，得到所述http请求对应的目标签名信息；

将所述目标签名信息发送给与所述目标应用连接的服务器，以通过所述服务器对所述目标签名信息进行验证。