[发明专利]一种基于用户权限的安卓应用程序间的安全性鉴定方法

权利要求书

1.一种基于用户权限的安卓应用程序间的安全性鉴定方法，其特征在于该方法基于安卓系统中的三个主体，所述的三个主体，一是服务器端，二是作为主程序的安卓应用程序简称主程序，三是作为主程序的插件的安卓应用程序简称插件程序；在安卓设备中设计一个应用程序和另一个独立安装且作为该程序插件的应用程序两者间的安全性鉴定方法，这种鉴定方法是基于用户权限的，主程序中登录的不同的用户对被调用的插件程序具有不同的执行权限；设计主程序加载插件程序时对插件程序执行的基于用户权限的安全性鉴定方法，以及设计插件程序被调用时对主程序执行的基于用户权限的安全性鉴定方法。

2.根据权利要求1所述的一种基于用户权限的安卓应用程序间的安全性鉴定方法，其特征在于所述的设计主程序加载插件程序时对插件程序执行的基于用户权限的安全性鉴定方法，当主程序扫描到安卓设备中一个已安装的插件程序时鉴定该插件程序是否为原版程序，并鉴定登录用户对该插件程序的使用权限，根据登录用户的权限选择是否加载被该插件程序，鉴定流程为：

（1）主程序获取插件程序的包名FunctionPackageName和插件程序的签名信息FunctionSignature；

（2）主程序将FunctionPackageName和对应的FunctionSignature以及包含用户名和用户密码信息的密文UserID和用户登录时由服务器端生成的具有时效性的验证信息TempKey这四个字符串进行逐字符相加的运算，得到一个字符串；

（3）主程序该字符串进行哈希值运算，得到一个新字符串命名为HashKey1；

（4）主程序向服务器发送鉴定请求，请求参数包括HashKey1和用户名UserName和FunctionPackageName三个信息；

（5）服务器先根据UserName和FunctionPackageName进行执行权限的验证，若验证失败则向主程序返回鉴定失败信息，执行步骤（12），若验证成功则执行步骤（6）；

（6）服务器使用本地记录的FunctionPackageName和FunctionSignature以及UserID和TempKey这四个字符串进行逐字符相加的运算，得到一个字符串，对该字符串进行哈希值运算，得到一个新字符串命名为HashKey1’；

（7）服务器将HashKey1’与HashKey1进行比较，若不一致则返回鉴定失败信息，执行步骤（12），若验证一致则执行步骤（8）；

（8） 服务器将HashKey1和服务器端记录的UserID两个字符串进行逐字符相加运算，得到一个字符串，再对该字符串进行哈希值运算，得到HashKey2 ；

（9）服务器将HashKey2发送给主程序；

（10）主程序将HashKey1和UserID两个字符串进行逐字符相加运算，得到一个字符串，再对该字符串进行哈希值运算，得到HashKey2’ ；

（11）主程序将HashKey2’和HashKey2进行比较，若不一致则执行步骤（12），若验证一致则将加载该插件程序，鉴定完毕；

（12）鉴定失败，不加载该插件程序；

其中UserID根据用户名信息和密码信息加密计算得到，目的为验证用户信息且不使用明文包含密码信息，以提高安全性，TempKey为用户登录时由服务器随机生成的验证码，在用户登录成功后发送至客户端，它具有时效性，一段时间之后即失效，在验证信息中加入具有时效性的信息，即便验证信息在传递中被恶意者截获，也会很快失去价值。