一种POS机应用权限管理方法、装置、设备和存储介质与流程

一种pos机应用权限管理方法、装置、设备和存储介质
技术领域
1.本发明实施例涉及终端应用管理技术领域，尤其涉及一种pos机应用权限管理方法、装置、设备和存储介质。


背景技术：

2.pos(point of sale，销售终端)机是一种基于android系统的智能设备，现今pos机的应用安装包apk(android application package，安卓应用程序包)由开发者管理。开发者将经过权限设置后的应用安装包apk发送至收单机构进行签名验证，再发送至pos机进行安装。此时，应用权限可已经固定，如果收单机构需要对应用权限进行修改，需要开发者重新发版一个新的应用，过程较为繁琐，应用维护成本较高。


技术实现要素：

3.本发明实施例提供了一种pos机应用权限管理方法、装置、设备和存储介质，可以使收单机构对应用权限进行修改，降低维护管理成本。
4.第一方面，本发明实施例提供了一种pos机应用权限管理方法，应用于权限管理端，该方法包括：
5.获取用户对目标应用的至少一项应用权限的自定义设置信息，并对所述自定义设置信息进行加密，生成自定义权限信息文件；
6.将所述自定义权限信息文件写入所述目标应用的原打包文件中，得到更新后的打包文件；
7.对所述更新后的打包文件进行加密签名生成签名文件，并将所述签名文件写入所述更新后的打包文件，得到所述目标应用的最终打包文件；
8.将所述最终打包文件发送给目标pos机终端，以使所述目标pos机终端基于所述最终打包文件中的自定义权限信息文件和manifest文件中权限信息，确定所述目标应用在所述目标pos机终端的权限设置。
9.第二方面，本发明实施例提供了一种pos机应用权限管理方法，应用于pos机终端，该方法包括：
10.获取到待安装目标应用的打包文件时，对所述打包文件进行解析与校验；
11.当解析出所述打包文件中有自定义权限信息文件时，根据所述自定义权限信息文件中第一权限设置信息和所述打包文件中的manifest文件中的第二权限设置信息，设置所述待安装目标应用的应用权限，完成所述待安装目标应用的安装。
12.第三方面，本发明实施例提供了一种pos机应用权限管理装置，配置于权限管理端，该装置包括：
13.自定义权限文件生成模块，用于获取用户对目标应用的至少一项应用权限的自定义设置信息，并对所述自定义设置信息进行加密，生成自定义权限信息文件；
14.应用打包文件更新模块，用于将所述自定义权限信息文件写入所述目标应用的原
打包文件中，得到更新后的打包文件；
15.应用打包文件签名加密模块，用于对所述更新后的打包文件进行加密签名生成签名文件，并将所述签名文件写入所述更新后的打包文件，得到所述目标应用的最终打包文件；
16.打包文件发射模块，用于将所述最终打包文件发送给目标pos机终端，以使所述目标pos机终端基于所述最终打包文件中的自定义权限信息文件和manifest文件中权限信息，确定所述目标应用在所述目标pos机终端的权限设置。
17.第四方面，本发明实施例提供了一种pos机应用权限管理装置，配置于pos机终端，该装置包括：
18.安装文件解析模块，用于获取到待安装目标应用的打包文件时，对所述打包文件进行解析与校验；
19.应用权限设置模块，用于当解析出所述打包文件中有自定义权限信息文件时，根据所述自定义权限信息文件中第一权限设置信息和所述打包文件中的manifest文件中的第二权限设置信息，设置所述待安装目标应用的应用权限，完成所述待安装目标应用的安装。
20.第五方面，本发明实施例提供了一种计算机设备，该计算机设备包括：
21.一个或多个处理器；
22.存储器，用于存储一个或多个程序；
23.当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现任一实施例所述的pos机应用权限管理方法。
24.第六方面，本发明实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现任一实施例所述的pos机应用权限管理方法。
25.本发明实施例所提供的技术方案，通过获取用户对目标应用的至少一项应用权限的自定义设置信息，并对自定义设置信息进行加密，生成自定义权限信息文件；将自定义权限信息文件写入目标应用的原打包文件中，得到更新后的打包文件；对更新后的打包文件进行加密签名生成签名文件，并将签名文件写入更新后的打包文件，得到目标应用的最终打包文件；将最终打包文件发送给目标pos机终端，以使目标pos机终端基于最终打包文件中的自定义权限信息文件和manifest文件中权限信息，确定目标应用在目标pos机终端的权限设置。本发明实施例的技术方案解决了现有技术中存在的收单机构无法对应用权限进行修改的问题，可以使收单机构对应用权限进行修改，降低维护管理成本。
附图说明
26.图1是本发明实施例提供的一种应用于权限管理端的pos机应用权限管理方法流程图；
27.图2是本发明实施例提供的又一种应用于权限管理端的pos机应用权限管理方法流程图；
28.图3是本发明实施例提供的一种应用于pos机终端的pos机应用权限管理方法流程图；
29.图4是本发明实施例提供的又一种应用于pos机终端的pos机应用权限管理方法流
程图；
30.图5是本发明实施例提供的一种配置于权限管理端的pos机应用权限管理装置的结构示意图；
31.图6是本发明实施例提供的一种配置于pos机终端的pos机应用权限管理装置的结构示意图；
32.图7是本发明实施例提供的一种计算机设备的结构示意图。
具体实施方式
33.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
34.图1是本发明实施例提供的一种应用于权限管理端的pos机应用权限管理方法流程图，本发明实施例可适用于对pos机应用权限信息进行授权的场景中，该方法可以由配置于权限管理端的pos机应用权限管理装置执行，该装置可以由软件和/或硬件的方式来实现。
35.如图1所示，pos机应用权限管理方法包括以下步骤：
36.s110、获取用户对目标应用的至少一项应用权限的自定义设置信息，并对所述自定义设置信息进行加密，生成自定义权限信息文件。
37.其中，用户可以是收单机构的内部工作人员。目标应用可以是需要进行权限信息设置的应用；应用权限可以是目标应用的权限信息，例如是否可以开启pos机定位模式、是否读取pos机自身数据等权限的信息。
38.自定义设置信息可以是用户设置的目标应用的应用权限信息，用户可以根据预设的设置规则，填写自定义设置信息，对应用的权限进行管理。通常，一个应用在终端运行过程中，会受到多个权限的约束，通过权限管理，可以设定应用程序的权限，包括一些信息的读取权限、应用访问权限等。例如，用户可以根据收单机构的保密协议，将涉及到隐私安全的应用权限设置为非授权状态，则目标应用将无法行使该应用权限。具体的，可以实时读取用户设置的目标应用的应用权限信息，进而获取用户对目标应用的应用权限的自定义设置信息。
39.进一步的，可以使用预设的加密规则，对自定义设置信息进行加密处理，防止自定义设置信息被非法盗取或篡改。对自定义设置信息进行加密处理，即得到自定义权限信息文件。
40.s120、将所述自定义权限信息文件写入所述目标应用的原打包文件中，得到更新后的打包文件。
41.其中，原打包文件可以是目标应用的开发者开发的原始apk文件，在原打包文件中，目标应用的开发者也对目标应用的应用权限信息进行了设置。更新可以是将自定义权限信息文件和原打包文件进行融合的一个过程，例如，可以将自定义权限信息文件添加至目标应用的原打包文件中，并将自定义权限信息和原打包文件中对同一应用权限的设置信息进行融合，得到融合后的应用权限信息。
42.s130、对所述更新后的打包文件进行加密签名生成签名文件，并将所述签名文件写入所述更新后的打包文件，得到所述目标应用的最终打包文件。
43.其中，加密签名可以是对更新后的打包文件进行加密和签名处理的一个过程，具体的，可以根据预设的加密和签名规则，对更新后的打包文件进行加密和签名处理，通过加密签名处理，可以提高更新后的打包文件的安全性和可辨识性。最终打包文件可以是在权限管理端处理后最终生成的关于目标应用的应用权限信息的文件，通过将更新后的打包文件进行前加密签名处理，可以生成签名文件，再将签名文件写入更新后的打包文件中，可以得到目标应用的最终打包文件。
44.s140、将所述最终打包文件发送给目标pos机终端，以使所述目标pos机终端基于所述最终打包文件中的自定义权限信息文件和manifest文件中权限信息，确定所述目标应用在所述目标pos机终端的权限设置。
45.其中，目标pos机终端可以是需要确定目标应用的应用权限并对目标应用进行安装终端设备。manifest(清单)文件是原打包文件其中的一个文件，在manifest文件中，目标应用的开发者对目标应用的应用权限信息进行了设置。当目标pos机终端接受到最终打包文件后，可以基于最终打包文件中的自定义权限信息文件和manifest文件中权限信息，按照预设的pos机终端的权限设置的确定规则，确定目标应用在目标pos机终端的权限设置。例如，可以以就小原则作为pos机终端的权限设置的确定规则，当自定义权限信息文件和manifest文件同时对某一应用权限设置为可授权状态时，pos机终端可以确定该应用权限为可授权状态，pos机终端可以修改该应用权限的权限状态；当自定义权限信息文件或manifest文件对某一应用权限设置为不可授权状态时，则pos机终端可以确定该应用权限为不可授权状态，pos机终端便不可以修改该应用权限的权限状态。
46.本发明实施例所提供的技术方案，通过获取用户对目标应用的至少一项应用权限的自定义设置信息，并对自定义设置信息进行加密，生成自定义权限信息文件；将自定义权限信息文件写入目标应用的原打包文件中，得到更新后的打包文件；对更新后的打包文件进行加密签名生成签名文件，并将签名文件写入更新后的打包文件，得到目标应用的最终打包文件；将最终打包文件发送给目标pos机终端，以使目标pos机终端基于最终打包文件中的自定义权限信息文件和manifest文件中权限信息，确定目标应用在目标pos机终端的权限设置。本发明实施例的技术方案解决了现有技术中存在的收单机构无法对应用权限进行修改的问题，可以使收单机构对应用权限进行修改，降低维护管理成本。
47.图2是本发明实施例提供的又一种应用于权限管理端的pos机应用权限管理方法流程图，本发明实施例可适用于对pos机应用权限信息进行授权的场景中，本实施例在上述实施例的基础上，进一步的说明如何对pos机应用权限信息进行加密和签名处理，该装置可以由软件和/或硬件的方式来实现，集成于具有应用开发功能的计算机设备中。
48.如图2所示，pos机应用权限管理方法包括以下步骤：
49.s210、获取用户对目标应用的至少一项应用权限的自定义设置信息，使用所述权限管理端预先生成的工作证书公私钥对中的私钥对所述自定义设置信息进行加密，生成自定义权限信息文件。
50.其中，用户可以是收单机构的内部工作人员。目标应用可以是需要进行权限信息设置的应用；应用权限可以是目标应用的权限信息，例如是否可以开启pos机定位模式、是
否读取pos机自身数据等权限的信息。自定义设置信息可以是用户设置的目标应用的应用权限信息，用户可以根据预设的设置规则、或是应用场景的需求，填写自定义设置信息，对应用的权限进行管理。通常，一个应用在终端运行过程中，会受到多个权限的约束，通过权限管理，可以设定应用程序的权限，包括一些信息的读取权限、应用访问权限等。例如，用户可以根据收单机构的保密协议，将涉及到隐私安全的应用权限设置为非授权状态，则目标应用将无法行使该应用权限。具体的，可以实时读取用户设置的目标应用的应用权限信息，进而获取用户对目标应用的应用权限的自定义设置信息。
51.进一步的，权限管理端可以调用预设的加密算法，生成根证书公私钥对和工作证书公私钥对。根证书公私钥对可以是一对原始密钥，根证书公私钥对包括根证书公钥和根证书私钥，两者有一一对应关系，根公钥用于生成根公钥证书下发至智能pos终端进行预装，根私钥负责加密收单机构下发至pos终端的工作数据。工作证书公私钥对可以是一对衍生密钥，工作证书公私钥对包括工作证书公钥和工作证书私钥，两者有一一对应关系，工作私钥负责加密下发至pos终端的文件和工作证书公钥的数据。通过生成根证书公私钥对和工作证书公私钥对两对密钥，后续再通过使用两对密钥互相嵌套，可以提高加密文件的安全性，防止文件被非法盗取或篡改。工作证书公私钥对中的私钥即工作证书私钥，通过使用工作证书公私钥对中的私钥对自定义设置信息进行加密处理后，可以得到自定义权限信息文件。
52.s220、将所述自定义权限信息文件写入所述目标应用的原打包文件中，得到更新后的打包文件。
53.其中，原打包文件可以是目标应用的开发者开发的原始apk文件，在原打包文件中，目标应用的开发者也对目标应用的应用权限信息进行了设置。更新可以是将自定义权限信息文件和原打包文件进行融合的一个过程，例如，可以将自定义权限信息文件添加至目标应用的原打包文件中，并将自定义权限信息和原打包文件中对同一应用权限的设置信息进行融合，得到融合后的应用权限信息。
54.s230、对所述更新后的打包文件及对应的签名描述信息进行数据摘要，计算所述数据摘要的哈希值得到第一哈希值，并对所述第一哈希值进行填充处理。
55.其中，签名描述信息可以是对更新后的打包文件的签名的进行描述的信息。哈希值是根据文件内容中的数据通过逻辑运算得到的数值，哈希值可以作为文件的身份证，用于目标pos机终端对接获取到的文件的准确性进行校验，第一哈希值可以是数据摘要的哈希值。数据摘要可以是对更新后的打包文件及对应的签名描述信息中的数据进行摘要提取的一个过程，随后，通过对数据摘要进行哈希值计算，可以得到第一哈希值。进一步的，填充可以是对第一哈希值中缺少的关键名词等信息进行补充的一个过程，通过对第一哈希值进行填充处理，可以增加第一哈希值的可读性。
56.例如，表1是一种经过填充处理的第一哈希值表。其中，“授权设置1”所在列表示自定义权限信息文件对各个权限项是否可以修改进行的设置，“授权设置2”所在列表示原打包文件对各个权限项是否可以修改进行的设置，“最终应用权限”所在列表示最终pos机终端是否可以执行权限项的确定情况。
57.表1经过填充处理的第一哈希值表。
58.权限项授权设置1授权设置2最终应用权限
权限项1
×××
权限项2
×
√
×
权限项3√√√
……
.....权限项n
………
59.如表1所示，当授权设置1和授权设置2对于同一权限项均填写为“√”时，pos机终端可以执行该权限项；当授权设置1或授权设置2对于同一权限项填写
“×”
时，pos机终端不可以执行该权限项。
60.s240、使用所述工作证书公私钥对中的私钥对经过所述填充处理的第一哈希值进行加密签名，生成签名后的第一哈希值数据。
61.其中，工作证书公私钥对中的私钥即工作证书私钥，通过使用工作证书私钥对经过填充处理的第一哈希值进行加密签名，可以生成签名后的第一哈希值数据，提高第一哈希值数据的安全性。
62.s250、根据所述签名描述信息、所述工作公钥证书和所述签名后的第一哈希值数据生成签名文件，并将所述签名文件写入所述更新后的打包文件，得到所述目标应用的最终打包文件。
63.其中，签名文件可以是对签名信息进行包装的一个文件，具体的，可以将签名描述信息、工作公钥证书和签名后的第一哈希值数据生成签名文件进行拼接，生成签名文件。最终打包文件可以是在权限管理端处理完成后的生成的一个文件，将签名文件写入更新后的打包文件，可以得到目标应用的最终打包文件。
64.s260、将所述最终打包文件发送给目标pos机终端，以使所述目标pos机终端基于所述最终打包文件中的自定义权限信息文件和manifest文件中权限信息，确定所述目标应用在所述目标pos机终端的权限设置。
65.其中，目标pos机终端可以是需要确定目标应用的应用权限并对目标应用进行安装的终端设备。manifest文件是原打包文件其中的一个文件，在manifest文件中，目标应用的开发者对目标应用的应用权限信息进行了设置。当目标pos机终端接受到最终打包文件后，可以基于最终打包文件中的自定义权限信息文件和manifest文件中权限信息，按照预设的pos机终端的权限设置的确定规则，确定目标应用在目标pos机终端的权限设置。例如，可以以就小原则作为pos机终端的权限设置的确定规则，当自定义权限信息文件和manifest文件同时对某一应用权限设置为可授权状态时，pos机终端可以确定该应用权限为可授权状态，pos机终端可以修改该应用权限的权限状态；当自定义权限信息文件或manifest文件对某一应用权限设置为不可授权状态时，则pos机终端可以确定该应用权限为不可授权状态，pos机终端便不可以修改该应用权限的权限状态。
66.本发明实施例所提供的技术方案，通过获取用户对目标应用的至少一项应用权限的自定义设置信息，使用权限管理端预先生成的工作证书公私钥对中的私钥对自定义设置信息进行加密，生成自定义权限信息文件；将自定义权限信息文件写入目标应用的原打包文件中，得到更新后的打包文件；对更新后的打包文件及对应的签名描述信息进行数据摘要，计算数据摘要的哈希值得到第一哈希值，并对数据摘要进行填充处理；使用工作证书公私钥对中的私钥对经过填充处理的数据摘要进行加密签名，生成签名后的第一哈希值数
据；根据签名描述信息、工作公钥证书和签名后的第一哈希值数据生成签名文件，并将签名文件写入更新后的打包文件，得到目标应用的最终打包文件；将最终打包文件发送给目标pos机终端，以使目标pos机终端基于最终打包文件中的自定义权限信息文件和manifest文件中权限信息，确定目标应用在目标pos机终端的权限设置。本发明实施例的技术方案解决了现有技术中存在的收单机构无法对应用权限进行修改的问题，可以使收单机构对应用权限进行修改，降低维护管理成本。
67.图3是本发明实施例提供的一种应用于pos机终端的pos机应用权限管理方法流程图，本发明实施例可适用于在安装pos机应用过程中对应用权限信息进行解析、校验场景中，该方法可以由配置于pos机终端的pos机应用权限管理装置执行，该装置可以由软件和/或硬件的方式来实现。
68.如图3所示，pos机应用权限管理方法包括以下步骤：
69.s310、获取到待安装目标应用的打包文件时，对所述打包文件进行解析与校验。
70.其中，待安装目标应用可以是需要进行安装的应用。打包文件包括自定义权限信息文件和manifest文件，自定义权限信息文件包含收单机构内部工作人员对待安装目标应用设置的应用权限信息，manifest文件包含待安装目标应用的开发者设置的应用权限信息。解析可以是对经过加密的打包文件进行解密处理的过程，可以通过预设的与权限管理端加密规则对应的解密规则，对打包文件进行解析处理。校验可以是对打包文件的准确性进行检查的过程，具体的，可以根据预设的校验规则，对打包文件中的校验项进行检查，确保打包文件的准确性。
71.s320、当解析出所述打包文件中有自定义权限信息文件时，根据所述自定义权限信息文件中第一权限设置信息和所述打包文件中的manifest文件中的第二权限设置信息，设置所述待安装目标应用的应用权限，完成所述待安装目标应用的安装。
72.其中，第一权限设置信息即收单机构内部工作人员对待安装目标应用设置的应用权限信息，第二权限设置信息待安装目标应用的开发者设置的应用权限信息。当获取到第一权限设置信息和第二权限设置信息后，可以基于第一权限设置信息和第二权限设置信息，按照预设的pos机终端应用权限的设置规则，设置待安装目标应用的应用权限。例如，可以以就小原则作为pos机终端应用权限的设置规则，当第一权限设置信息和第二权限设置信息同时对某一应用权限设置为可授权状态时，pos机终端可以设置该应用权限为可授权状态，pos机终端可以修改该应用权限的权限状态；当第一权限设置信息和第二权限设置信息对某一应用权限设置为不可授权状态时，则pos机终端可以设置该应用权限为不可授权状态，pos机终端便不可以修改该应用权限的权限状态。
73.本发明实施例所提供的技术方案，通过获取到待安装目标应用的打包文件时，对打包文件进行解析与校验；当解析出打包文件中有自定义权限信息文件时，根据自定义权限信息文件中第一权限设置信息和打包文件中的manifest文件中的第二权限设置信息，设置待安装目标应用的应用权限，完成待安装目标应用的安装。本发明实施例的技术方案解决了现有技术中存在的收单机构无法对应用权限进行修改的问题，可以使收单机构对应用权限进行修改，降低维护管理成本。
74.图4是本发明实施例提供的一种应用于pos机终端的pos机应用权限管理方法流程图，本发明实施例可适用于在安装pos机应用过程中对应用权限信息进行解析、校验的场景
中，本实施例在上述实施例的基础上，进一步的说明如何对pos机应用权限信息进行解析和校验，该装置可以由软件和/或硬件的方式来实现，集成于具有应用开发功能的计算机设备中。
75.如图4所示，pos机应用权限管理方法包括以下步骤：
76.s410、获取到待安装目标应用的打包文件时，解析所述打包文件得到写有自定义权限信息文件的打包文件和签名文件。
77.其中，待安装目标应用可以是需要进行安装的应用。打包文件包括自定义权限信息文件和manifest文件，自定义权限信息文件包含收单机构内部工作人员对待安装目标应用设置的应用权限信息，manifest文件包含待安装目标应用的开发者设置的应用权限信息。解析可以是对经过加密的打包文件进行解密处理的过程，可以通过预设的与权限管理端加密规则对应的解密规则，对打包文件进行解析处理。
78.s420、根据pos机终端预置的根证书公私钥对中的公钥，验证所述签名文件中的工作公钥证书的合法性。
79.其中，根证书公私钥对中的公钥即根证书公钥，工作公钥证书是由根证书公钥根据预设的签名处理得到的证书，具体的，可以加将pos机终端预置的根证书公私钥对中的公钥根据预设的签名处理得到的证书，与签名文件中的工作公钥证书对比，如果两者一致，则签名文件中的工作公钥证书具有合法性，否则不具有合法性。
80.s430、当所述签名文件中的工作公钥证书通过验证时，从所述签名文件中的工作公钥证书中提取工作证书公钥信息，并基于所述工作证书公钥信息解密得到工作证书私钥。
81.其中，工作证书公钥信息可以是可以表述工作证书公钥的信息，因为工作公钥证书是由根证书公钥根据预设的签名处理得到，因此可以进行反向处理得到工作证书公钥信息，再由工作证书公钥与工作证书私钥的一一对应关系，得到工作证书私钥。
82.s440、通过所述工作证书私钥解析所述签名文件，得到所述打包文件的签名描述信息和所述签名描述信息的原哈希值。
83.签名描述信息可以是对更新后的打包文件的签名的进行描述的信息，原哈希值是指在权限管理端对签名描述信息进行哈希值计算的哈希值。通过工作证书私钥解析签名文件后，可以得到打包文件中的签名描述信息和签名描述信息的原哈希值。
84.s450、对所述写有自定义权限信息文件的打包文件和所述签名描述信息进行数据摘要，计算所述数据摘要的哈希值得到第二哈希值。
85.其中，数据摘要可以是对更新后的打包文件及对应的签名描述信息中的数据进行摘要提取的一个过程，通过对写有自定义权限信息文件的打包文件和签名描述信息进行数据摘要，随后计算数据摘要的哈希值，可以得到第二哈希值。
86.s460、将所述第二哈希值与所述原哈希值进行比较，当所述第二哈希值与所述原哈希值相同时完成所述打包文件的校验，否则，结束所述待安装目标应用的安装过程。
87.其中，当第二哈希值与原哈希值相同时，可以是pos机终端接受到的打包文件与权限管理端发送的打包文件一致，则完成打包文件的校验；反之，当第二哈希值与原哈希值不相同时，可以是pos机终端接受到的打包文件与权限管理端发送的打包文件不一致，则结束待安装目标应用的安装过程。
88.s470、当解析出所述打包文件中有自定义权限信息文件时，匹配第一权限设置信息和第二权限设置信息中对相同权限设置项的设置信息。
89.其中，第一权限设置信息即收单机构内部工作人员对待安装目标应用设置的应用权限信息，第二权限设置信息待安装目标应用的开发者设置的应用权限信息。当获取到第一权限设置信息和第二权限设置信息后，匹配第一权限设置信息和第二权限设置信息中对相同权限设置项的设置信息，进而待安装目标应用是否拥有相应权限设置项的权限。
90.s480、当所述第一权限设置信息和所述第二权限设置信息中对相同权限设置项的设置信息均为有权限设置时，设置所述待安装目标应用拥有相应权限设置项的权限，完成所述待安装目标应用的安装。
91.其中，当第一权限设置信息或第二权限设置信息中对相同权限设置项的设置信息为无权限设置时，可以是收单机构或待安装目标应用的开发者不同意待安装目标应用拥有相应权限设置项的权限，则可以确定待安装目标应用无法拥有相应权限设置项的权限；当第一权限设置信息和第二权限设置信息中对相同权限设置项的设置信息均为有权限设置时，可以是收单机构和待安装目标应用的开发者均同意待安装目标应用拥有相应权限设置项的权限，则可以确定待安装目标应用拥有相应权限设置项的权限。当对待安装目标应用的所有相应权限设置项的权限确定结束后，完成待安装目标应用的安装。
92.图5是本发明实施例提供的一种pos机应用权限管理装置的结构示意图，配置于权限管理端，本发明实施例可适用于对pos机应用权限信息进行授权的场景中，该装置可以由软件和/或硬件的方式来实现，集成于具有应用开发功能的计算机设备中。
93.如图5所示，pos机应用权限管理装置包括：自定义权限文件生成模块510、应用打包文件更新模块520、应用打包文件签名加密模块530和打包文件发送模块540。
94.其中，自定义权限文件生成模块510，用于获取用户对目标应用的至少一项应用权限的自定义设置信息，并对自定义设置信息进行加密，生成自定义权限信息文件；应用打包文件更新模块520，用于将自定义权限信息文件写入目标应用的原打包文件中，得到更新后的打包文件；应用打包文件签名加密模块530，用于对更新后的打包文件进行加密签名生成签名文件，并将签名文件写入更新后的打包文件，得到目标应用的最终打包文件；打包文件发送模块540，用于将最终打包文件发送给目标pos机终端，以使目标pos机终端基于最终打包文件中的自定义权限信息文件和manifest文件中权限信息，确定目标应用在目标pos机终端的权限设置。
95.本发明实施例所提供的技术方案，通过获取用户对目标应用的至少一项应用权限的自定义设置信息，并对自定义设置信息进行加密，生成自定义权限信息文件；将自定义权限信息文件写入目标应用的原打包文件中，得到更新后的打包文件；对更新后的打包文件进行加密签名生成签名文件，并将签名文件写入更新后的打包文件，得到目标应用的最终打包文件；将最终打包文件发送给目标pos机终端，以使目标pos机终端基于最终打包文件中的自定义权限信息文件和manifest文件中权限信息，确定目标应用在目标pos机终端的权限设置。本发明实施例的技术方案解决了现有技术中存在的收单机构无法对应用权限进行修改的问题，可以使收单机构对应用权限进行修改，降低维护管理成本。
96.在一种可选的实施方式中，应用打包文件签名加密模块530具体用于：
97.使用权限管理端预先生成的工作证书公私钥对中的私钥对自定义设置信息进行
加密。
98.在一种可选的实施方式中，应用打包文件签名加密模块530还用于：
99.对更新后的打包文件及对应的签名描述信息进行数据摘要，计算数据摘要的哈希值得到第一哈希值，并对第一哈希值进行填充处理；
100.使用工作证书公私钥对中的私钥对经过填充处理的第一哈希值进行加密签名，生成签名后的第一哈希值数据；
101.根据签名描述信息、工作公钥证书和签名后的第一哈希值数据生成签名文件。
102.本发明实施例所提供的pos机应用权限管理装置可执行本发明任意实施例所提供的应用于权限管理端的pos机应用权限管理方法，具备执行方法相应的功能模块和有益效果。
103.图6是本发明实施例提供的一种pos机应用权限管理装置的结构示意图，应用于pos机终端，本发明实施例可适用于在安装pos机应用过程中对应用权限信息进行解析、校验的场景中，该装置可以由软件和/或硬件的方式来实现，集成于具有应用开发功能的计算机设备中。
104.如图6所示，pos机应用权限管理装置包括：安装文件解析模块610和应用权限设置模块620。
105.其中，安装文件解析模块610，用于获取到待安装目标应用的打包文件时，对打包文件进行解析与校验；应用权限设置模块620，用于当解析出打包文件中有自定义权限信息文件时，根据自定义权限信息文件中第一权限设置信息和打包文件中的manifest文件中的第二权限设置信息，设置待安装目标应用的应用权限，完成待安装目标应用的安装。
106.本发明实施例所提供的技术方案，通过获取到待安装目标应用的打包文件时，对打包文件进行解析与校验；当解析出打包文件中有自定义权限信息文件时，根据自定义权限信息文件中第一权限设置信息和打包文件中的manifest文件中的第二权限设置信息，设置待安装目标应用的应用权限，完成待安装目标应用的安装。本发明实施例的技术方案解决了现有技术中存在的收单机构无法对应用权限进行修改的问题，可以使收单机构对应用权限进行修改，降低维护管理成本。
107.在一种可选的实施方式中，应用权限设置模块620具体用于：
108.匹配第一权限设置信息和第二权限设置信息中对相同权限设置项的设置信息；
109.当第一权限设置信息和第二权限设置信息中对相同权限设置项的设置信息均为有权限设置时，设置待安装目标应用拥有相应权限设置项的权限。
110.在一种可选的实施方式中，安装文件解析模块610具体用于：
111.解析打包文件得到写有自定义权限信息文件的打包文件和签名文件；
112.根据pos机终端预置的根证书公私钥对中的公钥，验证签名文件中的工作公钥证书的合法性；
113.当签名文件中的工作公钥证书通过验证时，从签名文件中的工作公钥证书中提取工作证书公钥信息，并基于工作证书公钥信息解密得到工作证书私钥；
114.通过工作证书私钥解析签名文件，得到打包文件的签名描述信息和签名描述信息的原哈希值；
115.对写有自定义权限信息文件的打包文件和签名描述信息进行数据摘要，计算数据
摘要的哈希值得到第二哈希值；
116.将第二哈希值与原哈希值进行比较，当第二哈希值与原哈希值相同时完成打包文件的校验，否则，结束待安装目标应用的安装过程。
117.本发明实施例所提供的pos机应用权限管理装置可执行本发明任意实施例所提供的应用于pos机终端的pos机应用权限管理方法，具备执行方法相应的功能模块和有益效果。
118.图7为本发明实施例提供的一种计算机设备的结构示意图。图7示出了适于用来实现本发明实施方式的示例性计算机设备12的框图。图7显示的计算机设备12仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。计算机设备12可以任意具有计算能力的终端设备，可以与配置于pos机应用权限管理设备中。
119.如图7所示，计算机设备12以通用计算设备的形式表现。计算机设备12的组件可以包括但不限于：一个或者多个处理器或者处理单元16，系统存储器28，连接不同系统组件(包括系统存储器28和处理单元16)的总线18。
120.总线18可以是几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(isa)总线，微通道体系结构(mac)总线，增强型isa总线、视频电子标准协会(vesa)局域总线以及外围组件互连(pci)总线。
121.计算机设备12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机设备12访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。
122.系统存储器28可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(ram)30和/或高速缓存32。计算机设备12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统34可以用于读写不可移动的、非易失性磁介质(图7未显示，通常称为“硬盘驱动器”)。尽管图7中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如cd-rom，dvd-rom或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线18相连。系统存储器28可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本发明各实施例的功能。
123.具有一组(至少一个)程序模块42的程序/实用工具40，可以存储在例如系统存储器28中，这样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。
124.计算机设备12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信，还可与一个或者多个使得用户能与该计算机设备12交互的设备通信，和/或与使得该计算机设备12能与一个或多个其它计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口22进行。并且，计算机设备12还可以通过网络适配器20与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器20通过总线18与计算机设备12的其它模块通
信。应当明白，尽管图7中未示出，可以结合计算机设备12使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。
125.处理单元16通过运行存储在系统存储器28中的程序，从而执行各种功能应用以及数据处理，例如实现本发实施例所提供的pos机应用权限管理方法，该方法包括：
126.获取用户对目标应用的至少一项应用权限的自定义设置信息，并对自定义设置信息进行加密，生成自定义权限信息文件；
127.将自定义权限信息文件写入目标应用的原打包文件中，得到更新后的打包文件；
128.对更新后的打包文件进行加密签名生成签名文件，并将签名文件写入更新后的打包文件，得到目标应用的最终打包文件；
129.将最终打包文件发送给目标pos机终端，以使目标pos机终端基于最终打包文件中的自定义权限信息文件和manifest文件中权限信息，确定目标应用在目标pos机终端的权限设置。
130.本实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如本发明任意实施例所提供的pos机应用权限管理方法，包括：
131.获取用户对目标应用的至少一项应用权限的自定义设置信息，并对自定义设置信息进行加密，生成自定义权限信息文件；
132.将自定义权限信息文件写入目标应用的原打包文件中，得到更新后的打包文件；
133.对更新后的打包文件进行加密签名生成签名文件，并将签名文件写入更新后的打包文件，得到目标应用的最终打包文件；
134.将最终打包文件发送给目标pos机终端，以使目标pos机终端基于最终打包文件中的自定义权限信息文件和manifest文件中权限信息，确定目标应用在目标pos机终端的权限设置。
135.本发明实施例的计算机存储介质，可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是但不限于：电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
136.计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
137.计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。
138.可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码，程序设计语言包括面向对象的程序设计语言，诸如java、smalltalk、c ，还包括常规的过程式程序设计语言，诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
139.本领域普通技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个计算装置上，或者分布在多个计算装置所组成的网络上，可选地，他们可以用计算机装置可执行的程序代码来实现，从而可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件的结合。
140.注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。