[发明专利]一种基于应用安全动态防护的软件安全加固方法及系统

说明书

本发明公开的属于软件安全加固技术领域，具体为一种基于应用安全动态防护的软件安全加固方法及系统，包括以下操作步骤：S1：在静态层面上，通过多DEX加固、DEX加壳、DEX函数分离以及VMP技术防止代码被反编译和逆向分析，从而使代码防逆向，S2：通过对SO文件加壳并对SO文件进行高级混淆，从而对SO库中的代码段和数据段压缩并加密，防止被IDA等工具反编译，从而对SO文件进行保护，S3：通过对JAR加固、AAR加固和SO文件保护，从而使得破解者无法得到原始代码逻辑，进而对SDK进行保护，本发明防止应用被IDA、JEB等工具调试，动态分析代码逻辑，且使底层代码混淆并加密，使代码不可读，且使底层代码难以显现，无法被篡改。

技术领域

本发明涉及软件安全加固技术领域，具体为一种基于应用安全动态防护的软件安全加固方法及系统。

背景技术

随着IP技术的飞速发展，一个组织的信息系统经常会面临内部和外部威胁的风险，网络安全已经成为影响信息系统的关键问题，虽然传统的防火墙等各类安全产品能提供外围的安全防护，但并不能真正彻底的消除隐藏在信息系统上的安全漏洞隐患。信息系统上的各种网络设备、操作系统、数据库和应用系统，存在大量的安全漏洞，比如安装、配置不符合安全需求，参数配置错误，使用、维护不符合安全需求，被注入木马程序，安全漏洞没有及时修补，应用服务和应用程序滥用，开放不必要的端口和服务等等。这些漏洞会成为各种信息安全问题的隐患，一旦漏洞被有意或无意地利用，就会对系统的运行造成不利影响，如信息系统被攻击或控制，重要资料被窃取，用户数据被篡改，隐私泄露乃至金钱上的损失。

为此，我们提出一种基于应用安全动态防护的软件安全加固方法及系统。

发明内容

鉴于上述和/或现有一种基于应用安全动态防护的软件安全加固方法及系统中存在的问题，提出了本发明。

因此，本发明的目的是提供一种基于应用安全动态防护的软件安全加固方法及系统，通过静态层面上进行加固保护和加密，再通过在动态层面上，对动态层面进行防调试文本锁定，以及在数据层面上对上传和传输的数据进行加密和控制，能够解决上述提出现有的问题。

为解决上述技术问题，根据本发明的一个方面，本发明提供了如下技术方案：

一种基于应用安全动态防护的软件安全加固方法，其包括：以下操作步骤：

S1：在静态层面上，通过多DEX加固、DEX加壳、DEX函数分离以及VMP技术防止代码被反编译和逆向分析，从而使代码防逆向；

S2：通过对SO文件加壳并对SO文件进行高级混淆，从而对SO库中的代码段和数据段压缩并加密，防止被IDA等工具反编译，从而对SO文件进行保护；

S3：通过对JAR加固、AAR加固和SO文件保护，从而使得破解者无法得到原始代码逻辑，进而对SDK进行保护；

S4：通过对JS和H5进行保护，使底层代码混淆并加密，使代码不可读，增加安全性；

S5：通过对DEX文件防篡改、SO库文件防篡改以及H5代码防篡改进行代码加固和防篡改文本加密，从而防止代码被恶意篡改；

S6：通过对Res资源防篡改、AndroidManifest配置文件防篡改和Asset资源防篡改进行代码加固和防篡改文本加密，从而防止资源文件被篡改，增加资源文件的安全性；

S7：在动态层面上，对动态层面进行防调试文本锁定，防止应用被 IDA、JEB 等工具调试，动态分析代码逻辑；

S8：在数据层面上，当数据进行传输和上传时，对内存数据、日志数据、本地数据、数据传输进行数据代码加密，防止数据泄密，导致隐私泄露:

S9：通过对应用进行防止截屏、对应用进行劫持加固，安全键盘进行混淆换位输入，从而对页面数据进行保护。