《国内应用加固专利调查报告》由会员分享,可在线阅读,更多相关《国内应用加固专利调查报告(6页珍藏版)》请在金锄头文库上搜索。
1、1目 录一、 应用加固厂商状况 .21.1 应用加固市场 .21.2 创新专利技术 .2二、 应用加固专利分析 .32.1 专利说明 .32.2 专利分析与对比 .4三、 调查结论 .52一、 应用加固厂商状况1.1 应用加固市场随着移动互联网的兴起,移动应用在信息安全与隐私保护等方面面临着一系列的挑战。移动应用,特别是金融类移动应用,成为黑客的狩猎目标,二次打包、病毒木马、盗版山寨、恶意吸费等问题层出不穷。应用加固可以通过加密、加壳、远程执行、动态加载等技术对移动应用进行全面的安全保护,主要覆盖银行金融、游戏、电子商务、社交等移动应用市场。目前来看,有众多移动安全厂商均提供应用加固服务。从
2、2012 年首次推出应用加固产品,到 2014 年 BAT3 进军应用安全,移动应用安全市场成了兵家必争之地。从发展阶段看,较早耕耘移动应用加固领域的安全厂商主要有梆梆安全、通付盾、爱加密、娜迦信息等。这些安全厂商专注移动应用安全服务,在技术上更有优势。2014 年,面对前景可观的移动应用安全市场,BAT、360 也颇看好,先后推出各自的应用保护平台,如百度移动安全、阿里聚安全、腾讯云应用加固、360 加固保。但由于技术积累有限,BAT3 的竞争优势并不明显。各大厂商竞争激烈,宣传同质化严重,客户很难验证安全方案,到底哪些厂商在技术上更加领先?通过移动端安卓应用加固专利状况可以很大程度上反映厂
3、商的创新能力。鉴于此,小编特整理了国内应用加固专利调查报告一篇,希望能为大家拨开云雾,提供些许参考。1.2 创新专利技术专利是保护技术创新的重要手段,依据中华人民共和国专利法 ,发明专利申请的审批程序包括受理、初审、公布、实审以及授权五个阶段。依据小编在国家知识产权局网站上查询的结果,特整理如下:参考中国专利公布公告:http:/ 移动安全厂商 总数量 专利名称 提交专利时间 状态梆梆安全 1一种安卓平台的可执行程序加密方法 2013-01-07发明公布一种移动平台应用软件的加固方法 2013-10-25专利授权通付盾 2一种 Android 系统应用的深度代码混淆方法 2013-10-25专
4、利授权SO 文件的保护方法、装置及安卓安装包的加固方法和系统 2014-11-18发明公布奇虎360(360 加固保)3一种安卓应用的加固保护方法、 2014-12-04 发明3服务器和系统 公布一种加固 APK 的方法和装置以及APK 加固客户端和服务器 2014-12-24发明公布爱加密 0 - - -娜迦 0 - - -阿里聚安全 0 - - -腾讯云 0 - - -百度移动安全 0 - - -表 1 应用加固专利调查表二、 应用加固专利分析2.1 专利说明如表 1 显示,已有三家移动应用安全厂商拥有公布的发明专利,其中包括北京洋浦伟业科技发展有限公司(梆梆安全) 、江苏通付盾信息科技有
5、限公司(通付盾) 、北京奇虎科技有限公司(360) 。截至 2015 年 7 月仅有通付盾获得两项专利授权。下面简单介绍一下几家厂商的专利内容:通付盾于 2013 年提交申请两个关于应用加固的专利,且均在 2015 年 7 月份得到授权。(1)一种移动平台应用软件的加固方法:该专利公开了一种定制非法指令和类加载器的软件加固方法及其运行方法,针对 Android 平台 Dalvik 指令集固定且公开的特点,自定义并定期更新若干非法指令,这些指令都不是 Dalvik 虚拟机支持的指令;通过在可执行文件中插入自定义非法指令的方式使常见Android 逆向工程工作崩溃,保护代码安全。在程序运行时,优先
6、调用远端加载的类加载器到设备内存中,过滤非法指令 保证程序正常运行。应用本发明软件加固的技术方案:通过定制非法指令和类加载器对应用软件进行改造和运行方式调整,在保证应用软件正常运行的前提下能有效抵御黑客的逆向工程,保证应用软件代码安全,大幅提高移动平台设备使用的安全性能。(2)一种 Android 系统应用的深度代码混淆方法:本发明揭示了一种Android 系统应用的深度代码混淆方法,采用分级代码混淆处理实现,该分级代码混淆处理包括第一级的名称替换混淆,第二级的指令插入混淆,第三级的结构流程混淆和第四级的指令反转混淆,对任意已开发完毕待发布的应用安装包,提取 dex 文件并分析文件结构、Dal
7、vik 指令集和程序运行流程,确定选用相应级别或多级组合的混淆方案对 dex 文件进行深度代码混淆,生成新的 dex文件并重新打包。应用本发明深度代码混淆的技术方案,能突破传统基于源代4码的代码混淆方案的局限,对 dex 可执行文件从要素名称、指令、流程结构等方面直接进行混淆,能有效地防止应用程序被非法破解或者逆向,提高了Android 系统上应用程序的安全性,保证了商业软件的机密性。梆梆安全于 2013 年 1 月提交申请专利:一种安卓平台的可执行程序加密方法,暂未得到授权。该专利提供一种安卓操作系统的可执行程序加密方法,主要包括两个步骤:通过打包工具将 Apk 文件打包成加密的 Apk 文
8、件;通过拦截并且替换 API 的方式,进行运行时的加解密。该发明通过提供一个 Apk 可执行的加密方案,来防止 Apk 被反编译、被篡改和盗版。奇虎360于2014年同时申请三个专利,均暂未得到授权。(1)一种加固APK的方法和装置以及APK加固客户端和服务器:本发明公开了一种加固APK的方法和装置以及APK加固客户端和服务器,该方法包括:获取待加固APK中的至少一个方法对应的Java代码;将所述至少一个方法对应的Java代码分别转换成相应的反射调用的Native C代码。本发明提供的技术方案通过将APK中的Java代码转换成反射调用的Native C代码,实现了将Java的方法调用转化为对等
9、语法的Native C的方法调用,当一个方法被调用时,实现调用的代码是Native C代码而不是原始的Java代码。与Java代码相比,逆向Native C代码的成本很高,且Native C代码的保护方式很多,大大降低了APK被反汇编分析,进而重打包再次分发的可能性,提高APK的安全等级。(2)一种安卓应用的加固保护方法、服务器和系统:本发明公开了一种安卓应用的加固保护方法、服务器和系统,该方法包括:获取安卓应用的原始安卓安装包APK;反编译所述原始APK,从中提取出受保护的方法代码,并将提取位置用nop填充;根据指定加解密策略对提取出的受保护的方法代码进行加密处理,生成加固配置文件;将所述指
10、定加解密策略、所述加固配置文件和加固保护程序添加到反编译后的APK中,编译生成所述安卓应用的加固APK。本发明提供的技术方案实现了对受保护方法的动态加解密,使内存中任意时刻都不存在完整的dex映像,从而防止通过内存Dump的方式获取完整的dex文件,从而大大降低安卓应用被逆向分析,进而重打包再次分发的可能。(3)SO文件的保护方法、装置及安卓安装包的加固方法和系统:本发明公开了一种SO文件的保护方法、装置及安卓安装包的加固方法和系统。其中,SO文件的保护方法包括:将待保护的SO文件作为代码数据写入壳程序文件中;对所述壳程序文件中的所述SO文件进行加保护处理。本发明提供的技术方案通过对SO文件的
11、加壳处理和加保护处理,实现了对SO文件的多重保护,并进一步通过将安卓安装包的重要代码存入SO文件,以该被保护的SO文件为保护对象,实现了对安卓安装包的加固保护,可以有效阻止恶意程序对SO文件的反汇编分析,提高SO文件的内容的安全等级,进而提高安卓安装包的安全等级。2.2 专利分析与对比(1)专利要点描述5梆梆:梆梆申请的专利核心技术是针对 Dalvik 虚拟机执行环境,将 APK 文件中的dex 文件加密后放在 asset 目录的 classes.jar 中,属于业界的第一代产品,采用的是整体加固方案,兼容性方面比较差,加固后的 APP 运行效率偏低。据目前了解,梆梆最新的加固技术方案已经迭代
12、更新,加固整体效果有所改善,但还没有获得专利授权保护。奇虎 360:奇虎 360 专利申请比较晚,在 2014 年就应用加固保护分开申请了三个专利技术,分别是 Native C 转化保护、定制 API 加密保护和 SO 文件保护。Native C 转化保护属于应用加固的通用方案,技术创新力度不明显;定制 API 加密保护支持动态加密保护 Dex 文件,与通付盾、梆梆的专利申请方案描述相差不大;SO 保护则发挥了 360 在 PC 端安全的优势,将其长处转移到移动端,通过 SO 多重保护能够对抗一般的反汇编分析,如 IDA Pro 动态调试工具。通付盾:通付盾获得授权的两个专利技术分别是虚拟机保
13、护+定制保护、代码深度混淆。虚拟机保护通过自定义并定期更新若干虚拟机不支持的非法指令,实现Android 逆向工程工作崩溃,以对抗主流的逆向工具如ApkTool、JEB、smali2java 等。代码深度混淆通过名称替换混淆、指令插入混淆、结构流程混淆和指令反转混淆,实现即使反编译也无法阅读原始代码。综合以上专利技术,可以对 APP 进行最大化安全加固保护,同时不影响原有 APP的系统兼容性和运行速度。(2)异同点分析移动安全厂商 专利技术实现 安全性 兼容性 运行速度梆梆安全 整体加固(第一代) 中 中 中Native C 转化保护定制加密保护奇虎 360SO 保护高 高 高虚拟机保护、定制加密保护通付盾深度代码混淆高 高 高表 2 专利技术对比表三、 调查结论通过对主要移动安全厂商应用加固专利情况的调查发现,截至 2015 年 7 月,6已有梆梆安全、通付盾、奇虎 360 三家厂商拥有公布的发明专利。仅通付盾的两项专利申请获得授权,体现了一定的创新技术水平和领先优势。在此小编倡议移动安全厂商投入更多技术力量进行前瞻性研究,提升企业核心竞争力,为企业和开发者提供更多先进的技术保护方案,守护移动应用安全。同时也提醒各厂商增强自主知识产权保护意识,共同营造安
