WO2015058639A1

WO2015058639A1 - 一种应用程序保护系统和方法

Info

Publication number: WO2015058639A1
Application number: PCT/CN2014/088613
Authority: WO
Inventors: 柴洪峰; 鲁志军; 李卷孺; 束骏亮; 华锦芝; 徐泽伟; 万四爽
Original assignee: 中国银联股份有限公司
Priority date: 2013-10-23
Filing date: 2014-10-15
Publication date: 2015-04-30
Also published as: CN104573424A

Abstract

本发明涉及一种应用程序保护系统以及应用程序保护系统方法。该应用程序保护系统具备：混淆器，用于对应用程序中的指令进行指令集置换；以及Token生成器，用于生成Token，其中所述Token包括用于解释经过指令集置换的应用程序的解释器和用于安装经置换的应用程序的系统补丁。利用本发明的应用程序保护系统以及应用程序保护系统方法，能够有效抵御动态注入、动态调试等来自系统底层的攻击，能够有效对应用程序进行数字版权保护。

Description

一种应用程序保护系统和方法

技术领域

本发明涉及计算机安全领域，特别涉及对Android应用程序进行保护的系统和方法。

背景技术

随着智能手机的推广和普及，手机安全问题更为突出，各种各样恶意软件不断涌现，对一些安全应用程序进行恶意操作，导致应用程序不可用或者遭到篡改。

为了保护应用程序，在专利文献1(CN201110057866.2)提出了一种应用程序保全保护方法以及数字版权保护保护系统。专利文献1提出的应用程序版权保护方法及数字版权保护系统主要是通过在应用中增加鉴权模块，通过与服务器进行鉴权来进行保护。

在专利文献2(CN200580047317.X)中也提出了一种用于保护软件应用防止盗版的方法和系统。专利文献2提出的用于保护软件应用防止盗版的方法和系统主要是通过将程序的一部分放到服务器执行来进行保护，通过执行在服务器的部分程序对软件应用进行保护。

以上两种方案的缺点是如果通过对程序进行反编译，将鉴权模块进行修改或者屏蔽，则无法保护应用程序。

Android应用程序APK的全称是Android Package，APK文件其实是zip格式，但后缀名被修改为apk，通过UnZip解压后，可以看到可执行代码Dex部分，即Android Dalvik执行程序。Android可执行代码是由Java语言编写的程序编译和转化而成的Dalvik字节码。这种字节码一般非常容易反编译。恶意软件和攻击者通过反编译APK文件进行汇编级的代码分析，并修改或插入自己的代码，重新签名打包为APK文件，以达到改变程序原有行为的目的。

已有的APK保护技术主要是通过代码混淆来保护代码。ProGuard当前主流的混淆Java字节码文件的免费的工具，它可以删除无用的类、字段、方法和属性。可以删除没用的注释，最大限度地优化字节码文件。它还可以使用简短的无意义的名称来重命名已经存在的类、字段、方法和属性。

同样，ProGuard的方式并不能阻止攻击者反编译后，对Android应用程序进行攻击。

发明内容

鉴于上述问题，本发明旨在提供一种能够有效防止攻击者通过对应用程序反编译进行攻击并且能够抵御动态注入、动态调试等攻击Android应用程序的系统以及方法。

本发明的应用程序保护系统，其特征在于，具备：

混淆器，用于对应用程序中的指令进行指令集置换；以及

Token生成器，用于生成Token，其中所述Token包括用于解释经过指令集置换的应用程序的解释器和用于安装经置换的应用程序的系统补丁。

优选地，所述混淆器使用置换矩阵对应用程序中的指令进行指令集置换，所述解释器使用与所述混淆器一一对应的置换矩阵对经过指令集置换的应用程序中的指令进行解释。

优选地，所述混淆器使用随机置换矩阵对应用程序中的指令进行指令集置换。

优选地，所述混淆器对应用程序中的每一条指令进行指令集置换，所述解释器对经过指令集置换的应用程序中的每一条指令进行解释。

优选地，所述混淆器对应用程序中指令进行指令集置换以使得保留原指令的所有操作数而变换原指令的操作码。

本发明的应用程序保护方法，其特征在于，包括下述步骤：

置换矩阵生成步骤，对于设备A生成置换矩阵M；

Token生成步骤，根据所述置换矩阵M生成对应设备A的Token，其中，所述Token至少包括用于解释经过指令集置换的应用程序的解释器；

指令集置换步骤，根据所述矩阵M对待保护的应用程序进行指令集置换生成保护后的应用程序；

Token发布步骤，将Token发布给设备A的持有者；

应用程序发放步骤，将保护后的应用程序分发给设备A的持有者；以及

应用程序安装步骤，以所述Token中的所述解释器对保护后的应用程序执行安装。

优选地，在所述置换矩阵生成步骤中，随机产生所述置换矩阵。

优选地，在所述Token生成步骤中，生成的所述Token还包括用于安装经置换的应用程序的系统补丁。

优选地，所述指令集置换步骤包括下述子步骤：

根据所述置换矩阵M，对待保护的应用程序进行静态的代码反编译并获取一个应用程序的所有字节码，其中所述置换矩阵M指定i到j的置换关系，其中i，j为自然数；

将待保护的应用程序子节码从x_i置换到x_j。

优选地，在所述Token发布步骤中，通过OTA方式向将Token发布给设备A的持有者。

附图说明

图1是表示本发明一实施方式的应用程序保护系统的示意图。

图2是表示利用本发明中的混淆器进行指令集置换的示意图。

图3是表示本发明一实施方式的应用程序保护方法的流程图。

具体实施方式

下面介绍的是本发明的多个实施例中的一些，旨在提供对本发明的基本了解。并不旨在确认本发明的关键或决定性的要素或限定所要保护的范围。

图1是表示本发明一实施方式的应用程序保护系统的示意图。下面参照图1对于本发明一实施方式的应用程序保护系统进行说明。

本发明的应用程序保护系统是一种适用于移动智能终端的应用程序保护系统，具体地，采用了基于指令集置换思想的混淆技术，主要的用途是协助Androidapp发行商对自己开发的App进行数字版权保护，同时该系统也能够抵御动态注入、动态调试等来自系统底层的攻击。

如图1所示，本发明的应用程序保护系统，具备用于对应用程序111中的指令进行指令集置换混淆器100；以及用于使用矩阵生成Token的Token生成器200。

混淆器100对应用程序的dex文件中的指令进行混淆，也就是所谓的指令集置换。混淆器100会依据应用程序的dex文件进行解析，通过类→方法→指令的层次来对整个dex文件中的每一条指令来进行遍历，在遍历的过程中，混淆器100会使用规定的置换矩阵(例如，随机挑选)对每一条指令进行置换，经过置换后的指令保留原指令的所有操作数，但是用于识别指令的操作码已经改变。

图2是表示利用本发明中的混淆器进行指令集置换的示意图。

如图2所示，原指令的字节码为：“1301 300”，其中操作码是“13”，操作数是“01 3000”。经过指令集置换后，原来的操作数“01 3000”没有改变，操作码从“13”按照置换矩阵置换成“23”，这样，置换后的指令的字节码为：“2301 300”。

由于经过置换后，操作码已经改变，因此，在不具有置换矩阵的情况下，普通的dex逆向工具将无法还原dex文件中的任何指令。

另外，完成对指令的混淆之后，混淆器100还会在dex文件的头部添加一些必要的信息，这些信息将在APK的安装和执行过程中帮助执行环境分辨普通app和混淆过的app。

经过混淆的dex文件将会被重打包成一个经过混淆的APK文件，由不同置换矩阵生成的混淆APK属于不同的系列，每一个系列的混淆APK只能在对应的执行环境中才能被安装和执行，这一点进一步保证了置换矩阵的安全性以及混淆后的APK能够抵御动态分析。

Token生成器200是使用置换矩阵来生成Token的工具。在本发明中，Token必须携带解释执行混淆后app所必须的解释器，使用不同置换矩阵所生成的Token中携带的解释器也不相同，经过混淆器100混淆后的app只能在由同一个置换矩阵所生成的解释器中才能执行。

如图2所示，经过混淆后的app中每一条指令的操作码已经和原本的指令不同，要正确的执行每一条指令就需要对这些操作码进行还原，否则混淆过的应用程序并不能被通用的Android系统正常执行。所以当特定的终端需要运行被混淆过的应用程序时，需要先加载对应的解释器。该解释器与混淆所用的置换矩阵一一对应，也就是解释器需要将指令进行还原。

而且，还原不能是显式的，因为这样会造成安全隐患。根据置换矩阵对解释器中每一条指令的解释函数中的内容进行置换，这样保证了在解释执行由同一置换矩阵生成的混淆app时能够正确还原指令的功能。

在这种情况下，对于解释器的逆向分析将会变得十分困难，攻击者并不能从逆向后的代码中直接的得到有关置换矩阵的信息，而对于解释函数的解读则是十分繁琐的，会耗费大量的时间与精力。

在本发明中Token通过OTA的方式向终端用户发布，OTA(Over-The-Air)可以通过移动通信(GSM或CDMA)网络的空中接口对移动数据及应用进行远程管理，而空中接口可以采用WAP、GPRS、CDMA1X以及广为普及的短消息(SMS)技术，以支持各类终端的无线下载。通过采用OTA方式，能够保证用户仅能得到属于自己的Token，这也保证了Token的安全性.。而且，由于Token中并不显式的携带置换矩阵，而对于底层解释器的提取和逆向存在着很大的困难，这就进一步保证了置换矩阵的安全性，也就是保证了整个系统的安全性。

再回到图1，对于本发明Android应用程序保护系统进行说明。如图1所示，通过混淆器100对应用程序111中的每一条指令利用置换矩阵进行混淆并生成变换后的应用程序112，变换后的应用程序112被发布到手机系统。

另一方面，Token生成器200也根据相同的置换矩阵用于解释经过指令集置换的应用程序的“变换的应用程序对应的解释器”113和用于安装经置换的应用程序的系统补丁(未图示)并且利用OTA方式将变换的应用程序对应的解释器”113和用于安装经置换的应用程序的系统补丁(未图示)发布到手机系统。

在手机系统利用“变换的应用程序对应的解释器”113对变化后的应用程序进行解释。另一方面，“变换的应用程序对应的解释器”113和原有的通用解释器115共存，手机系统的其他部分也会遭到一定程度的修改以使得在执行混淆后的应用程序时能够正确地切换到“变换的应用程序对应的解释器”113。

下面对于本发明的应用程序保护方法进行说明。图3是表示本发明一实施方式的应用程序保护方法的流程图。

如图3所示，本发明的应用程序保护方法包括下述步骤：

置换矩阵生成步骤S101：对应一台特定设备A，生成一个随机置换矩阵M；

Token生成步骤S102：根据所述随机置换矩阵M，生成对应特定设备A的Token，其中，所述Token包括用于解释经过指令集置换的应用程序的解释器I和支持安装此类变换后的APK程序的系统补丁，其中，解释器I能够基于矩阵M的置换关系进行变换，例如，置换矩阵M指定了i到j的置换关系(i、j为数字)，则将指令xi与指令x_j解释函数进行置换得到；

指令集置换步骤S103：解释器根据所述置换矩阵M对待保护的应用程序进行指令集置换生成保护后的应用程序，具体地，根据置换矩阵M，对特定待保护的Android应用程序进行静态的代码反编译，获取一个APK程序的所有字节码(DexBytecode)，然后将待保护的应用程序字节码xi置换为字节码x_j；

Token发布步骤S104：将Token发布给特定设备A的持有者，通过OTA更新的方式，替换原有的解释器；

应用程序发放步骤S105：将保护后的应用程序分发给特定设备A的持有者，通过原有的安装方式即可实现安装；以及

应用程序安装步骤S106：在新安装的解释器I负责对对保护后的应用程序进行解释并执行安装，同时也支持原有正常代码的执行。

利用本发明的应用程序保护系统以及方法，能够有效的防止攻击者通过对应用程序反编译进行攻击。适用于能够对终端系统有一定掌控力的场景下，比如云POS是基于Android定制系统的，通过此发明可以保证运行于云POS之上应用程序的安全，而开发者无需任何改造工作。在本发明中，通过采用指令集置换思想的混淆技术，能够有效协助Android app发行商对自己开发的App应用程序进行数据字版权保护并且能够有效抵御动态注入、动态调试等来自系统底层的攻击。

以上例子主要说明了本发明的应用程序保护系统以及方法。尽管只对其中一些本发明的具体实施方式进行了描述，但是本领域普通技术人员应当了解，本发明可以在不偏离其主旨与范围内以许多其他的形式实施。因此，所展示的例子与实施方式被视为示意性的而非限制性的，在不脱离如所附各权利要求所定义的本发明精神及范围的情况下，本发明可能涵盖各种的修改与替换。

Claims

一种应用程序保护系统，其特征在于，具备：

混淆器，用于对应用程序中的指令进行指令集置换；以及

Token生成器，用于生成Token，其中所述Token包括用于解释经过指令集置换的应用程序的解释器和用于安装经置换的应用程序的系统补丁。
如权利要求1所述的应用程序保护系统，其特征在于，

所述混淆器使用置换矩阵对应用程序中的指令进行指令集置换，

所述解释器使用与所述混淆器一一对应的置换矩阵对经过指令集置换的应用程序中的指令进行解释。
如权利要求1所述的应用程序保护系统，其特征在于，

所述混淆器使用随机置换矩阵对应用程序中的指令进行指令集置换。
如权利要求1所述的应用程序保护系统，其特征在于，

所述混淆器对应用程序中的每一条指令进行指令集置换，所述解释器对经过指令集置换的应用程序中的每一条指令进行解释。
如权利要求1所述的应用程序保护系统，其特征在于，

所述混淆器对应用程序中指令进行指令集置换以使得保留原指令的所有操作数而变换原指令的操作码。
一种应用程序保护方法，其特征在于，包括下述步骤：

置换矩阵生成步骤，对于设备A生成置换矩阵M；

Token生成步骤，根据所述置换矩阵M生成对应设备A的Token，其中，所述Token至少包括用于解释经过指令集置换的应用程序的解释器；

指令集置换步骤，根据所述矩阵M对待保护的应用程序进行指令集置换生成保护后的应用程序；

Token发布步骤，将Token发布给设备A的持有者；

应用程序发放步骤，将保护后的应用程序分发给设备A的持有者；以及

应用程序安装步骤，以所述Token中的所述解释器对保护后的应用程序执行安装。
如权利要求6所述的应用程序保护方法，其特征在于，

在所述置换矩阵生成步骤中，随机产生所述置换矩阵。
如权利要求6所述的应用程序保护方法，其特征在于，

在所述Token生成步骤中，生成的所述Token还包括用于安装经置换的应用程序的系统补丁。
如权利要求6所述的应用程序保护方法，其特征在于，

所述指令集置换步骤包括下述子步骤：

根据所述置换矩阵M，对待保护的应用程序进行静态的代码反编译

并获取一个应用程序的所有字节码，其中所述置换矩阵M指定i到j的置换关系，其中i，j为自然数；

将待保护的应用程序子节码从x_i置换到x_j。
如权利要求6所述的应用程序保护方法，其特征在于，

在所述Token发布步骤中，通过OTA方式向将Token发布给设备A的持有者。