WO2017000648A1

WO2017000648A1 - 一种被加固软件的认证方法及装置

Info

Publication number: WO2017000648A1
Application number: PCT/CN2016/080384
Authority: WO
Inventors: 王蔚; 董振江; 李晖; 张文; 张亚腾
Original assignee: 中兴通讯股份有限公司
Priority date: 2015-06-29
Filing date: 2016-04-27
Publication date: 2017-01-05
Also published as: EP3316160A1; CN106295257A; US20180204004A1; EP3316160A4

Abstract

一种被加固软件的认证方法及装置，该方法包括：在服务器对被加固软件的壳程序验证通过之后，获取服务器发送的关键数据，关键数据包括：被加固软件的明文软件代码中被隐藏的数据和被隐藏数据对应的入口地址；根据被隐藏的数据和入口地址，替换内存中存储的被加固软件的明文软件代码所隐藏的对应数据，然后加载明文软件代码。

Description

一种被加固软件的认证方法及装置

技术领域

本申请涉及但不限于互联网安全技术领域。

背景技术

相关技术里，在安卓(Android)系统中，为了安全的需要，我们会对应用软件安装包做相应的加固处理，并且相应的希望市场上流通的都是经过加固处理的安装包。但是相关技术中安卓软件市场种类繁多，对同一软件安装包的发布也会有很多自定义的版本。

对安卓系统的服务而言，当作为应用的服务而运行时，会启动一个新的进程或者利用应用现有进程，创建一个服务对象。当其他应用调用到此服务时由此服务对象的代码完成具体的业务逻辑。

然而按照相关技术中安卓系统的服务提供方式，服务将数据提供给应用之后，服务无法对提供给应用的数据进行存取保护。即使根据服务的请求，应用在存取数据时进行安全提示，但对用户而言，也不能有效分清服务请求的来源，因此不能保证正确处理安全提示，在恶意应用请求提供服务时，无法进行有效的保护。为避免未经加固处理的安装包在市面上的安装传播，需要对根据安装包生成的应用软件进行认证。

发明内容

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

本发明实施例提供了一种被加固软件的认证方法及装置，既能够有效分清服务请求的来源，又能够在恶意应用请求提供服务时，进行有效的保护，大大提高了对被加固软件的保护强度，有效地防止攻击者的攻击，保证被加固软件可以正常运行。

本发明实施例采用如下技术方案：

本发明实施例提供了一种被加固软件的认证方法，应用于移动终端，所述认证方法包括：

在服务器对被加固软件的壳程序验证通过之后，获取所述服务器发送的关键数据，所述关键数据包括：所述被加固软件的明文软件代码中被隐藏的数据和所述被隐藏数据对应的入口地址；

根据所述被隐藏的数据和所述入口地址，替换内存中存储的所述被加固软件的明文软件代码所隐藏的对应数据，然后加载所述明文软件代码。

可选地，在服务器对被加固软件的壳程序验证通过之前，所述认证方法还包括：

计算得到被加固软件的壳程序的完整性校验值，并对所述壳程序的完整性校验值进行处理，将处理后的处理结果发送给所述服务器，由所述服务器对所述处理结果进行验证，若验证结果为验证通过，则由所述服务器对关键数据加密处理生成加密数据。

可选地，所述计算得到被加固软件的壳程序的完整性校验值，并对所述壳程序的完整性校验值进行处理，将处理后的处理结果发送给所述服务器，包括：

将所述被加固软件的请求信息发送给服务器，并接收所述服务器根据所述被加固软件的请求信息随机生成的第一随机数；

根据第一算法计算得到被加固软件的壳程序的完整性校验值；

将所述第一随机数与所述壳程序的完整性校验值进行第一级联处理，获取第一级联结果；

根据第二算法对所述第一级联结果进行计算，获取第一计算结果；

将所述第一计算结果与所述被加固软件随机生成的第二随机数进行第二级联处理，得到处理结果，并将处理结果发送给所述服务器。

可选地，所述在服务器对被加固软件的壳程序验证通过之后，获取所述服务器发送的关键数据，包括：

在服务器对被加固软件的壳程序验证通过之后，对所述服务器发送的加密数据进行解密运算；

所述解密运算完成后，获取解密数据中包含的所述服务器发送的关键数据。

可选地，所述根据所述被隐藏的数据和所述入口地址，替换内存中存储的所述被加固软件的明文软件代码所隐藏的对应数据，然后加载所述明文软件代码，包括：

根据所述入口地址，定位所述被加固软件的明文软件代码所隐藏的对应数据在所述被加固软件的明文软件代码中的位置；

将所述被隐藏的数据替换内存中存储的所述被加固软件的明文软件代码所隐藏的对应数据，然后加载所述明文软件代码。

依据本发明实施例的另一方面，还提供了一种被加固软件的认证方法，应用于服务器，所述认证方法包括：

获取被加固软件发送的处理结果，对所述被加固软件的壳程序的完整性校验值进行验证；

若所述验证结果为验证通过，则对关键数据进行加密处理，并将加密生成的加密数据发送给所述被加固软件，所述关键数据包括：所述被加固软件的明文软件代码中被隐藏的数据和所述被隐藏数据对应的入口地址。

可选地，所述根据被加固软件发送的处理结果，对所述被加固软件的壳程序的完整性校验值进行验证，包括：

获取被加固软件的请求信息，根据所述请求信息随机生成第一随机数，并将所述第一随机数发送给所述被加固软件；

根据所述被加固软件的请求信息获取所述被加固软件的ID信息，并根据所述被加固软件的ID信息获取所述被加固软件的壳程序的完整性校验值，将所述第一随机数与所述壳程序的完整性校验值进行第一级联处理，获取第二级联结果；

根据第二算法对所述第二级联结果进行计算，得到第二计算结果；

获取所述被加固软件发送的处理结果，根据所述处理结果识别获取第一计算结果和第二随机数；

对所述第一计算结果与所述第二计算结果进行验证，若所述第一计算结果与所述第二计算结果相同，则验证结果为验证通过。

可选地，所述若所述验证结果为验证通过，则对关键数据进行加密处理，将加密生成的加密数据发送给所述被加固软件，包括：

获取根据所述第二级联结果识别得到的所述第二随机数；

所述第二随机数与关键数据中包括的所述被隐藏数据对应的入口地址根据第三算法进行计算，并得到第三计算结果；

对所述第三计算结果进行加密处理，将加密后生成的加密数据发送给所述被加固软件。

可选地，所述将所述第二随机数与所述被加固软件的明文软件代码中的入口地址根据第三算法进行计算，包括：

对所述第二随机数与所述被加固软件的明文软件代码中的入口地址进行异或的逻辑运算。

本发明实施例可选地提供了一种被加固软件的认证装置，应用于移动终端，所述认证装置包括：

获取模块，设置为在服务器对被加固软件的壳程序验证通过之后，获取所述服务器发送的关键数据，所述关键数据包括：所述被加固软件的明文软件代码中被隐藏的数据和所述被隐藏数据对应的入口地址；

替换模块，设置为根据所述被隐藏的数据和所述入口地址，替换内存中存储的所述被加固软件的明文软件代码所隐藏的对应数据，然后加载所述明文软件代码。

可选地，所述认证装置还包括：

处理模块，设置为计算得到被加固软件的壳程序的完整性校验值，并对所述壳程序的完整性校验值进行处理，将处理后的处理结果发送给所述服务器，由所述服务器对所述处理结果进行验证，若验证结果为验证通过，则由所述服务器对关键数据加密处理生成加密数据。

可选地，所述处理模块包括：

发送单元，设置为将所述被加固软件的请求信息发送给服务器，由所述服务器根据所述被加固软件的请求信息随机生成第一随机数；

第一计算单元，设置为根据第一算法计算得到被加固软件的壳程序的完整性校验值；

第一级联单元，设置为获取所述第一随机数，将所述第一随机数与所述壳程序的完整性校验值进行第一级联处理，获取第一级联结果；

第二计算单元，设置为根据第二算法对所述第一级联结果进行计算，获取第一计算结果；

第二级联单元，设置为将所述第一计算结果与所述被加固软件随机生成的第二随机数进行第二级联处理，得到处理结果，并将处理结果发送给所述服务器，由所述服务器对所述处理结果进行验证，若验证结果为验证通过，则由所述服务器对关键数据加密处理生成加密数据。

可选地，所述获取模块包括：

解密单元，设置为在服务器对被加固软件的壳程序验证通过之后，对所述服务器发送的加密数据进行解密运算；

第一获取单元，设置为所述解密运算完成后，获取解密数据中包含的所述服务器发送的关键数据。

可选地，所述替换模块包括：

定位单元，设置为根据所述入口地址，定位所述被加固软件的明文软件代码所隐藏的对应数据在所述被加固软件的明文软件代码中的位置；

替换单元，设置为将所述被隐藏的数据替换内存中存储的所述被加固软件的明文软件代码所隐藏的对应数据，然后加载所述明文软件代码。

依据本发明实施例的另一方面，还提供了一种被加固软件的认证装置，应用于服务器，所述认证装置包括：

验证模块，设置为获取被加固软件发送的处理结果，对所述被加固软件的壳程序的完整性校验值进行验证；

加密模块，设置为若所述验证结果为验证通过，则对关键数据进行加密处理，将加密生成的加密数据发送给所述被加固软件，所述关键数据包括：所述被加固软件的明文软件代码中被隐藏的数据和所述被隐藏数据对应的入口地址。

可选地，所述验证模块包括：

生成单元，设置为获取被加固软件的请求信息，根据所述请求信息随机生成第一随机数，并将所述第一随机数发送给所述被加固软件；

第三级联单元，设置为根据所述被加固软件的请求信息获取所述被加固软件的ID信息，并根据所述被加固软件的ID信息获取所述被加固软件的壳程序的完整性校验值，将所述第一随机数与所述壳程序的完整性校验值进行第一级联处理，获取第二级联结果；

第三计算单元，设置为根据第二算法对所述第二级联结果进行计算，得到第二计算结果；

识别单元，设置为获取所述被加固软件发送的处理结果，根据所述处理结果识别获取第一计算结果和第二随机数；

验证单元，设置为对所述第一计算结果与所述第二计算结果进行验证，若所述第一计算结果与所述第二计算结果相同，则验证结果为验证通过。

可选地，所述添加模块包括：

第二获取单元，设置为获取根据所述第二级联结果识别得到的所述第二随机数；

第四计算单元，设置为所述第二随机数与关键数据中包括的所述被隐藏数据对应的入口地址根据第三算法进行计算，并得到第三计算结果；

加密单元，设置为对所述第三计算结果进行加密处理，将加密后生成的加密数据发送给所述被加固软件。

可选地，所述第四计算单元在根据所述第三算法进行计算时，包括：

本发明实施例的有益效果是：

本发明实施例中提供的被加固软件的认证方法，在服务器对被加固软件的壳程序验证通过之后，可获取服务器提供的关键数据，并根据关键数据中的被加固软件的明文软件代码中被隐藏的数据对应的入口地址，能够确定内存中存储的被加固软件的明文软件代码所隐藏的对应数据在明文软件代码中的位置，然后用关键数据中包括的明文软件代码中被隐藏的数据替换内存中存储的被加固软件的明文软件代码所隐藏的对应数据，保证了该被加固软件正常运行。另外，通过对被加固软件的壳程序进行验证，有效地防止壳程序被篡改，保证了壳程序的完整性。所以，通过本发明实施例提供的认证方法既能够有效分清服务请求的来源，又能够在恶意应用请求提供服务时，进行有效的保护，大大提高了对被加固软件的保护强度，有效地防止攻击者的攻击，保证被加固软件可以正常运行。

在阅读并理解了附图和详细描述后，可以明白其他方面。

附图概述

图1A表示本发明实施例中被加固软件的认证方法的流程图；

图1B表示本发明实施例中被加固软件的认证方法的流程图；

图2表示本发明实施例中对壳程序的完整性校验值进行处理的流程图；

图3表示本发明实施例中获取关键数据的流程图；

图4表示本发明实施例中替换明文软件代码所隐藏的对应数据的流程图；

图5表示本发明实施例中被加固软件的认证方法的流程图；

图6表示本发明实施例中验证壳程序的完整性校验值的流程图；

图7表示本发明实施例中加密关键数据的流程图；

图8A表示本发明实施例中被加固软件的认证装置的结构框图；

图8B表示本发明实施例中被加固软件的认证装置的结构框图；

图9表示本发明实施例中处理模块的结构框图；

图10表示本发明实施例中获取模块的结构框图；

图11表示本发明实施例中替换模块的结构框图；

图12表示本发明实施例中被加固软件的认证装置的结构框图；

图13表示本发明实施例中验证模块的结构框图；以及

图14表示本发明实施例中加密模块的结构框图。

本发明的较佳实施方式

下面结合附图对本发明实施例进行描述。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的各种方式可以相互组合。

实施例一

本发明实施例提供了一种被加固软件的认证方法，应用于移动终端，如图1A所示，该认证方法100包括步骤S103和S105：

步骤S103、在服务器对被加固软件的壳程序验证通过之后，获取服务器发送的关键数据，关键数据包括：被加固软件的明文软件代码中被隐藏的数据和被隐藏数据对应的入口地址；

步骤S105、根据被隐藏的数据和入口地址，替换内存中存储的被加固软件的明文软件代码所隐藏的对应数据，然后加载明文软件代码。

通过本发明实施例提供的被加固软件的认证方法，可获取服务器提供的关键数据，并根据关键数据中的被加固软件的明文软件代码中被隐藏的数据对应的入口地址，能够确定内存中存储的被加固软件的明文软件代码所隐藏的对应数据在明文软件代码中的位置，然后用关键数据中包括的明文软件代码中被隐藏的数据替换内存中存储的被加固软件的明文软件代码所隐藏的对应数据。因此，在本发明实施例提供的被加固软件的认证方法中，被加固软件需要从服务器上获取自身隐藏的关键数据，可以有效地对抗了攻击者的攻击，对该被加固软件有很好的保护作用，而且在获取隐藏的关键数据后，还可以保证该被加固软件正常运行。

可选地，如图1B所示，在本发明实施例中，该认证方法100还包括：

步骤S101、计算得到被加固软件的壳程序的完整性校验值，并对壳程序的完整性校验值进行处理，将处理后的处理结果发送给服务器，由服务器对处理结果进行验证，若验证结果为验证通过，则由服务器对关键数据加密处理生成加密数据。

因此，在本发明实施例中，在获取关键数据前，首先可以对被加固软件的壳程序的完整性校验值进行验证，只有当验证通过后，才能获取服务器发送的关键数据。另外，通过服务器对被加固软件的壳程序的完整性校验值进行验证，能够有效防止壳程序被篡改，很好地保证其完整性。而且服务器在对被加固软件的壳程序的完整性校验值进行验证过程中，采用基于对称体制的双向挑战应答方式，即由安装于移动终端的被加固软件与服务器双向配合实现，避免了传统的信道攻击，实现了双向实体认证，增加了对被加固软件的壳程序的保护强度。

可选地，如图2所示，在本发明实施例中，计算得到被加固软件的壳程序的完整性校验值，并对壳程序的完整性校验值进行处理，将处理后的处理结果发送给服务器，由服务器对处理结果进行验证，若验证结果为验证通过，则由服务器对关键数据加密处理生成加密数据(步骤S101)包括：

步骤S1011、将被加固软件的请求信息发送给服务器，由服务器根据被加固软件的请求信息随机生成第一随机数；

步骤S1013、根据第一算法计算得到被加固软件的壳程序的完整性校验值；

步骤S1015、获取第一随机数，将第一随机数与壳程序的完整性校验值进行第一级联处理，获取第一级联结果；

步骤S1017、根据第二算法对第一级联结果进行计算，获取第一计算结果；

步骤S1019、将第一计算结果与被加固软件随机生成的第二随机数进行第二级联处理，得到处理结果，并将处理结果发送给服务器，由服务器对处理结果进行验证，若验证结果为验证通过，则由服务器对关键数据加密处理生成加密数据。

可选地，在本发明实施例中，在对被加固软件的壳程序的完整性校验值进行校验时，首先可以对其壳程序的完整性校验值进行处理，有效地防止了在将壳程序的完整性校验值发送给服务器的过程中遭受到被攻击者修改或者破坏，因此，对被加固软件的壳程序的完整性校验值起到了很好的保护作用。

可选地，如图3所示，在本发明实施例中，在服务器对被加固软件的壳程序验证通过之后，获取服务器发送的关键数据(步骤S103)，包括：

步骤S1031、在服务器对被加固软件的壳程序验证通过之后，对服务器发送的加密数据进行解密运算；

步骤S1033、解密运算完成后，获取解密数据中包含的服务器发送的关键数据。

通过对关键数据进行加密处理，能够有效防止服务器发送关键数据的过程中，关键数据被攻击者获取，对关键数据起到了很好的保护作用。因此，被加固软件在获取加密数据后，需要对其进行解密以获取服务器发送的关键数据。

可选地，如图4所示，在本发明实施例中，根据被隐藏的数据和入口地址，替换内存中存储的被加固软件的明文软件代码所隐藏的对应数据，然后加载明文软件代码(步骤S105)，包括：

步骤S1051、根据入口地址，定位被加固软件的明文软件代码所隐藏的对应数据在被加固软件的明文软件代码中的位置；

步骤S1053、将被隐藏的数据替换内存中存储的被加固软件的明文软件代码所隐藏的对应数据，然后加载明文软件代码。

因此，在获取服务器提供的关键数据后，根据关键数据中的被加固软件的明文软件代码中被隐藏的数据对应的入口地址，能够确定内存中存储的被加固软件的明文软件代码所隐藏的对应数据在明文软件代码中的位置，并用关键数据中包括的明文软件代码中被隐藏的数据替换内存中存储的被加固软件的明文软件代码所隐藏的对应数据。因此，本发明实施例提供的被加固软件的认证方法不仅可以保证该被加固软件正常运行，而且对该被加固软件有很好的保护作用，能够有效地对抗了攻击者的攻击。

可选地，在本发明实施例中，上述完整性校验值、第一随机数以及第二随机数均采用十六进制表示，当然可以理解的是，在本发明实施例中，对完整性校验值、第一随机数以及第二随机数的表述方式并不进行限定。

实施例二

依据本发明的另一方面，还提供了一种被加固软件的认证方法，应用于服务器，如图5所示，该认证方法500包括：

步骤S501、获取被加固软件发送的处理结果，对被加固软件的壳程序的完整性校验值进行验证；

步骤S503、若验证结果为验证通过，则对关键数据进行加密处理，并将加密生成的加密数据发送给被加固软件，关键数据包括：被加固软件的明文软件代码中被隐藏的数据和被隐藏数据对应的入口地址。

其中，在本发明实施例中，首先要对被加固软件的壳程序的完整性校验值进行验证，以保证其壳程序的完整性，有效地防止壳程序被篡改，只有当验证通过后，才能向被加固软件发送关键数据，在发送关键数据前，需要对关键数据进行加密处理，因此保证了在发送关键数据过程中的安全性，能够有效防止服务器发送关键数据被攻击者获取，对关键数据起到了很好的保护作用。

可选地，如图6所示，在本发明实施例中，根据被加固软件发送的处理结果，对被加固软件的壳程序的完整性校验值进行验证(步骤S501)，包括：

步骤S5011、获取被加固软件的请求信息，根据请求信息随机生成第一随机数，并将第一随机数发送给被加固软件；

步骤S5013、根据被加固软件的请求信息获取被加固软件的ID(标识)信息，并根据被加固软件的ID信息获取被加固软件的壳程序的完整性校验值，将第一随机数与壳程序的完整性校验值进行第一级联处理，获取第二级联结果；

步骤S5015、根据第二算法对第二级联结果进行计算，得到第二计算结果；

步骤S5017、获取被加固软件发送的处理结果，根据处理结果识别获取第一计算结果和第二随机数；

步骤S5019、对第一计算结果与第二计算结果进行验证，若第一计算结果与第二计算结果相同，则验证结果为验证通过。

由于被加固软件对其壳程序的完整性校验值进行了相应的处理，因此，服务器需要对其获取的被加固软件的壳程序的完整性校验值进行同样的处理，并对被加固软件计算的第一计算结果与服务器计算的第二计算结果进行对比，若第一结果与第二结果不同，则证明被加固软件的壳程序被篡改，遭到攻击者的攻击；若第一计算结果与第二计算结果相同，则被加固软件的壳程序没有被破坏。

所以，本发明实施例提供的认证方法能够有效防止壳程序被篡改，很好地保证其完整性，并通过被加固软件与服务器的双向配合，实现了对壳程序完整性的验证，能够避免传统的信道攻击，实现了双向实体认证。其中，上述完整性校验值、第一随机数以及第二随机数均采用十六进制表示，当然可以理解的是，在本发明实施例中，对完整性校验值、第一随机数以及第二随机数的表述方式并不进行限定。

可选地，如图7所示，在本发明实施例中，若验证结果为验证通过，则对关键数据进行加密处理，将加密生成的加密数据发送给被加固软件(步骤S503)，包括：

步骤S5031、获取根据第二级联结果识别得到的第二随机数；

步骤S5033、第二随机数与关键数据中包括的被隐藏数据对应的入口地址根据第三算法进行计算，并得到第三计算结果；

步骤S5035、对第三计算结果进行加密处理，将加密后生成的加密数据发送给被加固软件。

可选地，在本发明实施例中，将第二随机数与被加固软件的明文软件代码中的入口地址根据第三算法进行计算，包括：对第二随机数与被加固软件的明文软件代码中的入口地址进行异或的逻辑运算。

其中，在本发明实施例中，经过上述加密处理，提高了对关键数据的保护程度，保证了在发送关键数据过程中的安全性，能够有效防止服务器发送关键数据被攻击者获取，对关键数据起到了很好的保护作用。

由上述可知，本发明实施例提供的认证方法中的流程不能被逾越，只要在认证过程中出现错误，则不能继续后续流程，因此既能够有效分清服务请求的来源，又能够在恶意应用请求提供服务时，进行有效的保护，大大提高了对被加固软件的保护强度，有效地防止攻击者的攻击，保证被加固软件可以正常运行。

实施例三

本发明实施例还提供了一种被加固软件的认证装置，应用于移动终端，如图8A所示，该认证装置800包括：

获取模块803，设置为在服务器对被加固软件的壳程序验证通过之后，获取服务器发送的关键数据，关键数据包括：被加固软件的明文软件代码中被隐藏的数据和被隐藏数据对应的入口地址；

替换模块805，设置为根据被隐藏的数据和入口地址，替换内存中存储的被加固软件的明文软件代码所隐藏的对应数据，然后加载明文软件代码。

可选地，如图8B所示，在本发明实施例中，该认证装置800还包括：

处理模块801，设置为计算得到被加固软件的壳程序的完整性校验值，并对壳程序的完整性校验值进行处理，将处理后的处理结果发送给服务器，由服务器对处理结果进行验证，若验证结果为验证通过，则由服务器对关键数据加密处理生成加密数据。

可选地，如图9所示，在本发明实施例中，处理模块801包括：

发送单元8011，设置为将被加固软件的请求信息发送给服务器，由服务器根据被加固软件的请求信息随机生成第一随机数；

第一计算单元8013，设置为根据第一算法计算得到被加固软件的壳程序的完整性校验值；

第一级联单元8015，设置为获取第一随机数，将第一随机数与壳程序的完整性校验值进行第一级联处理，获取第一级联结果；

第二计算单元8017，设置为根据第二算法对第一级联结果进行计算，获取第一计算结果；

第二级联单元8019，设置为将第一计算结果与被加固软件随机生成的第二随机数进行第二级联处理，得到处理结果，并将处理结果发送给服务器，由服务器对处理结果进行验证，若验证结果为验证通过，则由服务器对关键数据加密处理生成加密数据。

可选地，如图10所示，在本发明实施例中，获取模块803包括：

解密单元8031，设置为在服务器对被加固软件的壳程序验证通过之后，对服务器发送的加密数据进行解密运算；

第一获取单元8033，设置为解密运算完成后，获取解密数据中包含的服务器发送的关键数据。

可选地，如图11所示，在本发明实施例中，替换模块805包括：

定位单元8051，设置为根据入口地址，定位被加固软件的明文软件代码所隐藏的对应数据在被加固软件的明文软件代码中的位置；

替换单元8053，设置为将被隐藏的数据替换内存中存储的被加固软件的明文软件代码所隐藏的对应数据，然后加载明文软件代码。

通过本发明实施例提供的被加固软件的认证装置，可获取服务器提供的关键数据，并根据关键数据中的被加固软件的明文软件代码中被隐藏的数据对应的入口地址，能够确定内存中存储的被加固软件的明文软件代码所隐藏的对应数据在明文软件代码中的位置，然后用关键数据中包括的明文软件代码中被隐藏的数据替换内存中存储的被加固软件的明文软件代码所隐藏的对应数据。因此，被加固软件需要从服务器上获取自身隐藏的关键数据，可以有效地对抗了攻击者的攻击，对该被加固软件有很好的保护作用，而且在获取隐藏的关键数据后，还可以保证该被加固软件正常运行。

实施例四

依据本发明实施例的另一方面，还提供了一种被加固软件的认证装置，应用于服务器，如图12所示，该认证装置1200包括：

验证模块1201，设置为获取被加固软件发送的处理结果，对被加固软件的壳程序的完整性校验值进行验证；

加密模块1203，设置为若验证结果为验证通过，则对关键数据进行加密处理，将加密生成的加密数据发送给被加固软件，关键数据包括：被加固软件的明文软件代码中被隐藏的数据和被隐藏数据对应的入口地址。

可选地，如图13所示，在本发明实施例中，验证模块1201包括：

生成单元12011，设置为获取被加固软件的请求信息，根据请求信息随机生成第一随机数，并将第一随机数发送给被加固软件；

第三级联单元12013，设置为根据被加固软件的请求信息获取被加固软件的ID信息，并根据被加固软件的ID信息获取被加固软件的壳程序的完整性校验值，将第一随机数与壳程序的完整性校验值进行第一级联处理，获取第二级联结果；

第三计算单元12015，设置为根据第二算法对第二级联结果进行计算，得到第二计算结果；

识别单元12017，设置为获取被加固软件发送的处理结果，根据处理结果识别获取第一计算结果和第二随机数；

验证单元12019，设置为对第一计算结果与第二计算结果进行验证，若第一计算结果与第二计算结果相同，则验证结果为验证通过。

可选地，如图14所示，在本发明实施例中，添加模块1203包括：

第二获取单元12031，设置为获取根据第二级联结果识别得到的第二随机数；

第四计算单元12033，设置为第二随机数与关键数据中包括的被隐藏数据对应的入口地址根据第三算法进行计算，并得到第三计算结果；

加密单元12035，设置为对第三计算结果进行加密处理，将加密后生成的加密数据发送给被加固软件。

其中，第四计算单元12033在根据第三算法进行计算时，包括：

对第二随机数与被加固软件的明文软件代码中的入口地址进行异或的逻辑运算。

本发明实施例提供的认证装置首先要对被加固软件的壳程序的完整性校验值进行验证，以保证其壳程序的完整性，有效地防止壳程序被篡改，然后在当验证通过后，向被加固软件发送关键数据，其中在发送关键数据前，需要对关键数据进行加密处理，因此保证了在发送关键数据过程中的安全性，能够有效防止服务器发送关键数据被攻击者获取，对关键数据起到了很好的保护作用。

本发明实施例还提供一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行上述方法。

以上所述的是本发明实施例的可选实施方式，应当指出对于本技术领域的普通人员来说，在不脱离本发明实施例所述的原理前提下还可以作出改进和润饰，这些改进和润饰也在本发明实施例的保护范围内。

本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现，所述计算机程序可以存储于一计算机可读存储介质中，所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行，在执行时，包括方法实施例的步骤之一或其组合。

可选地，上述实施例的全部或部分步骤也可以使用集成电路来实现，这些步骤可以被分别制作成一个个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。

上述实施例中的装置/功能模块/功能单元可以采用通用的计算装置来实现，它们可以集中在单个的计算装置上，也可以分布在多个计算装置所组成的网络上。

上述实施例中的装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器，磁盘或光盘等。

工业实用性

通过本发明实施例的方案，既能够有效分清服务请求的来源，又能够在恶意应用请求提供服务时，进行有效的保护，大大提高了对被加固软件的保护强度，有效地防止攻击者的攻击，保证被加固软件可以正常运行。

Claims

一种被加固软件的认证方法，应用于移动终端，所述认证方法包括：

在服务器对被加固软件的壳程序验证通过之后，获取所述服务器发送的关键数据，所述关键数据包括：所述被加固软件的明文软件代码中被隐藏的数据和所述被隐藏数据对应的入口地址；

根据所述被隐藏的数据和所述入口地址，替换内存中存储的所述被加固软件的明文软件代码所隐藏的对应数据，然后加载所述明文软件代码。
如权利要求1所述的认证方法，其中，在服务器对被加固软件的壳程序验证通过之前还包括：

计算得到被加固软件的壳程序的完整性校验值，并对所述壳程序的完整性校验值进行处理，将处理后的处理结果发送给所述服务器，由所述服务器对所述处理结果进行验证，若验证结果为验证通过，则由所述服务器对关键数据加密处理生成加密数据。
如权利要求2所述的认证方法，其中，所述计算得到被加固软件的壳程序的完整性校验值，并对所述壳程序的完整性校验值进行处理，将处理后的处理结果发送给所述服务器，包括：

将所述被加固软件的请求信息发送给服务器，并接收所述服务器根据所述被加固软件的请求信息随机生成的第一随机数；

根据第一算法计算得到被加固软件的壳程序的完整性校验值；

将所述第一随机数与所述壳程序的完整性校验值进行第一级联处理，获取第一级联结果；

根据第二算法对所述第一级联结果进行计算，获取第一计算结果；

将所述第一计算结果与所述被加固软件随机生成的第二随机数进行第二级联处理，得到处理结果，并将处理结果发送给所述服务器。
如权利要求3所述的认证方法，其中，所述在服务器对被加固软件的壳程序验证通过之后，获取所述服务器发送的关键数据，包括：

在服务器对被加固软件的壳程序验证通过之后，对所述服务器发送的加密数据进行解密运算；

所述解密运算完成后，获取解密数据中包含的所述服务器发送的关键数据。
如权利要求1所述的认证方法，其中，所述根据所述被隐藏的数据和所述入口地址，替换内存中存储的所述被加固软件的明文软件代码所隐藏的对应数据，然后加载所述明文软件代码，包括：

根据所述入口地址，定位所述被加固软件的明文软件代码所隐藏的对应数据在所述被加固软件的明文软件代码中的位置；

将所述被隐藏的数据替换内存中存储的所述被加固软件的明文软件代码所隐藏的对应数据，然后加载所述明文软件代码。
一种被加固软件的认证方法，应用于服务器，所述认证方法包括：

获取被加固软件发送的处理结果，对所述被加固软件的壳程序的完整性校验值进行验证；

若所述验证结果为验证通过，则对关键数据进行加密处理，并将加密生成的加密数据发送给所述被加固软件，所述关键数据包括：所述被加固软件的明文软件代码中被隐藏的数据和所述被隐藏数据对应的入口地址。
如权利要求6所述的认证方法，其中，所述根据被加固软件发送的处理结果，对所述被加固软件的壳程序的完整性校验值进行验证，包括：

获取被加固软件的请求信息，根据所述请求信息随机生成第一随机数，并将所述第一随机数发送给所述被加固软件；

根据所述被加固软件的请求信息获取所述被加固软件的标识ID信息，并根据所述被加固软件的ID信息获取所述被加固软件的壳程序的完整性校验值，将所述第一随机数与所述壳程序的完整性校验值进行第一级联处理，获取第二级联结果；

根据第二算法对所述第二级联结果进行计算，得到第二计算结果；

获取所述被加固软件发送的处理结果，根据所述处理结果识别获取第一计算结果和第二随机数；

对所述第一计算结果与所述第二计算结果进行验证，若所述第一计算结果与所述第二计算结果相同，则验证结果为验证通过。
如权利要求7所述的认证方法，其中，所述若所述验证结果为验证通过，则对关键数据进行加密处理，将加密生成的加密数据发送给所述被加固软件，包括：

获取根据所述第二级联结果识别得到的所述第二随机数；

所述第二随机数与关键数据中包括的所述被隐藏数据对应的入口地址根据第三算法进行计算，并得到第三计算结果；

对所述第三计算结果进行加密处理，将加密后生成的加密数据发送给所述被加固软件。
如权利要求8所述的认证方法，其中，所述将所述第二随机数与所述被加固软件的明文软件代码中的入口地址根据第三算法进行计算包括：

对所述第二随机数与所述被加固软件的明文软件代码中的入口地址进行异或的逻辑运算。
一种被加固软件的认证装置，应用于移动终端，所述认证装置包括：

获取模块，设置为在服务器对被加固软件的壳程序验证通过之后，获取所述服务器发送的关键数据，所述关键数据包括：所述被加固软件的明文软件代码中被隐藏的数据和所述被隐藏数据对应的入口地址；

替换模块，设置为根据所述被隐藏的数据和所述入口地址，替换内存中存储的所述被加固软件的明文软件代码所隐藏的对应数据，然后加载所述明文软件代码。
如权利要求10所述的认证装置，还包括：

处理模块，设置为计算得到被加固软件的壳程序的完整性校验值，并对所述壳程序的完整性校验值进行处理，将处理后的处理结果发送给所述服务器，由所述服务器对所述处理结果进行验证，若验证结果为验证通过，则由所述服务器对关键数据加密处理生成加密数据。
如权利要求11所述的认证装置，其中，所述处理模块包括：

发送单元，设置为将所述被加固软件的请求信息发送给服务器，由所述服务器根据所述被加固软件的请求信息随机生成第一随机数；

第一计算单元，设置为根据第一算法计算得到被加固软件的壳程序的完整性校验值；

第一级联单元，设置为获取所述第一随机数，将所述第一随机数与所述壳程序的完整性校验值进行第一级联处理，获取第一级联结果；

第二计算单元，设置为根据第二算法对所述第一级联结果进行计算，获取第一计算结果；

第二级联单元，设置为将所述第一计算结果与所述被加固软件随机生成的第二随机数进行第二级联处理，得到处理结果，并将处理结果发送给所述服务器，由所述服务器对所述处理结果进行验证，若验证结果为验证通过，则由所述服务器对关键数据加密处理生成加密数据。
如权利要求12所述的认证装置，其中，所述获取模块包括：

解密单元，设置为在服务器对被加固软件的壳程序验证通过之后，对所述服务器发送的加密数据进行解密运算；

第一获取单元，设置为所述解密运算完成后，获取解密数据中包含的所述服务器发送的关键数据。
如权利要求10所述的认证装置，其中，所述替换模块包括：

定位单元，设置为根据所述入口地址，定位所述被加固软件的明文软件代码所隐藏的对应数据在所述被加固软件的明文软件代码中的位置；

替换单元，设置为将所述被隐藏的数据替换内存中存储的所述被加固软件的明文软件代码所隐藏的对应数据，然后加载所述明文软件代码。
一种被加固软件的认证装置，应用于服务器，所述认证装置包括：

验证模块，设置为获取被加固软件发送的处理结果，对所述被加固软件的壳程序的完整性校验值进行验证；

加密模块，设置为若所述验证结果为验证通过，则对关键数据进行加密处理，将加密生成的加密数据发送给所述被加固软件，所述关键数据包括：所述被加固软件的明文软件代码中被隐藏的数据和所述被隐藏数据对应的入口地址。
如权利要求15所述的认证装置，其中，所述验证模块包括：

生成单元，设置为获取被加固软件的请求信息，根据所述请求信息随机生成第一随机数，并将所述第一随机数发送给所述被加固软件；

第三级联单元，设置为根据所述被加固软件的请求信息获取所述被加固软件的ID信息，并根据所述被加固软件的ID信息获取所述被加固软件的壳程序的完整性校验值，将所述第一随机数与所述壳程序的完整性校验值进行第一级联处理，获取第二级联结果；

第三计算单元，设置为根据第二算法对所述第二级联结果进行计算，得到第二计算结果；

识别单元，设置为获取所述被加固软件发送的处理结果，根据所述处理结果识别获取第一计算结果和第二随机数；

验证单元，设置为对所述第一计算结果与所述第二计算结果进行验证，若所述第一计算结果与所述第二计算结果相同，则验证结果为验证通过。
如权利要求16所述的认证装置，其中，所述添加模块包括：

第二获取单元，设置为获取根据所述第二级联结果识别得到的所述第二随机数；

第四计算单元，设置为所述第二随机数与关键数据中包括的所述被隐藏数据对应的入口地址根据第三算法进行计算，并得到第三计算结果；

加密单元，设置为对所述第三计算结果进行加密处理，将加密后生成的加密数据发送给所述被加固软件。
如权利要求17所述的认证装置，其中，所述第四计算单元在根据所述第三算法进行计算包括：

对所述第二随机数与所述被加固软件的明文软件代码中的入口地址进行异或的逻辑运算。