应用的加固方法及装置的制造方法
【技术领域】
[0001] 本发明涉及通信领域,具体而言,涉及一种应用的加固方法及装置。
【背景技术】
[0002] 在当前的全球化经济发展形式之下,信息化管理对于企业的发展建设起着重要的 作用,而信息的安全管理又是信息化建设的重要保障。因此作为信息载体的企业应用安全 便显得尤为重要。
[0003] -方面,虽然传统企业应用在各个层面都会使用不同的技术来确保安全性--比 如:为了保护客户端PC的安全,用户会安装防病毒软件;为了保证用户数据传输安全,通信 层通常会使用SSL技术加密数据;企业会使用防火墙和IDS/IPS来保证仅允许特定的访问; 企业使用身份认证机制授权用户访问,但是,这些方法都没有保护企业应用本身,只要访问 可以顺利通过企业的防火墙,企业应用就毫无保留的呈现在用户面前。只有加强企业应用 自身的安全,才是真正的企业应用安全解决之道。
[0004] 另一方面,随着移动智能设备的普及,移动办公已经成为企业信息化不可分割的 一部分。移动设备和移动应用的普及,虽然给企业的业务和办公带来更多的便利和效率的 提升,但同时也带来了大量的安全隐患和风险。特别是随着一些移动应用进入到企业的核 心业务中后,例如,由于一些应用中能够获取或者访问到企业的核心业务或者商业秘密等 信息,一旦应用本身的安全性过低,能够比较容易地被不法分子破解,则企业的核心业务或 者商业秘密等信息就会随之暴露,这种安全风险有可能会给企业带来巨大的伤害和损失。
[0005] 针对相关技术中应用仍存在较大安全风险的问题,目前尚未提出有效的解决方 案。
【发明内容】
[0006] 针对相关技术中应用仍存在较大安全风险的问题,本发明提供了一种应用的加固 方法及装置,以至少解决上述问题。
[0007] 根据本发明的一个实施例,提供了一种应用的加固方法,包括:确定应用缺少的安 全特征;根据所述缺少的安全特征对所述应用进行安全加固。
[0008] 本实施例中,确定应用缺少的安全特征包括:获取应用当前的安全特征,并将所述 应用的所述当前的安全特征与安全特征库进行比较,得到所述应用缺少的安全特征。
[0009] 本实施例中,获取应用当前的安全特征包括:获取所述应用当前的静态安全特征 和/或动态安全特征;其中,所述静态安全特征为应用处于未执行状态下的安全特征;所述 动态安全特征为应用在执行过程中的安全特征。
[0010] 本实施例中,获取应用当前的静态安全特征包括:获取所述应用的源码、资源文 件、配置文件中的至少之一;对获取的所述源码、资源文件、配置文件中的至少之一进行扫 描;根据扫描结果抽取并记录所述应用当前的静态安全特征。
[0011] 本实施例中,获取应用当前的动态安全特征包括:对所述应用模拟各种执行行为, 并获取所述执行行为对应的行为信息;分析所述行为信息,抽取并记录所述应用当前的动 态安全特征。
[0012] 本实施例中,根据所述缺少的安全特征对所述应用进行安全加固包括:对于所述 应用缺少的静态安全特征,从安全代码库中提取所述静态安全特征对应的加固代码;将所 述静态安全特征对应的加固代码融入所述应用中;和/或,对于所述应用缺少的动态安全 特征,从安全代码库中提取所述动态安全特征对应的加固代码;将所述动态安全特征对应 的加固代码融入所述应用中。
[0013] 本实施例中,将所述静态安全特征对应的加固代码融入所述应用中的方式包括以 下至少之一:代码注入,代码替换。
[0014] 本实施例中,将所述动态安全特征对应的加固代码融入所述应用中的方式包括以 下至少之一:加壳,代码注入,代码替换。
[0015] 本实施例中,将所述动态安全特征对应的加固代码融入所述应用中包括:在运行 所述应用时,优先运行所述动态安全特征对应的加固代码。
[0016] 本实施例中,在根据所述缺少的安全特征对所述应用进行安全加固之后,还包括: 将加固后的所述应用重新生成安装包。
[0017] 本实施例中,将加固后的所述应用重新生成安装包包括:对安全加固后的应用的 源码、资源文件和配置文件进行重新编译或连接,并生成安装包。
[0018] 本实施例中,将加固后的所述应用重新生成安装包之后,还包括:接收上传的签名 文件;使用所述签名文件对所述应用重新生成的安装包进行签名。
[0019] 本实施例中,所述应用为企业应用。
[0020] 根据本发明的另一实施例,还提供了一种应用的加固装置,包括:确定模块,用于 确定应用缺少的安全特征;加固模块,用于根据所述缺少的安全特征对所述应用进行安全 加固。
[0021] 通过本发明,采用确定应用缺少的安全特征;根据所述缺少的安全特征对所述应 用进行安全加固的方式,解决了相关技术中应用仍存在较大安全风险的问题,提升了使用 应用的安全系数,并且通过本实施例的应用的加固方法,应用可以随着安全特征库中安全 特征的更新和完善进行更新和完善,大大降低了使用应用的安全风险。
【附图说明】
[0022] 此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0023] 图1是根据本发明实施例的应用的加固方法的流程图;
[0024] 图2是根据本发明实施例的应用的加固装置的结构框图;
[0025] 图3是根据本发明优选实施例的企业应用静态安全检测的流程图;
[0026] 图4是根据本发明优选实施例的企业应用动态安全检测的流程图;
[0027] 图5是根据本发明优选实施例的企业应用静态安全加固的流程图;
[0028] 图6是根据本发明优选实施例的企业应用动态安全加固的流程图;
[0029] 图7是根据本发明优选实施例的企业应用重打包的流程图。
【具体实施方式】
[0030] 下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的 情况下,本申请中的实施例及实施例中的特征可以相互组合。
[0031] 在本实施例中,提供了一种应用的加固方法,图1是根据本发明实施例的应用的 加固方法的流程图,如图1所示,该方法包括如下步骤:
[0032] 步骤S102,确定应用缺少的安全特征;
[0033] 步骤S104,根据所述缺少的安全特征对所述应用进行安全加固。
[0034] 本实施例通过上述步骤,为了满足不同场景下不同用户的安全需求,确定当前应 用缺少的安全特征,并根据缺少的或不完备的安全特征对该应用进行加固,增强所述应用 的安全特征,这样能够使得应用本身的安全特征更加完善,即使应用被访问到,其本身也很 难被破解,同时保护企业信息的安全,解决了相关技术中应用仍存在较大安全风险的问题, 提升了使用应用的安全系数,并且通过本实施例的应用的加固方法,应用可以随着安全特 征库中安全特征的更新和完善进行更新和完善,大大降低了使用应用的安全风险。
[0035] 考虑到在企业中对应用的安全性要求更高,因此本实施例中加固的应用主要为企 业应用,当然,本实施例提供的应用的加固方法也可以应用于其他应用的安全加固。
[0036] 在本实施例中,步骤S102中确定当前应用缺少的安全特征的方式可以如下:获取 应用当前的安全特征,并将所述应用的所述当前的安全特征与安全特征库进行比较,得到 所述应用缺少的安全特征。
[0037] 在本实施例中,获取应用当前的安全特征可以包括如下两种安全特征:静态安全 特征和/或动态安全特征;其中,所述静态安全特征可以为应用处于未执行状态下的安全 特征,即应用源码、资源文件、配置文件本身的安全特征;所述动态安全特征可以为应用在 执行过程中的安全特征,即应用执行过程中的各种行为的安全特征。
[0038] 其中,获取静态安全特征的方式可以如下:获取所述应用的源码、资源文件、配置 文件中的至少之一;对获取的所述源码、资源文件、配置文件中的至少之一进行扫描;根据 扫描结果抽取并记录所述应