[发明专利]一种移动应用APK防篡改的方法

说明书

本发明公开了一种移动应用APK防篡改的方法，首先获取移动应用APK的数字签名与循环冗余校验码，加密后保存在服务器中，将移动应用APK发布到网络上供用户下载并安装使用后，客户端每次网络访问请求都需要发送与服务器采用同样加密方式加密的数字签名与循环冗余校验码，验证通过后服务器与客户端才能通过网络连接进行数据交互，所述移动应用APK防篡改的方法，通过在客户端每次进行网络访问时与服务器校验APK经过加密的数字签名与循环冗余校验码，为移动应用APK防篡改提供了一种全新且简便快捷的方式，可有效避免APK被篡改放入恶意代码，更好地保障用户的数据安全与自身利益。

技术领域

本发明涉及信息安全领域，尤其涉及一种移动应用APK防篡改的方法。

背景技术

APK即Android安装包，是Android操作系统上的移动应用程序安装文件格式，由于Android自身的开源特性，导致APK代码容易被反编译，通过反编译APK文件，进行代码的分析、修改和插入，再重新打包为新的APK文件，以达到改变程序原有行为的目的，即实现对APK的篡改。

据统计现在中国独立APP数量早已突破50万，APP开发市场日渐火热，而部分不法分子通过破解、反编译、篡改代码、插入广告等手段为自己谋取巨额利润，移动应用APK被篡改的主要原因是开发者在防止APK被篡改、反编译等方面不够重视或技术不够完善。篡改移动应用APK的行为已经严重影响到了移动应用开发者的利益和移动应用开发行业的健康发展。

现今对于APK的防篡改防护，较为常用的手段有，通过修改DEX文件来增加篡改难度，或是在APK运行时进行签名验证和循环冗余校验码验证，前者需要对APK代码进行修改和再编译，增加了开发人员的工作量，且容易被攻破；而后者的验证代码容易被黑客注销导致不能起到应有的作用。

发明内容

鉴以此，本发明的目的在于提供一种移动应用APK防篡改的方法，以至少解决以上问题。

一种移动应用APK防篡改的方法，包括以下步骤：

S1、获取移动应用APK的数字签名与循环冗余校验码，加密后保存在服务器中；

S2、将移动应用APK发布到网络上供用户下载并安装使用；

S3、用户通过APK安装的客户端每次网络访问请求都需要上传与服务器采用相同加密方式加密的数字签名与循环冗余校验码进行验证；

S4、服务器对客户端上传的数字签名与循环冗余校验码进行验证，验证通过后才允许客户端与服务器进行数据交互。

进一步的，所述数字签名与循环冗余校验码使用AES算法进行加密。

进一步的，步骤S3中，客户端上传经过加密的数字签名与循环冗余校验码前，对服务器证书pin码进行验证。

进一步的，对服务器证书pin码进行验证包括以下步骤：

S1、获取服务器的证书pin码；

S2、将服务器的证书pin码封装到移动应用APK中；

S3、在客户端进行网络访问前验证网络连接对象的证书pin码与预设的服务器pin码是否一致，若一致客户端上传经过加密的数字签名与循环冗余校验码进行验证；若不一致则停止向该网络连接对象发送数据。

进一步的，在移动应用APK中设置共享对象库并通过所述共享对象库获取、保存经过加密的数字签名与循环冗余校验码。

进一步的，所述共享对象库设有外壳保护程序。

与现有技术相比，本发明的有益效果是：