[发明专利]一种iOS下移动APP安全防护系统及方法

说明书

本发明公开了一种iOS下移动APP安全防护系统及方法。本发明包括安全键盘模块、用户数据安全保存模块、App敏感信息保存模块、源代码保护模块、安全热更新模块的五大安全防护模块对于现有的iOS移动APP存在缺陷和问题进行安全防护。本发明将现存iOS‑App开发过程中常遇到的五个安全问题的解决方案集成到一种安全防护框架方法当中，开发者只需要将安全防护方法运用到App中，正确部署即可对App做出有效的安全防护，方便开发者解决App安全问题，减少开发时间，提高App的安全性。

技术领域

本发明属于移动安全的技术领域，具体为一种iOS下移动APP安全防护方法。

技术背景

iOS和Android是用户使用率最高的移动操作系统，其中iOS系统源码不公开，以及严格统一的App应用上架审核机制，比Android具有较高的安全性；另外，苹果公司为iOS系统设计了一系列安全机制，如：代码签名、沙盒机制、ASLP、加密保护等。

虽然iOS有较完善的安全机制，但是因为开发者对应用安全的疏忽，还是存在一些常见的安全威胁。本方法主要针对开发中常遇到的五个安全威胁进行防护：

(1)系统键盘安全威胁，用户在使用App时，经常会遇到账户密码输入等敏感信息输入问题，特别是针对金融类App，防止键盘输入内容被监听，对用户数据的保护非常重要。

(2)用户数据本地保存安全威胁，用户在使用App时会产生许多用户信息，一部分数据采用数据库的形式进行保存，另外一部分数据以word，PDF等大文件的形式保存在本地App中，这些数据如果没有防护措施，易造成数据泄露。

(3)App敏感信息保存安全威胁，在日常开发过程中，避免不了对一些App敏感信息的处理例如App加密密钥，多数开发者采用硬编码形式或plist文件进行保存，但是其存在巨大的安全隐患，一旦App被逆向，以上信息都会遭到泄露。

(4)App源代码泄露威胁，在日常开中，因为苹果现有的安全加固技术，开发者容易忽视对App源代码进行保护，攻击者可以通过逆向的方法从源代码中得到通信协议或者代码逻辑，对App进行攻击。

(5)热更新脚本篡改威胁，为了满足快速变化的需求，热更新技术已经被众多App使用，但是热更新脚本代码的获取与保存还存在一些安全问题。

发明内容

本发明的目的是针对现有技术的不足，提供一种iOS下移动APP安全防护系统及方法。

本发明解决其技术问题所采用的技术方案如下：

一种iOS下移动APP安全防护系统，包括安全键盘模块、用户数据安全保存模块、App敏感信息保存模块、源代码保护模块、安全热更新模块；

安全键盘模块：具有防通过坐标获取键盘输入信息、去缓存和防录屏的功能，将自定义的安全键盘模块代替原系统键盘，并通过runtime机制对录屏进程的监听，有效阻止用户输入信息的泄露。安全键盘模块启动实现过程如下：

①监听用户输入事件。

②拦截系统键盘弹出。

③检测是否在录屏的进程，若发现正在录屏，则弹出警告并收回安全键盘模块；否则启动安全键盘模块，产生一组随机数，将键盘中的键位随机布局。

④键盘根据布局模板进行显示，点击键盘按键显示输入信息。

用户数据安全保存模块：对用户数据进行分类保存，根据不同数据类型以及大小不同给出不同的加密方案。将用户数据分为以下两类：

①用户字段信息，例如用户名，密码等，该类型数据量小，并有数据处理的需求：例如排序，取最大数等，该类数据一般使用SQLite数据进行保存，大部分SQLite文件会保存Document当中。