【51CTO.com原创稿件】移动互联网的火爆，让越来越多的企业选择用移动APP抢占市场“制高点”。与此现象相伴相生的，是移动APP的开发、运营、维护带来的压力，其中最无法令人忽视的，当属移动APP的安全保障问题，其中以金融行业客户、游戏行业客户重视程度为最。

当人们考虑如何抵御移动APP安全威胁时，通常跳入脑海的第一个选择是“加固”，殊不知移动APP安全防护服务从传统加固至今已经更迭几代了(爱加密的产品已经更新到第6代了)，产品技术与服务内涵正在不断延伸。要想了解移动应用安全防护最新最全面的发展态势，记者选择了最直接的方法，采访占据中国移动应用安全领域“半壁江山”的爱加密，通过爱加密CEO郭训平的视角，还原这个领域一个真实生动的 “成长故事”。

四年磨一剑 需求始筑成

APP加固是市场对移动应用安全产品的俗称，主要是指通过安全加固技术弥补APP开发中所产生的自身安全漏洞、风险，提高APP安全健壮性，降低APP脆弱性风险。其中加固主要通过加密技术来实现。

郭训平介绍到，2013年初，创业型的安全公司开始尝试将加密技术应用到保护APP场景中来。到了2014年相关产品逐渐成熟，并在市场上渐渐推广开来，最初是从手机银行开始，主要用于保护资金交易、用户密码信息等数据。在2015年，金融行业客户成为APP加固的重要客户，从银行、证券公司到保险公司都开始产生移动APP安全防护需求。终于在2016年，移动应用安全防护市场迎来了高速增长，政府相关部门、大型企业都开始重视APP的安全。

爱加密就是在2013年初进入了移动APP安全市场，可谓是这个市场的见证者与建设者了。后来随着安卓应用的逐渐升温，诸如阿里、腾讯、百度等大型互联网公司也逐渐涉及该领域。但在企业级市场中，尤其是金融行业，目前仍以爱加密与梆梆安全这两家初创安全公司最为活跃，两家公司几乎覆盖了90%的市场份额。

加密有门槛 安全大不同

据郭训平所言，加密技术并不是新技术，只是应用到保护APP的场景中是一种新的尝试。APP加固本身并不难，其本质就是让加密过的源码，不论通过什么技术方式处理，都可以在安卓系统中运行，重点在于不能让用户受影响。“目前市场上采用的加固技术，大方向都是一致的，关键在于技术处理的区别。”

他强调，加密的APP一定要先解密，才能在安卓系统运行，倘若等到所有的程序都解密后再运行，显然APP使用者的使用体验会变得很糟糕。因此最好的办法是边运行边解密，在运行中解开，同时让使用者下载的东西是加固过的，不是原来的代码。“加密是有门槛的，但这门槛并不在于A能加密，B加密不了，而在于不降低使用体验，不牺牲安全加密效果的前提下，保证APP加密后的适配性、兼容性、可用性。”

那么如何用技术解决这些门槛呢?记者了解到，这与APP加密的底层构架密切相关。郭训平以爱加密为例，当安卓对APP解密后，有四类重要的文件待运行，一是运行源码文件，二是.so文件;三是资源文件.RES文件，四是数据文件包括存在本地的及运行中的临时文件，这四类文件的运营逻辑、调取比重各有不同，需要做大量的测试工作才能找到最优性能配置。

除此之外，还需要考虑到不同行业客户对APP安全的特殊性要求，记者了解到，政府部门、银行客户、游戏客户对安全加密的需求都不同。

郭训平透露，金融类APP，重点关注的是资金安全和用户账号信息安全，这就要用到动态口令技术。此外例如手机银行的APP，其用户账号密码在原则上不能保存至本地，也需要被清理掉。而像新闻媒体类APP，重点考虑的是内容的安全，要求内容不能被篡改。

“从整个市场上看，监管的需求是最大驱动力。在APP上线之前，也需要厂商做大量测试工作，检验是否符合相关部门的监管要求。” 郭训平表示。

如何对暴力破解说NO?

自古“道高一尺魔高一丈”，有加密，自然就会有破解。对于肆虐的黑色产业链而言，一旦将源码破解，就意味着黑客可以对APP做所有的事，这对移动安全防护厂商的重要性也不言而喻。

郭训平将对APP的保护分为几个层面。首先是对源码的保护，虽然大多数厂商都通过深度混淆、加壳技术、VMP技术来保护源码，但是保护的力度并不同。是保护所有的源码，还是保护关键功能的源码，还是源码.SO文件实现双重保护?他以VMP技术为例，这项技术本身比较复杂，破解难度很大，如果源代码有十万行，安全公司对此进行全部保护的话，对性能必然有影响，就需要通过其他技术进行优化，爱加密就可以做到全部保护而不影响APP性能。但有的安全公司技术能力达不到，在不牺牲性能的前提下，只能保护数行代码调用，如只保护用户输入账号密码安全。

“安全保护技术中，密钥的强度非常重要。如何保护自己不被黑客破解，有一个关键的点，就是你的密钥怎么被存储。” 郭训平指出，首先算法不能被黑客拿到，其次算法万一被黑客拿到了，密钥不能被拿到。“如何保护自己，就体现出公司技术实力和成熟度。”

虽然黑产攻击的手段在不断升级，但是移动APP安全防护也在不断演进。在上一代加固产品中，一旦黑客针对某一个APP实现暴力破解，那么意味着所有加固的同类APP都会被攻破。现在加固产品则不同，以爱加密为例，可以做到一户一密钥，一个APP就配有一个密钥，即使黑客攻破了某一个智能手机上的APP，信息泄露也只局限在这一个手机中，不会影响其他使用者，将损失降到最低。

移动APP的安全未来：态势感知

移动应用安全保护的理念正在被越来越多的行业客户所接受，客户的安全防护边界也正在变得越来越广泛。郭训平认为，在未来，移动应用安全态势感知类的解决方案将更受欢迎。

他所言的态势感知与目前安全企业口中的宏观态势感知略有不同。在他看来，宏观分析上的风险分析，对策略的制定有指导作用，但对于具体用户来说作用不大。因为用户最关注的是自身的安全问题能不能解决，如自己的移动应用有没有漏洞，有哪些人在发动网络攻击，能否定位到攻击位置，能否实施有效监控……而针对用户这样的需求，就需要对海量的权威数据进行深度的挖掘，从看似孤立的数据里找到内在的关联。

“要帮用户准确定位的话，在数据里只有移动端的数据是不够的，还需要结合移动应用的爬取、最新漏洞发布的漏洞库，最终汇总到一个分析引擎池中。” 郭训平表示，最终通过爱加密移动风险态势感知平台进行漏洞预警，攻击预警，让研发人员和产品人员了解风险状况、发展趋势、黑客偏好及目的、动机，真正有效地解决用户的安全需求。

采访结束后，记者想到了之前在朋友圈看到一则挺有意思的小故事：商人带两袋大蒜到某地，当地人没见过大蒜，极为喜爱，于是赠商人两袋金子。另一商人听说后，带两袋大葱去，当地人觉得大葱更美味，金子不足表达感情，于是把两袋大蒜给了他。虽是故事，但商场往往如此，得先机者得金子，步后尘者就只能得大蒜!善于走自己的路，才可能走别人没走过的路。爱加密在曾是一片空白的移动安全市场坚持了5年，终于赢来了这个市场的活跃期，记者期待在未来“井喷期”，能够有更安全更高效的移动信息服务为客户带来全新安全体验。

【51CTO原创稿件，合作站点转载请注明原文作者和出处为51CTO.com】