发明名称 | Android平台OAuth协议误用安全检测方法 | ||
摘要 | 一种Android平台OAuth协议误用安全检测方法,根据Android平台特性建立覆盖OAuth协议生命周期的安全模型;然后分析不同服务厂商提供的软件开发套件和规范,识别出不同厂商的OAuth实现中的关键敏感参数,提取敏感参数生成配置文件用于Android应用分析;再分别进行静态代码分析、动态流量分析以检测应用实现与规范的不一致性、SSL实现正确性以及服务器端的实现正确性。本发明能够全面分析Android应用中OAuth协议的误用和潜在风险,基于一个覆盖OAuth协议生命周期的安全模型,系统化地对应用使用OAuth协议进行认证或授权的流程进行分析,识别潜在的不正确实现。同时,本方案的安全模型可以为服务厂商的SDK实现及应用开发者的OAuth实现提供安全指导,帮助开发者在Android应用正确实现OAuth协议。 | ||
申请公布号 | CN104837159A | 申请公布日期 | 2015.08.12 |
申请号 | CN201510235772.8 | 申请日期 | 2015.05.11 |
申请人 | 上海交通大学;上海交通大学中原研究院 | 发明人 | 张媛媛;王晖;李卷孺;李博栋;束骏亮 |
分类号 | H04W24/06(2009.01)I | 主分类号 | H04W24/06(2009.01)I |
代理机构 | 上海交达专利事务所 31201 | 代理人 | 王毓理;王锡麟 |
主权项 | 一种Android平台OAuth协议误用安全检测方法,其特征在于,包括以下步骤:步骤1、根据Android平台特性建立覆盖OAuth协议生命周期的安全模型;步骤2、分析不同服务厂商提供的软件开发套件和规范,识别出不同厂商的OAuth实现中的关键敏感参数,提取敏感参数生成配置文件用于Android应用分析;步骤3、静态代码分析,识别出它支持的OAuth服务提供商,OAuth协议实现类型,硬编码字符串;步骤4、动态流量分析,提取应用所使用的关键参数,与步骤2)中的配置文件匹配,检测应用实现与规范的不一致性;对网络通信进行各种SSL攻击测试,检测应用的SSL实现正确性;对包含关键参数的请求和响应进行修改和重放,检测应用服务器端的实现正确性。 | ||
地址 | 200240 上海市闵行区东川路800号 |