Android平臺OAuth協(xié)議誤用安全檢測方法

基本信息

申請?zhí)?/td> CN201510235772.8 申請日 -
公開(公告)號 CN104837159B 公開(公告)日 2018-01-30
申請公布號 CN104837159B 申請公布日 2018-01-30
分類號 H04W24/06 分類 電通信技術;
發(fā)明人 張媛媛;王暉;李卷孺;李博棟;束駿亮 申請(專利權)人 上海交通大學中原研究院
代理機構(gòu) 上海交達專利事務所 代理人 王毓理;王錫麟
地址 200240 上海市閔行區(qū)東川路800號
法律狀態(tài) -

摘要

摘要 一種Android平臺OAuth協(xié)議誤用安全檢測方法,根據(jù)Android平臺特性建立覆蓋OAuth協(xié)議生命周期的安全模型;然后分析不同服務廠商提供的軟件開發(fā)套件和規(guī)范,識別出不同廠商的OAuth實現(xiàn)中的關鍵敏感參數(shù),提取敏感參數(shù)生成配置文件用于Android應用分析;再分別進行靜態(tài)代碼分析、動態(tài)流量分析以檢測應用實現(xiàn)與規(guī)范的不一致性、SSL實現(xiàn)正確性以及服務器端的實現(xiàn)正確性。本發(fā)明能夠全面分析Android應用中OAuth協(xié)議的誤用和潛在風險,基于一個覆蓋OAuth協(xié)議生命周期的安全模型,系統(tǒng)化地對應用使用OAuth協(xié)議進行認證或授權的流程進行分析,識別潛在的不正確實現(xiàn)。同時,本方案的安全模型可以為服務廠商的SDK實現(xiàn)及應用開發(fā)者的OAuth實現(xiàn)提供安全指導,幫助開發(fā)者在Android應用正確實現(xiàn)OAuth協(xié)議。