Android平臺(tái)OAuth協(xié)議誤用安全檢測(cè)方法

基本信息

申請(qǐng)?zhí)?/td> CN201510235772.8 申請(qǐng)日 -
公開(kāi)(公告)號(hào) CN104837159A 公開(kāi)(公告)日 2015-08-12
申請(qǐng)公布號(hào) CN104837159A 申請(qǐng)公布日 2015-08-12
分類(lèi)號(hào) H04W24/06(2009.01)I 分類(lèi) 電通信技術(shù);
發(fā)明人 張媛媛;王暉;李卷孺;李博棟;束駿亮 申請(qǐng)(專(zhuān)利權(quán))人 上海交通大學(xué)中原研究院
代理機(jī)構(gòu) 上海交達(dá)專(zhuān)利事務(wù)所 代理人 王毓理;王錫麟
地址 200240 上海市閔行區(qū)東川路800號(hào)
法律狀態(tài) -

摘要

摘要 一種Android平臺(tái)OAuth協(xié)議誤用安全檢測(cè)方法,根據(jù)Android平臺(tái)特性建立覆蓋OAuth協(xié)議生命周期的安全模型;然后分析不同服務(wù)廠商提供的軟件開(kāi)發(fā)套件和規(guī)范,識(shí)別出不同廠商的OAuth實(shí)現(xiàn)中的關(guān)鍵敏感參數(shù),提取敏感參數(shù)生成配置文件用于Android應(yīng)用分析;再分別進(jìn)行靜態(tài)代碼分析、動(dòng)態(tài)流量分析以檢測(cè)應(yīng)用實(shí)現(xiàn)與規(guī)范的不一致性、SSL實(shí)現(xiàn)正確性以及服務(wù)器端的實(shí)現(xiàn)正確性。本發(fā)明能夠全面分析Android應(yīng)用中OAuth協(xié)議的誤用和潛在風(fēng)險(xiǎn),基于一個(gè)覆蓋OAuth協(xié)議生命周期的安全模型,系統(tǒng)化地對(duì)應(yīng)用使用OAuth協(xié)議進(jìn)行認(rèn)證或授權(quán)的流程進(jìn)行分析,識(shí)別潛在的不正確實(shí)現(xiàn)。同時(shí),本方案的安全模型可以為服務(wù)廠商的SDK實(shí)現(xiàn)及應(yīng)用開(kāi)發(fā)者的OAuth實(shí)現(xiàn)提供安全指導(dǎo),幫助開(kāi)發(fā)者在Android應(yīng)用正確實(shí)現(xiàn)OAuth協(xié)議。