Android平台OAuth协议误用安全检测方法
基本信息
| 申请号 | CN201510235772.8 | 申请日 | - |
| 公开(公告)号 | CN104837159A | 公开(公告)日 | 2015-08-12 |
| 申请公布号 | CN104837159A | 申请公布日 | 2015-08-12 |
| 分类号 | H04W24/06(2009.01)I | 分类 | 电通信技术; |
| 发明人 | 张媛媛;王晖;李卷孺;李博栋;束骏亮 | 申请(专利权)人 | 上海交通大学中原研究院 |
| 代理机构 | 上海交达专利事务所 | 代理人 | 王毓理;王锡麟 |
| 地址 | 200240 上海市闵行区东川路800号 | ||
| 法律状态 | - | ||
摘要
| 摘要 | 一种Android平台OAuth协议误用安全检测方法,根据Android平台特性建立覆盖OAuth协议生命周期的安全模型;然后分析不同服务厂商提供的软件开发套件和规范,识别出不同厂商的OAuth实现中的关键敏感参数,提取敏感参数生成配置文件用于Android应用分析;再分别进行静态代码分析、动态流量分析以检测应用实现与规范的不一致性、SSL实现正确性以及服务器端的实现正确性。本发明能够全面分析Android应用中OAuth协议的误用和潜在风险,基于一个覆盖OAuth协议生命周期的安全模型,系统化地对应用使用OAuth协议进行认证或授权的流程进行分析,识别潜在的不正确实现。同时,本方案的安全模型可以为服务厂商的SDK实现及应用开发者的OAuth实现提供安全指导,帮助开发者在Android应用正确实现OAuth协议。 |
