[发明专利]一种安卓第三方推送增强方法、相关设备及系统

说明书

本发明公开了一种安卓第三方推送增强方法、相关设备及系统，采用非对称加密实现对消息的加密以及签名认证；消息发送时会对消息进行签名、加密并经由HTTPS传递；客户端接收消息，对消息解密并验证，同时采用字符串匹配形式对消息的重复性进行检测，性能开销较小；在客户端密钥管理方面，通过so库实现加解密逻辑将非对称加密密钥通过对称加密保存在应用私有存储SharedPreferences中。本发明提供的方法具有较高的安全性，可抵抗一般的消息伪造、消息泄露、消息重放攻击以及第三方推送不受信任问题。

技术领域

本发明属于移动安全技术领域，更具体地，涉及一种安卓第三方推送增强方法、相关设备及系统。

背景技术

推送服务现如今在移动智能终端的应用越来越广泛，推送服务器只需和应用程序客户端维持一个socket连接，开发人员便可通过服务端主动向应用程序客户端发送消息，推送服务被广泛用于发送活动通知、版本更新等消息。在国内，由于Android官方推送GCM(Google cloud messaging)几乎不能使用，各大手机厂商以及第三方服务提供商均提供了免费的推送服务供开发者使用。

推送服务减轻了开发者的负担，然而其在提供便利的同时也引入了一些新的安全问题。目前有学者研究分析了国外云推送服务GCM(Google cloud messaging)、ADM(AmazonDevice Messaging)以及使用了这些云推送的应用在注册以及上传信息和使用PendingIntent时存在的一些问题，但给出解决方案时其对私密信息使用对称加密算法提供保护，同时其未解决消息重放问题。接着集中分析了国内将第三方应用的推送服务(Service)组件作为推送数据的转发中心类型的推送服务在数据转发过程中存在的问题，并提出了采用对称密钥基于加密和HMAC运算的保护方案，对于抗重放攻击，其提出采用数据库保存所有应用id的方法解决，当消息数量累积过多时，这种策略在资源稀缺的手机终端上不大可行。针对如何发现应用在集成第三方推送的过程中是否存在问题，出现了一种基于FlowDroid的能够大规模自动检测集成推送应用安全漏洞的软件Seminal。

综上所述，目前对于安卓第三方推送的安全问题研究较少，且现有的方案均基于对称加密。对于抗重放攻击没有较好的解决措施，当对称加密的密钥一旦由应用程序客户端、云推送服务商、应用程序服务端无意泄露时，整个流程将面临完全被攻陷的境地。同时，现有的解决方案未考虑第三方云推送服务商不可信问题。

发明内容

针对现有技术的以上缺陷或改进需求，本发明的目的在于提供了一种安卓第三方推送增强方法、相关设备及系统，由此解决现有技术中容易遭受消息窃听、伪造、消息重复等攻击以及第三方推送服务不受信任的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种安卓第三方推送增强方法，包括如下步骤：

S1、客户端生成用于加密消息的非对称密钥对RSA_KEYMSG，并将RSA_KEYMSG的私钥通过so库加密后保存到私有SharedPreferences中；

S2、所述客户端通过HTTPS与服务器端通信，向所述服务器端传递RSA_KEYMSG的公钥，以使所述服务器端生成用于消息签名认证的非对称密钥对RSA_KEYSIGN，并将RSA_KEYSIGN的公钥作为应答发送至所述客户端；

S3、所述客户端通过so库将RSA_KEYSIGN的公钥加密保存到私有SharedPreferences中，向云推送服务器发起注册请求；

S4、所述客户端接收由所述云推送服务器转发的消息，解密所述消息并进行消息的完整性验证以及重复性检测，其中，所述消息是由所述服务器端使用RSA_KEYSIGN的私钥对消息内容进行签名，接着使用RSA_KEYMSG的公钥进行加密，然后发送到所述云推送服务器。

优选地，步骤S4具体包括以下子步骤：