[发明专利]Android应用程序密码学误用检测方法有效
| 申请号: | 201410781215.1 | 申请日: | 2014-12-16 |
| 公开(公告)号: | CN104484175B | 公开(公告)日: | 2017-11-28 |
| 发明(设计)人: | 张媛媛;束骏亮;杨文博;李卷孺;谷大武 | 申请(专利权)人: | 上海交通大学;上海交通大学中原研究院 |
| 主分类号: | G06F9/44 | 分类号: | G06F9/44;G06F21/60 |
| 代理公司: | 上海交达专利事务所31201 | 代理人: | 王毓理,王锡麟 |
| 地址: | 200240 *** | 国省代码: | 上海;31 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 一种Android应用程序密码学误用检测方法,对待检测应用程序进行反编译并生成代码库;然后在代码库中查找与密码学算法相关的代码段;再将和密码算法相关的代码段从原程序中剥离出来,得到完整的密码算法实现过程代码;最后对第三步得到的每一个密码学算法实现代码段进行数据抽象和过程建模处理,并通过模式匹配和事先指定的密码算法实现准则进行逐条比较,将不符合实现准则的条目输出并汇总形成安全分析结果。本发明能够通过对Android应用程序的静态分析,自动化的判断应用程序中所使用的密码算法种类,自动提取密码算法相关代码片段,对代码段进行安全分析,发现密码算法实现过程中存在问题的环节,最终得到应用程序密码学误用安全分析结果。 | ||
| 搜索关键词: | android 应用程序 密码学 误用 检测 方法 | ||
【主权项】:
一种Android应用程序密码学误用检测方法,其特征在于,包括:第一步、对待检测应用程序进行反编译并生成代码库;第二步、在代码库中查找与密码算法相关的代码段;第三步、将和密码算法相关的代码段从原程序中剥离出来,得到完整的密码算法实现过程代码;第四步、对第三步得到的每一个密码算法实现代码段进行数据抽象和过程建模处理,并通过模式匹配和事先指定的密码算法实现准则进行逐条比较,将不符合实现准则的条目输出并汇总形成安全分析结果;所述的第四步具体包括:4.1使用程序分析技术或关键字匹配技术识别代码段所使用的密码算法、分组模式,之后进行第一次的密码学误用存在性判断,针对识别出的密码算法和分组模式,比对密码学误用规则库,判断是否存在密码学误用的情况,作为结果汇总到最终的安全分析结果;4.2在获得代码段所使用的密码算法、分组模式的基础上,根据不同密码算法和分组模式的特点,定位密码算法实现过程中的关键数据;4.3对定位到的关键数据使用程序切片技术,获得与该关键数据的初始化、复制过程相关的代码段,进行第二次的密码学误用存在性判断,通过对代码段的分析,判断该关键数据相关的代码段是否存在密码误用的情况,作为结果汇总到最终的安全分析结果;4.4汇总第一次和第二次密码学误用存在性判断的结果,生成待检测应用程序的密码学误用安全分析结果。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于上海交通大学;上海交通大学中原研究院,未经上海交通大学;上海交通大学中原研究院许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201410781215.1/,转载请声明来源钻瓜专利网。
