[发明专利]Android平台OAuth协议误用安全检测方法

摘要

一种Android平台OAuth协议误用安全检测方法，根据Android平台特性建立覆盖OAuth协议生命周期的安全模型；然后分析不同服务厂商提供的软件开发套件和规范，识别出不同厂商的OAuth实现中的关键敏感参数，提取敏感参数生成配置文件用于Android应用分析；再分别进行静态代码分析、动态流量分析以检测应用实现与规范的不一致性、SSL实现正确性以及服务器端的实现正确性。本发明能够全面分析Android应用中OAuth协议的误用和潜在风险，基于一个覆盖OAuth协议生命周期的安全模型，系统化地对应用使用OAuth协议进行认证或授权的流程进行分析，识别潜在的不正确实现。同时，本方案的安全模型可以为服务厂商的SDK实现及应用开发者的OAuth实现提供安全指导，帮助开发者在Android应用正确实现OAuth协议。

主权项

一种Android平台OAuth协议误用安全检测方法，其特征在于，包括以下步骤：步骤1、根据Android平台特性建立覆盖OAuth协议生命周期的安全模型；步骤2、分析不同服务厂商提供的软件开发套件和规范，识别出不同厂商的OAuth实现中的关键敏感参数，提取敏感参数生成配置文件用于Android应用分析；步骤3、静态代码分析，识别出它支持的OAuth服务提供商，OAuth协议实现类型，硬编码字符串；步骤4、动态流量分析，提取应用所使用的关键参数，与步骤2中的配置文件匹配，检测应用实现与规范的不一致性；对网络通信进行各种SSL攻击测试，检测应用的SSL实现正确性；对包含关键参数的请求和响应进行修改和重放，检测应用服务器端的实现正确性；所述的安全模型包括：攻击假设、攻击者类型、威胁模型，其中：攻击者类型包括：网络攻击者、恶意第三方app、恶意消费者app、逆向攻击者、恶意服务厂商app或其组合；威胁模型包括：a、登录阶段：恶意消费者app获取用户登录凭据、恶意服务厂商app获取用户登录凭据、网络攻击者窃听用户登录凭据或其组合；b、授权阶段：恶意消费者app修改授权接口、恶意第三方app从服务厂商app骗取OAuth认证凭据、针对redirect_uri参数的跨站请求伪造攻击、网络攻击者窃听认证码或者资源访问令牌、逆向攻击者获取消费者app的应用密码、恶意第三方app从Android手机本地文件系统中获取app的应用密码或OAuth凭据或其组合；c、资源访问阶段：重放已授权资源访问请求、网络攻击者窃听消费者服务器认证用户身份的认证凭据或其组合。