Please wait a minute...
 首页  期刊介绍 期刊订阅 联系我们 横山亮次奖 百年刊庆
 
最新录用  |  预出版  |  当期目录  |  过刊浏览  |  阅读排行  |  下载排行  |  引用排行  |  横山亮次奖  |  百年刊庆
清华大学学报(自然科学版)  2017, Vol. 57 Issue (9): 897-902    DOI: 10.16511/j.cnki.qhdxxb.2017.26.037
  计算机科学与技术 本期目录 | 过刊浏览 | 高级检索 |
开源智能终端认证漏洞挖掘及登录认证改进
刘武1, 王永科2, 孙东红1, 任萍3, 刘柯4
1. 清华大学 网络科学与网络空间研究院, 北京 100084;
2. 中国科学院 信息工程研究所, 北京 100093;
3. 重庆师范大学 数学学院, 重庆 400047;
4. 中信银行 清华科技园支行, 北京 100084
Login authentication vulnerability mining and improved login authentication method based on an open source intelligent terminal
LIU Wu1, WANG Yongke2, SUN Donghong1, REN Ping3, LIU Ke4
1. Institute of Network Science and Network Space, Tsinghua University, Beijing 100084, China;
2. Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China;
3. College of Mathematics Science, Chongqing Normal University, Chongqing 400047, China;
4. China Citic Bank Branch of Tsinghua Science and Technology Park, Beijing 100084, China
全文: PDF(1098 KB)  
输出: BibTeX | EndNote (RIS)      
摘要 开源智能终端占智能终端市场的绝对优势,基于开源智能终端的应用层出不穷,但与此同时,其安全隐患也一样触目惊心。该文以典型社交网络APP登录认证为例,通过逆向分析当今市场上的主流Android应用,分析登录认证实现过程的机理,对登录认证机制进行安全性评估,挖掘基于现有认证机制的安全漏洞,并针对所发现的安全问题提出了登录认证机制改进方案,总结出一套安全实用的登录认证实践方案,有效提高移动智能终端系统的安全性。
服务
把本文推荐给朋友
加入引用管理器
E-mail Alert
RSS
作者相关文章
刘武
王永科
孙东红
任萍
刘柯
关键词 计算机网络登录认证机制安全漏洞网络安全智能终端移动互联网    
Abstract:Open source intelligent terminals have many advantages in intelligent smart phones with endless applications of intelligent terminals based on open source codes. However, there are also many security risks for applications using intelligent terminals. This study analyzes the login authentication of a mainstream Android application in today's market by reverse analysis. The security flaws for current login authentication mechanisms are evaluated to discover potential security vulnerabilities in intelligent terminal devices. An improved for login authentication scheme is then given which effectively improves the security of intelligent terminal systems.
Key wordscomputer networks    login authentication mechanism    security vulnerabilities    network security    intelligent terminal devices    mobile Internet
收稿日期: 2016-06-18      出版日期: 2017-09-15
ZTFLH:  TP393.0  
引用本文:   
刘武, 王永科, 孙东红, 任萍, 刘柯. 开源智能终端认证漏洞挖掘及登录认证改进[J]. 清华大学学报(自然科学版), 2017, 57(9): 897-902.
LIU Wu, WANG Yongke, SUN Donghong, REN Ping, LIU Ke. Login authentication vulnerability mining and improved login authentication method based on an open source intelligent terminal. Journal of Tsinghua University(Science and Technology), 2017, 57(9): 897-902.
链接本文:  
http://jst.tsinghuajournals.com/CN/10.16511/j.cnki.qhdxxb.2017.26.037  或          http://jst.tsinghuajournals.com/CN/Y2017/V57/I9/897
  图1 OAuth登录认证过程
  图2 返回信息
  图3 构造Intent对象
  图4 恶意应用注入恶意代码
  图5 利用访问令牌获取用户信息
  图6 OAuth登录服务改进方案
  图7 OAuth2.0授权码模式改进
  图8 OAuth2.0简化模式改进
[1] 中国互联网络信息中心. 中国互联网络发展状况统计报告.. http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201701/P020170123364672657408.pdf. China Internet Network Information Center. China Internet Development Statistics Report.. http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201701/P020170123364672657408.pdf. (in Chinese)
[2] Strategy Analytics Company. Wireless Smartphone Strategies.. http://www.strategya-nalytics.com/default.aspx?mod=saservice&a0=91&m=5#1.
[3] 张一文, 雷友珣. Android"碎片化" 问题的适配方案的分析与应用[J]. 软件, 2015, 36(12):180-183.Zhang Y W, Lei Y X. An analysis and application for adaptation solutions of Android fragmentation[J]. Computer Engineering & Software, 2015, 36(12):180-183. (in Chinese)
[4] Yuan Z, Lu Y, Xue Y. Droid detector:Android malware characterization and detection using deep learning[J]. Tsinghua Science & Technology, 2016, 21(1):114-123.
[5] Feizoliah A, Anuarn B, Salleh R, et al. A review on feature selection in mobile malware detection[J]. Digital Investigation, 2015, 6(13):22-37.
[6] Yang X L. Malicious detection based on reliefF and boosting multidimensional features[J]. Journal of Communications, 2015, 10(11):910-917.
[7] IETF OAuth Work Group. OAuth Protocol.. http://oauth.net/.
[8] 陈伟, 杨伊彤, 牛乐园. 改进的OAuth 2.0协议及其安全性分析[J]. 计算机系统应用, 2014, 23(3):25-30.Chen W, Yang Y T, Niu L Y. Improved OAuth 2.0 protocol and analysis of its security[J]. Computer Systems and Applications, 2014, 23(3):25-30. (in Chinese)
[9] Schneier B. Two-factor authentication:Too little, too late[J]. Communications of the ACM, 2005, 48(4):136.
[10] Shehab M, Marouf S. Recommendation models for open authorization[J]. Dependable and Secure Computing, 2012, 9(4):583-596.
[11] Wang R, Zhou Y, Chen S, et al. Explicating SDKs:Uncovering assumptions underlying secure authentication and authorization[C]//Proceedings of the 22nd USENIX Conference on Security (SEC 2013). Berkeley, CA, USA:ACM, 2013:399-414.
[12] IETF OAuth Work Group. The OAuth 2.0 Authorization Framework.. https://tools.ietf.org/html/rfc6749#page-61.
[13] Chen E, Pei Y, Chen S, et al. OAuth demystified for mobile application developers[C]//Proceedings of the ACM Conference on Computer and Communications Security (CCS 2014). Scottsdale, AZ, USA:ACM, 2014:892-903.
[14] 王焕孝, 顾纯祥, 郑永辉. 开放授权协议OAuth2.0的安全性形式化分析[J]. 信息工程大学学报, 2014, 15(2):141-147.Wang H X, Guo C X, Zheng Y H. Formal security analysis of OAuth2.0 authorization protocol[J]. Journal of Information Engineering University, 2014, 15(2):141-147. (in Chinese)
[15] Mariantonietta L P, Febio M, Daniele S. A survey on security for mobile devices[J]. IEEE Communications Surveys & Tutorials, 2013, 15(1):446-471.
[16] William E, Machigar O, Patrick M. Understanding Android security[J]. IEEE Security and Privacy, 2009, 7(1):50-57.
[17] Asaf S, Yuval F, Uri K, et al. Google Android:A comprehensive security assessment[J]. IEEE Security and Privacy, 2010, 8(2):35-44.
[18] Zhang Y, Fang J, Wang K, et al. Overview of Android security vulnerabilities mining technology[J]. Computer Research and Development, 2015, 52(10):2167-2177.
[19] Enck W, Ongtang M, Mcdaniel P. Understanding Android security[J]. IEEE Security and Privacy, 2009, 7(1):50-57.
[1] 平国楼, 曾婷玉, 叶晓俊. 基于评分迭代的无监督网络流量异常检测[J]. 清华大学学报(自然科学版), 2022, 62(5): 819-824.
[2] 贾凡, 严妍, 袁开国, 赵璐婧. 5G网络认证及密钥协商协议的安全性分析[J]. 清华大学学报(自然科学版), 2021, 61(11): 1260-1266.
[3] 赵小林, 姜筱奕, 赵晶晶, 徐浩, 郭煚. 基于微分流形的网络攻防效用度量方法[J]. 清华大学学报(自然科学版), 2020, 60(5): 380-385.
[4] 耿海军, 刘洁琦, 尹霞. 基于段路由的单节点故障路由保护算法[J]. 清华大学学报(自然科学版), 2018, 58(8): 710-714.
[5] 苏辉, 谭崎, 赵乙, 徐恪. 移动补贴市场运营商定价策略与收益分配[J]. 清华大学学报(自然科学版), 2018, 58(1): 8-13.
[6] 陈宇, 王娜, 王晋东. 利用三角模糊数的语言变量项集减项算法[J]. 清华大学学报(自然科学版), 2017, 57(8): 892-896.
[7] 董国伟, 王眉林, 邵帅, 朱龙华. 基于特征匹配的Android应用漏洞分析框架[J]. 清华大学学报(自然科学版), 2016, 56(5): 461-467.
[8] 开毅,卢建元,刘斌. 基于分组处理能力共享的低功耗路由器体系结构[J]. 清华大学学报(自然科学版), 2014, 54(4): 485-489.
Viewed
Full text


Abstract

Cited

  Shared   
  Discussed   
版权所有 © 《清华大学学报(自然科学版)》编辑部
本系统由北京玛格泰克科技发展有限公司设计开发 技术支持:support@magtech.com.cn