一种移动应用安全增强授权与认证的方法
【专利说明】
[0001]
技术领域: 本发明涉及移动应用安全领域,尤其涉及一种移动应用安全增强授权与认证的方法。
[0002]
【背景技术】: 在现实生活中,个人的身份主要通过各种证件来确认,比如:身份证,户口本等。计算机 的各种系统资源,比如文件,数据库和应用系统,也都有密码保护机制。终端应用也同样需 要授权和认证机制的保护,从而确保这些资源可以接入到合法的网络中来。
[0003] 基于Android系统开发的终端应用,数字证书文件目下的签名文件是标识终端应 用和终端应用所有者之间的关系,并不能决定哪些应用可以接入到工作网络中来,哪些应 用可以安装,哪些应用可以启动,它最初的存在只是用来让安装包进行自我认证。对于终端 应用接入到专有网络中的认证办法随着安全级别的提高也在不断的进行升级和改进。目 前,管理者通常会使用单一的属性信息来对终端应用进行安全认证(如:包名,签名文件)。 这种授权和认证办法是在终端应用接入或者安装时,客户端向服务端发送单一属性信息来 进行终端应用的合法性身份验证。总之,现存对于终端应用的授权和认证方法都存在缺陷, 难以有效的预防第三方的攻击。
[0004] 在实现本发明的过程中,发明人发现现有对移动应用授权和认证的方法至少存在 如下问题: 1、 移动应用的属性信息是相对固定的,如:包名或者是签名文件,移动应用一旦被开发 者开发出来,这些信息在很长的时间内都不会更改,造成移动应用的属性信息很容易外泄 或被盗取; 2、 移动应用的属性信息在网络上传输的过程中,由于缺乏对数据的访问控制策略,存 在很多不安全的隐患,对直接采用移动应用属性信息或人员身份信息进行验证的攻击方式 常用的有网络数据流窃听,信息截取等; 3、 传统直接采用移动应用的属性信息和人员身份信息进行认证的方法除了会产生上 述所说的数据流窃听和信息截取等不安全因素外,大量的、未经过处理的原始信息在网络 上的传输,也会给网络流量带来巨大压力,造成通讯的不流畅,严重的可能导致网络中断; 4、 由于缺乏对移动应用本身的安全策略控制,和基于Android开发的应用本身就容易 被破解的特点,传统流程化的授权认证方式大部分都是独立在移动应用之外的行政审核, 并没有深入到对移动应用本身的授权层面,因此对于移动应用的授权环节本身就存在着安 全隐患,导致传统的对于移动应用的合法性验证和授权的强度已经不能满足现有在移动办 公的要求,特别是对于具有涉密级别的政府移动应用和企业移动应用; 5、 移动应用发布成功后也会产生被篡改的可能,如被嵌入恶意代码,但是目前对于已 成功发布的移动应用无论从安装上还是启动上都没有做任何的限制和安全保护措施,容易 造成安全隐患,从而被不法分子所利用;
【发明内容】
: 本发明实施例提供一种移动应用安全增强授权与认证的方法,通过生成预授权码对移 动应用进行安全增强授权,并且在对移动应用进行发布和安装时,通过安全增强认证码进 行一致性验证,本
【发明内容】
提升了移动应用访问和使用的安全性。
[0005] 根据本发明的第一方面提供的一种移动应用安全增强授权与认证方法,用于对移 动应用的安全增强授权与认证,其特征在于,包括:(具体步骤请参看图6) 注册步骤,在该步骤中,通过服务器发布系统存储移动应用基本信息来完成移动应用 在服务器端的注册;所述的移动应用基本信息包含移动应用所有者信息和移动应用的属性 信息; 预授权步骤,在该步骤中,服务器发布系统利用移动应用基本信息通过特殊算法生成 预授权码,移动应用将预授权码嵌入到移动应用程序中,并且服务器将预授权码保存在本 地数据库中; 增强发布授权步骤,在该步骤中,移动应用上传时,发布系统验证自身存储的预授权码 和基本信息与自动检测到的移动应用中的预授权码和基本信息是否一致,若验证通过则移 动应用发布成功,发布系统生成该应用的唯一发布码,并联合采集到的移动应用特征信息、 预授权码,按照特殊算法生成安全增强认证码,并保存在服务器本地数据库中;所述的移动 应用特征信息是嵌入预授权码后的移动应用属性信息;所述的发布码是由发布系统生成的 为每一个成功发布的应用唯一生成的授权发布标识; 可信安装步骤,在该步骤中,由移动终端的认证系统采集下载完成的移动应用的预授 权码、特征信息和发布码,按照与发布系统相同的计算方法生成安全增强认证码,将移动终 端认证系统生成的安全增强认证码与发布系统中生成的安全增强认证码进行一致性验证, 若验证通过,则该移动应用可进行安装,否则删除或阻止移动应用的安装;以及, 可信启动步骤,在该步骤中,移动应用在启动时,由移动终端的认证系统验证该移动应 用的预授权码与发布系统中生成的预授权码进行一致性验证,若验证通过,则该移动应用 可进行启动; 根据本发明的第二方面的提供一种移动应用安全增强授权与认证方法,其特征在于, 所述的注册步骤包括服务器发布系统对移动应用基本信息的注册,其中移动应用基本信息 包含移动应用所有者的信息和移动应用的属性信息,优选的,移动应用基本信息可以包括 移动应用所属开发者名称、联系人、联系电话等,移动应用的属性信息可以包括移动应用包 名、签名文件、版本号等; 根据本发明的第三方面提供一种移动应用安全增强授权与认证方法,其特征在于,移 动应用预授权过程,包括,发布系统利用移动应用基本信息通过特殊计算方法生成预授权 码,预授权码可采用在线或离线的方式嵌入到移动应用中,嵌入的位置和方式要可以并仅 可以被发布系统和移动终端的认证系统所读取; 根据本发明的第四方面提供一种移动应用安全增强授权与认证方法,其特征在于,预 授权应用的安全增强发布方式,包括:在任何一个移动应用通过发布系统进行发布时,都要 对上传的应用进行可信检测,一方面检测预授权码是否存在,另一方面检测预授权码与移 动应用的基本信息是否匹配,两项检测通过后,才能通过发布系统发布出去; 根据本发明的第五方面提供一种移动应用安全增强授权与认证方法,其特征在于,所 述的移动应用的安全增强认证码的生成方式,包括:对每个通过发布系统发布成功的移动 应用生成一个唯一的发布码,并联合发布系统采集到的移动应用的特征信息、预授权码生 成安全增强认证码,保存在服务器本地数据库中;所述的移动应用特征信息是嵌入预授权 码后的移动应用属性信息,移动应用特征信息优选为移动应用程序大小、签名文件、打包时 间;所述的移动应用发布码是发布系统为每一个成功发布的应用唯一生成的授权发布标 识; 根据本发明的第六方面提供一种移动应用安全增强授权与认证方法,其特征在于,所 述的可信安装步骤,包括,在移动终端的认证系统中,采集下载完成的移动应用的预授权 码、特征信息、发布码,按照与发布系统相同的算法生成的安全增强认证码,将移动终端认 证系统中生成的安全增强认证码与发布系统中生成的安全增强认证码进行一致性验证,若 验证通过,则该移动应用可进行安装,其中,验证过程可以是通过在线的方式将预授权码、 特征信息提交到发布系统中进行一致性验证,也可以将预授权码、发布码和安全增强认证 码在移动应用下载时同步到移动终端的认证系统中进行离线认证; 根据本发明的第七方面提供一种移动应用安全增强授权与认证方法,其特征在于,移 动应用启动时的可信认证方式,包括:移动应用在启动时,可以是通过在线的方式将采集到 的预授权码提交到发布系统中进行一致性验证,也可以将预授权码同步到移动终端的认证 系统中进行离线认证; 根据本发明的第八方面提供一种移动应用安全增强授权与认证方法,其特征在于,移 动应用的