[发明专利]一种移动应用安全增强授权与认证的方法

说明书

技术领域：

本发明涉及移动应用安全领域，尤其涉及一种移动应用安全增强授权与认证的方法。

背景技术：

在现实生活中，个人的身份主要通过各种证件来确认，比如：身份证，户口本等。计算机的各种系统资源，比如文件，数据库和应用系统，也都有密码保护机制。终端应用也同样需要授权和认证机制的保护，从而确保这些资源可以接入到合法的网络中来。

基于Android系统开发的终端应用，数字证书文件目下的签名文件是标识终端应用和终端应用所有者之间的关系，并不能决定哪些应用可以接入到工作网络中来，哪些应用可以安装，哪些应用可以启动，它最初的存在只是用来让安装包进行自我认证。对于终端应用接入到专有网络中的认证办法随着安全级别的提高也在不断的进行升级和改进。目前，管理者通常会使用单一的属性信息来对终端应用进行安全认证（如：包名，签名文件）。这种授权和认证办法是在终端应用接入或者安装时，客户端向服务端发送单一属性信息来进行终端应用的合法性身份验证。总之，现存对于终端应用的授权和认证方法都存在缺陷，难以有效的预防第三方的攻击。

在实现本发明的过程中，发明人发现现有对移动应用授权和认证的方法至少存在如下问题：

1、移动应用的属性信息是相对固定的，如：包名或者是签名文件，移动应用一旦被开发者开发出来，这些信息在很长的时间内都不会更改，造成移动应用的属性信息很容易外泄或被盗取；

2、移动应用的属性信息在网络上传输的过程中，由于缺乏对数据的访问控制策略，存在很多不安全的隐患，对直接采用移动应用属性信息或人员身份信息进行验证的攻击方式常用的有网络数据流窃听，信息截取等；

3、传统直接采用移动应用的属性信息和人员身份信息进行认证的方法除了会产生上述所说的数据流窃听和信息截取等不安全因素外，大量的、未经过处理的原始信息在网络上的传输，也会给网络流量带来巨大压力，造成通讯的不流畅，严重的可能导致网络中断；

4、由于缺乏对移动应用本身的安全策略控制，和基于Android开发的应用本身就容易被破解的特点，传统流程化的授权认证方式大部分都是独立在移动应用之外的行政审核，并没有深入到对移动应用本身的授权层面，因此对于移动应用的授权环节本身就存在着安全隐患，导致传统的对于移动应用的合法性验证和授权的强度已经不能满足现有在移动办公的要求，特别是对于具有涉密级别的政府移动应用和企业移动应用；

5、移动应用发布成功后也会产生被篡改的可能，如被嵌入恶意代码，但是目前对于已成功发布的移动应用无论从安装上还是启动上都没有做任何的限制和安全保护措施，容易造成安全隐患，从而被不法分子所利用；

发明内容：

本发明实施例提供一种移动应用安全增强授权与认证的方法，通过生成预授权码对移动应用进行安全增强授权，并且在对移动应用进行发布和安装时，通过安全增强认证码进行一致性验证，本发明内容提升了移动应用访问和使用的安全性。

根据本发明的第一方面提供的一种移动应用安全增强授权与认证方法，用于对移动应用的安全增强授权与认证，其特征在于，包括：（具体步骤请参看图6）

注册步骤，在该步骤中，通过服务器发布系统存储移动应用基本信息来完成移动应用在服务器端的注册；所述的移动应用基本信息包含移动应用所有者信息和移动应用的属性信息；

预授权步骤，在该步骤中，服务器发布系统利用移动应用基本信息通过哈希算法生成预授权码，移动应用将预授权码嵌入到移动应用程序中，并且服务器将预授权码保存在本地数据库中；

增强发布授权步骤，在该步骤中，移动应用上传时，发布系统验证自身存储的预授权码和基本信息与自动检测到的移动应用中的预授权码和基本信息是否一致，若验证通过则移动应用发布成功，发布系统生成该应用的唯一发布码，并联合采集到的移动应用特征信息、预授权码，按照哈希算法生成安全增强认证码，并保存在服务器本地数据库中；所述的移动应用特征信息是嵌入预授权码后的移动应用属性信息；所述的发布码是由发布系统生成的为每一个成功发布的应用唯一生成的授权发布标识；

可信安装步骤，在该步骤中，由移动终端的认证系统采集下载完成的移动应用的预授权码、特征信息和发布码，按照与发布系统相同的计算方法生成安全增强认证码，将移动终端认证系统生成的安全增强认证码与发布系统中生成的安全增强认证码进行一致性验证，若验证通过，则该移动应用可进行安装，否则删除或阻止移动应用的安装；以及，