一种安卓系统应用程序的密码算法测评方法及装置制造方法及图纸

本发明专利技术实施例公开了一种安卓系统应用程序的密码算法测评方法及装置，其中该测评方法包括：使用目标框架服务获取安卓系统的目标应用程序对应的目标密码算法，其中在安卓系统预先安装了目标框架服务，且目标框架服务可在不修改安卓系统安装包文件的情况下影响程序运行；使用目标钩子获取目标密码算法对应的目标测评数据，并将目标测评数据写入目标文件中，其中目标钩子可截获或监控传输过程中的数据；对写入目标文件中的目标测评数据对应的风险等级进行测评，得到目标密码算法对应的目标密码算法测评结果。本发明专利技术可避免开发者在使用密码技术对数据加密后的存储或传输中产生安全漏洞，使开发者可以正确的运用密码技术对数据进行加密等操作。进行加密等操作。进行加密等操作。

【技术实现步骤摘要】
一种安卓系统应用程序的密码算法测评方法及装置


[0001]本专利技术涉及密码算法测评的
，尤其涉及一种安卓系统应用程序的密码算法测评方法及装置。

技术介绍

[0002]目前，根据信息安全技术和信息系统密码应用的国标（例如GB/T 39786
‑
2021）要求，应该采用密码技术保证信息系统中数据存储和传输过程中的机密性、完整性、真实性和不可否认性。因此，APP（应用程序）的开发者为了保证Android（安卓）系统APP数据的机密性和完整性，需要使用密码技术对数据加密后存储或传输。但是如果APP开发者对密码应用缺乏技能和经验，不了解密码算法的类型以及错误地调用密码技术，就会不可避免地产生安全漏洞。常见的错误案例种类很多，例如采用存在安全问题或安全强度不足的密码算法、使用固定值而不是随机数作为加密算法初始向量和密码算法的密钥不具有随机性等。如何在使用密码技术对数据加密后的存储或传输中避免产生安全漏洞，成为亟待解决的问题。

技术实现思路

[0003]基于此，有必要针对上述问题，提出一种安卓系统应用程序的密码算法测评方法及装置，以解决现有技术的以下问题：APP开发者对密码应用缺乏技能和经验，不了解密码算法的类型以及错误地调用密码技术，导致产生很多安全漏洞。
[0004]本专利技术实施例的第一技术方案为：一种安卓系统应用程序的密码算法测评方法，其包括：使用目标框架服务获取安卓系统的目标应用程序对应的目标密码算法，其中在安卓系统预先安装了所述目标框架服务，且所述目标框架服务可在不修改安卓系统安装包文件的情况下影响程序运行；使用目标钩子获取所述目标密码算法对应的目标测评数据，并将所述目标测评数据写入目标文件中，其中所述目标钩子可截获或监控传输过程中的数据，且不同的所述目标密码算法对应的所述目标测评数据不同；对写入所述目标文件中的所述目标测评数据对应的风险等级进行测评，得到所述目标密码算法对应的目标密码算法测评结果。
[0005]本专利技术实施例的第二技术方案为：一种安卓系统应用程序的密码算法测评装置，其包括：算法获取模块，用于使用目标框架服务获取安卓系统的目标应用程序对应的目标密码算法，其中在安卓系统预先安装了所述目标框架服务，且所述目标框架服务可在不修改安卓系统安装包文件的情况下影响程序运行；数据获取模块，用于使用目标钩子获取所述目标密码算法对应的目标测评数据，并将所述目标测评数据写入目标文件中，其中所述目标钩子可截获或监控传输过程中的数据，且不同的所述目标密码算法对应的所述目标测评数据不同；风险测评模块，用于对写入所述目标文件中的所述目标测评数据对应的风险等级进行测评，得到所述目标密码算法对应的目标密码算法测评结果。
[0006]本专利技术实施例的第三技术方案为：
一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行以下步骤：使用目标框架服务获取安卓系统的目标应用程序对应的目标密码算法，其中在安卓系统预先安装了所述目标框架服务，且所述目标框架服务可在不修改安卓系统安装包文件的情况下影响程序运行；使用目标钩子获取所述目标密码算法对应的目标测评数据，并将所述目标测评数据写入目标文件中，其中所述目标钩子可截获或监控传输过程中的数据，且不同的所述目标密码算法对应的所述目标测评数据不同；对写入所述目标文件中的所述目标测评数据对应的风险等级进行测评，得到所述目标密码算法对应的目标密码算法测评结果。
[0007]本专利技术实施例的第四技术方案为：一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行以下步骤：使用目标框架服务获取安卓系统的目标应用程序对应的目标密码算法，其中在安卓系统预先安装了所述目标框架服务，且所述目标框架服务可在不修改安卓系统安装包文件的情况下影响程序运行；使用目标钩子获取所述目标密码算法对应的目标测评数据，并将所述目标测评数据写入目标文件中，其中所述目标钩子可截获或监控传输过程中的数据，且不同的所述目标密码算法对应的所述目标测评数据不同；对写入所述目标文件中的所述目标测评数据对应的风险等级进行测评，得到所述目标密码算法对应的目标密码算法测评结果。
[0008]采用本专利技术实施例，具有如下有益效果：本专利技术首先通过使用目标框架服务获取安卓系统的目标应用程序对应的目标密码算法，然后使用目标钩子获取所述目标密码算法对应的目标测评数据，并将所述目标测评数据写入目标文件中，最后对写入所述目标文件中的所述目标测评数据对应的风险等级进行测评，得到所述目标密码算法对应的目标密码算法测评结果，可避免开发者在使用密码技术对数据加密后的存储或传输中产生安全漏洞，使开发者可以正确的运用密码技术对数据进行加密。
附图说明
[0009]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0010]其中：图1为一个实施例中安卓系统应用程序的密码算法测评方法一实施方式的实施流程图；图2为一个实施例中安卓系统应用程序的密码算法测评装置一实施方式的框架结构图；图3为一个实施例中计算机设备一实施方式的结构框图。
具体实施方式
[0011]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0012]请参阅图1，结合图1可以得到，本专利技术实施例的一种安卓系统应用程序的密码算法测评方法，包括以下几个步骤：步骤S101：使用目标框架服务获取安卓系统的目标应用程序对应的目标密码算法，其中在安卓系统预先安装了所述目标框架服务，且所述目标框架服务可在不修改安卓系统安装包文件的情况下影响程序运行。
[0013]其中，本步骤的目标框架服务可选为xposed框架，即Xposed Framework，Xposed Framework是一套开源的、在Android（安卓系统）高权限模式下运行的框架服务，可以在不修改APK文件（即安卓系统安装包文件）的情况下影响程序运行(修改系统)的框架服务，基于它可以制作出许多功能强大的模块，且在功能不冲突的情况下同时运作。
[0014]步骤S102：使用目标钩子获取所述目标密码算法对应的目标测评数据，并将所述目标测评数据写入目标文件中，其中所述目标钩子可截获或监控传输过程中的数据，且不同的所述目标密码算法对应的所述目标测评数据不同。
[0015]其中，在本步骤中，目标钩子可选为Hook，Hook又叫“钩子”，它可以在事件传送的过程中截获并监控事件的传输（比如java代码的方法，Hook可截取方法的输入值和输出值）。
[0016本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安卓系统应用程序的密码算法测评方法，其特征在于，包括：使用目标框架服务获取安卓系统的目标应用程序对应的目标密码算法，其中在安卓系统预先安装了所述目标框架服务，且所述目标框架服务可在不修改安卓系统安装包文件的情况下影响程序运行；使用目标钩子获取所述目标密码算法对应的目标测评数据，并将所述目标测评数据写入目标文件中，其中所述目标钩子可截获或监控传输过程中的数据，且不同的所述目标密码算法对应的所述目标测评数据不同；对写入所述目标文件中的所述目标测评数据对应的风险等级进行测评，得到所述目标密码算法对应的目标密码算法测评结果。2.根据权利要求1所述的安卓系统应用程序的密码算法测评方法，其特征在于，所述对写入所述目标文件中的所述目标测评数据对应的风险等级进行测评，得到所述目标密码算法对应的目标密码算法测评结果，包括：判断写入所述目标文件中的所述目标测评数据对应的所述目标密码算法是否为目标哈希算法；若是，则获取所述目标哈希算法对应的类别，并根据所述目标哈希算法对应的类别得到所述目标密码算法对应的所述目标密码算法测评结果。3.根据权利要求2所述的安卓系统应用程序的密码算法测评方法，其特征在于，所述获取所述目标哈希算法对应的类别，并根据所述目标哈希算法对应的类别得到所述目标密码算法对应的所述目标密码算法测评结果，包括：判断所述目标哈希算法对应的类别是否为MD5算法或SHA1算法；若是，则将所述目标密码算法对应的风险等级测评为高风险等级，并将高风险等级作为所述目标密码算法对应的所述目标密码算法测评结果；若不是，则判断所述目标哈希算法对应的类别是否为SHA256算法、SHA384算法、SHA512算法和SM3算法中的任意一种；若是，则将所述目标密码算法对应的风险等级测评为零风险等级，并将零风险等级作为所述目标密码算法对应的所述目标密码算法测评结果；其中，所述风险等级包括高风险等级、中风险等级和零风险等级，且高风险等级对应的风险程度大于中风险等级对应的风险程度，零风险等级对应的风险程度为零。4.根据权利要求1所述的安卓系统应用程序的密码算法测评方法，其特征在于，所述对写入所述目标文件中的所述目标测评数据对应的风险等级进行测评，得到所述目标密码算法对应的目标密码算法测评结果，包括：判断写入所述目标文件中的所述目标测评数据对应的所述目标密码算法是否为目标对称算法；若是，则判断所述目标对称算法对应的类别是否为DES算法或为3DES算法、AES算法和SM4算法中的任意一种；若所述目标对称算法对应的类别为DES算法，则将所述目标密码算法对应的风险等级测评为高风险等级，并将高风险等级作为所述目标密码算法对应的所述目标密码算法测评结果；若所述目标对称算法对应的类别为3DES算法、AES算法和SM4算法中的任意一种，则将
所述目标密码算法对应的风险等级测评为零风险等级，并将零风险等级作为所述目标密码算法对应的所述目标密码算法测评结果；其中，所述风险等级包括高风险等级、中风险等级和零风险等级，且高风险等级对应的风险程度大于中风险等级对应的风险程度，零风险等级对应的风险程度为零。5.根据权利要求4所述的安卓系统应用程序的密码算法测评方法，其特征在于，所述将所述目标密码算法对应的风险等级测评为零风险等级，并将零风险等级作为所述目标密码算法对应的所述目标密码算法测评结果，之后包括：判断写入所述目标文件中的所述目标测评数据中所包含的目标...

【专利技术属性】
技术研发人员：于乐，刘乐，霍要峰，赵元凯，廖会敏，彭涛，陈松林，李豫，童憬，
申请(专利权)人：卓望数码技术深圳有限公司，
类型：发明
国别省市：