0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

Play Integrity API中nonce功能详解

谷歌开发者 来源:Android 开发者 作者:Android 开发者 2022-07-07 14:35 次阅读
作者 / Oscar Rodriguez, Developer Relations Engineer

我们近期发布了 Play Integrity API,希望帮助开发者们保护自己的应用和游戏,使其免受可能存在风险的欺诈性互动 (例如欺骗和未经授权的访问) 的危害,让您能够采取适当措施来防范攻击并减少滥用行为。 除了与应用完整性、设备完整性和许可信息相关的有用信号外,Play Integrity API 还提供了一个简单却非常实用的功能,即 "nonce"。如果使用得当,开发者可以进一步加强 Play Integrity API 的现有保护措施,并降低特定类型攻击的风险,例如中间人 (PITM) 篡改攻击和重放攻击。 在这篇文章中,我们将深入介绍什么是 nonce、它的工作原理,以及如何使用 nonce 字段来进一步保护您的应用和游戏。

什么是 nonce?

在密码学和安全工程学中,nonce (number once) 是一个在安全通信中仅能被使用一次的数字。nonce 用途广泛,如身份验证、数据加密和哈希处理等。

在 Play Integrity API 中,nonce 是您在调用 API 完整性检查前设置的不透明 Base64 编码二进制 blob,并通过被签名的响应中原样返回。根据创建和验证 nonce 的方式,您可以使用它来进一步加强 Play Integrity API 的现有保护措施,并缓解特定类型的攻击,例如中间人 (PITM) 篡改攻击和重放攻击。

除了在被签名的响应中按原样返回 nonce,Play Integrity API 不会对 nonce 实际数据进行任何处理,因此您可以设置任意值,只要它是一个有效的 Base64 值即可。也就是说,为了对响应进行数字签名,nonce 值将被发送到 Google 服务器,因此请勿将 nonce 设置为任何类型的个人身份信息 (PII),例如用户姓名、电话或电子邮件地址。

设置 nonce

将您的应用设置为使用 Play Integrity API 之后,您可以使用 setNonce() 方法,或其适当的变体设置 nonce,这些变体适用于 API 的 Kotlin、Java、Unity 和 Native 版本。

Kotlin:
val nonce: String = ...
// 创建 manager 的实例val integrityManager =    IntegrityManagerFactory.create(applicationContext)
// 通过 nonce 获取完整性令牌val integrityTokenResponse: Task =    integrityManager.requestIntegrityToken(        IntegrityTokenRequest.builder()             .setNonce(nonce) // 设置 nonce.build())

Java:

String nonce = ...
// 创建 manager 的实例IntegrityManager integrityManager =    IntegrityManagerFactory.create(getApplicationContext());
// 通过 nonce 获取完整性令牌Task integrityTokenResponse =    integrityManager        .requestIntegrityToken(            IntegrityTokenRequest.builder()            .setNonce(nonce) // 设置 nonce.build());

Unity:

string nonce = ...
// 创建 manager 的实例var integrityManager = new IntegrityManager();
// 通过 nonce 获取完整性令牌var tokenRequest = new IntegrityTokenRequest(nonce);var requestIntegrityTokenOperation =integrityManager.RequestIntegrityToken(tokenRequest);

Native:

//创建IntegrityTokenRequest对象const char* nonce = ...IntegrityTokenRequest* request;IntegrityTokenRequest_create(&request);IntegrityTokenRequest_setNonce(request, nonce); // 设置 nonceIntegrityTokenResponse* response;IntegrityErrorCode error_code =IntegrityManager_requestIntegrityToken(request,&response);

验证 nonce

Play Integrity API 的响应以 JSON 网络令牌 (JWT) 的形式返回,其负载为纯文本 JSON,格式如下:

{  requestDetails: { ... }  appIntegrity: { ... }  deviceIntegrity: { ... }  accountDetails: { ... }}

您可以在 requestDetails 结构中查看 nonce,其格式如下:

requestDetails: {  requestPackageName: "...",  nonce: "...",  timestampMillis: ...}

nonce 字段的值应与您之前调用 API 传过去的值完全匹配。此外,由于 nonce 值位于 Play Integrity API 的加密签名响应中,收到响应之后是无法改变它的。通过这些属性,您就可以使用 nonce 进一步保护您的应用。

保护重要操作

试想这个场景,一名攻击者正在试图恶意将玩家得分虚报给游戏服务端。这种情况下,设备和应用都是完整的,但攻击者仍可以通过代理服务器或者虚拟专用网络查看并修改与游戏服务器之间的通信数据流,从而达到虚报分数的目的。 在这种情况下,仅调用 Play Integrity API 不足以保护应用: 设备没有被破解、应用也是合法的,因此该操作可以通过 Play Integrity API 的所有检查。 但您可以使用 Play Integrity API 的 nonce 来保护这种报告游戏分数的特定高价值操作,即在 nonce 中编码操作的值。实现方法如下:

用户发起重要操作;

应用准备好要保护的消息,例如 JSON 格式的消息;

应用计算要保护的消息的加密哈希值。例如,使用 SHA-256 或 SHA-3-256 哈希算法;

应用调用 Play Integrity API,并调用 setNonce() 以将 nonce 字段设置为在上一步计算的加密哈希值;

应用将要保护的消息以及 Play Integrity API 的签名结果发送给服务器;

应用服务器验证其收到的消息的加密哈希值是否与签名结果中的 nonce 字段值匹配,并拒绝任何不匹配的结果。

下面的序列图说明了相关步骤:

96dda4e6-fd0f-11ec-ba43-dac502259ad0.png
只要受保护的原始消息与签名结果一起发送,且服务器和客户端都使用完全相同的机制来计算 nonce,通过这样的方式来保证消息不会被篡改。 请注意,在上述场景下,安全模型的有效性仅限攻击行为发生在网络中 (而不是发生在设备或应用),因此验证 Play Integrity API 提供的设备和应用完整性信号也尤为重要。

防范重放攻击

我们再试想另外一种场景,一个应用或游戏使用了 Play Integrity API 来保护自己的 C/S 架构,但攻击者试图通过用已破解的设备与服务端交互,并且不让服务器端监测到。 若要 "达成" 这种攻击目标,攻击者会首先在合法的设备上让应用与 Play Integrity API 进行交互,并获得已经签名的响应内容,然后再在破解设备上运行应用并拦截 Play Integrity API 的调用,使用此前记录的、已获得签名的响应内容进行响应,这样一来就不会执行完整性检查了。 由于已签名的响应并未以任何方式被更改,所以数字签名看似正常,应用服务器就会误以为它正在与合法设备进行通信。我们将此称为重放攻击。 抵御此类攻击的第一道防线是验证签名响应中的 timestampMillis 字段。这个字段包含创建响应时的时间戳,即使在数字签名通过验证的情况下,也能用于服务器端检测是否为可疑的旧响应。

也就是说,应用服务器也可以利用 Play Integrity API 中的 nonce,为每个响应分配一个唯一值,并验证该响应是否与之前设置的唯一值匹配。实现方法如下:

服务器以攻击者无法预测的方式创建全局唯一值。例如,128 位或位数更多的加密安全随机数;

应用调用 Play Integrity API,并将 nonce 字段设置为应用服务器接收的唯一值;

应用将 Play Integrity API 的签名结果发送到服务器;

服务器验证签名结果中的 nonce 字段是否与之前生成的唯一值匹配,并拒绝所有不匹配的结果。

下面的序列图说明了相关步骤:

96fdd374-fd0f-11ec-ba43-dac502259ad0.png

实现上述流程后,每次服务器要求应用调用 Play Integrity API 时,它都会使用不同的全局唯一值,因此只要攻击者无法预测该值,nonce 与预期值不匹配,就无法重用之前的响应。

结合两种保护措施

虽然上述两种机制的工作方式不同,但如果应用同时需要两种保护,则可以将这两种机制组合在一个 Play Integrity API 调用中,例如,将两种保护措施的结果附加到一个更大的 Base64 nonce 中。结合两种保护措施的实现方法如下:

用户发起重要操作;

应用要求服务器提供一个标识请求的唯一值;

应用服务器生成全局唯一值,防止攻击者做出预测。例如,您可以使用加密安全的随机数生成器创建此类值。我们建议创建不小于 128 位的值;

应用服务器向应用发送全局唯一值;

应用准备好要保护的消息,例如 JSON 格式的消息;

应用计算要保护的消息的加密哈希值。例如,使用 SHA-256 或 SHA-3-256 哈希算法;

应用通过附加从应用服务器收到的唯一值以及要保护的消息的哈希值来创建一个字符串;

应用调用 Play Integrity API,并调用 setNonce() 以将 nonce 字段设置为在上一步中创建的字符串;

应用将要保护的消息以及 Play Integrity API 的签名结果发送给服务器;

应用服务器拆分 nonce 字段的值,然后验证消息的加密哈希值以及之前生成的唯一值是否与预期值相匹配,并拒绝任何不匹配的结果。

下面的序列图说明了相关步骤:

971c2360-fd0f-11ec-ba43-dac502259ad0.png

以上是您可以使用 nonce 进一步保护应用免受恶意用户攻击的一些示例。如果您的应用会处理敏感数据,或容易被滥用,我们建议您考虑借助 Play Integrity API,采取相关措施缓解威胁。 如需了解关于使用 Play Integrity API 的更多信息并开始体验,请前往 Play Integrity API 页面。

审核编辑:汤梓红


声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 服务器
    +关注

    关注

    12

    文章

    9160

    浏览量

    85423
  • API
    API
    +关注

    关注

    2

    文章

    1501

    浏览量

    62024
  • Integrity
    +关注

    关注

    0

    文章

    5

    浏览量

    7718

原文标题:通过 Play Integrity API 的 nonce 字段提高应用安全性

文章出处:【微信号:Google_Developers,微信公众号:谷歌开发者】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    请问mateXT鸿蒙 4.2.0.130, 如何可以安装并正常使用goople play store?

    请问mateXT鸿蒙 4.2.0.130, 如何可以安装并正常使用goople play store? microG service hw apk,microG companion hw.apk
    发表于 11-28 08:43

    华纳云:使用 WireMock 在开发和测试模拟 API 服务

    在本地开发和测试期间,经常会遇到您的应用依赖于远程 API 的情况。网络问题、速率限制,甚至 API 提供商的停机都可能阻碍您的进度。这会严重影响您的工作效率并使测试更具挑战性。这就
    的头像 发表于 10-25 16:46 353次阅读

    API :软件程序间沟通的桥梁

    或许我们不清楚API是什么,但在现实生活API的应用场景却远远超出了我们的想象。举个例子来说,当我们想要搜索某个IP地址时,通常是利用API与离线库两种方式去获取数据信息,那么或许
    的头像 发表于 08-27 15:54 262次阅读

    esp-adf esp_audio_play()播放https异常的原因?怎么处理?

    Play the given uri * * The esp_audio_play have follow activity, setup inputstream, outputstream
    发表于 06-28 06:31

    tcpip_adapter_start_api 函数的功能是什么?

    , msg->mac, msg->ip_info); } 请问 1. tcpip_adapter_start_api函数的功能是什么??或者说tcpip_adapter_start调用
    发表于 06-26 07:08

    详解工业网关在线探测功能及用途

    详解工业网关在线探测功能及用途 工业网关作为工业物联网(IIoT)架构的关键组件,扮演着桥梁的角色,它连接了现场的各类传感器、执行器以及更高级别的云平台或企业系统。在线探测功能是工业
    的头像 发表于 06-20 13:55 338次阅读
    <b class='flag-5'>详解</b>工业网关在线探测<b class='flag-5'>功能</b>及用途

    RA MCU CANFD在FSP的配置详解

    RA MCU CANFD在FSP的配置详解
    的头像 发表于 06-19 08:06 538次阅读
    RA MCU CANFD在FSP<b class='flag-5'>中</b>的配置<b class='flag-5'>详解</b>

    华为云发布 CodeArts API,为 API 护航

    ,华为云 CodeArts API 保证了 API 各阶段数据高度一致,为开发者提供友好易用的 API 全流程端到端解决方案。 API 是连接不同应用程序的桥梁,让软件能互相沟通和协作
    的头像 发表于 05-09 23:17 537次阅读
    华为云发布 CodeArts <b class='flag-5'>API</b>,为 <b class='flag-5'>API</b> 护航

    OpenAI API Key获取与充值教程:助开发者解锁GPT-4.0 API

    Key。以下是获取 API Key 的步骤: 访问 OpenAI 官网:在浏览器打开 OpenAI 官方网站。 创建账户:点击网站右上角的“Sign Up”注册
    的头像 发表于 04-28 16:35 1.1w次阅读
    OpenAI <b class='flag-5'>API</b> Key获取与充值教程:助开发者解锁GPT-4.0 <b class='flag-5'>API</b>

    API安全风险显现,F5助API实现可信访问

    API在现代软件开发占据着重要地位,是应用和数据的网关,实时API更是构建数字业务的基础。Salt Labs报告显示,过去6个月中,API攻击活动数量快速增长了400%,可见
    的头像 发表于 04-17 16:09 458次阅读
    <b class='flag-5'>API</b>安全风险显现,F5助<b class='flag-5'>API</b>实现可信访问

    手机信号屏蔽器:功能、原理及使用方法详解

    深圳特信电子|手机信号屏蔽器:功能、原理及使用方法详解
    的头像 发表于 04-01 09:09 3115次阅读

    Chrome 123稳定版引入全新Long Animation Frames API

    早在 Chrome 116 版本,谷歌就已经开启了 LoAF 的实验性测试,如今,随着 Chrome 123 版本的正式面世,这一新特性被广泛应用开来。此 API 堪称 Long Tasks API 的升级版,主要
    的头像 发表于 03-22 14:29 784次阅读

    谷歌Play商店推出并行下载功能,支持多应用下载

    此非 Google Play 的首次尝试。早于 2020 年,Google Play 已启动多项安卓应用的并行下载测试,然而后因技术缘故而被暂停。如今,再度回归该功能试验。随着时间推移,有望逐步推广至广大用户群体。
    的头像 发表于 03-08 14:20 756次阅读

    如何在鸿蒙系统上安装Google Play

    随着鸿蒙(HarmonyOS)系统的逐渐普及和用户基数的增加,一些用户希望能在鸿蒙系统上使用Google Play商店以获取更多应用。然而,由于鸿蒙系统与Google服务不兼容,官方并未提供官方支持
    的头像 发表于 01-31 17:13 1.6w次阅读

    Kubernetes Gateway API攻略教程

    Kubernetes Gateway API 刚刚 GA,旨在改进将集群服务暴露给外部的过程。这其中包括一套更标准、更强大的 API资源,用于管理已暴露的服务。在这篇文章,我将介绍 Gateway
    的头像 发表于 01-12 11:32 894次阅读
    Kubernetes Gateway <b class='flag-5'>API</b>攻略教程