[發明專利]一種車載OTA升級服務器信息安全的檢測系統在審
| 申請號: | 202110813474.8 | 申請日: | 2021-07-19 |
| 公開(公告)號: | CN113468522A | 公開(公告)日: | 2021-10-01 |
| 發明(設計)人: | 冀浩杰;于海洋;郭斌;任毅龍;王春陽;孫文舉;張晨璽;付興坤;牛方雷;許遠想 | 申請(專利權)人: | 泰安北航科技園信息科技有限公司 |
| 主分類號: | G06F21/55 | 分類號: | G06F21/55;G06F21/56;G06F21/57 |
| 代理公司: | 廣州容大知識產權代理事務所(普通合伙) 44326 | 代理人: | 劉新年 |
| 地址: | 271000 山東省泰安市岱岳*** | 國省代碼: | 山東;37 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 車載 ota 升級 服務器 信息 安全 檢測 系統 | ||
1.一種車載OTA升級服務器信息安全的檢測系統,其特征在于:包括:
OTA升級服務器漏洞掃描模塊,用于對被檢測OTA升級服務器的系統、應用服務進行漏洞掃描和檢測,檢測內容包括OTA服務器系統開放端口合理性、開啟服務的合理性、存在的各類漏洞和安全配置缺陷,服務器操作系統安全加固修補工作有效性,同時結合掃描結果,對服務器進行復查,一方面驗證掃描器結果的正確性,另一方面補充掃描器的漏報,對漏洞進行漏洞驗證和確認;
OTA升級固件安全檢測模塊,用于固件安全檢測指對升級包被竊取、破壞、篡改等一系列原因導致的固件升級過程被攻破,升級失敗、設備變磚,私密數據泄露、設備被劫持等問題的檢測,固件安全檢測模塊覆蓋CVE漏洞、配置風險、密鑰安全、敏感信息泄露、代碼安全5大類型固件安全風險檢測,支持Linux、RTOS系統固件;
OTA升級服務器證書秘鑰安全檢測模塊,用于服務器后端使用預共享的加密密鑰對的每個OTA固件數據塊進行加密,然后再將它們傳輸汽車終端;
OTA服務器風險評估模塊,該OTA服務器風險評估模塊基于UML建模技術與OTA升級服務器風險評估模型進行SDL威脅建模,基于知識庫,漏洞庫,風險特征庫技術,并融合攻擊樹分析進行OTA升級服務器端風險的攻擊路徑描述,威脅分析與攻擊路徑分析,實現OTA升級服務器信息安全風險評估功能,導出安全檢測報告及風險修復建議。
2.根據權利要求1所述的車載OTA升級服務器信息安全的檢測系統,其特征在于:所述OTA升級服務器漏洞掃描模塊掃描漏洞的具體步驟為:
步驟11,確定被檢測服務器IP地址,通過PING、TRACERT等方式獲取服務器相關信息;
步驟12,采用端口掃描工具,獲取服務器系統版本、開發的端口和服務信息、應用服務版本、端口的訪問控制策略等信息;
步驟13,通過脆弱性檢測工具檢測服務器的漏洞包含并不限于;
步驟14,根據掃描出的系統、端口和服務、服務版本以及漏洞信息,進行進一步漏洞檢測策略的細化,采用分組策略的方式執行漏洞檢測腳本,對檢測出的漏洞做驗證;
步驟15,通過CDN中間人攻擊、降級攻擊、簽名校驗安全測試、密鑰存儲、敏感信息泄露、DDoS攻擊等測試項目,檢測CDN服務器數據劫持和OTA升級安全測試數據泄露等漏洞風險;
步驟16,OTA升級服務器漏洞檢測模塊根據滲透測試與漏洞檢測結果生成OTA服務器安全測試報表,其數據接口與OTA服務器安全評估模塊匹配,進行結果導入。
3.根據權利要求1或2所述的車載OTA升級服務器信息安全的檢測系統,其特征在于:所述OTA升級固件安全檢測模塊的檢測步驟具體包括如下:
步驟21,獲取OTA固件;
步驟22,識別OTA固件,進行OTA固件的文件系統識別,文件類型識別,CPU架構識別;
步驟23,解析固件,進行OTA固件的文件系統,壓縮文件解壓,CPU指令解析;
步驟24,掃描OTA固件漏洞;
步驟25,導出OTA固件安全檢測與結果。
4.根據權利要求3所述的車載OTA升級服務器信息安全的檢測系統,其特征在于:所述步驟21中的獲取OTA固件的獲取可以通過以下方式獲得:直接從開發團隊、制造商/供應商或用戶獲取;使用OTA固件制造商提供的項目從頭編譯;從OTA服務器根據二進制文件擴展名獲取;從設備更新進行中間人獲取;嗅探“硬件組件中的串行通信”中的更新服務器請求通過移動應用程序中的硬編碼接口將固件從引導加載程序轉儲到閃存或通過tftp的網絡轉儲獲取。
5.根據權利要求3或4所述的車載OTA升級服務器信息安全的檢測系統,其特征在于:所述步驟24中掃描OTA固件漏洞時,主要進行開源組件CVE漏洞檢測與Linux發行版軟件包漏洞檢測;系統弱密碼檢測,非必要軟件檢測,自啟動服務風險檢測;固件私鑰安全檢測與證書安全檢測;敏感信息泄漏檢測包含:SVN信息泄露,Git信息泄露,vi/vim信息泄露,備份文件泄露,臨時文件泄露,二進制文件中的信息泄露等安全檢測;不安全庫函數的使用檢測,識別OTA固件信息安全風險漏洞。
6.根據權利要求1或2所述的車載OTA升級服務器信息安全的檢測系統,其特征在于:所述OTA升級固件安全檢測模塊的檢測步驟為:
步驟31,獲取證書書與秘鑰,使用OpenSSL工具獲取服務器實體證書、中間證書、根證書;
步驟32,獲取證書與秘鑰信息,通過證書透明度機制,證書檢測模塊檢測證書詳細信息、證書鏈詳細信息、當前支持協議、加密套件詳細信息;
步驟33,檢測證書與秘鑰加密強度,通過證書漏洞檢測工具進行HeartBleed漏洞檢測、FREAK Attack漏洞檢測、SSL POODLE漏洞檢測、CCS注入漏洞檢測、CBC padding oracle檢測獲取SSL通信中的部分信息明文、加密流量的密鑰,用戶的名字和密碼,以及訪問的內容;
步驟34,檢測證書與秘鑰的加密算法,通過密鑰算法檢測工具檢測秘鑰,檢測用于簽署證書的私鑰的算法強度與簽名中使用的散列函數的強度,并進行評級;
步驟35,導出OTA服務器證書與秘鑰的安全檢測結果。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于泰安北航科技園信息科技有限公司,未經泰安北航科技園信息科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110813474.8/1.html,轉載請聲明來源鉆瓜專利網。
