一种密钥安全性检测方法及系统技术方案

本发明专利技术涉及一种密钥安全性检测方法及系统，属于网络和信息安全技术领域。本发明专利技术根据密码误用漏洞成因以及密码API函数的使用特点，提出一套针对密钥安全性的密码误用漏洞检测规则，提取加密应用程序中的密码API运行信息，包括函数调用关系、参数取值，通过对密钥等关键参数的污点分析，建立密码API调用序列，实现加密应用程序中加解密机制的自动化还原；将得到的API调用序列与检测规则库中的漏洞检测规则进行匹配分析，从而识别和定位与密钥有关的密码误用漏洞，实现密钥安全性检测。本发明专利技术不仅能够描述由单个密码API函数产生的密钥漏洞，而且能够刻画由不同API函数共同作用所引起的密码漏洞，实现全面有效的密钥安全性检测。

【技术实现步骤摘要】
一种密钥安全性检测方法及系统
本专利技术涉及一种密钥安全性检测方法及系统，属于网络和信息安全

技术介绍
随着信息安全和密码技术的发展，越来越多的应用程序采用加密手段来保护数据安全，但是由于开发人员的编程失误等原因，会导致加解密过程存在安全隐患，通常将此类隐患称为密码误用漏洞。在加解密机制中，对密钥的正确处理是确保整体安全性核心环节，然而近年来，由于密钥的安全性所引发的各类密码误用漏洞层出不穷。对NationalVulnerabilityDatabase(NVD)中2011年至2016年间的密码误用漏洞进行统计分析，结果显示超过四分之一的密码误用漏洞是由密钥安全性问题所导致的。因此，对加密应用程序的密钥进行安全性检测在提高软件安全性、保护隐私数据等方面具有重要意义。目前，针对加密应用程序的密钥安全性检测主要通过两种方法。一是逆向分析方法。针对具体的加密应用程序样本，分析者基于其个人经验，综合利用反汇编、二进制分析、软件动态调试等逆向分析方法，围绕样本的加解密过程进行静态和动态分析，发现潜在的密钥安全性漏洞。此类方法是应用程序安全性分析的基本方法，应用较为广泛，但对分析人员的水本文档来自技高网...

【技术保护点】
一种密钥安全性检测方法，其特征在于，该检测方法包括以下步骤：1)根据已知密码误用漏洞的成因以及密码API函数特点，构造密钥相关密码误用漏洞的检测规则，并存储到相应的检测规则库，所述的检测规则包括原子规则和复合规则，所述复合规则为原子规则的组合，所述原子规则为(ApiName,Parameter,V‑Vector)，其中ApiName表示密码函数名称，Parameter表示该密码函数中的特定参数名称，V‑Vector表示该参数对应的漏洞触发向量；2)提取加密应用程序中的密码API运行信息，包括函数调用关系、参数取值，通过对函数参数的污点分析，结合各类密码函数的特点，对密码API调用序列中的全体函...

【技术特征摘要】
1.一种密钥安全性检测方法，其特征在于，该检测方法包括以下步骤：1)根据已知密码误用漏洞的成因以及密码API函数特点，构造密钥相关密码误用漏洞的检测规则，并存储到相应的检测规则库，所述的检测规则包括原子规则和复合规则，所述复合规则为原子规则的组合，所述原子规则为(ApiName,Parameter,V-Vector)，其中ApiName表示密码函数名称，Parameter表示该密码函数中的特定参数名称，V-Vector表示该参数对应的漏洞触发向量；2)提取加密应用程序中的密码API运行信息，包括函数调用关系、参数取值，通过对函数参数的污点分析，结合各类密码函数的特点，对密码API调用序列中的全体函数参数的属性进行分析，生成密码API调用序列；3)利用检测规则库中的漏洞检测规则对密码API调用序列进行匹配，实现对密钥相关密码误用漏洞的自动化检测。2.根据权利要求1所述的密钥安全性检测方法，其特征在于，所述漏洞触发向量V-Vector＝(rand,from,view)，其3个分量分别描述特定参数的随机性，来源和加密程度。3.根据权利要求2所述的密钥安全性检测方法，其特征在于，所述的密码API调用序列S＝f1,f2,...,fn，其中fi＝(ApiName,Parameter1,P-Vector1,Parameter2,P-Vector2...)表示第i步的密码API函数调用信息，其中ApiName表示密码函数名称，Parameteri表示该密码函数中的全体参数的名称，P-Vectori表示相应参数的属性向量。4.根据权利要求3所述的密钥安全性检测方法，其特征在于，所述的参数属性向量P-Vectori＝(rand,from,view)，其3个分量分别描述参数的随机性，来源和加密程度。5.根据权利要求1-4中任一项所述的密钥安全性检测方法，其特征在于，所述步骤2)中加密应用程序中的密码API运行信息的提取过程为：A.对密码API函数及其参数信息进行整理，将涉及到的函数名称和参数信息，以及不同种类密码函数对于输入输出参数属性的影响情况，分别记录为密码函数知识库和函数属性知识库；B.利用插桩技术，记录密码API函数调用过程中的指令、内存和寄存器信息，提取密码API名称、返回值和输入输出参数的名称；C.对密码API输入输出参数进行静态污点分析和动态污点分析，根据不同密码API的参数之间的污点关联关系，以及函数属性知识库，判定参数属性；D.将提取到信息记录为S＝f1,f2,···,fn，其中fi表示为第i步的密码API函数调用信息。6.一种密钥安全性检测系统，其特征在于，该检测系统包括存储器和处理器，以及存...

【专利技术属性】
技术研发人员：康绯，舒辉，光焱，林昊，刘彬，卜文娟，
申请(专利权)人：中国人民解放军战略支援部队信息工程大学，
类型：发明
国别省市：河南,41