一种基于渗透性测试用例集的区块链架构安全评估方法及系统技术方案

本发明专利技术提供一种基于渗透性测试用例集的区块链架构安全评估方法及系统，其目的是针对区块链技术架构的层次化模型，基于渗透性测试方法对区块链技术架构关键协议、核心机制等方面的安全性进行评估，以在区块链平台、系统、应用等正式投入使用前及时识别安全风险和脆弱性，也可对运行中的区块链架构进行安全性评估，以评估结果指导区块链平台本身安全性的提升和在不同场景下的应用安全性。

A block chain architecture security evaluation method and system based on penetration test case set

【技术实现步骤摘要】
一种基于渗透性测试用例集的区块链架构安全评估方法及系统
本专利技术涉及网络安全领域，具体涉及一种基于渗透性测试用例集的区块链架构安全评估方法及系统。
技术介绍
区块链作为一种数据安全存储、传播和管理机制，通过让用户共同参与数据的计算和存储，并互相验证数据的真实性，可实现透明的数据开放共享，成为近年来炙手可热的互联网技术。目前，区块链技术已在金融领域得到了广泛的应用，并向医疗、通信、保险等行业领域迅速渗透。随着区块链技术的发展，各行业逐渐认识到其技术优势和应用价值，与此同时，区块链应用过程中存在的安全风险也日益凸显。目前，鲜有针对区块链技术架构的安全评估方法及系统，一方面，区块链技术迅猛发展的同时，大量区块链平台、系统、应用等产品在实际应用中安全事件频发，大多数区块链产品开发者和服务提供者在其产品投入市场前，未充分重视、及时识别和采取措施应对安全风险。另一方面，对区块链技术架构实施系统性的安全评估需要认识清晰区块链技术的核心机制和应用场景特性，并针对其技术架构、应用场景和攻击模式等提出针对性的测试方法和评价方式，目前国内外关于区块本文档来自技高网...

【技术保护点】
1.一种基于渗透性测试用例集的区块链架构安全评估系统至少包括评估初始化模块10，安全测试模块11、结果采集模块12、安全评估模块13、安全测试用例集14、安全评估知识库15；其中，评估初始化模块10用于基于测试需求、测试对象和测试目标，从测试用例集14选取适合的测试用例，形成针对性的评估方案并反馈给安全测试模块11；安全测试模块11用于根据评估初始化模块10形成的评估方案对区块链平台各关键层级实施安全测试，并产生测试结果；结果采集模块12用于采集安全测试模块11产生的安全测试结果，标准化处理后反馈给安全评估模块13；安全评估模块13用于基于安全评估知识库，评估由结果采集模块12反馈的安全测试结...

【技术特征摘要】
1.一种基于渗透性测试用例集的区块链架构安全评估系统至少包括评估初始化模块10，安全测试模块11、结果采集模块12、安全评估模块13、安全测试用例集14、安全评估知识库15；其中，评估初始化模块10用于基于测试需求、测试对象和测试目标，从测试用例集14选取适合的测试用例，形成针对性的评估方案并反馈给安全测试模块11；安全测试模块11用于根据评估初始化模块10形成的评估方案对区块链平台各关键层级实施安全测试，并产生测试结果；结果采集模块12用于采集安全测试模块11产生的安全测试结果，标准化处理后反馈给安全评估模块13；安全评估模块13用于基于安全评估知识库，评估由结果采集模块12反馈的安全测试结果中所包含的安全风险，量化区块链平台安全性。


2.基于上述区块链架构安全评估系统，进行安全评估的具体流程如下：
步骤200：评估初始化模块10根据测试需求、测试对象和测试目标，从测试用例集14选取测试用例，形成针对性的评估方案。


3.测试用例集14所包含的测试用例包括：
表1



评估初始化模块根据待测区块链平台的特性，包括测试需求、测试对象、测试目标，选取并组合A1、A4、E5、P11、S3、S17测试用例，形成安全测试方案，并反馈给安全测试模块11；
步骤210：安全测试模块11根据安全测试方案，对区块链平台实施安全测试，并产生安全测试结果。


4.在实际区块链平台安全测试场景中，根据安全测试方案，每个层级可以实施的安全测试如下所示：
对区块链平台存储层区块链基础设施等核心功能的安全测试主要包括检测和测试是否存在基础设施安全风险、网络攻击威胁、数据丢失和泄露风险等，包括：
基础设施安全风险，主要测试来自区块链存储设备自身以及所处环境的安全风险；
网络攻击威胁，测试包括是否存在可以被用于进行的DDoS攻击、病毒木马攻击等设备软硬件漏洞；
数据丢失和泄露风险，测试是否存在针对区块数据和数据文件的窃取、破坏，或因误操作、系统故障、管理不善等。


5.对数据的安全测试项S17可以包括：
当处理敏感数据时,不以明文形式将数据写到其它单独的文件或者临时文件中；
数据备份应该加密,恢复数据应考虑恢复过程的异常通讯中断等,数据恢复后再使用前应该经过校验；
在数据删除之前，应当通知用户或者应用程序提供一个“取消”命令的操作，并能够按照设计要求实现其功能
在没有用户明确许可的前提下不损坏删除个人信息管理应用程序中的任何内容等。


6.对区块链平台协议层P2P网络等核心功能的安全测试主要包括区块链技术核心机制中是否存在潜在安全缺陷等，包括：
协议漏洞，测试是否存在针对共识机制漏洞的算力攻击、分叉攻击、女巫攻击，以及是否存在P2P协议缺陷；
流量攻击，测试是否存在BGP劫持、窃听、阻塞等安全风险；
未授权节点，测试区块链中是否存在未授权节点。


7.对P2P协议缺陷的安全测试P7可以通过长时间、无间断注册激活区块链社区空账户地址，测试区块链社区状态是否膨胀。


8.对区块链平台扩展层智能合约等核心功能的安全测试主要包括测试代码实现中是否存在安全漏洞等，包括：
合约开发漏洞，在区块链钱包、...

【专利技术属性】
技术研发人员：魏亮，谢玮，卜哲，孟楠，戴方芳，崔枭飞，石悦，徐扬，郑威，赵相楠，
申请(专利权)人：中国信息通信研究院，
类型：发明
国别省市：北京;11