本发明专利技术公开了一种设备安全测试方法、装置、设备及存储介质。该方法包括:获取待测试设备的系统固件;根据所述系统固件的逆向分析结果或源代码,得到所述系统固件的待分析代码;基于待分析代码生成所述待测试设备的敏感分析文件;将所述敏感分析文件与敏感数据信息库中候选敏感信息匹配,确定所述敏感分析文件中是否存在目标敏感信息;所述目标敏感信息为与所述敏感分析文件匹配成功的候选敏感信息;若所述敏感分析文件中存在目标敏感信息,则确定所述待测试设备为风险设备。本发明专利技术实施例可以快速确定存在敏感数据泄露风险的设备,提高对车辆安全测试的效率。车辆安全测试的效率。车辆安全测试的效率。
【技术实现步骤摘要】
一种设备安全测试方法、装置、设备及存储介质
[0001]本专利技术涉及车载信息安全
,尤其涉及一种设备安全测试方法、装置、设备及存储介质。
技术介绍
[0002]随着车辆的智能化发展,存储在车辆的各种敏感数据也越来越多。不管是用户的个人隐私数据,还是各种车辆工作信息,一旦泄露,都会带来不同程度的风险。因此,在车辆信息安全数据安全中进行车辆敏感信息开发测试时,需要完成对敏感信息数据的暴漏测试,并且从渗透测试角度出发,寻找所有可以被利用来对汽车安全进行攻击的数据信息是否进行加密处理或不能被找到。
[0003]当前,针对敏感数据泄露风险的开发测试通常需要人工对车上含有信息安全控制器的所有系统固件进行检索或模拟攻击,并且伴随着系统固件版本的更新出现大量的工作量,人工效率低下,难以满足高效快速测试的需求。
技术实现思路
[0004]本专利技术提供了一种设备安全测试方法、装置、设备及存储介质,以快速确定存在敏感数据泄露风险的设备,提高对车辆安全测试的效率。
[0005]根据本专利技术的一方面,提供了一种设备安全测试方法,所述方法包括:
[0006]获取待测试设备的系统固件;
[0007]根据所述系统固件的逆向分析结果或源代码,得到所述系统固件的待分析代码;
[0008]基于待分析代码生成所述待测试设备的敏感分析文件;
[0009]将所述敏感分析文件与敏感数据信息库中候选敏感信息匹配,确定所述敏感分析文件中是否存在目标敏感信息;所述目标敏感信息为与所述敏感分析文件匹配成功的候选敏感信息;
[0010]若所述敏感分析文件中存在目标敏感信息,则确定所述待测试设备为风险设备。
[0011]根据本专利技术的另一方面,提供了一种设备安全测试装置,所述装置包括:
[0012]系统固件获取模块,用于获取待测试设备的系统固件;
[0013]分析代码获取模块,用于根据所述系统固件的逆向分析结果或源代码,得到所述系统固件的待分析代码;
[0014]分析文件生成模块,用于基于待分析代码生成所述待测试设备的敏感分析文件;
[0015]分析文件匹配模块,用于将所述敏感分析文件与敏感数据信息库中候选敏感信息匹配,确定所述敏感分析文件中是否存在目标敏感信息;所述目标敏感信息为与所述敏感分析文件匹配成功的候选敏感信息;
[0016]风险设备确定模块,用于若所述敏感分析文件中存在目标敏感信息,则确定所述待测试设备为风险设备。
[0017]根据本专利技术的另一方面,提供了一种电子设备,所述电子设备包括:
[0018]至少一个处理器;以及
[0019]与所述至少一个处理器通信连接的存储器;其中,
[0020]所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本专利技术任一实施例所述的设备安全测试方法。
[0021]根据本专利技术的另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本专利技术任一实施例所述的设备安全测试方法。
[0022]本专利技术实施例通过获取系统固件的源代码或逆向分析结果,并结合敏感数据信息库,确定待测试设备是否存在泄露敏感信息的风险,实现车辆敏感信息泄露的自动化测试,减少人工测试的成本,提高对车辆安全测试的效率。
[0023]应当理解,本部分所描述的内容并非旨在标识本专利技术的实施例的关键或重要特征,也不用于限制本专利技术的范围。本专利技术的其它特征将通过以下的说明书而变得容易理解。
附图说明
[0024]为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0025]图1是根据本专利技术一实施例提供的一种设备安全测试方法的流程图;
[0026]图2是根据本专利技术又一实施例提供的一种设备安全测试方法的流程图;
[0027]图3是根据本专利技术又一实施例提供的一种设备安全测试装置的结构示意图;
[0028]图4是实现本专利技术实施例的电子设备的结构示意图。
具体实施方式
[0029]为了使本
的人员更好地理解本专利技术方案,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分的实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术保护的范围。
[0030]需要说明的是,本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本专利技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0031]图1为本专利技术一实施例提供的一种设备安全测试方法的流程图,本实施例可适用于确定设备是否存在敏感数据泄露风险的情况,该方法可以由设备安全测试装置来执行,
该装置可以采用硬件和/或软件的形式实现,该装置可配置于具备相应数据能力的电子设备中,例如上位机。如图1所示,该方法包括:
[0032]S110、获取待测试设备的系统固件。
[0033]其中,待测试设备为车辆中存储有敏感信息的设备,系统固件为相应待测试设备的系统固件程序。
[0034]具体的,在车辆与上位机建立通信连接后,车辆终端将自身待测试设备的系统固件上传给上位机,系统固件中除固件信息外,还应携带对应来源待测试设备的设备标识。
[0035]S120、根据所述系统固件的逆向分析结果或源代码,得到所述系统固件的待分析代码。
[0036]具体的,基于仅根据系统固件无法直接提取到敏感信息,需要借助系统固件的逆向分析结果和源代码来得到系统固件的待分析代码。当使用源代码确定待分析代码时,可以直接将源代码确定为待分析代码;当使用系统固件的逆向分析结果确定待分析代码时,将系统固件逆向分析得到的二进制文件进行反编译,得到待分析代码。
[0037]S130、基于待分析代码生成所述待测试设备的敏感分析文件。
[0038]具体的,根据待分析代码对系统固件中存储信息进行读取,可以将存储的信息进行筛选,将筛选后的数据作为该系统固件的数据,来生成敏感分析文件,敏感分析文件中记载系统固件中潜在可能敏感信息的数据信息。
[0039]S140、将所述敏感分析文件与敏感数据信息本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种设备安全测试方法,其特征在于,所述方法包括:获取待测试设备的系统固件;根据所述系统固件的逆向分析结果或源代码,得到所述系统固件的待分析代码;基于待分析代码生成所述待测试设备的敏感分析文件;将所述敏感分析文件与敏感数据信息库中候选敏感信息匹配,确定所述敏感分析文件中是否存在目标敏感信息;所述目标敏感信息为与所述敏感分析文件匹配成功的候选敏感信息;若所述敏感分析文件中存在目标敏感信息,则确定所述待测试设备为风险设备。2.根据权利要求1所述的方法,其特征在于,所述根据所述系统固件的逆向分析结果或源代码,得到所述系统固件的待分析代码,包括:确定所述源代码数据库中是否存在所述系统固件的源代码;若存在所述系统固件的源代码,则根据所述系统固件的源代码得到待分析代码;若不存在所述系统固件的源代码,则对所述系统固件进行逆向分析,根据所述系统固件的逆向分析结果得到待分析代码。3.根据权利要求1所述的方法,其特征在于,所述基于待分析代码生成所述待测试设备的敏感分析文件,包括:基于所述系统固件的待分析代码,提取所述系统固件中库文件;通过预设的库文件内容和/或库文件类型约束信息对所述库文件进行筛选;基于筛选后符合要求的库文件生成敏感分析文件。4.根据权利要求1所述的方法,其特征在于,所述获取待测试设备的系统固件之前,还包括:根据所述待测试设备的设备类型,初始化测试环境;根据所述待测试设备的设备类型和历史测试结果,确定敏感数据信息库。5.根据权利要求1所述的方法,其特征在于,若所述待测试设备为至少两个,所述获取待测试设备的系统固件,包括:分别确定至少两个待测试设备的设备标识;根据所述设备标识,分别确定所述至少两个待测试设备的系统固件。6.根据权利要求1所述的方法,其特征在于,所述确定所述待测试设备为风险设...
【专利技术属性】
技术研发人员:孙琦,边泽宇,汤利顺,安然,禹晶晶,
申请(专利权)人:中国第一汽车股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。