本申请的实施例提供了一种车载信息服务系统渗透测试装置及方法,该装置包括:测试硬件部分和测试软件部分;测试硬件部分包括近场通信装置、诊断仪、CANoe及计算机;测试软件部分包括底层Linux系统及上层安卓调试桥、流量分析工具、抓包工具、端口扫描工具、注入测试工具及无线电分析工具;计算机上有Linux系统及安卓调试桥、流量分析工具、抓包工具、端口扫描工具、注入测试工具及无线电分析工具;近场通信装置、诊断仪、CANoe分别与计算机和待测车机进行通信,安卓调试桥、流量分析工具、抓包工具、端口扫描工具、注入测试工具及无线电分析工具相互协同配合以渗透测试车机是否达标。本实施例可解决传统手工渗透测试车机耗时耗力的问题。的问题。的问题。
【技术实现步骤摘要】
一种车载信息服务系统渗透测试装置及方法
[0001]本申请涉及车联网信息安全
,具体涉及一种车载信息服务系统渗透测试装置及方法。
技术介绍
[0002]随着汽车智能化技术的快速发展,智能网联汽车联网率增加、暴露接口增多,带来了信息安全隐患;车载信息服务系统作为汽车与外部访问的通道,其安全性尤为重要,为提升安全防护水平,避免安全风险,为提升网联汽车信息安全水平,对车载信息服务系统进行渗透测试,模拟黑客恶意攻击,发现潜在的安全漏洞。
[0003]公开号为CN114462048A的中国专利文献公开了名称为“一种基于网络靶场的自动化渗透测试方法及系统”,该技术包括以下步骤:获取待测试服务的运行配置信息,并使用识别决策树进行分类,根据识别结果将不同类别的运行配置信息发送至对应漏洞挖掘模块进行处理,挖掘潜在漏洞以及构建基础靶场;基于挖掘出的潜在漏洞以及获取的运行配置信息进行测试方案构建;执行测试方案,并判断测试是否通过。该技术通过漏洞的自动化挖掘以及网络靶场技术,节约对重复漏洞反复挖掘的时间,并且可以并行、不间断地、长期地进行多组不同环境的测试,快速地发现安全问题。该技术存在的劣势为:网络靶场难以复现实车环境,测试结果与实际存在偏差;该自动化测试方法及系统缺少对硬件设备的兼容。
[0004]车载信息服务系统渗透测试是指对车机进行模拟恶意黑客的攻击方法,对其系统的安全性进行评估,由于车载信息服务系统包含软硬件,涉及测试工具和方法复杂,且车型项目迭代快,迭代周期短,传统手工渗透测试周期长,严重影响人力和时间成本。
技术实现思路
[0005]本申请的实施例提供了一种车载信息服务系统渗透测试装置及方法,解决的技术问题:传统手工渗透测试耗时耗力。
[0006]本申请的其他特点和优点将通过下面的详细描述变得显然,或部分地通过本申请的实践而习得。
[0007]根据本申请实施例的一个方面,提供了一种车载信息服务系统渗透测试装置,包括:测试硬件部分和测试软件部分;
[0008]所述测试硬件部分包括近场通信装置、诊断仪、CANoe及计算机;
[0009]所述测试软件部分包括底层Linux系统及上层安卓调试桥、流量分析工具、抓包工具、端口扫描工具、注入测试工具及无线电分析工具;
[0010]所述计算机上有Linux系统及安卓调试桥、流量分析工具、抓包工具、端口扫描工具、注入测试工具及无线电分析工具;
[0011]所述近场通信装置、诊断仪、CANoe分别与计算机和待测车机进行通信,所述安卓调试桥、流量分析工具、抓包工具、端口扫描工具、注入测试工具及无线电分析工具相互协同配合以渗透测试WIFI、蓝牙、MCU、OS、车载总线、OTA及车机硬件是否达标。
[0012]在本申请的实施例所提供的技术方案中,渗透测试所述WIFI的内容包括:检测车机配置文件是否可更改及是否使用WAP2或以上安全通信模式。
[0013]在本申请的实施例所提供的技术方案中,渗透测试蓝牙的内容包括:信息泄露安全问题、协议栈漏洞安全、数据重放安全问题、加密传输安全问题、配对模式安全问题。
[0014]在本申请的实施例所提供的技术方案中,渗透测试MCU的内容包括:有无内存溢出安全漏洞。
[0015]在本申请的实施例所提供的技术方案中,渗透测试车载总线的内容包括:模糊测试、拒绝服务测试、诊断服务测试、重放测试、UDS诊断测试。
[0016]在本申请的实施例所提供的技术方案中,渗透测试OS的内容包括:防火墙配置测试、权限测试、用户账号密码安全测试、网络接口配置测试、应用黑盒逆向测试、驱动配置安全测试、漏洞扫描测试、蓝牙驱动测试、端口服务暴露测试、服务未授权访问测试、命令执行权限测试、内核漏洞提权测试、日志存储测试、可信根配置测试、服务安全性测试、存储安全测试。
[0017]在本申请的实施例所提供的技术方案中,渗透测试OTA的内容包括:OTA平台与车机通道的安全测试、升级包安全测试、升级过程安全测试,所述升级过程安全测试包括加解密、签名验签及异常升级。
[0018]根据本申请实施例的一个方面,还提供了一种车载信息服务系统渗透测试方法,所述渗透测试方法由上述的车载信息服务系统渗透测试装置执行,所述渗透测试方法包括:
[0019]获取车机系统信息;
[0020]基于所述车机系统信息执行对应的测试用例;
[0021]获取测试项数据,并基于所述测试项数据继续执行测试用例;
[0022]所述测试用例执行完成,输出测试报告。
[0023]通过采用上述技术方案,本专利技术可达到的有有益技术效果为:本车载信息服务系统渗透测试装置可代替传统手工渗透测试车机的WIFI、蓝牙、MCU、OS、车载总线、OTA及硬件等,仅需脚本作为引擎便可驱动本装置,即驱动Linux系统及安卓调试条、流量分析工具、抓包工具、端口扫描工具、注入测试工具及无线电分析工具等相互协同的对车机的各个性能是否达标进行测试,有效规避了传统手工渗透测试周期长的问题,成本低。
[0024]应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
[0025]此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术者来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
[0026]图1是本申请的一示例性实施例示出的渗透测试装置示意图;
[0027]图2是本申请的一示例性实施例示出的渗透测试流程图;
[0028]图3是本申请的一示例性实施例示出的脚本执行流程图;
[0029]图4是本申请的一示例性实施例示出的车载信息服务系统渗透测试部分测试项示意图。
具体实施方式
[0030]这里将详细地对示例性实施例执行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0031]附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立额实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
[0032]附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
[0033]首先需要说明的是,车载信息服务系统是指安装于车辆上的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种车载信息服务系统渗透测试装置,其特征在于,包括:测试硬件部分和测试软件部分;所述测试硬件部分包括近场通信装置、诊断仪、CANoe及计算机;所述测试软件部分包括底层Linux系统及上层安卓调试桥、流量分析工具、抓包工具、端口扫描工具、注入测试工具及无线电分析工具;所述计算机上有Linux系统及安卓调试桥、流量分析工具、抓包工具、端口扫描工具、注入测试工具及无线电分析工具;所述近场通信装置、诊断仪、CANoe分别与计算机和待测车机进行通信,所述安卓调试桥、流量分析工具、抓包工具、端口扫描工具、注入测试工具及无线电分析工具相互协同配合以渗透测试WIFI、蓝牙、MCU、OS、车载总线、OTA及车机硬件是否达标。2.根据权利要求1所述的车载信息服务系统渗透测试装置,其特征在于,渗透测试所述WIFI的内容包括:检测车机配置文件是否可更改及是否使用WAP2或以上安全通信模式。3.根据权利要求1所述的车载信息服务系统渗透测试装置,其特征在于,渗透测试蓝牙的内容包括:信息泄露安全问题、协议栈漏洞安全、数据重放安全问题、加密传输安全问题、配对模式安全问题。4.根据权利要求1所述的车载信息服务系统渗透测试装置,其特征在于,渗透测试MCU的内容包括:有...
【专利技术属性】
技术研发人员:曾涛,汪向阳,何文,谭成宇,
申请(专利权)人:重庆长安汽车股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。