【技术实现步骤摘要】
本专利技术涉及汽车领域,特别是涉及一种对车辆域控制器进行渗透测试的系统。
技术介绍
1、伴随着车辆智能化、网联化程度的提高,车辆已不仅仅利用can总线进行信息交互,而是作为智能的移动终端,实现和车,路,云,人的通讯交互。在带来优质体验同时,也带来信息安全的隐患。信息安全问题不仅能造成财产损失,还可能对用户的生命构成威胁。因此信息安全重要性得到国家和车企的高度重视。国家出台了相关的车辆信息安全法规,各大主机厂及供应商也正在进一步加强信息安全的防御、检测。其中渗透测试就是专门针对网络安全的测试,可帮助发现网络安全漏洞,进而协助提高网络安全水平。
2、作为车辆云-管-端中端的一环,车辆域控制器得到越来越广泛应用,车辆域控制器主要由微控制器mcu(micro controller unit)和微处理器mpu(micro processor unit)组成。车辆域控制器不仅涉及can通讯,还涉及网络通讯等计算机方面内容,由于其同时涉及can和以太网,而且还为域中重要一环,其也成为了网络安全的重点保护对象。
3、由于渗透测试来源于计算机的信息安全,渗透测试也主要涉及到计算机方面知识,需要较多的不同工具来完成不同的测试项,而且大部分需要在终端中输入相应的指令来进行操作,过程繁琐,可视化不强,入手较为困难,且委托第三方的渗透价格也较为昂贵,造成对于车辆域控制器的测试成本高、效率低。
4、中国专利cn202211503545.5公开了一种基于知识图谱的自动化渗透测试方法,将渗透测试相关的经验与工具形成渗透知识图
5、中国专利cn201410381582.2公开了一种自动化渗透测试方法及系统。该自动化渗透测试方法,包括步骤:配置系统参数信息,建立管理员用户和普通用户并登录后设定需要渗透的目标工程,使用目标工程中配置的扫描方式,利用扫描工具进行目标工程漏洞扫描、识别及归类,再进行目标工程渗透测试,最后渗透测试结果输出;该自动化渗透测试系统包括系统管理模块、工程管理模块、漏洞扫描模块、渗透测试模块、结果展示模块。本专利技术能根据配置信息,将任何渗透测试过程中用到的技术手段,包括信息收集、漏洞扫描、漏洞利用,以及漏洞利用之后的权限控制手段,全部集成、后台处理,实现更高效、准确的全部自动化渗透技术。但该方案也不能适用于车辆域控制器渗透测试,即使搬运到车辆域控制器测试效率也会较低。
6、综上所述,亟需一种能针对车辆域控制器的功能、使用环境及车辆安全要求进行实时且全面车辆域控制器渗透测试的方案。
技术实现思路
1、在
技术实现思路
部分中引入了一系列简化形式的概念,该简化形式的概念均为本领域现有技术简化,这将在具体实施方式部分中进一步详细说明。本专利技术的
技术实现思路
部分并不意味着要试图限定出所要求保护的技术方案的关键特征和必要技术特征,更不意味着试图确定所要求保护的技术方案的保护范围。
2、本专利技术要解决的技术问题是提供一种能根据测试需求对车辆域控制器进行实时且全面渗透测试的车辆域控制器进行渗透测试系统。
3、为解决上述技术问题,本专利技术提供的车辆域控制器渗透测试系统,其特征在于,包括:mpu端渗透测试单元和mcu端渗透测试单元;
4、数据库,其用于为mpu端渗透测试单元和mcu端渗透测试单元提供渗透测试用例;
5、mpu端渗透测试单元,其基于测试用例用于对车辆域控制器执行信息收集、漏洞扫描和渗透攻击;
6、mcu端渗透测试单元,其基于测试用例用于对车辆域控制器执行洪水攻击、诊断攻击和篡改攻击;
7、测试报告生成单元,其将mpu端渗透测试单元和mcu端渗透测试单元对车辆域控制器的渗透攻击结果生成测试报告输出。
8、可选择的,进一步改进所述的车辆域控制器渗透测试系统,所述信息收集包括收集ip信息、端口信息和操作系统其中至少一种。
9、可选择的,进一步改进所述的车辆域控制器渗透测试系统,所述漏洞扫描包括权限设置扫描、密码扫描和端口扫描至少其中一种。
10、可选择的,进一步改进所述的车辆域控制器渗透测试系统,通过底层调用metasploit工具进行渗透攻击;或,进行密码暴力破解攻击。
11、可选择的,进一步改进所述的车辆域控制器渗透测试系统,所述洪水攻击是向can总线上发送高频率和/或高优先级的总线信号。
12、可选择的,进一步改进所述的车辆域控制器渗透测试系统,所述诊断攻击是向车辆域控制器发送诊断指令实现对车辆域控制器的篡改。
13、可选择的,进一步改进所述的车辆域控制器渗透测试系统,所述篡改攻击是更改正can报文的有效载荷。
14、可选择的,进一步改进所述的车辆域控制器渗透测试系统,所述测试报告包括ip信息、漏洞信息和can报文数据篡改结果
15、本专利技术通过现有硬件设备利用计算机编程技术手段,构建mpu端渗透测试单元和mcu端渗透测试单元,实现对车辆域控制器mpu和mcu的实时独立测试,能针对车辆域控制器的功能、使用环境及车辆安全要求进行实时且全面车辆域控制器渗透测试的方案。
16、与现有技术相比,本专利技术通过数据库提供渗透测试用例,能简化渗透测试操作过程,降低了渗透测试在车辆域控制器领域的门槛,使得开发人员能快速准确找出域控制器存在的安全漏洞的效率得到提升。
17、并且,可以对对车辆域控制器mpu和mcu执行独立测试,进而针对性的发现mpu和mcu的漏洞,并将这些漏洞以具有时间戳的测试报告形式进行输出,便于开发人员针对漏洞进行调试。
本文档来自技高网...【技术保护点】
1.一种车辆域控制器渗透测试系统,其特征在于,包括:MPU端渗透测试单元和MCU端渗透测试单元;
2.如权利要求1所述的车辆域控制器渗透测试系统,其特征在于:所述信息收集包括收集IP信息、端口信息和操作系统其中至少一种。
3.如权利要求1所述的车辆域控制器渗透测试系统,其特征在于:所述漏洞扫描包括权限设置扫描、密码扫描和端口扫描至少其中一种。
4.如权利要求1所述的车辆域控制器渗透测试系统,其特征在于:通过底层调用Metasploit工具进行渗透攻击;或,进行密码暴力破解攻击。
5.如权利要求1所述的车辆域控制器渗透测试系统,其特征在于:所述洪水攻击是向CAN总线上发送高频率和/或高优先级的总线信号。
6.如权利要求1所述的车辆域控制器渗透测试系统,其特征在于:所述诊断攻击是向车辆域控制器发送诊断指令实现对车辆域控制器的篡改。
7.如权利要求1所述的车辆域控制器渗透测试系统,其特征在于:所述篡改攻击是更改正CAN报文的有效载荷。
8.如权利要求1所述的车辆域控制器渗透测试系统,其特征在于:所述测试
...【技术特征摘要】
1.一种车辆域控制器渗透测试系统,其特征在于,包括:mpu端渗透测试单元和mcu端渗透测试单元;
2.如权利要求1所述的车辆域控制器渗透测试系统,其特征在于:所述信息收集包括收集ip信息、端口信息和操作系统其中至少一种。
3.如权利要求1所述的车辆域控制器渗透测试系统,其特征在于:所述漏洞扫描包括权限设置扫描、密码扫描和端口扫描至少其中一种。
4.如权利要求1所述的车辆域控制器渗透测试系统,其特征在于:通过底层调用metasploit工具进行渗透攻击;或,进行密码暴力破解攻击。
【专利技术属性】
技术研发人员:柴亮亮,杨洪福,朱晓东,张杨,周广俊,
申请(专利权)人:上海创时汽车科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。