[发明专利]云环境下基于二维码的移动智能终端安全漏洞修复方法

说明书

技术领域

本发明属于网络安全技术领域，涉及移动终端安全漏洞的修复方法，具体涉及一种在云环境下基于二维码建立安全漏洞库，供移动智能终端进行漏洞信息查询，进而修复安全漏洞的方法。

背景技术

安全漏洞是在计算机系统硬件、软件、协议的具体实现或安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。安全漏洞库是为了对漏洞信息进行管理、发布、查询及控制工作建立的一项安全数据库。目前，国内外公开的漏洞库主要包括美国的国家漏洞数据库NVD（National Vulnerability Database）、公共漏洞列表CVE（Common Vulnerabilities And Exposures）、通用缺陷列表CWE（Common Weakness Enumeration）、中国国家信息安全漏洞库CNNVD（China National Vulnerability Database of Information Security）等。

随着移动智能终端的普及，针对移动智能终端的安全漏洞也层出不穷。例如，基于安全漏洞导致的android手机的root权限破解问题；由于权限力度不够细化导致的设备后台运行问题；以及由开发者授权导致的信任链传递问题等，都会为移动智能终端带来安全威胁。

但是到目前为止，还没有一款特别针对移动智能终端的安全漏洞库。NVD、CVE、CNNVD等漏洞库虽然包含了一定数量的智能终端安全漏洞，但是并没有给出严格的区分，不能及时准确地向移动终端厂商和用户定向通报安全漏洞并进行漏洞修复。

二维码是一种基于黑白矩形图案的信息记录方式，可以通过移动智能终端的图象输入设备自动识读数据信息。二维码可对图片、声音、文字、签字、指纹等信息进行编码，最多可容纳1850个大写字母、或2710个数字、或1108个字节、或500多个汉字；同时二维码具有一定的校验功能等，可自动识别信息及处理图形旋转变化。移动智能终端通过识读二维码能够快速得到其中的漏洞信息，改进传统的输入方式，弥补智能终端输入不便的弱点。

发明内容

本发明的目的在于针对移动智能终端缺乏特定安全漏洞库以及漏洞信息查询方式繁琐的现状，提出一种云环境下基于二维码的移动智能终端安全漏洞修复方法，可以使移动终端厂商和用户方便、快速地查询安全漏洞并对漏洞进行修复。

为实现上述目的，本发明采用如下技术方案：

一种云环境下基于二维码的移动智能终端安全漏洞修复方法，其步骤包括：

1）采用静态和/或动态漏洞分析技术对移动智能终端进行漏洞检测，并将获得的漏洞信息发送至云端漏洞库管理系统；

2）云端漏洞库管理系统通过增量更新的方式获取公开漏洞库的数据，并根据该公开漏洞库的数据以及步骤1）所述漏洞信息建立漏洞数据库；

3）云端漏洞库管理系统根据漏洞数据库中每一条漏洞信息动态生成二维码，然后公布生成的二维码；

4）移动智能终端厂商及用户查询所述漏洞数据库并通过漏洞库客户端读取所述二维码中的漏洞信息，进而根据该漏洞信息获得安全支持服务以进行漏洞修复。

进一步地，所述漏洞数据库中的每一条漏洞信息包括：漏洞名称、漏洞简介、漏洞编号、发布时间、更新时间、危害等级、漏洞类型、威胁类型、受影响终端版本、漏洞原理、利用实例、补丁信息、漏洞详细信息URL和修复建议方法。

进一步地，云端漏洞库管理系统提取每一条漏洞信息的漏洞名称、受影响终端版本、漏洞详细信息URL和修复建议方法，并根据该提取的信息生成所述二维码。

进一步地，所述静态、动态漏洞分析技术采用如下工具中的一种或多种对移动智能终端进行漏洞检测：CPPCheck、Flawfinder、Splint、clang-analyzer、kmemcheck和kmemleak等。

进一步地，所述公开漏洞库为下列中的一种或多种：美国国家漏洞数据库、公共漏洞列表、通用缺陷列表、中国国家信息安全漏洞库。

进一步地，步骤4）使用计算机登录云端漏洞库管理系统进行所述查询，或者使用漏洞客户端进行所述查询。

进一步地，所述漏洞库客户端采集移动智能终端的环境信息并判断其是否与扫描的二维码中的受影响版本信息相匹配：如果二维码中的漏洞影响移动智能终端，则提示客户根据二维码中的URL访问升级信息，用户根据升级信息和安全修复建议方法对安全漏洞进行修复。