[发明专利]基于Petri网的密码误用漏洞检测方法及系统有效
申请号: | 201711449476.3 | 申请日: | 2017-12-27 |
公开(公告)号: | CN108123956B | 公开(公告)日: | 2020-10-20 |
发明(设计)人: | 康绯;光焱;舒辉;熊小兵;林昊;徐旭;吴昊;杜三 | 申请(专利权)人: | 中国人民解放军战略支援部队信息工程大学 |
主分类号: | H04L29/06 | 分类号: | H04L29/06 |
代理公司: | 郑州大通专利商标代理有限公司 41111 | 代理人: | 周艳巧 |
地址: | 450000 河*** | 国省代码: | 河南;41 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 基于 petri 密码 误用 漏洞 检测 方法 系统 | ||
本发明属于网络信息安全技术领域,特别涉及一种基于Petri网的密码误用漏洞检测方法及系统,该方法包含如下内容:根据已知密钥安全漏洞生成密钥安全性漏洞检测模型并建立用于存储漏洞检测规则的检测规则库;提取加密应用程序中的API运行信息;对密码API序列进行污点分析,生成着色Petri网描述文件;结合漏洞检测规则及着色Petri网描述文件,进行密码误用漏洞检测。本发明在分析密码API函数调用方法的基础上,可借助动态二进制插桩方法,实现对API相关函数及其参数的运行时信息进行自动跟踪、监控与记录,可借助二进制分析识别不同密码函数之间的参数关联关系,大大提高检测效率,针对性强,识别率高,对网络信息安全技术具有重要的指导意义。
技术领域
本发明属于网络信息安全技术领域,特别涉及一种基于Petri网的密码误用漏洞检测方法及系统。
背景技术
随着信息安全和密码技术的发展,越来越多的应用程序采用加密手段来保护数据安全。尽管密码算法的原始设计通常经过专业的分析与测试,其自身的安全性得到一定保证,但在密码算法的实际应用与实现过程中,开发者需要自行选择合适的参数、配置、策略,并考虑性能的优化,而这些实现步骤中的任何环节出错都可能破坏密码算法自身提供的安全性保护,从而造成相应的漏洞。麻省理工学院对从2011年1月到2014年5月CVE漏洞信息库中的269个与密码相关的漏洞的统计研究显示:由于密码算法本身设计和密码算法库实现缺陷所造成的漏洞仅占漏洞总数的17%;而其余83%的漏洞是由于在单个软件的加解密过程实现中,软件开发者对密码算法的不当使用所造成的,包括密码算法实现中的逻辑错误、弱密钥与固定常数密钥、不恰当的消息填充方式和加解密模式选择等,统称为“密码误用漏洞”。而在移动设备软件中,上述问题更加突出,Manuel Egele等人对Google Play上的11748款安卓应用进行测试,结果发现88%样本的加解密过程存在安全缺陷,包括分组密码加密模式使用不当;使用固定常数密钥和常数盐值;基于口令的加密模式中迭代次数不足;使用静态种子产生随机数等等。目前,针对此类漏洞的检测主要通过两种方法:一是逆向分析方法,针对具体的加密应用程序样本,分析者基于其个人经验,综合利用反汇编、二进制分析、软件动态调试等逆向分析方法,围绕样本的加解密过程进行静态和动态分析,发现潜在的密码误用漏洞。此类方法是应用程序安全性分析的基本方法,应用较为广泛,但对分析人员的水平能力有较高要求,分析效率不高;二是漏洞挖掘方法,将密码误用漏洞视为普通软件漏洞中的一类,借助符号执行、污点分析和Fuzzing测试等漏洞挖掘技术,对此类漏洞进行检测。从安全性检测的对象来看,应用程序中的密码算法的实现方式主要分为两种,一是由开发人员自行编写密码算法的代码;二是直接调用现有的通用密码算法函数库,如CryptoAPI、OpenSSL等。由于密码算法的设计实现专业性强,因此对于非密码专业的程序开发人员而言,通常多使用第二种方法来实现相关的安全模块,因此以CryptoAPI、OpenSSL等为代表的密码库函数广泛应用于各种应用中。因此,对于密码误用漏洞检测而言,应特别关注CryptoAPI等密码库函数在调用过程中可能出现的漏洞。目前,针对密码误用漏洞的两种检测方法都在一定程度上存在问题:1)对于逆向分析方法而言,尽管有多种逆向分析工具可供分析者使用,但这些工具本身并不能提供关于漏洞检测的直接结论,而需要依赖人工对每个目标样本的逆向结果进行分析并最终得出结论,结论的正确性严重依赖分析者的技能与经验,且需要耗费大量时间和精力,难以对批量样本进行分析。2)对于漏洞挖掘方法而言,尽管自动化程度较高,能够实现对批量样本的自动化分析,但由于软件漏洞挖掘的一般方法通常较少考虑密码学漏洞独有的规律和特点,因此在密码误用漏洞的检测方面缺乏针对性,效果往往并不理想。
发明内容
针对现有技术中的不足,本发明提供一种基于Petri网的密码误用漏洞检测方法及系统,实现对API相关函数及其参数的运行时信息进行自动跟踪、监控与记录,摆脱传统方法对于人工经验的依赖,同时大大提高检测效率。
按照本发明所提供的设计方案,一种基于Petri网的密码误用漏洞检测方法,包含如下内容:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国人民解放军战略支援部队信息工程大学,未经中国人民解放军战略支援部队信息工程大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201711449476.3/2.html,转载请声明来源钻瓜专利网。