[发明专利]一种车载信息交互系统数据存储信息安全测试系统及方法

说明书

本发明提供了一种车载信息交互系统数据存储信息安全测试系统，包括待测车载信息交互系统样件、编程器、文件处理工具、检测控制工具、自动化报告模块；编程器用于提取待测车载信息交互系统样件的固件，文件处理工具用于对固件进行格式转化、分析偏移，检测控制工具用于对文件处理的数据判断风险文件的具体位置，自动化报告模块将风险文件生成报告。本发明所述的系统及方法中编程器可以适用于市场上大多数存储芯片的固件提取工作，数据存储信息安全检测工具对于敏感信息的自动化扫描、比对，快速定位风险位置并形成报告，提高效率的同时减少了人为方面的影响；满足不同车载信息交互系统存储芯片的数据安全测试需求。

技术领域

本发明属于车载信息安全技术领域，尤其是涉及一种车载信息交互系统数据存储信息安全测试系统及方法。

背景技术

随着汽车智能化和网联化的迅速发展，包含远程车载信息交互系统(TBOX)、车载综合信息处理系统(IVI)以及其混合体在内的车载信息交互系统作为汽车信息载体得到了广泛的应用。车载信息交互系统不仅承担越来越多的车身控制、人机交互、电子电气系统控制的功能，也为车辆使用人员提供丰富的信息娱乐服务。与此同时，作为汽车内部网络与外部通信的关键节点、人机交互场景实现的重要系统，车载信息交互系统是存储重要数据、保障汽车整体信息安全的核心环节。然而，无论是电动汽车、重型柴油车还是新兴的智能网联汽车，其搭载的车载信息交互系统均欠缺对于重要数据的特殊保护的能力，从而导致车辆的信息安全风险大大提高。近年来，保时捷、共享汽车GOGET等企业因为对数据安全管理程度不够而导致用户数据泄露的事件日益增多，引起行业和公众的广泛关注。

在研标准《车载信息交互系统信息安全技术要求》中明确提出了对于车载信息交互系统数据存储方面的要求以及测试方法，为开展相关符合性检测提供了依据，但是测试方法不很详细。同时标准中提到的对于系统遍历式的文件查找方式需要投入大量人力，且对测试人员的专业经验和技能要求较高，测试流程缺乏统一的标准，测试结果也难以保证准确和一致性。其余在研信息安全相关标准也存在类似问题。

发明内容

有鉴于此，本发明旨在提出一种车载信息交互系统数据存储信息安全测试系统及方法，以解决测试流程缺乏统一的标准，测试结果难以保证准确性和一致性的问题，提高测试效率、准确率的同时减少了人为方面的影响，满足车载信息交互系统数据存储信息安全的测试需要。

为达到上述目的，本发明的技术方案是这样实现的：

一种车载信息交互系统数据存储信息安全测试系统，包括待测车载信息交互系统样件、编程器、文件处理工具、检测控制工具、自动化报告模块；

编程器用于提取待测车载信息交互系统样件的固件，文件处理工具用于对固件进行格式转化、分析偏移，检测控制工具用于对文件处理的数据判断风险文件的具体位置，自动化报告模块将风险文件生成报告。

进一步的，所述固件为样件芯片里的文件系统。

进一步的，所述编程器支持多种样件芯片的提取工作，编程器包括卡座、插口，车载信息交互系统的电路板的样件芯片针脚安装在卡座中，样件芯片安装在插口中，两者任选其一。

进一步的，所述文件处理工具将提取的文件转化成不同的文件类型。

进一步的，检测控制工具包括目录扫描模块、文件扫描模块，文件扫描模块支持文件中EMail、URL、IP、Phone Number、ID、Path敏感信息的检索，目录扫描模块支持.der、.cer、.pem、.key、.db、.sql、.crt格式文件的扫描、检索，以及敏感数据特征值数据库的敏感信息检索；

敏感数据特征数据库包括：EMail、URL、IP、Phone Number、ID、Path文件。

进一步的，所述自动化报告模块包括报告生成位置模块、风险评估模块，生成位置模块包括报告文件生成的位置信息，风险评估模块包括风险详细情况。