[发明专利]一种车载OTA升级服务器信息安全的检测系统在审
| 申请号: | 202110813474.8 | 申请日: | 2021-07-19 |
| 公开(公告)号: | CN113468522A | 公开(公告)日: | 2021-10-01 |
| 发明(设计)人: | 冀浩杰;于海洋;郭斌;任毅龙;王春阳;孙文举;张晨玺;付兴坤;牛方雷;许远想 | 申请(专利权)人: | 泰安北航科技园信息科技有限公司 |
| 主分类号: | G06F21/55 | 分类号: | G06F21/55;G06F21/56;G06F21/57 |
| 代理公司: | 广州容大知识产权代理事务所(普通合伙) 44326 | 代理人: | 刘新年 |
| 地址: | 271000 山东省泰安市岱岳*** | 国省代码: | 山东;37 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 车载 ota 升级 服务器 信息 安全 检测 系统 | ||
1.一种车载OTA升级服务器信息安全的检测系统,其特征在于:包括:
OTA升级服务器漏洞扫描模块,用于对被检测OTA升级服务器的系统、应用服务进行漏洞扫描和检测,检测内容包括OTA服务器系统开放端口合理性、开启服务的合理性、存在的各类漏洞和安全配置缺陷,服务器操作系统安全加固修补工作有效性,同时结合扫描结果,对服务器进行复查,一方面验证扫描器结果的正确性,另一方面补充扫描器的漏报,对漏洞进行漏洞验证和确认;
OTA升级固件安全检测模块,用于固件安全检测指对升级包被窃取、破坏、篡改等一系列原因导致的固件升级过程被攻破,升级失败、设备变砖,私密数据泄露、设备被劫持等问题的检测,固件安全检测模块覆盖CVE漏洞、配置风险、密钥安全、敏感信息泄露、代码安全5大类型固件安全风险检测,支持Linux、RTOS系统固件;
OTA升级服务器证书秘钥安全检测模块,用于服务器后端使用预共享的加密密钥对的每个OTA固件数据块进行加密,然后再将它们传输汽车终端;
OTA服务器风险评估模块,该OTA服务器风险评估模块基于UML建模技术与OTA升级服务器风险评估模型进行SDL威胁建模,基于知识库,漏洞库,风险特征库技术,并融合攻击树分析进行OTA升级服务器端风险的攻击路径描述,威胁分析与攻击路径分析,实现OTA升级服务器信息安全风险评估功能,导出安全检测报告及风险修复建议。
2.根据权利要求1所述的车载OTA升级服务器信息安全的检测系统,其特征在于:所述OTA升级服务器漏洞扫描模块扫描漏洞的具体步骤为:
步骤11,确定被检测服务器IP地址,通过PING、TRACERT等方式获取服务器相关信息;
步骤12,采用端口扫描工具,获取服务器系统版本、开发的端口和服务信息、应用服务版本、端口的访问控制策略等信息;
步骤13,通过脆弱性检测工具检测服务器的漏洞包含并不限于;
步骤14,根据扫描出的系统、端口和服务、服务版本以及漏洞信息,进行进一步漏洞检测策略的细化,采用分组策略的方式执行漏洞检测脚本,对检测出的漏洞做验证;
步骤15,通过CDN中间人攻击、降级攻击、签名校验安全测试、密钥存储、敏感信息泄露、DDoS攻击等测试项目,检测CDN服务器数据劫持和OTA升级安全测试数据泄露等漏洞风险;
步骤16,OTA升级服务器漏洞检测模块根据渗透测试与漏洞检测结果生成OTA服务器安全测试报表,其数据接口与OTA服务器安全评估模块匹配,进行结果导入。
3.根据权利要求1或2所述的车载OTA升级服务器信息安全的检测系统,其特征在于:所述OTA升级固件安全检测模块的检测步骤具体包括如下:
步骤21,获取OTA固件;
步骤22,识别OTA固件,进行OTA固件的文件系统识别,文件类型识别,CPU架构识别;
步骤23,解析固件,进行OTA固件的文件系统,压缩文件解压,CPU指令解析;
步骤24,扫描OTA固件漏洞;
步骤25,导出OTA固件安全检测与结果。
4.根据权利要求3所述的车载OTA升级服务器信息安全的检测系统,其特征在于:所述步骤21中的获取OTA固件的获取可以通过以下方式获得:直接从开发团队、制造商/供应商或用户获取;使用OTA固件制造商提供的项目从头编译;从OTA服务器根据二进制文件扩展名获取;从设备更新进行中间人获取;嗅探“硬件组件中的串行通信”中的更新服务器请求通过移动应用程序中的硬编码接口将固件从引导加载程序转储到闪存或通过tftp的网络转储获取。
5.根据权利要求3或4所述的车载OTA升级服务器信息安全的检测系统,其特征在于:所述步骤24中扫描OTA固件漏洞时,主要进行开源组件CVE漏洞检测与Linux发行版软件包漏洞检测;系统弱密码检测,非必要软件检测,自启动服务风险检测;固件私钥安全检测与证书安全检测;敏感信息泄漏检测包含:SVN信息泄露,Git信息泄露,vi/vim信息泄露,备份文件泄露,临时文件泄露,二进制文件中的信息泄露等安全检测;不安全库函数的使用检测,识别OTA固件信息安全风险漏洞。
6.根据权利要求1或2所述的车载OTA升级服务器信息安全的检测系统,其特征在于:所述OTA升级固件安全检测模块的检测步骤为:
步骤31,获取证书书与秘钥,使用OpenSSL工具获取服务器实体证书、中间证书、根证书;
步骤32,获取证书与秘钥信息,通过证书透明度机制,证书检测模块检测证书详细信息、证书链详细信息、当前支持协议、加密套件详细信息;
步骤33,检测证书与秘钥加密强度,通过证书漏洞检测工具进行HeartBleed漏洞检测、FREAK Attack漏洞检测、SSL POODLE漏洞检测、CCS注入漏洞检测、CBC padding oracle检测获取SSL通信中的部分信息明文、加密流量的密钥,用户的名字和密码,以及访问的内容;
步骤34,检测证书与秘钥的加密算法,通过密钥算法检测工具检测秘钥,检测用于签署证书的私钥的算法强度与签名中使用的散列函数的强度,并进行评级;
步骤35,导出OTA服务器证书与秘钥的安全检测结果。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于泰安北航科技园信息科技有限公司,未经泰安北航科技园信息科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110813474.8/1.html,转载请声明来源钻瓜专利网。
