申请/专利权人：上海交通大学

申请日：2020-06-16

公开（公告）日：2024-04-05

公开（公告）号：CN113806715B

主分类号：G06F21/44

分类号：G06F21/44;G06F21/57;H04L9/40

优先权：

专利状态码：有效-授权

法律状态：2024.04.05#授权;2022.01.04#实质审查的生效;2021.12.17#公开

摘要：一种嵌入式设备SDK安全性分析方法，依次利用认证协议自动还原技术对嵌入式设备SDK的认证机制进行安全检测、利用通信协议逻辑自动检测技术对嵌入式设备SDK的通信过程进行安全检测以及利用嵌入式设备三方代码分离技术，将嵌入式设备SDK中的厂商自定义代码与三方代码分离，利用基于搜索引擎的漏洞报告检测技术，对三方代码进行安全检测，利用嵌入式设备密码误用检测与内存安全检测技术，对厂商自定义代码进行安全检测，最后生成代码安全性报告。本发明支持在设备开发阶段进行代码安全分析，支持主要的业务逻辑安全分析，提升了当前嵌入式设备安全分析的覆盖范围和分析效果。

主权项：1.一种基于业务逻辑提取和不安全代码扫描的嵌入式设备SDK安全性分析方法，其特征在于，依次利用认证协议自动还原技术对嵌入式设备SDK的认证机制进行安全检测、利用通信协议逻辑自动检测技术对嵌入式设备SDK的通信过程进行安全检测以及利用嵌入式设备三方代码分离技术，将嵌入式设备SDK中的厂商自定义代码与三方代码分离，利用基于搜索引擎的漏洞报告检测技术，对三方代码进行安全检测，利用嵌入式设备密码误用检测与内存安全检测技术，对厂商自定义代码进行安全检测，最后生成代码安全性报告；所述的嵌入式设备SDK安全性分析方法，具体包括以下步骤：步骤1接收嵌入式设备SDK源代码；步骤2通过文献提取技术，审查嵌入式设备SDK使用文档、产品说明以及SDK源代码，提取出嵌入式设备的认证模块，再使用认证协议形式化技术将其认证流程进行描述，用于后续的检测分析；步骤3利用认证协议自动化还原技术对嵌入式设备SDK的认证机制进行安全检测，打印得到SDK认证机制安全性分析报告，具体包括：3.1通过文献提取技术，获得嵌入式设备的认证文档说明，再使用认证协议形式化方法将认证文档说明描述为认证流程，用于后续的检测分析；3.2通过搭建虚拟实验环境模拟识别出的嵌入式设备认证协议客户端，并对模拟出的客户端输入认证协议双方、所使用的身份标识信息，执行嵌入式设备端和云平台侧的请求与响应交互过程，对嵌入式设备认证协议进行代码实现，执行脚本编译，运行相关示例以实现嵌入式设备端和云平台侧的请求与响应的交互过程；3.3通过在测试主机上搭建虚拟实验环境，同时对待测试设备SDK进行编译执行以及运行网络流量记录服务，识别出应用层协议数据报文以及数据包格式，再通过正则表达式，对网络流量中的数据报文进行匹配分类后进行认证机制检测；所述的认证协议形式化方法是指：基于经验和语义的方法，对认证文档说明中所描述的协议认证流程进行识别，得到：认证协议的双方实体对象、认证协议所使用的身份标识信息、认证协议请求和认证结果响应；在嵌入式设备以及物联网的背景环境下，双方实体对象为嵌入式设备和云平台或为嵌入式设备和用户；身份标识信息是在认证双方进行身份认证所交换的唯一标识；认证协议请求为认证双方发送的建立连接请求；认证结果响应为连接请求返回的响应，包含对双方实体对象的身份标识信息的认证结果；步骤4利用利用通信协议的自动检测技术对嵌入式设备SDK的通信过程进行安全检查，得到嵌入式设备通信过程中的安全性问题报告；步骤5利用嵌入式设备三方代码分离方法，将嵌入式设备SDK中的厂商自定义代码与三方代码分离，对这两部分独立分析检测，分别得到三方代码和厂商自定义代码实现中的安全问题。

全文数据：

权利要求：

百度查询： 上海交通大学 嵌入式设备SDK安全性分析方法及系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD