一种车载信息交互系统数据存储信息安全测试系统及方法与流程

1.本发明属于车载信息安全技术领域，尤其是涉及一种车载信息交互系统数据存储信息安全测试系统及方法。


背景技术：

2.随着汽车智能化和网联化的迅速发展，包含远程车载信息交互系统(tbox)、车载综合信息处理系统(ivi)以及其混合体在内的车载信息交互系统作为汽车信息载体得到了广泛的应用。车载信息交互系统不仅承担越来越多的车身控制、人机交互、电子电气系统控制的功能，也为车辆使用人员提供丰富的信息娱乐服务。与此同时，作为汽车内部网络与外部通信的关键节点、人机交互场景实现的重要系统，车载信息交互系统是存储重要数据、保障汽车整体信息安全的核心环节。然而，无论是电动汽车、重型柴油车还是新兴的智能网联汽车，其搭载的车载信息交互系统均欠缺对于重要数据的特殊保护的能力，从而导致车辆的信息安全风险大大提高。近年来，保时捷、共享汽车goget等企业因为对数据安全管理程度不够而导致用户数据泄露的事件日益增多，引起行业和公众的广泛关注。
3.在研标准《车载信息交互系统信息安全技术要求》中明确提出了对于车载信息交互系统数据存储方面的要求以及测试方法，为开展相关符合性检测提供了依据，但是测试方法不很详细。同时标准中提到的对于系统遍历式的文件查找方式需要投入大量人力，且对测试人员的专业经验和技能要求较高，测试流程缺乏统一的标准，测试结果也难以保证准确和一致性。其余在研信息安全相关标准也存在类似问题。


技术实现要素：

4.有鉴于此，本发明旨在提出一种车载信息交互系统数据存储信息安全测试系统及方法，以解决测试流程缺乏统一的标准，测试结果难以保证准确性和一致性的问题，提高测试效率、准确率的同时减少了人为方面的影响，满足车载信息交互系统数据存储信息安全的测试需要。
5.为达到上述目的，本发明的技术方案是这样实现的：
6.一种车载信息交互系统数据存储信息安全测试系统，包括待测车载信息交互系统样件、编程器、文件处理工具、检测控制工具、自动化报告模块；
7.编程器用于提取待测车载信息交互系统样件的固件，文件处理工具用于对固件进行格式转化、分析偏移，检测控制工具用于对文件处理的数据判断风险文件的具体位置，自动化报告模块将风险文件生成报告。
8.进一步的，所述固件为样件芯片里的文件系统。
9.进一步的，所述编程器支持多种样件芯片的提取工作，编程器包括卡座、插口，车载信息交互系统的电路板的样件芯片针脚安装在卡座中，样件芯片安装在插口中，两者任选其一。
10.进一步的，所述文件处理工具将提取的文件转化成不同的文件类型。
11.进一步的，检测控制工具包括目录扫描模块、文件扫描模块，文件扫描模块支持文件中email、url、ip、phone number、id、path敏感信息的检索，目录扫描模块支持.der、.cer、.pem、.key、.db、.sql、.crt格式文件的扫描、检索，以及敏感数据特征值数据库的敏感信息检索；
12.敏感数据特征数据库包括：email、url、ip、phone number、id、path文件。
13.进一步的，所述自动化报告模块包括报告生成位置模块、风险评估模块，生成位置模块包括报告文件生成的位置信息，风险评估模块包括风险详细情况。
14.一种车载信息交互系统数据存储信息安全测试方法，包括以下步骤：
15.s1、编程器对车载信息交互系统样件芯片进行固件提取；
16.s2、检测控制工具对提取到的固件进行格式转化、分析偏移，然后对格式转化后的固件进行处理；
17.s3、检测控制工具基于开发的敏感数据特征值数据库，对固件进行扫描，扫描后分析出测试结果；
18.s4、自动化报告据模块依据记录的文档输出自动化报告，然后依据比对算法对自动化报告的风险点进行评级，得出此次检测的整体情况及风险概率。
19.进一步的，所述步骤s1中的需要格式文件包括：.bin、.home、.etc格式的文件。
20.进一步的，所述步骤s2中分析偏移将读取的文件系统凌乱的格式进行还原，减少分析误差。
21.进一步的，所述步骤s4中比对算法为：将记录的内容以及自动化报告模块中预置的评价机制进行比对。
22.相对于现有技术，本发明所述的一种车载信息交互系统数据存储信息安全测试系统及方法具有以下有益效果：
23.本发明所述的据存储信息安全测试系统及方法，包括编程器、数据存储信息安全检测工具以及输出的自动化报告；所述编程器可以适用于市场上大多数存储芯片的固件提取工作，所述数据存储信息安全检测工具可以实现对于敏感信息的自动化扫描、比对，快速定位风险位置并形成报告，提高效率的同时减少了人为方面的影响；可以满足不同车载信息交互系统存储芯片的数据安全测试需求。
附图说明
24.构成本发明的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：
25.图1为本发明实施例所述的车载信息交互系统数据存储信息安全测试系统结构图。
26.附图说明
27.a、待测车载信息交互系统样件；b、编程器；c、文件处理工具；d、检测控制工具；e、自动化报告模块；a、芯片；b、usb数据线；c、导入文件；d、自动化报告。
具体实施方式
28.需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相
互组合。
29.在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。
30.在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以通过具体情况理解上述术语在本发明中的具体含义。
31.下面将参考附图并结合实施例来详细说明本发明。
32.如图1所示，一种车载信息交互系统数据存储信息安全测试系统，包括待测车载信息交互系统样件、编程器、文件处理工具、检测控制工具、自动化报告模块；
33.编程器用于提取待测车载信息交互系统样件的固件，文件处理工具用于对固件进行格式转化、分析偏移，检测控制工具用于对文件处理的数据判断风险文件的具体位置，自动化报告模块将风险文件生成报告。
34.所述固件为样件芯片里的文件系统。
35.所述编程器支持多种样件芯片的提取工作，编程器包括卡座、插口，车载信息交互系统的电路板的样件芯片针脚安装在卡座中，样件芯片安装在插口中，两者任选其一。
36.所述文件处理工具将提取的文件转化成不同的文件类型。
37.检测控制工具包括目录扫描模块、文件扫描模块，文件扫描模块支持文件中email、url、ip、phone number、id、path敏感信息的检索，目录扫描模块支持.der、.cer、.pem、.key、.db、.sql、.crt格式文件的扫描、检索，以及敏感数据特征值数据库的敏感信息检索；
38.敏感数据特征数据库包括：email、url、ip、phone number、id、path文件。
39.所述自动化报告模块包括报告生成位置模块、风险评估模块，生成位置模块包括报告文件生成的位置信息，风险评估模块包括风险详细情况。
40.一种车载信息交互系统数据存储信息安全测试方法，包括以下步骤：
41.s1、编程器对车载信息交互系统样件芯片进行固件提取；
42.s2、检测控制工具对提取到的固件进行格式转化、分析偏移，然后对格式转化后的固件进行处理；
43.s3、检测控制工具基于开发的敏感数据特征值数据库，对固件进行扫描，扫描后分析出测试结果；
44.s4、自动化报告据模块依据记录的文档输出自动化报告，然后依据比对算法对自动化报告的风险点进行评级，得出此次检测的整体情况及风险概率。
45.所述步骤s1中的需要格式文件包括：.bin、.home、.etc格式的文件。
46.所述步骤s1至步骤s3中的固件为：样件芯片里的文件系统。
47.由于步骤s1中的对文件系统读取时，编程器读取的文件格式发生改变，因此需要还原才可进行检测控制工具的扫描，因此需要步骤s2中分析偏移将读取的文件系统凌乱的格式进行还原，减少分析误差。
48.所述步骤s4中比对算法为：将记录的内容以及自动化报告模块中预置的评价机制进行比对。
49.本方法基于遍历式文件查找方法开发了自动化的敏感数据检测工具，该工具可以准确且高效的完成测试过程，得到测试结果；依据前期大量的样品实践检测经验，分析出汽车产品所要求存储的数据的特征值，构建出较为完善的敏感数据检索特征值的数据库，包括汽车电子常用数据存储账号、密码对的格式、联系人及其联系方式、登录各种app用的域名、证书等内容，该数据库存在于工具中，针对于汽车产品的特点，该数据库涵盖了可能存在安全威胁的各种特征值；数据存储信息安全检测工具通过对获取到的样件的存储数据进行接入，提供两种工作方式：以单个文件或是文件目录进行自动化扫描，将存储数据中含有敏感数据特征值的文件或是具体的文件内容进行定位，可以快速确认有安全风险存在的位置，从而快速确认数据存储的方式是否安全，大大的提高了敏感数据存储安全检测的效率。
50.本方法提供的数据存储信息安全测试系统及方法，适用汽车芯片范围广泛，基本上可以实现对现有车载信息交互系统的存储芯片的覆盖，使用的数据存储信息安全检测工具可以有效的对存储芯片的存储内容进行格式转化，自动化扫描、检索，并能依据开发出的汽车零部件数据存储的特征值数据库进行结果比对，快速找出该系统中可能存在的安全风险点，形成自动化报告，得出此次检测的整体情况及风险概率。
51.对比于现有的人工遍历系统文件查找敏感数据的方法，本方法可以大大加快人工检索数据存储安全风险点的过程，提高测试效率，并且在前期大量的汽车产品数据存储安全测试的基础上，开发出了特有的特征值数据库，使测试准确率大大提高，同时有效避开了数据存储信息安全测试中人为的影响。
52.具体如下：
53.本发明提供一种车载信息交互系统数据存储信息安全测试系统及方法，包括编程器、数据存储信息安全检测工具以及包含其中的特征值数据库、输出的自动化分析报告。所述编程器用于对车载信息交互系统数据存储类芯片进行固件提取工作，依据硬件与软件相结合的方式，一般可以得到固件的.bin格式的文件；若芯片对于固件做了一定的防护，则一般可以提取到.home、.etc等类型的文件。所述数据存储信息安全检测工具可以对提取到的文件进行格式转化、分析偏移等工作，支持的文件类型包含上述全部类型，覆盖范围广；然后对格式转化后的文件进行处理，采用文件还原的方法，最大程度上还原文件在车载信息交互系统的存储的格式。基于开发的敏感数据特征值数据库，对文件系统进行扫描。该过程中，基于算法实现对各个文件的正常登录访问，遍历文件内容，设置比对算法，当发现文件内容值与敏感数据特征值数据库中数据相匹配时，定位内容的具体位置，并于文档中自动记录。扫描后分析出测试结果，依据记录的文档输出自动化报告。自动化报告可以依据算法实现对记录文档内容的判断、比对，对风险点进行评级，依据设定的评价机制，得出此次检测的整体情况及风险概率。
54.以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。