一种终端通讯协议安全测试的自动化测试方法及其装置与流程

本申请涉及通讯协议测试领域，特别是一种终端通讯协议安全测试的自动化测试方法及其装置。

背景技术：

1、终端是端点用户用于和主机通信的设备，终端通讯协议安全测试用于评估终端与后台之间通讯协议的安全性，确保终端无通讯协议安全漏洞，保证数据机密性、完整性和认证性。通讯协议安全测试可以通过查看通讯协议源码和抓取通讯协议信息等方式进行评估。

2、现有实验室评估终端产品通讯协议安全性，一般通过源码分析、被动抓取通讯报文或者通过burp suite(渗透测试工具)主动攻击等方式对终端产品的通讯协议安全进行评估。通常作为第三方评估机构，基本无法获得厂商源代码，通过被动抓取报文评估方式不够全面，而burp suite主动攻击用于评估终端产品时需要进行复杂适配。另外现有的通讯协议测试套件在部署时需要繁复的操作。

技术实现思路

1、鉴于所述问题，提出了本申请以便提供克服所述问题或者至少部分的解决所述问题的一种终端通讯协议安全测试的自动化测试方法及其装置，包括：

2、一种终端通讯协议安全测试的自动化测试方法，所述方法涉及待评估终端产品、服务器和测试端，所述测试端部署在所述待评估终端产品和所述服务器之间的通讯链路上；所述方法包括：

3、当所述待评估终端产品接入所述测试端时，则所述测试端获取所述待评估终端产品的标识，并建立所述待评估终端产品和所述服务器之间的通讯链路；

4、所述测试端依据所述标识确定出对应于所述待评估终端产品的测试套件案例；其中，所述测试套件案例包括主动攻击测试案例和被动分析测试案例；

5、所述测试端依据所述通讯链路和所述测试套件案例确定所述待评估终端产品对应的测试结果。

6、进一步地，还包括：

7、所述测试端依据所述标识确定出对应于所述待评估终端产品的代理模式。

8、进一步地，所述代理模式包括透明代理模式和反向代理模式；所述建立所述待评估终端产品和所述服务器之间的通讯链路的步骤，包括：

9、当所述代理模式为所述透明代理模式时，则所述测试端收集所述待评估终端产品与所述服务器之间通讯的所有通讯链路；

10、当所述代理模式为所述反向代理模式时，则所述测试端获取所述待评估终端产品与所述服务器之间的通讯链路。

11、进一步地，所述测试端依据所述标识确定出对应于所述待评估终端产品的测试套件案例的步骤，包括：

12、所述测试端依据所述代理模式确定所述待评估终端产品的测试套件案例。

13、进一步地，所述测试端依据所述通讯链路和所述测试套件案例确定所述待评估终端产品对应的测试结果的步骤，包括：

14、所述测试端依据所述代理模式从所述通讯链路中确定出目标通讯链路；

15、所述测试端依据所述目标通讯链路和所述测试套件案例确定所述待评估终端产品对应的测试结果。

16、进一步地，还包括：

17、所述测试端依据所述测试结果确定所述待评估终端产品的通过情况；其中，所述通过情况包括通过、不通过、不适用和无法判断结果。

18、进一步地，所述测试端依据所述测试结果确定所述待评估终端产品的通过情况之后，还包括：

19、所述测试端依据所述通过情况生成所述待评估终端产品的测试报告。

20、一种终端通讯协议安全测试的自动化测试装置，所述装置涉及待评估终端产品、服务器和测试端，所述测试端部署在所述待评估终端产品和所述服务器之间的通讯链路上；所述装置包括：

21、信息获取模块，用于当所述待评估终端产品接入所述测试端时，则所述测试端获取所述待评估终端产品的标识，并建立所述待评估终端产品和所述服务器之间的通讯链路；

22、案例确定模块，用于所述测试端依据所述标识确定出对应于所述待评估终端产品的测试套件案例；其中，所述测试套件案例包括主动攻击测试案例和被动分析测试案例；

23、案例执行模块，用于所述测试端所述测试端依据所述通讯链路和所述测试套件案例确定所述待评估终端产品对应的测试结果。

24、一种设备，包括处理器、存储器及存储在所述存储器上并能够在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如上所述的终端通讯协议安全测试的自动化测试方法的步骤。

25、一种计算机可读存储介质，所述计算机可读存储介质上存储计算机程序，所述计算机程序被处理器执行时实现如上所述的终端通讯协议安全测试的自动化测试方法的步骤。

26、本申请具有以下优点：

27、在本申请的实施例中，相对于现有终端通讯协议安全测试方式评估不够全面，且评估时需要进行复杂适配，部署复杂等问题，本申请提供了面向终端通讯协议安全测试的自动化测试的解决方案，具体为：当所述待评估终端产品接入所述测试端时，则所述测试端获取所述待评估终端产品的标识，并建立所述待评估终端产品和所述服务器之间的通讯链路；所述测试端依据所述标识确定出对应于所述待评估终端产品的测试套件案例；其中，所述测试套件案例包括主动攻击测试案例和被动分析测试案例；所述测试端依据所述通讯链路和所述测试套件案例确定所述待评估终端产品对应的测试结果。本发明支持自动化主动攻击测试案例，有效解决传统人工主动攻击测试复杂等痛点，提高测试效率，降低测试难度。同时本发明的测试端部署在所述待评估终端产品和所述服务器之间的通讯链路上，无需像pc软件那样需进行安装配置，易于部署。

技术特征：

1.一种终端通讯协议安全测试的自动化测试方法，其特征在于，所述方法涉及待评估终端产品、服务器和测试端，所述测试端部署在所述待评估终端产品和所述服务器之间的通讯链路上；所述方法包括：

2.根据权利要求1所述的方法，其特征在于，还包括：

3.根据权利要求2所述的方法，其特征在于，所述代理模式包括透明代理模式和反向代理模式；所述建立所述待评估终端产品和所述服务器之间的通讯链路的步骤，包括：

4.根据权利要求2所述的方法，其特征在于，所述测试端依据所述标识确定出对应于所述待评估终端产品的测试套件案例的步骤，包括：

5.根据权利要求3所述的方法，其特征在于，所述测试端依据所述通讯链路和所述测试套件案例确定所述待评估终端产品对应的测试结果的步骤，包括：

6.根据权利要求1所述的方法，其特征在于，还包括：

7.根据权利要求6所述的方法，其特征在于，所述测试端依据所述测试结果确定所述待评估终端产品的通过情况之后，还包括：

8.一种终端通讯协议安全测试的自动化测试装置，其特征在于，所述装置涉及待评估终端产品、服务器和测试端，所述测试端部署在所述待评估终端产品和所述服务器之间的通讯链路上；所述装置包括：

9.一种设备，其特征在于，包括处理器、存储器及存储在所述存储器上并能够在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如权利要求1至7中任一项所述的终端通讯协议安全测试的自动化测试方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的终端通讯协议安全测试的自动化测试方法。

技术总结
本申请提供了一种终端通讯协议安全测试的自动化测试方法及其装置，当待评估终端产品接入测试端时，则测试端获取待评估终端产品的标识，并建立待评估终端产品和服务器之间的通讯链路；测试端依据所述标识确定出对应于所述待评估终端产品的测试套件案例；其中，所述测试套件案例包括主动攻击测试案例和被动分析测试案例；所述测试端依据所述通讯链路和所述测试套件案例确定所述待评估终端产品对应的测试结果。本发明支持自动化主动攻击测试案例，有效解决传统人工主动攻击测试复杂等痛点，提高测试效率，降低测试难度。同时本发明的测试端部署在所述待评估终端产品和所述服务器之间的通讯链路上，无需像PC软件那样需进行安装配置，易于部署。

技术研发人员：黄榴勇,罗丰,刘强军,吴祖顺,叶晓聪
受保护的技术使用者：深圳国家金融科技测评中心有限公司
技术研发日：
技术公布日：2024/1/16