专利汇可以提供一种基于渗透性测试用例集的区块链架构安全评估方法及系统专利检索,专利查询,专利分析的服务。并且本 发明 提供一种基于渗透性测试 用例 集的 区 块 链 架构安全评估方法及系统,其目的是针对区块链技术架构的层次化模型,基于渗透性测试方法对区块链技术架构关键协议、核心机制等方面的安全性进行评估,以在区块链平台、系统、应用等正式投入使用前及时识别安全 风 险和脆弱性,也可对运行中的区块链架构进行安全性评估,以评估结果指导区块链平台本身安全性的提升和在不同场景下的应用安全性。,下面是一种基于渗透性测试用例集的区块链架构安全评估方法及系统专利的具体信息内容。
1.一种基于渗透性测试用例集的区块链架构安全评估系统至少包括评估初始化模块
10,安全测试模块11、结果采集模块12、安全评估模块13、安全测试用例集14、安全评估知识库15;其中,评估初始化模块10用于基于测试需求、测试对象和测试目标,从测试用例集14选取适合的测试用例,形成针对性的评估方案并反馈给安全测试模块11;安全测试模块11用于根据评估初始化模块10形成的评估方案对区块链平台各关键层级实施安全测试,并产生测试结果;结果采集模块12用于采集安全测试模块11产生的安全测试结果,标准化处理后反馈给安全评估模块13;安全评估模块13用于基于安全评估知识库,评估由结果采集模块12反馈的安全测试结果中所包含的安全风险,量化区块链平台安全性。
2.基于上述区块链架构安全评估系统,进行安全评估的具体流程如下:
步骤200:评估初始化模块10根据测试需求、测试对象和测试目标,从测试用例集14选取测试用例,形成针对性的评估方案。
3.测试用例集14所包含的测试用例包括:
表1
评估初始化模块根据待测区块链平台的特性,包括测试需求、测试对象、测试目标,选取并组合A1、A4、E5、P11、S3、S17测试用例,形成安全测试方案,并反馈给安全测试模块11;
步骤210:安全测试模块11根据安全测试方案,对区块链平台实施安全测试,并产生安全测试结果。
4.在实际区块链平台安全测试场景中,根据安全测试方案,每个层级可以实施的安全测试如下所示:
对区块链平台存储层区块链基础设施等核心功能的安全测试主要包括检测和测试是否存在基础设施安全风险、网络攻击威胁、数据丢失和泄露风险等,包括:
基础设施安全风险,主要测试来自区块链存储设备自身以及所处环境的安全风险;
网络攻击威胁,测试包括是否存在可以被用于进行的DDoS攻击、病毒木马攻击等设备软硬件漏洞;
数据丢失和泄露风险,测试是否存在针对区块数据和数据文件的窃取、破坏,或因误操作、系统故障、管理不善等。
5.对数据的安全测试项S17可以包括:
当处理敏感数据时, 不以明文形式将数据写到其它单独的文件或者临时文件中;
数据备份应该加密, 恢复数据应考虑恢复过程的异常通讯中断等, 数据恢复后再使用前应该经过校验;
在数据删除之前,应当通知用户或者应用程序提供一个“取消”命令的操作,并能够按照设计要求实现其功能
在没有用户明确许可的前提下不损坏删除个人信息管理应用程序中的任何内容等。
6.对区块链平台协议层P2P网络等核心功能的安全测试主要包括区块链技术核心机制中是否存在潜在安全缺陷等,包括:
协议漏洞,测试是否存在针对共识机制漏洞的算力攻击、分叉攻击、女巫攻击,以及是否存在P2P协议缺陷;
流量攻击,测试是否存在BGP劫持、窃听、阻塞等安全风险;
未授权节点,测试区块链中是否存在未授权节点。
7.对P2P协议缺陷的安全测试P7可以通过长时间、无间断注册激活区块链社区空账户地址,测试区块链社区状态是否膨胀。
8.对区块链平台扩展层智能合约等核心功能的安全测试主要包括测试代码实现中是否存在安全漏洞等,包括:
合约开发漏洞,在区块链钱包、众筹、代币发行等智能合约典型应用中,测试代码的安全;
合约运行安全,合约虚拟机是区块链应用中智能合约的运行环境,测试合约虚拟机自身是否存在安全漏洞,或验证,以及控制等机制是否完善。
9.对利用The DAO智能合约漏洞实施重入攻击的测试项E9可以包括以下步骤:
构造恶意合约并调用The DAO智能合约的donate函数;
触发恶意合约的fallback函数,根据运行结果判断该智能合约是否存在漏洞。
10.对区块链平台应用层app、Web等的安全测试主要包括测试是否存在传统安全隐患。
11.对区块链应用层app的安全测试可以包括在身份标识和鉴别机制、口令复杂度检查功能、登陆失败处理功能、授权访问和控制功能、敏感信息标记功能、安全审计功能等;
以身份标识和鉴别机制安全测试为例,包括以下测试项:
区块链app应提供专用的登录控制模块对登录用户进行身份标识和鉴别;
区块链app应提供用户身份标识唯一检查功能,保证应用系统中不存在重复用户身份标识;
对区块链app的身份标识和鉴别机制安全测试项A5具体方法如下:
检查app是否有登陆模块,并检查用户是否可通过该模块进行身份鉴别;
检查用户的唯一身份标识符,并新建一个与现有用户身份标识符重复的用户,测试是否可以通过该新建用户登录;
身份鉴别失败时,app应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。
12.对区块链应用层Web平台的安全测试包括SQL注入测试、XSS(跨站点脚本攻击)测试和CSRF(跨站点伪造请求)测试。
13.对区块链应用层Web平台XSS测试项A10可以包括以下步骤:
读取Web平台代码,查找关键的变量;
客户端将数据传送给Web 服务端一般通过三种方式 Querystring,表单,以及cookie;
如果变量未进行Html编码处理,则该变量存在XSS安全风险。
14.安全测试模块11在对区块链平台进行安全测试后,产生安全测试结果,包括安全测试日志等。
15.步骤220:结果采集模块11采集待评估的区块链平台安全测试结果,对测试结果实施去重、取样和规范化处理,并反馈给安全评估模块13.
安全测试模块11产生安全测试结果后,由结果采集模块12进行采集,并对其进行去重、取样等标准化处理,提取安全评估模块13所需要的字段,然后将标准化处理后的安全测试结果发给安全评估模块13;
采取这种方式,将评估目标集中在关键字段,提高安全评估模块12的评估效率。
16.标准化后的安全测试结果可包括的重点字段如表2所示:
表2
步骤230:安全评估模块13根据安全测试结果,基于安全评估知识库,如图4所示计算安全风险权重,对区块链平台进行量化评估。
17.安全评估模13接收结果采集模块12发送的标准化安全测试结果,从安全评估知识库中选取用于量化该类风险的权重,具体步骤包括:
测试结果产生并标准化后,根据测试结果对区块链平台进行安全评估,包括:
基于安全评估知识库,计算安全各类风险对应的危害权重,并根据权重,量化区块链平台安全性。
系统
标题 | 发布/更新时间 | 阅读量 |
---|---|---|
一种知识产权运营平台系统 | 2020-05-08 | 374 |
账户管理方法、系统、设备和存储介质 | 2020-05-11 | 612 |
一种基于渗透性测试用例集的区块链架构安全评估方法及系统 | 2020-05-12 | 739 |
应用下载方法、下载服务器、下载客户端和应用下载系统 | 2020-05-13 | 834 |
机密数据安全储存和恢复系统及方法 | 2020-05-08 | 798 |
一种文件管理方法 | 2020-05-11 | 835 |
基于智能合约的信贷网络 | 2020-05-11 | 61 |
一种支付方法、装置及系统 | 2020-05-12 | 911 |
基于秘密共享的抗量子计算联盟链系统及通信方法 | 2020-05-13 | 360 |
区块链钱包的交易方法及系统 | 2020-05-11 | 365 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。