一种基于边界检测的移动智能终端安全检测方法

摘要

本发明公开了一种基于边界检测的移动智能终端安全检测方法，包括以下骤：在检测设备上开启软无线接入点，将移动智能终端连接至检测设备，检测设备连接互联网；检测设备从移动智能终端上获取敏感数据并建立敏感数据库；在移动智能终端上激活基于IP的业务层协议的应用以及可触发通信数据的应用；在检测设备上开启抓包程序，实时捕获网络通信数据包；在检测设备上开启检测程序，根据协议包检测移动智能终端在基于IP的业务层的通信协议是否与标准协议相符，并检测数据包是否泄露敏感数据库中的敏感数据；将检测结果生成检测报告。本发明实现了针对移动智能终端的敏感数据泄露和基于IP业务层协议的协议符合性的安全检测方法。

主权项

一种基于边界检测的移动智能终端安全检测方法，其特征在于：包括以下步骤：(1)在检测设备上开启软无线接入点，将移动智能终端连接至检测设备，检测设备连接互联网；(2)检测设备从移动智能终端上获取敏感数据并建立敏感数据库；(3)在移动智能终端上激活基于IP的业务层协议的应用以及可触发通信数据的应用；(4)在检测设备上开启抓包程序，实时捕获网络通信数据包；所述网络通信数据包包括协议包和数据包，所述协议包主要由基于IP的业务层协议报文构成；所述数据包主要由移动智能终端向外发出的传输数据报文构成，或者经过编码/压缩后的移动智能终端向外发出的传输数据报文构成，或者经过编码压缩后的移动智能终端向外发出的传输数据报文构成；(5)在检测设备上开启检测程序，根据协议包检测移动智能终端在基于IP的业务层的通信协议是否与标准协议相符，并检测数据包是否泄露敏感数据库中的敏感数据；根据协议包检测移动智能终端在基于IP的业务层的通信协议是否与标准协议相符的过程包括：HTTP协议一致性检测、SMTP协议一致性检测、POP3协议一致性检测、FTP协议一致性检测、BT协议一致性检测和IPSec协议一致性检测；所述HTTP协议一致性检测过程包括请求行一致性检测、请求头域一致性检测、通用头域一致性检测和实体头域一致性检测，全部通过则认为HTTP协议与标准HTTP协议相符；所述请求行一致性检测过程为，先按照标准格式将HTTP协议请求行分为方法、请求URL和版本信息；然后匹配方法是否在标准规定的方法范围内，匹配请求URL和版本信息是否与标准规范相符，如果方法、请求URL和版本信息全部与标准匹配则检测通过；所述请求头域一致性检测、通用头域一致性检测和实体头域一致性检测过程为，先确定头域类型，根据头域类型获取标准规范，然后标准规范分别与请求头域、通用头域和实体头域进行匹配，如果匹配相符则通过一致性检测；所述SMTP协议一致性检测包括状态机检测和命令格式检测，全部通过则认为SMTP协议与标准SMTP协议相符；所述状态机检测过程为，根据SMTP协议的状态机跳转规则，判断接受到的命令是否在跳转规则范围内，如果在范围内则检测通过；所述命令格式检测过程为，判断命令 是否在SMTP服务器所允许的命令范围内，如果在范围内则检测通过；所述POP3协议一致性检测包括状态机检测和命令格式检测，全部通过则认为POP3协议与标准POP3协议相符；所述状态机检测过程为，根据POP3协议的状态机跳转规则，判断接受到的命令是否在跳转规则范围内，如果在范围内则检测通过；所述命令格式检测过程为，判断命令是否在POP3服务器所允许的命令范围内，如果在范围内则检测通过；所述FTP协议一致性检测包括状态机检测和命令格式检测，全部通过则认为FTP协议与标准FTP协议相符；所述状态机检测过程为，根据FTP协议的状态机跳转规则，判断接受到的命令是否在跳转规则范围内，如果在范围内则检测通过；所述命令格式检测过程为，判断命令是否在FTP服务器所允许的命令范围内，如果在范围内则检测通过；所述BT协议一致性检测过程为，根据BT协议获取消息类型和消息长度，根据消息类型和消息长度确定内容是否与标准BT协议相符，如果相符则检测通过；所述IPSec协议一致性检测过程包括IKE密钥交换协议的第一阶段的一致性检测和IKE密钥交换协议的第二阶段的一致性检测，全部通过则认为IPSec协议与标准IPSec协议相符；IKE密钥交换协议规范的主模式交换用于第一阶段，所述主模式交换过程包括6个消息，交换过程如下：消息1：发起方向响应方发送一个封装有建议载荷的安全联盟载荷，而建议载荷中又封装有变换载荷；消息2：响应方发送一个安全联盟载荷，该载荷表明它所接受的发起方发送的安全联盟提议；消息3和4：发起方和响应方交换数据，交换的数据内容包括Nonce、身份表示(ID)、可选的证书等载荷；Nonce是生成加密密钥和认证密钥所必需的参数，ID是发起方或响应方的标识；消息5和6：发起方和响应方认证前面的交换过程；所述IKE密钥交换协议的第一阶段的一致性检测过程为，检查6个消息报文格式是否符合标准格式，并同时检查第一阶段交换过程中是否出现通知交换报文，若有则判断通知交换的通知消息的状态类型；若6个消息报文格式与标准格式一致，且第一阶段交换过程中不出现通知交换报文，则第一阶段一致性检测通过；IKE密钥交换协议规范的快速模式交换用于第二阶段，所述快速模式交换过程包括3个消息，交换过程如下：消息1：发起方向响应方发送一个杂凑载荷、一个安全联盟载荷、一个Nonce载荷和标识载荷；消息2：响应方向发起方发送一个杂凑载荷、一个安全联盟载荷、一个Nonce载荷和标识载荷；消息3：发起方向响应方发送一个杂凑载荷，用于对前面的交换进行认证；所述IKE密钥交换协议的第二阶段的一致性检测过程为，检查3个消息报文格式是否符合标准格式，并同时检查第二阶段交换过程中是否出现通知交换报文，若有则判断通知交换的通知消息的状态类型；若3个消息报文格式与标准格式一致，且第二阶段交换过程中不出现通知交换报文，则第二阶段一致性检测通过；检测数据包是否泄露敏感数据库中的敏感数据的过程为：1)提取数据包的发送时间、源IP地址、源端口、目的IP地址和目的端口；2)通过源IP地址判断数据包是否是移动智能终端向外发出，判断数据包中是否承载有效信息，如果都不是则进行下一个数据包的检测，如果都是则转至下一步；3)解析数据包，获取传输数据报文中的传输数据；4)采用字符串匹配的方法，将敏感数据库中的敏感数据与传输数据进行匹配，如果传输数据中包含若干个敏感数据或者敏感数据的变换，则敏感数据泄露；5)记录数据包的信息和匹配到的敏感数据；(6)将检测结果生成检测报告。