[发明专利]一种基于渗透性测试用例集的区块链架构安全评估方法及系统

说明书

本发明提供一种基于渗透性测试用例集的区块链架构安全评估方法及系统，其目的是针对区块链技术架构的层次化模型，基于渗透性测试方法对区块链技术架构关键协议、核心机制等方面的安全性进行评估，以在区块链平台、系统、应用等正式投入使用前及时识别安全风险和脆弱性，也可对运行中的区块链架构进行安全性评估，以评估结果指导区块链平台本身安全性的提升和在不同场景下的应用安全性。

技术领域

本发明涉及网络安全领域，具体涉及一种基于渗透性测试用例集的区块链架构安全评估方法及系统。

背景技术

区块链作为一种数据安全存储、传播和管理机制，通过让用户共同参与数据的计算和存储，并互相验证数据的真实性，可实现透明的数据开放共享，成为近年来炙手可热的互联网技术。目前，区块链技术已在金融领域得到了广泛的应用，并向医疗、通信、保险等行业领域迅速渗透。

随着区块链技术的发展，各行业逐渐认识到其技术优势和应用价值，与此同时，区块链应用过程中存在的安全风险也日益凸显。目前，鲜有针对区块链技术架构的安全评估方法及系统，一方面，区块链技术迅猛发展的同时，大量区块链平台、系统、应用等产品在实际应用中安全事件频发，大多数区块链产品开发者和服务提供者在其产品投入市场前，未充分重视、及时识别和采取措施应对安全风险。另一方面，对区块链技术架构实施系统性的安全评估需要认识清晰区块链技术的核心机制和应用场景特性，并针对其技术架构、应用场景和攻击模式等提出针对性的测试方法和评价方式，目前国内外关于区块链的技术架构尚无统一的定义，但ITU、ISO、TC260、CCSA等国内外标准化组织在相关标准文件中均从不同角度对其进行了描述和分析，并在技术架构的关键层次和核心机制上达成了共识。

发明内容

本发明提供一种基于渗透性测试用例集的区块链架构安全评估方法及系统，其目的是针对区块链技术架构的层次化模型，基于渗透性测试方法对区块链技术架构关键协议、核心机制等方面的安全性进行评估，以在区块链平台、系统、应用等正式投入使用前及时识别安全风险和脆弱性，也可对运行中的区块链架构进行安全性评估，以评估结果指导区块链平台本身安全性的提升和在不同场景下的应用安全性。

本发明的目的采用以下技术方案实现：

一种基于渗透性测试用例集的区块链架构安全评估方法，包括：

根据区块链平台核心架构的层次性特性，自下而上将测试对象的核心功能进行层次化拆分，在存储层、扩展层、网络层和应用层等不同层面映射测试对象；

根据测试需求、测试对象和测试目标，对应测试对象所属评估层级，从测试用例集中选取针对性的测试用例，形成组合测试方案；

根据制定的测试方案，对区块链架构实施安全测试，测试方法包括但不限于：

各层安全测试用例的组合，包括：

存储层测试用例：扫描LevelDB、Redis等数据库中可能存在的安全漏洞，实施DDoS攻击性测试，实施病毒木马攻击性测试，实施数据窃取、数据破坏等模拟性攻击；

协议层测试用例：扫描共识机制、P2P协议中存在的安全漏洞，实施BGP劫持、窃听、阻塞等流量接管手段，实施节点仿冒、非法提权等攻击性测试手段；

扩展层测试用例：实施代码分析，发现智能合约中存在的控制流劫持、未授权访问、拒绝服务等安全漏洞，验证合约虚拟机认证控制机制；

应用层测试用例：探测私钥管理机制、账号管理机制、应用软件漏洞，模拟流量攻击等测试手段；

可能的各层间接口安全测试；

实施组合测试用例后，对测试结果进行去重、取样处理，标准化测试结果，包括但不限于：

对测试结果中处于同一技术架构层、对同一测试对象造成影响的的安全风险项实施合并去重；