[发明专利]口令和密钥的应用安全的检测方法及其电子设备

权利要求书

1.一种口令和密钥的应用安全的检测方法，所述检测方法包括：

获取目标源代码，并对所述目标源代码进行预处理，得到第一抽象语法树；

根据所述第一抽象语法树，确定口令和密钥的应用特征集；

获取误用特征库，将所述应用特征集和所述误用特征库进行匹配，确定所述目标源代码的口令和密钥的误用数据；其中，所述误用特征库基于多个口令和密钥误用的源代码，通过预设检测方法确定每一误用类型的误用特征构建得到；

获取预设应用安全分级模型，根据所述误用数据和所述应用安全分级模型，确定所述目标源代码中的口令和密钥的应用安全等级；

其中，将所述应用特征集和所述误用特征库进行匹配，确定所述目标源代码的口令和密钥的误用数据的步骤，具体包括：

将所述应用特征集中每一应用特征分别与所述误用特征库中的各误用特征进行匹配；

响应于所述应用特征和任一误用特征匹配成功，基于所述任一误用特征对应的误用类型，确定所述应用特征对应的误用类型；

根据所述应用特征集中每一应用特征的匹配结果，统计得到所述目标源代码的口令和密钥的误用数据；

其中，构建所述误用特征库的步骤，具体包括：

获取多个包括口令和密钥误用的源代码，对每一包括口令和密钥误用的源代码分别执行以下步骤：

对所述包括口令和密钥误用的源代码进行预处理，得到第二抽象语法树；以及

基于预设检测方法，对所述第二抽象语法树进行检测，确定口令和密钥的误用类型和对应的误用特征；其中，所述预设检测方法包括与不同误用类型分别匹配的多个子检测方法；所述误用类型包括测试用户，确定相应子检测方法包括检测成对出现的用户名和口令、用户登录模块中鉴权数据流的长度和获取高级权限行为的用户中的至少一者。

2.根据权利要求1所述的检测方法，其中，

所述基于预设检测方法，对所述第二抽象语法树进行检测，确定口令和密钥的误用类型和对应的误用特征的步骤，具体包括：

利用所述多个子检测方法分别对所述第二抽象语法树进行检测；

响应于所述子检测方法确定所述第二抽象语法树存在口令和密钥的误用，则所述子检测方法对应的误用类型为所述口令和密钥的误用类型，所述第二抽象语法树中的相应特征为误用特征。

3.根据权利要求1所述的检测方法，其中，所述误用类型还包括口令和密钥的非安全保存、口令和密钥的内存泄露、非安全密码算法和密码协议、口令和密钥的强度违规和随机数可预测。

4.根据权利要求3所述的检测方法，其中，响应于所述误用类型为口令和密钥的非安全保存，确定相应子检测方法包括通过规则匹配检测硬编码；

响应于所述误用类型为口令和密钥的内存泄露，确定相应子检测方法包括检测内存泄露的漏洞信息；

响应于所述误用类型为非安全密码算法和密码协议，确定相应子检测方法包括通过关键字匹配查找不安全密码算法和不安全的密码协议；

响应于所述误用类型为口令和密钥的强度违规，确定相应子检测方法包括检测加盐操作和通过密码学知识分析密文数据中的至少一者；或

响应于所述误用类型为随机数可预测，确定相应子检测方法包括检测不安全的随机数生成器。

5.根据权利要求1所述的检测方法，其中，还包括构建预设应用安全分级模型的步骤，具体包括：

获取误用特征库和测试源代码；

对所述测试源代码进行预处理，得到第三抽象语法树；

利用所述误用特征库，通过误用特征匹配所述第三抽象语法树得到匹配数据；

对多个所述测试源代码的匹配数据进行统计分析，得到测试分析数据；

根据误用类型的危害程度和所述测试分析数据，确定应用安全分级模型。

6.根据权利要求5所述的检测方法，其中，还包括：

响应于所述误用特征的部分字段匹配成功，确定所述第三抽象语法树对应的特征为潜在误用特征；

响应于所述潜在误用特征为新误用特征或响应于所述潜在误用特征对应新误用类型，则根据所述新误用特征或所述新误用类型，分别更新所述误用特征库。