网络与信息安全学报 ›› 2017, Vol. 3 ›› Issue (11): 50-58.doi: 10.11959/j.issn.2096-109x.2017.00213
修回日期:
2017-10-23
出版日期:
2017-11-01
发布日期:
2017-11-30
作者简介:
林昊(1992-),男,山东荣成人,信息工程大学硕士生,主要研究方向为网络信息安全。|康绯(1972-),女,河南周口人,信息工程大学教授,主要研究方向为网络信息安全。|光焱(1983-),男,安徽枞阳人,博士,信息工程大学讲师,主要研究方向为密码学、网络信息安全。
Revised:
2017-10-23
Online:
2017-11-01
Published:
2017-11-30
摘要:
针对加密软件中的密钥安全性问题,提出一种基于动态二进制插桩的密钥安全性检测方法。该方法面向CryptoAPI加密应用程序,首先通过对CryptoAPI密钥应用模式的分析,指出潜在的密钥安全性漏洞;然后以动态二进制分析平台Pin为支撑,动态记录程序运行期间的加解密过程信息;在此基础上设计关联性漏洞检测算法,实现对密钥安全性的检测。测试结果表明,该方法能够有效检测出两大类密钥安全性漏洞。
中图分类号:
林昊,康绯,光焱. 基于动态二进制插桩的密钥安全性检测[J]. 网络与信息安全学报, 2017, 3(11): 50-58.
Hao LIN,Fei KANG,Yan GUANG. Key security detection based on dynamic binary instrumentation[J]. Chinese Journal of Network and Information Security, 2017, 3(11): 50-58.
[1] | 段钢 . 加密与解密(第三版)[M]. 北京: 电子工业出版社. 2008. |
DUAN G . Encryption and decryption(Third Edition)[M]. Beijing: Electronic Industry Press. 2008. | |
[2] | 李舟军, 张俊贤, 廖湘科 , 等. 软件安全漏洞检测技术[J]. 计算机学报, 2015,38(4): 717-732. |
LI Z J , ZHANG J X , LIAO X K , et al. Software security vulnerability detection technology[J]. Chinese Journal of Computers. 2015,38(4): 717-732. | |
[3] | EGELE M , BRUMLEY D , FRATANTONIO Y , et al. An empirical study of cryptographic misuse in android applications[C]// ACM Sigsac Conference on Computer & Communications Security. 2013:73-84. |
[4] | SHAO S , DONG G , GUO T , et al. Modelling analysis and au-to-detection of cryptographic misuse in android applications[C]// IEEE International Conference on Dependable,Autonomic and Secure Computing. 2014:75-80. |
[5] | LI Y , ZHANG Y , LI J , et al. iCryptoTracer:Dynamic Analysis on Misuse of Cryptography Functions in iOS Applications[C]// Interna-tional Conference on Network and System Security. 2014:349-362. |
[6] | MA S , LO D , LI T , et al. CDRep:automatic repair of cryptographic misuses in android applications[C]// ACM on Asia Conference on Computer and Communications Security. 2016:711-722. |
[7] | CHATZIKONSTANTINOU A , NTANTOGIAN C , KAROPOU-LOS G , et al. Evaluation of cryptography usage in android applica-tions[C]// Eai International Conference on Bio-Inspired Information and Communications Technologies. 2016:83-90. |
[8] | ALMEIDA J B , BARBOSA M , FILLI?TRE J C , et al. CAOVerif:an open-source deductive verification platform for cryptographic software implementations[J]. Science of Computer Programmin, 2014,91(91): 216-333. |
[9] | FAHL S , HARBACH M , MUDERS T , et al. Why eve and mallory love Android:an analysis of android SSL (in)security[C]// ACM Confe-rence on Computer and Communications Security. 2012:50-61. |
[10] | RIZZO J , DUONG T . Practical padding oracle attacks[C]// Usenix Conference on Offensive Technologies. 2010:1-8. |
[11] | BARENGHI A , BREVEGLIERI L , KOREN I , et al. Fault injection attacks on cryptographic devices:theory,practice,and countermeasures[C]// Proceedings of the IEEE. 2012:3056-3076. |
[12] | Automated testing of crypto software using differential fuzz-ing[EB/OL]. . |
[13] | LAZAR D , CHEN H , WANG X , et al. Why does cryptographic software fail?case study and open problems[C]// Asia-Pacific Workshop. 2014:1-7. |
[14] | 安天针对勒索蠕虫“魔窟”(WannaCry)的深度分析报告[EB/OL]. . |
[15] | NEWSOME J , SONG D . Dynamic taint analysis for automatic detection,analysis,and signature generation of exploits on com-modity software[C]// Conference on NDSS. 2015. |
[16] | NETHERCOTE N . Dynamic binary analysis and instrumentation or building tools is easy[D]. Trinity Lane,Cambridge:University of Cambridge. 2004. |
[17] | LUK C K , COHN R , MUTH R , et al. Pin:building customized program analysis tools with dynamic instrumentation[J]. ACM Sig-plan Notices, 2005,40(6): 190-200. |
[18] | BRUENING D L . Efficient,transparent,and comprehensive run-time code manipulation[C]// Massachusetts Institute of Technolo-gy. 2004. |
[19] | NETHERCOTE N , SEWARD J . Valgrind:a framework for heavyweight dynamic binary instrumentation[C]// ACM Sigplan Conference on Pro-gramming Language Design & Implementation. 2007:89-100. |
[1] | 王艺龙, 李震宇, 巩道福, 刘粉林. 基于块邻域的图像双脆弱水印算法[J]. 网络与信息安全学报, 2023, 9(3): 38-48. |
[2] | 陈任峰, 朱鸿斌. 基于PU learning的信用卡交易安全监管研究[J]. 网络与信息安全学报, 2023, 9(3): 73-78. |
[3] | 冯冠云, 付才, 吕建强, 韩兰胜. 基于操作注意力和数据增强的内部威胁检测[J]. 网络与信息安全学报, 2023, 9(3): 102-112. |
[4] | 谢根琳, 程国振, 王亚文, 王庆丰. 基于gadget特征分析的软件多样性评估方法[J]. 网络与信息安全学报, 2023, 9(3): 161-173. |
[5] | 侯鹏, 李智鑫, 张飞, 孙旭, 陈丹, 崔毅浩, 张寒冰, 荆一楠, 柴洪峰. 金融数据安全治理智能化技术与实践[J]. 网络与信息安全学报, 2023, 9(3): 174-187. |
[6] | 肖敏, 毛发英, 黄永洪, 曹云飞. 基于属性签名的车载网匿名信任管理方案[J]. 网络与信息安全学报, 2023, 9(2): 33-45. |
[7] | 许建龙, 林健, 黎宇森, 熊智. 分布式用户隐私保护可调节的云服务个性化QoS预测模型[J]. 网络与信息安全学报, 2023, 9(2): 70-80. |
[8] | 陈训逊, 李明哲, 吕宁, 黄亮. 内禀安全:网络安全能力体系化构建方法[J]. 网络与信息安全学报, 2023, 9(1): 92-102. |
[9] | 宋佳烁, 李祯祯, 丁海洋, 李子臣. 椭圆曲线上高效可完全模拟的不经意传输协议[J]. 网络与信息安全学报, 2023, 9(1): 158-166. |
[10] | 李凤华, 李晖, 牛犇, 邱卫东. 隐私计算的学术内涵与研究趋势[J]. 网络与信息安全学报, 2022, 8(6): 1-8. |
[11] | 唐飞, 甘宁, 阳祥贵, 王金洋. 基于区块链与国密SM9的抗恶意KGC无证书签名方案[J]. 网络与信息安全学报, 2022, 8(6): 9-19. |
[12] | 白雪, 秦宝东, 郭瑞, 郑东. 基于SM2的两方协作盲签名协议[J]. 网络与信息安全学报, 2022, 8(6): 39-51. |
[13] | 刘军, 袁霖, 冯志尚. 集群网络密钥管理方案研究综述[J]. 网络与信息安全学报, 2022, 8(6): 52-69. |
[14] | 肖敏, 姚涛, 刘媛妮, 黄永洪. 具有隐私保护的动态高效车载云管理方案[J]. 网络与信息安全学报, 2022, 8(6): 70-83. |
[15] | 林佳滢, 周文柏, 张卫明, 俞能海. 空域频域相结合的唇型篡改检测方法[J]. 网络与信息安全学报, 2022, 8(6): 146-155. |
阅读次数 | ||||||
全文 |
|
|||||
摘要 |
|
|||||
|