軟件測(cè)試資深專家 李春才
5G安全面臨挑戰(zhàn)
在國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT) 2020年4月20日發(fā)布的《2019年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》報(bào)告中,特別提出5G等新技術(shù)安全將成為2020年網(wǎng)絡(luò)安全領(lǐng)域值得關(guān)注的熱點(diǎn)。
5G作為萬(wàn)物互聯(lián)的基礎(chǔ)技術(shù),其安全的重要性不言而喻。面對(duì)MEC等復(fù)雜的部署環(huán)境以及服務(wù)化通用協(xié)議的引入,5G產(chǎn)品本身需要具備強(qiáng)大安全能力,通過(guò)在基礎(chǔ)協(xié)議棧層面實(shí)現(xiàn)健壯性,抵御各層協(xié)議消息的潛在攻擊,確保設(shè)備穩(wěn)定可靠運(yùn)行。
中興通訊在深耕5G技術(shù)的同時(shí)更加注重5G產(chǎn)品的安全交付,高質(zhì)量全覆蓋的安全測(cè)試是產(chǎn)品交付必不可少的安全保障手段。
模糊測(cè)試,構(gòu)建5G安全基礎(chǔ)
模糊測(cè)試可以應(yīng)對(duì)產(chǎn)品協(xié)議安全風(fēng)險(xiǎn)帶來(lái)的不確定性,模擬用戶向系統(tǒng)發(fā)送隨機(jī)的、格式多樣的信息來(lái)測(cè)試5G產(chǎn)品的協(xié)議健壯性,發(fā)現(xiàn)潛在的未知漏洞,將安全風(fēng)險(xiǎn)降到最低。
業(yè)界現(xiàn)有模糊測(cè)試工具如Defensics等在使用時(shí)存在一些限制:測(cè)試路徑依賴于工具預(yù)定義模型,靈活性差,無(wú)法做到按需更改;模糊測(cè)試策略單一,針對(duì)某一特定協(xié)議,無(wú)法做到同時(shí)實(shí)施多種模糊手段進(jìn)行測(cè)試;簡(jiǎn)單執(zhí)行模糊測(cè)試用例,無(wú)法綜合體現(xiàn)實(shí)際測(cè)試覆蓋率。
為了實(shí)現(xiàn)更加靈活和深入的模糊安全測(cè)試,中興通訊打造了智能化模糊測(cè)試平臺(tái)zSpider,以達(dá)到將協(xié)議健壯性內(nèi)置到5G產(chǎn)品中的目的。
智能模糊測(cè)試平臺(tái)zSpider
智能模糊測(cè)試平臺(tái)zSpider完全貫穿中興通訊的整個(gè)研發(fā)流程,可實(shí)現(xiàn)模糊測(cè)試的用例管理、新功能模糊測(cè)試和版本交付前的回歸測(cè)試等多個(gè)功能。
圖1:智能模糊測(cè)試平臺(tái)zSpider架構(gòu)
zSpider提供端到端的自動(dòng)化,從模糊測(cè)試用例自動(dòng)生成到Fuzz測(cè)試、發(fā)現(xiàn)Bug、分析Bug、修復(fù)Bug、驗(yàn)證關(guān)閉Bug、生成測(cè)試報(bào)告形成閉環(huán)。
基于zSpider平臺(tái)的智能模糊變異
針對(duì)5G產(chǎn)品的安全性特點(diǎn),中興通訊zSpider平臺(tái)在傳統(tǒng)模糊測(cè)試的基礎(chǔ)上引入了由覆蓋率引導(dǎo)的智能模糊變異,基本流程如下圖所示。左側(cè)外圍的是待測(cè)試的目標(biāo)程序與對(duì)應(yīng)的初始輸入, 中間的模糊測(cè)試工具接受兩種輸入并進(jìn)行長(zhǎng)時(shí)間的循環(huán)測(cè)試, 最終在右側(cè)輸出發(fā)現(xiàn)的漏洞信息。
圖2:基于覆蓋率的模糊測(cè)試工具基本框架
zSpider平臺(tái)可在以下方面提升模糊安全測(cè)試能力:
● 覆蓋路徑全,減少無(wú)效測(cè)試,提升安全測(cè)試效率:傳統(tǒng)模糊測(cè)試存在冗余測(cè)試的問(wèn)題,部分程序路徑被大量重復(fù)測(cè)試,一些罕見(jiàn)路徑則缺乏關(guān)注,zSpider將減少部分程序路徑大量重復(fù)測(cè)試,引導(dǎo)往罕見(jiàn)路徑進(jìn)行測(cè)試。
● 智能集成多個(gè)策略,可發(fā)現(xiàn)深層安全問(wèn)題: zSpider有多種Fuzzing策略,模糊測(cè)試時(shí)將會(huì)在每個(gè)策略間智能切換,F(xiàn)uzzing策略更高效和智能,有助于更快發(fā)現(xiàn)隱藏的深層次問(wèn)題。
● 增強(qiáng)可視化呈現(xiàn),直觀體現(xiàn)覆蓋率,便于管理監(jiān)控:zSpider根據(jù)實(shí)際測(cè)試的執(zhí)行情況,深入結(jié)合產(chǎn)品實(shí)現(xiàn),可通過(guò)dashboard以代碼行、函數(shù)、程序分支等多個(gè)維度體現(xiàn)實(shí)際覆蓋率。
兩大zSpider運(yùn)行模式,有效覆蓋5G協(xié)議安全場(chǎng)景
zSipder平臺(tái)可提供完全智能模糊測(cè)試和基于模型的智能模糊測(cè)試兩大運(yùn)行模式:
完全智能模糊測(cè)試:初始輸入經(jīng)過(guò)模糊測(cè)試工具長(zhǎng)時(shí)間的運(yùn)行,模擬生成各種連接方式下的異常、雜亂、非預(yù)期的消息碼流或報(bào)文,對(duì)待測(cè)程序發(fā)起攻擊。
該模式主要針對(duì)5G連接方式的多樣性,智能的模擬各種連接方式下的異常、雜亂、非預(yù)期的消息碼流或報(bào)文,從而挖掘出產(chǎn)品存在的安全漏洞或健壯性問(wèn)題。
基于模型的智能模糊測(cè)試:外圍的是協(xié)議模型文件與對(duì)應(yīng)的初始輸入,輸入模糊測(cè)試工具進(jìn)行長(zhǎng)時(shí)間的循環(huán)測(cè)試, 模擬生成各種5G協(xié)議的異常、雜亂、非預(yù)期的消息碼流,對(duì)待測(cè)程序發(fā)起攻擊。
該模式主要用于5G通信協(xié)議的模糊測(cè)試,智能的模擬5G協(xié)議的異常、雜亂、非預(yù)期的消息碼流,從而挖掘產(chǎn)品協(xié)議實(shí)現(xiàn)存在的安全漏洞和健壯性問(wèn)題。
總結(jié)
隨著5G商用步伐的加快,對(duì)其產(chǎn)品安全也提出了更高的要求。中興通訊利用zSpider智能模糊測(cè)試平臺(tái)的兩大測(cè)試模式,將產(chǎn)品協(xié)議完全融入研發(fā)過(guò)程,實(shí)現(xiàn)了產(chǎn)品協(xié)議的充分安全測(cè)試,為5G產(chǎn)品安全交付提供全面高效支撐。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 云業(yè)務(wù)增長(zhǎng)強(qiáng)勁 微軟2025第一財(cái)季營(yíng)收同比增長(zhǎng)16% 凈利潤(rùn)增長(zhǎng)11%
- 年度電競(jìng)旗艦iQOO 13發(fā)布:產(chǎn)品性能“誠(chéng)意滿滿”,售價(jià)3999元起
- 榮耀Magic7系列發(fā)布:AI全面賦能,手機(jī)進(jìn)入“自動(dòng)駕駛”時(shí)代
- 榮耀Magic7系列發(fā)布:AI全面賦能,手機(jī)進(jìn)入“自動(dòng)駕駛”時(shí)代
- 獨(dú)立四周年:榮耀走出獨(dú)立的創(chuàng)新引領(lǐng)之路,并將于年底發(fā)布GT系列產(chǎn)品
- 獨(dú)立四周年:榮耀走出獨(dú)立的創(chuàng)新引領(lǐng)之路,并將于年底發(fā)布GT系列產(chǎn)品
- MBBF 2024開(kāi)幕:加速5G-A與AI融合發(fā)展,引領(lǐng)移動(dòng)AI時(shí)代
- GSMA CTO:5G-A和AI幾乎同時(shí)起飛,或?yàn)橛惺芬詠?lái)最大技術(shù)革命
- 華為李鵬:AI變革帶來(lái)前所未有發(fā)展機(jī)遇 需關(guān)注商業(yè)轉(zhuǎn)化
- 華為李鵬:到2028年全球AI手機(jī)出貨將超9億部
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。