本發(fā)明屬于軟件安全測試領(lǐng)域，具體地涉及一種基于搜索的數(shù)字證書解析器差異測試系統(tǒng)及使用方法。

背景技術(shù)：

1、隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，人們的工作、學(xué)習(xí)和生活與因特網(wǎng)聯(lián)系越來越緊密。因特網(wǎng)通過超文本傳輸安全協(xié)議（hypertext?transfer?protocol?secure,?https）保障人們與服務(wù)器的數(shù)據(jù)通信安全，而https的安全核心是傳輸層安全（transport?layersecurity,?tls）協(xié)議。tls協(xié)議在握手階段通過驗證x.509數(shù)字證書（簡稱為數(shù)字證書）以驗證對方的身份并根據(jù)身份驗證結(jié)果決定是否進(jìn)行后續(xù)的對稱密鑰生成和加密通信。如果數(shù)字證書驗證軟件系統(tǒng)錯誤地接受了惡意服務(wù)器的數(shù)字證書，會導(dǎo)致人們與惡意服務(wù)器交互數(shù)據(jù)而不自知；如果數(shù)字證書驗證軟件系統(tǒng)錯誤地拒絕了正常服務(wù)器的數(shù)字證書，會導(dǎo)致人們無法獲得正常的網(wǎng)絡(luò)服務(wù)。因此，數(shù)字證書驗證的正確性關(guān)乎tls協(xié)議、https和因特網(wǎng)的安全性。

2、現(xiàn)有技術(shù)中，frankencert、mucert、nezha、rfccert、sadt、transcert聚焦于數(shù)字證書驗證器的檢測，但忽視了為數(shù)字證書驗證器提供輸入的數(shù)字證書解析器的檢測。數(shù)字證書解析器將易于保存或傳輸?shù)膮^(qū)分編碼規(guī)則等編碼的數(shù)字證書解析為易于進(jìn)行數(shù)字證書驗證的結(jié)構(gòu)化數(shù)據(jù)。數(shù)字證書解析器正確與否會影響數(shù)字證書驗證器輸入的正確性，進(jìn)而影響數(shù)字證書驗證結(jié)果。例如，sadt發(fā)現(xiàn)的編號為870的gnutls軟件缺陷本質(zhì)是由數(shù)字證書解析器軟件缺陷導(dǎo)致的，而非數(shù)字證書驗證器的軟件缺陷：gnutls的數(shù)字證書解析器誤將一個數(shù)字證書有效期的“#01010101000z”解析為“oct?10?10:10:00?1900?gmt”并傳給gnutls的數(shù)字證書驗證器，該數(shù)字證書驗證器根據(jù)錯誤的輸入接受了此數(shù)字證書。由此可知，數(shù)字證書解析器的正確與否會影響到數(shù)字證書驗證的正確性，進(jìn)而影響到網(wǎng)絡(luò)安全性。檢測數(shù)字證書解析器的正確性是必要的，檢測數(shù)字證書解析器有助于現(xiàn)有技術(shù)更精準(zhǔn)地檢測數(shù)字證書驗證器的正確性。

技術(shù)實現(xiàn)思路

1、為解決檢測數(shù)字證書解析器的正確性這一技術(shù)問題，本發(fā)明提供如下技術(shù)方案：一種基于搜索的數(shù)字證書解析器差異測試方法及系統(tǒng)，包括模型建立模塊、搜索模塊、分支模塊、用例生成模塊、規(guī)范化模塊、檢測與更新模塊：

2、所述模型建立模塊根據(jù)數(shù)字證書結(jié)構(gòu)、變異算子、界限和適應(yīng)度函數(shù)建立初始模型；

3、所述搜索模塊在模型中搜索未達(dá)到界限、適應(yīng)度函數(shù)值最大的結(jié)點和算子；

4、所述分支模塊判斷如果搜索到結(jié)點和算子則繼續(xù)執(zhí)行，否則結(jié)束；

5、所述用例生成模塊根據(jù)搜索得到的結(jié)點和算子生成數(shù)字證書；

6、所述規(guī)范化模塊將生成的數(shù)字證書作為數(shù)字證書解析器的輸入，并對數(shù)字證書解析器的輸出結(jié)果進(jìn)行規(guī)范化；

7、所述檢測與更新模塊在數(shù)字證書解析器的規(guī)范化輸出結(jié)果中搜索差異，并根據(jù)搜索得到的差異更新模型。

8、一種基于基于搜索的數(shù)字證書解析器差異測試系統(tǒng)的使用方法，其特征在于：包括：

9、步驟1：模型建立模塊根據(jù)數(shù)字證書結(jié)構(gòu)、變異算子、界限和適應(yīng)度函數(shù)建立初始模型；

10、步驟2：搜索模塊在模型中搜索未達(dá)到界限、適應(yīng)度函數(shù)值最大的結(jié)點和變異算子；

11、步驟3：分支模塊判斷若步驟2搜索到結(jié)點和變異算子則執(zhí)行步驟4，否則結(jié)束；

12、步驟4：用例生成模塊根據(jù)步驟2搜索得到結(jié)點和變異算子生成數(shù)字證書；

13、步驟5：規(guī)范化模塊將步驟4生成的數(shù)字證書作為數(shù)字證書解析器的輸入，并對數(shù)字證書解析器的輸出結(jié)果進(jìn)行規(guī)范化；

14、步驟6：檢測與更新模塊在步驟5規(guī)范化后的數(shù)字證書解析器輸出結(jié)果中搜索差異，并根據(jù)搜索得到的差異更新模型，轉(zhuǎn)至步驟2。

15、優(yōu)選的，所述步驟1具體為：

16、根據(jù)數(shù)字證書的樹型結(jié)構(gòu)為每個結(jié)點配備“增加結(jié)構(gòu)”、“刪除結(jié)構(gòu)”和“改變內(nèi)容”這三個變異算子，并為每個結(jié)點及其變異算子配備連續(xù)變異無效次數(shù)界限、總變異次數(shù)界限、初始值為零的適應(yīng)度函數(shù)，建立初始模型。

17、優(yōu)選的，所述步驟2具體為：

18、在模型中采用先寬度優(yōu)先再深度優(yōu)先搜索策略搜索未達(dá)到界限、適應(yīng)度函數(shù)值最大的結(jié)點和變異算子，搜索過程中對連續(xù)變異無效次數(shù)界限或總變異次數(shù)界限為0值的結(jié)點和變異算子不予選擇。

19、優(yōu)選的，所述步驟5具體為：

20、將步驟4基于步驟2搜索得到的結(jié)點和變異算子所生成的數(shù)字證書輸入到數(shù)字證書解析器以獲得數(shù)字證書解析器的輸出，并規(guī)范化輸出結(jié)果中鍵的名稱和值的格式。

21、優(yōu)選的，所述步驟6具體為：

22、基于步驟5規(guī)范化后的數(shù)字證書解析器輸出結(jié)果，首先根據(jù)是否存在鍵值對判斷各個數(shù)字證書解析器是否能夠解析該數(shù)字證書和是否存在可解析性差異，然后采用自上而下搜索策略搜索各個數(shù)字證書解析器所解析的數(shù)字證書結(jié)構(gòu)之間存在的差異，同時對于相同結(jié)構(gòu)搜索對應(yīng)內(nèi)容是否存在差異，最后根據(jù)搜索得到的可解析性差異、結(jié)構(gòu)性差異和內(nèi)容性差異數(shù)量更新步驟2搜索到的結(jié)點和變異算子的連續(xù)變異無效次數(shù)界限、總變異次數(shù)界限和適應(yīng)度函數(shù)值從而更新模型，模型更新完成后轉(zhuǎn)到步驟2。

23、與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果是：

24、?1、現(xiàn)有技術(shù)沒有從邏輯和實現(xiàn)上清楚地區(qū)分?jǐn)?shù)字證書解析器和數(shù)字證書驗證器，只根據(jù)數(shù)字證書驗證結(jié)果尋找軟件缺陷會忽視數(shù)字證書解析器的軟件缺陷，導(dǎo)致這類軟件缺陷被錯誤地分類為數(shù)字證書驗證器的軟件缺陷，本發(fā)明從邏輯和實現(xiàn)上正確地將數(shù)字證書解析器區(qū)別于數(shù)字證書驗證器，專門檢測數(shù)字證書解析器的差異以發(fā)現(xiàn)數(shù)字證書解析器的軟件缺陷，在本發(fā)明基礎(chǔ)上使用現(xiàn)有技術(shù)檢測數(shù)字驗證器的軟件缺陷將更加精準(zhǔn)；

25、?2、本發(fā)明能夠正確地、自動地檢測數(shù)字證書解析器的可解析性差異、數(shù)字證書解析結(jié)構(gòu)性差異和數(shù)字證書解析內(nèi)容性差異，全面地檢測數(shù)字證書解析器的各類型差異，這是現(xiàn)有技術(shù)所不能企及的；

26、?3、本發(fā)明通過所發(fā)現(xiàn)可解析性差異、結(jié)構(gòu)性和內(nèi)容性差異數(shù)量更新模型以提高搜索效率，通過限界搜索減少無效變異，實現(xiàn)對數(shù)字證書解析器的高效檢測，這也是現(xiàn)有技術(shù)所不能企及的。

技術(shù)特征：

1.一種基于搜索的數(shù)字證書解析器差異測試系統(tǒng)，其特征在于：包括模型建立模塊、搜索模塊、分支模塊、用例生成模塊、規(guī)范化模塊、檢測與更新模塊；

2.一種基于基于搜索的數(shù)字證書解析器差異測試系統(tǒng)的使用方法，其特征在于：包括：

3.根據(jù)權(quán)利要求2所述的一種基于搜索的數(shù)字證書解析器差異測試系統(tǒng)的使用方法，其特征在于：所述步驟1具體為：

4.根據(jù)權(quán)利要求3所述的一種基于基于搜索的數(shù)字證書解析器差異測試系統(tǒng)的使用方法，其特征在于：所述步驟2具體為：

5.根據(jù)權(quán)利要求4所述的一種基于基于搜索的數(shù)字證書解析器差異測試系統(tǒng)的使用方法，其特征在于：所述步驟5具體為：

6.根據(jù)權(quán)利要求5所述的一種基于基于搜索的數(shù)字證書解析器差異測試系統(tǒng)的使用方法，其特征在于：所述步驟6具體為：

技術(shù)總結(jié)
本發(fā)明屬于軟件測試領(lǐng)域，具體地涉及一種基于搜索的數(shù)字證書解析器差異測試系統(tǒng)及使用方法。包括步驟1：模型建立模塊根據(jù)數(shù)字證書結(jié)構(gòu)、變異算子、界限和適應(yīng)度函數(shù)建立初始模型；步驟2：搜索模塊在模型中搜索未達(dá)到界限、適應(yīng)度函數(shù)值最大的結(jié)點和算子；步驟3：分支模塊判斷若步驟2搜索到結(jié)點和算子則執(zhí)行步驟4，否則結(jié)束；步驟4：用例生成模塊根據(jù)步驟2搜索得到結(jié)點和算子生成數(shù)字證書；步驟5：規(guī)范化模塊將步驟4生成的數(shù)字證書作為數(shù)字證書解析器的輸入，并規(guī)范化輸出結(jié)果；步驟6：檢測與更新模塊搜索步驟5規(guī)范化輸出結(jié)果中的差異并更新模型，轉(zhuǎn)至步驟2。本發(fā)明有助于高效地檢測數(shù)字證書解析器的軟件缺陷。

技術(shù)研發(fā)人員：陳矗,任平紅
受保護(hù)的技術(shù)使用者：曲阜師范大學(xué)
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/19