CN116820505A

CN116820505A - 智能终端设备的固件安全的检测方法、装置及电子设备

Info

Publication number: CN116820505A
Application number: CN202310513160.5A
Authority: CN
Inventors: 李曜晟; 潘琰; 宋荣; 孔祥福
Original assignee: Industrial and Commercial Bank of China Ltd ICBC
Current assignee: Industrial and Commercial Bank of China Ltd ICBC
Priority date: 2023-05-08
Filing date: 2023-05-08
Publication date: 2023-09-29

Abstract

本申请公开了一种智能终端设备的固件安全的检测方法、装置及电子设备。涉及金融科技领域，该方法包括：对目标网站进行监测，得到监测结果，其中，目标网站用于下载智能终端设备的目标固件对应的固件文件，监测结果用于表征固件文件的当前版本信息；基于当前版本信息检测目标固件是否更新为第一固件；在目标固件更新为第一固件的情况下，从目标网站中下载第一固件对应的固件文件，得到目标固件文件；提取目标固件文件中的关键信息，并对关键信息进行安全检测，得到检测结果。本申请解决了相关技术在智能终端设备的固件更新后无法及时对更新后的固件进行安全检测，导致智能终端设备的安全性较低的技术问题。

Description

智能终端设备的固件安全的检测方法、装置及电子设备

技术领域

本申请涉及金融科技领域，具体而言，涉及一种智能终端设备的固件安全的检测方法、装置及电子设备。

背景技术

随着自助设备的应用场景和类型的多样化，移动智能终端、车载智能终端、智能电视、可穿戴设备等自助设备，给人们生活带来了诸多便利。自助设备的自动化程度越高，意味着自助设备的固件安全性越来越重要，固件的安全性较低，往往会造成不可估量的损失。现有技术在对自助设备的固件进行安全检测时，通常是通过手动下载固件，然后对固件文件进行安全检测。但是，通过手动下载固件需要在相关人员接收到固件文件更新消息之后，而接收到固件文件更新消息往往存在消息滞后的问题，在智能终端设备的固件更新后无法及时对更新后的固件进行安全检测，导致智能终端设备的安全性较低的问题。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本申请提供了一种智能终端设备的固件安全的检测方法、装置及电子设备，以至少解决相关技术在智能终端设备的固件更新后无法及时对更新后的固件进行安全检测，导致智能终端设备的安全性较低的技术问题。

根据本申请的一个方面，提供了一种智能终端设备的固件安全的检测方法，包括：对目标网站进行监测，得到监测结果，其中，所述目标网站用于下载智能终端设备的目标固件对应的固件文件，所述固件文件用于更新所述智能终端设备的目标固件，所述监测结果用于表征所述固件文件的当前版本信息；基于所述当前版本信息检测所述目标固件是否更新为第一固件，其中，所述目标固件的版本与所述第一固件的版本不相同；在所述目标固件更新为所述第一固件的情况下，从所述目标网站中下载所述第一固件对应的固件文件，得到目标固件文件；提取所述目标固件文件中的关键信息，并对所述关键信息进行安全检测，得到检测结果，其中，所述关键信息为所述目标固件文件中存在信息泄露隐患的信息，所述检测结果用于表征所述第一固件所存在的漏洞。

进一步地，从所述目标网站中下载所述第一固件对应的固件文件，得到目标固件文件，包括：获取所述目标网站对应的网站结构目录，其中，所述网站结构目录用于确定所述第一固件的下载路径；依据所述下载路径从所述目标网站中下载所述第一固件对应的固件文件，得到所述目标固件文件。

进一步地，提取所述目标固件文件中的关键信息，包括：识别所述目标固件文件中的M个预设特征值，其中，所述预设特征值用于标记所述目标固件文件对应的文件类型，M为正整数；基于所述M个预设特征值对所述目标固件文件进行解压缩处理，得到第一固件文件，并从所述第一固件文件中提取所述关键信息。

进一步地，对所述关键信息进行安全检测，得到检测结果，包括：基于预设规则检测所述关键信息中是否存在敏感信息，其中，所述敏感信息为禁止公布的信息；在所述关键信息中存在所述敏感信息的情况下，确定所述第一固件存在第一漏洞，其中，所述第一漏洞用于表征所述第一固件存在泄露所述敏感信息的安全缺陷；在所述关键信息中不存在所述敏感信息的情况下，确定所述第一固件未存在所述第一漏洞。

进一步地，所述关键信息中还包括加密信息，对所述关键信息进行安全检测，得到检测结果，包括：对所述加密信息的密钥进行破解，得到破解结果；在所述破解结果为第一破解结果的情况下，确定所述第一固件存在第二漏洞，其中，所述第二漏洞用于表征所述第一固件存在泄露所述加密信息的安全缺陷，所述第一破解结果用于表征成功破解所述加密信息的密钥；在所述破解结果为第二破解结果的情况下，确定所述第一固件不存在所述第二漏洞，其中，所述第二破解结果用于表征未成功破解所述加密信息的密钥。

进一步地，所述关键信息中还包括可执行文件，对所述关键信息进行安全检测，得到检测结果，包括：识别所述可执行文件中的N个目标配置数据，其中，每个目标配置数据用于为所述可执行文件的编译过程配置安全保护机制，N为正整数；检测所述N个目标配置数据的数量与预设配置数据的数量是否相同，其中，所述预设配置数据的数量为正常的可执行文件中的目标配置数据的数量；在所述N个目标配置数据的数量与所述预设配置数据的数量不相同的情况下，确定所述第一固件存在第三漏洞，其中，所述第三漏洞用于表征所述第一固件存在缺少所述安全保护机制的安全缺陷；在所述N个目标配置数据的数量与所述预设配置数据的数量相同的情况下，确定所述第一固件不存在所述第三漏洞。

进一步地，在对所述关键信息进行安全检测，得到检测结果之后，所述方法还包括：获取所述第一固件运行时所依赖的目标操作系统的系统标识；检测预设漏洞库中是否存在所述目标操作系统的系统标识，其中，所述预设漏洞库用于存储多个异常操作系统的系统标识，所述异常操作系统为已知存在安全漏洞的操作系统；在所述预设漏洞库中存在所述目标操作系统的系统标识的情况下，确定所述第一固件存在第四漏洞，其中，所述第四漏洞表征所述第一固件运行时所依赖的目标操作系统存在信息安全风险；在所述预设漏洞库中不存在所述目标操作系统的系统标识的情况下，确定所述第一固件不存在所述第四漏洞。

进一步地，在基于所述当前版本信息检测所述目标固件是否更新为第一固件之后，所述方法还包括：在所述目标固件未更新为所述第一固件的情况下，禁止从所述目标网站中下载所述目标固件对应的固件文件。

根据本申请的另一方面，还提供了一种智能终端设备的固件安全的检测装置，包括：监测模块，用于对目标网站进行监测，得到监测结果，其中，所述目标网站用于下载智能终端设备的目标固件对应的固件文件，所述固件文件用于更新所述智能终端设备的目标固件，所述监测结果用于表征所述固件文件的当前版本信息；第一检测模块，用于基于所述当前版本信息检测所述目标固件是否更新为第一固件，其中，所述目标固件的版本与所述第一固件的版本不相同；下载模块，用于在所述目标固件更新为所述第一固件的情况下，从所述目标网站中下载所述第一固件对应的固件文件，得到目标固件文件；第二检测模块，用于提取所述目标固件文件中的关键信息，并对所述关键信息进行安全检测，得到检测结果，其中，所述关键信息为所述目标固件文件中存在信息泄露隐患的信息，所述检测结果用于表征所述第一固件所存在的漏洞。

根据本申请的另一方面，还提供了一种计算机可读存储介质，计算机可读存储介质中存储有计算机程序，其中，计算机程序被设置为运行时执行上述的智能终端设备的固件安全的检测方法。

根据本申请的另一方面，还提供了一种电子设备，电子设备包括一个或多个处理器；存储器，用于存储一个或多个程序，当一个或多个程序被一个或多个处理器执行时，使得一个或多个处理器实现用于运行程序，其中，程序被设置为运行时执行上述的智能终端设备的固件安全的检测方法。

在本申请中，首先对目标网站进行监测，得到监测结果，其中，所述目标网站用于下载智能终端设备的目标固件对应的固件文件，所述固件文件用于更新所述智能终端设备的目标固件，所述监测结果用于表征所述固件文件的当前版本信息；然后基于所述当前版本信息检测所述目标固件是否更新为第一固件，其中，所述目标固件的版本与所述第一固件的版本不相同；然后在所述目标固件更新为所述第一固件的情况下，从所述目标网站中下载所述第一固件对应的固件文件，得到目标固件文件；最后提取所述目标固件文件中的关键信息，并对所述关键信息进行安全检测，得到检测结果，其中，所述关键信息为所述目标固件文件中存在信息泄露隐患的信息，所述检测结果用于表征所述第一固件所存在的漏洞。

在上述过程中，通过主动对目标网站进行监测，在监测到智能终端设备的目标固件更新为第一固件时，自动从目标网站中下载第一固件对应的固件文件，并自动对第一固件对应的固件文件进行安全检测，无需手动从目标网站中下载固件，提高了智能终端设备的固件安全检测的时效性，从而实现了提高智能终端设备的安全性的技术效果，进而解决了相关技术在智能终端设备的固件更新后无法及时对更新后的固件进行安全检测，导致智能终端设备的安全性较低的技术问题。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1是根据本申请实施例的一种可选的智能终端设备的固件安全的检测方法的流程图；

图2是根据本申请实施例的另一种可选的智能终端设备的固件安全的检测方法的流程图；

图3是根据本申请实施例的一种可选的固件文件下载过程的流程图；

图4是根据本申请实施例的一种可选的固件文件解压缩过程的流程图；

图5是根据本申请实施例的一种可选的固件文件提取过程的流程图；

图6是根据本申请实施例的一种可选的固件安全的检测过程的流程图；

图7是根据本申请实施例的一种可选的加密文件的安全检测过程的流程图；

图8是根据本申请实施例的一种可选的智能终端设备的安全检测系统框架的示意图；

图9是根据本申请实施例的一种可选的智能终端设备的Web安全检测过程的流程图；

图10是根据本申请实施例的一种可选的智能终端设备的固件安全的检测装置的示意图；

图11是根据本申请实施例的一种可选的电子设备的示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

需要说明的是，本申请的智能终端设备的固件安全的检测方法、装置及电子设备可用于金融科技领域，也可用于除金融科技领域之外的其他领域，本申请的智能终端设备的固件安全的检测方法、装置及电子设备的应用领域不做限定。

需要说明的是，本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据，并且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准，并提供有相应的操作入口，供用户选择授权或者拒绝。

实施例1

根据本申请实施例，提供了一种智能终端设备的固件安全的检测方法的方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

图1是根据本申请实施例的一种可选的智能终端设备的固件安全的检测方法的流程图，如图1所示，该方法包括如下步骤：

步骤S101，对目标网站进行监测，得到监测结果，其中，目标网站用于下载智能终端设备的目标固件对应的固件文件，监测结果用于表征固件文件的当前版本信息。

在一种可选地实施例中，一种智能终端设备的安全检测系统可作为本申请实施例中的智能终端设备的固件安全的检测方法的执行主体。为了方便描述，以下将智能终端设备的安全检测系统简称为系统。

在步骤S101中，固件文件用于更新智能终端设备的目标固件。

可选地，如图2所示，本实施例中，系统可通过对目标网站进行监测，主动发现智能终端设备的目标固件对应的固件文件是否更新。需要说明的是，本申请的智能终端设备的安全检测系统除了可自动监测目标网站之外，还配置了固件上传功能，用户可通过上述功能将待检测的固件文件上传至智能终端设备的安全检测系统中，进行固件安全检测。

可选地，智能终端设备可以但不限于为ATM机、网络摄像头、路由器、接入点、智能TV、调制解调器等。

可选地，如图3所示，系统可调用Scrapy(爬虫)API接口从目标网站中获取网页数据，以实现获取固件文件的当前版本信息。需要说明的是，为了提供高效、精准的服务，本申请的智能终端设备的安全检测系统采用Scrapy框架对目标网站进行数据监测，通过基于多厂商定制模板实现对不同的智能终端设备进行数据监测，其中，多厂商定制模板为一种网址模板，通过修改多厂商定制模板中的参数即可获取目标网站的网址。

可选地，在本申请中，系统可将不同目标网站对应的监测任务(即检索任务)根据任务的优先级别依次存储至检索队列中进行排队。

步骤S102，基于当前版本信息检测目标固件是否更新为第一固件，其中，目标固件的版本与第一固件的版本不相同。

步骤S103，在目标固件更新为第一固件的情况下，从目标网站中下载第一固件对应的固件文件，得到目标固件文件。

在步骤S102-S103中，系统可基于当前版本信息检测目标固件是否更新为第一固件，来确定是否从目标网站中下载固件文件。其中，在目标固件更新为第一固件的情况下，系统可从目标网站中下载第一固件对应的固件文件，得到目标固件文件。可选地，在得到目标固件文件之后，系统可将目标固件文件存储至图2中的固件库中。

可选地，为了提高用户体验感，本实施例的智能终端设备的安全检测系统配置了图3所示用户检索页面，用户可通过用户检索页面从固件库中查看目标固件文件。

步骤S104，提取目标固件文件中的关键信息，并对关键信息进行安全检测，得到检测结果。

在步骤S104中，关键信息为目标固件文件中存在信息泄露隐患的信息，例如，敏感文件(例如，配置文件、数据库文件、系统脚本文件、共享对象库文件等)、敏感字符串(IP地址/URL、邮箱地址等)、加密文件、固件操作系统信息(智能终端设备的操作系统至少包括linux操作系统，UCOS操作系统，windows ce操作系统，VXworks操作系统，freertos操作系统等)、可执行文件等信息。检测结果用于表征第一固件所存在的漏洞。

例如，如图2所示，为了全面的分析智能终端设备的固件安全漏洞，系统在提取目标固件文件中的关键信息之后，可对关键信息中的敏感文件、敏感字符串进行安全检测，确定第一固件是否存在第一漏洞，其中，第一漏洞用于表征第一固件存在泄露敏感信息的安全缺陷。系统可对关键信息中的加密信息进行安全检测，确定第一固件是否存在第一漏洞，其中，第二漏洞用于表征第一固件存在泄露加密信息的安全缺陷；系统可对关键信息中的可执行文件进行安全检测，确定第一固件是否存在第三漏洞，其中，第一固件存在缺少安全保护机制的安全缺陷。

基于上述步骤S101至步骤S104所限定的方案，可以获知，在本申请实施例中，首先对目标网站进行监测，得到监测结果，其中，目标网站用于下载智能终端设备的目标固件对应的固件文件，固件文件用于更新智能终端设备的目标固件，监测结果用于表征固件文件的当前版本信息；然后基于当前版本信息检测目标固件是否更新为第一固件，其中，目标固件的版本与第一固件的版本不相同；然后在目标固件更新为第一固件的情况下，从目标网站中下载第一固件对应的固件文件，得到目标固件文件；最后提取目标固件文件中的关键信息，并对关键信息进行安全检测，得到检测结果，其中，关键信息为目标固件文件中存在信息泄露隐患的信息，检测结果用于表征第一固件所存在的漏洞。

需要说明的是，在上述过程中，通过主动对目标网站进行监测，在监测到智能终端设备的目标固件更新为第一固件时，自动从目标网站中下载第一固件对应的固件文件，并自动对第一固件对应的固件文件进行安全检测，无需手动从目标网站中下载固件，提高了智能终端设备的固件安全检测的时效性，从而实现了提高智能终端设备的安全性的技术效果，进而解决了相关技术在智能终端设备的固件更新后无法及时对更新后的固件进行安全检测，导致智能终端设备的安全性较低的技术问题。

进一步地，在得到检测结果之后，系统可基于检测结果生成检测报告。其中，系统可自动生成检测报告的目录、统计分析表、统计分析图、漏洞排名表、以及详细的漏洞信息。在生成报告时，系统根据数据库中的扫描结果，能够自动进行统计分析，在生成具体的漏洞信息时，系统通过分析算法和过滤合并算法对重复的漏洞信息进行筛选，有效降低了同类漏洞的多次出现。

一种可选的实施例，在目标固件未更新为第一固件的情况下，系统禁止从目标网站中下载目标固件对应的固件文件。

为了减少系统不必要的资源浪费，在目标固件未更新为第一固件的情况下，系统禁止从目标网站中下载目标固件对应的固件文件。

可选地，在本申请实施例提供的智能终端设备的固件安全的检测方法中，从目标网站中下载第一固件对应的固件文件，得到目标固件文件，包括：系统可获取目标网站对应的网站结构目录，其中，网站结构目录用于确定第一固件的下载路径；然后依据下载路径从目标网站中下载第一固件对应的固件文件，得到目标固件文件。

在本实施例中，系统在调用Scrapy(爬虫)API接口从目标网站中获取网页数据之后，通过从目录数据库中获取网站结构目录，通过XPath选择器对网页数据进行页面分析，然后基于网站结构目录下载第一固件对应的固件文件，得到目标固件文件。其中，不同的目标网站对应不同的网站结构目录，例如，目标网站A对应的网站结构目录中仅存在父目录，系统在从目标网站A中下载固件文件时，仅需根据父目录对应的下载路径下载固件文件即可；目标网站B对应的网站结构目录中存在父目录和子目录，系统在从目标网站B中下载固件文件时，需要根据父目录和子目录的下载路径才能下载完整的固件文件。

可选地，现有技术的目标网站采用的动态加载支持页面，会导致无法下载完整的目标固件文件的问题，为了解决上述问题，本申请通过FTP服务镜像点，根据文件的后缀来区别，只限定相关的FTP文件会被下载，例如，限定img，chk，bin，stk，zip，tar，sys，rar，pkg和rmt类型的后缀对应的文件可下载。

需要说明的是，通过网站结构目录从目标网站中下载第一固件对应的固件文件，在目标网站对应的网站结构目录中存在父目录和子目录时，能够避免由于未下载完整的目标固件文件，导致文件下载失败的问题。

可选地，在本申请实施例提供的智能终端设备的固件安全的检测方法中，提取目标固件文件中的关键信息，包括：系统可识别目标固件文件中的M个预设特征值，其中，预设特征值用于标记目标固件文件对应的文件类型，M为正整数；然后基于M个预设特征值对目标固件文件进行解压缩处理，得到第一固件文件，并从第一固件文件中提取关键信息。

在本实施例中，预设特征值可以为magic number(魔数)，用于标记目标固件文件对应的文件类型，本申请的智能终端设备的安全检测系统中维护了一个如表1所示的特征值库。系统可基于特征值库识别目标固件文件中的M个预设特征值，然后基于M个预设特征值对目标固件文件进行解压缩处理，得到第一固件文件，并从第一固件文件中提取关键信息。例如，如图4所示，系统可识别目标固件文件中是否存在预设特征值，在目标固件文件中存在预设特征值时，记录该预设特征值的地址；然后系统可检测目标固件文件中是否存在上一个预设特征值的地址，在目标固件文件中存在上一个预设特征值的地址时，根据两个预设特征值的地址的差值提取文件；然后检测提取的文件的格式是否为压缩格式，在文件的格式为压缩格式，对该文件进行解压缩，在在文件的格式为文件系统格式时，对该文件进行解压缩，直至完成文件的解压缩处理。

表1特征值库

可选地，本实施例中，如图5所示，系统可通过信息提取引擎对第一固件文件进行关键信息提取，并将关键信息存储至数据库中。可选地，系统提供查询接口从数据库中查询关键信息。

可选地，系统可通过信息提取引擎提取第一固件文件中的开源组件版本信息，通过开源组件banner库匹配识别出第一固件文件中的组件版本。对于不包含或者缺失版本字符串的开源组件，系统可通过开源组件版本签名库，将待识别的开源组件的签名与版本签名库进行匹配，将匹配度最高的版本签名所对应的版本作为识别结果。

可选地，在本申请实施例提供的智能终端设备的固件安全的检测方法中，对关键信息进行安全检测，得到检测结果，包括：系统可基于预设规则检测关键信息中是否存在敏感信息，其中，敏感信息为禁止公布的信息；在关键信息中存在敏感信息的情况下，系统可确定第一固件存在第一漏洞，其中，第一漏洞用于表征第一固件存在泄露敏感信息的安全缺陷，并将第一漏洞的漏洞信息存储至数据库中；在关键信息中不存在敏感信息的情况下，系统可确定第一固件未存在第一漏洞。

在本实施例中，如图6所示，系统可通过规则库中的预设规则检测关键信息中是否存在禁止公布的信息，在关键信息中存在禁止公布的信息的情况下，系统可确定第一固件存在第一漏洞，其中，第一漏洞用于表征第一固件存在泄露敏感信息的安全缺陷；在关键信息中不存在禁止公布的信息的情况下，系统可确定第一固件未存在第一漏洞。

可选地，系统提供如图6所示的规则添加接口，支持用户添加自定义规则。

可选地，预设检测规则至少包括：(1)二进制文件中提取的字符串中存在疑似密钥的字符串；(2)存在TEST、DEBUG等字符串的文件；(3)存在常见风险配置库。

需要说明的是，系统通过预设规则检测关键信息中是否存在禁止公布的信息，来确定第一固件是否存在漏洞，能够实现及时发现存在的安全问题，从而提高了智能终端设备的安全性。

可选地，在本申请实施例提供的智能终端设备的固件安全的检测方法中，关键信息中还包括加密信息，对关键信息进行安全检测，得到检测结果，包括：系统可对加密信息的密钥进行破解，得到破解结果；在破解结果为第一破解结果的情况下，系统可确定第一固件存在第二漏洞，其中，第二漏洞用于表征第一固件存在泄露加密信息的安全缺陷，第一破解结果用于表征成功破解加密信息的密钥；在破解结果为第二破解结果的情况下，系统可确定第一固件不存在第二漏洞，其中，第二破解结果用于表征未成功破解加密信息的密钥。

在本实施例中，如图7所示，系统可从加密信息中获取密钥，然后通过哈希破解引擎对密钥进行破解，在成功破解加密信息的密钥情况下，系统可确定第一固件存在第二漏洞，其中，第二漏洞用于表征第一固件存在泄露加密信息的安全缺陷，并将第二漏洞的漏洞信息存储至数据库中；在未成功破解加密信息的密钥的情况下，系统可确定第一固件不存在第二漏洞。

可选地，加密信息可为加密文件、加密组件相关的信息。

需要说明的是，系统通过确定加密信息的密钥是否能成功破解，来确定第一固件是否存在漏洞，能够实现及时发现存在的安全问题，从而提高了智能终端设备的安全性。

可选地，在本申请实施例提供的智能终端设备的固件安全的检测方法中，关键信息中还包括可执行文件，对关键信息进行安全检测，得到检测结果，包括：系统可识别可执行文件中的N个目标配置数据，其中，每个目标配置数据用于为可执行文件的编译过程配置安全保护机制，N为正整数；然后检测N个目标配置数据的数量与预设配置数据的数量是否相同，其中，预设配置数据的数量为正常的可执行文件中的目标配置数据的数量；在N个目标配置数据的数量与预设配置数据的数量不相同的情况下，系统可确定第一固件存在第三漏洞，其中，第三漏洞用于表征第一固件存在缺少安全保护机制的安全缺陷；在N个目标配置数据的数量与预设配置数据的数量相同的情况下，系统可确定第一固件不存在第三漏洞。

在本实施例中，正常的可执行文件对应的预设配置数据(例如二进制文件的安全编译选项)可为：

1.Canary：栈保护机制。

2.PIE：地址随机化机制。

3.NX：数据页不可执行机制。

4.RELRO：GOT表只读机制。

5.Fortify：溢出检测机制。

例如，系统识别出可执行文件中的目标配置数据仅包括：Canary栈保护机制、PIE地址随机化机制、NX数据页不可执行机制，共3个目标配置数据，其数量小于预设配置数据的数量，系统可确定第一固件存在第三漏洞，其中，第三漏洞用于表征第一固件存在缺少安全保护机制的安全缺陷。

需要说明的是，系统通过确定可执行文件中的目标配置数据的数量与预设配置数据的数量是否相同，来确定第一固件是否存在漏洞，能够实现及时发现存在的安全问题，从而提高了智能终端设备的安全性。

一种可选的实施例，在对关键信息进行安全检测，得到检测结果之后，系统可获取第一固件运行时所依赖的目标操作系统的系统标识；然后检测预设漏洞库中是否存在目标操作系统的系统标识，其中，预设漏洞库用于存储多个异常操作系统的系统标识，异常操作系统为已知存在安全漏洞的操作系统；系统可在预设漏洞库中存在目标操作系统的系统标识的情况下，确定第一固件存在第四漏洞，其中，第四漏洞表征第一固件运行时所依赖的目标操作系统存在信息安全风险；在预设漏洞库中不存在目标操作系统的系统标识的情况下，确定第一固件不存在第四漏洞。

在本实施例中，预设漏洞库中存储了已知的、公开披露的漏洞。系统通过检测预设漏洞库中是否存在目标操作系统的系统标识，来确定第一固件是否存在漏洞。在系统可在预设漏洞库中存在目标操作系统的系统标识的情况下，确定第一固件存在第四漏洞，其中，第四漏洞表征第一固件的运行时所依赖的目标操作系统存在信息安全风险；在预设漏洞库中不存在目标操作系统的系统标识的情况下，确定第一固件不存在第四漏洞。需要说明的是，系统除对第一固件运行时所依赖的目标操作系统进行安全检测之外，还对第一固件运行时所依赖的硬件平台、第三方库等依赖项进行安全检测。

需要说明的是，系统通过对第一固件的依赖项进行已知漏洞的安全检测，来确定第一固件是否存在漏洞，能够实现及时发现存在的安全问题，从而提高了智能终端设备的安全性。

一种可选的实施例，如图8所示，智能终端设备的安全检测系统的系统框架包括：前端展示层、数据存储分析层以及安全能力服务集群。其中，前端展示层集成了用户管理、固件管理、任务管理、结果展示、报告导出和数据分析等功能，为用户提供较好的体验感。数据存储分析层集成了安全检测的任务创建、任务下发、结果统计、自动化API接口、数据库接口等功能，能够主动发现、探测公开的智能终端设备固件厂商，并对收集固件基础信息，提高智能终端设备固件的数据储备。安全能力服务集群通过后端控制微服务进行固件安全检测，结合静态安全分析和动态安全分析的优势，基于安全配置、可执行程序安全、依赖组件安全和Web体系安全等四个维度，对目标固件进行解析，检索并分析其文件系统，提取关键配置文件和可执行文件等敏感组件，全面的、深度的检测智能终端设备的固件的安全性。

可选地，如图8所示的数据库(包括总数据库)为MongoDB数据库(分布式文档存储数据库)。

可选地，在本实施例中，为了更有效的管理、分析、区分不同版本和不同型号的智能终端设备的固件，系统以固件基本信息为基础，例如设备型号、厂商名、固件版本、固件构建日期、源码链接、固件镜像链接等维度进行日常的维护，以保证区分多个产品共享一个固件的场景。

另一种可选的实施例，本申请的智能终端设备的安全检测系统还可通过端口扫描技术对智能终端设备的敏感端口进行扫描探测，确定敏感端口是否存在安全漏洞。其中，端口扫描技术至少包括：TCP connect扫描、TCPSYN扫描等。

可选地，本申请的智能终端设备的安全检测系统还可通过内置的弱口令字典对开放的远程登录端口(如SSH、Telnet等)进行破解，若破解成功，则确定智能终端设备的远程登录端口存在安全漏洞。

可选地，本申请的智能终端设备的安全检测系统还可通过web漏洞扫描引擎，针对智能终端设备的在线WEB系统进行漏洞扫描，其中，系统支持扫描的web漏洞至少包括：SQL注入漏洞检测、XSS漏洞检测、命令注入漏洞检测等。

可选地，如图9所示，本申请的智能终端设备的安全检测系统还可通过将用户输入的数据包经过包变异引擎处理，得到变异数据包，通过变异数据包对智能终端设备的Web服务进行测试，得到测试结果，然后通过响应包分析引擎对测试结果中的数据包进行分析，得到漏洞分析结果，以达到FUZZ(模糊测试)的效果；最后将漏洞分析结果存储至数据库中。

由此可见，通过本申请的技术方案，能够主动对目标网站进行监测，在监测到智能终端设备的目标固件更新为第一固件时，自动从目标网站中下载第一固件对应的固件文件，并自动对第一固件对应的固件文件进行安全检测，无需手动从目标网站中下载固件，提高了智能终端设备的固件安全检测的时效性，从而实现了提高智能终端设备的安全性的技术效果，进而解决了相关技术在智能终端设备的固件更新后无法及时对更新后的固件进行安全检测，导致智能终端设备的安全性较低的技术问题。

实施例2

根据本申请实施例，提供了一种智能终端设备的固件安全的检测装置的实施例，其中，图10根据本申请实施例的一种可选的智能终端设备的固件安全的检测装置的示意图，如图10所示，该装置包括：

监测模块1001，用于对目标网站进行监测，得到监测结果，其中，目标网站用于下载智能终端设备的目标固件对应的固件文件，固件文件用于更新智能终端设备的目标固件，监测结果用于表征固件文件的当前版本信息；

第一检测模块1002，用于基于当前版本信息检测目标固件是否更新为第一固件，其中，目标固件的版本与第一固件的版本不相同；

下载模块1003，用于在目标固件更新为第一固件的情况下，从目标网站中下载第一固件对应的固件文件，得到目标固件文件；

第二检测模块1004，用于提取目标固件文件中的关键信息，并对关键信息进行安全检测，得到检测结果，其中，关键信息为目标固件文件中存在信息泄露隐患的信息，检测结果用于表征第一固件所存在的漏洞。

需要说明的是，上述监测模块1001、第一检测模块1002、下载模块1003以及第二检测模块1004对应于上述实施例1中的步骤S101至步骤S104，四个模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例1所公开的内容。

可选地，下载模块包括：第一获取单元，用于获取目标网站对应的网站结构目录，其中，网站结构目录用于确定第一固件的下载路径；下载单元，用于依据下载路径从目标网站中下载第一固件对应的固件文件，得到目标固件文件。

可选地，第二检测模块包括：第一识别单元，用于识别目标固件文件中的M个预设特征值，其中，预设特征值用于标记目标固件文件对应的文件类型，M为正整数；提取单元，用于基于M个预设特征值对目标固件文件进行解压缩处理，得到第一固件文件，并从第一固件文件中提取关键信息。

可选地，第二检测模块还包括：第一检测单元，用于基于预设规则检测关键信息中是否存在敏感信息，其中，敏感信息为禁止公布的信息；第一确定单元，用于在关键信息中存在敏感信息的情况下，确定第一固件存在第一漏洞，其中，第一漏洞用于表征第一固件存在泄露敏感信息的安全缺陷；第二确定单元，用于在关键信息中不存在敏感信息的情况下，确定第一固件未存在第一漏洞。

可选地，第二检测模块还包括：破解单元，用于关键信息中还包括加密信息，对加密信息的密钥进行破解，得到破解结果；第三确定单元，用于在破解结果为第一破解结果的情况下，确定第一固件存在第二漏洞，其中，第二漏洞用于表征第一固件存在泄露加密信息的安全缺陷，第一破解结果用于表征成功破解加密信息的密钥；第四确定单元，用于在破解结果为第二破解结果的情况下，确定第一固件不存在第二漏洞，其中，第二破解结果用于表征未成功破解加密信息的密钥。

可选地，第二检测模块还包括：第二识别单元，用于关键信息中还包括可执行文件，识别可执行文件中的N个目标配置数据，其中，每个目标配置数据用于为可执行文件的编译过程配置安全保护机制，N为正整数；第二检测单元，用于检测N个目标配置数据的数量与预设配置数据的数量是否相同，其中，预设配置数据的数量为正常的可执行文件中的目标配置数据的数量；第五确定单元，用于在N个目标配置数据的数量与预设配置数据的数量不相同的情况下，确定第一固件存在第三漏洞，其中，第三漏洞用于表征第一固件存在缺少安全保护机制的安全缺陷；第六确定单元，用于在N个目标配置数据的数量与预设配置数据的数量相同的情况下，确定第一固件不存在第三漏洞。

可选地，智能终端设备的固件安全的检测装置还包括：第一获取模块，用于在对关键信息进行安全检测，得到检测结果之后，获取第一固件运行时所依赖的目标操作系统的系统标识；第三检测模块，用于检测预设漏洞库中是否存在目标操作系统的系统标识，其中，预设漏洞库用于存储多个异常操作系统的系统标识，异常操作系统为已知存在安全漏洞的操作系统；第一确定模块，用于在预设漏洞库中存在目标操作系统的系统标识的情况下，确定第一固件存在第四漏洞，其中，第四漏洞表征第一固件运行时所依赖的目标操作系统存在信息安全风险；第二确定模块，用于在预设漏洞库中不存在目标操作系统的系统标识的情况下，确定第一固件不存在第四漏洞。

可选地，智能终端设备的固件安全的检测装置还包括：禁止模块，用于在基于当前版本信息检测目标固件是否更新为第一固件之后，在目标固件未更新为第一固件的情况下，禁止从目标网站中下载目标固件对应的固件文件。

实施例3

根据本申请实施例的另一方面，还提供了计算机可读存储介质，计算机可读存储介质中存储有计算机程序，其中，计算机程序被设置为运行时执行上述的智能终端设备的固件安全的检测方法。

实施例4

根据本申请实施例的另一方面，还提供了一种电子设备，其中，图11是根据本申请实施例的一种可选的电子设备的示意图，如图11所示，电子设备包括一个或多个处理器；存储器，用于存储一个或多个程序，当一个或多个程序被一个或多个处理器执行时，使得一个或多个处理器实现用于运行程序，其中，程序被设置为运行时执行上述的智能终端设备的固件安全的检测方法。

如图11所示，本申请实施例提供了一种电子设备，设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序，处理器执行程序时实现以下步骤：

对目标网站进行监测，得到监测结果，其中，目标网站用于下载智能终端设备的目标固件对应的固件文件，固件文件用于更新智能终端设备的目标固件，监测结果用于表征固件文件的当前版本信息；基于当前版本信息检测目标固件是否更新为第一固件，其中，目标固件的版本与第一固件的版本不相同；在目标固件更新为第一固件的情况下，从目标网站中下载第一固件对应的固件文件，得到目标固件文件；提取目标固件文件中的关键信息，并对关键信息进行安全检测，得到检测结果，其中，关键信息为目标固件文件中存在信息泄露隐患的信息，检测结果用于表征第一固件所存在的漏洞。

可选地，处理器执行程序时还实现以下步骤：获取目标网站对应的网站结构目录，其中，网站结构目录用于确定第一固件的下载路径；依据下载路径从目标网站中下载第一固件对应的固件文件，得到目标固件文件。

可选地，处理器执行程序时还实现以下步骤：识别目标固件文件中的M个预设特征值，其中，预设特征值用于标记目标固件文件对应的文件类型，M为正整数；基于M个预设特征值对目标固件文件进行解压缩处理，得到第一固件文件，并从第一固件文件中提取关键信息。

可选地，处理器执行程序时还实现以下步骤：基于预设规则检测关键信息中是否存在敏感信息，其中，敏感信息为禁止公布的信息；在关键信息中存在敏感信息的情况下，确定第一固件存在第一漏洞，其中，第一漏洞用于表征第一固件存在泄露敏感信息的安全缺陷；在关键信息中不存在敏感信息的情况下，确定第一固件未存在第一漏洞。

可选地，处理器执行程序时还实现以下步骤：对加密信息的密钥进行破解，得到破解结果；在破解结果为第一破解结果的情况下，确定第一固件存在第二漏洞，其中，第二漏洞用于表征第一固件存在泄露加密信息的安全缺陷，第一破解结果用于表征成功破解加密信息的密钥；在破解结果为第二破解结果的情况下，确定第一固件不存在第二漏洞，其中，第二破解结果用于表征未成功破解加密信息的密钥。

可选地，处理器执行程序时还实现以下步骤：识别可执行文件中的N个目标配置数据，其中，每个目标配置数据用于为可执行文件的编译过程配置安全保护机制，N为正整数；检测N个目标配置数据的数量与预设配置数据的数量是否相同，其中，预设配置数据的数量为正常的可执行文件中的目标配置数据的数量；在N个目标配置数据的数量与预设配置数据的数量不相同的情况下，确定第一固件存在第三漏洞，其中，第三漏洞用于表征第一固件存在缺少安全保护机制的安全缺陷；在N个目标配置数据的数量与预设配置数据的数量相同的情况下，确定第一固件不存在第三漏洞。

可选地，处理器执行程序时还实现以下步骤：在对关键信息进行安全检测，得到检测结果之后，获取第一固件运行时所依赖的目标操作系统的系统标识；检测预设漏洞库中是否存在目标操作系统的系统标识，其中，预设漏洞库用于存储多个异常操作系统的系统标识，异常操作系统为已知存在安全漏洞的操作系统；在预设漏洞库中存在目标操作系统的系统标识的情况下，确定第一固件存在第四漏洞，其中，第四漏洞表征第一固件运行时所依赖的目标操作系统存在信息安全风险；在预设漏洞库中不存在目标操作系统的系统标识的情况下，确定第一固件不存在第四漏洞。

可选地，处理器执行程序时还实现以下步骤：在基于当前版本信息检测目标固件是否更新为第一固件之后，在目标固件未更新为第一固件的情况下，禁止从目标网站中下载目标固件对应的固件文件。

上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。

在本申请的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如单元的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上仅是本申请的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本申请的保护范围。

Claims

1.一种智能终端设备的固件安全的检测方法，其特征在于，包括：

对目标网站进行监测，得到监测结果，其中，所述目标网站用于下载智能终端设备的目标固件对应的固件文件，所述固件文件用于更新所述智能终端设备的目标固件，所述监测结果用于表征所述固件文件的当前版本信息；

基于所述当前版本信息检测所述目标固件是否更新为第一固件，其中，所述目标固件的版本与所述第一固件的版本不相同；

在所述目标固件更新为所述第一固件的情况下，从所述目标网站中下载所述第一固件对应的固件文件，得到目标固件文件；

提取所述目标固件文件中的关键信息，并对所述关键信息进行安全检测，得到检测结果，其中，所述关键信息为所述目标固件文件中存在信息泄露隐患的信息，所述检测结果用于表征所述第一固件所存在的漏洞。

2.根据权利要求1所述的方法，其特征在于，从所述目标网站中下载所述第一固件对应的固件文件，得到目标固件文件，包括：

获取所述目标网站对应的网站结构目录，其中，所述网站结构目录用于确定所述第一固件的下载路径；

依据所述下载路径从所述目标网站中下载所述第一固件对应的固件文件，得到所述目标固件文件。

3.根据权利要求1所述的方法，其特征在于，提取所述目标固件文件中的关键信息，包括：

识别所述目标固件文件中的M个预设特征值，其中，所述预设特征值用于标记所述目标固件文件对应的文件类型，M为正整数；

基于所述M个预设特征值对所述目标固件文件进行解压缩处理，得到第一固件文件，并从所述第一固件文件中提取所述关键信息。

4.根据权利要求1所述的方法，其特征在于，对所述关键信息进行安全检测，得到检测结果，包括：

基于预设规则检测所述关键信息中是否存在敏感信息，其中，所述敏感信息为禁止公布的信息；

在所述关键信息中存在所述敏感信息的情况下，确定所述第一固件存在第一漏洞，其中，所述第一漏洞用于表征所述第一固件存在泄露所述敏感信息的安全缺陷；

在所述关键信息中不存在所述敏感信息的情况下，确定所述第一固件未存在所述第一漏洞。

5.根据权利要求1所述的方法，其特征在于，所述关键信息中还包括加密信息，对所述关键信息进行安全检测，得到检测结果，包括：

对所述加密信息的密钥进行破解，得到破解结果；

在所述破解结果为第一破解结果的情况下，确定所述第一固件存在第二漏洞，其中，所述第二漏洞用于表征所述第一固件存在泄露所述加密信息的安全缺陷，所述第一破解结果用于表征成功破解所述加密信息的密钥；

在所述破解结果为第二破解结果的情况下，确定所述第一固件不存在所述第二漏洞，其中，所述第二破解结果用于表征未成功破解所述加密信息的密钥。

6.根据权利要求1所述的方法，其特征在于，所述关键信息中还包括可执行文件，对所述关键信息进行安全检测，得到检测结果，包括：

识别所述可执行文件中的N个目标配置数据，其中，每个目标配置数据用于为所述可执行文件的编译过程配置安全保护机制，N为正整数；

检测所述N个目标配置数据的数量与预设配置数据的数量是否相同，其中，所述预设配置数据的数量为正常的可执行文件中的目标配置数据的数量；

在所述N个目标配置数据的数量与所述预设配置数据的数量不相同的情况下，确定所述第一固件存在第三漏洞，其中，所述第三漏洞用于表征所述第一固件存在缺少所述安全保护机制的安全缺陷；

在所述N个目标配置数据的数量与所述预设配置数据的数量相同的情况下，确定所述第一固件不存在所述第三漏洞。

7.根据权利要求1所述的方法，其特征在于，在对所述关键信息进行安全检测，得到检测结果之后，所述方法还包括：

获取所述第一固件运行时所依赖的目标操作系统的系统标识；

检测预设漏洞库中是否存在所述目标操作系统的系统标识，其中，所述预设漏洞库用于存储多个异常操作系统的系统标识，所述异常操作系统为已知存在安全漏洞的操作系统；

在所述预设漏洞库中存在所述目标操作系统的系统标识的情况下，确定所述第一固件存在第四漏洞，其中，所述第四漏洞表征所述第一固件运行时所依赖的目标操作系统存在信息安全风险；

在所述预设漏洞库中不存在所述目标操作系统的系统标识的情况下，确定所述第一固件不存在所述第四漏洞。

8.根据权利要求1所述的方法，其特征在于，在基于所述当前版本信息检测所述目标固件是否更新为第一固件之后，所述方法还包括：

在所述目标固件未更新为所述第一固件的情况下，禁止从所述目标网站中下载所述目标固件对应的固件文件。

9.一种智能终端设备的固件安全的检测装置，其特征在于，包括：

监测模块，用于对目标网站进行监测，得到监测结果，其中，所述目标网站用于下载智能终端设备的目标固件对应的固件文件，所述固件文件用于更新所述智能终端设备的目标固件，所述监测结果用于表征所述固件文件的当前版本信息；

第一检测模块，用于基于所述当前版本信息检测所述目标固件是否更新为第一固件，其中，所述目标固件的版本与所述第一固件的版本不相同；

下载模块，用于在所述目标固件更新为所述第一固件的情况下，从所述目标网站中下载所述第一固件对应的固件文件，得到目标固件文件；

第二检测模块，用于提取所述目标固件文件中的关键信息，并对所述关键信息进行安全检测，得到检测结果，其中，所述关键信息为所述目标固件文件中存在信息泄露隐患的信息，所述检测结果用于表征所述第一固件所存在的漏洞。

10.一种计算机可读存储介质，其特征在于，计算机可读存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行所述权利要求1至8任一项中所述的智能终端设备的固件安全的检测方法。

11.一种电子设备，其特征在于，包括一个或多个处理器和存储器，所述存储器用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现权利要求1至8中任意一项所述的智能终端设备的固件安全的检测方法。