文献类型：专利

专利类型：发明专利

是否失效：否

是否授权：否

申 请 号：CN201210421258.X

申 请 日：20121026

发 明 人：罗时龙 覃志武 薛亚 沈晨 胡建光 李军 殷杰 包先雨 方凯彬

申 请 人：深圳出入境检验检疫局信息中心 深圳市检验检疫科学研究院

申请人地址：518045 广东省深圳市福田区福强路1011号深圳检验检疫局综合实验楼6层

公 开 日：20160413

公 开 号：CN102945203B

语　　种：中文

摘　　要：本发明公开了一种用于移动互联网应用的代码安全测试方法，所述方法主要针对移动应用软件的代码安全需求，给出了代码解析模块、数据流分析模块、控制流分析模块、结构分析模块和安全分析模块等功能模块构成的测试系统，支持Android、WindowsMobilePhone、Symbian、HP-UX11v1、IBMAIX5.2、LinuxRedHatES4/5、LinuxFedoraCore7、LinuxNovelleSUSE10、SunSolaris8/9/10等操作系统，可以扫描出300多种漏洞，实现了代码的低漏报率测试。

主 权 项：1.一种用于移动互联网应用的代码安全测试方法，其特征在于：所述方法主要针对移动应用软件的代码安全需求，给出了代码解析模块、数据流分析模块、控制流分析模块、结构分析模块和安全分析模块等功能模块构成的测试系统，所述测试系统包括代码解析器(1)、代码分析引擎(2)、报告生成器(3)以及安全规则模块(4)、用户接口模块(5)组成，各模块主要功能如下：所述代码解析器(1)与代码分析引擎(2)连接，是负责对源程序进行词法语法分析，并转换成中间表示，并根据后续分析模块的需要，生成特定的语法树结构；所述代码分析引擎(2)包括数据流分析器(21)、控制流分析器(22)、结构分析器(23)、安全分析器(24)；所述报告生成器(3)是对代码分析的结果进行分析并提交给用户，并生成相应的审核报告；所述安全规则模块(4)负责为代码分析引擎(2)提供代码分析规则支持；所述用户接口模块(5)负责与用户进行交互，一方面可以接受用户扫描源代码的请求，另一方面则将扫描分析的结果输出给用户；所述数据流分析器(21)是在代码解析的基础上，提取程序的数据流信息；所述控制流分析器(22)主要是在代码解析的基础上，提取程序的控制流信息，控制流分析器(22)根据规则，通过遍历AST抽象语法树，生成对应的程序控制依赖图，并向安全分析调度模块提供接口以读取信息；所述结构分析器(23)的目标是在代码分析引擎(2)提取出的语法树的基础上，根据安全规则模块(4)提供的代码分析规则，提取程序的主要结构；所述安全分析器(24)根据安全规则模块(4)提供的信息，调度结构分析器(23)进行安全性分析，并生成报告表，提供接口供报告生成器(3)调用。

关 键 词：代码安全 移动互联网应用 安全分析模块  代码解析模块  结构分析模块  数据流分析 测试方法  测试系统  分析模块  功能模块  应用软件  控制流 漏报率  一种  操作系统  扫描  测试  漏洞 移动  构成  公开  支持  

IPC专利分类号：G06F11/36(20060101)