(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211160264.4 (22)申请日 2022.09.22 (71)申请人 曲阜师范大学 地址 273100 山东省济宁市曲阜市 静轩西 路57号 (72)发明人 陈矗　杨东刚　任平红　 (74)专利代理 机构 西安研创天下知识产权代理 事务所(普通 合伙) 61239 专利代理师 王小慧 (51)Int.Cl. H04L 9/32(2006.01) (54)发明名称 一种基于DER编码数字证书OID定位与变异 系统及使用方法 (57)摘要 本发明属于软件安全测试领域， 具体地涉及 一种基于DER编码数字证书OID定位与变异方法 及系统。 包括步骤1： DER编码数字证书模块获取 DER编码数字证书， 保存到本地以待使用； 步骤2： DER编码数字证书 解析模块对步骤1获取的DER编 码数字证书进行解析； 步骤3： OID获取和解析模 块获取常用的OID， 并解析； 步骤4： 将步骤3获取 的常用OID输入到OID定位和变异模块， 进行OID 定位和变异； 步骤5： 将步骤4变异后的二进制形 式字符文件作为输入， 经过一系列编码算法将二 进制字符文件写回成数字证书。 本发 明有助于定 位证书验证中的软件缺陷和提高证书验证的测 试效率； 提高所生成数字证书的质量； 具有用户 可定制性强和操作多样性特点， 便 于用户使用。 权利要求书1页 说明书4页 附图1页 CN 115549921 A 2022.12.30 CN 115549921 A 1.一种基于DER编码数字证书OID定位与变异系统， 其特征在于： 包括DER编码数字证书 获取模块、 DER编码数字证书解析模块、 OID获取和解析模块、 OID 定位和变异模块、 写回数字 证书模块； 所述DER编码数字证书获取模块获取DER编码数字证书； 所述DER编码数字证书解析模块对获取的DER编码数字证书 进行解析； 所述OID获取和解析模块获取常用的OID并解析； 所述OID定位和变异模块使用KMP字符串匹配算法定位到待定位OID的位置， 然后将该 OID值输入到变异模块进行变异； 所述写回数字证书模块将变异后的二进制形式字符写回成数字证书。 2.一种基于DER编码数字证书OID定位与变异系统的使用方法， 其特 征在于： 包括： 步骤1： DER编码数字证书模块获取DER编码数字证书， 保存到 本地以待 使用； 步骤2： DER编码数字证书解析模块对步骤1 获取的DER编码数字证书 进行解析； 步骤3： OID获取和解析模块获取常用的OID， 并解析； 步骤4： 将步骤3获取的常用OID输入到OID定位和变异模块， 进行OID定位和变异； 步骤5： 将步骤4变异后的二进制形式字符文件作为输入， 经过一系列编码算法将二进 制字符文件写回成数字证书。 3.根据权利要求2所述的一种基于DER编码数字证书OID定位与变异系 统的使用方法， 其特征在于： 所述 步骤2具体为： 将步骤1保存到 本地的DER编码数字证书解析成二进制形式字符的树形 结构。 4.根据权利要求3所述的一种基于DER编码数字证书OID定位与变异系 统的使用方法， 其特征在于： 所述 步骤3具体为： 在网站上爬取DER编码数字证书中常用的OID， 将爬取到的OID解析成二进制字符形式。 5.根据权利要求4所述的一种基于DER编码数字证书OID定位与变异系 统的使用方法， 其特征在于： 所述 步骤4的OID定位具体为： 将步骤3解析后的二进制OID输入到步骤2所解析的DER编码数字证书二进制串中定位， 得到定位点。 6.根据权利要求5所述的一种基于DER编码数字证书OID定位与变异系 统的使用方法， 其特征在于： 所述 步骤4的变异为： 对OID定位得到的定位点进行变异， 即对叶结点的值进行变异， 对树结点的结构进行变 异。权　利　要　求　书 1/1 页 2 CN 115549921 A 2一种基于DER编码数字证书OID定位 与变异系统及使用方 法 技术领域 [0001]本发明属于软件安全测试领域， 具体地涉及一种基于DE R编码数字证书OID定位与 变异系统及使用方法。 背景技术 [0002]随着网络攻击技术和工具的发展， 使用明文传输的超文本传输协议(Hypertext   TransferProtocol， HTTP)不能保证数据在网络 上传输的安全性。 据 《环球时报》 数据显示中 国网络安全问题严重， 因为网络安全问题每年中 国经济会损失数百亿美元。 更为严峻的是， 网络安全问题造成的损失越来越大， 各种网络攻击手段层出不穷， 网络安全问题给普通的 网络用户带来极大的危害。 [0003]为了保障用户与服务器、 用户与用户之间的数据通信安全， 网站通过数据加密来 保障用户数据的安全性， 超文本传输安全协议(Hypertext  TransferProtocol  Secure， HTTPS)应运而生。 HTTPS协议是使用安全套接字层或传输层安全协议(Secure  Sockets  Layer orTransport  Layer Security,SSL/TLS)提供的数据加密功能以及依靠验证X.509 数字证书(由DER编码)来保证数据通信的安全性。 [0004]X.509标准是密码学里公钥证书的格式标准。 X.509证书己应用在包括SSL/TLS在 内的众多Internet协议里， 同时它也有很多非在线的应用场景， 比如电子签名服务。 X.509 证书含有公钥和标识(主机名、 组织 或个人)， 并由证书颁发机构(CA)签名(或自签名)。 对于 一份经由可信的证书签发机构签名(或者可以通过其它方式验证)的证书， 证书的拥有者就 可以用证书及相应的私钥来创建安全的通信， 以及对文档进行 数字签名。 [0005]OID是X.509证书中一种特殊的数据结构， 它代 表的是X.509证书中特定的值。 [0006]理论上应用HTTPS协议的网站在进行数据通信时是安全的， 因为保证安全通信的 SSL/TLS协议在设计时是安全的， 但是由于开发人员对协议规则理解的不准确或者开发时 出现编码错误， 会导致在设计时是安全的SSL/TLS协 议在实际使用时不像设计的那样安全， 尤其是在 验证数字证书这一模块。 因此检测SSL/TLS协议软件实现的安全性就十 分重要。 在 检测SSL/TLS软件实现的安全性时通常是把X.509数字证书(由DER编码)作为测试用例输 入。 [0007]在此背景下， 对SS L/TLS协议软件实现的安全性测试越来越重视。 作为测试输入的 测试用例质量的高低决定了SSL/TLS协议软件实现安全测试的可靠性。 因此， 需要高质量高 效率的方法来 生成测试用的数字证书。 [0008]现有技术中， Fr ankencert、 Mucert和RFCcert针对Base64编码数字证书并且受限 于编程语言的安全检查； NEZHA虽然能对 数字证书二进制内容进 行变异， 但是变异 位置与变 异操作随机， 不能针对 数字证书的具体位置和结构进 行指定操作的变异； SADT虽然能对D ER 编码数字证书进行变异， 但是只能随机选择叶子结点进行变异， 不能指定叶子结点或中间 结点进行变异， 也 不能进行 结构变异， 在生成数字证书时具有较大的局限性。说　明　书 1/4 页 3 CN 115549921 A 3