基于條件、參數(shù)與狀態(tài)變異的第三方構(gòu)件安全性測試方法研究.pdf_第1頁
已閱讀1頁,還剩67頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、基于構(gòu)件的軟件工程(CBSE)由于可實現(xiàn)構(gòu)件的復(fù)用及“即插即用”的特點,大大縮短了軟件開發(fā)的周期,降低開發(fā)及維護的成本,已經(jīng)成為面向?qū)ο筌浖こ填I(lǐng)域的研究熱點。同時,隨著構(gòu)件技術(shù)的發(fā)展,構(gòu)件在醫(yī)療、銀行等安全至關(guān)重要行業(yè)的應(yīng)用日益廣泛。因此,對構(gòu)件及構(gòu)件系統(tǒng)的測試是保證構(gòu)件功能性、安全性、可靠性的重要措施,為保證構(gòu)件的質(zhì)量,要求實現(xiàn)構(gòu)件開發(fā)的提供方和第三方構(gòu)件的使用者對構(gòu)件和構(gòu)件系統(tǒng)實施測試。然而,目前對構(gòu)件的研究主要集中在構(gòu)件功能性測

2、試,以確保找到構(gòu)件在開發(fā)和實現(xiàn)過程中的功能性錯誤,對構(gòu)件尤其是第三方構(gòu)件的安全性測試的研究尚少,特別是,第三方構(gòu)件由于無法獲得源代碼和詳細的設(shè)計說明,使得傳統(tǒng)的白盒測試技術(shù)無法很好地應(yīng)用,從而給第三方構(gòu)件安全性測試帶來了極大的挑戰(zhàn)。
  第三方構(gòu)件的脆弱性本質(zhì)是指構(gòu)件中存在的顯式和隱式的安全漏洞,顯式安全漏洞大多由緩沖區(qū)溢出、內(nèi)存泄漏造成,而隱式安全漏洞指第三方構(gòu)件的內(nèi)部執(zhí)行狀態(tài)違背了構(gòu)件的安全需求規(guī)約。本文根據(jù)構(gòu)件顯式異常的特點

3、,提出了基于條件、參數(shù)規(guī)約變異的第三方構(gòu)件安全性測試方法,并且為檢測構(gòu)件的隱式異常,提出了基于狀態(tài)變異的第三方構(gòu)件安全性測試方法,同時一個測試第三方構(gòu)件安全性的原型系統(tǒng)被設(shè)計和實現(xiàn)。主要工作闡述如下:
  1.針對顯式異常的特點,擴充了第三方構(gòu)件的安全需求說明,定義了方法的前置條件、后置條件、方法參數(shù)約束及參數(shù)間的約束,提出了基于條件、參數(shù)規(guī)約變異的第三方構(gòu)件安全性測試方法。對于前置條件變異方法,提出前置條件變異算法PCMA(th

4、e Pre-condition Mutation Algorithm)生成一系列前置條件的變異體,基于前置條件的變異體得到測試用例;對于參數(shù)規(guī)約變異方法,首先提出單參數(shù)變異值方法SPMV(the Single Parameter Mutated Values),該方法根據(jù)單個參數(shù)的類型作用相關(guān)的所有變異算子生成一系列數(shù)值,這些值作為參數(shù)約束測試用例生成算法TCGPC(the Testcase Generation Algorithm b

5、ased on the ParameterConstraint)的輸入生成違背參數(shù)約束的測試用例。最終,顯式異常通過設(shè)計的條件和參數(shù)安全漏洞檢測算法檢測。
  2.為了有效地觸發(fā)第三方構(gòu)件隱式的安全漏洞,基于構(gòu)件方法執(zhí)行序列、安全需求規(guī)約,提出了基于狀態(tài)變異的第三方構(gòu)件安全性測試方法。首先將構(gòu)件方法序列集轉(zhuǎn)換為對應(yīng)的可擴展的有窮狀態(tài)機EFSM(Extended Finite StateMachine),使用設(shè)計的行為沖突算法OCG

6、A(Operations Conflict SequencesGenerated Algorithm)和條件沖突算法CCGA(Conditions Conflict SequencesGenerated Algorithm)變異EFSM生成沖突序列。根據(jù)變異后的沖突序列進行安全性測試,同時借助提出的安全漏洞檢測算法,判別構(gòu)件是否存在隱式安全漏洞,最后得到漏洞測試報告。
  3.設(shè)計實現(xiàn)了一個第三方構(gòu)件安全性測試原型系統(tǒng)TCSTS(

7、The Third-PartyComponent Security Testing System),該系統(tǒng)主要包含參數(shù)變異模塊、條件變異模塊、狀態(tài)變異模塊三個部分。其主要功能首先掃描第三方構(gòu)件的IDL文件,動態(tài)解析出構(gòu)件方法及參數(shù)等靜態(tài)信息;定義構(gòu)件的安全需求規(guī)約RSF,其中包括每個方法的名稱、方法前置條件和后置條件、參數(shù)約束、參數(shù)類型及名稱等構(gòu)件信息;然后對構(gòu)件的參數(shù)規(guī)約信息進行參數(shù)變異,提取方法前置條件、后置條件信息進行條件變異,將

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論