軟件安全問題自從軟件誕生的那天起,就已經(jīng)存在了,是一個(gè)不可回避的問題。隨著軟件的發(fā)展和互聯(lián)網(wǎng)時(shí)代的興盛,軟件安全問題變得越來越突出,越來越重要,也越來越受到人們的重視。如何解決軟件安全問題,成為了人們的最迫切的需求。解決軟件安全問題,可以從兩個(gè)方面入手,軟件安全開發(fā)和軟件安全測試。軟件安全問題不能單獨(dú)由軟件安全開發(fā)或者軟件安全測試解決,必須把兩者結(jié)合起來才能最大程度地保證軟件的安全性。本文提倡應(yīng)該在軟件開發(fā)的早期考慮軟件安全問題,并進(jìn)行軟件安全測試。本文的工作是從安全契約出發(fā),探討軟件安全測試的問題。在行文結(jié)構(gòu)上,本文首先對軟件安全和軟件安全測試做了一個(gè)綜述,介紹軟件安全測試的定義、目的、特點(diǎn)和原則等基礎(chǔ)知識,并介紹了當(dāng)前軟件安全測試方法的研究現(xiàn)狀和發(fā)展趨勢,同時(shí)闡明了本文的出發(fā)點(diǎn)。然后,從方法論角度討論了基于安全契約的安全測試的方方面面,包括基于契約安全契約的軟件安全測試的思想、安全契約的定義和表示,測試用例的生成,軟件安全測試過程等。最后,在結(jié)合前述安全測試知識和方法論的基礎(chǔ)上,設(shè)計(jì)了一個(gè)基于安全契約的安全軟件測試工具,并以實(shí)例說明了工具的使用和效果。在內(nèi)容研究方面,本文將測試分兩... 

【文章來源】：吉林大學(xué)吉林省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：59 頁

【學(xué)位級別】：碩士

【部分圖文】：

契約顯示界面

有了安全契約文件Policy和對應(yīng)的請求Request，還必須能由他們二者得到響應(yīng)文件Response。對于一個(gè)打開的Policy，能由一個(gè)相關(guān)的Request得到響應(yīng)文件ResPonse，同理對于一個(gè)打開的Request，也可以由一個(gè)相關(guān)的Policy得出響應(yīng)文件Response。我們在菜單編輯(E)下定義兩個(gè)子菜單RunwithRe明est和徹nwithPoliey，分別用來實(shí)現(xiàn)上述兩個(gè)功能。在打開一個(gè)poliey(Request)文件的前提下，執(zhí)行RunwithRequest(Runwithpoliey)，會要求打開一個(gè)Request(Policy)文件，執(zhí)行的結(jié)果是生成一個(gè)ResP0nse文件，為了更直觀，在窗口的右半部顯示ResP0nse的信息。同時(shí)，會在Request(Policy)所在目錄生成一個(gè)Response文件，文件以當(dāng)KJ’時(shí)間來命名。RunwithRequest和Rullwithpolicy這兩個(gè)功能分別由函數(shù)RunwithRequestToolstripMenuftem_Cliek()和徹nwi怔olicyToolstripMenultem_Cliek實(shí)現(xiàn)。執(zhí)行RunwithRequest后的效果如圖4.3響應(yīng)結(jié)果顯示界面:

圖4.3響應(yīng)結(jié)果顯示界面4..3程序?qū)幽K4.3.1數(shù)據(jù)結(jié)構(gòu)的定義程序?qū)拥闹饕蝿?wù)就是，完成測試時(shí)對各種數(shù)據(jù)的收集工作，其中包括契約層產(chǎn)生的數(shù)據(jù)和外部輸入的數(shù)據(jù)，還有程序運(yùn)行引起的安全變量的改變，這些都要做好記錄工作，為驗(yàn)證階段的順利進(jìn)行提供基礎(chǔ)。還有一個(gè)重要的工作，必須在程序?qū)油瓿�，即�?shù)據(jù)結(jié)構(gòu)的設(shè)計(jì)。良好的數(shù)據(jù)結(jié)構(gòu)更有利于數(shù)據(jù)的保存，產(chǎn)生最少的代碼冗余，從而保證測試的高效性。因此，數(shù)據(jù)結(jié)構(gòu)的設(shè)計(jì)是研究工作的重中之重。如何更好的重組相關(guān)數(shù)據(jù)，解藕數(shù)據(jù)之間不必要的關(guān)聯(lián)，是編碼階段的大問題，也是大難題。下面，就讓我們一一清點(diǎn)程序涉及到的數(shù)據(jù)信息，詳述這些數(shù)據(jù)的結(jié)構(gòu)設(shè)計(jì)。首先，鑒于本文的核心就是如何讓XACML更好的融入測試工具的設(shè)計(jì)之

【參考文獻(xiàn)】：
期刊論文
[1]軟件安全測試新武器——淺談基于Dynamic Taint Propagation的測試技術(shù)[J]. 王宏,曹文霞.  程序員. 2008(05)
[2]軟件安全性測試方法與工具[J]. 施寅生,鄧世偉,谷天陽.  計(jì)算機(jī)工程與設(shè)計(jì). 2008(01)



本文編號：3098723