收藏
下载资源

基于安全策略模型的安全功能测试用例生成方法

上传人:kms****20 文档编号:46656458 上传时间:2018-06-27 格式:PDF 页数:7 大小:569.30KB
返回 下载 相关 举报
基于安全策略模型的安全功能测试用例生成方法_第1页
第1页 / 共7页
基于安全策略模型的安全功能测试用例生成方法_第2页
第2页 / 共7页
基于安全策略模型的安全功能测试用例生成方法_第3页
第3页 / 共7页
基于安全策略模型的安全功能测试用例生成方法_第4页
第4页 / 共7页
基于安全策略模型的安全功能测试用例生成方法_第5页
第5页 / 共7页
点击查看更多>>
资源描述

《基于安全策略模型的安全功能测试用例生成方法》由会员分享,可在线阅读,更多相关《基于安全策略模型的安全功能测试用例生成方法(7页珍藏版)》请在金锄头文库上搜索。

1、计算机研究与发展ISSN 1000 -1239PCN 11 -1777 PT P Journal of Computer Research and Development46( 10): 1686 - 1692, 2009收稿日期: 2008-01-06; 修回日期: 2009-05-18基金项目: 国家/ 八六三0高技术研究发展计划基金项目( 2007AA120404, 2007AA120405)基于安全策略模型的安全功能测试用例生成方法张 敏 冯登国 陈 驰( 中国科学院软件研究所信息安全国家重点实验室 北京 100190)( mzhang is. iscas. ac. cn)A Secu

2、rity Function Test Suite Generation Method Based on Security Policy ModelZhang Min, Feng Dengguo, and Chen Chi( State Key Laboratory of Inf ormation Security, Institute of Sof tware, Chinese Academy of Sciences, Beij ing 100190)Abstract T he third -party independent security function testing is one

3、essential step of the securityevaluation of security products. Generally the test case generation of independence testing is based onthe product specification.However, in the independence testing of security products such as the secure database management system ( SDBMS) , the product must satisfy t

4、he requirement of thesecurity policies in addition to the requirement of the product specification, which describes the objectsand the measurement of the protection. Since the behaviors of security products are more precisely described in the security models instead of the specifications,the authors

5、 provide a test casegeneration method based on the formal security policy model. The method include the generation ofthe test specification based on the formal security policy model, the test space partitioning based onboth the grammar and rules; partitioning rule based on the type and the combinati

6、on principles. The method is more likely to find the fault and error in the product than in manual testing, and it helps theautomation of testing and improves the efficiency.Key words security policy model; security functional test; test case generation; test automation;type -based partition摘 要 实施第三

7、方安全功能独立测试是信息安全产品测评中的一个重要环节, 对于以安全数据库管理系统为代表的信息安全产品, 其系统规约的测试并不能完全真实反映系统行为, 还需要满足系统安全策略. 提出了基于安全策略模型的安全功能测试用例自动生成方法, 该方法包括基于语法的划分、 基于规 则的划分、 基于类型的划分等步骤, 依据形式化安全模型生成正确描述系统行为的操作测试用例集. 该方法有助于提高测试质量, 发现手工测试中难以发现的缺陷, 并有助于减少测试过程中的重复劳动, 实现测试自动化并提高测试效率.关键词 安全策略模型; 安全功能测试; 测试用例生成; 自动化测试; 基于类型的划分中图法分类号 TP309数据

8、库管理系统是多数信息系统中重要的基础 平台. 近年来越来越多的国产安全数据库产品步入市场轨道. 为了适应国家信息化发展的需要, 必需有科学、 公正的数据库测评方法, 为市场评选安全优秀 的数据库系统, 严格控制政府关键部门采用数据库系统的安全性. 安全标准是评测安全信息产品的技术性法规, 一种依据和尺度. 基于安全标准的评估对安全信息产品的设计与开发有着直接的指导作用. 软件测试是检验软件实现与其功能规约之间的一致性并保证软件质量的一种有效手段. 在基于安全标准的信息安全设备P 系统测评过程中, 实施全面、 系统的第三方测试是一个重要环节. 当前第三方 独立测试大多采用基于规约的测试. 系统规

9、约来源于系统需求, 它完整地定义了系统的行为. 形式化规约能更好地消除系统需求中二义性. 并且提供一种 规范的表达形式, 便于对其进行自动化处理. 基于形式化规约测试用例自动生成方法将大大地减少测试工作量. 但在安全数据库管理系统( SDBMS) 等信息安全系统P 设备的安全功能测试中, 系统( 形式化) 规 约并不能真实地反映现实系统的行为. 因为其行为不仅要符合规约, 而且要满足安全策略要求. 安全策略描述一个信息安全设备( 或系统) 所要保护的对 象, 以及采取的所有保护措施; 它准确地反映相关的法律、 规章、 制度等. 但是目前我国尚缺乏信息安全产品生成测试用例集快速生成方法.本文提出

10、了基于安全模型的安全功能测试用例 自动生成方法. 依据形式化安全模型生成正确描述系统行为的操作测试规约, 并自动生成测试用例. 该方法综合基于语法的划分、 基于规则的划分、 基于类型的划分等步骤, 不仅可以提高测试质量, 发现正常 测试中很难发现的缺陷, 而且有助于减少测试过程中的重复劳动, 实现测试自动化, 提高测试效率. 不仅如此, 基于模型生成的测试用例包括预期输入与 预期输出, 它在实际系统中的运行情况( 实际输出)与预期结果之间的对比反映了模型与系统实现的一致性程度, 有助于判断实际系统是否遵从了安全模型中的性质, 从而有力地支持了安全策略模型的评 估工作.1 相关工作文献 1 -3

11、 相继引入一个数据库安全功能测试案例自动化生成的框架, 并被 NIST 采用为其安全功能自动测试框架. 该方案根据被测系统提供的非 形式化的安全目标文档( ST ) , 建立目标系统的行为模型( SCR 模型) , 基于该模型自动生成测试用例.但是由于存在测评人员的人工建模过程, 模型与最 终的测试结果严重依赖于建模人员对开发者提供的非形式化的安全目标的正确理解. 另外, 安全目标中的安全策略粒度较粗, 需要测评人员将安全策略中的主客体与实际系统对象一一对应.基于形式化规约自动生成测试用例一直吸引研 究者大量关注. 其基本思想是划分测试. 将测试对象的输入域根据功能规约中的不同侧面, 以树的形

12、式将规约的输入空间不断分解 4. Dick 与 Faivre 等人给出了一种由 VDM 语言构建的形式化规约生成测试案例的方法, 在文献 5 中提出基于语法的划分思 想. 该方法被广泛应用在其他形式化语言中. 该方法通过功能规约建模, 按照一定的重写规则对测试规约进行等价变换, 划分测试空间, 将其化简成析取范式( DNF) 形式. 该方法纯粹基于语法, 如果存在足 够多且正确的重写规则, 则该分解步骤可以完全自动化. 该方法也是完备的, 测试案例能完全覆盖测试对象已定义的所有方面. 另外, 测试案例中自然地既包含输入信息, 也包含输出信息. 文献 6 提出分类 树方法与析取范式方法结合. 该

13、类基于规则的重写方法存在的问题是: 规约重写过程( 或是启发式) 纯粹与语法相关, 而与语义无关, 因此产生的案例缺乏针对性, 难以发现具体系统中的问题. 形式化规约自动生成测试用例中另一类重要思想是基于规则的扩展. 规则又被称为启发式 7或域传播策略 8 -9. 这些语义相关的规则无法由系统自动生成, 而是由人工预先设置, 但可以自动被应用. 例如文献 9 中的规则是与操作符相关的, 域传播规则是针对每个操作符, 将操作符所涉及的操作对象域作指定划分. 文献 10 中的规则与操作对象类别相关. 引入类别划分( category partition) , 将测试对象的输入域根据功能规约中的不同

14、侧面划分成分离的、 完整的类别. 与基于规则的重写方法不同的是,基于规则的扩展方法与被测功能密切相关, 但存在共同问题是启发式的生成以及传播控制, 即启发式如何生成以及其不断重复地应用到何时应该停止的问题.也有一些研究者在形式化规约自动生成测试用例中使用基于模型检测的方法及工具 11. 由于受到状态空间的限制, 这类方法只适合状态空间可穷举的小型或微型系统.2 形式化安全策略模型安全模型是独立于软件实现高层概念模型, 它来源于需求规约, 描述安全系统的安全保护需求与功能性质. 高安全等级信息安全系统或设备( GB17859 第1687张 敏等: 基于安全策略模型的安全功能测试用例生成方法4 级

15、及以上, CC 第 5 级及以上, T CSEC B2 级及以上) 离不开形式化的安全策略模型. 形式化安全模型是系统实施的安全策略的严格数学语言描述, 它通 过一系列的规则和操作方式来控制一个系统如何管理、 保护和传播敏感信息 12. 形式化安全策略模型的抽象层次介于安全需求( 或称安全目标) 与系统高 层规约( TLS) 之间. 它一方面反映系统高层安全需求, 另一方面精确描述系统实现必须满足的性质. 通常, 安全策略模型包括安全定义及操作规则两部分:前者体现系统关键安全需求, 定义模型中状态与状 态转移的约束; 后者体现实施安全需求的方式, 足够描述系统的行为. 文献 13 给出了一个形

16、式化SDBMS 安全策略模型. 典型的安全策略模型由数 据子模型、 访问控制子模型、 审计子模型等多个子模型构成, 但因为访问控制子模型是安全策略模型的核心, 所以后文中以访问控制子模型代指安全策略模型. 本文所述方法基于如下安全假设: 1) 被测产品或系统的开发者所提供的安全策略模型是正确的;2) 被测产品或系统的开发者所提供的安全策略模型与系统实现之间是一致的. 这些假设是否成立属于 安全模型验证范畴. 在实际测评过程中存在多种步骤检验安全策略模型的正确性. 例如可以通过使用工具检查安全模型描述是否矛盾, 并证明其中安全 定理的正确性; 通过人工进行相关文档分析, 确认模型变量与设计文档甚至是源代码之间的对应性; 以及检查测试用例的实际输出结果与预期结果之间的区别等.3 测试用例生成方法形式化安全策略模型是生成安全功能测试用例的基础. 基于安全策略模型的测试用例生成方法包括测试规约生成、 测试模板生成、 基于类型的划分与 测试用例生成 4 个步骤.3. 1 测试规约生成操作测试规约全面、 准确地反映了该操作的行 为, 是生成

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 科普知识

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号