XACML移动应用访问控制策略测试方法

摘要

移动终端能在大量移动应用的支撑下完成各项任务,愈来愈多的企业允许员工带着他们的个人设备进入工作环境(BYOD),也带来了敏感资源的访问控制挑战.XACML是访问控制策略统一描述语言,具有很强的策略描述能力、可扩展性以及跨平台性等特性,使其成为目前主流的访问控制策略描述语言,但XACML策略的正确性尤其重要,包含错误的XACML策略将使应用系统在运行时出现非预期的行为,从而可能引发严重的安全事故.实践中,通常采用人工验证和测试的手段发现XACML策略中的错误,但存在效率和成本问题,加之,目前还未见对移动应用的支持.本文提出了一种移动应用XACML访问控制策略测试方法,通过将策略等价转换成可执行的C语言程序,利用符号执行技术产生高覆盖的测试输入,并映射成相应访问控制策略的请求,以实现访问控制策略的测试,开发了原型工具XPTester,在此基础上,面向BYOD,针对国家电网领域Android平台上的项目管理应用PPM,进行了实例研究,展示了所提万方法的有效性.