安全软件开发环境中安全测试工具的设计与实现

摘要

为了满足软件对安全性和可靠性越来越高的需求，微软提出了可信计算的理念，并通过在传统软件开发生命周期的各个阶段增加一系列的针对安全的关注和改进，提出了安全开发生命周期，形成遵照这一软件开发流程的安全软件工程。针对该开发流程的测试阶段，本文研究了如何提供一个自动化或者半自动化的安全测试工具，用来检测程序中潜在的安全漏洞。 本文基于现有的安全软件测试方法，提出一种基于攻击模式的软件安全测试方法。首先，基于UML顺序图对攻击模式进行建模，从模型中提取攻击路径并获取攻击路径的相关特征，依据特征确定在程序执行时哪些信息需要被收集，同时进行代码植入。其次，生成随机测试数据，由数据驱动植入代码后的程序执行，并记录程序运行时的执行路径。最后，将攻击路径和执行路径进行匹配，根据匹配结果报告存在的安全漏洞，并进一步提供相应的缓和策略。 在此之上，本文设计并实现了一个安全测试工具，功能模块包括攻击路径模块，自动代码植入模块和测试执行及路径匹配模块。该工具用Eclipse开发平台上的插件技术实现，并进一步集成到整个安全软件开发环境中。 该安全测试工具给测试人员提供了相对自动化的工具支持，降低了安全测试对测试人员的技术与经验的依赖，提高了开发速度。将其作为安全软件开发环境中的一部分，为构建安全可靠的软件起到了很好的作用。

目录

文摘

英文文摘

声明

第一章绪论

1.1课题背景

1.2课题内容及创新点

1.3论文结构安排

第二章文献综述

2.1安全软件开发环境

2.1.1安全需求分析工具

2.1.2安全设计工具

2.1.3安全编码支持工具

2.1.4安全测试工具

2.1.5安全发布和维护工具

2.2软件安全测试

2.2.1模糊测试

2.2.2渗透测试

2.2.3基于环境扰乱的安全测试

2.2.4基于模型的安全测试

2.3攻击模式

第三章安全测试工具的总体设计

3.1安全测试工具的整体架构

3.2攻击路径模块的设计

3.2.1攻击模式顺序图建模

3.2.2攻击路径

3.3代码植入模块的设计

3.3.1代码植入的概念

3.3.2代码植入的配置

3.3.3代码植入的自动执行

3.4测试执行及路径匹配模块的设计

3.4.1测试数据

3.4.2路径匹配

3.4.3测试结果

第四章安全测试工具的实现

4.1攻击路径模块的实现

4.1.1基于ArgoUML的顺序图建模工具模块的实现

4.1.2攻击路径提取的实现

4.2代码植入模块的实现

4.2.1代码植入配置及UI的实现

4.2.2源代码备份及恢复的实现

4.2.3自动植入代码的实现

4.3测试执行模块的实现

4.3.1生成测试数据的实现

4.3.2执行路径匹配的实现

4.3.3返回测试结果的实现

第五章总结与展望

5.1总结

5.2展望

参考文献

发表论文和参加科研情况说明

致 谢