TTCN-3测试与漏洞模式分析相结合的漏洞查找方法

摘要

TTCN-3测试语言作为国际上唯一的测试标准语言，广泛应用于协议一致性测试，互操作性测试等测试领域。使用TTCN-3进行测试前需要解决的一个重要问题就是测试适配器和编解码器的开发，它们往往占据测试开发的大部分工作量。另外，随着测试应用领域的不断扩展，编解码方式及其需要支持的数据类型也更加多样化，而传统的TTCN-3标准里的TCI数据类型接口，已经不能很好的表达不断扩展的数据类型了。如何设计一个新的编解码器的框架，使其能够方便的扩充新的编解码方式和支持新的类型描述语言，是当前使用TTCN-3测试时迫切需要解决的问题。
　　 本文研究了上述问题，设计实现了一套通用编解码器，由中间公共类型和值、编解码实现以及对外接口三个模块组成。通过具有良好可扩展性的中间类型和值模块，通用编解码器不仅能够灵活支持各种数据类型语言，而且它的实现独立于特定的TTCN-3测试平台，实现了真正意义上的通用。目前已经实现了工业界常用的编解码，如BER，PER，XER，TLV+，ISO8583，HTTP等。
　　 另外，为了配合使用通用编解码器对Web Services的应用进行测试，本文提出了自己的XML Schema&DTD 到TTCN-3语言的转换方案，实现了相应的工具。
　　 借助TTCN-3测试发现被测系统的某个漏洞后，通过分析提取其所在的源代码，生成相应漏洞模式。使用相似漏洞查找算法，进而发现被测系统中存在的其它相似漏洞。本文首次提出了使用程序依赖图表示漏洞模式以及相应的漏洞模式生成算法，并实现成对应的工具SBF。通过结合TTCN-3测试以及静态漏洞查找方法，提高了漏洞查找的效率以及测试的覆盖率。
　　 基于通用编解码器所开发的TTCN-3测试套已经作为一个度量标准应用于中国移动手机支付业务（NFC）主要接口的一致性测试及异常性测试中，取得了较好的效果。在NFC测试中，通过SBF相似漏洞查找工具发现了真实的漏洞，说明通过TTCN-3测试与静态漏洞查找方法结合的有效性。