Model-Based Tests for Access Control Policies

最新推荐文章于 2023-08-13 00:53:05 发布
最新推荐文章于 2023-08-13 00:53:05 发布
阅读量678 收藏
点赞数
分类专栏: Reading Review
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingjinlyc/article/details/8876616
版权
Alexander Pretschner, Tejeddine Mouelhi, Yves Le Traon, ICST.2008

本文工作:
提出两个安全策略测试生成的方法:独立于policy和依据policy。
作者采用RBAC模型描述Security Policy,并且对其进行了扩展,加入了context元素。首先作者定义了Security Policy元模型:

一个RBAC Security Policy由至少一个规则构成,每一个规则包含四个元素:role,permission,context,priority,规则形如prohibition(borrower, borrowbook,holiday,5)
RBAC支持元素的层次结构,例如,对于一个具体的role,people,其下层可具体为teacher,student,具体的role适用于其父节点的规则。

作者使用两种方法生成测试,分别是独立于policy的随机生成法和依据policy生成测试。
独立于policy的方法:
不考虑规则,随机地从role(permission,context)集合中选取实例构成测试。

依据policy的方法:
针对每一条规则,依据role,permission,context这三个元素生成测试,选取某个具体的role(permission,context)以及继承它的所有role(permission,context);
考虑到规则分为permission和prohibition,因此有必要对没有在规则中规定的方面进行测试,可以生成role(permission,context)和其子role(permission,context)之外的实例构成的测试;

作者用mutation测试方法评估生成的测试,测试数据表明,随机生成的测试用例的mutation score要低于依据policy生成的测试用例。依次作者得出结论: 在生成安全策略测试用例时,将安全策略考虑进来(即依据安全策略)是极有必要的

本文贡献:
1、提出了两种自动生成安全策略测试的方法和技术:独立于安全策略和依据安全策略;
2、对生成的测试进行了有效性分析,得出重要结论:在生成安全策略测试用例时,将安全策略考虑进来(即依据安全策略)是极有必要的。

这个生成测试用例的方法和我想的差不多,只是Mouelhi没有借助数据结构(比如decision tree)

本文不足:
1、没有提供可用的工具

Application

NO. of rules

NO. of roles

NO. of permissions

NO. of contexts

library management system

41

7

10

4

access control policy of hospital

37

10

15

3

auction system of eBay

130

8

23

4

meeting management

system

106

8

18

3




qingjinlyc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Security: Inside Windows Vista User Account Control | Microsoft Docs
dvlinker的技术专栏
05-02 635
Security: Inside Windows Vista User Account Control
CCIE重认证350-401
stqer的博客
01-04 2165
traffic policing: causes TCP retransmissions when traffic is dropped导致TCP重传时流量下降 introduces no delay and jitter引入无延迟和抖动 drops excessive traffic减少过多的流量 traffic shaping: buffers excessive traffic缓冲过多的流量 introduces delay and jitter引入延迟和抖动 applied on traffic t
带你了解Modelbasedtesting(MBT)基于模型的测试
03-23
我这里想介绍一种基于模型的测试,通过它,我们可以对软件的功能达到更强的覆盖,达到更有效的测试,同时还能发现一些隐藏更深的问题。同时,它也被某些业内人士誉为继关键 现在大家对探索性测试讨论得很热门,在自动化测试大行其道的今天,探索性测试似乎是唯一一块测试人员更能体现自己专业性的领域。甚至我还看到有人在讨论如何通过探索性测试来达到较高的代码覆盖率。 个人以为,如果你真的对覆盖到代码的每个分支更感兴趣,或者说希望测到哪怕是一些比较细节的用户行为,通过探索性测试的方法来做也许并不是一个很推荐的做法。 我这里想介绍一种基于模型的测试,通过它,我们可以对软件的功能达到更强的覆盖,达到更有效的测
什么是基于模型的测试?
KiroScarlet的博客
03-18 1万+
基于模型的测试属于软件测试领域的一种测试方法。MBT步骤如下: 常规测试一般是由人来设计几个特定的测试场景,然后断言测试结果。测试用例固定。缺少不确定性。基于模型的测试(Model-based Testing)是需要实现一个模型,然后制定行为和行为之间的关系以及行为和系统的关系(有限状态机),然后测试系统根据被测系统的状态、之前设置的限制条件和策略来生成很多用例(每执行一次生成的用例会不同),测...
Test oracle strategies for model-based testing
weixin_33829657的博客
08-19 128
abstract: testers use model-based testing to design abstract tests from models of the system's behavior. Testers instantiate the abstract tests into concrete tests with test input values and test ora...
在手动测试中运用MBT(Model based testing)方法
weixin_30576859的博客
02-17 309
什么是MBT ¢在生成测试用例方面: —更清晰的模块定义 —更清晰的行为定义 —更清晰的边界定义 —测试用例能够实现高代码覆盖率 ¢在进行测试实施方面: —更有效率的理清测试分支, 标记出优先级. —对与代码更改更敏感, 可以很快分析出哪些想关联的地方需要进行回归测试. ¢Model based testing, 基于模型的测试 ¢基于模型的测试属于...
C语言循环水题,科学网—水文模型大本营 - 陈昌春的博文
weixin_30028221的博客
05-24 2935
水文模型在气候变化与水资源问题日益引起关注的当代具有丰富的应用前景。现对水文模型作一些介绍。目前堪称水文模型龙头老大的开放兼开源软件是SWAT(行业老大的SHE水文模型集群是商业软件,与ARCGIS在地理信息领域的地位相似),它在水文模拟、环境模拟、气候模拟领域已经大显身手,国内最近出版了SWAT模型从使用方法到理论文件的译作三大册。《中国气象报》甚至用《SWAT模型:让水资源评估“技高一筹”》进...
【大模型】大语言模型简介
热门推荐
程序员光剑
04-03 2万+
因此,模型规模增长是必然趋势,当推进大模型规模不断增长的时候,涌现能力的出现会让任务的效果更加出色。有趣的是,当参数规模超过一定水平时,这些扩大的语言模型不仅实现了显着的性能提升,而且还表现出一些小规模语言模型所不具备的特殊能力。如 Google 发布的多模态具身视觉语言模型 PaLM-E,由540B 的 PaLM 文本模型和 22B 的 VIT 图像模型构成,两者集成处理多模态信息,所以它的总模型规模是 566B。随着模型规模的不断增长,任务效果也持续增长,说明这类任务对大模型中知识蕴涵的数量要求较高。
5 Common Challenges When Building Chatbots with Dialogflow
最新发布
程序员光剑
08-13 431
作者:禅与计算机程序设计艺术This article provides an overview of the challenges involved in building chatbots using Dialogflow and Google Cloud Platform (GCP). We will go through each challenge in detail to provide a detailed understanding of how these issues can be add
Practical Model-Based Testing.rar
09-16
Practical Model-Based Testing.rar
model based testing
Sean的专栏
02-27 412
I read a article about model based testing. it said that you can modeling the Client execuation, deployment of server,or data flows, even state flows etc.you can use different modeling methodology,
第3章 软件测试方法--基于模型的测试方法(功能图、模糊测试)
weixin_44838294的博客
06-02 2469
文章目录3.6.1功能图方法3.6.2 模糊测试方法 基于模型的测试 (MBT, Model-based testing):通过构建能够正确描述被测软件系统功能特性的模型,然后基于这个模型产生测试用例并执行这些测试用例的过程。 步骤: 为被测试系统(SUT)建模 基于模型产生测试用例 将抽象的测试具体化使测试用例具有可执行性 执行测试 分析测试结果 3.6.1功能图方法 每个程序的功能通常由静态说明和动态说明组成:   静态说明描述了输入条件和输出条件之间的对应关系;   动态说明描述了输入数据的次序
非常好的介绍Model Based Testing的资料
Jeffrey Zhou 的专栏
04-17 2450
http://www.testoptimal.com/ref/starwest-2006-mbt-tutorial.pdf
android 为什么不能在模型里测试,基于模型的测试 (Model-based Testing),希望大家能给一些建议...
weixin_39735509的博客
05-27 204
最近了解到了 MBT,结合项目开发了个框架,不知道称不称得上是 MBT。刚开始弄,文档也还很简陋,希望大家能给一些建议MBT_CXMBT (Model-based testing) 基于模型测试概念:属于一种测试方法:利用模型自动产生测试用例/测试套件,然后执行测试。以百度搜索为例:制作模型图(建模方法请查看 graphwalker 建模规则 http://graphwalker.github.i...
A Model -Based Approach to Automated Testing of Access Control Policies
写诗的程序员
05-02 874
Dianxiang Xu, Lijo Thomas, Michael Kent, Tejeddine Mouelhi, Yves Le Traon. SACMAT’12 本文工作: 本文作者提出了基于模型的方法测试Access Control Policies。采用的模型是PrT网。PrT网是Petri网的简化,它由places,transitions和arcs构成。 每一个plac
Verification and Change-Impact Analysis of Access Control Policies
写诗的程序员
05-02 834
Kathi Fisler, Shriram Krishnamurthi, Leo A. Meyerovich, Michael Carl Tschantz, ICSE’05 本文工作: 作者实现了一个验证Security Policy的工具Margrave,该工具可以检查Security Policy的描述(XACML形式)与用户定义的property(形式化描述)是否一致。另一个功能
gts 测试 忽略网络连接 --skip-network-tests
06-10
是的,您可以在运行 GTS 测试时使用 `--skip-network-tests` 参数来忽略与网络连接相关的测试。具体来说,您可以使用以下命令来运行 GTS 测试并跳过与网络连接相关的测试: ``` ./tools/tradefed.sh run ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值