[发明专利]基于代码生成和符号执行的访问控制策略测试自动生成方法

摘要

本发明提出一种基于代码生成和符号执行的访问控制策略测试自动生成方法，以针对XACML策略测试的实际需求，弥补现有测试XACML策略技术和工具的不足。该发明方法首先对用户指定受测试的XACML策略进行数值化处理，然后将受测试的XACML策略转换为语义等价的C代码表示形式；再通过符号执行工具生成C代码的测试输入，将生成的测试输入翻译为XACML请求；最后以生成的XACML请求作为策略评估器的输入，发送到XACML策略进行评估，得到授权结果。本发明方法利用符号执行测试技术，能够高效地生成充分覆盖XACML策略的测试请求，有利于发现XACML策略中的错误。

主权项

一种基于代码生成和符号执行的访问控制策略测试自动生成方法，其特征在于该方法包含的步骤为：步骤1：用户指定受测试的XACML策略所在的文件，该文件采用XML格式存储；步骤2：对受测试的XACML策略进行数值化处理，得到属性值‑整型值映射表，步骤2具体过程如下步骤21：初始化属性值‑整型值映射表；步骤22：深度优先遍历XACML策略，对发现的新属性值进行整型化处理；步骤23：将得到的每个属性值对应的属性值‑整型值对加入到属性值‑整型值映射表；得到受测试XACML的属性值‑整型值映射表；步骤3：将受测试的XACML策略文件中所描述的访问控制策略转换为语义等价的C代码表示形式，具体过程如下：步骤31：深度优先遍历受测试的XACML策略；步骤32：每遍历到一个策略元素，若该元素为策略集，转步骤33；若该元素为策略，转步骤34；若该元素为规则，转步骤36；步骤33：查看当前遍历到的策略集对应的策略组合算法；转步骤35；步骤34：查看当前遍历到的规则对应的规则组合算法；步骤35：根据组合算法，选择组合算法对应的代码模式；转步骤37；所述的代码模式包含8种，分别是：最先适用策略组合算法代码模式、最先适用规则组合算法代码模式、允许覆盖策略组合算法代码模式、允许覆盖规则组合算法代码模式、拒绝覆盖策略组合算法代码模式、拒绝覆盖规则组合算法代码模式、唯一适用策略组合算法代码模式以及规则代码模式；步骤36：选择规则代码模式；步骤37：解析该策略元素，填充代码模式，得到该元素对应的C语言代码；所述的元素对应的C语言代码具体形式为C函数定义，函数的参数个数为4个，类型皆为整型，函数返回值为整型，返回值域为{‑1，0，1}，‑1表示不适用，0表示允许，1表示拒绝；所述填充代码模式的方法是，找出目标中出现的属性值，查找属性值‑整型值映射表得到属性值对应的整型值，填充到代码模式中的条件语句中，查找规则所 定义的效果，填充函数的返回值；步骤38：当遍历结束，构造主函数；步骤39：得到受测试的XACML策略对应的C代码表示形式；步骤4：通过符号执行工具,即采用开源工具KLEE生成C代码的测试输入；步骤41：自动对C代码进行编译，采用的编译环境为LLVM，生成LLVM字节码文件；步骤42：自动启动KLEE，将步骤41生成的字节码文件作为KLEE的输入进行符号执行；步骤43：KLEE输出，得到C代码的测试输入；步骤5：将步骤43生成的C代码的测试输入翻译为XACML请求；步骤51：自动生成shell脚本，将KLEE的多个输出文件整合到一个文件中；步骤52：对KLEE产生的每一个C代码输入，将输入即整型值代入属性值‑整型值映射表查询，得到一组属性值；步骤53：将得到的每组属性值填充到XACML请求的相应位置；步骤54：直到所有输入都被翻译完,得到受测试的XACML策略的一组请求；步骤6：以生成的XACML请求作为策略评估器的输入，发送到XACML策略进行评估，得到授权结果。