PAGEPAGE30PAGE基于Web應(yīng)用軟件的可信行為聲明綜述目錄TOC\o"1-3"\h\u31820基于Web應(yīng)用軟件的可信行為聲明綜述 1180821.1Web應(yīng)用可信特征分析 1283851.1.1Web應(yīng)用的可信問題 1126291.1.2可信問題產(chǎn)生的原因 314281.2可信行為聲明 337011.2.1可信行為聲明的概念 365691.2.2可信行為聲明的示例 588251.2.3基于Web應(yīng)用的可信行為聲明 5299361.3全生命周期可信保障模型 7128681.1.1“言行一致”的思想 7107051.1.2軟件可信保障模型 729431.4Web應(yīng)用可信性測試的方法 8185981.4.1基于行為聲明的可信測試流程 8309891.4.2測試計(jì)劃的制定 9176491.4.3可信需求獲取過程 10194371.4.4可信行為聲明定義 12125901.4.5可信測試用例生成與測試實(shí)施 141.1Web應(yīng)用可信特征分析1.1.1Web應(yīng)用的可信問題通過對Web應(yīng)用軟件的特點(diǎn)進(jìn)行分析，Web應(yīng)用可信性主要包含兩個(gè)方面：一方面是系統(tǒng)級別的可信性，需要確保只有具備訪問權(quán)限的用戶才能夠訪問應(yīng)用系統(tǒng)，并且只能從指定的登陸頁面進(jìn)入系統(tǒng)。另一方面是程序級別的可信性，包括對應(yīng)用中數(shù)據(jù)或業(yè)務(wù)功能的訪問，需要確保用戶只能使用已被授權(quán)的功能和訪問用戶權(quán)限范圍內(nèi)的數(shù)據(jù)信息。Web應(yīng)用中常見的可信隱患主要包括以下幾個(gè)方面：http請求過程絕大多數(shù)的Web應(yīng)用都使用HTTP協(xié)議實(shí)現(xiàn)前后端的通信，基本請求流程如下：首先，瀏覽器依據(jù)域名解析出IP地址，與服務(wù)器建立TCP鏈接；然后，瀏覽器向服務(wù)器發(fā)起HTTP請求，服務(wù)器響應(yīng)HTTP請求，并將處理結(jié)果返回給瀏覽器，瀏覽器獲取響應(yīng)結(jié)果并將結(jié)果呈現(xiàn)在頁面上；最后，釋放TCP連接，請求結(jié)束。由于HTTP請求過程中數(shù)據(jù)都是使用明文進(jìn)行傳輸，因此傳輸數(shù)據(jù)的過程可能會存在可信隱患，例如可能會把傳遞過程中的隱私數(shù)據(jù)暴露給惡意用戶導(dǎo)致數(shù)據(jù)傳輸過程的不可信。因此需要對隱私數(shù)據(jù)進(jìn)行加密傳輸，并且在隱私數(shù)據(jù)傳輸前需要確認(rèn)雙方的身份。REST風(fēng)格的Web架構(gòu)因?yàn)榫哂锌梢越档烷_發(fā)復(fù)雜度，提高系統(tǒng)可擴(kuò)展性的特點(diǎn)，經(jīng)常被應(yīng)用在資源型服務(wù)接口訪問中，但是REST架構(gòu)在為開發(fā)人員提供便捷的同時(shí)，也會帶來一些可信問題。例如：REST架構(gòu)將服務(wù)器端的所有數(shù)據(jù)都抽象為資源，使用URL能夠?qū)Y源進(jìn)行唯一且清晰的定位，雖然有利于實(shí)現(xiàn)前后端解耦，提高系統(tǒng)開發(fā)的效率，但是如果把資源地址暴露給惡意用戶會產(chǎn)生可信隱患。（2）sql注入注入指的是在應(yīng)用程序中輸入惡意代碼，是攻擊者經(jīng)常用來竊取、修改或者破壞數(shù)據(jù)的方式。Web應(yīng)用中最常見的是SQL注入，攻擊者通過把惡意SQL命令以表單的形式提交到后臺，來執(zhí)行對數(shù)據(jù)庫的惡意操作或隱私數(shù)據(jù)的非法獲取，因此對于Web應(yīng)用中具有輸入需求的功能模塊，可能存在可信隱患，需要我們程序執(zhí)行過程中進(jìn)行可信驗(yàn)證。防止注入型攻擊，需要我們對輸入的數(shù)據(jù)進(jìn)行檢查，檢查文本型輸入是否含有控制字符，使用正則表達(dá)式來對輸入字符串進(jìn)行驗(yàn)證或者限制用戶輸入輸出信息的長度，以及使用過濾函數(shù)的方式等方式，來避免SQL注入。（3）文件上傳由于Web系統(tǒng)一般指的是B/S架構(gòu)的軟件系統(tǒng)，用戶直接在網(wǎng)頁輸入url就可以直接訪問系統(tǒng)，其快捷性也給它帶來了很多不安全的因素。例如在文件上傳操作中可能會出現(xiàn)漏洞，用戶通過上傳惡意文件或可執(zhí)行腳本文件，來實(shí)現(xiàn)非法執(zhí)行服務(wù)器端的命令的目的，該漏洞產(chǎn)生的原因是Web應(yīng)用程序沒有對上傳文件的類型進(jìn)行嚴(yán)格過濾，或者攻擊者通過Web服務(wù)器的解析漏洞來突破Web應(yīng)用程序的防護(hù)，因此需要在文件上傳時(shí)需要定義一些可信約束來保障文件上傳過程的可信。（4）越權(quán)訪問Web應(yīng)用中通過使用單點(diǎn)登錄的方式，給用戶訪問網(wǎng)站帶來了很多便利，節(jié)約了很多時(shí)間，但是可能會造成身份濫用，導(dǎo)致系統(tǒng)的用戶訪問權(quán)限不可信問題。用戶通過拼接URL或者cookie欺騙的方式來訪問其權(quán)限范圍外的功能模塊，甚至修改其中的數(shù)據(jù)，這些越權(quán)操作對于數(shù)據(jù)的安全性會造成極大的威脅，也會對系統(tǒng)的可信性帶來挑戰(zhàn)。（5）跨站腳本攻擊惡意攻擊者通過往Web頁面里插入惡意代碼，當(dāng)用戶瀏覽該頁面時(shí)，嵌入Web中的script代碼會被執(zhí)行，從而達(dá)到惡意攻擊用戶的特殊目的[50]。因此會導(dǎo)致Web應(yīng)用在訪問過程中的不可信問題。1.1.2可信問題產(chǎn)生的原因由于Web應(yīng)用使用HTTP協(xié)議進(jìn)行瀏覽器與服務(wù)器之間的通信，而HTTP協(xié)議本身就存在明文傳輸?shù)膯栴}，因此對于隱私數(shù)據(jù)在傳輸過程中沒有進(jìn)行有效的保護(hù)，并且其系統(tǒng)架構(gòu)風(fēng)格也導(dǎo)致了其中可能會存在可信隱患，這些可信隱患產(chǎn)生的原因主要有以下幾個(gè)方面：（1）復(fù)雜的Web應(yīng)用程序代碼量大，開發(fā)人員多，沒有形成統(tǒng)一的規(guī)范。大部分開發(fā)人員更加側(cè)重于系統(tǒng)功能性方面的需求，而容易忽略可信方面的需求。測試人員也是比較注重系統(tǒng)功能是否實(shí)現(xiàn)，而容易忽略系統(tǒng)可信性方面的要求是否得到滿足。（2）對系統(tǒng)的輸入沒有進(jìn)行有效驗(yàn)證。由于程序員缺乏安全開發(fā)經(jīng)驗(yàn)，在編寫代碼時(shí)，如果未對用戶的輸入信息進(jìn)行合理性判斷，就有可能導(dǎo)致攻擊者以頁面輸入或者文件上傳的方式來對系統(tǒng)進(jìn)行惡意攻擊，因此如果對用戶的輸入缺乏有效的驗(yàn)證，則非常容易導(dǎo)致用戶輸入的不可信問題。（3）用戶權(quán)限控制不足。由于Web應(yīng)用都是用戶直接通過網(wǎng)頁進(jìn)行訪問，如果某些功能模塊沒有做好權(quán)限控制，就容易導(dǎo)致攻擊者能夠訪問其權(quán)限范圍外的，或者隱私的功能模塊。1.2可信行為聲明1.2.1可信行為聲明的概念（1）可信行為聲明的定義可信行為聲明是描述軟件可信行為的集合，其中可信行為主要包括與軟件安全性有關(guān)的行為、可能影響軟件正常運(yùn)行的行為、與用戶權(quán)限有關(guān)的行為等[51]?？尚判袨槁暶魑募鳛檐浖尚判缘摹把孕幸恢隆钡臏y試?yán)碚撝小把浴钡亩x?？尚判袨槁暶鞯哪康氖紫?，可信行為聲明的主要是用于描述軟件的預(yù)期行為[52]，是進(jìn)行軟件可信性測試的主要依據(jù)。其次，本文在基于遺傳算法來實(shí)現(xiàn)測試用例自動生成的方法中，需要結(jié)合可信行為聲明的解析結(jié)果對源程序進(jìn)行靜態(tài)分析，分析出測試路徑和行為參數(shù)，并且對行為參數(shù)進(jìn)行參數(shù)，將編碼的參數(shù)用于算法種群的初始化，為可信測試用例的自動生成做準(zhǔn)備。最后，可信行為聲明、需求分析文檔和系統(tǒng)詳細(xì)設(shè)計(jì)文檔等放到一起，共同組成了軟件的開發(fā)文檔，分別用來描述軟件系統(tǒng)的不同方面的需求，保證了軟件在開發(fā)過程中的完備性。（3）…可信行為聲明的內(nèi)容…不同類型，不同平臺的軟件應(yīng)用具有不同的可信需求，因此可信行為聲明可以被定義成多種樣式，但是所有的行為聲明中都應(yīng)包括通用的規(guī)則條目，通用的可信行為結(jié)構(gòu)模板如圖3-1所示：圖3-1通用可信行為聲明結(jié)構(gòu)Fig.3-1GeneralTrustedBehaviorStatementStructure通過可信行為聲明結(jié)構(gòu)可以看出，每個(gè)可信行為聲明文件都由多個(gè)規(guī)則條目組成，規(guī)則條目按照功能模塊的不同進(jìn)行劃分，每個(gè)功能模塊下面都可以定義多個(gè)規(guī)則條目，每個(gè)規(guī)則條目下面都對應(yīng)的多個(gè)規(guī)則子項(xiàng)，規(guī)則子項(xiàng)主要由上述圖中的幾部分構(gòu)成，每個(gè)規(guī)則子項(xiàng)描述的內(nèi)容如下：行為名稱：根據(jù)描述的可信行為來定義行為名稱。唯一標(biāo)識ID：給每一個(gè)行為設(shè)置一個(gè)唯一的編號。行為參數(shù)：定義可信行為在執(zhí)行過程中需要的技術(shù)參數(shù)。觸發(fā)條件：定義該可信行為被觸發(fā)的條件；預(yù)期結(jié)果：描述執(zhí)行該可信行為預(yù)期產(chǎn)生的結(jié)果，在可信測試過程中通過將實(shí)際結(jié)果與預(yù)期結(jié)果進(jìn)行比對來判斷行為的可信性?？尚诺燃墸嚎尚判袨槁暶髦袑⒉煌目尚判袨閯澐譃榭尚拧⒖梢珊臀ｋU(xiǎn)行為三種等級。1.2.2可信行為聲明的示例結(jié)合上一節(jié)對通用可信行為聲明規(guī)則條目的描述，本節(jié)使用XML文件的形式對通用的Web應(yīng)用可信行為聲明的內(nèi)容框架進(jìn)行描述，定義內(nèi)容如圖3-2所示：圖3-2可信行為聲明通用模板Fig.3-2Commontemplatefortrustedbehaviordeclaration1.2.3基于Web應(yīng)用的可信行為聲明通過以上對Web應(yīng)用可信問題的研究，以及可信行為聲明定義規(guī)則的分析和描述，本節(jié)將以Web應(yīng)用中最常見的文件操作為例來進(jìn)行可信行為聲明的定義。在對文件的上傳和下載操作進(jìn)行可信行為聲明定義前，首先需要分析該行為執(zhí)行過程中可能存在的可信問題。針對文件上傳操作，當(dāng)上傳的文件類型不屬于規(guī)定的文件類型時(shí)，即可認(rèn)為是可疑操作，并且當(dāng)上傳的是exe類型的文件時(shí)，一般是惡意文件可能會對服務(wù)器造成威脅，因此將該行為定義為危險(xiǎn)行為；針對文件下載操作，當(dāng)下載文件的用戶不是權(quán)限用戶時(shí)，則認(rèn)為是危險(xiǎn)操作，有信息泄露的風(fēng)險(xiǎn)。根據(jù)以上分析，文件上傳和下載操作操作的可信行為聲明定義如圖3-3所示。<BehaviorRulesList><BehaviorRulesList><SensitiveOperationExecution> <BehaviorName>upload_file1</BehaviorName>//文件上傳 <BehaviorId>001</BehaviorId> <URL>http://localhost:XXX/file/notice/uploadFile</URL> <RequestMethod>POST</RequestMethod> <OperationParams> <operationUser>admin</operationUser> <maxSize>1024</maxSize> <fileType>jpg/png</fileType> </OperationParams> <ExpectedResult>*</ExpectedResult><securityLevel>Safety</SecurityLevel> </SensitiveOperationExecution> <SensitiveOperationExecution> <BehaviorName>upload_file2</BehaviorName>//文件上傳 <BehaviorId>002</BehaviorId> <URL>http://localhost:XXX/file/notice/uploadFile</URL> <RequestMethod>POST</RequestMethod> <OperationParams> <operationUser>Admin</operationUser> <maxSize>1024</maxSize> <fileType>exe</fileType> </OperationParams><securityLevel>Dangerous</SecurityLevel> </SensitiveOperationExecution><SensitiveOperationExecution> <BehaviorName>download_file</BehaviorName>//文件下載 <BehaviorId>003</BehaviorId> <URL>http://localhost:XXX/file/notice/downloadFile</URL> <RequestMethod>GET</RequestMethod> <OperationParams> <operationUser>notauthorizeduser</operationUser> </OperationParams><securityLevel>Dangerous</SecurityLevel></SensitiveOperationExecution></BehaviorRulesList>圖3-3文件上傳和下載操作的可信行為聲明Fig.3-3Trustedbehaviordeclarationoffileuploadanddownloadoperation1.3全生命周期可信保障模型本文在實(shí)現(xiàn)基于行為聲明的Web應(yīng)用軟件可信性測試時(shí)，引用文獻(xiàn)[53]中提出的全生命周期的可信保障模型，從軟件開發(fā)的各個(gè)階段來對Web應(yīng)用的可信行為聲明以及可信測試過程進(jìn)行分析和描述。1.1.1“言行一致”的思想“言行一致”是全生命周期可信保障模型核心思想，“言”描述的是軟件的預(yù)期行為，主要針對軟件中與可信有關(guān)的行為在執(zhí)行過程中可能會出現(xiàn)的結(jié)果進(jìn)行描述；“行”指軟件行為聲明中定義行為的實(shí)際運(yùn)行結(jié)果；“一致”是指軟件的實(shí)際運(yùn)行結(jié)果符合預(yù)期[54]，“言行一致”是證明軟件行為可信的依據(jù)。在本文的全生命周期可信保障模型中，“言”代表了軟件生命周期中靜態(tài)的部分，主要貫穿于軟件需求分析、系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)現(xiàn)和系統(tǒng)測試階段，“行”代表了軟件生命周期內(nèi)動態(tài)的部分，貫穿于軟件的安裝、上線和卸載階段?！把孕幸恢隆眲t表明行為可信，否則，行為不可信。1.1.2軟件可信保障模型軟件可信性測試與軟件測試一樣，都需要圍繞著軟件的全生命周期進(jìn)行，基于上述對“言行一致”思想和理論的分析，提出針對Web應(yīng)用的全生命周期的可信保障模型，其具體實(shí)現(xiàn)流程如下：在軟件開發(fā)過程中：首先，在系統(tǒng)需求分析階段，需要分析用戶的功能性需求，并且分析和提取需求中的敏感行為，例如注冊表訪問、文件上傳和下載、刪除某些重要內(nèi)容的操作等。其次，在系統(tǒng)設(shè)計(jì)階段，需要對系統(tǒng)的整體架構(gòu)和系統(tǒng)的功能模塊進(jìn)行詳細(xì)設(shè)計(jì)的，并且針對需求階段提出的可信需求，進(jìn)行可信行為聲明的定義。然后，在系統(tǒng)實(shí)現(xiàn)階段，需要進(jìn)行開發(fā)工作滿足用戶的功能需求，并且還要根據(jù)前面定義的可信行為來編寫可信行為聲明文件。最后，在系統(tǒng)測試階段，需要在傳統(tǒng)軟件測試過程的基礎(chǔ)上引入可信行為聲明文件，除了編寫功能測試用例，還需要根據(jù)行為聲明來進(jìn)行可信測試用例的自動生成，用于對系統(tǒng)進(jìn)行可信性測試。這些階段都對應(yīng)著“言”的部分，為系統(tǒng)的可信性測試做基礎(chǔ)。在軟件使用過程中：首先，在軟件安裝階段，需要把提前定義好的可信行為聲明文件伴隨軟件項(xiàng)目的源代碼一并安裝到相應(yīng)位置；在軟件運(yùn)行階段，將可信行為聲明文件中定義行為的預(yù)期結(jié)果與運(yùn)行的實(shí)際結(jié)果進(jìn)行比對，如果發(fā)現(xiàn)不可信行為，及時(shí)阻止該行為或者給出不可信的提示信息；在軟件更新階段，可信行為聲明的定義也應(yīng)根據(jù)軟件的實(shí)際需要進(jìn)行相應(yīng)的修改；最后，在軟件卸載階段，需要將可信行為聲明伴隨著軟件項(xiàng)目文件一并刪除；可信行為聲明一直伴隨軟件生命周期的各個(gè)階段，全生命周期的可信保障模型如圖3-4所示。圖3-4全生命周期可信保障模型Fig.3-4Fulllifecyclecredibleguaranteemodel1.4Web應(yīng)用可信性測試的方法1.4.1基于行為聲明的可信測試流程軟件可信性測試雖然不同于傳統(tǒng)的軟件測試，但是可信性測試可以在傳統(tǒng)的軟件測試流程的基礎(chǔ)上進(jìn)行延伸，傳統(tǒng)軟件測試流程如圖3-5所示：圖3-5傳統(tǒng)軟件測試流程圖Fig.3-5Traditionalsoftwaretestingflowchart本文提出的基于Web應(yīng)用的全生命周期的軟件可信性測試模型，是在傳統(tǒng)的軟件測試流程的基礎(chǔ)上進(jìn)行的延伸。首先，在測試需求定義階段，需要定義可信行為聲明；然后，在測試用例設(shè)計(jì)階段，使用遺傳算法結(jié)合可信行為聲明的解析結(jié)果實(shí)現(xiàn)測試用例的自動生成，這部分將在下一章節(jié)進(jìn)行詳細(xì)介紹；最后使用生成的可信測試用例，來實(shí)現(xiàn)對Web類型應(yīng)用的可信性測試，分析得到可信測試報(bào)告。本研究針對Web應(yīng)用軟件的可信測試流程如圖3-6所示。圖3-6Web應(yīng)用的可信性測試流程Fig.3-6CredibilitytestingprocessofWebapplication根據(jù)以上對Web應(yīng)用的可信性測試流程的分析，本文將對該流程中的主要步驟：測試計(jì)劃制定、可信需求獲取、測試用例設(shè)計(jì)和可信測試實(shí)施等過程，進(jìn)行詳細(xì)說明。1.4.2測試計(jì)劃的制定測試計(jì)劃的制定可以保障測試工作能夠順利開展，本文主要從以下幾個(gè)方面進(jìn)行實(shí)施：（1）測試對象的選取。本文選定為Web應(yīng)用系統(tǒng)作為可信測試的對象。（2）確定測試目的。對軟件的不同性質(zhì)進(jìn)行測試，測試的目的會有所區(qū)別，進(jìn)行功能性測試，則測試目的是保證系統(tǒng)的功能都能夠正常運(yùn)行。而本文的重點(diǎn)是對系統(tǒng)進(jìn)行可信性測試，根據(jù)軟件可信性的定義，要測試系統(tǒng)能夠按照預(yù)期的結(jié)果正常運(yùn)行，并且在受到干擾時(shí)，仍能提供連續(xù)服務(wù)的能力。（3）限定測試范圍。因?yàn)楸疚氖墙Y(jié)合可信行為聲明來進(jìn)行可信性測試，因此將可信行為聲明的定義范圍作為軟件可信性測試的范圍。（4）明確測試流程。對軟件進(jìn)行可信測試是針對軟件的全生命周期進(jìn)行的，因此在制定測試計(jì)劃時(shí)需要結(jié)合軟件的開發(fā)計(jì)劃，在不同的階段進(jìn)行不同的準(zhǔn)備。（5）協(xié)調(diào)測試資源。為確保測試工作能夠正常開展，需要在測試前確保人力資源、軟件資源、硬件資源等資源的供應(yīng)。（6）測試風(fēng)險(xiǎn)評估。對可信行為聲明中定義的功能模塊的可信風(fēng)險(xiǎn)進(jìn)行評估，根據(jù)風(fēng)險(xiǎn)的大小來設(shè)置可信測試的優(yōu)先級。1.4.3可信需求獲取過程軟件需求位于軟件全生命開發(fā)周期中的第一階段，需求分析的準(zhǔn)確與否直接關(guān)系到軟件開發(fā)能否成功。因此，需求分析是軟件開發(fā)流程中的關(guān)鍵一環(huán)。軟件在開發(fā)過程中，人們重點(diǎn)關(guān)注的是軟件功能方面的需求，而非功能性需求容易被軟件開發(fā)人員忽略，尤其是可信性需求，本文中可信需求的提取為軟件的可信行為聲明提供依據(jù)，其獲取流程如圖3-7所示。圖3-7可信需求分析過程Fig.3-7Credibleneedsanalysisprocess在可信需求分析過程中，首先要分析該系統(tǒng)的可行性報(bào)告，根據(jù)系統(tǒng)的可行性報(bào)告，分析出用戶的需求，在理解用戶需求的基礎(chǔ)上，搭建需求框架，建立需求原型，并在需求原型的基礎(chǔ)上，結(jié)合軟件可信性的定義和描述，對系統(tǒng)進(jìn)行可信需求分析，并把分析結(jié)果進(jìn)行描述，生成可信需求描述文件，經(jīng)過需求驗(yàn)證，最后得到可信需求文檔，該文檔就是該系統(tǒng)的可信需求描述文檔。本文主要是針對Web應(yīng)用可信性測試的研究，根據(jù)前面對Web應(yīng)用中存在可信問題的分析，本文將從以下四個(gè)方面來對Web應(yīng)用的可信需求進(jìn)行定義，其具體內(nèi)容如圖3-8所示。圖3-8Web應(yīng)用軟件的可信屬性Fig.3-8TrustedattributesofWebapplicationsoftware（1）用戶訪問權(quán)限的可信性：在Web應(yīng)用軟件中，用戶通過注冊獲取到相應(yīng)的用戶身份，系統(tǒng)會對不同的身份賦予不同的用戶權(quán)限。用戶通過登陸進(jìn)入系統(tǒng)，為了確保登陸的用戶身份不被惡意盜用，在用戶登陸時(shí)，通過限制用戶輸入密碼錯(cuò)誤的次數(shù)來確保登陸用戶信息的可信性，防止惡意用戶通過對用戶密碼的多次猜測成功登陸系統(tǒng)，以保障登陸用戶身份的可信性。（2）敏感資源訪問的可信性：信息資源管理是Web應(yīng)用最常見的功能模塊，根據(jù)登陸系統(tǒng)用戶的身份不同，可訪問的系統(tǒng)資源也會有差異，尤其是系統(tǒng)的敏感資源，一般指會對系統(tǒng)的權(quán)限較高的用戶開放，例如系統(tǒng)的權(quán)限信息，配置信息等。因此在用戶訪問系統(tǒng)的敏感信息之前需要驗(yàn)證用戶的身份，以保障敏感資源的可信性。（3）敏感操作執(zhí)行的可信性：Web應(yīng)用中存在很多的敏感操作，例如刪除系統(tǒng)中重要文件或者重要信息的操作，執(zhí)行文件上傳和敏感文件下載的操作等，因?yàn)檫@些操作的執(zhí)行會對系統(tǒng)產(chǎn)生較大的影響，并且產(chǎn)生的影響是不可逆的。因此，需要在執(zhí)行敏感操作之前驗(yàn)證登陸用戶的身份以及訪問權(quán)限來保證操作過程的可信性。除此之外，對于Web應(yīng)用中需要對操作系統(tǒng)關(guān)鍵資源進(jìn)行訪問的操作，例如對注冊表和磁盤的訪問，對訪問過程進(jìn)行監(jiān)控，以保障訪問過程的可信性。（4）接口訪問過程的可信性：Web應(yīng)用中瀏覽器與服務(wù)器之間通信、數(shù)據(jù)傳遞都是基于HTTP協(xié)議來實(shí)現(xiàn)的，瀏覽器通過訪問接口地址并攜帶相應(yīng)的參數(shù)即可訪問后端數(shù)據(jù)庫資源，因此很容易由輸入框或其他途徑以參數(shù)的形式將惡意語句注入接口信息中，使得接口訪問過程中失去可信保障。由于惡意語句在每條語句或者參數(shù)中都有可能存在，所以要對接口請求過程中傳遞的參數(shù)進(jìn)行可信性約束以保障接口訪問過程的可信性。1.4.4可信行為聲明定義可信行為聲明定義在軟件系統(tǒng)設(shè)計(jì)階段完成，并且需要在可信需求文檔的基礎(chǔ)上來實(shí)現(xiàn)。首先，根據(jù)上一節(jié)中對Web應(yīng)用中可信屬性的分類，對可信需求中描述的可信行為進(jìn)行分類，得出行為所屬的可信屬性類別，再把每一條可信行為描述都轉(zhuǎn)化為一條規(guī)則條目，根據(jù)行為的描述細(xì)節(jié)來定義規(guī)則條目中的行為子項(xiàng)，定義過程如圖3-9所示。圖3-9可信行為聲明定義過程Fig.3-9Trustedbehaviorstatementdefinitionprocess根據(jù)以上對可信行為聲明定義過程的描述，本文將使用XML的形式來進(jìn)行可信行為聲明的定義，XML格式可以更加清晰的展示數(shù)據(jù)之間的關(guān)系，同時(shí)在數(shù)據(jù)擴(kuò)展方便也有優(yōu)勢。根據(jù)Web應(yīng)用的不同可信需求的分類，將行為聲明的中的可信行為類型分為4類，分別為：UserAccessPermission（用戶訪問權(quán)限可信需求）、SensitiveInfoAccess（敏感資源獲取可信需求）、SensitiveOperationExecution（敏感操作執(zhí)行可信需求）、InterfaceAccessProcess（接口訪問過程可信性需求）。以下分別對Web應(yīng)用中的不同可信需求的可信行為聲明結(jié)構(gòu)及內(nèi)容進(jìn)行定義。（1）用戶訪問權(quán)限可信行為聲明結(jié)構(gòu)<UserAccessPermission>//用戶訪問<UserAccessPermission>//用戶訪問權(quán)限可信行為聲明 <BehaviorName>userLogin</BehaviorName>//行為名稱 <BehaviorId>number</BehaviorId>//行為編號 <OperationParams> <username>***</username>//用戶名 <password>***</password>//密碼</OperationtParams><MaxOperationTimes>n</MaxOperationTimes>//密碼錯(cuò)誤的最大限制次數(shù)<SecurityLevel>Safety/Suspicious/Dangerous</SecurityLevel></UserAccessPermission>（2）敏感資源獲取可信行為聲明結(jié)構(gòu)<SensitiveResource>//敏感資源訪問的可信<SensitiveResource>//敏感資源訪問的可信行為聲明<BehaviorName>name</BehaviorName>//行為名稱<BehaviorId>number</BehaviorId>//行為編號<OperationParameters><ResourcePath>***</ResourcePath>//資源地址<ResourceType>prohibitAccessRes/restrictAccessRes<ResoureceType>//資源類型(禁止訪問/限制訪問)<AuthorizedUser>***</AuthorizedUser>//權(quán)限用戶</OperationParameters><SecurityLevel>Safety/Suspicious/Dangerous</SecurityLevel>//可信等級</SensitiveResource>（3）敏感操作執(zhí)行可信行為聲明實(shí)例<SensitiveOperation>//敏感<SensitiveOperation>//敏感操作的可信行為聲明<BehaviorName>name</BehaviorName><BehaviorId>number</BehaviorId><OperationParameters> <OperationType>***</OperationType>//操作類型 <AuthorityUser>***</AuthorityUser>//權(quán)限用戶 <parameter>***</parameter> …</OperationParameters><ExecpedResult>***</ExpectedResult><SecurityLevel>Safety/Suspicious/Dangerous</Secu