亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種基于圖爾敏模式的軟件安全性論證方法

文檔序號(hào):6372926閱讀:404來(lái)源:國(guó)知局
專(zhuān)利名稱(chēng):一種基于圖爾敏模式的軟件安全性論證方法
技術(shù)領(lǐng)域
本發(fā)明屬于軟件安全性工程領(lǐng)域,涉及其中的軟件安全性論證方法,具體涉及一種基于圖爾敏模式的軟件安全性論證方法。
背景技術(shù)
安全性是指不發(fā)生導(dǎo)致人員傷亡、職業(yè)病、設(shè)備損壞或財(cái)產(chǎn)損失的意外事件的能力。安全關(guān)鍵系統(tǒng)(Safety-Critical System)的控制和安全防護(hù)是計(jì)算機(jī)的一個(gè)非常重要的應(yīng)用領(lǐng)域。隨著安全關(guān)鍵系統(tǒng)中軟件(被稱(chēng)為安全軟件(Safety-Critical Software))比重的增加,軟件也存在安全性問(wèn)題,因此,安全關(guān)鍵軟件在投入使用前對(duì)其進(jìn)行認(rèn)證,判定是否達(dá)到了系統(tǒng)所要求的安全性是一項(xiàng)基本要求。目前,對(duì)于軟件安全性論證國(guó)內(nèi)外不同行業(yè)有不同的標(biāo)準(zhǔn),例如民航的 D0-178B[1]、鐵路的 EN 50128[2]、美軍的 NASA_STD_8719[3] [4]及三軍聯(lián)合手冊(cè)[5]等。這些軟件安全性標(biāo)準(zhǔn)從實(shí)際可操作的角度更加深入地認(rèn)識(shí)到保證軟件系統(tǒng)安全的難度。由于技術(shù)的不成熟,目前標(biāo)準(zhǔn)中很少包含軟件的定量(基于概率的)安全性論證,而是定義了軟件安全認(rèn)證所需的實(shí)踐。雖然這些標(biāo)準(zhǔn)在提倡的技術(shù)和驗(yàn)證的方法等一些細(xì)節(jié)上存在不一致,但論證的基本原理是一致的根據(jù)提供軟件安全性工程過(guò)程的一些證據(jù)(Evidence)來(lái)表明軟件的安全性達(dá)到了相應(yīng)的要求,這種面向過(guò)程的完全遵循標(biāo)準(zhǔn)的安全認(rèn)證存在不足一方面是要求遵循的開(kāi)發(fā)過(guò)程、工具和技術(shù)與軟件失效率的降低之間沒(méi)有必然的聯(lián)系,是如何滿足軟件安全性要求并不清楚;另一方面容易造成這樣的誤解軟件安全性由標(biāo)準(zhǔn)的制定者負(fù)責(zé),而不是軟件的開(kāi)發(fā)方。圖爾敏模式[6]是非形式邏輯刻畫(huà)日常論證的一種重要方式,是由英國(guó)的非形式邏輯奠基人圖爾敏提出的。圖爾敏提出了一個(gè)由主張(claim)、資料(data)、正當(dāng)理由(warrants)、支援(backing)、限定詞(qualifier)和反駁(rebuttal)等6個(gè)功能要素構(gòu)成的過(guò)程性模式,稱(chēng)為圖爾敏論證模式。其中,主張、資料和正當(dāng)理由作為圖爾敏論證模式的基本證中都必須出現(xiàn),構(gòu)成了論證的基本模式。支援、限定詞和反駁對(duì)于所有的論證來(lái)說(shuō)并非必然出現(xiàn),稱(chēng)為補(bǔ)充要素。隨著非形式邏輯研究在我國(guó)的興起,越來(lái)越多的學(xué)者已經(jīng)關(guān)注圖爾敏模式。

發(fā)明內(nèi)容
本發(fā)明為了克服現(xiàn)有的軟件安全性論證方法的不足,將圖爾敏模式的論證思想運(yùn)用到軟件安全性論證領(lǐng)域,以安全性目標(biāo)(Claim)為核心,軟件安全性工程活動(dòng)為事實(shí)證據(jù)(Evidence),鏈接安全性目標(biāo)與證據(jù)是正當(dāng)理由(Warrant),說(shuō)明事實(shí)證據(jù)是如何支持目標(biāo)的成立;而事實(shí)證據(jù)則是支持正當(dāng)理由,為正當(dāng)理由提供事實(shí)依據(jù)。本發(fā)明給軟件安全性論證提供了一個(gè)全新的、有效的視角。本發(fā)明提供了一種基于圖爾敏模式的軟件安全性論證方法,該方法包括以下步驟
步驟I :提出軟件安全性論證目標(biāo)(Claim),即試圖在軟件安全性論證中證明為已經(jīng)滿足的結(jié)論。步驟2 :提供支持軟件安全性論證目標(biāo)的事實(shí)證據(jù)(Data)。如果受到質(zhì)疑,則需要轉(zhuǎn)入步驟3,否則轉(zhuǎn)入步驟5。步驟3 :給出賦予該‘事實(shí)證據(jù)’具有導(dǎo)出‘軟件安全性論證目標(biāo)’結(jié)論的資格的推論規(guī)則,即“正當(dāng)理由(Warrants)”。如果受到質(zhì)疑,則轉(zhuǎn)入步驟4,否則轉(zhuǎn)入步驟5。
步驟4 :明確正當(dāng)理由背后起保證作用的支援(Backing),用于強(qiáng)化正當(dāng)理由權(quán)威性的支援性陳述。步驟5 :給出“軟件安全性目標(biāo)”實(shí)現(xiàn)程度的限定詞(Qualifier)。步驟6 :如果存在,給出阻止從正當(dāng)理由得出目標(biāo)成立、具有保留機(jī)能的陳述的例外情況或反駁(Rebuttal)。所屬步驟I中的軟件安全性論證目標(biāo)是一個(gè)斷言或斷定(assertion),是用來(lái)指所陳述的、試圖在論證中證明成立的結(jié)論的術(shù)語(yǔ)。軟件安全性論證目標(biāo)是二元的,只能成立或不成立,不存在第三種情況。如“代碼中不存在死循環(huán)”。這就是正確的軟件安全性論證目標(biāo),而“代碼中存在多少錯(cuò)誤”就不是一個(gè)正確的目標(biāo),因?yàn)樗菬o(wú)法去論證的。為了更好地理解所屬步驟I中的軟件安全性目標(biāo),可以在軟件安全性目標(biāo)確定時(shí)補(bǔ)充有助于理解的相關(guān)附屬信息,包括軟件安全性論證目標(biāo)所提時(shí)的背景信息、包含的術(shù)語(yǔ)及縮略語(yǔ)等。目標(biāo)要被論證,那么它就不能讓人存有疑問(wèn),必須對(duì)目標(biāo)涉及的所有需要解釋的術(shù)語(yǔ)進(jìn)行實(shí)例化。如目標(biāo)“軟件的安全性是可接受的嗎? ”,為了更好地論證目標(biāo),就需要對(duì)“軟件”、“可接受”兩個(gè)概念做出界定。所屬步驟I中的軟件安全性論證目標(biāo)的獲取離不開(kāi)系統(tǒng)環(huán)境。軟件安全性要求源于系統(tǒng)的安全性要求。軟件是否安全,最終需通過(guò)系統(tǒng)體現(xiàn)出來(lái)。因此,論述一個(gè)軟件是否安全應(yīng)該看其是否會(huì)對(duì)系統(tǒng)的安全性產(chǎn)生影響。獲取軟件安全性論證目標(biāo)的具體過(guò)程包括1):明確整體系統(tǒng)的整體風(fēng)險(xiǎn);2)明確可容忍風(fēng)險(xiǎn)水平;3)獲取必要的風(fēng)險(xiǎn)降低;4)根據(jù)必要的風(fēng)險(xiǎn)降低進(jìn)一步明確整體系統(tǒng)的安全性要求;5)確定系統(tǒng)中軟件的安全性要求;6)轉(zhuǎn)化為軟件安全性論證目標(biāo)。所屬步驟2的事實(shí)證據(jù)是論證軟件安全性目標(biāo)成立的首要工作。事實(shí)證據(jù)一般為與軟件安全性工程相關(guān)的一些活動(dòng)的記錄或產(chǎn)生的數(shù)據(jù),如安全性分析結(jié)果、測(cè)試數(shù)據(jù)等,可以用于支持軟件安全性論證目標(biāo),是軟件安全性論證的基礎(chǔ)和根基。為了更好地理解所提供的事實(shí)證據(jù),必要時(shí),也可對(duì)其相關(guān)的附屬信息進(jìn)行說(shuō)明。即使提供的事實(shí)證據(jù)是正確并且是充分的,有可能還無(wú)法使接受方接受軟件安全性論證,一般也會(huì)受到這樣的質(zhì)疑為何“事實(shí)證據(jù)”能支持“軟件安全性論證目標(biāo)”的成立,支持的理由或規(guī)則是什么?可能追問(wèn)“軟件安全性目標(biāo)”和“事實(shí)證據(jù)”是否具有必然的關(guān)聯(lián)性,“事實(shí)證據(jù)”是如何證明“軟件安全性目標(biāo)”的實(shí)現(xiàn),此時(shí),需要提供正當(dāng)理由。所屬步驟3中的正當(dāng)理由是指能賦予“‘證據(jù)’事實(shí)具有導(dǎo)出‘軟件安全性論證目標(biāo)’結(jié)論的資格”的推論規(guī)則,即“證據(jù)”和“目標(biāo)”之間具有的關(guān)聯(lián)性。如目標(biāo)“軟件的開(kāi)發(fā)符合D0178B標(biāo)準(zhǔn)”,正當(dāng)理由可以定為“D0178B標(biāo)準(zhǔn)中的規(guī)定”。同一個(gè)目標(biāo)可以用多種不同角度的正當(dāng)理由進(jìn)行分解。為了更好地理解所給出的正當(dāng)理由,必要時(shí),也可對(duì)其相關(guān)的附屬信息進(jìn)行說(shuō)明。
在論證過(guò)程中,當(dāng)質(zhì)疑正當(dāng)理由的合適性“為什么相信這個(gè)正當(dāng)理由是有道理的? ”,需要提供正當(dāng)理由的支援。所屬步驟3中的正當(dāng)理由的開(kāi)發(fā)可以從軟件安全性需求、軟件安全性部件和軟件安全性代碼層面進(jìn)行著手。從系統(tǒng)角度提出的軟件安全性要求都將進(jìn)一步分析并最終轉(zhuǎn)換為軟件安全性需求,所以,論證軟件安全性目標(biāo)的實(shí)現(xiàn)可以論證軟件安全性需求層面的實(shí)現(xiàn)。而軟件安全性需求還將向前鏈接到設(shè)計(jì)和源代碼。為了使認(rèn)證更為充分,軟件安全性正當(dāng)理由可以進(jìn)一步考慮軟件安全性部件和軟件安全性單元層面的實(shí)現(xiàn)。對(duì)于每一個(gè)層面,首先需要考慮每個(gè)層面的元素的獲取,之后從驗(yàn)證/確認(rèn)(評(píng)審、分析和測(cè)試)的角度說(shuō)明每個(gè)級(jí)別元素的正確實(shí)現(xiàn)。軟件失效模式在驗(yàn)證/確認(rèn)中起著非常關(guān)鍵的因素,只要表明對(duì)應(yīng)的各種失效模式均不發(fā)生時(shí)即可說(shuō)明各個(gè)級(jí)別元素的實(shí)現(xiàn)。
所屬步驟3中的軟件安全性需求獲取是正當(dāng)理由開(kāi)發(fā)的起點(diǎn)。軟件安全性需求獲取可以直接從系統(tǒng)所提的軟件安全性要求映射到軟件安全性需求,也可通過(guò)SFTA、ETA、STPA等分析方法從自頂向下補(bǔ)充軟件安全性需求,亦可對(duì)軟件需求進(jìn)行SFMEA、HAZ0P等分析方法從自底向上補(bǔ)充軟件安全性需求,還可根據(jù)軟件具體特點(diǎn)從軟件安全性通用需求庫(kù)選擇補(bǔ)充軟件安全性需求。所屬步驟4中的支援是用來(lái)強(qiáng)化正當(dāng)理由權(quán)威性的支援性陳述。為了提高所屬步驟3中正當(dāng)理由開(kāi)發(fā)中所提的驗(yàn)證/確認(rèn)結(jié)果的置信度,即評(píng)審、分析和測(cè)試的結(jié)果更可信,需要進(jìn)一步從人員素質(zhì)、軟件工具的使用情況、軟件過(guò)程的規(guī)范性、軟件方法的正確性和軟件相關(guān)環(huán)境的合理性等過(guò)程因素進(jìn)行正當(dāng)理由的支援。所屬步驟5中的限定詞回答了 “對(duì)達(dá)到目標(biāo)有多大程度地確信”,表明了“事實(shí)證據(jù)”借助“正當(dāng)理由”對(duì)“目標(biāo)”支持的力度或程度。正當(dāng)理由有不同的種類(lèi),授予它們所證明的目標(biāo)以不同程度的說(shuō)服力。一些正當(dāng)理由能擔(dān)保毫無(wú)疑義地接受一個(gè)目標(biāo),即可以用副詞“必然”來(lái)修飾主張,或者省略限定詞;而另一些正當(dāng)理由卻只能擔(dān)保從證據(jù)到目標(biāo)的步驟或者是試驗(yàn)性的,或者是需要某種條件的、允許例外,或者有所限制。這時(shí),就需要用其他的限定詞,如“大概”、“可能”、“或然”、“百分之五的確信度”等來(lái)修飾目標(biāo)。在論證開(kāi)始,可能有大量的建議是不完全確定的,它們作為一種“可能性”,是承認(rèn)它們有權(quán)被考慮。采用基于圖爾敏模式進(jìn)行軟件安全性論證的優(yōu)點(diǎn)( I)能更直接更清晰地表明軟件安全性目標(biāo)是如何滿足的。該方法是基于目標(biāo)的、采用一定推理規(guī)則的、依此提供事實(shí)證據(jù)支持的一種安全性論證方法,對(duì)目標(biāo)的實(shí)現(xiàn)更為直接,用合理性理由對(duì)目標(biāo)的實(shí)現(xiàn)更為清晰。(2)能更有效地促進(jìn)開(kāi)發(fā)方開(kāi)展安全性保障工作的積極性。該方法要求開(kāi)發(fā)方提供事實(shí)證據(jù)用來(lái)支持軟件安全性目標(biāo)的實(shí)現(xiàn),若需要,還應(yīng)提供相應(yīng)地正當(dāng)理由、支援、反駁及限定詞等信息,從而將軟件安全性的責(zé)任更多地轉(zhuǎn)移給軟件開(kāi)發(fā)方,能更好地提升開(kāi)發(fā)方開(kāi)展安全性工作的主動(dòng)性。(3)是一種更自由更寬泛的安全性論證方法。該方法不局限具體的軟件開(kāi)發(fā)技術(shù)、開(kāi)發(fā)過(guò)程等,可以根據(jù)軟件具體的特點(diǎn),圍繞軟件性性論證目標(biāo),采取適合軟件本身的軟件方法。


圖I是軟件安全性論證模式示意圖;圖2是軟件安全性論證目標(biāo)獲取流程圖; 圖3是軟件安全性需求獲取流程;圖4是軟件安全性論證正當(dāng)理由開(kāi)發(fā)方法。
具體實(shí)施例方式下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明進(jìn)一步說(shuō)明。
為了便于本領(lǐng)域普通技術(shù)人員理解和實(shí)施本發(fā)明,下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步詳細(xì)、深入地描述,應(yīng)當(dāng)理解,此處所描述的實(shí)施例僅用于說(shuō)明和解釋本發(fā)明,并不用于限定本發(fā)明。圖I描述了基于圖爾敏模式的軟件安全性論證模式。軟件安全性目標(biāo)是軟件安全性論證最終要滿足的對(duì)象,軟件安全性論證是圍繞軟件安全性目標(biāo)進(jìn)行的軟件安全性論證模式包括七元組〈Claim,Data, Warrant, Backing, Qualifier, Auxiliary Info, Rebuttal>,其中I) Claim代表軟件安全性目標(biāo),能用是/否來(lái)回答的一個(gè)斷言。2) Data代表與軟件安全性相關(guān)的事實(shí)證據(jù),用來(lái)支持軟件安全性目標(biāo)。3) Warrant代表正當(dāng)理由,提供支持軟件安全性目標(biāo)的推理規(guī)則。4) Backing代表支援,用來(lái)支持正當(dāng)理由。5) Qualifier代表限定詞,用來(lái)表示軟件安全性目標(biāo)成立的程度。6)Auxiliary Info代表附加信息,用來(lái)對(duì)Claim、Data及Warrant進(jìn)行補(bǔ)充說(shuō)明。7) Rebuttal代表反駁,是軟件安全性目標(biāo)成立的例外情況。軟件安全性論證過(guò)程如下首先,需要提供支持“軟件安全性目標(biāo)”的“事實(shí)證據(jù)”,有一定的事實(shí)組成,必要時(shí),提供與其相關(guān)的輔助信息進(jìn)行補(bǔ)充說(shuō)明;其次,當(dāng)質(zhì)疑“事實(shí)證據(jù)”支持“軟件安全性目標(biāo)”實(shí)現(xiàn)的推理規(guī)則時(shí),提供相應(yīng)的正當(dāng)理由,在“事實(shí)證據(jù)”和“軟件安全性目標(biāo)”之間起橋梁作用?!罢?dāng)理由”是一個(gè)推理許可,用以說(shuō)明“事實(shí)證據(jù)”是如何支持“軟件安全性目標(biāo)”;而“支援”反過(guò)來(lái)支持“正當(dāng)理由”附屬信息”對(duì)“正當(dāng)理由”進(jìn)行補(bǔ)充說(shuō)明;然后,根據(jù)已有的“事實(shí)證據(jù)”和“正當(dāng)理由”,給出“軟件安全性目標(biāo)”成立的“限定”,表示“事實(shí)證據(jù)”通過(guò)“正當(dāng)理由”提供給“軟件安全性目標(biāo)”的力量大小。最后,對(duì)于“軟件安全性目標(biāo)”成立有例外的條件,則需提供為“軟件安全性目標(biāo)”論證提供“反駁”。圖2描述軟件安全性論證目標(biāo)的獲取流程。軟件安全性的討論離不開(kāi)系統(tǒng)環(huán)境,軟件安全性要求源于系統(tǒng)的安全性要求。軟件是否安全,最終需通過(guò)系統(tǒng)體現(xiàn)出來(lái)。因此,論述一個(gè)軟件是否安全應(yīng)該看其是否會(huì)對(duì)系統(tǒng)的安全性產(chǎn)生影響。軟件所屬整體系統(tǒng)中除受控設(shè)備外,可能包含若干可編程電子安全相關(guān)系統(tǒng)與和其它技術(shù)安全相關(guān)系統(tǒng)(比如減壓閥)。對(duì)于危險(xiǎn)的控制可由可編程電子安全相關(guān)系統(tǒng)、其它技術(shù)安全相關(guān)系統(tǒng)和外部安全設(shè)施來(lái)完成。只有將軟件與所在的系統(tǒng)結(jié)合起來(lái)考慮,分析軟件安全性才有意義。獲取軟件安全性論證目標(biāo)的具體流程包括步驟I :明確整體系統(tǒng)的整體風(fēng)險(xiǎn)通過(guò)初步危險(xiǎn)分析(PHA)、功能危險(xiǎn)分析(FHA)或其它的危險(xiǎn)分析方法獲取系統(tǒng)危險(xiǎn),分析危險(xiǎn)的后果和可能性,明確整體系統(tǒng)的整體風(fēng)險(xiǎn)。步驟2 :明確可容忍風(fēng)險(xiǎn)水平根據(jù)當(dāng)時(shí)具體情況明確系統(tǒng)中哪些風(fēng)險(xiǎn)可接受和容忍的。步驟3 :獲取必要的風(fēng)險(xiǎn)降低根據(jù)系統(tǒng)的整體風(fēng)險(xiǎn)和可容忍風(fēng)險(xiǎn)確定哪些風(fēng)險(xiǎn)必須降低或消除,從而達(dá)到系統(tǒng)的可容忍風(fēng)險(xiǎn)水平。步驟4 :根據(jù)必要的風(fēng)險(xiǎn)降低進(jìn)一步明確整體系統(tǒng)的安全性要求步驟5 :確定系統(tǒng)中軟件的安全性要求在系統(tǒng)的安全性要求,明確哪些是軟件的安全性要求。軟件安全性要求一般包括二個(gè)方面1)危險(xiǎn)原因,能引起危險(xiǎn);2)危險(xiǎn)控制,用于預(yù)防危險(xiǎn)、降低危險(xiǎn)發(fā)生可能性或者降低危險(xiǎn)影響。如果這些需求不執(zhí)行,或者執(zhí)行不正確,或者不按規(guī)定順序執(zhí)行就可能導(dǎo)致危險(xiǎn)發(fā)生或使危險(xiǎn)狀態(tài)存在。步驟6 :轉(zhuǎn)化為軟件安全性論證目標(biāo)軟件安全性要求需要進(jìn)一步轉(zhuǎn)換成具有主謂結(jié)構(gòu)的軟件安全性論證目標(biāo),還應(yīng)進(jìn)一步補(bǔ)充諸如背景、術(shù)語(yǔ)和縮略語(yǔ)等輔助信息,以便進(jìn)一步理解安全性論證目標(biāo)。圖3描述了軟件安全性需求獲取流程。從系統(tǒng)角度確定的軟件安全性要求將隨著軟件開(kāi)發(fā)進(jìn)一步轉(zhuǎn)化為軟件安全性需求,更好地指導(dǎo)后續(xù)的軟件開(kāi)發(fā)。軟件安全性需求從各種不同的來(lái)源中獲得,通??梢苑譃槎?lèi)通用的和特定的。通用的軟件安全性需求從一些需求和最佳實(shí)踐的集合中推導(dǎo)出來(lái),這些需求和最佳實(shí)踐的集合可以在不同的項(xiàng)目和環(huán)境中用于解決共同的軟件安全性問(wèn)題。特定的軟件安全性需求是系統(tǒng)獨(dú)特的功能能力或者約束。為了完整地標(biāo)識(shí)出所有的軟件安全性需求,制定了如下步驟的軟件安全性需求獲取流程。步驟I :從軟件安全性要求直接映射到軟件安全性需求。軟件安全性要求是從系統(tǒng)危險(xiǎn)的觀點(diǎn)查看軟件,將初步的危險(xiǎn)原因和危險(xiǎn)控制映射到軟件,這些就是軟件安全性需求的一部分;步驟2 :通過(guò)SFTA、ETA、STPA等分析方法從自頂向下補(bǔ)充軟件安全性需求。通過(guò)對(duì)系統(tǒng)設(shè)計(jì)需求進(jìn)行自頂向下的分析,系統(tǒng)需求可以在早期標(biāo)識(shí)出系統(tǒng)危險(xiǎn),并規(guī)定哪些功能是安全關(guān)鍵的,將這些功能的失效作為分析的頂事件,就可找出失效的原因鏈,與軟件相關(guān)的原因可轉(zhuǎn)換為軟件安全性需求;步驟3 :對(duì)軟件需求進(jìn)行SFMEA、HAZOP等分析方法從自底向上補(bǔ)充軟件安全性需求。通過(guò)對(duì)軟件功能或設(shè)計(jì)數(shù)據(jù)進(jìn)行失效模式影響分析(FMEA)、危險(xiǎn)和操作性分析(HAZOP)等自底向上分析,對(duì)系統(tǒng)需求允許但不期望的設(shè)計(jì)實(shí)現(xiàn)進(jìn)行分析,可標(biāo)識(shí)出新的軟件安全性需求;步驟4 :根據(jù)軟件具體特點(diǎn)從軟件安全性通用需求庫(kù)選擇補(bǔ)充軟件安全性需求。圖4描述了軟件安全性論證中正當(dāng)理由的開(kāi)發(fā)方法。軟件安全性正當(dāng)理由的目的是給出“事實(shí)證據(jù)”支持“軟件安全性目標(biāo)”實(shí)現(xiàn)的推理規(guī)則。軟件安全性目標(biāo)是系統(tǒng)所要求的軟件安全性要求轉(zhuǎn)換而來(lái),而從系統(tǒng)角度提出的軟件安全性要求都將進(jìn)一步分析并最終轉(zhuǎn)換為軟件安全性需求,所以,論證軟件安全性目標(biāo)的實(shí)現(xiàn)可以論證軟件安全性需求層面的實(shí)現(xiàn)。而軟件安全性需求還將向前鏈接到設(shè)計(jì)和源代碼。為了使認(rèn)證更為充分,軟件安全性正當(dāng)理由可以進(jìn)一步考慮軟件安全性部件和軟件安全性單元層面的實(shí)現(xiàn)。對(duì)于每一個(gè)層面,首先需要考慮每個(gè)層面的元素的獲取,之后從驗(yàn)證/確認(rèn)(評(píng)審、分析和測(cè)試)的角度說(shuō)明每個(gè)級(jí)別元素的正確實(shí)現(xiàn)。軟件失效模式在驗(yàn)證/確認(rèn)中起著非常關(guān)鍵的因素,只要表明對(duì)應(yīng)的各種失效模式均不發(fā)生時(shí)即可說(shuō)明各個(gè)級(jí)別元素的實(shí)現(xiàn)。為了提高驗(yàn)證/確認(rèn)結(jié)果的置信度,即評(píng)審、分析和測(cè)試的結(jié)果更可信,需要進(jìn)一步從人員素質(zhì)、軟件工具的使用情況、軟件過(guò)程的規(guī)范性、軟件方法的正確性和軟件相關(guān)環(huán)境的合理性等過(guò)程因素進(jìn)行正當(dāng)理由的支援。[I]RTCA D0-178B Software Considerations in Airborne Systems andEquipment Certification [S].1992. [2]CENELECj EN 50128 Railway Applications:Softare for RailwayControl and Protection Systems[S]. European Committee for Electro technicalStandardisation, 1997.[3]NASA-STD_8719. 13B NASA software safety standard[S]. 2004.[4]NASA-GB-8719. 13NASA Software Safety Guidebook[S]. 2004.[5]Joint Software System Safety Committee,SOFTWARE SYSTEM SAFETYHANDBOOK[S]. 1999.[6]Stephen Toulmin. The Uses of Argument[M]. Cambridge UniversityPress. 1999:97-107.
權(quán)利要求
1.一種基于圖爾敏模式的軟件安全性論證方法,其特征在于包含以下步驟 (1)提出軟件安全性論證目標(biāo)(Claim),即試圖在軟件安全性論證中證明為已經(jīng)滿足的結(jié)論,并進(jìn)一步明確軟件安全性目標(biāo)的輔助信息(Auxiliary Info)。
(2)提供支持軟件安全性論證目標(biāo)的事實(shí)證據(jù)(Data),并進(jìn)一步明確事實(shí)證據(jù)的輔助信息。事實(shí)證據(jù)一般為與軟件安全性工程相關(guān)的一些活動(dòng)的記錄或產(chǎn)生的數(shù)據(jù),如安全性分析結(jié)果、測(cè)試數(shù)據(jù)等。如果受到質(zhì)疑,則轉(zhuǎn)入步驟3,否則轉(zhuǎn)入步驟5。
(3)給出賦予該‘事實(shí)證據(jù)’具有導(dǎo)出‘軟件安全性論證目標(biāo)’結(jié)論的資格的推論規(guī)則,即“正當(dāng)理由(Warrants)”,并進(jìn)一步明確正當(dāng)理由的輔助信息。如果受到質(zhì)疑,則轉(zhuǎn)入步驟4,否則轉(zhuǎn)入步驟5。
(4)明確正當(dāng)理由背后起保證作用的支援(Backing),用于強(qiáng)化正當(dāng)理由權(quán)威性的支援性陳述。
(5)給出“軟件安全性目標(biāo)”實(shí)現(xiàn)程度的限定詞(Qualifier)。
(6)如果存在,給出阻止從正當(dāng)理由得出目標(biāo)成立、具有保留機(jī)能的陳述的例外情況或反駁(Rebuttal )。
2.根據(jù)權(quán)利要求I所述的基于圖爾敏的軟件安全性論證方法,其特征包括七元組〈Claim, Data, Warrant, Backing, Qualifier, Auxiliary Info, Rebuttal>,其中I)Claim代表軟件安全性目標(biāo),能用是/否來(lái)回答的一個(gè)斷言。2)Data代表與軟件安全性相關(guān)的事實(shí)證據(jù),用來(lái)支持軟件安全性目標(biāo)。3)Warrant代表正當(dāng)理由,提供支持軟件安全性目標(biāo)的推理規(guī)則。4)Backing代表支援,用來(lái)支持正當(dāng)理由。5)Qualifier代表限定詞,用來(lái)表示軟件安全性目標(biāo)成立的程度。6)Auxiliary Info代表附加信息,用來(lái)對(duì)Claim、Data及Warrant進(jìn)行補(bǔ)充說(shuō)明。7) Rebuttal代表反駁,是軟件安全性目標(biāo)成立的例外情況。
3.根據(jù)權(quán)利要求I所述的提出軟件安全性論證目標(biāo),其特征軟件安全性論證目標(biāo)是一個(gè)斷言或斷定,用來(lái)指所陳述的、試圖在論證中證明成立的結(jié)論的術(shù)語(yǔ)。軟件安全性論證目標(biāo)是二元的,只能成立或不成立,不存在第三種情況。軟件安全性目標(biāo)獲取包括以下步驟 (1)通過(guò)初步危險(xiǎn)分析(PHA)、功能危險(xiǎn)分析(FHA)或其它的危險(xiǎn)分析方法獲取系統(tǒng)危險(xiǎn),分析危險(xiǎn)的后果和可能性,明確整體系統(tǒng)的整體風(fēng)險(xiǎn)。
(2)根據(jù)當(dāng)時(shí)具體情況明確系統(tǒng)中哪些風(fēng)險(xiǎn)可接受和容忍的,明確可容忍風(fēng)險(xiǎn)水平。
(3)根據(jù)系統(tǒng)的整體風(fēng)險(xiǎn)和可容忍風(fēng)險(xiǎn)確定哪些風(fēng)險(xiǎn)必須降低或消除,獲取必要的風(fēng)險(xiǎn)降低。
(4)根據(jù)必要的風(fēng)險(xiǎn)降低進(jìn)一步明確整體系統(tǒng)的安全性要求。
(5)在系統(tǒng)的安全性要求,從危險(xiǎn)原因和危險(xiǎn)控制明確哪些是軟件的安全性要求。
(6)軟件安全性要求需要進(jìn)一步轉(zhuǎn)換成具有主謂結(jié)構(gòu)的軟件安全性論證目標(biāo),還應(yīng)進(jìn)一步補(bǔ)充諸如背景、術(shù)語(yǔ)和縮略語(yǔ)等輔助信息,以便進(jìn)一步理解安全性論證目標(biāo)。
4.根據(jù)權(quán)利要求I所述的給出賦予該‘事實(shí)證據(jù)’具有導(dǎo)出‘軟件安全性論證目標(biāo)’結(jié)論的資格的推論規(guī)則,即“正當(dāng)理由(Warrants) ”,其特征是軟件安全性目標(biāo)是系統(tǒng)所要求的軟件安全性要求轉(zhuǎn)換而來(lái),而從系統(tǒng)角度提出的軟件安全性要求都將進(jìn)一步分析并最終轉(zhuǎn)換為軟件安全性需求,所以,論證軟件安全性目標(biāo)的實(shí)現(xiàn)可以論證軟件安全性需求層面的實(shí)現(xiàn)。而軟件安全性需求還將向前鏈接到設(shè)計(jì)和源代碼。為了使認(rèn)證更為充分,軟件安全性正當(dāng)理由可以進(jìn)一步考慮軟件安全性部件和軟件安全性單元層面的實(shí)現(xiàn)。對(duì)于每一個(gè)層面,首先需要考慮每個(gè)層面的元素的獲取,之后從驗(yàn)證/確認(rèn)(評(píng)審、分析和測(cè)試)的角度說(shuō)明每個(gè)級(jí)別元素的正確實(shí)現(xiàn)。軟件失效模式在驗(yàn)證/確認(rèn)中起著非常關(guān)鍵的因素,只要表明對(duì)應(yīng)的各種失效模式均不發(fā)生時(shí)即可說(shuō)明各個(gè)級(jí)別元素的實(shí)現(xiàn)。
5.根據(jù)權(quán)利要求I所述的明確正當(dāng)理由背后起保證作用的支援,其特征是為了提高驗(yàn)證/確認(rèn)結(jié)果的置信度,即評(píng)審、分析和測(cè)試的結(jié)果更可信,需要進(jìn)一步從人員素質(zhì)、軟件工具的使用情況、軟件過(guò)程的規(guī)范性、軟件方法的正確性和軟件相關(guān)環(huán)境的合理性等過(guò)程因素進(jìn)行正當(dāng)理由的支援。
6.根據(jù)權(quán)利要求3所述的軟件安全性要求都將進(jìn)一步分析并最終轉(zhuǎn)換為軟件安全性需求,即需要完成軟件安全性需求的獲取,其特征是包括以下步驟 (1)從軟件安全性要求直接映射到軟件安全性需求。軟件安全性要求是從系統(tǒng)危險(xiǎn)的觀點(diǎn)查看軟件,將初步的危險(xiǎn)原因和危險(xiǎn)控制映射到軟件,這些就是軟件安全性需求的一部分; (2)通過(guò)SFTA、ETA、STPA等分析方法從自頂向下補(bǔ)充軟件安全性需求。通過(guò)對(duì)系統(tǒng)設(shè)計(jì)需求進(jìn)行自頂向下的分析,系統(tǒng)需求可以在早期標(biāo)識(shí)出系統(tǒng)危險(xiǎn),并規(guī)定哪些功能是安全關(guān)鍵的,將這些功能的失效作為分析的頂事件,就可找出失效的原因鏈,與軟件相關(guān)的原因可轉(zhuǎn)換為軟件安全性需求; (3)對(duì)軟件需求進(jìn)行SFMEA、HAZOP等分析方法從自底向上補(bǔ)充軟件安全性需求。通過(guò)對(duì)軟件功能或設(shè)計(jì)數(shù)據(jù)進(jìn)行失效模式影響分析(FMEA)、危險(xiǎn)和操作性分析(HAZOP)等自底向上分析,對(duì)系統(tǒng)需求允許但不期望的設(shè)計(jì)實(shí)現(xiàn)進(jìn)行分析,可標(biāo)識(shí)出新的軟件安全性需求; (4)根據(jù)軟件具體特點(diǎn)從軟件安全性通用需求庫(kù)選擇補(bǔ)充軟件安全性需求。
全文摘要
本發(fā)明公開(kāi)了一種基于圖爾敏模式的軟件安全性認(rèn)證方法。該方法以需要認(rèn)證的軟件安全性目標(biāo)為核心,提供支持目標(biāo)成立的事實(shí)證據(jù),質(zhì)疑時(shí),給出賦予事實(shí)證據(jù)支持目標(biāo)成立的正當(dāng)理由及用于強(qiáng)化正當(dāng)理由權(quán)威性陳述的支援;如目標(biāo)不是完全成立,則需明確目標(biāo)實(shí)現(xiàn)程度的限定詞;給出阻止從正當(dāng)理由得出目標(biāo)成立的反駁,從而實(shí)現(xiàn)以軟件安全性目標(biāo)為核心的安全性認(rèn)證方法。本發(fā)明是一種更自由更寬泛的軟件安全性論證方法,能更直接更清晰地表明軟件安全性目標(biāo)是如何滿足的,同時(shí)能更有效地促進(jìn)開(kāi)發(fā)方開(kāi)展安全性保障工作的積極性,從而更主動(dòng)地提高了軟件安全性。
文檔編號(hào)G06F21/00GK102779253SQ20121023248
公開(kāi)日2012年11月14日 申請(qǐng)日期2012年7月5日 優(yōu)先權(quán)日2012年7月5日
發(fā)明者張大健, 曾福萍, 王栓奇, 陸民燕 申請(qǐng)人:北京航空航天大學(xué)
網(wǎng)友詢(xún)問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1