● 摘要
随着软件在安全关键系统中的应用越来越广泛、承担的安全关键功能越来越多,软件的安全性需求变得越来越重要,已成为系统安全性的一个重要的决定性因素。软件安全性需求的正确描述是整个软件安全性工作的关键,它是开展后续软件安全性设计、实现与测试工作的依据。因此,对软件安全性需求的相关研究具有必要性和迫切性。
目前已经存在一些针对软件安全性需求的描述方法,但是与功能需求描述方法相比仍不够成熟。工业领域仍然主要采取传统的需求文档描述安全性需求。研究显示,现有的安全性需求建模方法存在的主要问题是不易被人理解和掌握,在实际工程中的使用成本较高。
本文的研究工作以一种基于结构化模版和约束规则的需求描述方法RUCM(Restricted Use Case Modeling)为基础,为其添加描述软件安全性需求的概念与建模元素,形成软件安全性需求规约,并为其支持后续自动化的验证奠定基础。进而通过扩展RUCM工具框架,使得扩展的RUCM方法能够得到全面的工具支持,使其能够实际运用于工业领域,发挥其价值。综上所述,本文涉及以下三个方法的研究工作:
(1)基于标准RUCM建模方法,进行软件安全性需求规约设计,形成扩展的支持软件安全性需求描述的Safety-RUCM(Safety Restricted Use Case Modeling)建模方法;
(2)基于Safety-RUCM,研究安全性需求验证方法,使其能够自动对安全性需求进行验证;
(3)在项目组已有的标准RUCM建模工具的基础上,实现支持Safety-RUCM方法的建模工具,使其能够支持软件安全性需求建模和验证。
本文通过两个不同领域的安全关键系统案例研究,来验证Safety-RUCM建模方法的易用性和易理解性,并说明Safety-RUCM建模工具的有效性。