[发明专利]一种基于证据合成理论的软件体系结构安全性评估方法

说明书

本发明公开了一种基于证据合成理论的软件体系结构安全性评估方法，属于软件安全性评估技术领域；首先构建该某个软件系统的体系结构模型，对构件涉及的安全性要素进行模糊数学化表述，然后利用软件体系结构分析方法，得到构件的转移概率和运行路径在整个系统中的转移概率，进而利用Dempster‑Shafer(D‑S)证据合成理论，结合软件运行路径的使用权重，对构件进行安全性合成，得到每个构件的安全等级评估结果，从而计算运行路径的安全等级评估结果以及系统的安全性等级评估结果；本发明利用遵循自底向上的软件工程分析方法，实现对软件系统动态的安全性分析和评估。

技术领域

本发明属于软件安全性评估技术领域，涉及一种基于证据合成理论的软件体系结构安全性评估方法。

背景技术

近年来，随着计算机技术的发展越来越广泛，软件已广泛应用于航空电子领域的安全关键系统。越来越多的功能被转移到软件来代替机械系统，因此软件变得越来越复杂，导致对安全性的要求很高。长期以来，由于安全关键系统软件的故障问题，造成了生命财产的损失，甚至导致严重的灾害，环境案件层出不穷。按照传统的软件安全性评估方法，是在软件分析的后期对软件进行安全性评估，若软件安全性论证出问题，修改的时间和成本代价会难以承受。同时在软件系统的安全性评估工作中，不应该只考虑到构件以及子系统的安全性分析本身，还应该关注构件及子系统软件的体系结构以及构件的使用环境。目前，把独立构件的安全性设定为一个固定值对系统进行安全性评估，会导致安全性分析上的不完全性。

目前软件安全性保障工作的评估主要体现在两个方面，基于风险的评估和基于缺陷的评估。Fenton认为测量软件的安全性应该考虑影响风险：如控制事件和触发事件的因素，而且要考虑对安全措施后果的影响。并且Fenton开发了一个安全性评估的系统AgenaRisk(Fenton于2006年发表的安全性评估系统)，但是他的评估模型需要输入一些软件失效概率和控制事件成功概率等，这在软件的早期是很难得到的信息。在系统AgenaRisk中，作者分析了会导致风险的缺陷，并且在McCall模型基础上开发了一个安全关键软件安全性度量框架。但是值得指出的是软件的安全性不一定与系统中的剩余缺陷数成反比，应该还涉及到软件的运行剖面。只要这些缺陷没有被激活，不会对系统造成安全威胁。

基于构件的软件开发(CBSD)可以降低开发成本和上市时间，并提高维护性和软件系统的可靠性。在构件化软件开发方法中，构件是在系统中可以独立完成某功能的一个组件，构件工作在一个良好的上下文定义的架构中，构件之间通过接口进行通信。由于构件的特性，软件工程工作中，软件设计者使用自底向上的方法来开发软件系统；类似的可以借鉴这样的思路来评估构件化软件系统的安全性。为了确保构件化的软件系统准确而又有效的运行，系统体系结构是一个很重要的要素，根据构件化软件工程开发的特点，构件化系统的体系结构是模块化和层次化的。

目前软件安全性预计模型存在的难以解决的问题是：不少软件安全性预计模型都是在软件设计实现完毕后，对软件进行系统级的测试与软件安全性分析工作，难以实现在软件设计阶段的软件安全性评估工作，从而指导软件的安全性设计。因此如何在软件架构设计阶段综合一些软件构件的安全信息：如构件的故障率，故障发生后果的严重程度以及故障导致安全事故发生的可能性等历史信息，建立一个综合模型考虑软件的安全性，力图全面考虑影响软件安全性的各种信息进行软件安全性的建模与评估，使之成为一种新的思路。然而这些信息或因素通常属于主观信息，很难准确、客观的描述出来；这就使得现存的安全性评估模型：如基于概率的模型，建模和评估具有很大的局限性。

能够处理主观评价的模糊集理论可以作为安全性评估的数学模型，这一方法近年来也引起人们的注意并取得了一些研究成果。目前对于软件的安全性描述，大多数属于等级划分的思想，采用自然语言变量对其进行模糊的定性描述。比如DO-178B就规定软件的安全性分五级，按照发生故障后导致的后果严重程度分为：A级Catastrophic、B级Hazardous、C级Major、D级Minor以及E级No effect，对这种安全性的主观描述语言进行模糊数学化。