[发明专利]一种高度综合化复杂软件安全性分析方法

权利要求书

1.一种高度综合化复杂软件安全性分析方法，其特征在于，包括以下步骤：

1)采用民机适航标准ARP4754A、ARP4761中的方法进行系统安全性分析，识别系统安全性需求；

2)将系统安全性需求分配至软件，确定软件安全性需求；

3)从代码层次对软件内部要素进行安全性分析；

4)采用DO-178C中的方法进行软件集成和验证：基于DO-178C标准进行软件集成和验证，检查软件代码之间以及软件代码和硬件之间的协调性，并验证软件是否正确的实现了安全性设计，满足了软件的安全性需求。

2.根据权利要求1所述的一种高度综合化复杂软件安全性分析方法，其特征在于，步骤1)具体包括如下步骤：

1.1)结合系统论整体性原理，从系统角度出发，通过系统安全性的整体分析，将安全性功能分配给各个要素；

1.2)识别系统危险，参考民机适航标准ARP4754A、ARP4761中的方法检查系统，识别出系统存在的危险；

1.3)识别出系统存在的危险后，进一步识别用于防止这些危险发生的系统级别的系统安全相关需求和系统安全性约束，系统安全性约束与一般的功能需求一样，只是要求系统进行某种特殊的控制，从而避免进入危险状态；

1.4)识别出系统安全相关需求与系统安全性约束后，根据系统安全相关需求与系统安全性约束设计控制结构对系统进行初步的控制，控制结构设计应满足系统安全性要求，并在设计的细化中不断分析，从而改进控制结构，在定义控制结构时，必须单独定义软件的安全性控制接口，保证软件自身存在一套安全性机制，当软件失效时不会对系统安全性造成影响；

1.5)识别潜在的异常控制行为，一个控制执行器通常可以产生四种类型的控制异常，包括没有提供预期的控制行为、控制行为错误或不安全、控制行为开始过晚及控制行为结束过早，根据不同控制执行器识别出相应的异常控制行为，异常控制行为识别主要关注系统与系统、系统与软件、软件与软件之间的接口控制；

1.6)根据控制结构找到异常控制行为发生的原因，异常控制原因分为控制缺陷和不充分的控制行为两类，控制缺陷指异常控制行为是由于控制算法的错误、控制过程的错误、执行器之间不够协调而导致，通过检查过程控制回路来进行识别；不充分的控制行为指异常控制行为是在过程模型正确时由执行器自身的缺陷或错误的传感器、数据造成；

1.7)根据步骤1.5)分析来识别消除异常控制行为的约束条件和设计决策，进一步完善系统安全性需求，定义新的控制结构并再次进行分析。

3.根据权利要求1所述的一种高度综合化复杂软件安全性分析方法，其特征在于，步骤2)具体包括如下步骤：

2.1)根据软件失效对系统安全性的影响程度，将软件进行分级，并基于DO-178C标准确定不同级别软件开发过程所需满足的目标；

2.2)将识别出的系统安全性需求进行分解，查找与软件有关的安全性功能作为软件生命周期过程的输入，进而将系统安全性需求分配至软件；

2.3)进一步细化分配给软件的系统安全性需求，并分析可能引起系统风险的软件失效模式、产生失效的原因以及该失效所产生的影响，提出对应的改进措施，形成软件安全性高层需求；

2.4)根据软件安全性高层需求形成软件层次架构，并针对不同类型的软件失效模式，逐层分析失效模式产生的原因，提出相应改进措施，直至软件代码层次。