基于安全需求扩展的软件安全性分析方法分析-analysis of software security analysis method based on security requirements expansion.docxVIP

承诺书本人声明所呈交的硕士学位论文是本人在导师指导下进行的研究工作及取得的研究成果。除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得南京航空航天大学或其他教育机构的学位或证书而使用过的材料。本人授权南京航空航天大学可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。（保密的学位论文在解密后适用本承诺书）作者签名：日期：摘要随着计算机技术的迅速发展，软件已经成为决定系统安全性的主导因素。如何提高软件安全性，防止灾难性事故的发生，已经成为当前软件工程领域的重要研究课题。目前软件安全性分析工作主要集中在软件需求规约和设计阶段。而在软件的实际开发过程中，安全需求分析和软件设计通常是相对独立的两个过程。这就造成一方面安全需求分析结果难以直接体现在软件设计之中，难以指导设计模型的建立和修改；另一方面安全需求分析工作难以在软件设计阶段进行，难以基于设计模型对软件进行安全性分析。传统的故障树分析关注的是系统故障和故障成因之间的关系但无法确定系统设计中是否存在这样的故障问题。状态图能够对系统的功能进行有效的描述，但由于缺乏对系统安全需求的直观表达，系统潜在的危害很难被发现。本文将故障树所描述的安全需求扩展到状态图中，使其能够同时描述系统的安全需求和功能，并通过模型检测的方法对扩展模型进行建模和验证。论文主要研究内容如下：（1）以故障树和状态图为基础，提出故障状态图等概念，统一了系统的安全需求分析模型和功能模型，并提出一种基于故障状态图的软件安全性分析方法。（2）给出一种基于巴克斯范式的从系统故障树中抽取和描述安全需求的方法，并定义了故障树逻辑门、连续时间到状态图元素的转换规则；设计了安全需求到状态图元素的安全需求信息映射表以及基于映射表和转换规则自动构建故障状态图的算法。（3）通过建立状态图和时间自动机元素之间的语义映射以及状态图并发和分支结构到时间自动机的转换方法，给出一种将故障状态图转换为时间自动机的方法，并将故障状态的可达性作为待验证的规约属性，在模型检测工具UPPAAL 下进行验证和分析。最后，运用本文提出的方法对燃气灶控制系统进行案例分析，给出了建立系统故障状态图及其时间自动机模型的过程，并通过对故障状态可达性的验证和分析，说明了本文方法的有效性和可行性，为软件的安全性分析工作提供了一种新思路。关键词：软件安全性分析，故障树分析，状态图，安全需求，时间自动机，模型检测ABSTRACTWiththerapiddevelopmentofcomputertechnology,softwarehasbecomethedominantfactorto systemsafety.Howtoimprovesoftwaresafety,preventcatastrophicaccidents,hasbecomean importantresearchtopicinthefieldofsoftwareengineering.Currently,thesoftwaresafetyanalysisis mainlyconcentratedinthesoftwarerequirementsspecificationanddesignstage.Andintheactual softwaredevelopmentprocess,safetyrequirementsanalysisandsoftwaredesignareusuallytwo relativelyindependentprocesses.Onehand,thishasresultedtheanalysisresultofsafteyrequirements isdifficulttodirectlyreflectedinthesoftwaredesign,difficulttoguidetheestablishmentandmodify ofthedesignmodel.Ontheotherhandsafetyrequirementsanalysisworkhardinthesoftwaredesign stage,itisdifficulttocarryonsoftwaresafetyanalysisbasedondesignmodel.Thetraditionalfault treeanalysisfocusesonsystemfailureandtherelationshipbetweenthefaultcausesbutcan’tjudge whetherthereissuchaprobleminthedesignofthesystem.Statechartscaneffectively