一种基于STPA的软件安全性分析探究与验证方法.pdfVIP

ELECTRONICS WORLD 技术 交流 ・ 一种基于STPA的软件安全性分析与验证方法 南京航空航天大学 让 涛 【摘要】 安全性苛求 系统的安全性关 系关 系着人们生命财产安全 ，而软件与 系统的安全性 紧密相关。形式化验证方法 可以证明软件的正确性 ，但并不能保证软件的安全性性。系统理论危 害分析方法 （System-Theoretic Process Analysis ， STPA ）是一种基于系统理论的危 害分析方法，它可以识别 系统 中的危 害并得到软件相关的安全性需求。本文提 出一个 结合STPA与模型检测的软件安全性分析与验证方法：使用STPA对 系统进行危害分析得到软件安全性需求，形式化描述 软件安全性性质 ，最后使用模型检测的方法验证软件安全性。 【关键词】 软件安全性 ；安全性验证 ；系统理论危害分析 ；模型检测 分为三个部分 （如图1所示）： （1）使用STPA方法对软 1 引言 件控制的系统进行危害分析，提取相关的软件安全性需 求； （2 ）形式化描述安全性需求； （3 ）使用模型检测 安全性苛求系统与人们生命财产安全息息相关，安 工具验证软件安全性。 [1] 2.1 系统危害分析与软件安全性需求提取 全性苛求软件是其中的一个要因素 。软件不直接导致损 [2] 失与损害，它控制一些设备可能会导致事故发生 。系统 提取安全性需求主要步骤： （1）构建STPA分析基 理论认为安全性是系统整体的属性，且事故发生是由软 础：系统危害与控制结构图； （2 ）识别控制器的控制行 [3] [4] 件设计错误、组件间不正常交互引起的 。STPA 是一种 为和不安全控制行为； （3 ）明确过程模型进行危害场景 STAMP[6] 的危险分析方法，在考虑组件失效的同时更注 分析； （4 ）生成软件安全性需求。 [5] 重于辨识交互带来的危害。模型检测 是 目前流行的形式 分析软件控制器产生的不安全控制行为产生的原 化验证方法，它通过穷举搜索软件状态空间的方式来验 因，安全性分析人员可以得到危害场景，得到软件相关 证软件是否满足安全性需求。 的安全性需求。过程变量模型的组合在某种上下文下会 导致危害，意味着这种过程变量组合状态下不能 （或必 须）提供控制行为。安全性需求SRi,j形式化定义为： 或 其中PWV 表示与控制行为CA 相关的过程模型变量 i,j i