[发明专利]一种基于图尔敏模式的软件安全性论证方法

权利要求书

1.一种基于图尔敏模式的软件安全性论证方法，其特征在于包含以下步骤：

（1）提出软件安全性论证目标（Claim），即试图在软件安全性论证中证明为已经满足的结论，并进一步明确软件安全性目标的辅助信息（Auxiliary Info）。

（2）提供支持软件安全性论证目标的事实证据（Data），并进一步明确事实证据的辅助信息。事实证据一般为与软件安全性工程相关的一些活动的记录或产生的数据，如安全性分析结果、测试数据等。如果受到质疑，则转入步骤3，否则转入步骤5。

（3）给出赋予该‘事实证据’具有导出‘软件安全性论证目标’结论的资格的推论规则，即“正当理由(Warrants)”，并进一步明确正当理由的辅助信息。如果受到质疑，则转入步骤4，否则转入步骤5。

（4）明确正当理由背后起保证作用的支援（Backing），用于强化正当理由权威性的支援性陈述。

（5）给出“软件安全性目标”实现程度的限定词（Qualifier）。

（6）如果存在，给出阻止从正当理由得出目标成立、具有保留机能的陈述的例外情况或反驳（Rebuttal）。

2.根据权利要求1所述的基于图尔敏的软件安全性论证方法，其特征：包括七元组：<Claim,Data,Warrant,Backing,Qualifier,Auxiliary Info,Rebuttal>，其中：1）Claim代表软件安全性目标，能用是/否来回答的一个断言。2）Data代表与软件安全性相关的事实证据，用来支持软件安全性目标。3）Warrant代表正当理由，提供支持软件安全性目标的推理规则。4）Backing代表支援，用来支持正当理由。5）Qualifier代表限定词，用来表示软件安全性目标成立的程度。6）Auxiliary Info代表附加信息，用来对Claim、Data及Warrant进行补充说明。7）Rebuttal代表反驳，是软件安全性目标成立的例外情况。

3.根据权利要求1所述的提出软件安全性论证目标，其特征：软件安全性论证目标是一个断言或断定，用来指所陈述的、试图在论证中证明成立的结论的术语。软件安全性论证目标是二元的，只能成立或不成立，不存在第三种情况。软件安全性目标获取包括以下步骤：

（1）通过初步危险分析（PHA）、功能危险分析（FHA）或其它的危险分析方法获取系统危险，分析危险的后果和可能性，明确整体系统的整体风险。

（2）根据当时具体情况明确系统中哪些风险可接受和容忍的，明确可容忍风险水平。

（3）根据系统的整体风险和可容忍风险确定哪些风险必须降低或消除，获取必要的风险降低。

（4）根据必要的风险降低进一步明确整体系统的安全性要求。

（5）在系统的安全性要求，从危险原因和危险控制明确哪些是软件的安全性要求。

（6）软件安全性要求需要进一步转换成具有主谓结构的软件安全性论证目标，还应进一步补充诸如背景、术语和缩略语等辅助信息，以便进一步理解安全性论证目标。

4.根据权利要求1所述的给出赋予该‘事实证据’具有导出‘软件安全性论证目标’结论的资格的推论规则，即“正当理由(Warrants)”，其特征是：软件安全性目标是系统所要求的软件安全性要求转换而来，而从系统角度提出的软件安全性要求都将进一步分析并最终转换为软件安全性需求，所以，论证软件安全性目标的实现可以论证软件安全性需求层面的实现。而软件安全性需求还将向前链接到设计和源代码。为了使认证更为充分，软件安全性正当理由可以进一步考虑软件安全性部件和软件安全性单元层面的实现。对于每一个层面，首先需要考虑每个层面的元素的获取，之后从验证/确认（评审、分析和测试）的角度说明每个级别元素的正确实现。软件失效模式在验证/确认中起着非常关键的因素，只要表明对应的各种失效模式均不发生时即可说明各个级别元素的实现。

5.根据权利要求1所述的明确正当理由背后起保证作用的支援，其特征是：为了提高验证/确认结果的置信度，即评审、分析和测试的结果更可信，需要进一步从人员素质、软件工具的使用情况、软件过程的规范性、软件方法的正确性和软件相关环境的合理性等过程因素进行正当理由的支援。

6.根据权利要求3所述的软件安全性要求都将进一步分析并最终转换为软件安全性需求，即需要完成软件安全性需求的获取，其特征是包括以下步骤：

（1）从软件安全性要求直接映射到软件安全性需求。软件安全性要求是从系统危险的观点查看软件，将初步的危险原因和危险控制映射到软件，这些就是软件安全性需求的一部分；

（2）通过SFTA、ETA、STPA等分析方法从自顶向下补充软件安全性需求。通过对系统设计需求进行自顶向下的分析，系统需求可以在早期标识出系统危险，并规定哪些功能是安全关键的，将这些功能的失效作为分析的顶事件，就可找出失效的原因链，与软件相关的原因可转换为软件安全性需求；

（3）对软件需求进行SFMEA、HAZOP等分析方法从自底向上补充软件安全性需求。通过对软件功能或设计数据进行失效模式影响分析(FMEA)、危险和操作性分析(HAZOP)等自底向上分析，对系统需求允许但不期望的设计实现进行分析，可标识出新的软件安全性需求；

（4）根据软件具体特点从软件安全性通用需求库选择补充软件安全性需求。