[发明专利]一种基于图尔敏模式的软件安全性论证方法

说明书

技术领域

本发明属于软件安全性工程领域，涉及其中的软件安全性论证方法，具体涉及一种基于图尔敏模式的软件安全性论证方法。

背景技术

安全性是指不发生导致人员伤亡、职业病、设备损坏或财产损失的意外事件的能力。安全关键系统（Safety-Critical System）的控制和安全防护是计算机的一个非常重要的应用领域。随着安全关键系统中软件（被称为安全软件（Safety-Critical Software））比重的增加，软件也存在安全性问题，因此，安全关键软件在投入使用前对其进行认证，判定是否达到了系统所要求的安全性是一项基本要求。

目前，对于软件安全性论证国内外不同行业有不同的标准，例如民航的DO-178B[1]、铁路的EN 50128[2]、美军的NASA-STD-8719[3][4]及三军联合手册[5]等。这些软件安全性标准从实际可操作的角度更加深入地认识到保证软件系统安全的难度。由于技术的不成熟，目前标准中很少包含软件的定量（基于概率的）安全性论证，而是定义了软件安全认证所需的实践。虽然这些标准在提倡的技术和验证的方法等一些细节上存在不一致，但论证的基本原理是一致的：根据提供软件安全性工程过程的一些证据（Evidence）来表明软件的安全性达到了相应的要求，这种面向过程的完全遵循标准的安全认证存在不足：一方面是要求遵循的开发过程、工具和技术与软件失效率的降低之间没有必然的联系，是如何满足软件安全性要求并不清楚；另一方面容易造成这样的误解：软件安全性由标准的制定者负责，而不是软件的开发方。

图尔敏模式[6]是非形式逻辑刻画日常论证的一种重要方式，是由英国的非形式逻辑奠基人图尔敏提出的。图尔敏提出了一个由主张(claim)、资料(data)、正当理由(warrants)、支援(backing)、限定词(qualifier)和反驳(rebuttal)等6个功能要素构成的过程性模式,称为图尔敏论证模式。其中,主张、资料和正当理由作为图尔敏论证模式的基本证中都必须出现,构成了论证的基本模式。支援、限定词和反驳对于所有的论证来说并非必然出现,称为补充要素。随着非形式逻辑研究在我国的兴起，越来越多的学者已经关注图尔敏模式。

发明内容

本发明为了克服现有的软件安全性论证方法的不足，将图尔敏模式的论证思想运用到软件安全性论证领域，以安全性目标（Claim）为核心，软件安全性工程活动为事实证据（Evidence），链接安全性目标与证据是正当理由（Warrant），说明事实证据是如何支持目标的成立；而事实证据则是支持正当理由，为正当理由提供事实依据。本发明给软件安全性论证提供了一个全新的、有效的视角。

本发明提供了一种基于图尔敏模式的软件安全性论证方法，该方法包括以下步骤：

步骤1：提出软件安全性论证目标（Claim），即试图在软件安全性论证中证明为已经满足的结论。

步骤2：提供支持软件安全性论证目标的事实证据（Data）。如果受到质疑，则需要转入步骤3，否则转入步骤5。

步骤3：给出赋予该‘事实证据’具有导出‘软件安全性论证目标’结论的资格的推论规则，即“正当理由(Warrants)”。如果受到质疑，则转入步骤4，否则转入步骤5。

步骤4：明确正当理由背后起保证作用的支援（Backing），用于强化正当理由权威性的支援性陈述。

步骤5：给出“软件安全性目标”实现程度的限定词（Qualifier）。

步骤6：如果存在，给出阻止从正当理由得出目标成立、具有保留机能的陈述的例外情况或反驳（Rebuttal）。

所属步骤1中的软件安全性论证目标是一个断言或断定（assertion），是用来指所陈述的、试图在论证中证明成立的结论的术语。软件安全性论证目标是二元的，只能成立或不成立，不存在第三种情况。如“代码中不存在死循环”。这就是正确的软件安全性论证目标，而“代码中存在多少错误”就不是一个正确的目标，因为它是无法去论证的。

为了更好地理解所属步骤1中的软件安全性目标，可以在软件安全性目标确定时补充有助于理解的相关附属信息，包括软件安全性论证目标所提时的背景信息、包含的术语及缩略语等。目标要被论证，那么它就不能让人存有疑问，必须对目标涉及的所有需要解释的术语进行实例化。如目标“软件的安全性是可接受的吗？”，为了更好地论证目标，就需要对“软件”、“可接受”两个概念做出界定。