[发明专利]基于安全需求模板的软件安全需求获取系统及方法

说明书

技术领域

本发明涉及可信计算领域，特别是涉及一种软件安全需求获取系统及方法。

背景技术

近年来，软件安全问题已经得到业界人士的足够重视，经济有效地开发安全软件成为当前的核心目标。在软件生命周期的需求分析阶段考虑软件安全性是开发安全软件最为经济有效的方法。

软件安全需求工程是软件安全工程的子过程，它的目标是收集对软件系统资产安全进行保护的需求。ISO/IEC 15408(Common Criteria，简称CC)给出软件安全需求的定义是：安全功能应该明确的按照某种规则拒绝某些对象的访问。软件安全需求是由软件系统的安全属性决定，它能保证软件的安全开发，而且能帮助软件开发者以最小的开发和维护成本来实现系统必要的安全保护需求。一般来说，软件安全需求的获取包括如下步骤：识别风险资产、识别威胁，评估威胁对资产的影响、确立安全目标、提出安全需求、安全需求的检查和迭代精化。

目前，国内外学者对安全需求获取的研究主要集中在软件安全需求分析方法上，典型的安全需求分析方法主要包括：基于UML的安全需求分析方法；基于用例的安全需求分析方法；面向对象的安全需求分析方法；面向目标的安全需求分析方法；基于CC标准的安全需求分析方法等。

UML具有稳定且良好的扩展性，因此被很多学者应用到软件安全需求分析模型中。SecureUML是一种典型的基于UML的安全需求分析方法，它对UML进行扩展来支持 授权约束。该方法在分布式系统的安全开发中应用的较多。另外一种常见的基于UML的安全需求分析方法是J.Jurjens等人提出的UMLsec方法，该方法扩展了UML并将扩展后的UML与安全需求工程项结合，实现了通过UML模型的可视化辅助用户清楚地理解系统的安全规约。J.Jurjens演示了在软件开发中使用UMLsec表达软件安全需求的过程，并验证了方法的可行性。

误用例是一种基于用例的安全需求分析方法，该方法根据标识潜在的软件威胁来提取软件安全需求。用例能够准确地描述软件系统的功能性需求，但却不能较好地描述非功能性需求。但误用例恰好与用例相反，它主要描述有害用户的恶意行为。Guttorm Sindre等人给出了误用例的组织形式和内容，并使用误用例图来定义系统的安全需求。Pauli等人将误用例应用到软件架构设计中，用它标识并分析组件和连接器中的可能的安全关系。

面向对象的安全需求分析方法是将面向对象编程的概念和方法应用到软件需求建模中，它包括面向对象的图形语言机制和方法学。在面向方面编程的基础上，Dianxiang Xu等人从威胁和应对措施两方面入手，提出了一种基于用例驱动的获取功能需求和非功能性需求的面向对象方法。该方法提供了一种区分功能需求和非功能需求的方法。Charles等人将信任作为安全需求分析过程中的前提，以此构建了信任模型来保障软件的安全开发。

Anti-models、KAOS、Security I*/Tropos等方法是面向目标的安全需求分析方法。R.Darimon等人提出的KAOS方法是从why，who和when三个角度对目标进行安全需求抽取。Axel van Lamsweerde通过分析系统安全问题及解决办法来确定系统安全目标，进而构建系统的安全需求模型。Mylopoulos等人提出了Tropos方法，该方法贯穿了软件开发生命周期的各阶段，它给出了安全需求在不同阶段的定义、设计及实现方法。

基于CC标准的安全需求分析方法是一种基于重用的安全需求分析方法，该方法借助于安全知识库来实现重用和需求抽取。安全知识库主要包括安全威胁、安全假设、组织安全策略和安全需求四类安全知识。Daniel Mellado等人基于CC标准提出了统一软 件安全需求开发流程(SREP:Security Requirements Engineering Process)，并构建了对应的安全知识库来辅助整个安全需求开发过程。

但由于软件安全需求自身的复杂性、多变性和不确定性，这些研究成果较难应用于实际的软件开发中。并且通过对目前安全需求工程的研究工作进行分析和总结，发现这些安全需求分析方法都能够有效地解决或避免安全需求分析中的一些问题，但它们的需求分析效果都存在不同程度地依赖安全专家经验问题，且灵活性较低，仍有许多可改进之处。安全需求工程能够极大的降低软件产品的安全开发和维护成本并提高软件的质量，但其还没引起业界的足够重视，也缺乏一个普适化、自动化和可复用性高的安全需求获取方法和工具。

发明内容