[发明专利]基于需求的IMA安全验证分析方法

权利要求书

1.一种基于需求的IMA安全验证分析方法，其特征在于包含以下步骤：

步骤一：确定系统级危害和安全约束；

步骤二：构建出系统的控制结构图，通过控制结构图找出不安全的控制行为，进而得到系统的安全需求；

步骤三：用SCR模型对安全需求进行建模，对描述不准确的需求进行修改，并用形式化的方法验证需求的可靠性和准确性；

所述步骤一具体为，从IMA系统提供的服务出发，找到IMA提供的与分区通信相关的服务，然后找到会导致相关服务失效的危险，确定分区通信的系统级危险，若IMA的分区间通信服务失效，则会导致分区通信系统的系统级危险；

所述分区通信的系统级危险包含，

H1 通道没有正确获取发送进程发送的消息；

H2 通道接收进程没有正确接收通道的消息；

H3 通道分区通信初始化过程出现错误；

进而产生系统级的安全约束：

SC1通道必须要正确获取发送进程发送的消息；

SC2通道接收进程必须正确接收通道的消息；

SC3通道分区通信初始化过程不能出错。

2.按照权利要求1所述的基于需求的IMA安全验证分析方法，其特征在于：所述步骤二包含，

2.1基于整个系统的工作方式和系统结构，找出系统的所有独立的组件，分析每个组件在系统中的作用，提取控制动作和反馈动作，构建出控制结构图；

2.2从控制结构图中提取控制动作，从“没有提供所需的安全控制行为”，“提供了不正确的控制行为”，“不正确的时间/顺序”，“停止过快/过慢”四类控制不力的情况出发，分析每个控制动作可能会导致的系统危险，得到不安全的控制行为，并根据不安全的控制动作得出安全约束；

2.3分析不安全控制行为产生原因，原因包含系统缺陷、组件失效、算法缺陷和外界环境干扰；

2.4把提取出的安全约束作为系统的安全需求，提取需求中的变量。

3.按照权利要求2所述的基于需求的IMA安全验证分析方法，其特征在于：所述2.1具体为，IMA分区通信分为两个阶段：初始化阶段和通信阶段，针对两个不同阶段分别构建控制结构图，以提取不同阶段的安全需求；在构建通信阶段的控制结构图时，先构建通信阶段的流程图，然后在流程图中提取控制动作和反馈动作，找出控制方和被控制方，构建出通信阶段的控制结构图。

4.按照权利要求2所述的基于需求的IMA安全验证分析方法，其特征在于：所述2.2具体为，从控制结构图中提取控制动作得到分区通信模块14个控制动作，其中初始化阶段4个控制动作，通信阶段10个控制动作，按照STPA方法从“没有提供所需的安全控制行为”、“提供了不正确的控制行为”、“不正确的时间/顺序”、“停止过快/过慢”四类控制不力的情况出发，分析每个控制动作会导致的系统危险，得到不安全的控制行为，通过对14个控制动作的分析，得到70个UCA，其中初始化阶段有16个UCA，通信阶段有54个UCA，识别出不安全控制行为可以转换为有关系统组件行为的安全约束，即得到系统的安全需求，通过对得到的70个UCA的分析，得到分区通信的安全约束。

5.按照权利要求1所述的基于需求的IMA安全验证分析方法，其特征在于：所述步骤三包含，

3.1根据安全需求，构建变量之间的关系，建立SCR模型，验证安全需求的描述准确性，对描述不准确的需求进行修改；

3.2把建立好的SCR模型在T-VEC工具上进行模拟，进行形式化验证。

6.按照权利要求5所述的基于需求的IMA安全验证分析方法，其特征在于：所述3.1具体为，提取完安全需求的变量之后，找到变量之间的关系，把安全需求用形式化的语言描述，对不明确的安全需求进行相应的修改完善，对形式化表述之后的安全需求构建SCR关系表。

7.按照权利要求5所述的基于需求的IMA安全验证分析方法，其特征在于：所述3.2具体为，把构建好的SCR模型在T-VEC工具上进行模拟，进行形式化验证，确保系统需求各变量和需求间的依赖关系符合系统要求，且需求所描述的系统行为满足安全性，通过T-VEC工具可以自动生成测试向量。