本發明專利技術公開了一種基于形式化及統一軟件模型的軟件可信工程方法,屬于軟件可信領域,所述方法包括以下步驟:基于形式化語言、傳統UML視圖,構建包含軟件需求設計信息、軟件實現信息和運行環境信息的統一軟件模型;根據軟件可信工程技術架構,進行所述統一軟件模型的一致性和有效性驗證,并自動生成單元測試實例;構建基于所述統一軟件模型的軟件安全缺陷知識庫;基于所述軟件安全缺陷知識庫,通過形式化語言定理證明機,發現所述統一軟件模型中潛在的軟件安全缺陷;并根據所述潛在的軟件安全缺陷給出相應的緩和方案。本方法有效的提高了軟件質量、消除了設計缺陷、降低了開發成本和提高了可維護性等有益效果,解決了傳統軟件工程的不足。
A software trusted engineering method based on formal and unified software model
The invention discloses a formal method of software trustworthy engineering and the unified software model based on trusted software, belonging to the field, the method comprises the following steps: Based on formal language, traditional UML view, build software requirements design information, software information and operation environment information according to the unified software model; software architecture reliable engineering, consistency and validity of the unified software model, and automatically generate a unit test case; constructing the unified software model of software security defects based on knowledge base; the software security weakness knowledge database based on the formal language of theorem proving machine, find the potential safety defects of the software unified software in the model; and according to the relaxation scheme for software security defects gives the corresponding potential. The method effectively improves the software quality, eliminates the design defects, reduces the development cost and improves the maintainability and other beneficial effects, and solves the shortcomings of the traditional software engineering.
【技術實現步驟摘要】
本專利技術以可信軟件開發過程作為主要對象,搭建了結合形式化方法的軟件工程理 論體系,改進了現有軟件工程非形式化的本質不足,并引入缺陷檢測機制,在軟件設計階段 檢測并緩和缺陷,屬于軟件可信領域,特別涉及一種基于形式化及統一軟件模型的軟件可 信工程方法。
技術介紹
隨著計算機應用的不斷發展,在信息社會中發揮著至關重要的作用。但是軟件 的生產現狀不能令人滿意,軟件安全事故、軟件質量問題和軟件擴展問題已經帶來了巨大 的損失。國內外專家及行業巨頭已經將軟件的可信性作為軟件的一個重要屬性。軟件系 統的可信性質,具體為軟件系統需要滿足的關鍵性質,當軟件系統一旦違背這些關鍵性質 會造成不可容忍的損失時,稱這些關鍵性質為高可信性質。其中高可信性質包括可靠性 (reliability)、可靠安全性(safety)、保密安全性(security)、生存性(survivability)、 機密性(confidentiality)、完整性(integrity)和可維護性(maintainability)等。軟件 的可信性問題自軟件開發以來久已存在。人們在軟件工程的實踐中從需求分析方法、設計 和測試多個方面提出了一些方法來試圖從開發的角度獲得和評估軟件的這些性質。例如, 在需求分析中軟件安全性分析技術,在軟件設計中的軟件容錯技術,在軟件測試中的軟件 可靠性測試技術。并且,國際上已經開始將軟件過程模型與可信軟件開發聯系起來。例如, 面向可靠性的凈室軟件工程法、面向安全性的軟件開發過程中錯誤發生機制與軟件性質定 量預測模型。形式化方法是一種經實踐證明的高質量軟件的構建方法,構建可信軟件的一種公 認的關鍵技術。形式化方法最主要的優點為可以進行形式化推理和證明。形式化驗證就是 在形式化規約的基礎上建立軟件系統及其性質的關系,即分析系統是否具有所期望性質的 過程,主要分有兩種途徑模型檢驗和定理證明。模型檢驗是通過搜索待驗證軟件系統模型 的有窮狀態空間來檢驗系統的行為是否具備預期性質的一種有窮狀態系統自動驗證技術。 定理證明是將軟件系統和性質都用邏輯方法來規約,通過基于公理和推理規則組成的形式 系統,以如同數學中定理證明的方法來證明軟件系統是否具備所期望的關鍵性質。基于定 理證明的形式化驗證技術可以看作是以軟件系統為公理獲得其性質的證明過程。軟件安全性是軟件可信性的一個重要方面,軟件安全缺陷是軟件自身的一種內在 屬性,是安全問題的根源,被攻擊者惡意利用后形成軟件攻擊,造成巨大的損失。軟件的安 全缺陷主要分成兩大類,包括軟件設計階段引入的缺陷和軟件實現階段引入的缺陷。在軟 件開發生命周期中,設計階段安全缺陷的發現和修正非常重要,因為修改設計模型消耗的 成本遠遠小于修改軟件成品消耗的成本。目前有大量的工具和方法致力于檢測和消除軟件 實現階段的安全缺陷,但是,軟件設計階段安全缺陷檢測方法和工具卻并不成熟。因此,有 必要對設計階段引入的安全缺陷進行分析和研究,包括缺陷的內部機制,產生原因等,抽象 軟件缺陷的本質結構,進而基于此結構進行形式化建模,構建安全缺陷知識庫,使計算機能夠自動處理此類缺陷。
技術實現思路
為了解決傳統軟件工程的不足,本專利技術提供了一種基于形式化及統一軟件模型的 軟件可信工程方法,所述方法包括以下步驟(1)基于形式化語言、傳統UML視圖,構建包含軟件需求設計信息、軟件實現信息 和運行環境信息的統一軟件模型;(2)根據軟件可信工程技術架構,進行所述統一軟件模型的一致性和有效性驗證, 并自動生成單元測試實例;(3)構建基于所述統一軟件模型的軟件安全缺陷知識庫;(4)基于所述軟件安全缺陷知識庫,通過定理證明機,發現所述統一軟件模型中潛 在的軟件安全缺陷;并根據所述潛在的軟件安全缺陷給出相應的緩和方案。所述統一軟件 模型包括需求部分、設計部分和實現部分,其中,所述需求部分由UML用例圖、活動圖和狀態圖組成,所述活動圖和所述狀態 圖作為所述UML用例圖的補充,描述需求中的動態信息;所述設計部分由順序圖與形式化 語言組成,以功能單元為最小單位,所述順序圖作為框架,描述了完成預設功能需要調用的 相應功能單元及調用規則;所述形式化語言通過形式化的描述增加了功能單元的語義信 息;所述實現部分由實現功能單元的程序設計語言代碼單元組成,且滿足所述形式化語言 描述。所述軟件可信工程技術架構包括所述統一軟件模型、模型驗證模塊、單元測試模 塊、缺陷檢測模塊、安全知識學習模塊、軟件可信評估模塊和軟件安全知識庫,其中,所述統 一軟件模型貫穿于可信軟件生命周期的各個階段,為其他模塊提供了不同層面的形式化語 義信息;所述模型驗證模塊針對所述統一軟件模型中的所述順序圖與所述形式化語言,對 軟件設計進行一致性、有效性驗證;所述單元測試模塊通過功能單元的形式化語言自動生 成所述單元測試用例;所述缺陷檢測模塊使用所述軟件安全知識庫中存儲的形式化缺陷信 息,查找設計階段的安全缺陷;所述安全知識學習模塊從外界半自動學習安全知識,更新所 述軟件安全知識庫;所述軟件可信評估模塊量化評估軟件的可信度。步驟(3)中的所述構建基于統一軟件模型的軟件安全缺陷知識庫具體包括根據CWE中的安全缺陷進行安全缺陷分析,抽象軟件安全缺陷基本結構;對所述軟件安全缺陷基本結構進行形式化建模,構建安全缺陷形式化模型;根據所述安全缺陷形式化模型,構建所述軟件安全缺陷知識庫。本專利技術提供的技術方案的有益效果是本專利技術提供了,該方法通過 結合傳統軟件工程、軟件建模方法和形式化方法,互補了各自方法的不足之處,提出了基于 形式化及統一軟件模型的軟件可信工程方法。統一軟件模型是軟件可信工程的核心理論, 通過將UML視圖的直觀性、結構性等優點與形式化語言結合,解決了 UML視圖的二義性和語 義的不充分等缺點,同時降低了形式化語言在大型項目中的復雜度,提升其可讀性和可維 護性;模型驗證模塊針對統一軟件模型中的順序圖及其形式化語言擴展部分,對軟件設計 進行形式化的一致性、有效性驗證,發現軟件設計中存在的錯誤、矛盾,能夠有效的提升軟件的質量;缺陷檢測模塊基于軟件安全知識庫,對統一軟件模型中的設計部分進行形式化 的安全性驗證,該過程能夠發現軟件設計中存在的安全隱患,有效的提升軟件的安全性;單 元測試模塊能夠在保證代碼質量的同時,確保軟件設計與實現的一致性;各部分協同工作 在模型運行時引擎上,本方法有效的提高了軟件質量、消除了設計缺陷、降低了開發成本和 提高了可維護性等有益效果,解決了傳統軟件工程的不足。附圖說明圖1為本專利技術提供的基于形式化及統一軟件模型的軟件可信工程方法的流程圖;圖2為本專利技術提供的統一軟件模型的結構示意圖;圖3為本專利技術提供的軟件可信工程技術架構的結構示意圖;圖4為本專利技術提供的軟件安全缺陷知識庫構建過程的示意圖;圖5為本專利技術提供的軟件安全缺陷抽象結構的示意圖;圖6為本專利技術提供的軟件安全缺陷的Z規格描述示意圖;圖7為本專利技術提供的安全性驗證的原理圖;圖8為本專利技術提供的用例圖示意圖;圖9為本專利技術提供的Use Case 1的順序圖;圖10為本專利技術提供的op_A函數的Z規格描述示意圖;圖11為本專利技術提供的op_A函數的JAVA代碼描述意圖;圖12為本專利技術提供的一致性驗證證明責任的Z規格描述示意圖;圖13為本專利技術提供的本文檔來自技高網...
【技術保護點】
1.一種基于形式化及統一軟件模型的軟件可信工程方法,其特征在于,所述方法包括以下步驟:(1)基于形式化語言、傳統UML視圖,構建包含軟件需求設計信息、軟件實現信息和運行環境信息的統一軟件模型;(2)根據軟件可信工程技術架構,進行所述統一軟件模型的一致性和有效性驗證,并自動生成單元測試實例;(3)構建基于所述統一軟件模型的軟件安全缺陷知識庫;(4)基于所述軟件安全缺陷知識庫,通過定理證明機,發現所述統一軟件模型中潛在的軟件安全缺陷;并根據所述潛在的軟件安全缺陷給出相應的緩和方案。
【技術特征摘要】
【專利技術屬性】
技術研發人員:李曉紅,曹坤宇,陳世展,饒國政,邢金亮,曹燕,
申請(專利權)人:天津大學,
類型:發明
國別省市:12
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。