基于需求文档的安全契约获取方法及其实现

发布时间：2023-04-29 01:30

　　主动式防御保障方法是在软件开发的需求阶段捕获系统的安全需求,并将获得的安全需求作为契约指导软件开发架构设计阶段的活动。主动式防御使软件安全性活动得到了规范和有效的实施。 需求阶段安全契约的获取任务是软件主动式防御的基础和关键,它将直接影响软件后续阶段的安全性保障。然而,安全契约的形成是最难完成的部分。从原始的需求文本到安全契约的形成仍然存在着一条鸿沟,其表现在： 1.很难从原始的软件需求就可以直接得到符合软件系统的实际的安全性需要。 2.很难快速、有效地分析软件需求中存在的安全漏洞。 3.很难说明定义的安全需求具有有效性和实用性。 4.如何严格地、精确地定义安全契约。 针对上述问题,本文从软件需求文档出发,重点研究基于需求文本的安全契约获取、分析和建模的方法。首先提出了基于动作关注点获取安全需求的方法,以及基于CSP进程代数的动作关注点建模方法：然后,给出了安全属性四元组作为动作关注点业务流程威胁分析的方法,同时建立了一种威胁匹配规则,该规则与ECMA的安全知识库相结合可以自动的获取业务流程中存在的威胁,还给出了确定威胁的策略,使获取的威胁能够真实的反映软件系统面临的安全问题；之后,通...

【文章页数】：73 页

【学位级别】：硕士

【文章目录】：
提要
摘要
Abstract
第1章 绪论
    1.1 课题背景及意义
        1.1.1 课题背景
        1.1.2 课题意义
    1.2 安全需求获取的研究现状
    1.3 本文工作内容和组织结构
第2章 安全需求获取方法综述
    2.1 安全需求
    2.2 相关方法与技术的讨论
        2.2.1 基本研究途径
        2.2.2 典型方法介绍
        2.2.3 优缺点分析
第3章 基于文档的安全契约获取方法
    3.1 安全契约获取的总过程
    3.2 动作关注点
        3.2.1 动作行为的提取
        3.2.2 动作关注点的确定
        3.2.3 动作关注点的建模
    3.3 ECMA安全知识库的介绍
    3.4 威胁的自动获取
        3.4.1 安全属性四元组
        3.4.2 威胁匹配规则
        3.4.3 威胁的确定
    3.5 安全需求的获取
    3.6 安全契约的建立
        3.6.1 Petri网简介
        3.6.2 安全契约建立方法
第4章 获取安全契约工具的设计与实现
    4.1 总体功能模块
    4.2 数据库设计
    4.3 动作关注点建模模块
        4.3.1 动作行为提取的实现
        4.3.2 动作关注点定义模块
    4.4 威胁分析模块
        4.4.1 安全属性编辑模块
        4.4.2 威胁获取模块
    4.5 安全需求获取模块
    4.6 安全契约建模模块
        4.6.1 视图显示模块
        4.6.2 Petri网建模模块
    4.7 文件管理模块
第5章 实例分析
    5.1 需求实例介绍
    5.2 动作关注点建模
        5.2.1 动作关注点的识别
        5.2.2 动作关注点的业务建模
    5.3 获取安全威胁
    5.4 获取安全需求
    5.5 建立安全契约
第6章 总结与展望
    6.1 全文总结
    6.2 相关工作比较
    6.3 存在问题和下一步工作
参考文献
作者简介及在学期间所取得的科研成果
致谢



本文编号：3804883