CN103970651A - 基于组件安全属性的软件体系结构安全性评估方法 - Google Patents

Abstract

本发明公开了一种基于组件安全属性的软件体系结构安全性评估方法，该方法包括以下步骤：将软件体系结构建模，包括组件功能描述；进行软件体系结构的安全性计算，包括组件权值计算、组件安全值计算以及软件体系姐欧股安全值计算；根据组件权值，得知整个软件体系结构安全需求最高的组件；根据安全值得知软件体系结构设计方案中组件的安全程度；综合比较组件的权值和安全值，得知软件体系结构设计缺陷，实现安全性总结以及得到评估报告，作为软件体系结构设计的修改依据。在软件设计阶段提出了基于组件安全属性的软件体系结构安全性评估方法，以期尽早的系统地考虑软件系统中安全功能问题，降低软件漏洞出现的可能性，从而提高软件的安全性。

Description

基于组件安全属性的软件体系结构安全性评估方法

技术领域

本发明涉及可信计算领域，特别涉及一种软件体系结构评估流程及半自动化工具。

背景技术

据统计数据显示，相当比例的软件安全问题出现在软件设计阶段，并且随着软件开发过程的进行解决安全问题所花费的代价也将越来越大。安全问题应该在软件开发生命周期中被尽早考虑，这已经成为安全软件开发的共识。根据“缺陷放大模型”以及业界大量的统计数据表明：修正软件缺陷的成本随着发现该缺陷的时间的推迟而增长，而50%-75%的缺陷是设计阶段注入。而软件体系结构的设计以及安全性分析是软件设计阶段的重中之重。

目前，近年来软件体系结构评估技术取得了许多有益的进展，软件体系结构的评估技术不断出现，一些方法已经比较成熟并得到了应用和验证。现有评估技术大致可分为三类，第一类方法是基于场景的评估方法，如软件体系结构分析方法——SAAM、软件体系结构折中分析方法——ATAM、软件体系结构层次可维护性预测方法——ALMA等；第二类方法是基于模型检测技术和度量技术的评估方法，如SAEM，EDICT等；第三类方法是基于特定体系结构描述语言的评估方法，如特定领域软件体系结构分析方法（DSSA），Rapide方法等。

然而，上述评估技术存在两个主要不足：1）现有评估技术多是用于评估软件体系结构的功能属性，没有针对非功能属性（例如安全性）进行评估，不能有效解决体系结构中的安全问题。2）这些方法大都是定性评价，无法给出关于体系结构安全性的量化信息；并且，有些方法是针对特定领域的体系结构进行分析，不具备通用性。这些不足就极大的限制了软件体系结构评估的效果，这无疑会影响设计人员和评估人员对软件体系结构安全问题的认识和改进。

发明内容

为了克服上述现有技术存在的问题，本发明提出一种基于组件安全属性的软件体系结构安全性评估方法，从组件安全措施的角度评估体系结构设计的安全保障力度，建立起一套完整的软件体系结构安全性评估的工程方法，以减少软件开发初期的安全漏洞。

本发明提出的一种基于组件安全属性的软件体系结构安全性评估方法，该方法包括稳以下步骤：

步骤一、将软件体系结构划分为表示层、业务层、数据访问层和资源层四个层次进行模式框架的建立，对其中各组件功能选择组件所属层次和组件类别实现描述；

步骤二、进行软件体系结构的安全性计算，包括组件权值计算、组件安全值计算以及软件体系姐欧股安全值计算；

步骤三、根据组件权值，得知整个软件体系结构安全需求最高的组件；根据安全值得知软件体系结构设计方案中组件的安全程度；综合比较组件的权值和安全值，得知软件体系结构设计缺陷，实现安全性总结以及得到评估报告，作为软件体系结构设计的修改依据。

所述步骤二的组件权值计算包括以下步骤：

分析软件体系结构设计中的各组件C1、C2、C3、…、Cn的功能；

基于各组件的功能以及对整个软件体系结构的作用，两两比较各组件的重要性，得到n×n矩阵；

计算该矩阵最大特征值对应的特征向量，并对矩阵进行一致性检验；

将特征向量归一化为各组件对应的权值向量w_c。

所述步骤二的组件安全值计算包括以下步骤：

1）给出评价对象集I＝{i₁,i₂,...,i_m}；本步骤以指标层为例，评价对象集I表示安全措施中的m项评估指标；

2）确定评价集E＝{e₁,e₂,...,e_n}；

评价集E是指划分评价对象的等级，评价集为：

E＝{极差，差，一般，好，极好}={1,3,5,7,9}。

3）获取模糊信息，建立模糊评价矩阵R_i，并计算模糊评价向量V_i；

依据评价对象集和评价集，模糊评价矩阵的格式为：

其中，rij代表第i个评估指标对于第j个等级的隶属程度。在确定隶属程度时，通常是由多名评估人员依据评价集对评价对象评级，然后统计评级结果，根据得分比例得出rij的值。

计算准则层模糊评价向量v_i时，计算公式为：

其中vk表示第k个指标的模糊评价值（k=1，2，…，m）。

4）计算正在评估的安全措施各项指标的权重向量w_i=（w₁,w₂,...,w_m），其中w_k为第k项指标的权值（k=1，2，…，m）。计算各项指标的权重向量w_i，计算方法与算法1相同，不再赘述。

5）依据模糊评价向量v_i和权重向量w_i计算安全措施的安全值，同时计算该子属性所有安全措施的模糊安全值得出模糊安全值向量S_z；

安全措施的安全值s_i计算公式为：

$s_i=w_i\·v_i=\left(\begin{array}{ccc}{w}_1& ...& w_m\end{array}\right)\left(\begin{array}{c}{v}_1\\ .\\ .\\ .\\ v_m\end{array}\right)$

其中，w_k是该安全措施第k项评估指标的权重，v_k是该安全措施第k项评估指标的模糊安全值（k=1，2，…，m）。

经过上述步骤，计算完成准则层安全措施的模糊安全值，每项子属性的模糊安全值向量格式为：

S_z＝(s₁,s₂,...,s_k)

其中k为该子属性的安全措施数目。

6）重复上述的步骤4）和步骤5），计算准则层和目标层的模糊安全值向量及其权重向量，相乘得出组件安全值。

所述步骤二的软件体系结构安全值计算，是由各组件安全值向量S_c和组件权值向量w_c相乘得出，计算公式为：

S_A＝w_c·S_c ^T

根据上述公式可计算出软件体系结构的安全值，该分值表示软件体系结构设计方案的总体安全程度。

与现有技术相比，本发明以软件系统的安全性为目的，在软件设计阶段提出了基于组件安全属性的软件体系结构安全性评估方法，以期尽早的系统地考虑软件系统中安全功能问题，降低软件漏洞出现的可能性，从而提高软件的安全性。该方法预期达到如下有益效果：

1、提出了基于组件安全的软件体系结构安全性评估方法，出于评估粒度的考虑，本文从组件层评估软件体系结构的安全属性，使用安全属性树形模型刻画组件的安全性，并建立该模型与各组件类安全措施的映射关系，进而采用AHP等算法完成软件体系结构的安全性评估；

2、构建了组件类和安全措施的数据库，使评估人员有更多软件设计阶段的安全关注点可供依赖和参考，从而能够较为容易的完成评估流程，减少软件生面周期初期阶段的潜在风险。

3、实现了软件体系结构安全性评估工具，该工具为评估流程的半自动化和评估方法的普及提供了支持。

附图说明

图1为本发明的基于组件安全属性的软件体系结构安全性评估方法流程图；

图2为“4+1”视图模型示意图；

图3为组件安全属性树形模型；

图4为基于J2EE的电子票务管理系统体系结构设计图；

图5为组件权值和安全值图。

表1组件功能描述表

表2组件比较尺度

表3组件安全措施表

具体实施方式

下面将结合附图对本发明具体实施方式作进一步地详细描述。

如图1所示，该方法的流程共分为三个阶段，首先为对软件体系结构的描述，之后是安全性计算，最后进行安全性总结，得出评估报告。每个阶段有包含若干活动。下面进行详细介绍：

一、软件体系结构描述：

软件体系结构是对软件系统的高层抽象，是软件系统集成的蓝本以及系统验收的依据，包括各组件功能描述。在进行软件体系结构安全性评估时，需要对软件体系结构的设计方案进行建模，这个建模过程就是软件体系结构的描述。设计方案描述的实现主要是使用“4+1”视图模型（如图2所示）描述软件体系结构设计方案，该模型中每种视图使用表示法-蓝图来描述，并且体系结构师可以对某种视图选用特定的软件体系结构风格，从而允许系统中多种风格并存。组件功能描述主要是选择组件所属层次和组件类别。该方法推荐使用软件体系结构层次模型。即按照系统的业务逻辑，结合软件体系结构设计中常用的模式框架和常用的组件技术，将软件体系结构划分为表示层、业务层、数据访问层和资源层四个层次。根据软件体系结构层次以及组件功能，进一步对组件进行分类。

二、安全性计算，该阶段具体包括的技术有：

1、组件安全属性树模型定义

安全属性树模型将安全性细化为机密性、完整性和可用性三项子属性，每项子属性又有一些安全措施用于保障子属性的实现，通过评估这些安全措施的实施力度就可以得出体系结构设计的安全性结论。在进行评估时，完成软件体系结构的描述后，根据组件类别和安全措施的对应关系构造每个组件的安全属性树。组件安全属性树形模型如图3所示。

2、对组件权值的计算

组件权值表示组件对于整个软件体系结构设计方案中的重要程度。如果软件体系结构设计方案中只有两个组件，那么通过比较就可确定组件对于软件体系结构的相对重要性，从而确定组件的权值。如果软件体系结构中有多个组件，那么通过两两比较得到的偏序值采用层次分析法（AHP）。

计算组件权值：组件权值表示组件对于整个软件体系结构设计方案中的重要程度。软件体系结构中有多个组件，通过两两比较得到的偏序值采用层次分析法（AHP）便可以得到组件权值。具体算法如下：

输入：软件体系结构设计中的组件C₁、C₂、C₃、…、C_n。

输出：各个组件所对应的权值向量w_c。

1）分析各组件的功能；

2）基于各组件的功能以及对整个软件体系结构的作用，两两比较各组件的重要性，得到n×n矩阵；

3）计算该矩阵最大特征值对应的特征向量，并对矩阵进行一致性检验；

4）将特征向量归一化为各组件的权值向量w_c。

3、组件安全值的计算

组件安全值表示组件满足安全需求的程度，计算过程是基于安全属性树形模型完成的，每个组件对应一个安全属性树。对于某一特定组件来说，软件系统安全需求不同，其安全属性树也就不同。因此计算组件的安全值时应充分考虑组件的上下文环境，而后构建其安全属性树进行计算。

组件安全值计算包括：首先，组件安全值计算流程包括识别安全措施、构建组件安全属性树以及安全值的计算；建立组件类别和安全措施对应表；构建好组建安全属性树之后，建立组件安全属性树形模型：模型的根节点表示组件的安全属性，依次分解为机密性、完整性和可用性，其中机密性指的是信息不被泄露给非授权的用户、实体和进程；完整性指信息未经授权不能进行更改的特性；可用性指信息可被授权实体访问并按需求使用的特性。

计算组件安全值，其过程如下：

1）给出评价对象集I＝{i₁,i₂,...,i_m}；

本步以指标层为例，评价对象集I表示安全措施中的m项评估指标。

2）确定评价集E＝{e₁,e₂,...,e_n}；

评价集E是指划分评价对象的等级，在本方法中，评价集为：

E＝{极差，差，一般，好，极好}={1,3,5,7,9}。

3）获取模糊信息，建立模糊评价矩阵R_i，并计算模糊评价向量V_i；

依据评价对象集和评价集，模糊评价矩阵的格式为：

其中，rij代表第i个评估指标对于第j个等级的隶属程度。在确定隶属程度时，通常是由多名评估人员依据评价集对评价对象评级，然后统计评级结果，根据得分比例得出rij的值。

计算准则层模糊评价向量v_i时，计算公式为：

其中vk表示第k个指标的模糊评价值（k=1，2，…，m）。

5）计算正在评估的安全措施各项指标的权重向量w_i=（w₁,w₂,...,w_m），其中w_k为第k项指标的权值（k=1，2，…，m）。计算各项指标的权重向量w_i，计算方法与算法1相同，不再赘述。

6）依据模糊评价向量v_i和权重向量w_i计算安全措施的安全值，同时计算该子属性所有安全措施的模糊安全值得出模糊安全值向量S_z；

安全措施的安全值s_i计算公式为：

$s_i=w_i\·v_i=\left(\begin{array}{ccc}{w}_1& ...& w_m\end{array}\right)\left(\begin{array}{c}{v}_1\\ .\\ .\\ .\\ v_m\end{array}\right)$

其中，w_k是该安全措施第k项评估指标的权重，v_k是该安全措施第k项评估指标的模糊安全值（k=1，2，…，m）。

经过上述步骤，计算完成准则层安全措施的模糊安全值，每项子属性的模糊安全值向量格式为：

S_z＝(s₁,s₂,...,s_k)

其中k为该子属性的安全措施数目。

6）重复上述的步骤4）和步骤5），计算准则层和目标层的模糊安全值向量及其权重向量，相乘得出组件安全值。

4、软件体系结构安全值计算

软件体系结构的安全值是由各组件安全值向量S_c和组件权值向量w_c相乘得出，计算公式为：

S_A＝w_c·S_c ^T

根据上述公式可计算出软件体系结构的安全值，该分值表示软件体系结构设计方案的总体安全程度。模糊层次分析法中的评价集给出了评价等级与分值的关系，最后得出的软件体系结构安全值与安全等级的关系与此类似，得分为1至3分对应“安全性差”，3至5分对应“安全性一般”，5至7分对应“安全性好”，7至9分对应“安全性极好”。

三、安全性总结以及得到评估报告

通过基于组件安全属性的评估流程，各个组件的安全值和权值已经得到。根据组件权值，可以得知软件体系结构设计中的关键组件，即整个软件体系结构安全需求最高的组件。根据安全值可以得知软件体系结构设计方案中组件的安全程度。综合比较组件的权值和安全值，可以得知软件体系结构设计缺陷，并提出修改意见。如：根据组件权值，可以得知软件体系结构设计中的关键组件，即整个软件体系结构安全需求最高的组件。根据安全值可以得知软件体系结构设计方案中组件的安全程度。综合比较组件的权值和安全值，可以得知软件体系结构设计缺陷，并提出修改意见。

接下来以一个具体实例来说明本发明的基于组件安全属性的软件体系结构安全性评估方法，该实施例的评估对象是基于J2EE的电子票务管理系统的软件体系结构设计方案。

1、设计方案描述

如前文所述，使用软件体系结构示意图的方式描述体系结构，示意图如图4所示。组件功能描述。根据软件体系结构示意图以及设计方案描述，可以得出各组件功能的描述，如表1所示。

2、安全性计算

首先计算组件权值。组件权值的计算是根据AHP算法进行的，其中第一步分析各组件的功能并对其进行分类，在软件体系结构描述中已经完成。第二步是两两比较组件的重要性，这一步需要评估人员结合比较尺度给出各组件的重要程度比值，比较尺度如表2所示。按表1和表2对软件体系结构设计方案中的各组件两两比较其重要程度，得出重要程度矩阵：

$A=\left[\begin{array}{cccccccc}1& 1/3& 3& 1/7& 1/7& 3& 1/5& 1\\ 3& 1& 5& 1/3& 1/3& 5& 1/2& 3\\ 1/3& 1/5& 1& 1/7& 1/7& 1& 1/5& 1/2\\ 7& 3& 7& 1& 1& 7& 2& 4\\ 7& 3& 7& 1& 1& 7& 2& 4\\ 1/3& 1/5& 1& 1/7& 1/7& 1& 1/5& 1/3\\ 5& 2& 5& 1/2& 1/2& 5& 1& 3\\ 1& 1/3& 2& 1/4& 1/4& 3& 1/3& 1\end{array}\right]$

采用方根法近似计算特征向量为：

（0.57675，1.37124,0.32863，3.0863,3.0863,0.31239,1.92365,0.67216）归一化后得出组件的权值向量为：

w=（0.05078,0.12074,0.02894,0.27174,0.27174,0.02751,0.16937,0.05918）计算出各组件的权值，需要进行一致性检验，先计算矩阵的最大特征向量为：

${\mathrm{\λ}}_{\max }=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}\frac{{\left(\mathrm{Aw}\right)}_i}{{\mathrm{nw}}_i}=8.26898$

一致性指标CI为：

$\mathrm{CI}=\frac{{\mathrm{\λ}}_{\max }-n}{n-1}=\frac{{\mathrm{\λ}}_{\max }-8}{8-1}=0.03843$

修正后的一致性指标CR为：

$\mathrm{CR}=\frac{\mathrm{CI}}{\mathrm{RI}}=0.02745<0.1$

可以看出，组件权值满足一致性条件，可以使用。

针对软件体系结构示意图以及各组件功能描述，对组件类别进行甄选，根据组件类别和安全措施对应表以及组件的具体功能，可以识别组件对应的安全措施，如附表3所示。之后建立各组件的属性树。

以机密性的用户认证为例，计算安全值。该措施的评价对象集为：

I＝{用户标识,鉴别方法,用户主体绑定,鉴别失败}

由多名评估人员评级，得出模糊评估矩阵为：

$R=\left[\begin{array}{ccccc}0& 0.2& 0.6& 0.2& 0\\ 0& 0& 0.4& 0.6& 0\\ 0& 0.2& 0.5& 0.3& 0\\ 0& 0.5& 0.5& 0& 0\end{array}\right]$

模糊评价向量为：

$V=R\&CenterDot;E^T=\left[\begin{array}{ccccc}0& 0.2& 0.6& 0.2& 0\\ 0& 0& 0.4& 0.6& 0\\ 0& 0.2& 0.5& 0.3& 0\\ 0& 0.5& 0.5& 0& 0\end{array}\right]\left(\begin{array}{c}1\\ 3\\ 5\\ 7\\ 9\end{array}\right)=\left(\begin{array}{c}5\\ 6.2\\ 5.2\\ 4\end{array}\right)$

现设各项指标对于用户认证重要程度相同，即用户认证这一安全措施的权重向量为：

A=（0.25,0.25,0.25,0.25）

则有用户认证的模糊安全值为：

$S=A\&CenterDot;V=\left(\begin{array}{cccc}0.25& 0.25& 0.25& 0.25\end{array}\right)\left(\begin{array}{c}5\\ 6.2\\ 6.2\\ 4\end{array}\right)=5.1$

同理，可计算出该树中准则层所有安全措施的模糊安全值，从而获得目标层的模糊安全值向量，并计算准则层的权重向量，相乘得出目标层子属性的模糊安全值，重复此步骤，直至得出Servlet组件安全值。

其他组件计算方法与Servlet组件计算方法类似，组件的安全值向量为：

SC=(4.56,4.84,3.92,4.78,7.64,7.32,6.84,3.58)

软件体系结构安全值的计算。软件体系结构的安全值是由各组件安全值向量和组件权值向量相乘得出，本案例中，软件体系结构安全值得分为：

S_A＝w·S_C ^T＝5.87612

1.安全性总结

本案例中，组件权值和安全值图的如图5所示。

从组件权值图来看，软件体系结构中安全需求最高的组件是实体bean和会话bean，软件系统的大部分功能都由这两个组件的参与实现，其次是数据库和servlet，前者负责数据的存储，后者负责系统前端的运行。从组件安全值图来看，实体bean和连接器的安全性较高，即这两个组件的安全措施实施力度较高，其他信息系统的安全值最低。从整个软件体系结构的安全值来看，软件体系结构设计方案良好，能较好的保证系统安全，但仍有些措施需要改进。从权值和安全值的对比来看，会话bean的权值高达27%，属于关键组件，但该组件的安全值不到5，安全措施实施力度一般，显然没有得到应有的重视，需要加强；连接器的权值才3%，即安全需求以及造成安全危害的可能性都不高，但其安全值高达7以上，这证明该组件的安全措施实施力度较强，若有研发维护成本的考虑，可以做出相应修改。

表1组件功能描述表

表2组件比较尺度

尺度	含义
		1	组件1和组件2的影响相同
3	组件1比组件2的影响稍强
		5	组件1比组件2的影响强
7	组件1比组件2的影响明显强
		9	组件1比组件2的影响绝对强
2，4，6，8	组件1比组件2的影响之比在上述两相邻等级之间
		1，1/2，…，1/9	组件2与组件1的影响比为上面尺度互反数

表3组件安全措施表

Claims (4)

1.一种基于组件安全属性的软件体系结构安全性评估方法，其特征在于，该方法包括以下步骤：

步骤一、将软件体系结构划分为表示层、业务层、数据访问层和资源层四个层次进行模式框架的建立，对其中各组件功能选择组件所属层次和组件类别实现描述；

步骤二、进行软件体系结构的安全性计算，包括组件权值计算、组件安全值计算以及软件体系姐欧股安全值计算；

步骤三、根据组件权值，得知整个软件体系结构安全需求最高的组件；根据安全值得知软件体系结构设计方案中组件的安全程度；综合比较组件的权值和安全值，得知软件体系结构设计缺陷，实现安全性总结以及得到评估报告，作为软件体系结构设计的修改依据。

2.如权利要求1所述的基于组件安全属性的软件体系结构安全性评估方法，其特征在于，所述步骤二的组件权值计算包括以下步骤：

分析软件体系结构设计中的各组件C₁、C₂、C₃、…、C_n的功能；

基于各组件的功能以及对整个软件体系结构的作用，两两比较各组件的重要性，得到n×n矩阵；

计算该矩阵最大特征值对应的特征向量，并对矩阵进行一致性检验；

将特征向量归一化为各组件对应的权值向量w_c。

3.如权利要求1所述的基于组件安全属性的软件体系结构安全性评估方法，其特征在于，所述步骤二的组件安全值计算包括以下步骤：

1）给出评价对象集I＝{i₁,i₂,...,i_m}；本步骤以指标层为例，评价对象集I表示安全措施中的m项评估指标；

2）确定评价集E＝{e₁,e₂,...,e_n}；

评价集E是指划分评价对象的等级，评价集为：

E＝{极差，差，一般，好，极好}={1,3,5,7,9}。

3）获取模糊信息，建立模糊评价矩阵R_i，并计算模糊评价向量V_i；

依据评价对象集和评价集，模糊评价矩阵的格式为：

其中，rij代表第i个评估指标对于第j个等级的隶属程度。在确定隶属程度时，通常是由多名评估人员依据评价集对评价对象评级，然后统计评级结果，根据得分比例得出rij的值。

计算准则层模糊评价向量v_i时，计算公式为：

其中vk表示第k个指标的模糊评价值（k=1，2，…，m）。

4）计算正在评估的安全措施各项指标的权重向量w_i=（w₁,w₂,...,w_m），其中w_k为第k项指标的权值（k=1，2，…，m）。计算各项指标的权重向量w_i，计算方法与算法1相同，不再赘述。

5）依据模糊评价向量v_i和权重向量w_i计算安全措施的安全值，同时计算该子属性所有安全措施的模糊安全值得出模糊安全值向量S_z；

安全措施的安全值s_i计算公式为：

$s_i=w_i\&CenterDot;v_i=\left(\begin{array}{ccc}{w}_1& ...& w_m\end{array}\right)\left(\begin{array}{c}{v}_1\\ .\\ .\\ .\\ v_m\end{array}\right)$

其中，w_k是该安全措施第k项评估指标的权重，v_k是该安全措施第k项评估指标的模糊安全值（k=1，2，…，m）。

经过上述步骤，计算完成准则层安全措施的模糊安全值，每项子属性的模糊安全值向量格式为：

S_z＝(s₁,s₂,...,s_k)

其中k为该子属性的安全措施数目。

6）重复上述的步骤4）和步骤5），计算准则层和目标层的模糊安全值向量及其权重向量，相乘得出组件安全值。

4.如权利要求1所述的基于组件安全属性的软件体系结构安全性评估方法，其特征在于，所述步骤二的软件体系结构安全值计算，是由各组件安全值向量S_c和组件权值向量w_c相乘得出，计算公式为：

S_A＝w_c·S_c ^T

根据上述公式可计算出软件体系结构的安全值，该分值表示软件体系结构设计方案的总体安全程度。