CN109582992B - 硬件和软件系统及复合系统的自动化设计的系统和方法 - Google Patents

Abstract

本发明涉及用于硬件和软件系统及复合系统的自动化设计的方法和系统。在示例性实施方式中，所述方法包括：由硬件处理器基于系统的架构描述来构建使用模型；由硬件处理器基于指示对系统的已知威胁的威胁描述来构建威胁模型；基于使用模型和威胁模型之间的比较来确定系统的使用，以及基于比较的结果选择用于实现系统的配置。

Description

硬件和软件系统及复合系统的自动化设计的系统和方法

技术领域

本发明总体涉及计算机系统设计，并且更具体地涉及硬件和软件系统及复合系统的自动化设计的方法和系统。

背景技术

在设计硬件和软件系统及复合系统时，它们的架构基于实现一个或多个既定目标。所述目标由在系统中有利益的或关注的各方(利益相关者)制定。利益相关方的利益被表达为使用或问题。关于符合上述标准的系统的利益的示例包括：功能性、可行性、适用性、系统特性、系统属性、已知的局限性、结构、行为、功能、资源利用率、可靠性、功能安全性、数据完整性、按需保证可用性，等等。

在设计过程中，只有授权用户被视为利益相关方。利益相关方是被允许在系统中执行某些操作以实现利益，或者需要根据标准(诸如，对功能安全性提出要求的标准)的要求考虑其利益的权利持有者、或者用户(团体、组织)。最终，创建满足授权用户要求和功能安全性要求的系统。然而，为了之后确保创建的系统的信息安全性，可以使用额外的要素，这些额外的要素通常不是由架构最初提供的，该架构在系统使用期间，对于授权用户利益的实现和功能安全性要求的遵守具有显著影响。同样，可以通过由所述架构提供的额外的要素来保证信息安全性，但不考虑授权用户的利益和功能安全性要求。不考虑功能安全性要求可能也会在使用期间影响授权用户利益的实现以及信息安全要求的遵守。

因此，技术问题是系统架构提供实现由授权用户指定的目标和遵守功能安全性要求，但是不提供信息安全性。

发明内容

本文公开的是硬件和软件系统及复合系统的自动化设计的系统和方法。本发明的技术结果是确保在软件和硬件系统的自动化设计过程中选择软件和硬件，所述软件和硬件的使用确保了在考虑授权用户的利益和功能安全的要求的同时实现信息安全的目标。该技术结果是通过系统设计来实现的，该系统设计使用了威胁模型(model of threat)及威胁模型与使用模型(model of use)的比较。

威胁模型包含对所设计的系统的当前威胁(反映黑客的利益)，因此这些威胁一定不可以实现，以便实现信息安全的目标。使用模型包含当前授权使用的可能性(反映授权用户的利益和功能安全的要求)，因此它们必须通过所设计的系统来实现。

根据一个实施方式的本发明的主题是通过自动化设计系统设计硬件和软件系统的方法，其中，计算机辅助设计(CAD)模块接收作为CAD模块的输入的、所设计的系统(以下称为系统)的架构的形式化描述。在该描述的基础上，构建了使用模型，所述使用模型包括：反映授权用户利益的类型的系统使用；实现所述使用(use)所利用的系统的要素(以下称为要素)；通过所述要素实现所述类型的使用的方法。CAD模块同样从威胁数据库接收对与所设计的系统类似的系统的已知威胁的形式化描述，并且基于已知威胁的形式化描述。

威胁模型与使用模型相似，并且包括：威胁的类型，其中，威胁是反映违反者利益的系统的未经授权使用；实现给定类型的威胁所利用的要素；由所述要素实现威胁的方法；用于执行实现威胁的方法的系统上的动作矢量。在构建使用模型和威胁模型之后，通过所设计的用于比较给定类型的模型的比较方法将威胁模型与使用模型进行比较，以便确定系统的反映以下内容的各种类型的使用：

●仅违反者的利益；

●违反者和授权用户的利益，但由每个利益相关方以不同的方式实现；

●违反者和授权用户两者的利益，并且以相似的方式实现。

在比较的基础上，要素选择模块选择用于实现系统要素的硬件和软件，使得这种配置的功能能力或配置方法至少：

●在给定类型的使用仅反映违反者的利益时，限制系统的这些类型的使用；

●在系统的给定类型的使用反映违反者和授权用户两者的利益、且由每个

利益相关方以不同的方式实现时，限制实现威胁的方法；

·在系统的给定类型的使用反映违反者和授权用户两者的利益、并且以相似的方式实现时，在所用的系统上限制用于执行实现威胁的方法的动作矢量。

在特定情况下，CAD在其输入处接收形式化的架构描述，该形式化的架构描述至少包含：系统要素，所述系统要素包括系统部件和部件之间的链接；授权用户关于系统的利益。

以上对示例性方面的简要概述用于提供对本发明的基本理解。该概述不是对所有预期方面的广泛综述，并且既不旨在标识所有方面的关键的或主要的要素，也不旨在勾画本发明的任何方面或所有方面的范围。该概述的唯一目的是以简化的形式呈现一个或多个方面，作为随后的对本发明的更详细的描述的前奏。为了实现前述内容，本发明的一个或多个方面包括在权利要求中所描述的且示例性指出的特征。

附图说明

并入本说明书中并构成本说明书的一部分的附图示出了本发明的一个或多个示例性方面，并与具体实施方式一起用来阐述这些示例性方面的原理和实现方式。

图1示出了根据本发明的示例性方面的用于硬件和软件系统及复合系统的自动化设计的系统的框图；

图2a-图2b示出了根据本发明的示例性方面设计的闭路电视(CCTV)系统的使用模型和威胁模型；

图3示出了根据本发明的示例性方面设计的CCTV系统的示意图；

图4a-图4c表示根据本发明的示例性方面的使用模型和威胁模型的比较结果；

图5表示根据本发明的示例性方面的以模型的形式表示的使用模型和威胁模型的比较结果；

图6是根据本发明的示例性方面的硬件和软件系统及复合系统的自动化设计方法的流程图；

图7示出了根据本发明的示例性方面设计的CCTV系统的变型实现；

图8表示可用于实现本发明的通用计算机系统的示例。

具体实施方式

本文在硬件和软件系统及复合系统的自动化设计的系统、方法和计算机程序产品的背景下对示例性方面进行描述。本领域的普通技术人员将认识到，以下描述仅是说明性的，而不旨在以任何方式进行限制。其它方面将很容易将其自身暗示给了解本发明的优点的本领域的技术人员。现在将详细参考如附图中所示的示例性方面的实现。在整个附图和以下描述中将尽可能使用相同的附图标记来指代相同或类似的项目。

将贯穿本发明、附图和权利要求来使用以下术语。

架构描述是用于表达系统架构的工作产品。在特定情况下，它由UML(UnifiedModeling Language，统一建模语言)形式化。根据ISO/IEC/IEEE 42010，架构描述包含系统整个生命周期中各利益相关方的许多应用程序。也将形式化的架构描述用作用于建模、系统仿真和分析的自动化工具(诸如计算机辅助设计(computer-aided designer，CAD))的输入。

系统的架构是系统在环境中的基本概念或属性，由其要素、关系以及设计和开发的具体原理体现。在本发明中，系统要素至少涉及系统部件和部件之间的链接。这些要素可以通过硬件和/或软件来实现。在系统设计过程中确定硬件和软件的变型实现。

根据本发明的实施方式，系统的利益(也被称为关注)是与一个或多个利益相关方有关的系统中的使用或问题。

利益相关方(即，利益相关者)是在系统中有利益的个人、团体、组织中的一个或多个，或以上这些的组合。

授权用户是利益相关方，其被允许在系统中执行某些操作(或者，“使用”该系统)以实现利益。

使用模型是授权用户对系统的变型使用的形式化描述。在一个实施方式中，使用模型可以至少包括：

-反映授权用户利益的类型的系统的使用；

-系统要素(以下称为要素)，通过所述系统要素实现所述使用；

-通过所述要素实现给定类型的使用的方法；

在一个实施方式中，违反者(或者非授权用户)可以是没有权利在系统中执行某些操作以实现其利益的利益相关方中的一者。

在一个实施方式中，威胁可以是可能违反系统的正常运作并由此直接或间接造成损害的潜在事件。威胁的类型非常多样化且具有很多分类；在本申请的上下文中，使用根据威胁的性质的分类，例如：

●违反数据的保密性；

●违反数据完整性/数据的替换；

●违反系统可操作性(包括拒绝服务)；

●未经授权干预系统运作；

●等等。

威胁模型是对关于系统的信息安全性的威胁的形式化描述。根据一个实施方式，威胁模型可以至少包括：

-威胁的类型，其中，所述威胁是反映违反者利益的系统的未经授权使用；

-要素，通过所述要素实现给定类型的威胁；

-通过所述要素实现威胁的方法；

-用于在系统上执行实现威胁的方法的动作矢量(攻击矢量)；

威胁或攻击的实现方法是违反者在实现对特定类型的安全性的威胁时的动作。对于系统的每个要素，可以用不同方式实现特定类型的威胁，包括其它系统部件的参与。

攻击矢量是违反者在实现对安全性的威胁时作用于系统的方向或特定方式。在本申请的上下文中，属性“攻击矢量”与属性“用于在系统上执行实现威胁的方法的动作矢量”相同。定义攻击矢量的特性可以至少是：

●攻击的来源或来源组；

●作为攻击的目标的要素或要素组；

●动作的类型；

●如何执行动作。

在一些实施方式中，对于相同的系统或复合系统，威胁模型和使用模型在任何方面(除了攻击矢量)可以彼此没有区别。可以将一个模型与另一个模型区分开来的分类属性是这样的事实：使用模型反映了授权用户的利益，而威胁模型反映了违反者的利益。下面将给出实际系统的模型示例。

在本发明中，通过使用与使用模型形成对比的威胁模型的系统的设计来解决指出的现有技术中的技术问题。因此，考虑的利益相关方不仅有授权用户，还有违反者。将授权用户的利益与违反者的利益进行对比，其中，系统架构必须提供授权用户的利益的实现，且限制违反者的利益的实现。

由自动化设计系统(以下称为CAD 102)完成硬件和软件系统及复合系统的设计，在图1中示出其变型实现。图1中所示的系统100包括CAD 102，该CAD 102采用所设计的系统的形式化的架构描述101作为输入，所述架构描述101至少包括：系统要素，所述系统要素包括系统部件和部件之间的链接；授权用户关于系统的利益。CAD 102输出系统实现160，所述系统实现160包括用于实现所设计的系统的要素的硬件和软件要素。CAD 102包括以下模块：

●建模模块110；

●比较模块120；

●要素选择模块130。

CAD 102具有任其使用的包含以下内容的数据库：

●关于威胁的信息(以下称为，威胁数据库112)；

●威胁模型和使用模型(以下称为，模型数据库122)；

●模型比较结果(以下称为，结果数据库132)；

●系统和复合系统的要素的变型硬件和软件实现(以下称为，要素数据库142)。

在特定情况下，还选择属于抵抗物理动作、黑客攻击和伪造(防篡改)的类别的硬件来实现系统要素。

威胁数据库112是包含关于威胁的形式化信息的数据库。通过列举威胁的主要特征来描述该威胁。这些特征例如：威胁类型；系统要素；实现威胁的方法：攻击矢量。

威胁数据库112不断更新，包括当信息安全专家和分析师发现新类型的威胁、新的实现威胁的方法以及先前未知的攻击矢量时，由信息安全专家和分析师进行更新；易受特定类型的威胁攻击的系统要素清单也得到扩展。相同类型的威胁(未经授权的控制、未经授权的信息访问、拒绝服务等)将与整个系统有关，并且可以针对系统的不同部件和其它要素得到实现，危及系统的各个要素和整个系统。对于不同的系统要素，可以重复威胁描述，但攻击、对系统的影响、与威胁相关的风险以及这些威胁的抵制可以不同。对于每个要素，可以用不同的方式实现定义类型的威胁，包括其它系统部件的参与。例如，为了对通过网络服务器访问互联网的CCTV系统的摄像机(在威胁描述中摄像机是系统要素)产生拒绝服务，首先需要对网络服务器进行妥协(参见图2b WEB_VULN)。

模型数据库122是包含构建的使用模型和威胁模型的数据库。当已构建的模型被加载到数据库中时，该数据库在由CAD建模模块直接实施的建模过程中被填充，以及也从外部被填充。建模模块110将模型转换为用于进一步比较的形式。使用模型和威胁模型具有相同的形式。例如，为了描述上述给定的威胁，使用树模型，其中特征是树的节点。

图3示出了设计的CCTV系统300的示意图，其中，CCTV摄像机302-308连接到视频服务器310和312，以实现从这些摄像机接收、调度和存储视频流。存储器322用于存储来自摄像机302-308的视频流。授权用户既可以从系统300内部经由终端324、也可以从系统300外部经由视频服务器310或312从存储器322对视频流进行访问。可以通过终端324访问视频服务器310或312以控制系统300。系统部件通过网络设备320链接。因此，使用模型包括以下类型的使用(如在图2a的模型中反映的)：

●通过视频服务器310或312上的认证，从终端324经由视频服务器310或312实现系统300的控制；

●通过网络服务器326上的认证，通过存储器实现对包含在存储器322中的视频流的访问；

●录像，通过以下方式实现：

ο摄像机，通过摄像机(模数转换器(ADC)，图2a中的ADC)对光信号(视频流)进行模数转换；

ο视频服务器，通过接收和处理转换后的信号(图2a中的接收/转换)；

ο存储器，通过保存接收和处理的信号(图2a中的保存(SAVE))。

图2a-图2b示出旨在帮助技术人员全面理解本发明的简化示例。图2a示出了根据本发明的示例性实施方式的使用模型。图2b示出了根据本发明的示例性实施方式的所设计的系统(图3中描绘的系统)的威胁模型。将在讨论建模模块110时讨论用于该系统的威胁模型。

模型比较数据库132的结果包含使用模型与威胁模型比较的结果。包含在数据库中的结果的形式取决于模型的类型和比较方法。例如，对于树模型，将使用节点和分支来形成模型，例如如图4a-图4c所示。图5示出了图2a和图2b呈现的同样构成树模型的模型的比较结果(通过交点法执行)的示例。将在描述比较模块120和要素选择模块130时讨论这些示例。

要素数据库142包含软件和硬件以及配置用于选择所设计的系统的要素的实现的软件和硬件的方法的描述。该描述包括真实的软件和硬件、其配置变型以及由以特定方式配置的系统配置要素(例如，软件和硬件)提供的功能能力(该系统配置要素既是独立的，又与其它系统配置要素组合)。系统配置要素的描述同样包含关于以下内容的信息：要素受到或未受到哪些类型的威胁或攻击，以及这些要素如何与其它要素结合以抵抗特定类型的威胁或攻击。

根据一个实施方式，建模模块110可以基于所设计的系统的架构描述101来构建使用模型和威胁模型。在本发明的实施方式中，对模型进行构建以便将威胁描述和使用描述转换为相同的形式以便进行比较。建模模块110基于从在CAD的输入处的形式化的架构描述101中获得的关于系统的授权用户的利益(在特定情况下，系统需求)构建使用模型。如可以理解的，图3的示例中所设计的系统300的这种利益是假设授权用户进行以下的使用的利用利益：录像；录像系统300的控制；对所保存的视频流的访问。

架构描述101同样指示以下内容：要素，通过所述要素实现上述使用；和实现方法。在此基础上，建模模块110整理使用类型，并且构建模型，其一个示例在图2a中示出。

建模模块110还基于违反者的关于系统的利益构建威胁模型。将违反者的利益表达为包含在威胁数据库112中的威胁。基于所设计的系统的特性(系统要素、要素的目的和整个系统的目的)来选择威胁，以便建模模块110从威胁数据库112中提取对于与所设计的系统类似的系统(具有相同目的的系统)的已知威胁，并且针对包含在所设计的系统中的要素单独提取威胁。从这个示例可以理解，违反者的关于所设计的系统的利益同样也是假设违反者进行以下使用的利用利益：录像系统的未经授权的控制；和对所保存的视频流的未经授权的访问。

另一种利益可以是使系统处于非运行状态，例如执行拒绝服务攻击。

在特定情况下，模型数据库122或威胁数据库112可以已经包含针对所设计的系统的模型化威胁描述。在这种情况下，建模模块110将该模型重新设置成用于与使用模型进行比较的形式。

威胁描述(如上述在描述威胁数据库112时提到的)指示实现威胁所利用的要素以及实现威胁(攻击)的方法以及攻击矢量。在此基础上，建模模块110构建模型，其一个示例在图2b中示出。对于设计的系统300(图3所示的示例)，威胁是：

●未经授权的控制，该控制由视频服务器310或312通过以下方式实现：

ο用于在视频服务器310或312上授权的被盗密码(AUTH_PWD)，其中，用于该方法的攻击矢量是：

■利用网络服务器326的漏洞(WEB_VULN)渗透到内部网络；

■随后拦截网络中提到的密码(SNIFF)；

●未经授权的访问，由存储器322通过以下方式实现：

ο用于在网络服务器326上授权的被盗密码(WEB_AUTH_PWD)，其中，用于执行该方法的攻击矢量是：

■通过窃听从外部网络获得访问的授权用户和网络服务器326之间的连接来拦截所述密码(SNIFF)；

ο利用网络服务器326的漏洞(WEB_VULN)；

●拒绝服务，由摄像机(例如302-308)通过以下方式实现：

ο信道耗尽(CHANNEL_EXHAUSTION)，其中，用于这种方法的攻击矢量是：

■利用网络设备(该网络设备尤其是网络服务器326)的漏洞(WEB_VULN)，从外部网络直接访问摄像机302-308；

■随后在已获得直接访问的一个或多个摄像机302-308上进行分布式攻击(distributed attack，DDOS)。

比较模块120被设计为比较使用模型和威胁模型。比较方法本身取决于模型的类型。对于树模型，使用交叉点，其结果如图所示，其中，比较结果是模型(图5)或模型的一部分(图4a-图4c)，指示：

-仅反映违反者利益的类型的系统使用(图4a)；

-反映违反者和授权用户两者的利益、但各利益相关方以不同的方式实现的类型的系统使用(图4b)；

-反映违反者和授权用户两者的利益、并且以相似的方式实现的类型的系统使用(图4c)；

在一个实施方式中，比较的结果可以包含反映授权用户的利益的实现方法(对系统要素的要求)(如图4a-图4c所示，并且在图5中用虚线突出显示)。

图4a示出了仅反映违反者的利益的类型的使用。在使用模型中没有这种拒绝服务类型的使用，但拒绝服务是通过“摄像机”系统要素实现的。此处，摄像机可以在用于实现授权用户的利益的使用模型中使用，并且因此，用关于实现授权用户利益的方法的信息补充比较结果(在图4a中是ADC)。这可以由要素选择模块130考虑。通过关于信道耗尽(在图4a中为CHANNEL_EXHAUSTION)的攻击来实现拒绝服务，这可以通过利用图3中的网络设备320(诸如网络服务器326)的漏洞(在图4a中为WEB_VULN)而从外部网络直接访问摄像机来进行，在此之后在摄像机上执行分布式攻击(在图4a中为DDOS)。

图4b示出反映违反者和授权用户两者利益、但是由每个利益相关方以不同方式实现的类型的系统使用。作为访问的这种类型的使用反映了违反者和授权用户两者的利益。然而，实现威胁的方法不同于实现反映授权用户的利益的使用方法。为了实现威胁，使用网络服务器的漏洞(在图4c中表示为WEB_VULN)。图3中所示的存储器322用在使用模型中以实现授权用户的利益(录像)，并且因此用关于实现授权用户利益的方法的信息来补充比较结果(在图4b中，是SAVE)，并且当确定对要素的功能能力的要求时，这将由要素选择模块130考虑。

图4c示出了反映违反者和授权用户两者的利益并且以相似方式实现的类型的系统的使用。作为控制的这种类型的使用反映了违反者和授权用户两者的利益。通过视频服务器上的密码的授权(图4c AUTH_PWD)，可以以相似的方式实现这种使用，区别在于如何获得该密码。违反者通过利用网络服务器的漏洞(WEB_VULN)获得该密码，这使得其渗透到将CCTV系统的部件链接的网络中，并随后在网络中拦截该密码(SNIFF)。攻击矢量在图4c中表示为WEB_VULN和SNIFF。作为访问的这种类型的使用反映了违反者和授权用户两者的利益，并且可以由违反者实现，包括(并且图4b示出了另一种可能的实现方法——利用网络服务器的漏洞)与通过在网络服务器上使用密码进行授权的授权用户的使用方法类似的方式。违反者通过从授权用户的外部网络拦截流向网络服务器的流量来获得该密码(SNIFF)。

将要素选择模块130设计为选择用于实现系统要素的方法。该方法的选择是基于模型比较的结果进行的。选择用于实现系统要素的软件和硬件，使得这些要素确保授权用户利益的实现，但是这些要素的功能能力或配置方法(包括安全策略设置)至少：

-在给定类型的使用仅反映违反者的利益时，限制这些类型的系统使用；

-在给定类型的系统使用反映违反者和授权用户两者的利益、但由每个利益相关方都以不同方式实现时，限制实现威胁的方法；

-在给定类型的系统使用反映违反者和授权用户两者的利益、并且以相似方式实现时，在所使用的系统上限制用于执行实现威胁的方法的动作矢量。

因此，对于图4a所示的情况，有必要限制(在特定情况下，完全排除)反映违反者利益的类型的使用(威胁)。然而，由于通过还用于实现授权用户利益(录像)的“摄像机”要素来实现这种类型的使用，所以这也必须被考虑(在图4a中为ADC)。通过使用所指示的要求，要素选择模块130查询要素数据库142，指示什么需要实现(在当前情况下，为ADC)以及什么需要限制(在当前情况下，为DDOS、WEB_VULN或CHANNEL_EXHAUSTION)或直接排除(拒绝服务类型的使用)。响应于该查询，要素数据库142提出可能的变型；在本示例中，这可以是BNC(Bayonet Neill-Concelman，尼尔-康塞曼卡口)型的摄像机，其理论上不受CHANNEL_EXHAUSTION攻击。

对于图4b中所示的情况，有必要限制这种类型的通过利用网络服务器的漏洞来(在特定情况下，完全排除)实现的威胁。通过使用所指示的要求，要素选择模块130查询要素数据库142，指示系统中什么需要限制(在当前情况下，为WEB_VULN)。响应于该查询，要素数据库142可以提议使用补丁控件(补丁管理器)或利用预防，或隔离区(DMZ)。

对于图4c中所示的情况，在所用的系统上限制(并且在一个实施方式中，完全排除)用于执行实现威胁的方法的动作矢量。为了限制攻击矢量，攻击矢量的分量之一(也是攻击矢量的特征)被阻止或变得不能实现，所述分量包括：

●攻击的来源或来源组；

●作为攻击的目标的要素或要素组；

●动作的类型；

●如何执行动作。

因此，要素选择模块130查询要素数据库142，指示什么需要实现(在当前情况下，为来自外部网络的授权用户与网络服务器之间的连接)以及什么需要限制(在目前的情况下，为在网络服务器上拦截用于授权的密码)。作为响应，数据库142输出在授权用户和网络服务器之间的受保护连接的使用(使用加密)，由此限制攻击矢量。流量仍可以被拦截，但无法从中提取密码。

图1中呈现的系统100用于执行硬件和软件系统的自动化设计方法。该方法600如图6所示。首先，在步骤610中，CAD 102的输入获得所设计的系统(以下称为系统)的形式化架构描述，所述形式化架构描述至少包括：

-系统要素，所述系统要素包括系统部件和部件之间的链接；

-授权用户关于系统的利益。

在步骤620中，基于获得的描述，建模模块110构建使用模型，所述使用模型包括：

-反映授权用户利益的类型的系统的使用；

-系统要素(下文称为要素)，通过所述系统要素实现这种使用；

-通过所述要素实现给定类型的使用的方法。

将由建模模块110构建的模型保存在模型数据库122中。在步骤630中，从威胁数据库112获得对与所设计的系统类似的系统的已知威胁的形式化描述，并且在步骤640中，基于对所述威胁的描述，建模模块110构建与使用模型相同类型的威胁模型，所述威胁模型包括：

-威胁的类型，其中，所述威胁是反映违反者利益的系统的未经授权使用；

-要素，通过所述要素实现给定类型的威胁；

-通过所述要素实现威胁的方法；

-用来执行实现威胁的方法的系统上的动作矢量；

接下来，在步骤650中，比较模块120从模型数据库122中提取所构建的模型，并且通过所设计的用于比较给定类型的模型的比较方法将威胁模型与使用模型进行比较，以便确定：

-仅反映违反者利益的类型的系统的使用；

-反映违反者和授权用户两者的利益、但由各利益相关方以不同的方式实现的类型的系统的使用；

-反映违反者和授权用户两者的利益、并且以相似的方式实现的类型的系统的使用。

在步骤660中，要素选择模块130基于比较来选择用于实现系统要素的硬件和软件(使得可以实现授权用户的利益)，使得功能能力或这些要素的配置方法至少：

-在给定类型的使用仅反映违反者的利益时，限制这些类型的系统的使用；

-在给定类型的系统的使用反映违反者和授权用户两者的利益、但由每个利益相关方都以不同方式实现时，限制实现威胁的方法；

-在给定类型的系统的使用反映违反者和授权用户两者的利益、并且以相似方式实现时，限制用于执行实现威胁的方法的所用的系统上的动作矢量。

在特定情况下，用于实现的这种硬件和软件的功能能力或配置方法应该不仅确保实现授权用户的利益，而且确保实现功能安全性要求。在某些情况下，功能安全性要求是利益相关方之一的利益。

图7中示出了根据示例所设计的系统的要素的变型实现。为了确保授权用户的利益，而不是能够实现违反者的威胁，实现所述架构的关键要素是：

●BNC摄像机；

●授权用户与网络服务器之间的受保护信道；

●网络服务器所在的DMZ区域。

在本发明中，CAD模块在本发明中指的是使用硬件实现的实际设备、系统、部件、一组部件，诸如集成微电路(专用集成电路，ASIC)或现场可编程门阵列(field-programmablegate array，FPGA)；或者例如为软件和硬件的形式，诸如微处理器系统和一组程序指令以及神经突触芯片。CAD模块的功能可以仅由硬件来实现，以及由硬件和软件的组合实现(其中一些功能由软件实现，另一些功能由硬件实现)。在某些变型实施方式中，一些CAD模块可以在通用计算机的处理器(诸如图5中所示的处理器)上实现。数据库可以通过所有可能的方法来实现，并且被包含在单个物理介质上，或者被包含在本地或远程布置的各种介质上。

图8示出了根据示例性方面的通用计算机系统的示意图，可以在所述通用计算机系统上实现用于硬件和软件系统及复合系统的自动化设计的系统和方法的各方面。

如图所示，该计算机系统20(其可以是个人计算机或服务器)包括中央处理单元21、系统存储器22和连接各个系统部件的系统总线23，所述系统部件包括与中央处理单元21相关联的存储器。如本领域的普通技术人员将理解的，系统总线23可以包括总线存储器或总线存储器控制器、外围总线、以及能够与任何其它总线架构交互的本地总线。系统存储器可以包括永久存储器(ROM)24和随机存取存储器(Random-Access Memory，RAM)25。基本输入/输出系统(Basic Input/Output System，BIOS)26可以存储用于在计算机系统20的各元件之间传输信息的基本程序，诸如在使用ROM 24加载操作系统时的那些基本程序。

计算机系统20还可以包括用于读取和写入数据的硬盘27、用于在可移动磁盘29上读取和写入的磁盘驱动器28、以及用于读取和写入可移动光盘31(诸如CD-ROM、DVD-ROM和其它光学媒介)的光盘驱动器30。硬盘27、磁盘驱动器28和光盘驱动器30分别通过硬盘接口32、磁盘接口33和光盘驱动器接口34连接到系统总线23。驱动器和相应的计算机信息介质是用于存储计算机系统20的计算机指令、数据结构、程序模块和其它数据的电源独立的模块。

所述计算机系统20包括通过控制器55连接到系统总线23的硬盘27、可移动磁盘29和可移动光盘31。本领域普通技术人员将会理解，也可以使用能够以计算机可读形式存储数据的任何类型的介质56(固态驱动器、闪存卡、数字盘、随机存取存储器(RAM)等)。

计算机系统20具有可存储操作系统35的文件系统36、以及附加的程序应用37、其它程序模块38和程序数据39。计算机系统20的用户可以使用键盘40、鼠标42、或本领域普通技术人员已知的任何其它输入设备(诸如但不限于麦克风、操纵杆、游戏控制器、扫描仪等)来输入命令和信息。这种输入设备通常通过串行端口46插入计算机系统20，串行端口46又连接到系统总线，但是本领域的普通技术人员将理解，输入设备也可以以其它方式连接，例如但不限于通过并行端口、游戏端口或通用串行总线(Universal Serial Bus，USB)连接。监控器47或其它类型的显示设备也可以通过诸如视频适配器48的接口连接到系统总线23。除了监控器47之外，个人计算机还可以配备有其它的外围输出设备(未示出)，例如扬声器、打印机等。

计算机系统20可以使用与一个或多个远程计算机49的网络连接而在网络环境中操作。一个或多个远程计算机49可以为本地计算机工作站或服务器，其包括在描述计算机系统20的性质时描述的上述元件中的大多数元件或全部元件。计算机网络中还可以存在其它设备，诸如但不限于路由器、网站、对等设备或其它的网络节点。

网络连接可以形成局域计算机网络(Local-Area computer Network，LAN)50和广域计算机网络(Wide-Area computer Network，WAN)。这种网络用在公司计算机网络和公司内部网络中，并且这些网络通常有权访问互联网。在LAN或WAN网络中，个人计算机20通过网络适配器或网络接口51连接到局域网50。当使用网络时，计算机20系统可以使用调制解调器54或本领域普通技术人员熟知的、实现与广域计算机网络(诸如因特网)的通信的其它模块。可以是内部设备或外部设备的调制解调器54，可以通过串行端口46连接到系统总线23。本领域普通技术人员将理解，所述网络连接是使用通信模块建立一台计算机与另一台计算机的连接的许多熟知方式的非限制性示例。

在各个方面中，本文中所描述的系统和方法可以以硬件、软件、固件或它们的任何组合来实现。如果以软件实现，则上述方法可以作为一个或多个指令或代码而被存储在非暂时性计算机可读介质上。计算机可读介质包括数据存储器。作为示例而非限，这种计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM、闪存或其它类型的电存储介质、磁存储介质或光存储介质、或可用来携带或存储所期望的指令或数据结构形式的程序代码并可以被通用计算机的处理器访问的任何其它介质。

在各个方面中，本发明中所描述的系统和方法可以按照模块来描述。本文中所使用的术语“模块”指的是例如使用硬件(例如通过专用集成电路(Application SpecificIntegrated Circuit，ASIC)或现场可编程门阵列(Field-Programmable Gate Array，FPGA))实现的实际的设备、部件、或部件的布置，或者指的是硬件和软件的组合，例如通过微处理器系统和实现模块功能的指令集(该指令集在被执行时将微处理器系统转换成专用设备)来实现这样的组合。一个模块还可以被实施为两个模块的组合，其中仅通过硬件促进某些功能，并且通过硬件和软件的组合促进其它功能。在某些实现方式中，可以在通用计算机(例如上文在图8中更详细描述的通用计算机)的处理器上实现模块的至少一部分(以及在一些情况下，模块的全部)。因此，每个模块可以以各种适合的配置来实现，而不应受限于本文中所例示的任何特定的实现方式。

为了清楚起见，本文中没有公开各个方面的所有常规特征。应当领会的是，在本发明的任何实际的实现方式的开发中，必须做出许多特定实现方式的决定，以便实现开发者的特定目标，并且这些特定目标将对于不同的实现方式和不同的开发者变化。应当理解的是，这种开发努力会是复杂的且费时的，但对于了解本发明的优点的本领域的普通技术人员来说仍然是工程的常规任务。

此外，应当理解的是，本文中所使用的措辞或术语出于描述而非限制的目的，从而本说明书的术语或措辞应当由本领域技术人员根据本文中所提出的教导和指导结合相关领域技术人员的知识来解释。此外，不旨在将本说明书或权利要求中的任何术语归于不常见的或特定的含义，除非明确如此阐述。

本文中所公开的各个方面包括本文中以说明性方式所引用的已知模块的现在和未来已知的等同物。此外，尽管已经示出并描述了各个方面和应用，但是对于了解本发明的优点的本领域技术人员将显而易见的是，在不脱离本文中所公开的发明构思的前提下，相比于上文所提及的内容而言的更多修改是可行的。

Claims (20)

1.一种用于硬件和软件系统的自动化设计的方法，包括：

由硬件处理器基于所述硬件和软件系统的架构描述，构建使用模型，其中，所述使用模型指示反映授权用户的利益的所述硬件和软件系统的使用、以及通过其实现所指示的所述硬件和软件系统的使用的第一多个系统要素；

从包括关于来自违反者的威胁的信息的威胁数据库中选择与所述第一多个系统要素相对应的多个威胁；

由所述硬件处理器基于威胁描述，构建威胁模型，其中，所述威胁模型指示所述多个威胁和实现所述多个威胁所利用的第二多个系统要素；

基于所述使用模型与所述威胁模型之间的交叉点，确定反映所述授权用户和所述违反者两者的利益的所述硬件和软件系统的使用；和

基于所确定的使用选择用于实现所述硬件和软件系统的系统要素的配置，其中，选择所述配置包括：

响应于确定所确定的使用仅反映所述违反者的利益，选择限制所确定的使用的配置，

响应于确定所确定的使用反映所述违反者和所述授权用户两者的利益、但由所述违反者和所述授权用户的使用以不同方式实现，选择限制实现与所述违反者相关联的威胁的方法的配置，

响应于确定所确定的使用反映所述违反者和所述授权用户两者的利益、并且由所述违反者和所述授权用户的使用以相似方式实现，选择在所使用的系统上限制用于执行实现威胁的方法的动作矢量的配置。

2.根据权利要求1所述的方法，其中，所述使用模型包括系统部件和所述系统部件之间的链接、以及授权用户关于所述硬件和软件系统的利益。

3.根据权利要求2所述的方法，其中，所述使用模型是CAD模型。

4.根据权利要求2所述的方法，其中，所述使用模型还包括：

由所述第一多个系统要素实现所指示的所述硬件和软件系统的使用的方法。

5.根据权利要求1所述的方法，其中，构建所述威胁模型包括：

基于所述架构描述选择对与设计的所述硬件和软件系统相似的系统的已知威胁。

6.根据权利要求5所述的方法，其中，所述威胁模型还包括：

由所述第二多个系统要素进行的实现方法、以及在所述硬件和软件系统上执行所述实现方法的动作矢量。

7.根据权利要求1所述的方法，其中，所确定的使用包括以下中的一者或多者：反映所述违反者和授权用户的利益、且分别具有不同的实现方式的所述硬件和软件系统的第二类型的使用；反映所述违反者和所述授权用户的利益、且分别以相似的方式实现的所述硬件和软件系统的第三类型的使用。

8.根据权利要求1所述的方法，其中，所述配置包括所述硬件和软件系统的硬件和软件配置。

9.根据权利要求8所述的方法，其中，选择所述配置包括：

选择符合功能安全性要求的配置。

10.根据权利要求9所述的方法，其中，架构的要素包括以下中的一者或多者：

摄像机；

所述授权用户与网络服务器之间的受保护信道；和

所述网络服务器所在的区域。

11.一种用于硬件和软件系统的自动化设计的系统，包括：

硬件处理器；

模型构建器，所述模型构建器被配置为：

由所述硬件处理器基于所述硬件和软件系统的架构描述构建使用模型，其中，所述使用模型指示反映授权用户的利益的所述硬件和软件系统的使用、以及通过其实现所指示的所述硬件和软件系统的使用的第一多个系统要素；

由所述硬件处理器从包括关于来自违反者的威胁的信息的威胁数据库中选择与所述第一多个系统要素相对应的多个威胁；和

由所述硬件处理器基于威胁描述构建威胁模型，其中，所述威胁模型指示所述多个威胁和实现所述多个威胁所利用的第二多个系统要素；

比较器，所述比较器被配置为：

由所述硬件处理器基于所述使用模型与所述威胁模型之间的交叉点确定反映所述授权用户和所述违反者两者的利益的所述硬件和软件系统的使用，和

要素选择器，所述要素选择器被配置为：

由所述硬件处理器基于所确定的使用选择用于实现所述硬件和软件系统的系统要素的配置，其中，选择所述配置包括：

响应于确定所确定的使用仅反映所述违反者的利益，选择限制所确定的使用的配置，

响应于确定所确定的使用反映所述违反者和所述授权用户两者的利益、但由所述违反者和所述授权用户的使用以不同方式实现，选择限制实现与所述违反者相关联的威胁的方法的配置，

响应于确定所确定的使用反映所述违反者和所述授权用户两者的利益、并且由所述违反者和所述授权用户的使用以相似方式实现，选择在所使用的系统上限制用于执行实现威胁的方法的动作矢量的配置。

12.根据权利要求11所述的系统，其中，所述使用模型包括系统部件和所述系统部件之间的链接、以及授权用户关于所述硬件和软件系统的利益。

13.根据权利要求12所述的系统，其中，所述使用模型还包括：

由所述第一多个系统要素实现所指示的所述硬件和软件系统的使用的方法。

14.根据权利要求11所述的系统，其中，所述模型构建器还被配置为：由所述硬件处理器基于所述架构描述选择对与设计的所述硬件和软件系统相似的系统的已知威胁。

15.根据权利要求14所述的系统，其中，所述威胁模型还包括：

由所述第二多个系统要素进行的实现方法、以及在所述硬件和软件系统上执行所述实现方法的动作矢量。

16.根据权利要求11所述的系统，其中，所述配置包括所述硬件和软件系统的硬件和软件配置，并且选择所述配置包括：选择符合功能安全性要求的配置。

17.一种非暂时性计算机可读介质，计算机可执行指令存储在所述介质中，所述计算机可执行指令在由硬件处理器执行时，执行用于硬件和软件系统的自动化设计的方法，所述方法包括：

由硬件处理器基于所述硬件和软件系统的架构描述构建使用模型，其中，所述使用模型指示反映授权用户的利益的所述硬件和软件系统的使用、以及通过其实现所指示的所述硬件和软件系统的使用的第一多个系统要素；

从包括关于来自违反者的威胁的信息的威胁数据库中选择与所述第一多个系统要素相对应的多个威胁；

由所述硬件处理器基于威胁描述构建威胁模型，其中，所述威胁模型指示所述多个威胁和实现所述多个威胁所利用的第二多个系统要素；

基于所述使用模型与所述威胁模型之间的交叉点确定反映所述授权用户和所述违反者两者的利益的所述硬件和软件系统的使用；和

基于所确定的使用选择用于实现所述硬件和软件系统的系统要素的配置，其中，选择所述配置包括：

响应于确定所确定的使用仅反映所述违反者的利益，选择限制所确定的使用的配置，

响应于确定所确定的使用反映所述违反者和所述授权用户两者的利益、但由所述违反者和所述授权用户的使用以不同方式实现，选择限制实现与所述违反者相关联的威胁的方法的配置，

响应于确定所确定的使用反映所述违反者和所述授权用户两者的利益、并且由所述违反者和所述授权用户的使用以相似方式实现，选择在所使用的系统上限制用于执行实现威胁的方法的动作矢量的配置。

18.根据权利要求17所述的介质，其中，所述使用模型包括系统部件和所述系统部件之间的链接、以及授权用户关于所述硬件和软件系统的利益。

19.根据权利要求18所述的介质，其中，所述使用模型还包括：

由所述第一多个系统要素实现所指示的所述硬件和软件系统的使用的方法。

20.根据权利要求17所述的介质，其中，所确定的使用包括以下中的一者或多者：反映所述违反者和所述授权用户的利益、且分别具有不同的实现方式的所述硬件和软件系统的第二类型的使用；反映所述违反者和所述授权用户的利益、且分别以相似的方式实现的所述硬件和软件系统的第三类型的使用。