UMLsec自动分析验证工具的研究与设计

在基于UMLsec模型开发的安全关键系统中,为了验证UMLsec模型描述的安全需求是否满足,提出一种支持自动分析验证UMLsec模型工具框架,研究设计了自动分析验证<<data security>>的验证插件。利用该验证插件分析验证了一个加密协议实例,从而说明了该工具能自动分析验证UMLsec模型描述的安全需求。

面向用例安全关键系统开发方法研究

面向用例模型的安全性分析方法是从系统需求文档中提取用例模型,给出其安全性分析规范,并将用例模型集成为合成使用模型。利用umlsec构造型描述安全性,并实现相应的安全性验证工具进行验证,从而避免后期考虑安全性的风险与成本,提高了系统开发的质量和效率。

安全苛求软件需求规格中的安全特性验证方法

针对自然语言描述的安全苛求软件需求规格中安全特性不准确、不一致等问题,提出一种基于UMLsec安全特性验证方法。该方法在UML需求模型类图和顺序图的基础上,为核心类的安全特性自定义构造型、标记和约束,完成UMLsec模型构建;之后,使用设计实现的UMLsec支持工具对安全特性进行自动验证。实验结果表明,该方法能准确描述安全苛求软件需求规格的安全特性,同时可以自动验证安全特性是否满足安全需求。

集成安全分析的模型驱动软件开发方法研究

提出了一种集成安全分析的软件设计与开发新方法,该方法以MDA为基础框架,使用UMLsec建立软件安全属性的平台无关模型,使得在软件设计的早期就能够囊括更多的安全需求,从而降低后期开发的风险与成本,提高软件的复用性。

软件安全分析的有穷自动机模型

目的为在软件设计与开发早期阶段对软件安全模型进行有效分析和验证。方法软件安全分析验证法与形式化建模方法。结果提出了一种安全扩展确定有限自动机(safety extended deterministic finite automata,SEDFA)。在使用UMLsec建立软件安全相关的非形式化模型基础上,通过SEDFA准确的描述能够表达安全交互的序列图。首先创建序列图中单个对象的自动机,其次构造对象积自动机,从而得到表示系统整体交互的SEDFA。结论为系统安全属性的验证提供了基础,可作为下一步生成软件安全测试用例。

基于UML模型的NGN业务安全分析

相比传统的电信网,NGN面临着众多的安全威胁,NGN的业务安全也面临着巨大的挑战。业务的开发和部署需要考虑到更多的安全特性和安全功能。利用UML安全扩展UMLsec对NGN中的业务安全需求进行分析建模,提出了一种细粒度的安全需求分析方法,通过抽象出安全功能抽象类说明NGN业务的安全特性需求。并通过用例讨论了基于安全应用接口的安全需求实现,使得各种安全特性能够更方便、更灵活地集成到业务中。