设备驱动程序可靠性和正确性保障方法与技术研究进展

随着计算机技术的不断发展,计算机系统在安全攸关领域得到了广泛应用,其中的软件系统正逐渐成为重要的使能部件.在计算机系统中,设备驱动程序扮演了软件与硬件设备之间桥梁的角色.由于与计算机平台、操作系统、设备3个方面同时关联所导致的复杂性,设备驱动程序的开发难度大、成本高,程序中所存在的错误和缺陷常常导致系统失效,在安全攸关领域造成不可挽回的损失.以设备驱动程序可靠性和正确性保障为目标,分别从故障的隔离与恢复、正确性分析和验证、设计建模与复杂性控制这3个方面对当前相关方法和技术进行分析,为开展进一步深入的研究工作打下基础.     

微内核操作系统互斥量模块功能正确性的形式化验证

操作系统在许多安全攸关领域为软件系统提供关键性底层支撑，操作系统中一个微小的错误或漏洞都可能引起整个软件系统的重大故障，造成巨大经济损失或危及人身安全.为了减少此类安全事故的发生，对操作系统正确性进行验证十分必要.传统测试手段无法穷尽系统中的所有潜在错误，因而操作系统验证有必要使用具有严格数学理论基础的形式化方法.在操作系统中，互斥量可协调多任务对资源的访问，是一种常用的任务同步方式，其功能正确性对于保障多任务应用的正确性十分关键.本文基于定理证明方法，在交互式定理证明器Coq中对某抢占式微内核操作系统的互斥量模块进行代码级形式化建模，给出其接口函数的形式化规范，并实现这些接口函数的功能正确性验证.     

舰载机弹药保障作业调度的形式化建模与验证

航母舰载机弹药保障作业的智能规划作为一种高效能航保作业调度方法,是助推航母工程先进技术建设发展的重要途径之一.高安全攸关属性下作业规划方案的正确性保证已经逐渐成为制约其实际应用部署安全的关键技术瓶颈.针对方案正确性验证中存在的弹药保障系统难建模、作业执行行为难描述、形式验证工具难实现等挑战,基于分离逻辑的思想,提出一种弹药保障系统的行为模型,并利用定理证明器Coq对作业规划方案进行形式化验证.首先提出一个符合弹药保障作业特征的序列化双层资源堆模型;基于该模型,构造一套可用于描述作业执行行为的建模语言及其操作语义;最后在Coq中实现一种证明辅助工具.通过几个典型弹药保障作业规划方案的交互式证明实例,验证工具的可用性与工程实用性.     

一种面向列车控制系统中安全攸关场景的测试用例自动生成方法

列车控制系统是一种安全攸关系统,为保证其安全性,要求测试过程对安全攸关场景中所有可能的运行进行完全的覆盖.现有的场景建模与测试用例自动生成方法不能完全满足这一技术需求.围绕列车控制系统的安全攸关场景建模以及测试用例自动生成方法展开研究,对UML活动图扩充了事件驱动机制和时间特性描述机制,以满足对安全攸关场景建模的需要,提出了简单路径覆盖准则以定义对场景中所有运行的完全覆盖,并针对这一覆盖准则给出了自动生成测试用例的方法.以地铁列车控制系统为研究对象展开实验,表明了该方法的有效性和局限性.     

一种面向信息物理融合系统安全攸关场景的测试用例自动生成方法

对信息物理融合系统中的安全攸关场景进行有效的测试是提高系统安全性的重要手段。如何对安全攸关场景进行建模以完整准确地刻画系统行为,如何有效地生成测试用例以提高测试覆盖度、降低测试成本,是面向安全场景测试技术需要解决的核心技术问题。现有的场景建模与测试用例生成技术缺少对信息物理融合系统重要特性的描述和处理,其生成的测试用例不能满足系统安全攸关场景的测试需求。围绕信息物理融合系统的安全攸关场景建模以及测试用例自动生成方法展开研究,为UML活动图扩充了外部事件驱动机制和时间特性描述机制,以满足对安全攸关场景建模的需要;并研究了基于场景模型自动生成测试用例的方法。     

一个机载软件需求形式化建模与分析实例研究

现代民机机载软件系统的功能与复杂度在快速增长的同时还必须满足更严格的安全标准, 使得在机载软件需求层级必须进行诸如一致性、完整性等分析与验证成为重要的挑战. 工作基于一个自主设计实现的面向机载软件自然语言需求形式化建模与分析工具平台(ART)展开对座舱显控软件子系统(EICAS)需求的建模与分析, 包括: ART工具平...     

TCBV:一种构件时序行为建模与相容性验证工具

利用形式化方法对复杂实时构件系统的时序行为进行建模与验证对于提高安全攸关实时构件系统的正确性、可靠性与安全性具有重要意义。介绍了基于时间行为协议的构件时序行为的形式化建模和相容性验证方法,给出了时间行为协议建模与相容性验证工具TCBV的系统架构与功能模块。TCBV应用方便,能够实现实时构件时序行为模型的图形化表示,并可对复杂交互行为的相容性进行自动验证。结合应用实例,介绍了如何利用TCBV对复杂实时构件系统的时序行为进行建模和验证。最后,将TCBV与其它相关工具进行了比较。     

基于Event-B的航天器内存管理系统形式化验证

内存管理系统位于操作系统内核的最底层,为上层提供内存分配和回收机制.在航天器这类安全攸关的关键系统中,其可靠性和安全性至关重要,必须要考虑到强实时性、有限空间限制、高分配效率以及各种边界条件约束.因此,系统通常采用较为复杂的数据结构和算法来管理内存空间,同时需要采用非常严格的形式化方法来保证航天器这类安全攸关系统的高可信性.对复杂内存管理系统的形式化验证也会较之前的验证工作带来更多难题,主要体现在：内存管理模块中的复杂数据结构的形式化描述;操作的规范语义;行为的建模;内部函数的规范及断言定义与循环不变式的定义;实时性验证等方面.本文拟针对这些问题,深入分析实际的航天器操作系统内存管理系统的特性;探索基于分层迭代的语义描述与验证的一般性方法与理论,并应用这些理论方法,来验证一个具有实际应用的航天嵌入式操作系统的内存管理系统.本文研究成果有望被直接应用于我国新一代的航天器系统上.     

基于UML顺序图的安全苛求软件安全性分析

安全性分析对于确保开发出符合安全性需求的软件系统非常重要。该文从安全苛求软件的建模特点出发,分析现有的安全性分析方法和UML建模语言在安全苛求软件方面的应用及优缺点。针对UML面向安全性需求建模的不足,对顺序图增加了安全性描述方法。通过车载ATP系统的建模应用验证其可行性与有效性。     

基于UMLsec的软件安全需求建模方法研究

安全性是现代软件系统的重要组成部分,安全需求建模是确保软件安全性的基础.针对软件安全需求,提出了一种基于UML安全扩展(UMLsec)的软件安全需求建模方法.在软件需求规格说明的基础上,获取安全需求,对安全需求进行描述,并将安全需求描述集成到功能需求模型中,构建安全需求模型,并对模型进行了验证.科研信息系统实例表明了该方法的有效性.     

软件系统UML建模与其安全建模的集成

安全是现代软件系统不可缺少的一部分，但是，目前的软件系统建模一般都不涉及安全。系统安全策略和安全机制往往是开发人员在系统开发后期对系统的补充和措施的完善。这种不规范的处理为系统后期安全维护及系统之间的集成带来很大的隐患。该文通过学生成绩管理系统来讨论如何扩充UML图素、为系统安全访问控制策略建模，引入视图策略语言(VPL)描述角色与授权之间的关联，实现了软件系统UML建模与系统安全建模的集成。     

安全访问控制建模与软件UML建模的集成

目前的软件系统建模一般都不涉及安全.系统安全策略和安全机制往往是开发人员在系统开发后期对系统的补充和完善的措施.这种不规范的安全处理为系统后期安全维护及系统之间的集成带来莫大隐患.本文通过一个学生成绩管理管理系统来描述如何实现系统UML建模与系统安全建模的集成.     

系统RBAC安全模型与其UML模型的集成

软件系统建模一般不包括安全建模,系统安全策略和安全机制往往作为开发人员在系统开发后期对系统的补充和完善的措施.这种不规范的安全需求处理方法为系统后期安全维护及系统之间的集成带来莫大隐患.阐述了系统RBAC的安全模型与系统通常UML设计模型的集成.最后结合一个实例,具体说明集成的方法与过程.     

软件形式化开发关键部件选取的水波优化方法

形式化方法有助于从根本上提高软件系统的质量与可靠性,但其开发成本往往过于高昂.一种折衷的办法是在软件系统中选取关键性部件进行形式化开发,但目前尚无非常有效的定量选择方法.将软件系统中的形式化开发关键部件选取建模为一个0-1约束规划问题,以便使用元启发式搜索方法对其进行优化求解.另外,针对该问题专门设计了一种离散水波优化(water wave optimization,简称WWO)算法.在一个大型软件系统上的应用验证了问题模型的有效性,同时证明了WWO算法相对于其他若干典型元启发式搜索方法的优越性.     

软件可信复杂性及其动力学统计分析方法

可信软件已成为现代软件技术发展和应用的重要趋势和必然选择.目前,关于软件可信性度量与评测方法无法完全有效地对软件系统的安全可靠运行提供保障.基于动力系统理论,文中诠释了软件系统的行为特性及其可信复杂性的基本科学问题.分析和讨论了软件可信性的复杂性特征,提出了通过可信复杂性研究软件可信性度量的观点.利用动力学统计分析方法给出了软件系统可信性统计指标的不变测度评测方法,给出了软件系统不可信的动力学判据.通过实例,采用数值模拟与理论分析方法验证了动力学统计分析方法在软件可信性度量方面的可行性.     

用抽象质量类型构建高质量网构软件(英文)

在开发基于因特网的软件系统(文中称为网构软件)时,在开发过程的各个阶段都需要考虑软件系统的多种质量属性,这样网构软件的质量才能在软件系统的规约和设计阶段进行推导和预测,从而在部署和运行阶段进一步进行评估和验证。提出了一种新的抽象概念,即抽象质量类型,将软件实体的数据状态、相关的操作、质量属性以及保证质量得以实现的环境封装在一个统一的语法单元中,从而为建模软件实体以及推导其功能和非功能属性提供了一种严格的手段。探讨了基于软件体系结构及软件交互过程的抽象质量类型的组合,这为构建高质量网构软件提供了一定的形式化基础。最后,还描出了一个系统原型来展示如何利用抽象质量类型构造网构软件,并验证和提高网构软件系统的相关质量属性。     

人工智能软件系统的非功能属性及其质量保障方法综述

随着神经网络等技术的快速发展,人工智能被越来越多地应用到安全关键或任务关键系统中,例如汽车自动驾驶系统、疾病诊断系统和恶意软件检测系统等.由于缺乏对人工智能软件系统全面和深入的了解,导致系统时常发生严重错误.人工智能软件系统的功能属性和非功能属性被提出以加强对人工智能软件系统的充分认识和质量保障.经调研,有大量研究者致力于功能属性的研究,但人们越来越关注于人工智能软件系统的非功能属性.为此,专注于人工智能软件系统的非功能属性,调研了138篇相关领域的论文,从属性定义、属性必要性、属性示例和常见质量保障方法几个方面对目前已有的研究工作进行系统的梳理和详细的总结,同时重新定义和分析了非功能属性之间的关系并介绍了人工智能软件系统研究中可以用到的开源工具.最后,展望了人工智能软件系统非功能属性的未来研究方向和挑战,以期为该领域的研究人员提供参考.     

软件UML建模与RBAC安全模型

软件系统建模一般不包括安全建模,系统安全策略和安全机制往往作为开发人员在系统开发后期对系统的补充和完善的措施。这种不规范的安全需求处理为系统后期安全维护及系统之间的集成带来莫大隐患。该文阐述RBAC的安全建模与系统通常UML建模。     

多核环境下基于图模型的实时规则调度方法

安全攸关反应式系统的核心要求是：必须在指定时间期限内完成对外部事件的检测和目标事件的响应,否则会产生灾难性的后果.随着安全攸关反应式系统对智能化需求的日益增加,将规则推理应用于这类系统成为必然趋势.规则调度是保证规则推理硬实时约束的关键.为此,提出了一种基于图模型的实时规则调度方法（graph-based real-time rule scheduling,简称GBRRS）.该方法对基于事件图的实时规则推理过程进行建模,提出了基于图的端到端推理任务模型,并给出了端到端推理任务的调度算法,保证了规则调度的安全性.采用模拟实验对GBRRS方法进行了验证,实验结果表明,与DM-EDF方法（通过直接映射把规则上的推理操作转成推理任务后,用全局EDF算法对其进行调度的方法）相比,GBRRS方法在规则调度成功率上平均高出13%~15%,且在规则集的平均负载较高时,仍保持着80%以上的调度成功率.     

基于XACML的安全建模和软件UML建模集成

软件系统建模人们习惯于系统需求、结构、部署建模,而把安全作为系统建立后的补充。文章通过学生成绩管理系统来描述,讨论如何扩充UML图素、引入VBAC描述角色与授权之间的关联,产生XACML描述的访问控制策略,使软件系统UML建模与系统安全建模集成。