研究背景及意义
1.课题背景
近年来,随着计算机硬件性能的不断提高,嵌入式系统中软件系统的规模和复杂性不断增加,从而软件对整个系统的影响逐渐占据了统治地位,嵌入式软件已经成为近年来人们研究的热点。嵌入式软件具有极高的可靠性、严格的实时性需求以及资源使用的受限性、满足特定领域等要求,使得如何保证系统设计满足给定的功能规约,以及满足资源、能耗等非功能方面的限制成为嵌入式计算领域中的重要研究课题。[1]
而嵌入式软件系统在汽车、核工业、航空等安全关键领域的广泛运用,其失效将会导致财产的损失、环境的破坏甚至人员的伤亡,使得保障软件安全性成为系统开发过程中的重要部分。当前的嵌入式系统的功能日益增强,规模日益增大,构件化系统中所使用的子系统的数量不断增多。而已有的安全性分析方法未提供分解的概念,难以将整个系统中的各个部分进行合适的分解,再通过综合评估各个部分的安全性评估整个系统的安全性。此外,在传统的安全性分析的过程中,难以对已有的部分安全性分析结果进行重用,在安全性分析的过程中存在人工成本的过高以及资源的严重浪费的现象。
构件化系统的系统结构异常复杂,构件之间相互作用、相互依赖。而传统的安全性分析中,认为各个构件之间是相互独立、互不影响,通过对各个构件失效的布尔组合逻辑就可以计算系统的失效。而在构件化系统中,系统中各个构件之间相互依赖,一个构件的失效可能使得其他构件无法正常工作。依赖性的增强,使得之前的安全性分析研究中关于各个构件相互独立的假设不再有效,从而增加了构件化嵌入式软件安全性分析的难度。嵌入式软件规模和复杂程度的增加使其多采用构件化分布式结构。因此,针对构件化嵌入式软件系统进行安全性分析已经成为现代嵌入式系统安全保障的重要方法和研究热点。而传统的安全性分析主要应用在软件需求分析阶段,在软件设计阶段仍缺乏有效的安全性分析方法和工具。课题研究的动因之一就是在已有研究工作的基础上,对构件化嵌入式软件系统的安全性分析方法进行进一步的研究,给出行之有效的软件安全性分析方法,为保障复杂嵌入式软件的安全性提供支持。[2]
二.研究内容
软件安全性(software safety)一词最早出现在 1979 年美国发布的《空间和导弹系统的系 统安全大纲》(MIL-STD-1574A)中。1986 年 MIT 大学的 Leveson 教授提出软件的安全性 在系统的全生命周期中应该作为一个单独的课题加以重点研究。目前,工业界和学术机构 都提出了软件安全性的定义,如:NASA8719.13A 中指出软件安全性是指在软件生命周期内,应用安全性工程技术,确保软件采取积极的措施提高系统安全性,确保降低系统安全性 的错误已经减少到或控制在一个风险可接受的水平内。
嵌入式软件安全性是与软件危害相对应的,是一种软件引入的真实风险比可接受风险低的情形。安全性分析是保障软件安全性的常用方法,安全分析人员对于特定危害发生的所有可能途径和因素进行分析和建模,得到危害场景模型。目前被工业界和学术界广泛接受的通用软件安全性分析方法主要分为两类,一类是归纳方法,即从原因归纳结果;另一种是演绎方法,即从结果出发追溯原因。嵌入式软件规模和复杂程度的增加使其多采用构件化分布式结构。因此,针对构件化嵌入式软件系统进行安全性分析已经成为现代嵌入式系统安全保障的重要方法和研究热点。而传统的安全性分析主要应用在软件需求分析阶段,在软件设计阶段仍缺乏有效的安全性分析方法和工具。演绎安全性分析方法,比较有代表性是故障树分析(Fault Tree Analysis,FTA)。FTA 也是当前工业界应用最广泛的安全性分析技术,是 20 世纪 60 年代为美国民兵导弹系统的安全性分析而发展起来的。针对构件化嵌入式系统的安全性分析方法主要包括:CFT (Component Fault Tree)、FTPN (Failure Propagation and Transformation Notation) 、 Hip-HOPS (Hierarchically Performed Hazard Origin and Propagation Studies)、SEFT (State/Event Fault Tree)。它们的相同点是都反映构件层次和系统结构,并允许从构件的安全模型中组合出系统安全用例。其中状态事件故障树(SEFT)[3-4] 能够通过系统行为有效地表达软件系统中构件的失效与系统危害发生之间的因果关系,适用于建模构件化软件系统的危害场景。SEFT 能够建模较低层次的系统,且可以很好地填补安全性分析与形式化方法之间的空缺。
对SEFT进行形式语义描述是对其进行分析的基础,使用建立的接口交互马尔可夫链(Interface-IMC)对SEFT的构件与逻辑门语义进行精确描述。
