在CC标准下基于活动图扩展的安全需求分析方法技术

本发明专利技术涉及属于安全、可靠性测试领域。为将CC标准应用到软件的安全需求分析过程中，建立安全需求与CC标准之间的关系，为用户生成安全需求文档和安全活动图，本发明专利技术采用的技术方案是，在CC标准下基于活动图扩展的安全需求分析方法，包括下列步骤：1.确定系统功能，选出系统中需要被保护的资产信息，获得需要被保护的资产信息；2.抽取出针对资产信息所存在的威胁；3.建立安全需求与CC标准之间的关系；4.扩展活动图为安全活动图，并导出安全需求文档。本发明专利技术主要应用于将CC标准应用到软件的安全需求分析过程。

Security requirement analysis method based on activity diagram expansion under CC standard

The invention relates to the field of safety and reliability testing. For the security requirements of CC standard application to software analysis process, to establish a relationship between security requirements and CC standard, for user generated security requirements document and security activity graph, the technical scheme of the invention is a method for the analysis of security requirements, based on the extended activity diagram under the CC standard, which comprises the following steps: 1. determining system the function, need to be protected the selected asset information system, to obtain protected assets information; 2. are extracted based on the existing asset information threats; 3. to establish the relationship between security requirements and CC standard; 4. extended activity diagram for safety and security requirements of the activity diagram, export document. The invention is mainly applied to apply the CC standard to the software security requirement analysis process.

【技术实现步骤摘要】
本专利技术涉及属于安全、可靠性测试领域，具体讲涉及在CC (通用准则)标准下基于 活动图扩展的安全需求分析方法。
技术介绍
随着计算机软件应用的不断发展，人们对软件的安全性和可靠性的要求越来越 高，如何在软件开发过程中保证其安全性成为了软件工程所要研究的重点问题。安全问题 应该在软件开发生命周期中被尽早考虑，这已经成为安全软件开发的共识，而在具体的软 件开发过程中，系统开发者往往关注系统功能性需求的设计与实现，却忽略了安全等非功 能性需求，这主要是由于目前并没有一套严格的、系统的、全面的支持安全系统开发软件工 程方法和支持工具。UML是一个被广泛接受的标准建模工具。由于活动图在建模软件功能性需求方面 起着重要的作用，本文扩展了 UML2.0活动图将安全相关的信息以构造型的方式添加到活 动图中以达到表示安全需求的作用。扩展UML2.0活动图定义了安全活动图元模型，将安全 信息以图形化的方式加入到活动图中以得到安全活动图，供开发者查看和分析，指导软件 的后续开发。CC是Common Criteria(通用准则)的简称，是第一个国际化的安全评估准则，它 作为信息安全领域的国际化标准，已经逐步被应本文档来自技高网...

【技术保护点】
１．一种在ＣＣ标准下基于活动图扩展的安全需求分析方法，其特征是，包括下列步骤：１．确定系统功能，选出系统中需要被保护的资产信息，通过抽取ＵＭＬ２．０活动图中活动图泳道（ＡｃｔｉｖｉｔｙＰａｒｔｉｔｉｏｎ）元模型和数据存储节点（ＤａｔａＳｔｏｒｅ　Ｎｏｄｅ）元模型获得需要被保护的资产信息；２．抽取出针对资产信息所存在的威胁，分析活动图中每一步活动的语义进行分析，找出针对资产信息与每个活动有关的威胁；３．建立安全需求与ＣＣ标准之间的关系，就是首先针对威胁信息确定安全目标，结合ＣＣ安全功能类细化安全目标，确定子安全目标，再结合ＣＣ安全功能族细化子安全目标，确定安全需求，ＣＣ为通用准则；４．扩展活动图...

【技术特征摘要】
1. 一种在CC标准下基于活动图扩展的安全需求分析方法，其特征是，包括下列步骤1.确定系统功能，选出系统中需要被保护的资产信息，通过抽取UML2.0活动图中活动 图泳道(ActivityPartition)元模型和数据存储节点(DataStore Node)元模型获得需要 被保护的资产信息；2.抽取出针对资产信息所存在的威胁，分析活动图中每一步活动的语义进行分析，找 出针对资产信息与每个活动有关的威胁；3.建立安全需求与CC标准之间的关系，就是首先针对威胁信息确定安全目标，结合CC 安全功能类细化安全目标，确定子安全目标，...

【专利技术属性】
技术研发人员：李晓红，张倩倩，潘东，冯志勇，许光全，胡静，
申请(专利权)人：天津大学，
类型：发明
国别省市：12