安全性關(guān)鍵軟件的可靠性測(cè)試與安全性分析_圖文

1、安全性關(guān)鍵軟件的可靠性測(cè)試與安全性分析繆崢紅周新蕾航天軟件評(píng)測(cè)中心北京，關(guān)麓詞計(jì)算機(jī)應(yīng)用安全性關(guān)鍵軟件可靠性測(cè)試軟件安全性分析一、引言載人航天系統(tǒng)中大量嵌入式計(jì)算機(jī)的使用使得越來(lái)越多的軟件已成為系統(tǒng)中的關(guān)鍵部件軟件可靠性要求太大提高，如何進(jìn)行軟件可靠性測(cè)試和安全性分析，從而正確地估計(jì)軟件產(chǎn)品的可靠性和安全性已成為一個(gè)迫切需要解決的問(wèn)題載人運(yùn)載火箭的故障檢測(cè)處理軟件屬于安全性關(guān)鍵軟件該軟件的主要任務(wù)是從待發(fā)段開(kāi)始贏(yíng)到上升段火箭、飛船分離結(jié)束前檢測(cè)火箭的重要參數(shù)。判斷火箭故障，出現(xiàn)故障時(shí)向有關(guān)系統(tǒng)發(fā)出逃逸指令和中止飛行指令。該軟件運(yùn)行的正確與否對(duì)火箭運(yùn)行安全性有著致命的影響若火箭正常飛行時(shí)軟件誤選

2、逸將導(dǎo)致飛行任務(wù)失??；若故障狀態(tài)下軟件漏逃逸，導(dǎo)致逃逸失敗則會(huì)危及宇航員的生命安壘因此必須最大限度地保證軟件在實(shí)際工作條件下運(yùn)行的正確性、可靠性與安全性作者結(jié)合載人運(yùn)載火箭的故障檢測(cè)處理軟件，對(duì)軟件的可靠性測(cè)試和安全性分析技術(shù)進(jìn)行了研究，完成了對(duì)回歸測(cè)試的故檢軟件進(jìn)行軟件安全性分析，并根據(jù)軟件安全性分析結(jié)果，得到了軟件的可靠度和危險(xiǎn)風(fēng)險(xiǎn)指數(shù)本文針對(duì)安全性關(guān)鍵軟件的特點(diǎn)提出了一種在全面測(cè)試的基礎(chǔ)上、基于軟件安全性分析的軟件可稚性測(cè)試與評(píng)估方法全文分三個(gè)部分。第一部分為軟件可靠性測(cè)試描述了軟件可靠性瀏試的特點(diǎn)和測(cè)試步驟并結(jié)合故障檢測(cè)處理軟件介紹了安全性關(guān)鍵軟件可靠性測(cè)試的特殊方法第二部分提出了一種

3、軟件安全性分析的方法，描述了安全性分析實(shí)施的技術(shù)要點(diǎn)和注意事項(xiàng)，主要從安全性分析思路、安全性分析的詳細(xì)方案以及進(jìn)行安全性分析應(yīng)注意的同繇幾方面論述第三部分介紹了可靠性測(cè)試和安全性分析的效果。二、軟件的可靠性測(cè)試（一）軟件可靠性測(cè)試的特點(diǎn)軟件可靠性測(cè)試不同于硬件可靠性測(cè)試這主要是因?yàn)槎呤У脑虿煌布б话闶怯捎谠骷睦匣鸬囊虼?，硬件可靠性測(cè)試強(qiáng)調(diào)隨機(jī)選取多個(gè)相同的產(chǎn)品，統(tǒng)計(jì)它們的正常運(yùn)行時(shí)間正常運(yùn)行的平均時(shí)間越長(zhǎng)，剛硬件就魑可靠軟件失散是由設(shè)計(jì)缺陷造成的，軟件的輸入決定是否會(huì)遇到軟件內(nèi)部存在的故障因此。使用同樣一組輸入反復(fù)測(cè)試軟件并記錄其失效數(shù)據(jù)是沒(méi)有意義的在軟件沒(méi)有改動(dòng)的情況下。

4、這種數(shù)據(jù)只是首次記錄的不斷重復(fù)，不能用來(lái)估計(jì)軟件可靠性所以軟件可靠性測(cè)試強(qiáng)調(diào)按實(shí)際使用的概率分布隨機(jī)選擇輸入，并強(qiáng)調(diào)測(cè)試輸入的覆蓋度。軟件可靠性測(cè)試也不同于一般的軟件功能測(cè)試。主要表現(xiàn)在以下幾點(diǎn)。（）軟件可靠性測(cè)試更強(qiáng)調(diào)測(cè)試輸人與典型使用環(huán)境輸人統(tǒng)計(jì)特性的一致，強(qiáng)訶早期對(duì)功能、輸入、數(shù)據(jù)域及其相關(guān)概率的識(shí)別這使得軟件可靠性測(cè)試實(shí)例的采樣策略與一般的功能測(cè)試不同軟件可靠性測(cè)試必須按照使用的概率分布隨機(jī)地選擇測(cè)試實(shí)例這樣才能得到比較準(zhǔn)確的可靠性估計(jì)也有利于找出對(duì)軟件可靠性影響較大的故障（）軟件可靠性測(cè)試過(guò)程中還要求比較準(zhǔn)確地記錄軟件的運(yùn)行時(shí)間，它的輸入覆盞一般也要大于普通軟件功能測(cè)試的要求軟件可靠

5、性測(cè)試的輸入覆蓋包括下述內(nèi)容：重要輸入變量值的覆蓋相關(guān)輸入變量可能組合的覆蓋以確保相關(guān)輸入變最的相互影響不會(huì)導(dǎo)致軟件失效設(shè)計(jì)輸入空間與實(shí)際輸入空問(wèn)之問(wèn)區(qū)域的覆蓋即不合法輸入域的覆蓋各種使用功能的覆蓋（）軟件可靠性測(cè)試對(duì)使用環(huán)境的覆蓋比一般的軟件測(cè)試要求要高，測(cè)試時(shí)必須覆蓋所有可能影響程序運(yùn)行方式的物理環(huán)境對(duì)一些特殊的軟件，如容錯(cuò)軟件、實(shí)時(shí)嵌入式軟件等由于在一般的使用環(huán)境下常常很難在軟件中植入錯(cuò)誤以進(jìn)行針對(duì)性的測(cè)試，因此可靠性鍘試時(shí)常常需要有多種測(cè)試環(huán)境（）軟件可靠性測(cè)試工作應(yīng)放在軟件測(cè)試階段的后期。在軟件綜合測(cè)試完成后進(jìn)行。本階段工作的輸人為：軟件需求規(guī)格說(shuō)明（包括軟件的運(yùn)行剖面）、通過(guò)綜臺(tái)測(cè)

6、試的軟件和軟件可靠性測(cè)試估計(jì)模型本階段工作的輸出為。軟件可靠性測(cè)試計(jì)劃、可稚性測(cè)試用例、可靠性測(cè)試記錄和可靠性測(cè)試分析報(bào)告（二）軟件可靠性測(cè)試的效果軟件可靠性測(cè)試足軟件可靠性保證過(guò)程中非常關(guān)鍵的一步經(jīng)過(guò)軟件可靠性測(cè)試的軟件并不能保證該軟件中殘存的錯(cuò)誤數(shù)最小，但可以保證該軟件的可靠性達(dá)到較高的要求這是因?yàn)閺墓こ痰慕嵌葋?lái)看，一個(gè)軟件的可靠性高不僅意味著該軟件的失效率低，而且意味著一旦該軟件失效。由此所造成的危害也會(huì)小一個(gè)大型的工程軟件沒(méi)有錯(cuò)誤是不可能的，至少理論上還不能汪明一個(gè)大型的工程軟件不出錯(cuò)。因此保證軟件可靠性的關(guān)鍵不是確保軟件沒(méi)有錯(cuò)誤，而是要確保軟件中沒(méi)有對(duì)可靠性影響較大的錯(cuò)誤這正是軟件可

7、靠性測(cè)試的目的之一軟件可靠性測(cè)試的側(cè)薰點(diǎn)不同于一般的軟件功能測(cè)試，其測(cè)試實(shí)例設(shè)計(jì)的出發(fā)點(diǎn)是尋找對(duì)可靠性影響較大的故障這就使得要達(dá)到同樣的可靠性要求，它比一般的功能測(cè)試更有效，所花的時(shí)問(wèn)也更少。（三）安全性關(guān)鍵軟件的可靠性測(cè)試與一般軟件的可靠性瀏試不同，安全性關(guān)鍵軟件的可靠性測(cè)試有其特殊性，這表現(xiàn)在以下幾點(diǎn)（）許多重要的安全性關(guān)鍵功能的執(zhí)行概率并不高，甚至很低。例如，載人運(yùn)載火箭的故障檢測(cè)處理軟件絕大部分情況下運(yùn)行于火箭正常的情況下火箭故障情況下進(jìn)行進(jìn)逸的功能執(zhí)行概率極低如果按照軟件的運(yùn)行剖面進(jìn)行測(cè)試，勢(shì)必要投入大薰的時(shí)間測(cè)試火箭正常情況下軟件的執(zhí)行情況這種大最的熏復(fù)測(cè)試本身就是一種浪費(fèi)（）由于

8、安全性美鍵軟件在的期經(jīng)過(guò)了嚴(yán)格的測(cè)試和安全性分析，最后測(cè)試時(shí)常常采集不到足夠軟件的失效數(shù)據(jù)因此。無(wú)法使用基于失效數(shù)據(jù)的軟件可靠性評(píng)估模型進(jìn)行軟件可靠性估計(jì)（）軟件安全性分析提供了大量軟件設(shè)計(jì)的內(nèi)部信息而常規(guī)的軟件可靠性估計(jì)方法并沒(méi)有使用軟件設(shè)計(jì)的內(nèi)部信息因此我們對(duì)安全性關(guān)鍵軟件的可靠性測(cè)試方案進(jìn)行了改進(jìn)采用下述步驟對(duì)故障檢測(cè)處理軟件進(jìn)行可靠性測(cè)試和估計(jì)。首先在獲得軟件的運(yùn)行剖面后不按照其使用的概率分布進(jìn)行測(cè)試用例設(shè)計(jì)，而是按照平均概率分布進(jìn)行軟件測(cè)試設(shè)計(jì)，設(shè)計(jì)中確保對(duì)各種軟件運(yùn)行模式下全部使用功能的各種輸入組合和輸入數(shù)據(jù)域的覆益（包括非法輸入域的覆盞）其次，在多種測(cè)試環(huán)境下對(duì)軟件進(jìn)行全方位的測(cè)

9、試包括功能測(cè)試、性能測(cè)試，結(jié)構(gòu)測(cè)試、單元測(cè)試等。測(cè)試中發(fā)現(xiàn)的問(wèn)題全部進(jìn)行了修改，修改后進(jìn)行了完整的回歸測(cè)試最后，對(duì)通過(guò)回歸測(cè)試的軟件進(jìn)行軟件安全性分析然后結(jié)合軟件安全性分析結(jié)果進(jìn)行可靠性估計(jì)估計(jì)方法。測(cè)試時(shí)無(wú)軟件失效數(shù)據(jù)安全性分析時(shí)發(fā)現(xiàn)軟件在某種特殊條件下會(huì)有輕微的失效分析各種失效發(fā)生的概率，得到軟件的總失效率用減去軟件的總失效率就可以得出軟件的可靠度在下面的章節(jié)中。主要介紹我們?cè)趯?duì)載人運(yùn)載火箭的故障檢測(cè)處理軟件進(jìn)行安全性分析時(shí)所采用的方法和技術(shù)三、軟件的安全性分析軟件安全性分析是保證軟件質(zhì)量和安全性的重要手段。安全性是指系統(tǒng)在規(guī)定的條件和時(shí)間內(nèi)，完成規(guī)定功能的過(guò)程中不引起系統(tǒng)發(fā)生不可接受的風(fēng)

10、險(xiǎn)的能力我們稱(chēng)可能導(dǎo)致不可接受的風(fēng)險(xiǎn)發(fā)生的異常條件為危險(xiǎn)條件。保證航天員的安全是載人航天飛行成功的首要前提從設(shè)計(jì)角度看保證安全性的關(guān)鍵在于系統(tǒng)設(shè)計(jì)時(shí)綜合考慮全部外部因索（包括各種異常條件），合理地設(shè)計(jì)、定義和分配各子系統(tǒng)的功能及其相互之間的接口，使得危險(xiǎn)條件出現(xiàn)時(shí)系統(tǒng)可以處于一種安全的狀態(tài)。并將可能的損失降低到最小由于操作人員的錯(cuò)誤、硬件故障、接口問(wèn)題、軟件錯(cuò)誤或系統(tǒng)設(shè)計(jì)缺陷等很多原因都可能導(dǎo)致系統(tǒng)進(jìn)入危險(xiǎn)狀態(tài)，故系統(tǒng)安全性工作自頂至下涉及到系統(tǒng)的各個(gè)層次和各個(gè)環(huán)節(jié)而軟件是系統(tǒng)安全性工作中的一個(gè)舉足輕重的關(guān)鍵環(huán)節(jié)之一與硬件安全性分析不同，操作人員的錯(cuò)誤、硬件故障、信號(hào)輸入時(shí)序等很多原因都可能引

11、起軟件籀出異常，從而導(dǎo)致系統(tǒng)進(jìn)入危險(xiǎn)的狀態(tài)因此軟件安全性分析不能只從軟件本身出發(fā)。必須從系統(tǒng)角度進(jìn)行分析，考慮軟件使用過(guò)程中軟件、硬件、操作人員的相互作用，分析軟件可能的工作時(shí)序、適用條件、邏輯缺陷及其可能造成的不利影響不同類(lèi)型、不同要求的軟件需要采取不同的技術(shù)手段和管理模式這是多年的經(jīng)驗(yàn)教訓(xùn)之一國(guó)外的軟件安全性分析工作模式是按照他們的組織機(jī)構(gòu)和工程管理模式確定的，并不完全適用于我們的工程實(shí)際和研制要求安全性分析尤其如此每一個(gè)軟件的功能、規(guī)模、實(shí)現(xiàn)邏輯、運(yùn)行環(huán)境等均具有其特殊性，每一種分析技術(shù)也有其適用條件和局限性只有針對(duì)軟件的特點(diǎn)和設(shè)計(jì)要求，綜合考慮分析要素及工程限制，選擇有效的技術(shù)手段，翩

12、定合理的分析方案才可能獲得滿(mǎn)意的效果下面介紹一下軟件安全性分析的內(nèi)容。（一）軟件安全性需求分析系統(tǒng)、分系統(tǒng)層次的相關(guān)分析分析對(duì)象故障判定模式，與故障檢測(cè)處理軟件相關(guān)的人員操作、系統(tǒng)、硬件、工作時(shí)序等。分析目的確定與軟件相關(guān)的故障模式和危險(xiǎn)發(fā)生的概率以及輸入、輸出信號(hào)的關(guān)鍵性等級(jí)分析內(nèi)容：危險(xiǎn)分析和輸入、輸出信號(hào)的失效與影響分析分析人員；系統(tǒng)總體設(shè)計(jì)人員軟件需求安全性分析分析對(duì)象。軟件需求規(guī)格說(shuō)明分析目的。在系統(tǒng)和分系統(tǒng)級(jí)分析的基礎(chǔ)上，針對(duì)與故障檢測(cè)處理軟件相關(guān)的危險(xiǎn)和有關(guān)模式，在軟件功能層次上進(jìn)行更深一步地細(xì)化分析，確定軟件的安全性需求和安全性關(guān)鍵軟件特性，標(biāo)識(shí)出軟件頂層設(shè)計(jì)結(jié)構(gòu)中存在的不安全

13、模式，進(jìn)行危險(xiǎn)風(fēng)險(xiǎn)評(píng)估分析內(nèi)容軟件運(yùn)行模式分析、軟件信息流分析軟件運(yùn)行模式分析；分析軟件可能的運(yùn)行模式及其發(fā)生的概率，確定與安全性相關(guān)的運(yùn)行模式、控制運(yùn)行模式轉(zhuǎn)換的關(guān)鍵控制信號(hào)和功能分析的重點(diǎn)軟件信息流分析包括軟件功能相關(guān)分析和時(shí)間相關(guān)分析兩部分內(nèi)容軟件功能相關(guān)分析；通過(guò)分析各種運(yùn)行狀態(tài)下軟件執(zhí)行的功能、數(shù)據(jù)流和控制漉從邏輯上確定與系統(tǒng)安全直接相關(guān)的關(guān)鍵功能和間接相關(guān)的重要功能并針對(duì)這些功能可能的失效模式進(jìn)行分析提出糾正措施或估計(jì)出發(fā)生的概率軟件時(shí)間相關(guān)性分析主要根據(jù)軟件功能的執(zhí)行方式和觸發(fā)條件分析軟件功能的執(zhí)行時(shí)序及可能存在的失效模式，提出糾正措施或估計(jì)出發(fā)生的概率分析人員：軟件安全性分析員

14、和系統(tǒng)總體設(shè)計(jì)人員軟件安全性需求軟件安全性需求應(yīng)包括四部分內(nèi)容。軟件危險(xiǎn)排序、軟件安全性芙鍵功能和重要功能表、軟件設(shè)計(jì)要求、軟件驗(yàn)證要求由于本安全性分析工作在軟件完成后進(jìn)行，因此未給出軟件設(shè)計(jì)要求（二）軟件代碼安全性分析分析對(duì)象軟件潦代碼分析目的：在前述工作的基礎(chǔ)上，分析代碼設(shè)計(jì)的正確性和合理性、適用條件和可能存在的不安全模式分析內(nèi)容；代碼基本分析（包括對(duì)代碼的數(shù)據(jù)、接口、邏輯和使用資源分析），運(yùn)行狀態(tài)分析、臨界條件分析和測(cè)試覆蓋分析。分析人員；軟件安全性分析員代碼基本分析代碼數(shù)據(jù)分析：變量定義分析、變微初值分析、變量計(jì)散清零分析、變量限幅分析、變餐使用分析（對(duì)不同類(lèi)型的變量使用正確的操作指令

15、）代碼接口分析。軟件輸入地址和判斷邏輯分析、軟件輸出地址和輸出時(shí)序分析、硬件初始化分析、中斷嵌套分析、軟件內(nèi)部接口分析以及軟件堆棧操作和數(shù)據(jù)公共區(qū)使用分析使用資源分析，對(duì)軟件內(nèi)存使用分配進(jìn)行分析確保無(wú)資源使用沖突。代碼邏輯分析。模塊算法分析軟件功能觸發(fā)數(shù)據(jù)條件與時(shí)序分析計(jì)算累計(jì)誤差分析，浮點(diǎn)計(jì)算上溢、下溢可能性分析運(yùn)行狀態(tài)分析運(yùn)行狀態(tài)細(xì)化分析對(duì)軟件頂層的運(yùn)行狀態(tài)進(jìn)一步細(xì)化，繪制下層的運(yùn)行狀態(tài)轉(zhuǎn)換圖，并對(duì)中間狀態(tài)的影響進(jìn)行分析。狀態(tài)初值分析，針對(duì)頂層與安全性相關(guān)的軟件關(guān)鍵模式，逐個(gè)分析可能的狀態(tài)初值及其不利影響臨界條件分析缶界條件分析包括下述內(nèi)容。模擬量實(shí)際故障、報(bào)警域；分析轉(zhuǎn)換誤差和轉(zhuǎn)換計(jì)算誤

16、差對(duì)輸入域的影響中斷對(duì)巡檢采樣周期的影響分析中斷嵌套對(duì)采樣周期的最大影響誤差最大堆棧深度，時(shí)鐘漂移誤差影響計(jì)算有效位數(shù)分析輸入抗干擾分析；包括模擬量輸人、開(kāi)關(guān)量巡榆輸入、中斷結(jié)合巡檢輸入、中斷輸入抗干擾分析測(cè)試覆蓋分析測(cè)試覆蓋分析包括軟件功能測(cè)試覆蓋（包括輸入組合和輸人數(shù)據(jù)域覆蓋）、性能測(cè)試覆蓋和結(jié)構(gòu)測(cè)試覆蓋分析（三）軟件安全性評(píng)價(jià)按照叫危險(xiǎn)分析方法和程序和系統(tǒng)的可靠性要求定義軟件的危險(xiǎn)可能性等級(jí)，并根據(jù)危險(xiǎn)發(fā)生的概率得到軟件的危險(xiǎn)風(fēng)險(xiǎn)指數(shù)。四、效果通過(guò)對(duì)載人運(yùn)載火箭故障檢測(cè)處理軟件的安全性系統(tǒng)分析和軟件安全性需求分析，我們對(duì)軟件各個(gè)狀態(tài)下執(zhí)行的功能、可能的失效模式及其發(fā)生概率有了較準(zhǔn)確的估計(jì)經(jīng)過(guò)對(duì)軟件全面的測(cè)試驗(yàn)證，并采用軟件可靠性、安全性分析技術(shù)對(duì)軟件代碼的接口、數(shù)據(jù)、實(shí)現(xiàn)邏輯、運(yùn)行模式、使用資源、臨界條件和測(cè)試覆蓋進(jìn)行全面分析我們確認(rèn)軟件實(shí)現(xiàn)過(guò)程中未引入新的影響系統(tǒng)安全性的因素軟件需求安全性分析所獲得的危陵發(fā)生概率有效在此基礎(chǔ)上，給出了軟件危險(xiǎn)的風(fēng)險(xiǎn)指數(shù)和軟件的可靠度專(zhuān)家評(píng)審時(shí)對(duì)我們課題組的工作給予了較高的評(píng)價(jià)，認(rèn)為課題組采用的軟件可靠性和蜜全性分析與