基于CC标准的软件安全功能组件管理方法.pdf

《基于CC标准的软件安全功能组件管理方法.pdf》由会员分享，可在线阅读，更多相关《基于CC标准的软件安全功能组件管理方法.pdf（15页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102799816 A (43)申请公布日 2012.11.28 C N 1 0 2 7 9 9 8 1 6 A *CN102799816A* (21)申请号 201210223677.2 (22)申请日 2012.06.29 G06F 21/00(2006.01) (71)申请人天津大学 地址 300072 天津市南开区卫津路92号 (72)发明人李晓红 韩卓兵 胡静 许光全 杜志杰 朱明悦 (74)专利代理机构天津市北洋有限责任专利代 理事务所 12201 代理人李素兰 (54) 发明名称 基于CC标准的软件安全功能组件管理方法 (57) 摘要 本发明公开了一种基。

2、于CC标准的软件安全 功能组件管理方法，在软件工程的需求分析阶段， 基于CC标准，实现安全功能组件的推荐和调整， 该方法包括以下步骤：将基于CC标准体系下各领 域中的评估文档中对威胁信息的描述加以抽象分 析并进行归纳，建立威胁知识库；为前一步骤威 胁知识库中的每一个威胁知识推荐相应的安全功 能组件集合，建立基于规范语义的威胁知识与安 全功能组件之间的对应关系；针对每一个安全功 能组件类建立安全功能组件代价评定表，根据表 的内容进行组件调整。与现有技术相比，本发明在 软件需求分析阶段提出了基于CC标准的安全功 能组件推荐及调整方法，以达到在软件系统开发 的初期考虑软件安全问题，减少安全漏洞出现的。

3、 可能性，提高软件的安全性。 (51)Int.Cl. 权利要求书1页 说明书12页 附图1页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书 1 页 说明书 12 页 附图 1 页 1/1页 2 1.一种基于CC标准的软件安全功能组件管理方法，在软件工程的需求分析阶段，基于 CC标准，实现安全功能组件的推荐和调整，其特征在于，该方法包括以下步骤： 步骤一、将基于CC标准体系下各领域中的评估文档中对威胁信息的描述加以抽象分 析并进行归纳，建立威胁知识库； 步骤二，为步骤一中威胁知识库中的每一个威胁知识推荐相应的安全功能组件集合， 建立基于规范语义的威胁知识与安全功能组件之。

4、间的对应关系；推荐依据分为根据安全等 级初步推荐安全功能组件和根据推荐度对安全功能组件进一步筛选，其中，安全等级为预 先输入的有关安全等级的一套标准化的定义，在该定义中同时建立了与CC标准中提供的 安全功能组件之间的对应关系，推荐度为一个级别对使用某个安全功能组件的支持程度； 步骤三、针对每一个安全功能组件类建立安全功能组件代价评定表，根据该表的内容 进行组件调整；代价评定表中的评定依据关于安全功能组件实现所用到技术的代价评定。 2.如权利要求1所述的基于CC标准的软件安全功能组件管理方法，其特征在于，所述 对威胁信息的描述加以抽象分析的步骤，根据威胁的前置条件、发生领域、造成后果的严重 程度。

5、抽象出22个威胁类别。 3.如权利要求1所述的基于CC标准的软件安全功能组件管理方法，其特征在于，所述 安全功能组件的总数为251个，威胁知识与安全功能组件的对应关系是一对多关系。 4.如权利要求1所述的基于CC标准的软件安全功能组件管理方法，其特征在于，所述 根据安全等级初步推荐安全功能组件和根据推荐度对安全功能组件进一步筛选，该步骤根 据阈值筛选，包括以下处理： 在基于CC标准的已有的ST文档中找到类似的文档，则将这个文档选为主参考文档；若 不存在类似文档，根据词串相似度公式计算系统的名称字符串和已有ST文档的系统名称 的相似度，选取其中最大的一个或者几个作为主参考ST文档； 设定主参考文。

6、档的权值，则其余文档的参考权值为=1-，即主参考文档 的参考权值Vm为0或者1，其他文档的参考值Vo由统计得出，则最终的的参考权值 V=Vm+Vo； 设定筛选阈值，当V大于等于时选择该安全功能组件，否则剔除； 其中、为经验权重值，为经验阈值。 5.如权利要求4所述的基于CC标准的软件安全功能组件管理方法，其特征在于，所述 在基于CC标准的已有的ST文档中找到类似的文档的步骤之前，还包括对ST的进行分类或 建立本体的步骤。 权 利 要 求 书CN 102799816 A 1/12页 3 基于 CC 标准的软件安全功能组件管理方法 技术领域 0001 本发明涉及软件安全技术领域；特别是涉及可信计算。

7、领域中基于CC标准的安全 功能组件推荐及调整方法。 背景技术 0002 随着互联网的迅速发展和计算机应用普及，人们对IT产品的可信需求越来越高， 与此同时，软件的安全问题也日益突出和复杂化。怎样保证应用软件的安全性已成为人们 普遍关注的焦点，过去，对于软件安全的研究多数集中在软件的实现过程中，大多数为修补 系统或应用软件中的漏洞。然而，软件安全问题并没有得到很好的解决，据统计数据显示， 相当比例的软件安全问题出现在软件需求分析阶段，而且在软件开发领域中越早解决安全 问题所花费的代价也将越小，于是将安全问题提升到软件开发初期进行考虑的做法被广泛 认可。 0003 目前业界已经普遍认可了需求工程对。

8、于大型软件项目开发是否成功起到决定性 的作用。但是在大多数需求分析文档中软件安全需求及安全机制的建立仅仅是简单地被提 到，并未进行具体的分析；另外也有部分需求文档中虽然能够进行安全需求分析，但是安全 需求分析过程与功能需求没有联系起来，这将导致安全需求最终实现的保护形同虚设。这 些问题的存在体现了软件开发过程中对安全的需求分析的轻视，所以需要系统的具体的安 全需求分析方法来帮助人们明确安全需求。 0004 近年来在软件安全需求分析领域取得了许多有益的进展，研究主要集中在软件安 全需求工程方法流程和安全需求抽取技术上。其中，软件安全需求工程方法流程研究与安 全需求抽取技术是相互结合的，流程方法基。

9、于软件安全需求功能框架，而抽取技术属于实 现技术，各种需求抽取技术在不同的流程方法中被使用。目前，在CC标准（信息技术安全评 估通用准则The Common Criteria for Information Technology Security Evaluation） 下定义安全需求已逐渐成为一种趋势和共识。它综合了之前已有的信息安全的准则和标 准，形成了一个更全面的标准框架。CC标准作为国际化的安全评估标准，已被广泛的应用于 软件产品的开发中，结合CC标准开发出的安全软件受到了用户的信赖。由于CC标准的丰 富的安全知识经验内容和其权威性，准确的选取CC标准中的安全功能组件来分析软件安 全功。

10、能需求具有重要意义，这也是解决安全功能需求问题的好方法。 0005 然而目前利用CC进行软件安全需求分析的过程中存在这样的问题：整个过程需 要安全专家的参与，在安全功能选取过程中，较大程度上依赖于专家的经验，没有可以量化 的标准，组件选取的准确程度将会影响需求的分析，因此导致了普通用户难以进行使用，并 且组件选取的好坏由专家水平决定，具有一定的主观偏差。 发明内容 0006 基于上述现有技术存在的问题，本发明提出了一种基于CC标准的安全功能组件 管理方法，通过在安全软件工程的需求分析阶段利用CC标准和等级驱动的安全需求分析 说 明 书CN 102799816 A 2/12页 4 方法基于推荐度。

11、指标进行安全功能组件的选取和调整，以更准确的进行安全需求分析，减 少软件开发初期的安全漏洞。 0007 本发明提出了一种基于CC标准的软件安全功能组件管理方法，在软件工程的需 求分析阶段，基于CC标准，实现安全功能组件的推荐和调整，其特征在于，该方法包括以下 步骤： 0008 步骤一、将基于CC标准体系下各领域中的评估文档中对威胁信息的描述加以抽 象分析并进行归纳，建立威胁知识库； 0009 步骤二，为步骤一中威胁知识库中的每一个威胁知识推荐相应的安全功能组件集 合，建立基于规范语义的威胁知识与安全功能组件之间的对应关系；推荐依据分为根据安 全等级初步推荐安全功能组件和根据推荐度对安全功能组件。

12、进一步筛选，其中，安全等级 为预先输入的有关安全等级的一套标准化的定义，在该定义中同时建立了与CC标准中提 供的安全功能组件之间的对应关系，推荐度为一个级别对使用某个安全功能组件的支持程 度； 0010 步骤三、针对每一个安全功能组件类建立安全功能组件代价评定表，根据表的内 容进行组件调整；代价评定表中的评定依据关于安全功能组件实现所用到技术的代价评 定。 0011 所述对威胁信息的描述加以抽象分析的步骤，根据威胁的前置条件、发生领域、造 成后果的严重程度抽象出22个威胁类别。 0012 所述安全功能组件的总数为251个，威胁知识与安全功能组件的对应关系是一对 多关系。 0013 所述根据安全。

13、等级初步推荐安全功能组件和根据推荐度对安全功能组件进一步 筛选，该步骤根据阈值筛选，包括以下处理： 0014 在基于CC标准的已有的ST文档中找到类似的文档，则将这个文档选为主参考文 档；若不存在类似文档，根据词串相似度公式计算系统的名称字符串和已有ST文档的系统 名称的相似度，选取其中最大的一个或者几个作为主参考ST文档； 0015 设定主参考文档的权值，则其余文档的参考权值为= 1-，即主参考文 档的参考权值Vm为0或者1，其他文档的参考值Vo由统计得出，则最终的的参考权值 V=Vm+Vo； 0016 设定筛选阈值，当V大于等于时选择该安全功能组件，否则剔除； 0017 其中、为经验权重值。

14、，为经验阈值。 0018 所述在基于CC标准的已有的ST文档中找到类似的文档的步骤之前，还包括对ST 的进行分类或建立本体的步骤。 0019 与现有技术相比，本发明以软件安全性为出发点，在软件开发生命周期的初期即 需求分析阶段提出了基于CC标准的安全功能组件推荐及调整方法，以达到在软件系统开 发的初期考虑软件安全功能问题，减少安全漏洞出现的可能性，提高软件的安全性。该方法 预期达到以下有益效果： 0020 1、解决了安全需求分析初期用户缺乏安全性衡量指标，尤其是对安全功能分析时 没有可参照的量化指标，导致的对安全需求重视程度不够，无法在需求阶段排除安全隐患， 尽早发现漏洞的问题。 说 明 书C。

15、N 102799816 A 3/12页 5 0021 2、对CC标准提供的安全需求分析方法进行改进，使得大多数不具有专业系统安 全分析知识的开发人员及用户都能够方便的使用CC标准对系统进行安全性评估，降低了 对专业知识的依赖程度，使得CC国际标准能够得到广泛应用。 0022 3、威胁知识库是可信需求标准体系的重要组成部分，为可信需求分析的研究奠定 了基础。 0023 4、实现了半自动化的、较为准确的安全功能组件选取，对安全需求分析具有重要 意义。 附图说明 0024 图1为安全功能组件选取流程示意图。 具体实施方式 0025 以下结合附图及较佳实施例，对依据本发明提供的具体实施方式、结构、特征。

16、及其 功效，详细说明如下。 0026 下面结合附图对本发明中的编码实现和验证效果进行详述。 0027 本发明的安全功能组件选取流程如图1所示，包括三个过程，首先是安全威胁知 识库的建立，包括威胁信息抽象和建立威胁与组件之间的推荐关系，这一过程完成以后可 以作为经验知识在具体的每次具体开发中应用。然后是在针对某些特定的系统，用户有安 全等级要求的情况下，根据等级推荐度，在第一个过程推荐的组件基础上进一步推荐相关 的安全功能组件。最后为了满足用户或投资方对实际系统的安全性的具体要求给用户推荐 调整所选组件的方案，再由安全需求分析人员考虑具体技术和安全策略，将最终选定的安 全功能组件描述成安全概要规。

17、范。下面具体介绍这三个过程： 0028 1、第一个过程是威胁知识库的建立，该过程包括以下两个具体步骤： 0029 1）威胁知识抽象 0030 威胁知识的抽象方法是使用CC标准体系下各领域中的评估文档（包括保护轮廓 文档PP、安全目标文档ST）中对威胁信息的描述加以抽象总结，分析威胁信息的前置条件、 造成结果等多方面因素，进行归纳，建立威胁信息知识库。 0031 2）威胁知识与安全功能组件对应关系的建立 0032 通过对抽象出的威胁信息的总结和对安全组件的描述及适用条件的理解，为前一 步骤中所抽象出的每一个威胁知识提出相应的推荐安全功能组件集合。 0033 这一过程在整个安全需求分析的过程中只需。

18、要进行一次，当威胁知识和安全功能 组件对应关系完善以后，可以作为经验知识来使用，可定期进行威胁知识更新或补充，而不 必在每一次安全需求分析过程中都执行。通过对已经完成的安全评估文档的分析，建立级 别和安全功能组件之间的映射关系，其中引入推荐度的概念，这些知识能够有效地降低分 析安全功能需求的难度。 0034 2、第二个过程是具体的安全功能组件的推荐流程： 0035 1）根据安全等级初步推荐安全功能组件 0036 对安全等级建立了一套标准化的定义，并建立了它们与CC标准中提供的安全功 能组件之间的对应关系。根据安全等级（安全等级是作为输入在本方法中使用的，具体的等 说 明 书CN 1027998。

19、16 A 4/12页 6 级的划分，以及等级驱动的分析方法已经由相关工作予以解决，不是本专利的讨论范围）所 对应的安全功能组件。 0037 2）根据推荐度对安全功能组件进一步筛选 0038 对安全需求所作的分析，结果的好坏在很大程度上取决于等级推荐组件表的准确 程度。在实际系统中有些情形下一些安全功能组件的使用级别并不能确定，但是等级与组 件映射的方法使得等级与组件之间对应是严格的固定的，导致了安全需求分析的准确性的 下降和灵活性的损失。 0039 为了解决这个问题，提高安全需求等级推荐方法的准确度和合理性，继续改进映 射机制，可以引入推荐度的概念。推荐度表征了一个级别对使用某个安全功能组件的。

20、支持 程度，引入推荐度能使选择组件的过程中加入更多的合理选择。 0040 3.第三个过程是安全功能组件的调整： 0041 由于以上方法具有通用性，所推荐的安全功能组件并不一定满足用户或投资方对 实际系统的安全性或者经费方面的具体要求，为了增加系统的准确性和灵活性，需要给用 户调整所选取组件的权利。为决策者提供每个安全功能组件的实施代价值以及可能的实现 技术困难，能够有效的帮助决策者做出更好的判断和调整，更合理的分配用于安全软件工 程的资源。针对每一个安全功能类建立安全功能组件代价评定表，用户可以根据表的内容 进行组件调整。 0042 以下为本发明技术方案的具体实施例： 0043 一、威胁知识的。

21、抽象 0044 参照CC标准体系下各领域中的评估文档（包括保护轮廓文档PP、安全目标文档 ST）中的威胁知识，根据威胁的前置条件、发生领域、造成后果的严重程度，初步抽象出22 个威胁类别。见附表1。 0045 表1威胁信息抽象总结 0046 说 明 书CN 102799816 A 5/12页 7 说 明 书CN 102799816 A 6/12页 8 0047 0048 说 明 书CN 102799816 A 7/12页 9 0049 二、建立威胁与安全功能组件对应关系 0050 安全功能组件的总数为251个，因此威胁与安全功能组件的对应关系是一对多。 如下附表2所示，展现了等级与11个安全功。

22、能类的对应关系。根据该等级可能出现的威胁 可以选取出对应的安全功能组件。 0051 表2威胁与安全功能类对应关系表 0052 0053 说 明 书CN 102799816 A 8/12页 10 0054 接着，介绍技术方案中的第二个过程： 0055 根据用户对等级的要求以及相关工作已经完成的等级与安全功能组件对应关系。 可以选出某一等级下的安全功能组件，但是等级与组件映射的方法使得等级与组件之间对 应是严格的固定的，导致了安全需求分析的准确性的下降和灵活性的损失。引入推荐度的 概念提高安全需求等级推荐方法的准确度和合理性。推荐度表征了一个级别对使用某个安 全功能组件的支持程度如附表3所示： 0。

23、056 表3等级-安全功能组件推荐度 0057 Level 1 Level 2 Level 3 Level 4 FPT_RCV.1 0.5 1 1 1 FPT_ITA.1 0 0.75 1 1 0058 表中的数值是采用概率统计的办法计算出来的，统计的对象是CC标准协会给出 的ST文档（包括部分PP文档）。例如表中的0.75表示组件出现在4个需求等级可以被划为 Level 2的PP或者ST文档中，其中有3个采用了该组件，1个未使用该组件，统计概率的到 0.75。采用概率方法是基于概率方法的简便性和组件选取的计算模型难以建立这两点考虑 的。 0059 统计方法得到了推荐度，需要筛选算法来决定符合。

24、什么样的安全需求组件会被选 择，筛选算法的基本思想是根据阈值筛选，描述原理描述如下： 0060 1、如果待开发的系统能够在已有的ST文档中找到类似的文档，则将这个文档选 说 明 书CN 102799816 A 10 9/12页 11 为主参考文档；否则，根据词串相似度公式计算系统的名称字符串和已有ST文档的系统名 称的相似度，选取其中最大的一个（或者几个）作为主参考ST文档； 0061 2、设定主参考文档的权值，则其余文档的参考权值为=1-。一般来说认为 主参考文档提供的意见更有参考价值，主参考文档中对组件的推荐是确定的，相当于只有0 和1的取值，即主参考文档取值Vm为0或者1。其他文档的参考。

25、值Vo由统计得出。则最终 的的参考权值V=Vm+Vo； 0062 3、设定筛选阈值。当V大于等于时选择该安全功能组件，否则剔除。 0063 其中、为经验权重值，为经验阈值。算法中如果能够对ST的进行分类或 建立本体，所得到的准确度还能够得到继续改进。 0064 三、最后，介绍技术方案中的第三个过程 0065 附表4安全功能组件代价评定表 0066 说 明 书CN 102799816 A 11 10/12页 12 0067 0068 表中的数值与安全需求等级类似，也是顺序尺度的测量值，表征了安全的相对程 度。原因是安全功能组件是处于需求层次的，是比较抽象的，直观的代价并不容易判断和难 以量化的。。

26、因此要判断组件实施的代价，必须了解在具体的实现中采用了什么技术，使用这 样的技术会带来多大的额外代价。安全实施技术的革新将改变安全功能组件的实施代价。 0069 在实际使用中，如果用户对等级驱动筛选的结果调整的依据就是安全功能组件 实施可能需要的代价。例如一个安全需求等级为Level 2的系统经过筛选没有选中FIA_ UAU.4组件，但是该组件“要求鉴别机制使用一次性的鉴别数据”，但是系统中部分功能涉及 说 明 书CN 102799816 A 12 11/12页 13 金融交易，适合采用随机化键盘的方法保护密码验证过程，可以根据实际需要增加该组件。 又例如一个安全需求等级为Level 3的系统。

27、经过组件筛选后选择了FIA_UAU.5组件，该组 件“要求提供和使用不同的鉴别机制，为特定的事件鉴别用户的身份”。由于不同鉴别机制 导致了使用的复杂和潜在的技术困难，同时用户或者投资者又对其中一种验证技术要求较 高，可以根据实际情况删除该安全需求功能组件。 0070 下面以Security Target for Cisco IOS/IPSEC所评估的是思科公司的实现了 IPSec协议功能的路由器网际操作系统为例说明基于CC标准的安全功能组件推荐及调整 方法。IPSec是ITFE开发的一种开放标准的框架结构，通过使用加密的安全服务以确保在 Internet协议(IP协议)网络上进行保密而安全的通。

28、讯。IPSec能够在IP层保护数据的安 全性，IPSec的工作原理是：在IP数据包通过不被信任的网络的时候，路由器将对数据包进 行加密，并在加密的数据包头部加上额外的标签，该标签可以被认为是IPSec的隧道标签。 这样IPSec就可以需要保护的IP包通过未知网络。IPSec协议的另一个要点是网络密钥交 换，由于使用IPSec协议时，不可信网络的是被事先标记的，与之相邻的路由器都拥有证书 以证明它们支持IPSec协议，通过这个证书路由之间可以认定身份和进行密钥交换。 0071 按照基于CC标准的安全功能组件推荐及调整方法流程，首先按照实验的方案，选 择Security Target for Ci。

29、sco IOS/IPSEC这个ST中分析过的威胁作为输入威胁，该ST 中的威胁只有两个如下： 0072 T.Attack：攻击者获得系统权限并修改系统的配置； 0073 T.Untrusted-Path：攻击者可能通过不可信的网络对路由的数据流进行泄露、修 改或者插入数据包的攻击行为。 0074 在这里需要对该ST中的威胁做一下预处理，原因是ST中所分析的出的威胁描述 不符合威胁知识库中的威胁命名和定义。处理后威胁被拆分和组合如下： 0075 T.Information Leakage：数据流中的数据包被泄露； 0076 T.Replay：重放攻击，即攻击者利用中间人的攻击手段监听或修改数据流。

30、； 0077 T.UnauthorizedAccess：攻击者获取系统权限并修改系统的配置。 0078 T.Unauthorized Data Change：数据流中的数据包被篡改或者插入数据。 0079 然后根据上面调整过的威胁和威胁与安全功能组件的对应关系，将威胁输入系统 可以初步的选出安全功能组件集合。 0080 然后选择安全需求等级，如果对等级的描述不够熟悉可以到等级知识展示页面查 看等级的具体描述。在本实验中，根据IPSec路由器的使用环境，从安全需求的角度出发， 选择Level 3作为选择的安全需求等级。 0081 进而根据这些安全功能组件和给定的等级Level 3，并设定筛选算法。

31、中的各个参 数值，从而可以得到推荐出来的安全组件集合附表5。 0082 附表5实例中等级推荐的安全功能组件集合 0083 编号 组件 编号 组件 1 FCS_CKM.1 10 FIA_UAU.4 说 明 书CN 102799816 A 13 12/12页 14 2 FCS_CKM.2 11 FIA_UAU.5 3 FCS_COP.1 12 FIA_UAU.6 4 FTP_ITC.1 13 FIA_UAU.7 5 FCO_NRO.2 14 FCS_CKM.4 6 FDP_UIT.1 15 FDP_UCT.1 7 FIA_UID.2 16 FDP_IFC.1 8 FIA_UAU.2 17 FDP_IFF.1 9 FIA_SOS.1 18 FPT_TST.1 说 明 书CN 102799816 A 14 1/1页 15 图1 说 明 书 附 图CN 102799816 A 15 。