UML安全系统开发

商家名称	信用等级	购买信息	订购本书
		UML安全系统开发
		UML安全系统开发

基本信息·出版社：清华大学出版社
·页码：236 页
·出版日期：2009年07月
·ISBN：7302198780/9787302198789
·条形码：9787302198789
·版本：第1版
·装帧：平装
·开本：16
·正文语种：中文
·丛书名：国外经典教材·计算机科学与技术
·外文书名：Secure Sytems Development with UML

内容简介 《UML安全系统开发》系统地介绍了通过扩展可视化UML建模语言所建立的安全工程方法——UMLsec方法，以及它在安全软件开发过程中的实际应用，目标是使得开发人员可以把安全集成到软件工程过程的每一个阶段中。《UML安全系统开发》首先阐述了UMLsec方法及其语义，接着论述了UMLsec如何描述系统的安全需求与假设，如何引用精确的语义评估系统规范与安会需求的一致性，如何实施安全系统设计原则和应用安全模式等，并通过大量实例说明了用UMLsec开发安全系统的基本步骤，然后介绍了UMLsec支持工具的开发和使用，最后还为高级专业人员引入了UML机、UML机系统和安全属性的形式定义，方便他们规范和验证安全系统。
编辑推荐 《UML安全系统开发》特色：《UML安全系统开发》不仅可以供信息安全和相关专业高年级本科生、硕士生或博士生选作教材或参考教材，还可以供计算机和网络信息系统安全设计和开发的专业人士或相关人士参考使用。《UML安全系统开发》通过采用已经广泛应用的、通用的、标准统一建模语言UML，将安全特性自然地融入到软件设计过程之中，形成UMLsec方法。UMLsec方法不同于传统“渗透测试和打补丁”或“形式化规范和验证”方法，它采用可视化的UML建模语言，从不同的视角描述系统的不同侧面，并通过扩展了语义的UML规范、求精、验证过程，使得开发人员可以把安全集成到软件工程过程的每一个阶段。全书概念清楚。结构合理、逻辑严谨、体系完整、实用性强，是学习和实践安全软件工程方法的一本好书。
《UML安全系统开发》具有如下特点：
◆基于UML扩展语义的安全工程方法
◆提供了大量的实例分析
◆介绍了支持工具的开发
◆汇集了作者多年来的研究成果和教学成果
过程感知的信息系统
软件测试：跨越整个软件开发生命周期
软件测试实践：成为一个高效能的测试专家
机器视觉算法与应用
数值方法（C++描述）
Web技术
目录
第一部分 开场白
第1章 简介
1.1 对安全的需求
1.2 问题
1.3 原因
1.4 传统方法
1.5 基于模型的UML安全工程
1.6 概览
1.6.1 UMLsec扩展
1.6.2 应用
1.6.3 工具支持
1.7 纲要
1.8 怎样使用本书
第2章 UML构建安全概览
2.1 使用用例图获取安全需求
2.2 使用活动图的安全交易过程
2.3 使用部署图的物理安全
2.4 使用顺序图的安全交互过程
2.5 使用状态图的安全状态
第3章 背景知识
3.1 安全工程
3.2 统一建模语言
3.2.1 用例图
3.2.2 类图
3.2.3 状态图
3.2.4 顺序图
3.2.5 活动图
3.2.6 部署图
3.2.7 子系统
3.2.8 UML扩展机制
3.3 UML模型分析
3.3.1 UML表示
3.3.2 形式语义概要
3.3.3 密码学建模
3.3.4 UML图的安全分析
3.3.5 重要的安全属性

第二部分 开发安全系统
第4章 基于模型的UML安全工程
4.1 UMLsec模板
4.1.1 开发安全关键系统的UML扩展的需求
4.1.2 扩展
4.1.3 表达需求
4.2 安全系统设计原则
4.3 应用安全模式
4.4 参考文献注解
4.5 结论
第5章 应用实例
5.1 安全信道
5.2 网络协议TLS的一个变种协议
5.3 通用电子钱包规范
5.3.1 支付业务
5.3.2 充值业务
5.4 开发安全的Java程序
5.4.1 Java的访问控制
5.4.2 设计过程
5.4.3 例子：商务应用系统
5.5 更多应用
5.5.1 银行应用系统的建模与验证
5.5.2 生物特征认证系统
5.5.3 机动车应急应用系统
5.5.4 德国电子健康卡
5.5.5 啤酒节电子钱包
5.5.6 保险公司的电子签名体系
5.6 参考文献注解
5.7 结论

第三部分 工具支持
第6章 UMLsec的工具支持
6.1 用分析工具扩展UML用例工具
6.1.1 元对象工具MOF(Meta-Object Facility)
6.1.2 用元数据仓库MDR实现基于XML的数据绑定
6.2 UMLsec自动化工具
6.2.1 工具的功能
6.2.2 实现细节
6.2.3 模型检测UMLsec规范
6.2.4 自动化定理证明
6.2.5 产生基于Prolog的攻击
6.3 运行时数据的连接模型：SAPR／3权限
6.3.1 安全规则的自动化分析
6.3.2 实例数据
6.3.3 评估规则
6.4 将模型与代码连接起来
6.4.1 测试序列的生成
6.4.2 代码生成与代码分析
6.5 参考文献注解
6.6 结论
第7章 形式化基础
7.1 UML状态机
7.2 UML状态机系统
7.3 求精
7.4 信任-保证规范
7.5 推理安全性质
7.5.1 求精
7.5.2 机密性
7.5.3 完整性
7.5.4 真实性
7.5.5 新鲜性
7.5.6 安全信息流
7.6 参考文献注解
7.7 结论
第8章 使用UML的形式化系统开发
8.1 UML片段形式语义
8.1.1 一般概念
8.1.2 类图
8.1.3 状态图
8.1.4 序列图
8.1.5 活动图
8.1.6 部署图
8.1.7 子系统
8.2 使用UML开发
8.2.1 求精
8.2.2 信任-保证规范
8.2.3 在UML中推理安全性质
8.3 参考文献注解
8.4 结论

第四部分 尾声
第9章 其他相关研究
9.1 更多关于UMLsec方法的资料
9.2 其他的安全工程方法
9.2.1 软件工程与安全性
9.2.2 UML的其他使用方法
9.2.3 应用于安全领域的形式化方法
9.2.4 其他非功能性需求
第10章 展望

第五部分 附录
附录A 面向UML 2.0
附录B UML状态机规则的语义
附录C 证明
C.1 UML状态机
C.2 求精
C.3 信任-保证规范
C.4 安全性质的推理
C.5 用UML进行形式化系统开发
C.6 可靠信道
C.7 Internet TLS协议的一个变种
C.8 通用电子钱包规范
C.8.1 支付业务
C.8.2 充值业务
参考文献
……
序言 安全是现代软件系统不可缺少的一部分，但目前的软件系统建模时很少涉及安全，系统安全策略和安全机制往往作为开发人员在系统开发后期对系统的补充和完善的措施。这种不规范的安全需求处理方法为系统后期安全维护及系统之间的集成带来莫大隐患。如果在系统开发的早期阶段就考虑安全需求，可以发现潜在的安全问题，及早地消除系统安全隐患。人们曾通过研究形式化方法与证明来保障早期安全机制设计的安全性，但是完全证明一个系统的安全性是不现实的，而且由于软件开发者并不希望为此专门学习形式化方法，原因是缺乏足够的时间和训练。所以人们希望使用那些在业界软件开发中逐渐形成的经典方法：它不仅很容易学会和使用，而且可以在开发的每一个阶段，从需求到设计、实现、测试和部署都能考虑安全。由Jan Jürjens所著的这本书就是这样一本好书。
本书通过采用已经广泛适用的、通用的、标准统一建模语言UML，将安全特性很自然地融入整个系统设计过程之中，扩展为UMLsec方法。UMLsec提供一种不同于传统“渗透测试和打补丁”或“形式化规范和验证”的方法，它采用可视化的UML建模语言，从不同的视角描述系统的不同侧面，并通过一些扩展语义的UML规范、求精、验证过程，使得即使不是安全专家的开发人员也可以把安全集成到软件工程过程的每一个阶段。全书系统和详细地阐述了UMLsec的方法和语义，并且提供了说明方法有效性的实例分析，以及支持UMLsec的验证工具及其开发方法等，是学习、研究和实践安全软件工程方法的一本好书。
纵览全书，不难发现，本书汇集了作者大量的研究成果和教学成果，它既是一部优秀的专著，也是一部很好的教材。本书涵盖了作者与德国银行、汽车制造商、电信公司等多家企业合作项目的成果，以及他在牛津大学和慕尼黑工业大学的教学成果。
参与本书翻译和校对的是沈晴霓博士和季庆光博士。本书的翻译工作自始至终都得到了中科院软件所研究员、北京大学软件与微电子学院信息安全系主任、国内外信息安全专家卿斯汉教授的大力支持，并且卿老师在百忙之中帮助审校了译稿，特此致谢。同时，在本书初稿的翻译过程中，硕士生李岩、阮安邦、翟恩南、张亚航、韩啸等同学做了许多有益的工作，在此也向他们表示感谢。
文摘 插图：


第三部分 工具支持
第6章 UMLsec的工具支持
正如前几章所述，为了更好地进行实践，拥有一个优秀的工具支持十分必要。本章将介绍相关背景，以及在开发支持UMLsec的工具过程中获得的一些成果。所开发工具可以用来自动检测UMLsec构造型相关的约束，这是基于所用UML画图工具的输出图XMI来完成的。本章还将描述对UMLsec构造型相关约束实现验证的一种框架，其目标是使UMLsec方法的高级用户对自定义构造型的约束实现验证。
此外，我们将研究如何将UMLsec方法与系统运行时对关键安全数据的自动化分析相结合。特别是，研究如何构造一种工具，它可以自动检测SAPR/3配置是否满足用UML形式化规范的安全策略规则。由于这种工具具备模块化的体系结构与标准化的接口，也适合用来检测其他应用软件中的安全约束，例如防火墙或其他访问控制配置等。
最后，我们将给出从UML模型到实现的一些方法。目的是确保基于系统层面的模型化方法所带来的好处可以真正如期地用于被实现的系统中。

查看更多 下一篇