کد مقاله کد نشریه سال انتشار مقاله انگلیسی نسخه تمام متن
6948026 1450733 2018 18 صفحه PDF دانلود رایگان
عنوان انگلیسی مقاله ISI
Modeling Security and Privacy Requirements: a Use Case-Driven Approach
ترجمه فارسی عنوان
الزامات امنیت و حفظ حریم خصوصی: استفاده از رویکرد مبتنی بر مورد استفاده
ترجمه چکیده
زمینه: خدمات مبتنی بر اینترنت مدرن، اعم از تحویل غذا به مراقبت از خانه، امکان دسترسی به دستگاه های قابل برنامه ریزی چندگانه برای ارائه خدمات دستی مناسب به نیازهای کاربر نهایی. این خدمات از طریق اکوسیستم اجزای نرم افزاری و رابط های خاص دستگاه (مانند برنامه های کاربردی تلفن همراه و پوشیدنی) ارائه می شوند. از آنجایی که اغلب اطلاعات خصوصی (مانند موقعیت مکانی و وضعیت سلامتی) را اداره می کنند، نیازهای امنیتی و حفظ حریم خصوصی آنها اهمیت حیاتی دارند. تعریف و تجزیه و تحلیل این الزامات به دلیل انواع مختلفی از اجزای نرم افزاری و دستگاه های ادغام شده در اکوسیستم های نرم افزاری است. هر جزء نرم افزاری ویژگی های خاصی را ارائه می دهد که اغلب در بستر و دستگاه هایی که مولفه ها با آن ارتباط برقرار می کنند بستگی دارد و باید در هنگام رسیدگی به نیازهای امنیتی و حریم خصوصی مورد توجه قرار گیرد. هدف: در این مقاله ما پیشنهاد، کاربرد و ارزیابی یک روش مدل سازی که از مشخصه های مورد نیاز امنیتی و حفظ حریم خصوصی در یک فرم ساختاری و تجزیه و تحلیل است را پشتیبانی می کند. انگیزه ما این است که در بسیاری از زمینه ها موارد استفاده از روش های معمول برای ایجاد الزامات عملکردی است و همچنین باید برای توصیف نیازهای امنیتی سازگار باشد. روش: ما یک رویکرد موجود را برای مدل سازی شرایط امنیتی و حفظ حریم خصوصی از لحاظ تهدیدات امنیتی، رفع آنها و روابط آنها برای استفاده از موارد در یک نمودار مورد سوء استفاده قرار می دهیم. ما الگوهای جدید مربوط به امنیت را معرفی می کنیم، به عنوان مثال، یک قالب کاهش و قالب مورد سوء استفاده برای مشخص کردن طرح های کاهش و مشخصات مورد سوء استفاده در روش ساخت یافته و تجزیه و تحلیل. سپس پردازش زبان طبیعی می تواند به صورت خودکار گزارش عدم تناسب در بین مصنوعات و بین قالب ها و مشخصات. نتایج: ما با موفقیت از رویکرد ما به یک پروژه بهداشتی صنعتی استفاده کردیم و درس های آموخته شده و نتایج مصاحبه های ساخت یافته با مهندسین را گزارش می دهیم. نتیجه گیری: از آنجا که رویکرد ما از مشخصات دقیق و تجزیه و تحلیل تهدیدات امنیتی، سناریوهای تهدید و رفع آنها پشتیبانی می کند، همچنین از تصمیم گیری و تجزیه و تحلیل سازگاری با استانداردها پشتیبانی می کند.
موضوعات مرتبط
مهندسی و علوم پایه مهندسی کامپیوتر تعامل انسان و کامپیوتر
پیش نمایش مقاله
الزامات امنیت و حفظ حریم خصوصی: استفاده از رویکرد مبتنی بر مورد استفاده
چکیده انگلیسی
Context: Modern internet-based services, ranging from food-delivery to home-caring, leverage the availability of multiple programmable devices to provide handy services tailored to end-user needs. These services are delivered through an ecosystem of device-specific software components and interfaces (e.g., mobile and wearable device applications). Since they often handle private information (e.g., location and health status), their security and privacy requirements are of crucial importance. Defining and analyzing those requirements is a significant challenge due to the multiple types of software components and devices integrated into software ecosystems. Each software component presents peculiarities that often depend on the context and the devices the component interact with, and that must be considered when dealing with security and privacy requirements. Objective: In this paper, we propose, apply, and assess a modeling method that supports the specification of security and privacy requirements in a structured and analyzable form. Our motivation is that, in many contexts, use cases are common practice for the elicitation of functional requirements and should also be adapted for describing security requirements. Method: We integrate an existing approach for modeling security and privacy requirements in terms of security threats, their mitigations, and their relations to use cases in a misuse case diagram. We introduce new security-related templates, i.e., a mitigation template and a misuse case template for specifying mitigation schemes and misuse case specifications in a structured and analyzable manner. Natural language processing can then be used to automatically report inconsistencies among artifacts and between the templates and specifications. Results: We successfully applied our approach to an industrial healthcare project and report lessons learned and results from structured interviews with engineers. Conclusion: Since our approach supports the precise specification and analysis of security threats, threat scenarios and their mitigations, it also supports decision making and the analysis of compliance to standards.
ناشر
Database: Elsevier - ScienceDirect (ساینس دایرکت)
Journal: Information and Software Technology - Volume 100, August 2018, Pages 165-182
نویسندگان
, , , , , ,