资源描述
需需 求求 工工 程程金芝中国科学院数学与系统科学研究院第五讲:面向主体和意图的方法第五讲:面向主体和意图的方法概述建模元素建模过程案例进一步发展面向主体和意图的方法(面向主体和意图的方法(i*)什么是主体什么是主体广义上说,任何能够感知环境变化,并对环境进行作用的实体均可看作主体软件主体是一段自含的程序模块,它能够根据环境监测的结果,控制自身的决策和动作,以追求某种目标具有一定程度的独立性和自主性,具有自己的目标和愿望,以及目标实现的知识主体与对象的关系主体与对象的关系是对象技术的发展和延伸在环境变化时,能够表现出一定的灵活性、自主性和适应性,能够实施反应性和预动性的行为主体受自身的目标驱动,对象受外部的消息驱动可以因如涉及如合作、竞争、协商等较高抽象层次的概念,以便分析具有知识、信念、期望、意图等表达主观意识的内涵背景背景背景:90年代前期,“怎么样”和“为什么”的问题方法提出的动机为询问为什么型的问题提供线索和结构对信息系统组织层次的上下文关系建模以表示“有目的的参与者Actor”为基础汽车保险汽车保险(传统的需求建模传统的需求建模)提供事提供事故信息故信息通知保通知保险公司险公司对照索对照索赔政策赔政策确定确定责任方责任方确定解确定解决开销决开销支付支付赔偿金赔偿金提供伤提供伤亡信息亡信息鉴定损鉴定损坏程度坏程度政策条款政策条款需要更深层的理解需要更深层的理解车主想要自己的车被修好保险公司想要索赔支付最少车主想要公平地鉴定车需要修理的情况保险代理想要维持好的客户关系需要更深层的理解需要更深层的理解车主车主想要自己的车被修好保险公司保险公司想要索赔支付最少车主车主希望公平地鉴定车需要修理的情况保险代理保险代理想要维持好的客户关系参与者意图自治性参与者之间的关系建模元素建模元素策略参与者建模策略参与者建模Strategic Actors带策略和意图的参与者策略参与者包括人和机器为他们之间的复杂关系建模通过分析这些关系,最后得出他们的真正意图策略参与者策略参与者他们关注什么?我想要什么?我怎样实现我想要的?我依靠谁来实现我所想要的?我依靠什么来实现我所想要的?策略参与者策略参与者有目标、信念、能力、承诺相互依赖为了实现目标、执行任务、或者丰富资源半自治的不是全部可知和可控的自由采取行为,但受到与他人的关系的约束拥有指导行动的知识,但仅有部分知识是显式的策略依赖模型(策略依赖模型(SD)行为者行为者AI want 行为者行为者BI can DD 车被修理车被修理Strategic Dependency ModelStrategic Dependency Model参与者依赖分析参与者依赖分析一个参与者想要其他参与者实现什么目标?一个参与者想要其他参与者执行什么任务?一个参与者想要其他参与者提供什么资源?目标依赖目标依赖目标依赖目标依赖任务依赖任务依赖任务依赖任务依赖资源依赖资源依赖资源依赖资源依赖参与者间的依赖关系参与者间的依赖关系目标依赖:一个参与者依赖另一个参与者以达到一个目标软目标是没有明确定义的目标资源依赖:一个参与者依赖另一个参与者以获得资源任务依赖:一个参与者依赖另一个参与者以执行一个任务对依赖的建模对依赖的建模对依赖的建模依赖者(Depender)被依赖者(Dependee)依赖物(Dependum)依赖的类型目标依赖:依赖者要依靠被依赖者去使能某种状态,被依赖者可以自由选择怎么做任务依赖:依赖者依靠被依赖者执行某个活动,明确规定任务如何进行,而不告之为什么资源依赖:依赖者依靠被依赖者提供一个实体,使之可用。通过建立资源依赖,依赖者获得将此实体作为资源的能力软目标依赖:对目标依赖是否满足无法事先给出明确定义对依赖的建模对依赖的建模依赖的强度及其意义强度的意义依赖者的角度:依赖程度越强则依赖者越弱,需要采用有效的方法来减轻这种脆弱性带来的风险被依赖者的角度:越强的依赖意味着被依赖者要付出越多的努力来提供依赖物强度的级别开放级:依赖不成功,在一定程度上影响依赖者的目标,承诺级:依赖不成功,依赖者的目标会受很大影响。如果依赖物无法实现会使一些计划动作失败关键级:依赖不成功,依赖者的目标会被严重影响。如果依赖物无法实现,可能使依赖者的所有动作失败策略依赖模型的关注点策略依赖模型的关注点分析谁依赖谁为什么依赖是直接依赖还是间接依赖通过依赖模型,探究每个参与者与其它参与者形成依赖网络,实现自身期望的机会通过追踪依赖关系链分析社交网络中的薄弱环节策略推理模型(策略推理模型(SR)Strategic Rationale Model建模关注点:参与者内部的各实体之间的结构分析关注点:在策略和意图层次上,对可能的候选方案进行分析策略推理模型特征策略推理模型特征结构:有向图四类节点:目标、任务、资源、软目标三类链接关系:手段-目标:链接目标和实现该目标的任务任务分解:链接任务与该任务的子节点(可以是目标、任务、资源和软目标)贡献:指向软目标的链接每个参与者有自己的策略推理结构当推理超出参与者自身的能力范围时,这些内部链接延伸为策略依赖模型中的依赖关系SR中主要链接关系类型中主要链接关系类型SR中贡献关系中贡献关系I*元模型元模型基于策略主体的需求建模基于策略主体的需求建模建模的意义建模的意义基于意图关系对组织环境进行建模,与多数现有基于实体和活动的建模框架相比,提供了更丰富的环境建模机制。策略依赖模型不仅能表示参与者不同的自由度,还可以表示策略及意图层次上的不同关注点。对参与者内部决策推理结构的分析和建模有助于理解为什么系统以某种方式嵌入在一个组织中。支持分析预期系统和与参与者策略相关的组织结构。通过分析参与者(包括系统)之间的相互依赖关系,可以分析参与者成功机会和脆弱性。建模过程建模过程问题领域涉及到谁?这些参与者之间如何关联起来?为什么涉及到这个参与者?他的目标和任务是什么?识别参与者识别依赖关系识别替代方案目标/任务求精,识别策略推理关系组织进化存在其它方案吗?参与者是什么参与者是什么?人、组织、某种软件、等等。特征:具有信念、目标(想要的东西)、意图存在的、自治的、灵活的(可变通的)、社会的大致上的分类:人或者组织不能被规定的,只能被部分描述的软件是可以完全说明的为什么要考虑人和组织?为什么要考虑人和组织?根本原因:人和组织的目标导致了软件需求,同时也会影响软件系统的设计其它方法中目标的作用:OOA中人和组织参与者的作用用例KAOS方法中参与者的作用汽车保险汽车保险(传统需求建模传统需求建模)提供事故信息通知保险公司对照索赔政策确定责任方确定解决开销支付赔偿金提供伤亡信息鉴定损坏程度政策条款汽车保险:识别参与者汽车保险:识别参与者提供事故信息通知保险公司对照索赔政策确定责任方确定解决开销支付赔偿金提供伤亡信息鉴定损坏程度索赔人保险代理保险公司医生伤亡方鉴定人政策条款汽车保险:识别参与者汽车保险:识别参与者提供事故信息通知保险公司对照索赔政策确定责任方确定解决开销支付赔偿金提供伤亡信息鉴定损坏程度政策条款保险代理保险代理保险代理保险代理保险公司保险公司保险公司保险公司索赔人索赔人索赔人索赔人伤亡方伤亡方伤亡方伤亡方医生医生医生医生鉴定评估人鉴定评估人鉴定评估人鉴定评估人汽车保险:识别参与者汽车保险:识别参与者提供事故信息通知保险公司对照索赔政策确定责任方确定解决开销支付赔偿金提供伤亡信息鉴定损坏程度政策条款保险代理保险代理保险代理保险代理保险公司保险公司保险公司保险公司汽车修理厂汽车修理厂汽车修理厂汽车修理厂索赔人索赔人索赔人索赔人伤亡方伤亡方伤亡方伤亡方医生医生医生医生鉴定评估人鉴定评估人鉴定评估人鉴定评估人I Want and I Can索赔者:我想得到应有的赔偿我希望我的车能被修好我希望有公正的评估.汽车修理厂我能修好车我希望能维持好的业务关系我希望得到应有的报酬策略依赖模型策略依赖模型保险公司信念、目标、意图现有的方案策略推理模型策略推理模型策略分析策略分析依据现有的SR模型,分析参与者是否胜任是否存在更好的更可行的任务、目标、资源等的分配方式重新分配目标、任务和资源导致新的策略依赖模型策略推理模型策略推理模型(可能的改进可能的改进)策略依赖模型策略依赖模型(改进后改进后)策略依赖模型策略依赖模型(改进后改进后)策略推理模型策略推理模型 构造当前的策略依据模型构造当前的策略依据模型构造当前的策略依据模型构造当前的策略依据模型(当前的信念当前的信念当前的信念当前的信念,能力能力能力能力,意图意图意图意图)探索对其中策略的改进方探索对其中策略的改进方探索对其中策略的改进方探索对其中策略的改进方法法法法(改进基于的信念改进基于的信念改进基于的信念改进基于的信念,能力能力能力能力,意图意图意图意图)评估各种改进方案评估各种改进方案评估各种改进方案评估各种改进方案,并从中并从中并从中并从中选择可采用的方案选择可采用的方案选择可采用的方案选择可采用的方案方案设置过程方案设置过程初始化:识别参与者和各自的目标步骤:对每个目标采纳它将它代理给一个存在的参与者将它代理给一个新的参与者将它分解为新的子目标否定这个目标终止条件:所有初始目标都已经被实现(假设所有的参与者都能够保证完成自己的承诺).与功能分解的不同之处与功能分解的不同之处目标求精扩展了功能分解技术,它开发了不同的选择参与者依赖图扩展了对象交互图,因为依赖是意图上,需要被监控的,可能会被抛弃的,能在设计时或者运行时建立的一般情况下,参与者的结构是开放和动态的,可以通过协商、中介等机制来进化的设计时和运行时的区分比较模糊,同样系统和环境的区分也是如此为什么好为什么好(不是任何情况下都这不是任何情况下都这样样)传统的方法,目标和软目标要在需求工程后期之前操作化。这意味着对一个目标的解决方案要早于软件设计被冻结,设计者必须在这个解决方案的约束下进行开发工作这种情况不利于系统的操作环境包括涉众总在变化的情况也不适合于软件需要满足很多不同文化、不同教育背景、或者具有特殊需要的用户案例一:软件开发过程参与者参与者Why问题可以导出各个参与者的动机、目标和所关心的事情想要的和能提供的想要的和能提供的参与者依赖模型参与者依赖模型组织的脆弱性组织的脆弱性(相互依赖相互依赖)组织的脆弱性组织的脆弱性(目标协同和冲突目标协同和冲突)案例二:课程考试安排参与者参与者参与者的目标和任务参与者的目标和任务参与者目标任务分解参与者目标任务分解参与者依赖关系参与者依赖关系实例规模实例规模任务之间的时态联系任务之间的时态联系基于i*的安全需求工程初探Actor IdentificationGoal/Task IdentificationDependency IdentificationAttacker IdentificationMalicious Intent IdentificationVulnerability AnalysisAttacking Measure IdentificationCountermeasure Identificationnormal requirements analysis process with i*Security requirements analysis process with i*Actor IdentificationWho is involved in the system?Who is involved in the system?-Actors:Roles,Positions,Agents.-Actors:Roles,Positions,Agents.-Actor Association links-Actor Association links Goal/Task IdentificationWhat does the actor want to What does the actor want to achieve?How to achieve them?achieve?How to achieve them?-Goals,Softgoals,Tasks,and their relationships(means-ends,decomposition,contribution,and correlation)Dependency IdentificationHow do actors relate to each How do actors relate to each other?other?Social Dependencies Social Dependencies攻击者识别攻击者识别Setting an Outer Trust BoundarySetting an Outer Trust BoundarySetting an inner Trust BoundarySetting an inner Trust Boundaryall actors between the two boundaries are all actors between the two boundaries are assumed“guilty until proven innocent”.assumed“guilty until proven innocent”.Outer boundary(e.g.Internet)Inner boundary(e.g.a department of organization)Trust EveryoneSuspect EveryoneActors are assumed guilty until proven innocentAny one of the actors identified can be a potential attackerThe attacker inherits the intention,capabilities and social relations of the corresponding legitimate actorExternal attackers can also be considered攻击者分析攻击者分析malicious goalsmalicious goalslegitimate resources legitimate resources and capabilitiesand capabilities恶意意图识别恶意意图识别What may motivate What may motivate an actor to attack an actor to attack the system?the system?Illicit usage of Illicit usage of legitimate legitimate resources and resources and capabilities to capabilities to fulfill malicious fulfill malicious goalsgoals脆弱点分析脆弱点分析DependerDepender is vulnerable to is vulnerable to dependeedependee.Vulnerability is transitive Vulnerability is transitive through dependency network.through dependency network.攻击方式识别攻击方式识别What are the general What are the general types of attacks?types of attacks?对抗方式识别对抗方式识别Attackers motivation+Attackers motivation+Capability+System vulnerability Capability+System vulnerability successful attack successful attack获得支持安全性的功能需求获得支持安全性的功能需求Use high efficient networkDaily refresh medical instructionAuto-recover mechanismTransmit in encrypted formatRequire use authorization information passingUser authentification mechanism进一步的工作进一步的工作从I*到形式化TroposI*I*模型的正确性和有效性验证模型的正确性和有效性验证I*模型重写为一种形式化的规格说明:Formal Tropos,Alloy采用形式化的验证技术(模型验证、定理证明),验证特定的性质是否满足,比如:最少特权责任分离形式化方法:提供形式化方法:提供具有坚实精确数学基础的规格说明语言多方面的自动分析平台模型验证一致性/完整性检查模型模拟测试数据生成定理证明集成形式化方法的好处集成形式化方法的好处辅助系统分析员抽取需求通过展示:不一致的理解、错误和丢失信息。这些事情在非形式的方法中不是很明显提高需求规格说明形式的表达能力可以在更丰富的本体中捕获领域和需求模型:主体、目标、信念、依赖、优先级、但不是为了证明规格说明的正确性形式化形式化TroposTropos目的在形式化方法(比如,时态逻辑)和非形式的需求工程语言(比如,I*)之间架起一座桥梁为早期需求规格说明提供实际的、具有好的性能价格比的、自动的分析TroposTropos建模元素建模元素从从I*I*到形式化到形式化TroposTropos从从I*I*到形式化到形式化TroposTroposI*I*曾经被用于曾经被用于小结小结说明性模型与描述性模型:说明性模型要求参与者将根据规格说明行为描述性模型允许对参与者的行为进行推理和分析完整性和一致性:不要求严格的完整和一致过程的概念:过程体现为参与者的依赖关系网参与者的概念:捕获具有意图、目标、信念并采取步骤追寻自身利益的实体
展开阅读全文