中科院需求工程 B7程（第五讲）面向角色和意图的方法.ppt

需 求 工 程,金芝中国科学院数学与系统科学研究院,第五讲：面向主体和意图的方法,概述建模元素建模过程案例进一步发展,面向主体和意图的方法（i*）,什么是主体,广义上说,任何能够感知环境变化,并对环境进行作用的实体均可看作主体软件主体是一段自含的程序模块,它能够根据环境监测的结果,控制自身的决策和动作,以追求某种目标具有一定程度的独立性和自主性,具有自己的目标和愿望,以及目标实现的知识,主体与对象的关系,是对象技术的发展和延伸在环境变化时,能够表现出一定的灵活性、自主性和适应性，能够实施反应性和预动性的行为主体受自身的目标驱动，对象受外部的消息驱动可以因如涉及如合作、竞争、协商等较高抽象层次的概念，以便分析具有知识、信念、期望、意图等表达主观意识的内涵,背景,背景：90年代前期，“怎么样”和“为什么”的问题方法提出的动机为询问为什么型的问题提供线索和结构对信息系统组织层次的上下文关系建模以表示“有目的的参与者Actor”为基础,汽车保险(传统的需求建模),提供事故信息,通知保险公司,对照索赔政策,确定责任方,确定解决开销,支付赔偿金,提供伤亡信息,鉴定损坏程度,政策条款,需要更深层的理解,车主想要自己的车被修好保险公司想要索赔支付最少车主想要公平地鉴定车需要修理的情况保险代理想要维持好的客户关系,需要更深层的理解,车主想要自己的车被修好保险公司想要索赔支付最少车主希望公平地鉴定车需要修理的情况保险代理想要维持好的客户关系,参与者意图自治性参与者之间的关系,建模元素,策略参与者建模,Strategic Actors带策略和意图的参与者策略参与者包括人和机器为他们之间的复杂关系建模通过分析这些关系，最后得出他们的真正意图,策略参与者,他们关注什么？我想要什么?我怎样实现我想要的?我依靠谁来实现我所想要的?我依靠什么来实现我所想要的?,策略参与者,有目标、信念、能力、承诺相互依赖为了实现目标、执行任务、或者丰富资源半自治的不是全部可知和可控的自由采取行为,但受到与他人的关系的约束拥有指导行动的知识,但仅有部分知识是显式的,策略依赖模型（SD）,行为者A,I want,Strategic Dependency Model,参与者依赖分析,一个参与者想要其他参与者实现什么目标？一个参与者想要其他参与者执行什么任务？一个参与者想要其他参与者提供什么资源？,目标依赖,任务依赖,资源依赖,参与者间的依赖关系,目标依赖：一个参与者依赖另一个参与者以达到一个目标软目标是没有明确定义的目标资源依赖：一个参与者依赖另一个参与者以获得资源任务依赖：一个参与者依赖另一个参与者以执行一个任务,对依赖的建模,对依赖的建模依赖者（Depender）被依赖者（Dependee）依赖物（Dependum）依赖的类型目标依赖：依赖者要依靠被依赖者去使能某种状态，被依赖者可以自由选择怎么做任务依赖：依赖者依靠被依赖者执行某个活动，明确规定任务如何进行，而不告之为什么资源依赖：依赖者依靠被依赖者提供一个实体，使之可用。通过建立资源依赖，依赖者获得将此实体作为资源的能力软目标依赖：对目标依赖是否满足无法事先给出明确定义,对依赖的建模,依赖的强度及其意义强度的意义依赖者的角度：依赖程度越强则依赖者越弱，需要采用有效的方法来减轻这种脆弱性带来的风险被依赖者的角度：越强的依赖意味着被依赖者要付出越多的努力来提供依赖物强度的级别开放级：依赖不成功，在一定程度上影响依赖者的目标，承诺级：依赖不成功，依赖者的目标会受很大影响。如果依赖物无法实现会使一些计划动作失败关键级：依赖不成功，依赖者的目标会被严重影响。如果依赖物无法实现，可能使依赖者的所有动作失败,策略依赖模型的关注点,分析谁依赖谁为什么依赖是直接依赖还是间接依赖通过依赖模型，探究每个参与者与其它参与者形成依赖网络，实现自身期望的机会通过追踪依赖关系链分析社交网络中的薄弱环节,策略推理模型（SR）,Strategic Rationale Model建模关注点：参与者内部的各实体之间的结构分析关注点：在策略和意图层次上，对可能的候选方案进行分析,策略推理模型特征,结构：有向图四类节点：目标、任务、资源、软目标三类链接关系：手段-目标：链接目标和实现该目标的任务任务分解：链接任务与该任务的子节点（可以是目标、任务、资源和软目标）贡献：指向软目标的链接每个参与者有自己的策略推理结构当推理超出参与者自身的能力范围时，这些内部链接延伸为策略依赖模型中的依赖关系,SR中主要链接关系类型,SR中贡献关系,I*元模型,基于策略主体的需求建模,建模的意义,基于意图关系对组织环境进行建模，与多数现有基于实体和活动的建模框架相比，提供了更丰富的环境建模机制。策略依赖模型不仅能表示参与者不同的自由度，还可以表示策略及意图层次上的不同关注点。对参与者内部决策推理结构的分析和建模有助于理解为什么系统以某种方式嵌入在一个组织中。支持分析预期系统和与参与者策略相关的组织结构。通过分析参与者（包括系统）之间的相互依赖关系，可以分析参与者成功机会和脆弱性。,建模过程,问题领域涉及到谁?,这些参与者之间如何关联起来?,为什么涉及到这个参与者?他的目标和任务是什么?,识别参与者,识别依赖关系,识别替代方案,目标/任务求精，识别策略推理关系,组织进化,存在其它方案吗?,参与者是什么?,人、组织、某种软件、等等。特征：具有信念、目标（想要的东西）、意图存在的、自治的、灵活的（可变通的）、社会的大致上的分类：人或者组织不能被规定的，只能被部分描述的软件是可以完全说明的,为什么要考虑人和组织？,根本原因：人和组织的目标导致了软件需求，同时也会影响软件系统的设计其它方法中目标的作用：OOA中人和组织参与者的作用用例KAOS方法中参与者的作用,汽车保险(传统需求建模),提供事故信息,通知保险公司,对照索赔政策,确定责任方,确定解决开销,支付赔偿金,提供伤亡信息,鉴定损坏程度,政策条款,汽车保险：识别参与者,提供事故信息,通知保险公司,对照索赔政策,确定责任方,确定解决开销,支付赔偿金,提供伤亡信息,鉴定损坏程度,索赔人,保险代理,保险公司,医生,伤亡方,鉴定人,政策条款,汽车保险：识别参与者,提供事故信息,通知保险公司,对照索赔政策,确定责任方,确定解决开销,支付赔偿金,提供伤亡信息,鉴定损坏程度,政策条款,保险代理,保险公司,索赔人,伤亡方,医生,鉴定评估人,汽车保险：识别参与者,提供事故信息,通知保险公司,对照索赔政策,确定责任方,确定解决开销,支付赔偿金,提供伤亡信息,鉴定损坏程度,政策条款,保险代理,保险公司,汽车修理厂,索赔人,伤亡方,医生,鉴定评估人,I Want and I Can,索赔者：我想得到应有的赔偿我希望我的车能被修好我希望有公正的评估.汽车修理厂我能修好车我希望能维持好的业务关系我希望得到应有的报酬,策略依赖模型,保险公司,信念、目标、意图,现有的方案,策略推理模型,策略分析,依据现有的SR模型，分析参与者是否胜任是否存在更好的更可行的任务、目标、资源等的分配方式重新分配目标、任务和资源导致新的策略依赖模型,策略推理模型(可能的改进),策略依赖模型(改进后),策略依赖模型(改进后),策略推理模型,构造当前的策略依据模型(当前的信念,能力,意图)探索对其中策略的改进方法(改进基于的信念,能力,意图)评估各种改进方案,并从中选择可采用的方案,方案设置过程,初始化：识别参与者和各自的目标步骤：对每个目标采纳它将它代理给一个存在的参与者将它代理给一个新的参与者将它分解为新的子目标否定这个目标终止条件：所有初始目标都已经被实现(假设所有的参与者都能够保证完成自己的承诺).,与功能分解的不同之处,目标求精扩展了功能分解技术,它开发了不同的选择参与者依赖图扩展了对象交互图,因为依赖是意图上,需要被监控的,可能会被抛弃的,能在设计时或者运行时建立的一般情况下,参与者的结构是开放和动态的,可以通过协商、中介等机制来进化的设计时和运行时的区分比较模糊，同样系统和环境的区分也是如此,为什么好(不是任何情况下都这样),传统的方法，目标和软目标要在需求工程后期之前操作化。这意味着对一个目标的解决方案要早于软件设计被冻结，设计者必须在这个解决方案的约束下进行开发工作这种情况不利于系统的操作环境包括涉众总在变化的情况也不适合于软件需要满足很多不同文化、不同教育背景、或者具有特殊需要的用户,案例一：软件开发过程,参与者,Why问题可以导出各个参与者的动机、目标和所关心的事情,想要的和能提供的,参与者依赖模型,组织的脆弱性(相互依赖),组织的脆弱性(目标协同和冲突),案例二：课程考试安排,参与者,参与者的目标和任务,参与者目标任务分解,参与者依赖关系,实例规模,任务之间的时态联系,基于i*的安全需求工程初探,Actor Identification,Goal/Task Identification,Dependency Identification,Attacker Identification,Malicious Intent Identification,Vulnerability Analysis,Attacking Measure Identification,Countermeasure Identification,normal requirements analysis process with i*,Security requirements analysis process with i*,Actor Identification,Who is involved in the system?-Actors:Roles,Positions,Agents.-Actor Association links,Goal/Task Identification,What does the actor want to achieve?How to achieve them?-Goals,Softgoals,Tasks,and their relationships(means-ends,decomposition,contribution,and correlation),Dependency Identification,How do actors relate to each other?Social Dependencies,攻击者识别,Setting an Outer Trust BoundarySetting an inner Trust Boundaryall actors between the two boundaries are assumed“guilty until proven innocent”.,Outer boundary(e.g.Internet),Inner boundary(e.g.a department of organization),Trust Everyone,Suspect Everyone,Actors are assumed guilty until proven innocentAny one of the actors identified can be a potential attackerThe attacker inherits the intention,capabilities and social relations of the corresponding legitimate actorExternal attackers can also be considered,攻击者分析,恶意意图识别,What may motivate an actor to attack the system?,Illicit usage of legitimate resources and capabilities to fulfill malicious goals,脆弱点分析,Depender is vulnerable to dependee.Vulnerability is transitive through dependency network.,攻击方式识别,What are the general types of attacks?,对抗方式识别,Attackers motivation+Capability+System vulnerability successful attack,获得支持安全性的功能需求,Use high efficient networkDaily refresh medical instructionAuto-recover mechanismTransmit in encrypted formatRequire use authorization information passingUser authentification mechanism,进一步的工作,从I*到形式化Tropos,I*模型的正确性和有效性验证,I*模型重写为一种形式化的规格说明：Formal Tropos,Alloy采用形式化的验证技术（模型验证、定理证明），验证特定的性质是否满足，比如：最少特权责任分离,形式化方法：提供,具有坚实精确数学基础的规格说明语言多方面的自动分析平台模型验证一致性/完整性检查模型模拟测试数据生成定理证明,集成形式化方法的好处,辅助系统分析员抽取需求通过展示：不一致的理解、错误和丢失信息。这些事情在非形式的方法中不是很明显提高需求规格说明形式的表达能力可以在更丰富的本体中捕获领域和需求模型：主体、目标、信念、依赖、优先级、但不是为了证明规格说明的正确性,形式化Tropos,目的在形式化方法（比如，时态逻辑）和非形式的需求工程语言（比如，I*）之间架起一座桥梁为早期需求规格说明提供实际的、具有好的性能价格比的、自动的分析,Tropos建模元素,从I*到形式化Tropos,从I*到形式化Tropos,I*曾经被用于,小结,说明性模型与描述性模型：说明性模型要求参与者将根据规格说明行为描述性模型允许对参与者的行为进行推理和分析完整性和一致性：不要求严格的完整和一致过程的概念：过程体现为参与者的依赖关系网参与者的概念：捕获具有意图、目标、信念并采取步骤追寻自身利益的实体,