浅谈可信软件体系结构研究
来源:用户上传
作者:
摘要:随着计算机应用的不断发展,软件已渗透到国民经济和国防建设的各个领域,在信息社会中发挥着至关重要的作用。但是,软件产品生产现状仍然不能令人满意,主要体现在软件质量得不到保证。为了解决这个问题,业界提出可信体系结构的概念,目前,可信体系结构发展中还存在一些亟待研究解决的问题:理论研究相对滞后,可信计算的理论研究落后于技术开发。迫切需要研究如下的问题:可信环境的构造与评估;软件系统可信性评价方法。
关键词:可信体系结构;可信环境的构造与评估;可信体系结构的评估方法;信任度;可信计算环境测评
中图分类号:TP311文献标识码:A文章编号:1009-3044(2011)21-5124-02
1 概述
近年来,软件的可信性成为软件质量的焦点,对软件可信性的分析、度量和应用支撑成为热点问题.可信软件是指正确、安全和可靠的软件.目前软件的可靠性和安全性不能令人满意.软件设计缺陷、软件系统被恶意攻击都给计算机系统的正常运行带来了不良的影响.如何在软件的开发和运行中保证软件具有高可信性,已成为软件理论和技术的重要研究方向。
可信软件体系结构的研究。
所谓计算机系统可信性是对系统所提供服务的信任度,应该具有如下属性:
可用性:系统随时可用;
可靠性:系统服务具有连续性;
防危性:不会给环境带来灾难性的后果;
保密性:不会发生非法的信息泄露;
完整性:不会发生不适当修改信息的现象;
可维护性:进行修改和进入正常态的能力, 在上述属性中有时把可用性、完整性和保密性综合考虑统称为安全性。
计算机系统可信性研究已有较长的历史但主要集中在可靠性和安全性研究方面,可靠性研究起步早成果丰富,如计算机系统软件和硬件的可靠性评价模型、提高计算机系统可靠性的容错技术和测试技术等,计算机系统的安全性研究主要表现在恶意软件的入侵防御以及信息保密等环节,对软件系统可信性评价研究主要集中在软件系统可靠性度量方面,采用的方法往往直接使用计算机硬件系统的评价模型如Jlinski和Moranda提出的基于指数失效时间模型。Goel和Okumoto 提出的非齐次泊松过程的软件可靠性模型。然而软件系统中各成分还不能像硬件那样彼此可拆分其耦合度一般比较高所以不能直接根据各个构成元素的可信性评价系统的可信度。
在可信软件技术研究中,建立完善的可信软件的形式化理论体系将为量化、推导和验证软件系统的可信性提供理论基础,建立有效的可信软件工程方法学将为构造高可信的软件系统提供高效的开发技术,而研发功能完备的高可信软件开发和运行支撑平台将为可信软件的开发、运行、以及监测和评估提供技术支持。
2 可信环境的构造与评估
2.1 可信环境的数学理论与信任传递理论
研究支持可信计算的数学模型、形式化模型,构建可信计算的理论体系;研究可信网络计算的形式化模型,形成完整性保护的理论体系;研究信任链的建立与信任的传递机理,重点研究支持信任链建立与扩展的无干扰模型。
2.2 可信计算环境构造机理及方法
研究基于可信硬件层灵活扩展信任边界的体系结构,以及可信计算平台的完整性收集、度量、验证的体系结构和网络连接与认证的体系结构;研究可信计算与虚拟技术结合的新型可信虚拟平台架构,重点探索基于可信平台模块的虚拟平台安全体系结构以及可信平台模块的虚拟化技术;研究可信的安全多方计算环境的构造方法。
2.3 可信计算环境测评
研究适用于可信计算平台的安全评估模型;研究可信平台模块协议检测方法,包括可信计算平台安全功能测试、标准符合性测试、穿透性测试等技术,对认证、授权和平台证明协议的正确性、安全性和性能的验证提供支持。
3 几种软件系统可信性评价方法
3.1 SOA软件系统可信性评价方法
所谓面向服务的软件体系结构(SOA)是一种充分利用Internet技术来满足企业对不断增长的业务运营模式需求的应用框架,该模式需要具有灵活、安全和无逢地处理异构、异质的内、外资源的能力,基于SOA代数模型,讨论如何通过建立SOA的可信范式对SOA可信属性建模。如果一个服务代数表达式中没有出现“活锁”和“死锁”,则称该服务是可信服务,所形成的代数表达式称为协同可信范式.进程代数对可信SOA的建模方法进行研究,通过对传统的进程代数扩展,提出多种服务组合运算,建立SOA的代数模型,并在此基础上研究SOA的可信设计问题,为可信SOA设计提供理论支持。
3.2 协同推荐机制来评估并选取可信软件服务
基于互联网的软件开发模式为构建面向用户日常生活的软件系统提供了极大的便利。开放的、动态的在线开发方式允许具备一定专业知识的软件开发者从网络中自行选取能够满足相应功能需求的软件服务,进行组合、协作,以完成既定的任务网构软件,就是这样一类开放软件系统。它是动态网络环境下分布式系统的一种抽象,以软件构件技术为支撑,通过自主的分布式软件动态组合以及在线演化来构筑,能够满足不同的用户需求。为了保障这类开放软件系统的可靠性,使用户获得较为满意的结果,选择可信组件是首要的步骤。而由于系统集成方和组件开发者角色和利益分离,集成方常常无法通过获得组件的开发源码进行完备测试来度量软件可靠性;并且,当系统无法满足当前用户需求而进行动态的在线演化时,也没有足够的时间可以在进行组件替换之前进行大量的性能测试。协同推荐机制提供了一种相对灵活的软件可靠性评估策略,其基本思想是:考虑到开放环境中可能缺乏完整的信息来确认(verification)软件服务的可靠性,在对目标软件进行可信评估时,可以通过收集大量历史用户的使用信息反馈来验证(validation)其质量。它适用于使用日常应用软件系统的用户,不需要软件能够绝对地按照软件工程的需求规约运行,而是只要“足够好”地满足个性化需求即可,即允许系统在满足功能需求的基础上,在可容忍的范围内达到非功能的需求。基于此思想,已有一些相关工作通过设计合理的协同推荐机制来评估并选取可信软件服务。
3.3 支持软件可信演化软件可信是指软件行为符合用户预期、满足用户的需求
传统的形式化证明、测试等软件可信保证手段均在部署前实施,需要基于对未来运行环境的某些假设。然而,随着软件应用模式的变革,软件的环境不再是封闭静态的,它有可能超出开发阶段的预期。例如,对于具备长生命周期的超大规模软件系统以及许多与物理世界紧耦合的分布式实时嵌入(distributed real-time embedded,简称DRE)系统,很难在开发阶段即对其未来运行环境做出精确预测。 环境是动态变化的,软件需要具备适应能力;对于开发阶段未预期的环境及停机维护代价高昂的系统,这种环境适应能力更需要能够在线调整。我们称以可信为目标的软件演化为可信演化,而环境适应能力的在线调整是可信演化的重要内容。期望软件完全自主地实施这种演化尚不现实,它往往需要维护人员、其他软件实体等第三方的参与,如何在软件工程层面为适应能力在线调整提供使能机制。软件的环境适应能力可细分为感知、决策及执行的能力在感知到环境发生变化后,软件做出相应决策,进而执行方法调用、参数改变或者结构调整等动作。在许多情况下,为了调整软件的适应能力,我们只需对上述过程作部分修改。
3.4 基于反馈的信任形成及决策机制
从网构软件的基本元素“软件服务”出发,借助信任评估的思想来探讨软件的可信性问题的解决途径:在协同方式的层次上,提出一种面向网构软件体系结构的信任驱动的服务选取机制ISAOT 在协同方式上支持服务的动态绑定和选取,在服务的选取上以信任为基础进行决策。ISAOT 基于一类可动态连接软件服务的智能连接子――虚服务工作,提供一个通用的基于ontology 的应用需求及信任演化策略描述规范,用于解决多样化应用需求难以描述的问题,使得连接子可理解动态变化的应用需求,并触发信任演化行为,利用开放协同环境中广泛使用的信任概念及其相关技术,采用一种基于反馈的信任形成及决策机制,并通过一个信任驱动的服务选取算法,促使连接子动态选取最为可信的服务,满足系统的动态需求;以信任为通用的驱动机制,给出了一个面向网构软件体系结构的实现框架。ISAOT 将阐述网构软件随应用需求变化自主选取服务所需的相关原理、模型和方法,展示一个清晰的可信网构软件开发模型,并详细讨论其相关支撑设施的功能与实现机制。
4 结论
总之对软件可信性的进行系统综合的度量评估,在软件设计开发过程中有效地跟踪和控制软件可信度是一个重要且亟待解决的研究课题。
参考文献:
[1] 赵会群,孙晶.一种SOA软件系统可信性评价方法研究[J].计算机学报,2010,,33(5):2-9.
[2] 赵会群,孙晶.面向服务的可信软件体系结构代数模型[J].计算机学报,2010,3(11):3-10.
[3] 文静,王怀民,应时,等.支持运行监控的可信软件体系结构设计方法[J].计算机学报,2010,33(12):1-14.
[4] 潘静,徐锋,吕建.面向可信服务选取的基于声誉的推荐者发现方法[J].软件学报,2010,21(2):1-14.
[5] 丁博,王怀民,史殿习,等.一种支持软件可信演化的构件模型[J].软件学报,2011,21(1):1-13.
[6] 王远,吕建,徐锋,等.一种面向网构软件体系结构的信任驱动服务选取机制[J].软件学报,2008,19(6):2-10.
[7] 曾晋,孙海龙,刘旭东,邓婷,等.基于服务组合的可信软件动态演化机制[J].软件学报,2010,21(2):1-16.
[8] 吕建,陶先平,马晓星,等.基于Agent 的网构软件模型研究[J].中国科学(E辑),2005,35(12):1-21.
转载注明来源:https://www.xzbu.com/8/view-8698219.htm
