一種基于構(gòu)件的可信軟件系統(tǒng)框架及其表示

1、一種基于構(gòu)件的可信軟件系統(tǒng)框架及其表示摘 要：隨著軟件在信息社會中發(fā)揮越來越重要的作用，人們對軟件系統(tǒng)的可信性方面的要求也愈來愈高。對可信軟件和軟件構(gòu)件進(jìn)展定義和分析的根底上，提出了一種基于構(gòu)件的可信軟件系統(tǒng)框架；一個基于構(gòu)件的可信軟件系統(tǒng)框架包括軟件系統(tǒng)的信任根構(gòu)件、可執(zhí)行的構(gòu)件集、HASH函數(shù)以及構(gòu)件之間的控制權(quán)可信轉(zhuǎn)移協(xié)議等部分；在此框架下，對基于構(gòu)件的可信軟件系統(tǒng)進(jìn)展描繪和表示。為基于構(gòu)件的可信軟件系統(tǒng)的構(gòu)造和開發(fā)提供相應(yīng)的理論支持和借鑒作用。關(guān)鍵詞：基于構(gòu)件的軟件系統(tǒng)；可信軟件；軟件構(gòu)件；控制權(quán)可信轉(zhuǎn)移中圖分類號：TP31 文獻(xiàn)標(biāo)識碼：A1 引言Introduction軟件系統(tǒng)是信息

2、根底設(shè)施的核心組成部分。當(dāng)今，網(wǎng)絡(luò)和信息根底設(shè)施已廣泛浸透到社會生活的方方面面，成為消費(fèi)力開展和社會進(jìn)步不可或缺的強(qiáng)大工具。在眾多應(yīng)用背景的推動下，軟件的復(fù)雜度和規(guī)模都在以前所未有的速度在不斷延伸，在金融、國防、政府和通信等關(guān)鍵領(lǐng)域的各種復(fù)雜應(yīng)用需求背景下，軟件是否可信已經(jīng)成為衡量軟件系統(tǒng)的重要指標(biāo)。然而，作為計算機(jī)技術(shù)的核心和根底之一的軟件系統(tǒng)，其消費(fèi)現(xiàn)狀和質(zhì)量不能令人滿意，尤其是航空航天及核電等領(lǐng)域的關(guān)鍵軟件系統(tǒng)，其失效常常會對人類社會造成嚴(yán)重的災(zāi)難1。對于軟件可信性一直沒有一個統(tǒng)一的定義，Avizienis等3將其定義為軟件系統(tǒng)的可用性、可靠性、平安性、機(jī)密性、完好性和可維護(hù)性的綜合?？?/p>

3、信計算組織可信定義為假設(shè)一個實(shí)體的行為，總是以預(yù)期的方式，到達(dá)預(yù)期的目的4。文獻(xiàn)5提出行為可信是指通過對協(xié)同計算的軟件行為進(jìn)展約束?？傊?，軟件的可信是指軟件系統(tǒng)的動態(tài)行為及其結(jié)果總是符合人們的預(yù)期，可信強(qiáng)調(diào)行為和結(jié)果的可預(yù)測性和可控制性，而干擾包括操作錯誤、環(huán)境影響和外部攻擊等6。同時，在現(xiàn)代軟件工程技術(shù)中，系統(tǒng)構(gòu)件化已經(jīng)成為軟件技術(shù)總體開展趨勢之一7，基于構(gòu)件的軟件開發(fā)技術(shù)簡稱CBSE尤其得到了廣泛開展?？尚艠?gòu)件及基于構(gòu)件的可信系統(tǒng)的建模和分析等方面的研究也自然成為可信軟件問題中的一個具有重要意義和應(yīng)用價值的研究熱點(diǎn)之一。2 基于構(gòu)件的軟件系統(tǒng)中構(gòu)件的表示Representation of

4、ponent in ponent-based software system在基于構(gòu)件的軟件系統(tǒng)中，構(gòu)件是具有一定規(guī)模、相對獨(dú)立、可交換的重用單元，構(gòu)件具有較穩(wěn)定的組成形式8。一個構(gòu)件遵從和提供一套接口以及這些接口的實(shí)現(xiàn)，因此軟件構(gòu)件應(yīng)該包括接口及其對應(yīng)的實(shí)現(xiàn)。構(gòu)件接口定義了一個構(gòu)件所可以提供的功能和其相應(yīng)的標(biāo)準(zhǔn)要求；而接口對應(yīng)的實(shí)現(xiàn)包括了構(gòu)件所可以提供的為完成相應(yīng)功能需要進(jìn)展的一系列相關(guān)操作。定義2.1構(gòu)件C是軟件系統(tǒng)中承擔(dān)一定功能的計算單元。一個構(gòu)件可以表示為三元組C=。1Interface是構(gòu)件接口的集合，接口包括輸入接口與輸出接口，構(gòu)件可以通過接口向外部提供效勞，它們是構(gòu)件與外界系統(tǒng)進(jìn)

5、展交互的通道，構(gòu)件通過接口定義了與外界信息的傳遞和承擔(dān)的系統(tǒng)責(zé)任。2Imp是構(gòu)件對應(yīng)接口的實(shí)現(xiàn)體，是構(gòu)件接口對應(yīng)的操作的序列的集合。構(gòu)件中操作的執(zhí)行需要一定的條件，當(dāng)條件滿足時，相關(guān)的操作就執(zhí)行。3Spec是構(gòu)件的內(nèi)部規(guī)約，用來描繪構(gòu)件中接口與實(shí)現(xiàn)之間，以及構(gòu)件中各操作之間互相的約束關(guān)系。定義2.2接口是個二元組p=，其中ID是接口p的唯一標(biāo)識符，Interface-Spec是接口p的規(guī)約。在基于構(gòu)件的可信軟件系統(tǒng)中，構(gòu)件的執(zhí)行和構(gòu)件之間的控制權(quán)轉(zhuǎn)移是由可信軟件系統(tǒng)的整體框架和各個構(gòu)件的運(yùn)行狀態(tài)共同決定的。3 基于構(gòu)件的可信軟件框架Framework ofponent-based truste

6、d software在基于構(gòu)件的軟件系統(tǒng)中，通常是由多個構(gòu)件協(xié)作完成一定功能，而構(gòu)件是構(gòu)成軟件系統(tǒng)的計算或數(shù)據(jù)存儲單元之所在，它表現(xiàn)出的外部特征是可以為外部提供的一系列的相關(guān)效勞?；跇?gòu)件的可信軟件是把軟件可信性的相關(guān)特征和方法引入到軟件系統(tǒng)中，為了可以對基于構(gòu)件的可信軟件進(jìn)展充分和深化地研究，本文提出一種基于構(gòu)件的可信軟件框架?；跇?gòu)件的可信軟件系統(tǒng)主要包括信任根構(gòu)件TRC、可執(zhí)行的構(gòu)件集CN和控制權(quán)可信轉(zhuǎn)移協(xié)議TPP等，如圖1所示。在該框架下，一個基于構(gòu)件的可信軟件包括信任根構(gòu)件TRC、可執(zhí)行的構(gòu)件集CN、HASH函數(shù)和構(gòu)件之間的控制權(quán)可信轉(zhuǎn)移協(xié)議等內(nèi)容。其中，信任根構(gòu)件主要負(fù)責(zé)系統(tǒng)的可信

7、啟動、可信配置等工作；可執(zhí)行的構(gòu)件集是基于構(gòu)件的可信軟件中完成相關(guān)計算功能的構(gòu)件的集合；而可信轉(zhuǎn)移協(xié)議主要負(fù)責(zé)系統(tǒng)中不同構(gòu)件之間控制權(quán)的可信轉(zhuǎn)移。 4 基于構(gòu)件的可信軟件表示和描繪Representationof ponent-based trusted software一個基于構(gòu)件的可信軟件TS可以表示為一個4元組，TS=，其中：1TRC= 為信任根構(gòu)件，TSM是系統(tǒng)的可信啟動模塊；CCR是構(gòu)件配置存放器，包括構(gòu)件的標(biāo)識和編號、構(gòu)件的信息摘要等重要數(shù)據(jù)；TFM為系統(tǒng)可信分析模塊，負(fù)責(zé)分析各個構(gòu)件的完好性、平安性等可信性質(zhì)；EDM為系統(tǒng)的加解密模塊。信任根構(gòu)件是基于構(gòu)件的可信系統(tǒng)中第一個獲得控

8、制權(quán)的部件，它的作用是根據(jù)系統(tǒng)開始執(zhí)行時計算獲得的信息摘要與構(gòu)件配置存放器CCR進(jìn)展匹配來檢查和處理整個系統(tǒng)中的可信問題，并在系統(tǒng)運(yùn)行中將記錄哪個構(gòu)件獲得控制權(quán)，以及相應(yīng)的平安狀況。構(gòu)件配置存放器的構(gòu)造和存儲方式關(guān)乎構(gòu)件的完好性驗(yàn)證、系統(tǒng)可信啟動和構(gòu)件之間控制權(quán)的可信轉(zhuǎn)移。構(gòu)件配置存放器CCR是一個五元組CCR=，CNun表示構(gòu)件的編號，CMark表示構(gòu)件的標(biāo)識，CIA表示對應(yīng)構(gòu)件的信息摘要，CTE表示構(gòu)件的可信測度值，CCRNext為一個指向下一個構(gòu)件配置存放器的指針。為了便于擴(kuò)展，構(gòu)件配置存放器被設(shè)計成鏈?zhǔn)綐?gòu)造；為了保證平安，構(gòu)件配置存放器中的內(nèi)容需要根據(jù)不同情況進(jìn)展“封存和“解封處理。3

9、TPP為可信轉(zhuǎn)移協(xié)議，負(fù)責(zé)可信系統(tǒng)中不同構(gòu)件之間控制權(quán)的可信轉(zhuǎn)移。對于基于構(gòu)件的軟件系統(tǒng)而言，構(gòu)件之間的控制權(quán)轉(zhuǎn)移在所難免；為了防止系統(tǒng)被病毒或者惡意軟件修改和入侵，在系統(tǒng)從信任根構(gòu)件啟動時和把控制權(quán)交給可執(zhí)行的構(gòu)件之后，都需要保證構(gòu)件之間控制權(quán)的轉(zhuǎn)移是可信的。為了實(shí)現(xiàn)以上任務(wù)，需要對所研究的可信軟件建立相關(guān)的構(gòu)件權(quán)限表和角色信息表。構(gòu)件之間控制權(quán)可信轉(zhuǎn)移協(xié)議可以利用構(gòu)件之間的模糊信任關(guān)系、構(gòu)件信息摘要、構(gòu)件權(quán)限表和角色信息表等數(shù)據(jù)來對構(gòu)件雙方進(jìn)展互相認(rèn)證。構(gòu)件之間控制權(quán)可信轉(zhuǎn)移協(xié)議可以防止攻擊者對系統(tǒng)中構(gòu)件的破譯和越權(quán)使用。4HASH為可信軟件中所需要的HASH函數(shù)，是軟件行為可信性保證的根

10、底。一個構(gòu)件的可信性關(guān)鍵域和指標(biāo)包括接口規(guī)約、前后斷言、檢查點(diǎn)、契約、類別不變量、異常規(guī)約、甚至程序代碼等內(nèi)容。在基于可信關(guān)鍵域進(jìn)展相關(guān)性分析的根底上可以用HASH函數(shù)來計算獲取構(gòu)件的信息摘要，并存儲于構(gòu)件配置存放器的相應(yīng)位置，作為構(gòu)件完好性度量和可信性驗(yàn)證的根底。為了進(jìn)步HASH函數(shù)的高效和平安性，HASH函數(shù)應(yīng)該不僅僅與一個構(gòu)件有關(guān)，還需要把其他相關(guān)構(gòu)件的信息摘要也作為HASH函數(shù)的參數(shù)，這樣可以使得只要一個構(gòu)件不完好就會影響其他相關(guān)構(gòu)件的完好性檢查，從而保證整個系統(tǒng)可信性的進(jìn)步。5 結(jié)論Conclusion隨著信息根底設(shè)施和現(xiàn)代生活對軟件依賴程度的迅速增加，簡單完成軟件的功能已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足需求，有效地研發(fā)高可信軟件已經(jīng)成連接將來的重要技術(shù)，這一方向受到政府組織、學(xué)術(shù)界和工業(yè)界的廣泛關(guān)注。雖然國內(nèi)外學(xué)者在軟件的可信性研究方面已經(jīng)獲得很大的進(jìn)展，但是也還有大量的關(guān)鍵問題亟待解決。為了可以對基于構(gòu)件的可信軟件進(jìn)展充分和深化地研究，本文在傳統(tǒng)基于構(gòu)件的軟件工程根底上，參加軟件可信性特征，提出一種基于構(gòu)件的可信軟件框架，一個基于構(gòu)件的