基于分層遞增驗證的可信管理軟件構造方法

戰德臣，馮錦丹，聶蘭順，徐曉飛

(1.哈爾濱工業大學計算機科學與技術學院，150001哈爾濱;2.北京衛星制造廠，100094北京)

管理軟件被廣泛應用于工業、商業、服務業以及政府部門，對企業和組織的運行起到關鍵性的支撐作用，因此軟件是否具有可信性至關重要.管理軟件可信性問題的典型表現包括:軟件系統中復雜的業務邏輯處理是否正確;財務信息、核心商業機密、技術機密等能否保證不會被非授權人員訪問和纂改;軟件系統的流程是否不會走到非預期的狀態;各種路徑是否已被完整地覆蓋和解釋;軟件系統的集成和互操作是否如其所聲明的工作;所有數據是否被正確的集成和完整的處理;軟件系統能否適應其所聲明的多樣化、多變性需求.可信的管理軟件如何快速低成本的開發以支持復用和滿足不斷變化的業務需求，給管理軟件研發人員提出了一個更為艱巨的任務.

為了解決管理軟件的快速開發問題，領域內廣為使用的是對象管理組織提出的模型驅動的體系結構(Model Driven Architecture，MDA)規范［1］.其核心思想是將軟件系統開發這樣一個復雜的大問題進行多步求解和逐步求精，以保證軟件符合需求.從軟件可信性的角度看，借助MDA將軟件系統的可信性問題可分解為軟件模型的可信性問題和軟件代碼的可信性問題，即跨越了軟件可信性與用戶可信需求之間的鴻溝，自動化的模型轉換與代碼生成有助于保持可信性的自上而下傳遞.然而MDA并未將可信軟件的構造作為其主要目的，且在模型驅動的軟件開發方法中也未顯式地將軟件可信性的度量、驗證、優化等過程和方法納入其中.因此在MDA中引入可信相關的方法，使之形成模型驅動的可信軟件構造方法，是解決可信管理軟件構造問題的新思路.本文在總結目前相關研究的基礎上，提出一種基于分層遞增驗證的可信管理軟件模型驅動架構，以此為企業管理軟件領域的研究人員提供一個基本的理論參考框架.

1 相關研究

1.1 軟件可信性

可信軟件的研究主要集中在復雜環境下嵌入式軟件和開放環境中網絡軟件，對可信軟件的含義存在相似的理解.高可信系統能夠以可理解可預期的形式運行、抵御惡意侵襲和事故，不會引起意外或不期望的損失［2］.文獻［3］是可信計算機組織(TCG)用實體行為的預期性來定義可信:如果它的行為總是以預期的方式，朝著預期的目標，則一個實體是可信的.一般認為軟件的可信性包含以下屬性［4-7］:可靠性(Reliability)，可用性(A-vailability)，防危性(Safety)，機密性(Confidentiality)，生存性(Survivability)，安全性(Security)，容錯性(Fault tolerance)，實時性(Realtime)，完整性(Integrity)和可維護性(Maintainability)等，其中可靠性被認為是可信軟件最重要的屬性.當前研究較為成熟的是針對可信性中某個關鍵性質而展開的，例如研究在嵌入式軟件和網絡應用軟件中的可靠性度量評測與保證技術.在管理軟件研究領域，客戶對軟件的可信性需求所描述的不一定是軟件可靠性這樣單一的屬性，還可能包含其他的性質.因此只有當軟件滿足客戶的需求規范中描述的所有性質時，才可以認為軟件是可信的.

1.2 模型驅動架構

圍繞MDA的分層建模、轉換、轉換過程中的一致性保持、代碼生成等問題，國內外學者進行了廣泛的研究.文獻［8］在MDA的基礎上嵌入執行確認活動，提出了一種新SPMDA結構，建立多鏈排隊網模型(Multi-chain Queuing Network model，QN)到LQN(Layered Queuing Network)的轉換，使用LQN描述系統的服務需求與硬件資源的關系和參數，用配置圖建立基于構件的軟件模型到平臺環境的映射.國外在MDA領域的研究覆蓋范圍廣泛且較為深入，相對而言國內關于MDA理論方面的研究內容主要集中于MDA思想在系統開發上的理論指導，而抽象層度較高的建模方法論、模型轉換以及建立特定領域內完整MDA模型規范等方面的研究很有限，當前主要應用于嵌入式領域和企業管理軟件領域.MDA研究仍存在的不足主要表現為對語義的映射考慮不足，缺少對模型與代碼的可信性度量與驗證，缺乏基于MDA構造完整軟件系統的系統性實踐和集成平臺.

1.3 基于構件的可信軟件構造與驗證

基于構件的軟件開發成為降低軟件開發成本的重要方法之一［9］.基于構件的可信軟件開發過程離不開對其可信性的度量與評測，軟件可信性度量成為可信軟件研究的核心問題.在軟件開發生命周期的各階段中都可以對可信性進行不同角度的度量.1)在軟件設計階段采用預言方式發現并解決可能潛在的問題.可建立系統的描述模型，如基于RADL的軟件體系結構模型或動態錯誤樹系統模型［10］，通過模型檢測設計中可能存在問題予以較早解決，有助于較早減少軟件錯誤來增強可信性.2)軟件開發階段主要進行預測性度量與跟蹤修正.系統可信性的度量與驗證有兩個層面，即系統模型的可信性驗證［11］和程序代碼的可信性驗證［12］.3)在軟件測試階段，主要是基于測試數據進行軟件測試和精確評估.軟件錯誤檢測是軟件測試階段的主要任務.Bev Littlewood等［13］認為不同的軟件設計對應著不同的錯誤檢測方案，提出一種多樣錯誤檢測度量方法.4)在軟件應用過程中使用實際數據進行實際評測［14］.5)也有部分研究考慮軟件生命周期中一些階段之間存在不同或相關的影響因素，需要從整體上予以考慮.雖然有研究覆蓋了軟件生命周期的全過程，但也只是針對一種或兩種關鍵性質進行跟蹤度量與改善.從軟件實現的技術角度考慮，對于多個可信性質的度量技術往往是分離的，比如容錯技術、調度、形式化驗證等技術，這些技術應用于不同的領域，沒能針對統一的可信性形成一個集成技術平臺.針對上述問題，本文提出在可互操作、可配置、可執行的模型驅動體系結構(Interoperable Con-figurable Executable Model Driven Architecture，ICEMDA)［15］中融入可信性度量與驗證是構造可信管理軟件的一種有效途徑，其可提供一套系統性的可信軟件開發理論指南和集成平臺.

2 基于分層遞增驗證的可信管理軟件模型驅動構造方法體系

定義1(管理軟件可信性)管理軟件可信性是指軟件具備可信性意味著軟件系統按用戶期望的方式運行，不會導致非預期的狀態，換言之，軟件系統的可信性是其行為對聲明的符合程度.

基于這種理解，本文在ICEMDA的管理軟件開發方法中，顯式地引入軟件可信性的度量、計算、判定及改善，實現PSM模型=＞構件代碼=＞軟件系統的增量式可信性驗證與構造，最終實現軟件系統可信，即其行為符合用戶期望這一目標.

ICEMDA將軟件開發/構造過程劃分為4個層次:1)面向過程與對象技術相結合的CIM/PIM層;2)向下轉換為可支持實現的PSM層;3)進一步轉換到以干業務構件為核心的代碼層;4)干業務構件被部署到系統層且被配置成面向特定需求的復用業務構件，并通過工作流引擎將復用業務構件和工作流可執行模型組裝成完整的軟件系統.ICEMDA的每個層次都有要構造的實體，其可被逐層轉換.

定義2(ICEMDA各層次的構造體)把ICEMDA各階段中所要構造的目標實體，如CIM模型、PIM模型、PSM模型、構件代碼(干業務構件、復用業務構件)和軟件系統等，稱作ICEMDA各層次的構造體.

定義3(構造體具有可信性)給定可信性度量指標集Φ，(用戶的)可信性需求φ是定義在指標集Φ上的一些約束，M是構造體的某種面向可信性計算的描述模型，ξ是一組度量/計算方法，對Φ中的每個指標，ξ能夠度量/計算M的指標值，稱M是可信的，當且僅當ξ(M)｜=φ，其中｜=是滿足關系.

具體而言，構造可信的管理軟件系統就是逐步建立滿足客戶需求的可信構造體，即建立可信的工作流模型和業務構件PSM模型，將其轉換為CODE層可信的干業務構件，在系統層面配置出可信的工作流可執行模型和可信的復用業務構件，最終組裝成可信的軟件系統.

圖1給出了基于ICEMDA的可信管理軟件構造方法架構.此構造方法由4個核心步驟組成:

圖1 基于分層遞增驗證的模型驅動軟件構造方法

1)可信度量指標集Φ的定義及可信性需求φ描述;2)將面向開發的構造體轉化為支持可信性計算模型M;3)可信性指標的度量、計算問題ξ，包括如何由構成要素的可信性指標計算整體的可信性;4)調整構造體的構成要素，使可信指標得以改善.客戶需求隨著模型到代碼的實例化過程逐步細化且嚴格，對ICEMDA各層次構造體具有不同的可信性需求.

將ICEMDA各層次上原本以構造/開發為目標的構造體，轉換為面向可信性度量與驗證的可信性描述模型，以可信性度量指標體系為基礎，計算可信性描述模型的可信性影響指標，根據綜合可信性指標計算結果判定該構造體的可信性，基于可信性判定對構造體進行多目標可信優化.

ICEMDA各層橫向采用適當的可信性計算方法度量與驗證構造體對客戶需求的滿足度，出具可信度證明，縱向基于構造體可信性保持與遞增的策略，確保可信性從構造上游到下游的傳遞性.采用基于ICEMDA的可信構造方法，將模型驅動的軟件開發方法和可信性度量與驗證技術結合起來，將構造可信的大型軟件系統分解為逐層建立可信構造體的問題，以實現可信軟件分層驗證的增量式開發.

可信管理軟件的構造過程中存在3個關鍵性問題:1)有效的表征客戶可信需求，并將其合理的分布到軟件開發的不同階段進行驗證;2)在軟件開發的不同階段對軟件系統的構成要素進行逐步、增量式可信性驗證;3)保證可信性伴隨著各種要素的轉換和組裝被不斷的保持與增強的構造技術.本文以業務構件PSM模型為例，說明其可信性度量與驗證的具體過程.

2.1 支持MDA的可信性度量指標體系

軟件系統的可信性是多種性能度量的綜合指標，如可從可靠性、安全性、效率、適應性等方面對可信性進行度量來采用可信度衡量一個軟件系統的可信性高或低.可信性度量指標體系中存在兩類指標:可信性指標和可信性影響指標.這與軟件可信性密切相關，面向終端用戶、分析設計人員，且反映其軟件外特性的度量指標稱為可信性指標，每個可信性指標可能受到存在于軟件系統內部的若干關鍵特性的影響，這些關鍵特性間接影響到軟件系統的整體可信性能，將這些面向軟件開發人員且影響可信性的軟件內特性，稱為可信性影響指標.

PSM模型層、代碼層和系統層的構造體形態與內容不同，其可信性指標與可信性影響指標也存在差異，跨ICEMDA各層面的可信性度量指標集如表1所示.在ICEMDA各層次上對可信度量指標進行劃分的過程中，需要滿足兩個基本原則:1)單層內目標針對性強;2)不同層間指標分布合理，基于可信保持減少層間同類型指標重復.

表1 支持MDA的可信性度量指標體系

PSM模型相對于PIM層包含了特定的實現機制，參數類型和構件模型的平臺概念等要素.PSM業務構件模型，主要從結構性、業務邏輯性與平臺實現相關性3個方面建立指標.干業務構件代碼度量兩個方面的內容:1)程序是否實現了客戶對業務活動的功能性需求;2)程序是否在可接受的性能指標約束范圍內運行.軟件系統的可信性指標集中于度量業務功能是否實現了客戶的需求;是否實現了不同配置約束對業務功能的安全性限制.運行態性能是否滿足客戶的非功能性需求等方面.

2.2 由“面向構造的模型/代碼”向“面向可信計

算的模型”的轉換方法與技術

ICEMDA體系中已有的構造體主要是面向軟件開發/構造而建立的模型或代碼，相對不易于可信性指標的計算，可將其轉換為支持可信性度量/計算的模型，使構造體內要素與可信性影響指標的關系顯式的表征出來.

業務構件PSM模型是依據客戶需求從可實現可執行角度建立的構件實現模型.基于XML模型文件存儲業務構件的數據集、操作集、生命周期狀態變遷和安全性相關信息等，既描述了結構關系又體現了約束和邏輯關系，但其對可信性指標的顯式表達不足.為計算該模型對客戶可信性需求的滿足度，提出采用基于圖論與邏輯公式的標記算法.

將基于XML的構件模型轉換為與邏輯相合并的PSM業務構件可信性描述模型，基本思想如下:首先，基于XML的業務構件模型M0轉換為有向圖結構.將數據集元素與子元素之間的結構關系轉換為頂點A到B的有向邊，頂點的結構是XML元素與其屬性構造的多元組V(name，AttributeSet).再依次建立操作集、狀態變遷集、權限約束等關系的轉換，直至XML模型等價的反映為圖.其次，將圖與客戶需求φ0的合并機制.用φ0中的原子公式ψi標記圖上的頂點，在V中添加一個標記向量.若標記成功，將該ψi從φ0中移出到被標記公式集T1={ψi｜ψi已被成功標記}中，若未找到與其匹配的頂點，則將子公式移至未標記公式集T2={ψi｜ψi標記失敗}中，直至φ0為空，此時可獲得基于XML與邏輯合并的PSM業務構件可信描述模型.根據具體情況來確定哪些頂點能與ψi相關的可信性影響指標匹配并采用何種方式標記.當ψi的公式內容是:1)數據集D1→d1∧d2，若圖中已有d1和d2頂點，則用d1∧d2標記它們的共同父節點D1;2)最大繼承深度h:則用h標記具有繼承關系的類頂點;3)ψi:若相對應的頂點還沒有用ψi標記，則用ψi標記.其中對于復雜算子采用適當得連接詞將其進行等價變形的預處理，或采用特殊變異的方式，對復雜算子變換處理方法以改進標記算法效率，使模型和公式的規模控制為線性.

2.3 可信性指標計算與可信性判定方法

所謂可信的業務構件PSM模型M0，即ξ(M0)｜=φ0，就是指M0滿足模型層客戶需求可信邏輯約束的程度.為了構造可信的M0，需要在建模過程中檢測模型的可信性，采用基于多維標記空間的業務構件模型可信性度量與驗證算法，其基本思想如下:

算法的輸入:以XML形式表達的PSM業務構件模型M0;以邏輯形式表達的PSM層客戶可信性需求φ0.

輸出:M0的可信度(或稱M0對φ0的滿足度).

基本步驟為:首先，采用可信描述模型轉換方法“基于圖與邏輯公式的標記算法”將以XML形式存儲的PSM業務構件模型轉為與合并了邏輯φ0信息的，基于圖的PSM業務構件可信性描述模型.此時，獲取到被標記公式集T1和未標記公式集T2.然后，將標記圖映射到多維標記空間中分別計算被標記指標的數值.一個頂點在多個子公式標記情況下構成了一個多維標記向量Ci=＜ui1，ui2，…，uin＞，因此將標記圖投影到一個描述多個邏輯維度的空間中，將同一邏輯維度的標記頂點、標記向量以及邊投影到該邏輯維上進行計算指標值.高度抽象的業務構件模型，通常可變屬性規模較大，因此有必要在不同維度上的應用簡化技術.計算T2集合中的未標記邏輯公式的滿足度，獲取圖上可標記的可信性影響指標值，綜合兩類指標統計業務構件模型的可信度，采用加權累加法等可信度的計算方案.最后輸出PSM業務構件模型的可信度值.

客戶需求中包含一個期望的可信閥值d0，判定本模型可信與否，將可信指標的計算結果與d0進行比較，若＜d0則認為此模型不可信，并提取指標值與期望性能的差異，反饋給用戶使其針對不可信的關鍵點進行修正或優化，若≥d0則為模型出具可信度證明.

2.4 基于可信性判定的可信軟件構造技術

根據可信性判定結果，通過調整ICEMDA各層次構造體的要素和要素之間的關系，以提高其與客戶期望差異過大的可信性影響指標值，使構造體可信.在ICEMDA軟件系統構造過程中存在從PSM模型到代碼，代碼到系統的兩次轉換過程，轉換的必要原則是上游到下游的可信性能夠保持.針對MDA各層次構造體分別提出基于可信性判定的優化方法和技術，目的在于通過調整完善構造體內部的要素或要素之間的關系以提高其可信性.針對PSM模型，提出面向多目標可信優化的模型完善方法.基本思想為:輸入是以XML形式表達的不滿足可信性要求PSM業務構件模型M0和與客戶需求差異過大的可信度量指標集δ0.以δ0的內容作為模型可信性改善過程的多個優化目標，通過調整影響這些可信指標的模型要素，實現本模型可信度量值的提升，直到模型滿足客戶可信需求為止.輸出為優化后的業務構件XML模型M'0.

2.5 軟件開發平臺

在現有ICEMDA架構的軟件開發平臺基礎上，引入各層構造體的可信性判定度量和優化方法，形成一套支持可信軟件構造的模型驅動的軟件開發工具集，如圖2所示.PSM可視化建模工具，業務構件程序生成工具，業務構件配置工具，工作流模型轉換工具，這些工具的輸出結果均要經過可信描述模型驗證容器進行處理.該容器包含由“面向構造的模型/代碼”向“面向可信性計算的模型”的轉換功能，可信性度量與驗證并出具可信度證明的功能、基于可信性判定的優化構造功能.最后通過面向可信性保持的系統配置/部署工具組裝出可信的軟件系統.

圖2 可信管理軟件的模型驅動開發平臺

3 結論

1)顯式地將構造體的可信性度量和驗證系統性綜合性的融入到ICEMDA架構中，其目標是解決可信管理軟件的快速構造問題.

2)該體系為可信管理軟件的構造提供了一個基本方法框架，其基礎理論體系包含:一套支持MDA的企業管理軟件可信度量指標體系;以MDA各層次構造體為中心的可信性計算、判定和優化的反饋機制;模型驅動的可信軟件構造技術和平臺.

［1］OMG.MDA guide version 1.0.1［R］.［2003-06-12］.http://www.omg.com/.

［2］High confidence software and systems coordinating group.High confidence software and systems research needs［R］.［2001-01-10］.http://www.ccic.gov/pubs/hcssresearch.pdf.

［3］PEARSON S.Trusted computing platform，the next security solution［R］.Bristol U K:HP Laboratories，2002.

［4］陳火旺，王戟，董威.高可信軟件工程技術［J］.電子學報，2003，31(12A):1933-1938.

［5］AVIZIIENIS A，LAPRIE J C，RONDELL B.Foundational concepts of computer system dependability［C］//LARP/IEEE-RAS Workshop on Robot Dependability of Technological Challenge of Dependable Robots Environment.Washington，DC:IEEE Computer Society，2001:21-22.

［6］LAPRIE J C.Dependability computing:concepts，limits，challenge［C］//Proceeding of the 25th IEEE International Symposium on Fault-Tolerant Computing.Washington，DC:IEEE Computer Society，1995:42-54.

［7］CAVANO J P.Toward high confidence software［J］.IEEE Transactions on Software Engineering，1985，11(12):1449-1455.

［8］CORTELLESSA V，Di MARCO P，INVERARDI P.Software performance model driven architecture［C］//Proceedings of the ACM Symposium on Applied Computing.New York，ACM，2006:1218-1223.

［9］梅宏，申峻嶸.軟件體系結構研究進展［J］.軟件學報，2006，17(6):1257-1275.

［10］REUSSNER R H，SCHMIDT H W，POERNOMO I H.Reliability prediction for component-based software architectures［J］.The Journal of Systems and Software，2003，66(3):241-252.

［11］蔣屹新，林闖，曲揚，等.基于Petri網的模型檢測研究［J］.軟件學報，2004，15(9):1265-1276.

［12］FENTON N E，PFLEEGER S L.Software metrics:a rigorous＆practical approach［M］.Beijing:Tsinghua Press，2003:250.

［13］LITTLEWOOD B，POPOV P T，STRIGINI L，et al.Modeling the effects of combining diverse software fault detection techniques［J］.IEEE Transaction on software engineering，2000，26(12):1157-1167.

［14］LORENZOLI D，MARIANI L，PEZZ`E M.Towards self-protecting enterprise applications［C］//Proceedings of the The 18th IEEE International Symposium on Software Reliability.Washington，DC:IEEE Computer Society，2007:39-48.

［15］戰德臣，馮錦丹，聶蘭順，等.一種可互操作可配置可執行的模型驅動體系結構［J］.電子學報，2008，36(12A):120-127.