一種基于Petri網(wǎng)的Web服務(wù)組合安全性動(dòng)態(tài)檢測(cè)技術(shù)*

周 潔,任江春,王志英,程 勇,梅松竹

(國(guó)防科學(xué)技術(shù)大學(xué)計(jì)算機(jī)學(xué)院，湖南 長(zhǎng)沙 410073)

一種基于Petri網(wǎng)的Web服務(wù)組合安全性動(dòng)態(tài)檢測(cè)技術(shù)*

周 潔,任江春,王志英,程 勇,梅松竹

(國(guó)防科學(xué)技術(shù)大學(xué)計(jì)算機(jī)學(xué)院，湖南 長(zhǎng)沙 410073)

Web服務(wù)組合安全性檢測(cè)對(duì)提高Web服務(wù)組合在復(fù)雜網(wǎng)絡(luò)環(huán)境下的安全性具有重要意義。針對(duì)Web服務(wù)組合安全檢測(cè)存在的問(wèn)題，提出了一種Web服務(wù)組合安全性動(dòng)態(tài)檢測(cè)框架，并對(duì)其中的服務(wù)組合流程建模技術(shù)、安全模型以及安全檢測(cè)算法等關(guān)鍵技術(shù)進(jìn)行了詳細(xì)分析，最后通過(guò)實(shí)例進(jìn)一步說(shuō)明該框架能夠?qū)崿F(xiàn)安全性檢測(cè)的基本功能。

Web服務(wù)組合；安全檢測(cè)；動(dòng)態(tài)檢測(cè)算法

1 引言

隨著信息技術(shù)的快速發(fā)展，越來(lái)越多的應(yīng)用開(kāi)始通過(guò)Web服務(wù)[1]的形式提供，特別是隨著面向服務(wù)計(jì)算SOC(Service Oriented Computing)[2]技術(shù)的日益成熟，Web服務(wù)已成為網(wǎng)絡(luò)環(huán)境下一種最為重要的計(jì)算資源之一。然而，由于單個(gè)Web服務(wù)的功能有限，為實(shí)現(xiàn)更強(qiáng)大的服務(wù)功能，需將Web服務(wù)組合起來(lái)[3]。在Web服務(wù)組合過(guò)程中，必然會(huì)出現(xiàn)Web服務(wù)之間的交互。盡管大多數(shù)的交互是用戶期望的，但是由于交互的復(fù)雜和多樣，如目標(biāo)沖突、資源競(jìng)爭(zhēng)、違背假設(shè)、配置和權(quán)限、信息隱藏、調(diào)用次序錯(cuò)誤、策略沖突等[4]發(fā)生的幾率逐漸增加，嚴(yán)重影響了Web服務(wù)組合的正常行為。同時(shí)，隨著Web服務(wù)數(shù)量和Web服務(wù)組合方式的不斷增長(zhǎng)，可能產(chǎn)生的非預(yù)期交互問(wèn)題也顯著增長(zhǎng)，因而帶來(lái)的服務(wù)組合安全性問(wèn)題也更加突出[5]。要解決這個(gè)問(wèn)題，迫切需要研究Web服務(wù)組合安全檢測(cè)的關(guān)鍵技術(shù)，本文在分析國(guó)內(nèi)外相關(guān)最新研究成果的基礎(chǔ)上，研究面向Web服務(wù)組合的安全性動(dòng)態(tài)檢測(cè)框架與模型，并研究支持安全檢測(cè)的服務(wù)組合流程建模技術(shù)和基于安全規(guī)則的服務(wù)組合安全檢測(cè)算法。

2 相關(guān)工作

分析目前研究現(xiàn)狀可以發(fā)現(xiàn)，Web服務(wù)組合領(lǐng)域安全檢測(cè)研究主要有以下兩個(gè)特點(diǎn)：

(1)采用分類分析的研究方式[4,6～8]。首先對(duì)Web服務(wù)組合安全問(wèn)題依據(jù)產(chǎn)生原因等進(jìn)行分類和分析，然后針對(duì)其中某類或某幾類安全問(wèn)題的現(xiàn)象研究檢測(cè)或解決的具體方法；

(2)采用靜態(tài)形式化的研究方法[9～12]。主要是將BPEL(Business Process Execution Language)描述的Web服務(wù)組合過(guò)程轉(zhuǎn)化為形式化模型，再用模型檢測(cè)工具對(duì)形式化模型進(jìn)行檢測(cè)，進(jìn)而驗(yàn)證組合服務(wù)或者協(xié)議的安全性和一致性。

Figure 1 Web services composition security dynamic detecting framework圖1 Web服務(wù)組合安全性動(dòng)態(tài)檢測(cè)框架

這兩個(gè)特點(diǎn)使得Web服務(wù)組合領(lǐng)域安全檢測(cè)研究工作在多個(gè)方面存在明顯不足：

(1)基于分類研究方式形成的針對(duì)不同安全問(wèn)題的檢測(cè)方法，在描述格式和分析手段等方面存在很大的區(qū)別，具體的某種服務(wù)組合安全檢測(cè)方法只能解決一種或幾種Web服務(wù)組合安全問(wèn)題，難以擴(kuò)展解決其它種類的安全問(wèn)題；這些基于分類研究方式形成的不同檢測(cè)方法難以采用統(tǒng)一的方式處理所有的服務(wù)組合安全問(wèn)題，在整合過(guò)程中，將產(chǎn)生新的安全問(wèn)題和兼容性問(wèn)題。

(2)靜態(tài)形式化方法適合已知Web服務(wù)邏輯的檢測(cè)，而在實(shí)際的Web服務(wù)組合中，很難在不破壞各Web服務(wù)私密性的前提下獲取其服務(wù)邏輯信息；隨著Web服務(wù)的快速發(fā)展，交互問(wèn)題數(shù)量倍數(shù)于服務(wù)數(shù)量的增長(zhǎng)，使用靜態(tài)形式化方法時(shí)需面對(duì)狀態(tài)空間爆炸的問(wèn)題，這一問(wèn)題仍未得到全面解決；同時(shí)，使用靜態(tài)形式化方法還需具有較高的數(shù)學(xué)基礎(chǔ)和數(shù)學(xué)分析能力，這些都限制了靜態(tài)形式化方法的應(yīng)用范圍；另一方面，靜態(tài)形式化方法只能應(yīng)用于服務(wù)組合的設(shè)計(jì)階段，無(wú)法檢測(cè)服務(wù)組合運(yùn)行階段產(chǎn)生的安全問(wèn)題。

總之，由于Web服務(wù)的自身特性，以及分類研究、靜態(tài)形式化固有的局限性，這些方法都不適用于Web服務(wù)組合領(lǐng)域安全檢測(cè)的未來(lái)研究發(fā)展。基于以上分析，Web服務(wù)組合安全檢測(cè)的未來(lái)研究應(yīng)側(cè)重于研究一種能夠全面動(dòng)態(tài)地檢測(cè)服務(wù)組合安全問(wèn)題的方法，該方法采用能夠克服分類方法的局限性的統(tǒng)一檢測(cè)方式和能夠克服靜態(tài)形式化方法缺陷的動(dòng)態(tài)檢測(cè)方式。

3 Web服務(wù)組合安全性動(dòng)態(tài)檢測(cè)框架

針對(duì)傳統(tǒng)Web服務(wù)組合安全性檢測(cè)的不足，本文借鑒SOA的思想，結(jié)合Web服務(wù)組合流程模型，提出了面向Web服務(wù)組合安全性動(dòng)態(tài)檢測(cè)框架。該框架主要由消息截獲器、規(guī)約管理器、模型生成器、檢測(cè)管理器和安全檢測(cè)器五大部分組成，如圖1所示。

圖1檢測(cè)框架中的五大部分描述如下：

(1)消息截獲器。

消息截獲器作為整個(gè)系統(tǒng)的前端，負(fù)責(zé)實(shí)時(shí)截獲服務(wù)組合流程中交互的SOAP消息，并從中提取輸入或輸出數(shù)據(jù)發(fā)送給檢測(cè)管理器，用于生成服務(wù)運(yùn)行時(shí)狀態(tài)。待安全檢測(cè)完成后，如果沒(méi)有任何安全性問(wèn)題，被截獲的SOAP消息將被原路返回。

(2)規(guī)約管理器。

規(guī)約管理器負(fù)責(zé)讀取OWL-S服務(wù)描述文檔中的交互規(guī)約說(shuō)明，并將它們轉(zhuǎn)換成適當(dāng)?shù)膬?nèi)部格式；同時(shí)，根據(jù)檢測(cè)管理器的控制信息，傳送與實(shí)時(shí)截獲SOAP消息數(shù)據(jù)對(duì)應(yīng)的規(guī)約信息到模型生成器。

(3)模型生成器。

模型生成器負(fù)責(zé)讀取Petri網(wǎng)映射規(guī)則庫(kù)中的映射規(guī)則，同時(shí)根據(jù)規(guī)約管理器產(chǎn)生的規(guī)約信息，結(jié)合服務(wù)組合的模型轉(zhuǎn)換方式，運(yùn)用Petri網(wǎng)模型對(duì)服務(wù)組合進(jìn)行建模(具體建模技術(shù)將在4.1節(jié)服務(wù)組合流程建模關(guān)鍵技術(shù)中進(jìn)行詳細(xì)描述)，最后傳送對(duì)應(yīng)的Petri網(wǎng)模型到檢測(cè)管理器。

(4)檢測(cè)管理器。

檢測(cè)管理器主要用于控制規(guī)約管理器和模型生成器，產(chǎn)生相關(guān)的用于安全性檢測(cè)的文檔規(guī)約信息和Petri網(wǎng)模型，并傳送模型及交互行為信息到安全檢測(cè)器進(jìn)行安全檢測(cè)。若檢測(cè)到異常，發(fā)送控制信息中止服務(wù)組合流程，并向用戶發(fā)送檢測(cè)報(bào)告；否則，檢測(cè)管理器控制服務(wù)組合繼續(xù)執(zhí)行。

另外，檢測(cè)管理器中還需要用到交互行為庫(kù)和過(guò)程記錄器。交互行為庫(kù)用來(lái)儲(chǔ)存所有已知類型的服務(wù)交互安全性問(wèn)題，并在檢測(cè)到新的類型后不斷更新。過(guò)程記錄器則記錄檢測(cè)過(guò)程，通過(guò)分析記錄信息，專家可以檢查出檢測(cè)過(guò)程中出現(xiàn)的錯(cuò)誤，從而進(jìn)一步完善整個(gè)程序。

(5)安全檢測(cè)器。

安全檢測(cè)器負(fù)責(zé)接收檢測(cè)管理器傳送來(lái)的交互行為信息和Petri網(wǎng)模型，自動(dòng)生成服務(wù)組合安全模型，通過(guò)安全檢測(cè)算法，檢測(cè)在當(dāng)前狀態(tài)下是否存在安全性問(wèn)題，并將檢測(cè)結(jié)果發(fā)送給檢測(cè)管理器；同時(shí)，提供一個(gè)維護(hù)知識(shí)庫(kù)規(guī)則的管理接口來(lái)控制和調(diào)整檢測(cè)效率。

在本文中，基于上述檢測(cè)框架，可實(shí)現(xiàn)對(duì)Web服務(wù)組合安全性動(dòng)態(tài)檢測(cè)。下一節(jié)將詳細(xì)介紹基于該框架實(shí)現(xiàn)Web服務(wù)組合安全性動(dòng)態(tài)檢測(cè)的關(guān)鍵技術(shù)。

4 Web服務(wù)組合安全性動(dòng)態(tài)檢測(cè)關(guān)鍵技術(shù)

4.1 支持安全檢測(cè)的服務(wù)組合流程建模技術(shù)

本節(jié)主要對(duì)Web服務(wù)組合流程進(jìn)行建模，首先對(duì)Petri網(wǎng)和Web服務(wù)組合流程規(guī)范OWL-S進(jìn)行簡(jiǎn)要介紹，在此基礎(chǔ)上給出OWL-S基本結(jié)構(gòu)到Petri網(wǎng)的映射，并詳細(xì)說(shuō)明將OWL-S描述的服務(wù)組合規(guī)約映射為服務(wù)組合交互Petri網(wǎng)模型的建模技術(shù)。

Web服務(wù)組合規(guī)范OWL-S用流程(Process)來(lái)詳細(xì)地描述Web服務(wù)之間的交互。Process模型中有三種流程：原子流程(Atomic Process)、簡(jiǎn)單流程(Simple Process)和組合流程(Composite Process)。其中，原子流程可以直接調(diào)用，單步執(zhí)行；簡(jiǎn)單流程不可直接調(diào)用，但作為一種抽象概念；組合流程可以由原子流程或簡(jiǎn)單流程通過(guò)一些控制結(jié)構(gòu)(Control Construct)組合而成。控制結(jié)構(gòu)有：Sequence、Split、Split-Join、Choice、Any-Order、If-Then-Else、Repeat-Until和Repeat-While。下面分別介紹這八類控制結(jié)構(gòu)與Petri網(wǎng)結(jié)構(gòu)的映射規(guī)則，如表1所示。

Table 1 Rules mapping control structureof OWL-S to Petri model表1 OWL-S控制結(jié)構(gòu)的Petri網(wǎng)映射規(guī)則

Web服務(wù)之間存在著大量的嵌套，同時(shí)Web服務(wù)組合所封裝的業(yè)務(wù)邏輯也越來(lái)越復(fù)雜，這使得Web服務(wù)組合流程的規(guī)模越來(lái)越大，復(fù)雜度也越來(lái)越高。因此，為了使Web服務(wù)組合流程能夠完整地轉(zhuǎn)換為一個(gè)Petri網(wǎng)模型，我們需要一套完善的方法來(lái)指導(dǎo)該轉(zhuǎn)換過(guò)程，否則有可能出現(xiàn)元素丟失，進(jìn)而導(dǎo)致后續(xù)的安全檢測(cè)出現(xiàn)錯(cuò)誤。通過(guò)服務(wù)組合流程的Petri網(wǎng)映射規(guī)則，可以把服務(wù)組合流程中的各個(gè)結(jié)構(gòu)化活動(dòng)用Petri網(wǎng)組件表示，進(jìn)而得到整個(gè)Web服務(wù)組合流程的Petri網(wǎng)模型。具體的轉(zhuǎn)換步驟如下：

Step1將標(biāo)簽〈process〉和〈/process〉分別用Start和Finish庫(kù)所表示，并賦給Start庫(kù)所初始化token。

Step2分析Web服務(wù)組合規(guī)范OWL-S的process文檔。對(duì)process文檔的分析主要由以下兩部分組成:

Step2.1process文檔結(jié)構(gòu)分析。將文檔中描述Web服務(wù)組合流程的控制結(jié)構(gòu)(如sequence、split、choice等)識(shí)別出來(lái)，理解Web服務(wù)組合流程的設(shè)計(jì)模式。

Step2.2process文檔結(jié)構(gòu)分離，根據(jù)Web服務(wù)組合模式和process文檔中控制結(jié)構(gòu)的對(duì)應(yīng)關(guān)系，將process文檔拆分成以process基本結(jié)構(gòu)為單位的元文件，分離的元文件可以形成一棵文檔結(jié)構(gòu)樹(shù)。

Step3根據(jù)生成的文檔結(jié)構(gòu)樹(shù)，對(duì)當(dāng)前層的所有直接子層按照表1所示的服務(wù)組合流程控制結(jié)構(gòu)的Petri網(wǎng)映射規(guī)則進(jìn)行建模。

Step4重復(fù)Step 3，直到所有的控制結(jié)構(gòu)都被表示出來(lái)。

Step5將子層模型代入其上層模型，得到完整的Web服務(wù)組合流程的Petri網(wǎng)模型。

4.2 支持安全檢測(cè)的服務(wù)組合安全模型

服務(wù)組合安全規(guī)則的制定關(guān)系到Web服務(wù)組合的安全性，本節(jié)將對(duì)服務(wù)組合安全規(guī)則進(jìn)行定義，通過(guò)擴(kuò)展服務(wù)組合的Petri網(wǎng)模型，建立服務(wù)組合的安全模型，動(dòng)態(tài)檢測(cè)交互行為是否滿足安全規(guī)則，一旦發(fā)現(xiàn)違反，則說(shuō)明服務(wù)組合安全性出現(xiàn)異常。

本節(jié)首先對(duì)服務(wù)組合的安全規(guī)則進(jìn)行詳細(xì)闡述，在此基礎(chǔ)上，設(shè)計(jì)了服務(wù)組合安全模型。

定義1服務(wù)組合安全規(guī)則SecurityRule元模型包含S、P、State、Occur、Causality、History六個(gè)屬性，其中各屬性含義如下：

(1)S為服務(wù)。

(2)P為服務(wù)中的操作。

(3)State為服務(wù)狀態(tài)。

(4)Occur表示操作是否發(fā)生，Occur={T，N，n}，T、N、n分別代表操作發(fā)生、不發(fā)生和發(fā)生限制次數(shù)。

(5)Causality表示操作的因果關(guān)系，Causality={Pre，Seq}，Pre、Seq都是表示操作因果關(guān)系的函數(shù)：

?p1,p2∈P,Pre:p1→p2,p2是p1的前提；

?p1,p2∈P,Sqe:p1→p2,p2是p1的結(jié)果。

其中，p1和p2不必相繼發(fā)生，但是一個(gè)發(fā)生，另一個(gè)必須發(fā)生。

(6)History表示操作的歷史關(guān)系，History={After，Before，BetweenAnd，AfterUntil}，After、Before、BetweenAnd、AfterUntil都是表述操作歷史關(guān)系的函數(shù)。

?p1,p2∈P,After:p1→p2,p2在p1之后發(fā)生；

?p1,p2∈P,Before:p1→p2,p2在p1之前發(fā)生；

?p1,p2∈P,BetweenAnd:p2×p3→p1,p1在p2和p3之間發(fā)生；

?p1,p2∈P,AfterUntil:p2×p3→p1,p1在p2和p3之間發(fā)生，與BetweenAnd函數(shù)的不同是p3可以不發(fā)生。

安全規(guī)則可通過(guò)學(xué)習(xí)的過(guò)程逐漸添加，首先將基本的三類安全規(guī)則定義如下：

定義2(發(fā)生規(guī)則) 服務(wù)組合發(fā)生規(guī)則OccurRule元模型包含S、P、State、Occur四個(gè)屬性，該規(guī)則定義了服務(wù)S中的操作P在狀態(tài)State下是否發(fā)生。

定義3(因果規(guī)則) 服務(wù)組合因果規(guī)則CausalRule元模型包含S、P、State、Causality四個(gè)屬性，該規(guī)則定義了服務(wù)S中的操作P在狀態(tài)State下與其他操作的因果關(guān)系。

定義4(歷史規(guī)則) 服務(wù)組合歷史規(guī)則HistoricRule元模型包含S，P，State，History四個(gè)屬性，該規(guī)則定義了服務(wù)S中的操作P在狀態(tài)State下與其他操作的歷史關(guān)系。

現(xiàn)在對(duì)模型PN進(jìn)行擴(kuò)展，通過(guò)添加安全規(guī)則SecurityRule，得到服務(wù)組合安全模型，定義如下：

定義5五元組SPN=(P,T;F,M0,r)被稱為服務(wù)組合安全模型，如果：

(1)PN=(P,T;F,M0)是刻畫服務(wù)組合的Petri網(wǎng)模型;

(2)r∈SecurityRule是檢測(cè)服務(wù)組合安全性的安全規(guī)則。

定義6設(shè)服務(wù)組合安全模型SPN=(P,T;F,M0,r)，如果SPN是安全的，那么SPN滿足如下屬性：

(1) PN是可用的;

(2)?t∈T,Satisfy(t,r)。

定理1令服務(wù)組合安全模型SPN=(P,T;F,M0,r)，那么是安全的，SPN當(dāng)且僅當(dāng)服務(wù)組合是安全的。

證明如果SPN是安全的，那么由定義6可知，Petri網(wǎng)模型PN是可用的。同時(shí)，SPN模型的變遷都滿足安全規(guī)則，則在實(shí)際服務(wù)組合中操作都滿足安全定義，故服務(wù)組合是安全的。

反之同理，故得證！

□

上述定理分析了服務(wù)組合安全模型SPN與服務(wù)組合安全性的對(duì)應(yīng)關(guān)系。基于定理1，可以通過(guò)對(duì)SPN的安全性分析實(shí)現(xiàn)對(duì)Web服務(wù)組合的安全檢測(cè)。

Web服務(wù)之間的交互行為引起服務(wù)組合實(shí)際執(zhí)行的狀態(tài)變化，服務(wù)組合安全模型中的變遷也反映了服務(wù)組合分析得到的狀態(tài)變化，對(duì)交互行為和模型變遷關(guān)系定義如下。

定義7Web服務(wù)之間的交互行為與服務(wù)組合安全模型的變遷反映了相同的狀態(tài)變化。

上述交互行為和模型變遷的關(guān)系表明，服務(wù)組合交互行為與服務(wù)組合安全模型SPN中的變遷一一映射。依據(jù)這種映射關(guān)系，比對(duì)捕獲到的服務(wù)交互行為序列與對(duì)應(yīng)的安全模型的安全規(guī)則一致性，一旦出現(xiàn)不一致，則當(dāng)前操作所屬的服務(wù)執(zhí)行異常。

4.3 基于安全規(guī)則的服務(wù)組合安全檢測(cè)算法

Web服務(wù)組合安全性動(dòng)態(tài)檢測(cè)是以服務(wù)組合安全模型SPN為基礎(chǔ)的。依據(jù)4.2節(jié)中對(duì)服務(wù)組合安全模型SPN的分析，結(jié)合交互行為與安全模型中變遷發(fā)生序列一一映射關(guān)系，通過(guò)檢測(cè)實(shí)時(shí)捕獲的交互行為序列是否匹配SPN模型中安全規(guī)則，實(shí)現(xiàn)對(duì)Web服務(wù)組合的安全性動(dòng)態(tài)檢測(cè)，其基本思路如下 ：

假設(shè)在某組合服務(wù)中，實(shí)時(shí)截獲到服務(wù)組合的交互行為e，首先判斷出當(dāng)前處于模型SPN中的某一可達(dá)狀態(tài)M(M∈R(M0)，R(M0)為模型SPN在初始標(biāo)識(shí)M0下的可達(dá)狀態(tài)集)，若不存在這樣的狀態(tài)M，則違反安全規(guī)則中的發(fā)生規(guī)則。然后，依據(jù)可達(dá)圖構(gòu)造算法計(jì)算期望發(fā)生的后繼變遷序列集合{t1,t2,…}({t1,t2,…}?(M)′)。如果存在與e對(duì)應(yīng)的后繼變遷(?t∈{t1,t2,…}:e=t)，則說(shuō)明服務(wù)組合交互行為正常，若不存在這樣的變遷t，則違反安全規(guī)則中的因果規(guī)則。最后，計(jì)算當(dāng)前狀態(tài)M下發(fā)生變遷t的后繼狀態(tài)M′，判斷后繼狀態(tài)集合存在是否死鎖等邏輯錯(cuò)誤，并判斷該后繼狀態(tài)是否滿足服務(wù)組合安全規(guī)則中的歷史規(guī)則，若滿足，則說(shuō)明組合服務(wù)執(zhí)行狀態(tài)正常，同時(shí)將服務(wù)組合當(dāng)前的交互信息保存，并捕獲新的交互行為；否則，進(jìn)入異常處理過(guò)程。服務(wù)組合安全檢測(cè)算法如下所示：

算法1Web服務(wù)組合安全檢測(cè)算法

輸入：服務(wù)組合安全模型SPN=(P,T;F,M0,r),交互行為序列EventList=(e0,e1,…);

輸出：檢測(cè)報(bào)告。

/*V=(M0),E=?。

End表示終止?fàn)顟B(tài)集合。

交互行為對(duì)應(yīng)狀態(tài)函數(shù)State:EventList→V。

交互行為對(duì)應(yīng)變遷函數(shù)trans:EventList→T。*/

L1procedureWHILE交互行為序列非空(EventList≠?)

L2 從EventList中取出第一個(gè)元素e(e∈EventList)，并將e從EventList中移除；

L3 SWITCH (state(e))//計(jì)算交互行為對(duì)應(yīng)的狀態(tài)

L4 CASEM1(M1∈V)/*判斷當(dāng)前是否處于模型SPN中的某一可達(dá)狀態(tài)*/

L5 SWITCH (trans(e))/*計(jì)算交互行為對(duì)應(yīng)的變遷*/

L6 CASEt1(t1∈T)/*判斷是否存在與交互行為e對(duì)應(yīng)的后繼變遷*/

L7 判斷Satisfy(t1,r);

L8 若不滿足THROW Exception handler;/*違背安全規(guī)則，拋出異常*/

L9 計(jì)算在狀態(tài)M1下觸發(fā)變遷t2的后繼狀態(tài)M′,即M1[t1

L10 IF (V∪M′)∩End=?/*檢查是否存在終止?fàn)顟B(tài)*/

L11 判斷是否滿足?M*∈(V∪M′),?M″?(V∪M′),?t*∈T:M*[t*

L12 若不滿足THROW Exception handler;/*存在邏輯錯(cuò)誤，拋出異常*/

L13E=E∪〈M1,t1,M′〉;

L14 若M′?V,V=V∪(M′);

L15 BREAK;

L16 CASEt2(t2∈T)

L17 ……//與t2處理過(guò)程相同

L18 DEFAULT;

L19 THROW Exception handler;/*不存在變遷與相互行為匹配，違背因果規(guī)則，拋出異常*/

L20 END SWITCH

L21 CASEM2(M2∈V)

L22 ……//與M1處理過(guò)程相同

L23 DEFAULT;

L24 THROW Exception handler;/*不存在狀態(tài)與相互行為匹配，違背發(fā)生規(guī)則，拋出異常*/

L25 END SWITCH

L26 生成完畢，返回G(SPN);

L27 END WHILE

L28 END procedure

假設(shè)Web服務(wù)組合交互行為序列有m個(gè)，每個(gè)交互行為對(duì)應(yīng)的Web服務(wù)組合狀態(tài)最多有n個(gè)，對(duì)應(yīng)的Web服務(wù)組合變遷最多有p個(gè)，則L1的WHILE結(jié)構(gòu)的時(shí)間復(fù)雜度為m，L3的SWITCH結(jié)構(gòu)的時(shí)間復(fù)雜度為n，L5的SWITCH結(jié)構(gòu)的時(shí)間復(fù)雜度為p。每個(gè)CASE項(xiàng)(如 L6～L15)結(jié)構(gòu)相同：L7～L8判斷變遷是否滿足安全規(guī)則時(shí)間復(fù)雜度為常數(shù)；L9計(jì)算后繼狀態(tài)的時(shí)間復(fù)雜度為常數(shù)；L10～L12 IF結(jié)構(gòu)時(shí)間復(fù)雜度為2n；L13～L14為常數(shù)。故該算法的時(shí)間復(fù)雜度為m×n×p×2n=O(mn2p)，有效地克服了狀態(tài)空間的指數(shù)級(jí)增長(zhǎng)。

Figure 3 Petri net model of cargo order management service composition圖3 貨物訂單處理服務(wù)組合Petri網(wǎng)模型表示

Figure 4 Distribution of Token in Place and the corresponding service state圖4 庫(kù)所Token的分布及對(duì)應(yīng)的服務(wù)狀態(tài)

5 實(shí)驗(yàn)分析

對(duì)貨物訂單處理服務(wù)組合的例子進(jìn)行測(cè)試，規(guī)約管理模塊自動(dòng)讀取嵌入在該服務(wù)組合描述文檔中的交互規(guī)約說(shuō)明，并將它們轉(zhuǎn)換成適當(dāng)?shù)膬?nèi)部格式，如圖2所示。

Figure 2 Document structure tree of cargo order management service composition 圖2 貨物訂單處理服務(wù)組合文檔結(jié)構(gòu)樹(shù)表示

模型生成模塊根據(jù)Petri網(wǎng)映射規(guī)則庫(kù)中的映射規(guī)則，結(jié)合Web服務(wù)組合的模型轉(zhuǎn)換方式，用Petri網(wǎng)模型對(duì)服務(wù)組合進(jìn)行建模，如圖3所示。

安全檢測(cè)模塊能夠自動(dòng)讀取模型信息，計(jì)算出各庫(kù)所Token的分布及對(duì)應(yīng)的服務(wù)狀態(tài)，如圖4所示。

根據(jù)圖4中庫(kù)所Token的分布及對(duì)應(yīng)的服務(wù)狀態(tài)，能夠針對(duì)SOAP消息描述的交互行為，計(jì)算出期望到達(dá)的狀態(tài)及期望發(fā)生的變遷，如圖5所示。

通過(guò)對(duì)服務(wù)組合模型狀態(tài)變化過(guò)程分析，得到的服務(wù)組合的安全規(guī)則，以PriceCalculation服務(wù)的C-PriceCalculation操作為例，安全規(guī)則如表2所示。

Web服務(wù)組合交互行為必須滿足模型分析得到的安全規(guī)則。假設(shè)在貨物訂單處理服務(wù)組合中，當(dāng)前實(shí)時(shí)截獲到的交互行為為C-PriceCalculation的SOAP消息，依據(jù)表2中的OccurRule規(guī)則，Price Calculation服務(wù)的C-Price Calculation操作要在D-Price Calculation和Shipper Decide兩個(gè)操作完成的狀態(tài)下才能發(fā)生，查找服務(wù)組合當(dāng)前是否處于這兩個(gè)操作完成的狀態(tài)，若不是，則交互行為違背了安全模型刻畫的安全規(guī)則。若是則繼續(xù)，假設(shè)捕獲到下一個(gè)SOAP消息為Inform，根據(jù)表2中的CausalRule規(guī)則，Inform操作是C-Price Calculation操作的后繼，則Inform操作是否可能發(fā)生，還需繼續(xù)判斷。再根據(jù)Order Manage服務(wù)的Inform操作安全規(guī)則庫(kù)中的OccurRule規(guī)則，如表3所示，發(fā)生規(guī)則描述了Inform操作要在C-Price Calculation和Arrange兩個(gè)操作完成的狀態(tài)下才能發(fā)生，若查找當(dāng)前服務(wù)組合Arrange操作還未發(fā)生，則說(shuō)明交互行為違背了安全模型刻畫的安全規(guī)則，進(jìn)入異常處理過(guò)程。

Figure 5 Reachable graph of cargo order management service composition圖5 貨物訂單處理服務(wù)組合可達(dá)圖

SecurityRuleSPStateOccurCausalityHistoryOccurRulePriceCalculationC?PriceCalculationD?PriceCalculationShipperDecideYCausalRulePriceCalculationC?PriceCalculationD?PriceCalculationShipperDecideSeq(D?PriceCalculation)CausalRulePriceCalculationC?PriceCalculationD?PriceCalculationShipperDecideSeq(ShipperDecide)CausalRulePriceCalculationC?PriceCalculationD?PriceCalculationShipperDecidePre(Inform)HistoricRulePriceCalculationC?PriceCalculationD?PriceCalculationShipperDecideBetweenAnd(Start，F(xiàn)inish)

Table 3 Security rules in Inform operation part表3 Inform操作部分安全規(guī)則

由上述測(cè)試的結(jié)果來(lái)看，本文設(shè)計(jì)的服務(wù)組合安全性動(dòng)態(tài)檢測(cè)框架能夠?qū)崿F(xiàn)安全性檢測(cè)的基本功能。

6 結(jié)束語(yǔ)

本文針對(duì)Web服務(wù)組合安全檢測(cè)問(wèn)題，提出了一種Web服務(wù)組合安全性動(dòng)態(tài)檢測(cè)框架，并對(duì)其中的支持安全檢測(cè)的服務(wù)組合流程建模技術(shù)、安全模型以及安全檢測(cè)算法進(jìn)行了詳細(xì)分析。最后，通過(guò)測(cè)試表明，該框架能夠基本實(shí)現(xiàn)對(duì)服務(wù)組合安全性檢測(cè)的功能，滿足Web服務(wù)組合運(yùn)行時(shí)安全檢測(cè)的要求。今后還需進(jìn)一步擴(kuò)展Petri網(wǎng)模型，并提高自動(dòng)化測(cè)試效率。

[1] Alonso G,Casati F,Kuna H,et al.Web services:Concepts, architectures and applications[M]. NY:Springer-Verlag, 2004:24-25.

[2] Papazoglou M P, Traverso P. Service-oriented computing:A research roadmap[M]. Germany:Dagstuhl Seminar, 2006:35-37.

[3] Ni Wan-cheng, Liu Lian-chen, Wu Cheng. Survey on web services composition methods [J]. Computer Engineering, 2008,34(4):79-81.(in Chinese)

[4] Weiss M, Esfandiari B, Luo Yun. Towards a classification of web service feature interactions[C]∥Proc of the 3rd International Conference on Service Oriented Computing, 2005:101-114.

[5] Calder M, Kolberg M, Magill E H. Feature interaction:A critical review and considered forecast [J].The International Journal of Computer Networks,2003,41(1):115-141.

[6] Weiss M, Esfandiari B. On feature interactions among web services[C]∥Proc of the 9th International Conference on Web Service(ICWS 2004), 2004:88-95.

[7] Zheng Lu,Li Shi-yan.Web service conflict management[R]. NY:IBM Research Report, 2005:69-78.

[8] Zhang Jian-yin, Yang Fang-chun, Su Sen. Detecting the web services feature interactions[C]∥Proc of WISE’06, 2006:169-174.

[9] Turner K J. Formalising web services [C]∥Proc of Formal Techniques for Networked and Distributed Systems(FORTE XVlll), 2005:473-488.

[10] Feng Liang-bing, Gu Tian-long. A Petri-net based approach for detecting the non-determinism feature interactions in web services composition [J].Journal of Guilin University of Electronic Technology, 2007,27(6):468-472.(in Chinese)

[11] Luo X Y, Tan Z, Dong R S. An automatic verification of composite web services based on temporal and epistemic logic[C]∥Proc of the 3rd International Genetic and Evolutionary Computing Conference(WGEC2009), 2009:693-697.

[12] Khoumsi A. Generic feature interaction detection in web services [C]∥Proc of the International Conference on Software Systems Engineering and their Applications (ICSSEA), 2011:85-97.

附中文參考文獻(xiàn)：

[3] 倪晚成，劉連臣，吳澄.Web服務(wù)組合方法綜述[J].計(jì)算機(jī)工程，2008，34(4)：79-81.

[4] 馮良炳，古天龍.Web服務(wù)組合中非確定性特征交互的Petri網(wǎng)檢測(cè)[J].桂林電子科技大學(xué)學(xué)報(bào)，2007,27(6):468-472.

ZHOUJie,born in 1988,MS candi-

date,CCF member(E200028790G),her research interests include information security, and web service.

任江春(1979-),男,湖南汨羅人，博士，副教授，研究方向?yàn)榭尚庞?jì)算、數(shù)據(jù)安全和系統(tǒng)安全。E-mail:wwwrjc@163.com

RENJiang-chun,born in 1979,PhD,associate professor,his research interests include trusted computing, data security, and system security.

王志英(1956-),男,山西長(zhǎng)治人，博士，教授，研究方向?yàn)橄冗M(jìn)計(jì)算機(jī)體系結(jié)構(gòu)、微處理器設(shè)計(jì)技術(shù)研究、信息安全和異步電路設(shè)計(jì)技術(shù)。E-mail:zywang@nudt.edu.cn

WANGZhi-ying,born in 1956,PhD,professor,his research interests include computer architecture, microprocessor design, information security, and asynchronous circuits design technology.

程勇(1986-),男，湖南寧鄉(xiāng)人，博士生，研究方向?yàn)樾畔踩⒖尚庞?jì)算和云存儲(chǔ)。E-mail:gfkdchy@gmail.com

CHENGYong,born in 1986,PhD candidate,his research interests include information security, trusted computing, and cloud storage.

梅松竹(1985-),男，浙江嘉興人，博士生，研究方向?yàn)橄到y(tǒng)安全和存儲(chǔ)安全。E-mail:meisongzhu@gmail.com

MEISong-zhu,born in 1985,PhD candidate,his research interests include system security, and storage security.

APetrinetbasedWebservicescompositionsecuritydynamicdetectingtechnology

ZHOU Jie,REN Jiang-chun,WANG Zhi-ying,CHENG Yong,MEI Song-zhu

(College of Computer,National University of Defense Technology,Changsha 410073,China)

Web services composition security detection is important to enhance Web services composition security in complex network environment. To solve the existing problem in it, the paper proposes a Web services composition security dynamic detecting framework and analyzes the key technology in detail, such as services composition modeling technology, security model and security detecting algorithm. Finally, an example test is taken to show it can realize the security detection function.

Web services composition;security detection;dynamic detection algorithm

2012-08-01;

：2012-11-05

國(guó)家自然科學(xué)基金資助項(xiàng)目(60903204，61070201)

1007-130X(2014)02-0250-08

TP309.3

：A

10.3969/j.issn.1007-130X.2014.02.011

周潔(1988-),女,湖北隨州人，碩士生，CCF會(huì)員(E200028790G)，研究方向?yàn)樾畔踩蚖eb服務(wù)。E-mail:jzhou@nudt.edu.cn

通信地址：410073 湖南省長(zhǎng)沙市國(guó)防科學(xué)技術(shù)大學(xué)計(jì)算機(jī)學(xué)院Address:College of Computer,National University of Defense Technology,Changsha 410073,Hunan,P.R.China