一種基于構件的可信軟件系統框架及其表示

郁湧等

摘 要：隨著軟件在信息社會中發揮越來越重要的作用，人們對軟件系統的可信性方面的要求也愈來愈高。對可信軟件和軟件構件進行定義和分析的基礎上，提出了一種基于構件的可信軟件系統框架；一個基于構件的可信軟件系統框架包括軟件系統的信任根構件、可執行的構件集、HASH函數以及構件之間的控制權可信轉移協議等部分；在此框架下，對基于構件的可信軟件系統進行描述和表示。為基于構件的可信軟件系統的構造和開發提供相應的理論支持和借鑒作用。

關鍵詞：基于構件的軟件系統；可信軟件；軟件構件；控制權可信轉移

中圖分類號：TP31 文獻標識碼：A

1 引言（Introduction）

軟件系統是信息基礎設施的核心組成部分。當今，網絡和信息基礎設施已廣泛滲透到社會生活的方方面面，成為生產力發展和社會進步不可或缺的強大工具。在眾多應用背景的推動下，軟件的復雜度和規模都在以前所未有的速度在不斷延伸，在金融、國防、政府和通信等關鍵領域的各種復雜應用需求背景下，軟件是否可信已經成為衡量軟件系統的重要指標。然而，作為計算機技術的核心和基礎之一的軟件系統，其生產現狀和質量不能令人滿意，尤其是航空航天及核電等領域的關鍵軟件系統，其失效常常會對人類社會造成嚴重的災難[1]。

可信軟件作為計算機軟件研究領域最具價值和最具挑戰性的核心課題之一，引起了國內外政府組織、科學界和工業界的高度重視，紛紛提出有針對性的相關研究計劃：1999年IBM、HP、Intel、微軟等發起成立了可信計算平臺聯盟（TCPA），2003年TCPA改組為可信計算組織（TCG）；2005年，美國國家軟件研究中心發布了“軟件2015”（Software 2015）的報告，在報告中指出：未來軟件研究最重要的焦點之一在于軟件的可信性[2]；2006年，歐洲啟動了名為“開放式可信計算”（Open Trusted Computing）的研究計劃。十一五期間，可信計算列入了國家發改委的信息安全專項；2006年中國成立了可信計算密碼專項組，2008年12月可信計算密碼專項組更名為中國可信計算工作組。

對于軟件可信性一直沒有一個統一的定義，Avizienis等[3]將其定義為軟件系統的可用性、可靠性、安全性、機密性、完整性和可維護性的綜合。可信計算組織可信定義為如果一個實體的行為，總是以預期的方式，達到預期的目標[4]。文獻[5]提出行為可信是指通過對協同計算的軟件行為進行約束。總之，軟件的可信是指軟件系統的動態行為及其結果總是符合人們的預期，可信強調行為和結果的可預測性和可控制性，而干擾包括操作錯誤、環境影響和外部攻擊等[6]。

同時，在現代軟件工程技術中，系統構件化已經成為軟件技術總體發展趨勢之一[7]，基于構件的軟件開發技術（簡稱CBSE）尤其得到了廣泛發展。可信構件及基于構件的可信系統的建模和分析等方面的研究也自然成為可信軟件問題中的一個具有重要意義和應用價值的研究熱點之一。

2 基于構件的軟件系統中構件的表示

（Representation of component in component-

based software system）

在基于構件的軟件系統中，構件是具有一定規模、相對獨立、可替換的重用單元，構件具有較穩定的組成模式[8]。

一個構件遵從和提供一套接口以及這些接口的實現，因此軟件構件應該包括接口及其對應的實現。構件接口定義了一個構件所能夠提供的功能和其相應的規范要求；而接口對應的實現包括了構件所能夠提供的為完成相應功能需要進行的一系列相關操作。

定義2.1構件C是軟件系統中承擔一定功能的計算單元。一個構件可以表示為三元組C=。

（1）Interface是構件接口的集合，接口包括輸入接口與輸出接口，構件可以通過接口向外部提供服務，它們是構件與外界系統進行交互的通道，構件通過接口定義了與外界信息的傳遞和承擔的系統責任。

（2）Imp是構件對應接口的實現體，是構件接口對應的操作的序列的集合。構件中操作的執行需要一定的條件，當條件滿足時，相關的操作就執行。

（3）Spec是構件的內部規約，用來描述構件中接口與實現之間，以及構件中各操作之間相互的約束關系。

定義2.2接口是個二元組p=，其中ID是接口p的唯一標識符，Interface-Spec是接口p的規約。

在基于構件的可信軟件系統中，構件的執行和構件之間的控制權轉移是由可信軟件系統的整體框架和各個構件的運行狀態共同決定的。

3 基于構件的可信軟件框架（Framework of

component-based trusted software）

在基于構件的軟件系統中，通常是由多個構件協作完成一定功能，而構件是構成軟件系統的計算或數據存儲單元之所在，它表現出的外部特征是能夠為外部提供的一系列的相關服務。基于構件的可信軟件是把軟件可信性的相關特征和方法引入到軟件系統中，為了能夠對基于構件的可信軟件進行充分和深入地研究，本文提出一種基于構件的可信軟件框架。

基于構件的可信軟件系統主要包括信任根構件（TRC）、可執行的構件集（CN）和控制權可信轉移協議（TPP）等，如圖1所示。

在該框架下，一個基于構件的可信軟件包括信任根構件（TRC）、可執行的構件集（CN）、HASH函數和構件之間的控制權可信轉移協議等內容。其中，信任根構件主要負責系統的可信啟動、可信配置等工作；可執行的構件集是基于構件的可信軟件中完成相關計算功能的構件的集合；而可信轉移協議主要負責系統中不同構件之間控制權的可信轉移。

4 基于構件的可信軟件表示和描述（Representation

of component-based trusted software）

一個基于構件的可信軟件（TS）可以表示為一個4元組，TS=，其中：

（1）TRC= 為信任根構件，TSM是系統的可信啟動模塊；CCR是構件配置寄存器，包括構件的標識和編號、構件的信息摘要等重要數據；TFM為系統可信分析模塊，負責分析各個構件的完整性、安全性等可信性質；EDM為系統的加解密模塊。信任根構件是基于構件的可信系統中第一個獲得控制權的部件，它的作用是根據系統開始執行時計算獲得的信息摘要與構件配置寄存器（CCR）進行匹配來檢查和處理整個系統中的可信問題，并在系統運行中將記錄哪個構件獲得控制權，以及相應的安全狀況。

構件配置寄存器的結構和存儲方式關乎構件的完整性驗證、系統可信啟動和構件之間控制權的可信轉移。構件配置寄存器CCR是一個五元組CCR=，CNun表示構件的編號，CMark表示構件的標識，CIA表示對應構件的信息摘要，CTE表示構件的可信測度值，CCRNext為一個指向下一個構件配置寄存器的指針。為了便于擴展，構件配置寄存器被設計成鏈式結構；為了保證安全，構件配置寄存器中的內容需要根據不同情況進行“封存”和“解封”處理。

（2）CN={C1，C2，……，Cn}為可信軟件中可執行的構件集，它們是完成整個系統中相關計算功能的部件的集合，每個構件負責完成系統相應功能。

（3）TPP為可信轉移協議，負責可信系統中不同構件之間控制權的可信轉移。對于基于構件的軟件系統而言，構件之間的控制權轉移在所難免；為了避免系統被病毒或者惡意軟件修改和入侵，在系統從信任根構件啟動時和把控制權交給可執行的構件之后，都需要保證構件之間控制權的轉移是可信的。

為了實現以上任務，需要對所研究的可信軟件建立相關的構件權限表和角色信息表。構件之間控制權可信轉移協議能夠利用構件之間的模糊信任關系、構件信息摘要、構件權限表和角色信息表等數據來對構件雙方進行相互認證。構件之間控制權可信轉移協議可以防止攻擊者對系統中構件的破譯和越權使用。

（4）HASH為可信軟件中所需要的HASH函數，是軟件行為可信性保證的基礎。一個構件的可信性關鍵域和指標包括接口規約、前后斷言、檢查點、契約、類別不變量、異常規約、甚至程序代碼等內容。在基于可信關鍵域進行相關性分析的基礎上可以用HASH函數來計算獲取構件的信息摘要，并存儲于構件配置寄存器的相應位置，作為構件完整性度量和可信性驗證的基礎。為了提高HASH函數的高效和安全性，HASH函數應該不僅僅與一個構件有關，還需要把其他相關構件的信息摘要也作為HASH函數的參數，這樣可以使得只要一個構件不完整就會影響其他相關構件的完整性檢查，從而保證整個系統可信性的提高。

5 結論（Conclusion）

隨著信息基礎設施和現代生活對軟件依賴程度的迅速增加，簡單完成軟件的功能已經遠遠不能滿足需求，有效地研發高可信軟件已經成連接未來的重要技術，這一方向受到政府組織、學術界和工業界的廣泛關注。雖然國內外學者在軟件的可信性研究方面已經取得很大的進展，但是也還有大量的關鍵問題亟待解決。為了能夠對基于構件的可信軟件進行充分和深入地研究，本文在傳統基于構件的軟件工程基礎上，加入軟件可信性特征，提出一種基于構件的可信軟件框架，一個基于構件的可信軟件包括信任根構件（TRC）、可執行的構件集（CN）、HASH函數和構件之間的控制權可信轉移協議等部分。并基于此框架，用代數方法對其進行表示，可以為進一步對系統中構件信息摘要的計算、基于模糊理論的構件行為可信性測度、構件的完整性驗證、構件之間的控制權可信轉移及其軟件行為動態可信測評等相關研究的進行奠定基礎。

參考文獻（References）

[1] 陳火旺，王戟，董威.高可信軟件工程技術[J].電子學報，2003，

31（12A）：1933-1938.

[2] Center for National Software Studies（2009），Software 2015：A

national software strategy to ensure U.S.security and

competitiveness.http：//www.cnsoftware.org.

[3] AVIZIENIS A，et al.Basic concepts and taxonomy of dependable

and secure computing[J].IEEE Transactions on Dependable and

Secure Computing，2004，1（1）：11-33.

[4] Trusted Computing Group TCG specification architecture

overview[EB/OL].https：//www.trustedcomputinggroup.org/

groups/TCG_1_0_Architecture_overview.pdf，2010.

[5] 王懷民，等.互聯網軟件的可信機理[J].中國科學E輯：信息科

學，2006，36（10）：1156-1169.

[6] 劉克，等.“可信軟件基礎研究”重大研究計劃綜述[J].中國

科學基金，2008，22（3）：145-151.

[7] 楊芙清.軟件工程技術發展思索[J].軟件學報，2005，16（1）：1-7.

[8] 王志堅，費玉奎，婁淵清.軟件構件技術及其應用[M].北京：科

學出版社，2005.

作者簡介：

郁 湧（1980-），男，博士，副教授.研究領域：軟件工程和可

信軟件.

劉永剛（1994-），男，本科生.研究領域：網絡與軟件安全.

侯江畔（1992-），男，本科生.研究領域：軟件開發.