（信号与信息处理专业论文）基于mic理论的嵌入式系统安全模型的设计与研究.pdf

c 、| 西华大学学位论文独创性声明 作者郑重声明：所呈交的学位论文，是本人在导师的指导下进行研究 工作所取得的成果。尽我所知，除文中已经注明引用内容和致谢的地方外， 本论文不包含其他个人或集体已经发表的研究成果，也不包含其他已申请 学位或其他用途使用过的成果。与我一同工作的同志对本研究所做的贡献 均已在论文中做了明确的说明并表示了谢意。 若有不实之处，本人愿意承担相关法律责任。 学位论文作者签名：叶筝净 日期：坳厂p 指导教师签 日期 矽i d ，易、fd 西华大学学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，在校 攻读学位期间论文工作的知识产权属于西华大学，同意学校保留并向国家 有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅，西 华大学可以将本论文的全部或部分内容编入有关数据库进行检索，可以采 用影印、缩印或扫描等复印手段保存和汇编本学位论文。( 保密的论文在解 密后遵守此规定 ) 气 学位论文作者签名：叶孽译 指导教师签 日期：砌p 日期： 矽f o ，易、10 随着计算机产业的不断发展和变革，嵌入式系统的研发已经成为热门的研究领域， 并且成功的应用到了社会的各个行业，如制造业，服务业，国防，互联网等。然而，嵌 入式系统在走向网络应用的同时所暴露出来的信息安全问题日益严重，信息的泄漏，非 法修改，人为的破坏等给整个社会造成了巨大的损害。以往一旦发现出对系统的渗透或 识别出被利用的漏洞，就删除它们，但是在漏洞被弥补之前就已经造成重大损失。因此， 可取的方法是在系统生命周期的早期阶段，系统部署或实现之前，就认真地考虑安全问 题。本文针对嵌入式系统在网络应用中所面临的安全威胁，提出一种基于模型集成计算 ( m 1 c ) 理论的嵌入式系统安全模型设计方法，该方法采用面向领域的图形化语言在系 统的设计阶段建立安全分析模型，并整合到嵌入式软件系统建模过程中。 具体工作包括以下几个方面： 1 ) 论文理论基础的研究以及方法对比。对本文理论核心模型集成计算及领域建模 语言进行分析研究，并与统一建模语言进行对比分析，分析表明，在采用模型 集成计算对嵌入式建模中，领域建模语言能够更好的适应嵌入式系统复杂多变 的物理环境； 2 1 嵌入式系统的安全分析，并提出基于策略的安全模型。对嵌入式系统在网络应 用中所暴露的信息安全问题进行分析，如人为过失，蓄意窃取、破坏、软件攻 击等威胁，以及恶意代码、拒绝服务等攻击，根据对各种攻击的分析，结合并 比较各种现有的可靠的安全模型提出可行的安全策略； 3 ) 安全模型的设计。通过领域建模语言建立安全分析模型，该安全模型包括信息 流模型和威胁模型。信息流模型由b l p 模型和b i b a 模型组成，主要解决信息 流在传输过程中数据的机密性和完整性。威胁模型可以使分析工具识别出薄弱 的信道并结合加密算法库来决定使用哪种加密算法对该信道进行加密从而保护 数据的传输； 4 ) 安全模型的应用。通过对现有的嵌入式模型与所设计的安全模型进行联合设计。 在本次设计采用嵌入式控制系统模型实现与安全模型的联合设计，嵌入式控制 系统模型采用模型实例分析安全模型的可行性及实用性。 经设计研究表明，通过以上工作，在嵌入式软件系统设计的早期阶段嵌入安全模型， 可以反馈系统的安全信息，并以此信息修改模型，指导系统开发，提高系统的开发效率 和缩短研发周期。 关键词：模型集成计算( m i c ) ；领域建模语言( d s m l ) ；安全模型；模型验证 基于c a st h ec o m p u t e ri n d u s t r yc o n t i n u e sd e v e l o p i n ga n de v o l v i n g ，r e s e a r c ho ne m b e d d e d s y s t e m sh a sb e c o m eam o r ea n dm o r ep o p u l a ra r e a , f u r t h e r m o r e ，w i t hi t ss u c c e s si nt a k i n g p a r ti ne v e r yf i e l di ns o c i e t y , s u c ha sm a n u f a c t u r i n g ，s e r v i c e s ，n a t i o n a ld e f e n s e ，i n t e r n e t ，e t c m e a n w h i l e ，t h e r ei sa nc o v e ri n c r e a s i n gc o n c c l na b o u ts e c u r i t yt h r e a t sa se m b e d d e ds y s t e m sa r e m o v i n gt o w a r d sn e t w o r k e da p p l i c a t i o n s i n f o r m a t i o nl e a k a g e ，i l l e g a lr e w r i t e ，v a n d a l i s m ，e t c ， c a u s ec n o r l n o u sd a m a g e st os o c i e t y w eu s e dt od e l e t et h ev u l n e r a b i l i t yw h i l ei tw a sf o u n d h o w e v e r , u pu n t i lt h ev u l n e r a b i l i t yi sa l r e a d yc a u s i n gs i g n i f i c a n tl o s s e s t h e r e f o r e ，t h e a v a i l a b l em e t h o di st oc o n s i d e rt h es e c u r i t yi s s u e ss e r i o u s l yi nt h ee a r l ys t a g e so fs y s t e ml i f e c y c l e ，b e f o r et h es y s t e mp r i o rt od e p l o y m e n to ri m p l e m e n t a t i o n i nt h i sp o i n t ，t os o l v et h e p r o b l e m st h a te x i s ti nt h ee m b e d d e ds y s t e m sn e t w o r k e da p p l i c a t i o n ，t h i sp a p e rr e s e a r c ha m e t h o do ne m b e d d e ds y s t e md e s i g n i n gb a s e do nm o d a l i n t e g r a t e dc o m p u t i n go v t l c ) t h i s m e t h o du s e sad o m a i n o r i e n t e d g r a p h i c a ll a n g u a g et oe s t a b l i s hs e c u r i t ya n a l y s i sm o d e l ，a n d i n t e g r a t e di n t ot h ep r o c e s so fe m b e d d e ds o f t w a r es y s t e mm o d e l i n g t h i sp a p e ri n c l u d i n gt h e f o l l o w i n ga s p e c t s ： 1 r e s e a r c ha n dm e t h o dc o m p a r i s o na b o u tt h e o r yo ft h i sp a p e r m o d e li n t e g r a t e d c o m p u t i n ga n dd o m a i nm o d e l i n gl a n g u a g ea n a l y s i s a n dc o m p a r i s o n 、析也t h eu n i f i e d m o d e l i n gl a n g u a g ea n a l y s i s ，a n a l y s i ss h o w e dt h a tt h eu s eo fm o d e li n t e g r a t i o ni ne m b e d d e d c o m p u t i n gm o d e l i n g ，d o m a i nm o d e l i n gl a n g u a g et ob e t t e ra d a p tt o t h ec o m p l e x i t yo f e m b e d d e ds y s t e m sc h a n g i n gp h y s i c a le n v i r o n m e n t 2 s e c u r i t ya n a l y s i so ne m b e d d e ds y s t e ma n dp r e s e n t sas e c u r i t ym o d e lb a s e do ns t r a t e g y a n a l y s e st h ei n f o r m a t i o ns e c u r i t yp r o b l e m st h a t e x i t si n e m b e d d e ds y s t e mn e t w o r k e d a p p l i c a t i o n s ，s u c ha sh u m a ne r r o r , i n t e n t i o n a lt h e f t ，s a b o t a g e ，s o f t w a r ea t t a c k s ，a n dm a l i c i o u s c o d e ，d e n i a lo fs e r v i c ea t t a c k s ，e t c ，f i n a l l y , b a s e do nt h ea n a l y s i so fv a r i o u sa t t a c k s ，c o m b i n e d a n dc o m p a r et h er e l i a b i l i t yo ft h ee x i s t i n gs e c u r i t ym o d e la n dp u tf o r w a r df e a s i b l es e c u r i t y p o l i c y 3 s e c u r i t ym o d e ld e s i g n i n g e s t a b l i s hs e c u r i t ya n a l y s i sm o d e lv i ad o m a i n s p e c i f i c m o d e l i n gl a n g u a g e ( d s m l ) ，t h i ss e c u r i t ym o d e lc o n t a i nd a t a f l o wm o d e la n dt h r e a tm o d e l d a t a f l o wm o d e li sm a d eu po fb l pm o d e la n db i b am o d e l ，m a i n l yt os o l v et h ec o n f i d e n t i a l i t y a n di n t e g r a l i t yo ft h ed a t a n o ww h i l et h r e a tm o d e la l l o w sa n a l y s i st o o l st oi d e n t i f yt h e v u l n e r a b l ec h a n n e la n dt o g e t h e rw i t ht h ee n c r y p t i o na l g o r i t h ml i b r a r yt od e c i d ew h i c h e n c r y p t i o na l g o r i t h m t o e n c r y p tt h ev u l n e r a b l ec h a n n e li n o r d e rt o p r o t e c tt h ed a t a t r a n s m i s s i o n ； 4 r n l ea p p l i c a t i o no fs e c u r i t ym o d e l t oa n a l y s e sf e a s i b i l i t ya n dp r a c t i c a b i l i t yo fs e c u r i t y m o d e lv i ac a ) 一d e s i g nw i t he x i s t i n ge m b e d d e ds y s t e ma n dt h es e c u r i t ym o d e lw h i c hi sd e s i g n e d i nt h i sp a p e r a f t e rr e s e a r c h i n go nt 1 1 ec o r r e l a t i v ef i l e ds h o w nt h a tt oi n t e g r a t e ds e c u r i t ym o d e li nt h e e a r l ys t a g e so fe m b e d d e ds o f t w a r es y s t e md e s i g n i n gv i aa b o v ea s p e c t s ，c a l ln o to n l yf e e d b a c k s y s t e ms e c u r i t yi n f o r m a t i o n ，b u ta l s om o d i f yt h em o d e lt h u st oi m p r o v es y s t e md e v e l o p m e n t e f f i c i e n c ya n ds h o r t e nd e v e l o p m e n tc y c l e s k e yw o r d s ：e m b e d d e ds y s t e m ；m o d e li n t e g r a t e dc o m p u t i n g m i c ；d o m a i ns p e c i f i cm o d e l l a n g u a g e - d s m l ；s e c u r i t ym o d e l ；m o d e lv a l i d a t i o n n l 基于m i c 理论的 摘 要 a b s t r a c t i i 1 弓l 言1 1 1 研究背景及意义l 1 2 国内外研究现状2 1 3 本文内容纲要2 2 论文理论基础4 2 1 模型集成计算4 2 1 1 模型集成计算的发展及其内容。4 2 1 2m i c 主要特点及应用现状5 2 2 特定领域建模6 2 2 1 特定领域建模的内容6 2 2 2d s m - i - 作原理7 2 3 领域建模语言j 7 2 3 1d s m l 发展历史简介及其内容7 2 3 2d s m l 主要特点及其应用现状9 2 3 3d s m 与u m l 9 2 4 建模工具1 0 2 4 1 支持d s m 的建模工具1 0 2 4 2 通用建模环境1 1 2 5 模型解释器1 3 2 6 本章小结。1 4 3 基于策略的安全模型1 5 3 1 安全系统分析。1 5 3 1 1 系统安全需求1 5 3 1 2 安全威胁1 6 3 2 安全策略1 7 3 2 1 军用安全策略1 7 3 2 2b e l l - l a p a d u l a 1 8 3 2 3b i b a 模型2 0 3 3 基于策略的安全模型2 2 3 4 本章小结2 2 西华大学硕士学位论文 4 嵌入式系统安全模型设计2 3 4 1 总体设计方案2 3 4 2 信息流分析模型2 3 4 2 1 信息流分析2 4 4 2 2 信息流分析模型建模2 5 4 3 威胁模型3l 4 3 1 威胁模型分析j 3l 4 3 2 威胁模型：3 2 4 4 s a l 的执行_ 3 7 4 5 本章小结4 0 5 安全模型应用4 1 5 1 安全分析融入现有工具链4 1 5 2 嵌入式控制系统4 2 5 3 安全模型在嵌入式系统中的应用。4 3 5 3 1 威胁模型。4 3 5 3 2 动态链接库文件4 5 5 4 本章小结4 6 6 总结与展望4 7 6 1 总结4 7 6 2 展望4 7 参考文献4 9 附 录5 2 作者在读期间科研成果简介5 9 声 明6 0 使用授权书：。6 l 致一谢6 2 v 西华大学硕士学位论文 l引言 1 1 研究背景及意义 嵌入式系统是以应用为中心，以计算机技术为基础，软件硬件可裁剪，适应应用系 统对功能、可靠性、成本、体积以及功耗严格要求的专用计算机系统【l 】。正是因为嵌入 式系统有着种种的优势，它被广泛的应用到了社会生活的方方面面。并且，嵌入式系统 在互联网基础设施中扮演着越来越重要的角色，是国家安全，发展，经济健全必不可少 的【2 1 。 随着嵌入式系统在互联网中的广泛应用，网络嵌入式系统的安全威胁也日益备受关 注，黑客入侵系统屡有发生，成功的入侵例子有澳大利亚昆士兰州的下水道系统【2 j 和美 国国防部非机密的电子邮件系统【3 】。因此，为了解决这种安全威胁，我们需要重新考虑 嵌入式软件系统的设计过程。 在嵌入式软件设计领域中，模型集成计算【4 】已经获得广泛的认可。以模型的部署平 台以及其相互作用的物理环境代替嵌入式软件。模型能够使嵌入式系统的分析，核查， 审定和形成变得便利。所以，这种方法优于传统的手工软件开发进程。虽然有些建模工 具支持功能，性能，功耗，安全等的分析，目前可用的工具几乎没有支持安全模型，以 至于安全性只有当系统建立后才被考虑到。充其量，这种在最后开发阶段才解决安全问 题的方法效率低下，同时耗费大量的时间和资源，而在安全状况方面得到的仅仅是轻微 的改善。 通常地，漏洞只有在爆发的时候才能被发现，为了解决这些未知的威胁，在私人企 业的网络系统可以通过防火墙和入侵监测系统使得系统得到隔离。但是，这种外围防护， 即使他们是完美的，也不能防止内部的攻击。 安全是现代软件系统不可缺少的一部分，但目前的软件系统建模时很少涉及安全， 系统安全策略和安全机制往往作为开发人员在系统开发后期对系统的补充和完善的措 施。这种不规范的安全需求处理方法为系统后期安全维护及系统之间的集成带来莫大隐 患。如果在系统开发的早期阶段就考虑安全需求，不但可以发现潜在的安全问题，而且 还能及早地消除系统安全隐患。鉴于这种环境，我们主张在建模环境中把安全纳入嵌入 式系统的早期设计阶段中。提出一种嵌入式系统的安全模型设计，安全模型是对安全策 略所表达的安全需求的简单、抽象和无歧义的描述，它为安全策略和安全策略实现机制 的关联提供了一种框架。安全模型描述了对某个安全策略也需要用哪种机制来满足；而 模型的实现测描述了如何把特定的机制应用于系统中，从而实现某一特定安全策略也所 需的安全保护。就我们这次设计而言，领域范围是网络化的嵌入式实时系统，如过程控 制系统，汽车，航空电子和医疗系统等。 基于m i c 理论的嵌入式系统安全模型的设计与研究 1 2 国内外研究现状 当代信息安全学起源于2 0 世纪6 0 年代倡导的通信保密，到了2 0 世纪六七十年代， 开始逐步推行计算机安全的概念，而信息安全的概念是2 0 世纪8 0 年代到9 0 年代才被 人广泛提出的，2 0 世纪9 0 年代以后，开始倡导信息保障( i n f o r m a t i o n a s s u r a n c e ，i a ) 。 信息保障的核心思想是对系统或者数据的4 个方面的要求：保护( p r o t e c t ) ，检测( d e t e c t ) ， 反应( r e a c t ) 和恢复( r e s t o r e ) 。 1 9 7 2 年，j p a n d e r s o n 在一份研究报告中提出了访问监控器、引用验证机制、安全 内核和安全建模等重要思想。他指出，要开发安全系统，首先必须建立系统的安全模型， 完成安全系统的建模之后，再进行安全内核的设计与实现【5 j 。2 0 0 4 年朱尔金斯( j u r j e n s j ) 在 s e c u r es y s t e m s d e v e l o p m e n t w i t h u m l ) ) 6 1 n 书中提出了通过对广泛适用的、通用的、 标准统一建模语言( u n i t e dm o d e l i n gl a n g u a g e - u m l ) ，将安全特性很自然地融入系统设 计过程之中，并扩展为u m l s e c 方法。u m l s e c 提供一种不同于传统“渗透测试和打补丁” 或“形式化规则和验证”的方法，它采用可视化的u m l 建模语言，从不同的视角描述系 统的不同侧面，并通过一些扩展语义的u m l 规范、求精、验证过程，使得即使不是安 全专家的开发人员也可以把安全集成到软件工程过程的每一个阶段。然而，由于u m l 的广泛适用性，使得它在某些特定领域中无法描述系统中复杂多变的硬件结构，因此还 不能很好的应用在嵌入式系统中，特别是复杂多变的物理环境。针对这种情况，出现了 特定领域建模，并在此基础上衍生出领域建模语言( d o m a i n - s p e c i f i cm o d e l i n g l a n g u a g e d s m l ) 1 7 】，d s m l 解决了u m l 面对特定领域时硬件描述不足的缺陷，实践经 验已经证明：d s m 比现有方式( 包括基于u m l 的m d a ) 效率提高5 1 0 倍。 在我国从d s m 出现之初开始，便逐渐走进学者的视线，对d s m 的研究不断深入， 如领域建模工具的研究【8 】，从领域建模到模型驱动 g j 。并成功地将这种建模方法应用到 了嵌入式系统的建模，如基于特定领域建模的数控系统设计【1 0 】。但是，对于模型集成计 算理论的研究十分有限，并且应用于嵌入式系统安全模型的研究更加处于空白阶段。而 系统的安全性，主要集中在一些传统的方法，如渗透与补丁。一旦发现对系统的渗透或 识别出被利用的漏洞，就删除它们，或者发现漏洞时就设计系统补丁来弥补系统的不足， 这些外部的防御都难以防止来自内部的攻击。 1 3 本文内容纲要 第二章：主要介绍本论文相关的理论基础，包括模型集成计算，领域建模语言及支 持建模工具一通用建模环境。 第三章：分析网络嵌入式系统面临的信息安全威胁，并提出可行的基于策略的系统 安全模型。 第四章：根据第三章提出的基于策略的安全模型，深入分析可行的嵌入式软件系统 2 西华大学硕士学位论文 安全模型设计方案并进行研究设计。本文所设计安全模型包括信息流分析模型和威胁模 型，目的在于解决系统的机密性、完整性以及安全性，减低系统隐蔽信道所带来的威胁。 第五章：模型实现。通过向已经设计并证明有效的嵌入式模型添加本文所设计的安 全模型进行安全分析，检验，并通过g m e 内嵌功能生成x m l 代码，模块和在v i s u a ls t u d i o 2 0 0 8 生成c + + 动态链接库文件。 基于m i c 理论的嵌入式系统安全模型的设计与研究 2 论文理论基础 2 1 模型集成计算 2 1 1 模型集成计算的发展及其内容 模型集成计算( m o d e li n t e g r a t e dc o m p u t i n g m i c ) 【1 1 】理论于1 9 9 7 年，由美国国防 部高等研究计划局d a r p a ( t h ed e f e n s ea d v a n c e dr e s e a r c hp r o j e c ta g e n c y ) 和国家基金 ( n a t i o n a ls c i e n c ef o u n d a t i o n ) 投巨资于v a n d e r b i l tu n i v 研究所得。 m i c 基于对模型的范围和用途的扩展，始于对系统执行过程的定义，并对具体领域 进行建模使其成为以计算机为基础的系统开发中的主要部分。m i c 是一种以模型为中心 的嵌入式软件系统开发理论，其模型分为3 个层次体系，从上到下依次为元元模型 ( m e t a - m e t am o d e l ) 、领域元模型( 也称领域建模语言d o m a i n s p e c i f i cm o d d i n g l a n g u a g e ，d s m l ) 以及领域用户实现模型【1 2 】，通过对基于u m l o c l 的在元模型语言 对实体、关系、属性和约束的定义和描述，建立特定领域的建模语言，并规定了领域模 型和运行平台的指令集之间的映射，可满足特定领域的工程人员开发应用所需的快速性 要求。在模型的3 个层次中，元元模型是构建面向领域元模型的基础设施，它提供了表 达领域概念和逻辑关系的基本元素，如实体、关联、继承等。面向领域元模型是一个图 形化的建模语言，它提供了对特定领域的多角度、多层次的抽象描述，是一种图形化 的建模语言。以面向领域元模型为基础，开发人员可以建立具体系统的实现模型，它符 合领域元模型所定义的规范。最后根据领域元模型规范和用户实现模型，通过模型解释 和代码生成技术，自动生成系统源代码。 m i c 的优点有： ( 1 ) m i c 中的模型直接面向领域，更有利于领域家和软件开发人员的交流。 ( 2 ) m i c 的模型不仅仅充当软件开发文档的角，不通过手工编写代码，通过模型访 问和解释过，把模型自动转换为代码。 ( 3 ) m i c 除了对软件结构建模，还可以对与领域相关的硬件结构、资源配置、实时 任务调度等进行模型抽象，更有利于对嵌入式系统的建模。 多图结构( m u l t i g r a p h a r c h i t e c t u r e m g a ) 是m i c 应用的框架，在过去的十年中， m g a 在系统建模框架、建模工具整合框架以及m i c 理论的发展过程中不断得到改进。 m g a 为系统开发提供了一种双层开发方法，如图2 1 所示。软件或者系统工程师根据 m e t a l e v e l 进程来详述和设定特定领域环境，以便领域建模工程师可以根据所设定的领 域环境来进行特定领域建模和模型分析并开发出具体应用。 4 c o m p u t e r - b a s e ds y s t e m ：p r o d u c ta n ds o f t w a r e 图2 1 多图结构的系统开发应用 f i g 2 1s y s t e md e v e l o p m e n tu s i n gt h em u l t i g r a p ha r c h i t e c t u r e 2 1 2m i c 主要特点及应用现状 m i c 类似于领域软件体系结构，然而不同的是，模型集成计算中，模型不但捕获软 件架构，而且还捕获环境架构。m i c 的最大优点是建模环境指导着使用者的工作。在国 外已有许多成功应用的例子，如嵌入式系统软件开发方法【1 3 】，而在我国该理论的研究及 应用尚处于空白阶段，更别说应用于安全模型的开发了。本文拟提出基于m i c 理论的 嵌入式系统安全模型的建模方法。 系统的模型集成开发过程包括以下几个方面： 1 从相互作用的多个方面对系统及其环境建模； 2 合成设计模型以加快建模过程； 3 通过分析或仿真工具对系统进行分析； 4 通过解释工具生成可执行系统。 如图2 2 所示模型集成开发过程 5 基于m i c 理论的嵌入式系统安全模型的设计与研究 图2 2 模型集成开发过程 f i g 2 2m o d e li n t e g r a t e dc o m p u t i n g 2 2 特定领域建模 特定领域建模( d o m a i n s p e c i f i cm o d e l i n gd s m ) 通过对应用领域的直接定义从而提 高了超出于软件编程的抽象层次，最终软件产品将从高层次的设计中直接自动产生。 2 2 1 特定领域建模的内容 要高质量大幅度快速开发出软件系统，只有提高抽象层次，将软件直接面向建模专 家或系统分析师，然后运用自动化代码生成技术。在o o p s l a ( 领先的软件工程会议) ， 大家认为d s m 可能是一种解决方案。b i l lg a t e s 和g r a d yb o o e h 也发表过同样观点【1 4 】。 d s m 意味d o m a i n s p e c i f i cm o d e l i n g 领域定义建模，通过使用领域概念直接指定解 决方案，d s m 提高了超越程序代码之上的抽象层次，最终软件产品将从高层次的设计 中直接自动产生，这样一个自动过程是可以实现的，因为语言和代码产生器可以满足某 一个公司或领域的需求，建模专家使用定义这个自动机器，而程序员只管使用即可。 实践经验已经证明：d s m 比现有方式( 包括基于u m l 的m d a ) 效率提高5 1 0 倍， 正如b o o t h 说的那样：“当建模概念可以直接映射到特定领域( d o m a i n ) ，而不是计算 机具体技术概念时，m d a 的价值已经完成”。这句话的意思是：m d a 已经证明我们可 以直接从领域专家d o m a i n 观点直接建模，而不必拘束于具体的计算机技术概念，或者 说：直接由有经验的系统分析n 建模专家分析设计进而生产出软件系统已经被m d a 证 明是可行的了，m d a 的价值也就在于此，b o o e h 等人寄希望于使用d s m 替代m d a 。 由建模专家定义有关领域和组件的代码产生器，这样做的结果要好于大多数开发者 手工开发。从m d a 教训来看，大家认识到：不可能有“二种尺寸适合所有身材”的代码 产生方案，不必象m d a 那样疲于往来返工，d s m 所做的正如将代码编译成汇编语言的 编译器所做的。 6 西华大学硕士学位论文 2 2 2d s m 工作原理 首先，每个行业都有一些经验丰富行业专家，俗成系统分析师，他们对业务系统非 常熟悉，但是不太了解软件技术，由这些专家定义一个包含领域概念和规则的域定义语 言( d o m a i n s p e c i f i cl a n g u a g e ) ，并且定义这些领域域概念和规则映射到代码产生器的映 射；实际上这些建模专家所要表达的就是：我们的需求应该看上去是怎样? 我是怎么写 代码的。 然后，其他开发者就使用建模语言根据前面定义的规则制作模型，最后，代码将自 动产生，因为建模专家参与了定义代码生产器，这样最后产生的代码质量要高于正常程 序员手工完成的代码质量。更重要的是，制作模型将比手工写代码更快 2 3 领域建模语言 领域建模语言( d o m a i n s p e c i f i cm o d e l i n gl a n g u a g e d s m l ) 是一种设计和开发系统 ( 如电脑软件) 的软件工程方法学。它系统使用图形化特定域语言( d s l ) ，表现系统 的各个方面。 2 3 1i ) s m l 发展历史简介及其内容 d s m l 倾向于支持比通用建模语言更高级别的抽象，因此需要较少的努力和更少的 底层细节来描述特定系统。d s m l 的语义及语法如下： 。 1 具体语法( c o n c r e t es y n t a x ) ( c ) ：定义具体符号( 文本或图形) 来表达模型； 2 抽象语法( a b s t r a c ts y n t a x ) ( a ) ：定义可使用的概念，关系，完整性约束，因此 抽象语法决定了所有语法正确的模型是否可建； 3 领域语义( s e m a n t i cd o m a i n ) ( s ) ：通常定义成解释模型含义的一种数学形式体 系； 4 语义映射( s e m a n t i cm a p p i n g ) ( m s ) ：抽象语法到领域语义的映射规则( a _ s ) ； 5 语法映射( s y n t a c t i cm a p p i n g ) ( m c ) ：具体语法到抽象语法的映射规则( a _ c ) 。 从形式上来说，建模语言由以上5 部分构成的5 元组来表示：l - ， 它们之间的关系如图2 3 所示。 建模抽象语法： 在m i c 中，采用u m l 的类图和对象约束语言( o c l ) 1 5 】作为抽象语法。以高性能 数字信号处理系统( 如分布式传感器网络，实时图像处理等) 应用中信号流方面为例， 这一领域可通过分层信号流图( h i e r a r c h i c a ls i g n a l f l o wd i a g r a m s h s f d ) 来实现。如图 2 4 所示，通过抽象语法对分层信号流图的元模型建模及o c l 约束。 7 基于m i c 理论的嵌入式系统安全模型的设计与研究 图2 3d s 池语义及语法间关系图 f i g 2 3t h er e l a t i o n s h i pb e t e e ns e m a n t i c sa n ds y n t a xd i a g r a mo fd s m l 图2 4 h s d f 元模型 f i g 2 4h s d fm e t a - m o d e l o c l 约束语言如下： | | i fa l lo u t p u t p o r ti st h es o u r c eo fac o n n e c t i o n 。 i fh a st ob ea l lo u t p u t p o t ro fac o n t a i n e db l o c k c o n t e x t ：o u t p u t p o t r s ： c o n n e c t e d o b j e c t ( ”d e t ) 一 f o r a l l ( y is e l f p a r e n t p a r e n t = y p a r e n t ) c a n n o td i r e c t l yc o n n e c tp o r t s ，a tl e a s to l l eo ft h e mn e e d s | l 镪b eap o r to f ac o n t a i n e db l o c k c o n t e x t ：d a t a f l o wc o n n e c t i o n s ： s e l f s r c p a r e n t = s e l e d e t p a r e n t i m p l i e ss e l s r c p a r e n t o s e l p a r e n t e n s u r e sd a t a t y p ec o n s i s t e n c y c o n t e x t ：d a t a f l o wc o n n e c t i o n s ： s e l f s r c d a t a t y p e = s e l f d s t d a t a t y p e 具体语法及语法映射： 一 具体语法可以认为是抽象语法在具体的应用领域中的映射。当抽象语法的目的是定 义我们所需模型的数据结构时，具体语法便捕获这些数据结构是如何实现人机交互或机 器间的通讯。如图3 所示，h s f d 抽象语法中所定义的概念及关系在具体语法中表示为： g 西华大学硕士学位论文 模块，线条，连接和数字符号。 领域语义及语义映射： 领域语义和语义映射明确了d s m l 的语义，而这些语义的作用是描述我们通过建模 语言创建的模型的特性( 意义) 。一般地，模型有多种不同的特性；因此相应的，d s m l s 也有不同语义和他们相对应，如建模语言的结构和行为语义。结构语义通过模型的相互 组合( 所谓组合也就是模型之间部件和关系的配置) 来描述模型特性，所以，可以根据 建立数学关系来表达结构语义：而行为语义描述模型随时间变化的状态过程，可以通过 数学结构对其建模，这些数据结构表示某种动态形式。如【1 6 】中有限状态机( f i n i t es t a t e m a c h i n e s f s m ) 的描述。 2 3 2d s m l 主要特点及其应用现状 特定领域建模( d s m ) 往往还包括代码生成的想法：直接从d s m 模型自动创建可 执行源代码。摆脱手工创建和维护源代码，意味着d s m 可以显著提高开发人员的工作 效率。与手工编码相比，自动生成的代码比较可靠、生成的程序可减少缺陷从而提高质 量。 d s m 不同于2 0 世纪8 0 年代的c