（计算机软件与理论专业论文）internet环境下高可信网构软件度量技术的若干问题研究.pdf

。硷 薄f 谨一 缸 霹、 弩 嗡一 ，-i l - j；孽。 i n t e r n e t 环境下高可信网构软件度量技术的若干问题研究 摘要 随着i n t e m e t 的迅速发展和不断普及，越来越多的人开始关注信息安全领域。 可信计算( t r u s t e dc o m p u t i n g ) 作为信息安全领域中最为热点的问题，直接关系着软 件或系统是否能够正常运行和交互。国内外对可信计算的研究也日益深入，但主要 研究还是侧重硬件方面，对软件方面涉及的比较少，尤其在软件可信度量的问题还 未有公认的理论方法和模型。 由于软件在设计开发的时候，会有大量的人为因素介入，因此，如何通过量化 的方式来测评软件内部的实效、故障、缺陷等成为研究的一个主流方向。本文对可 信度量技术的若干问题进行了初步的研究和探讨。 首先，通过查阅相关文献资料，在成熟的决策树基础上，提出可信树的概念。 通过分解获得可信树的最小可信因子，再利用最小可信因子来构建最小可信树。 其次，对于软件是否可信的属性进行分类，依次分别是：关键可信属性、用相 关标准来评定的可信属性和需要专家评定的可信属性。其中，第一和第三个属性是 属于主观评定的，这需要运用专家的经验来确定每个属性的权重。根据影响程度来 分配权重值，最终量化得到一个相对科学的数值。第二个属性是属于客观评定的。 接着，在安全模型和信任模型的基础上，本文提出了软件可信度量评估模型。 利用可信空间来划分软件是否可信，而软件最终确切的可信值需要对各个可信属性 进行权重计算。本文通过若干个专家评分数值的综合，利用矩阵算法，最终计算出 各属性的权重比例。 最后，通过一个测试用例来验证本文所提出的可信度量方法是否可行。可信性 测评系统采用量化的主观评分法，获得实验仿真数据，并对测评的结果进行分析和 比较，最终得出结论。 关键字：最小可信因子；最小可信树；可信度量评估模型；可信计算 p 1，|lp r e s e a r c ha b o u ts o m ep r o b l e m so n t r u s t e d i n t e r n e t w a r em e a s u r e 卜t ti nt h ee n v i r o n m e n t o fi n t e r n e t a b s t r a c t w i t ht h er a p i dd e v e l o p m e n ta n dp o p u l a r i z a t i o no f i n t e r a c t ，m o r ea n dm o r ep e o p l e p a ya t t e n t i o nt ot h ef i e l do fi n f o r m a t i o ns e c u r i t y t r u s t e dc o m p u t i n gi st h eh o t t e s tt o p i ci n t h ef i e l do fi n f o r m a t i o ns e c u r i t y , w h i c ha f f e c t ss o f t w a r eo rs y s t e m sw o r ka n di n t e r a c t s n a t u r a l l yo rn o t e x p e r t sa th o m ea n da b r o a dh a v er e s e a r c h e dt r u s t e dc o m p u t i n gd e e p l y , b u tt h e yh a v ee m p h a s i z e dp a r t i c u l a r l yo n h a r d w a r e ，n o ts o f t w a r e t h e r ei s n ta r e c o g n i z e dt h e o r ya n dm o d e la b o u tt r u s t e dm e a s u r e m e n t t h e r ea r eal o to ff a c t i t i o u sf a c t o r si n t e r v e n e dw h e ns o f t w a r ew a sd e s i g n e da n d d e v e l o p e d ，s oh o wt oe v a l u a t et h ea c t u a le f f e c t ，f a i l u r ea n db u go fs o f t w a r ei n s i d ew i t h t h ef o r mo fm e a s u r eh a sb e c o m eam a i n s t r e a m t h i sp a p e rh a sr e s e a r c h e da n dd i s c u s s e d o nt h ep r o b l e m so ft r u s t e dm e a s u r e m e n te l e m e n t a r i l y f i r s t , t h i sp a p e rp r o p o s e dt h e c o n c e p t i o no ft r u s t e d t r e eb a s e d o n d e c i s i o n - m a k i n g t r e e l e a s tt r u s t e dg e n e sc a nb eg o tt h r o u g hd e c o m p o s i n gt r u s t e dt r e e ， a n dw eu s et h el e a s tt r u s t e dg e n e st ob u i l dl e a s tt r u s t e dt r e e s e c o n d ，t h e r ea r et h r e ek i n d so fa t t r i b u t e so fs o f t w a r ea c c o r d i n gt ot h et r u s t e d d e g r e e ，a n dt h e ya r ek e yt r u s t e da t t r i b u t e s ，a t t r i b u t e sa s s e s s e dw i ms t a n d a r d sa n do l l e s e v a l u a t e db ye x p e r t sr e s p e c t i v e l y t h e r e i n t o ，t h es e c o n do n eb e l o n g st o i m p e r s o n a l e v a l u a t i o na n dt h ef i r s ta n dl a s to n eb e l o n g st os u b j e c t i v ee v a l u a t i o n ，w h i c hm a yn e e d e x p e r t s e x p e r i e n c et om a k es u r et h ew e i g h to fe a c ha t t r i b u t e w e i g h ti sd i s t r i b u t e d a c c o r d i n gt oe f f e c td e g r e e ，a n dw ec a ng e tas c i e n t i f i cv a l u ew i t hm e a s u r e m e n t n e x t , t h i sp a p e rp r o p o s e dat r u s t e dm e a s u r e m e n te v a l u a t i o nm o d e la b o u ts o f t w a r e i i i l l 兮 一 目录 摘要i a b s t r a c t 1 1 目录 1 绪论1 1 1 选题背景及研究意义1 1 2 国内外研究现状2 1 2 1 国外研究现状2 1 2 2 国内研究现状3 1 3 论文组织7 2 可信计算和网构软件简介8 2 1 网构软件的定义及特点8 2 2 可信计算简介9 2 2 1 可信计算概念9 2 2 2 可信相关理论1 0 2 3 本章小结1 2 3 软件可信度量研究1 3 3 1 可信度量方法介绍1 3 3 1 1 专家评定方法1 3 3 1 2 基于模糊理论的数学建模方法1 3 3 1 3 决策树1 6 3 2 软件可信树度量方法16 3 2 1 软件可信树的概念描述1 6 3 2 2 最小可信因子评判标准1 7 3 3 软件可信树度量流程1 7 3 3 1 关键可信性质1 8 3 3 2 需用相关标准评定的可信度2 0 3 3 3 需专家评定的可信度2 l 3 4 本章小结2 3 4 可信度量评价模型的设计与实现2 4 4 1 信任模型和安全模型比较2 4 4 1 1 信任模型2 4 4 1 2 安全模型2 6 4 2 可信度量评价模型2 9 4 2 1 可信度量评价模型概述3 0 4 2 2 各属性权重的计算方法3 2 4 3 实验仿真3 5 4 3 1 系统中的参与者和实际用例3 5 4 3 2 可信度量测评实例3 7 i v z i ：! 4 4 4 4 4 5 4 6 4 9 ! ；( ) 5 ：! ：；：! v 1 1 选题背景及研究意义 1 绪论 信息技术产业迅速发展的同时也推动了社会的进步，但是，它也带来了巨大的 安全风险。尽管杀毒软件、病毒检测、防火墙、v p n 及加密锁都在保护信息安全方 面做出了不可磨灭的贡献，但是我们却忽略了根本性的安全缺陷，即计算机系统本 身存在的基础性缺陷。随着软件工程学的发展，现在使用的应用软件越来越复杂， 软件内部的错误、失效、危机和故障也越来越频繁。我们国家曾发生多起泄密案件， 基本上都是通过计算机软件或网络发生的，这对国家的信息安全造成了： # 常严重的 危害 1 ，2 。 可信计算( t r u s t w o r t h yc o m p u t i n g t r u s t e dc o m p u t i n g d e p e n d a b l ec o m p u t i n g ) 概 念及其相关产品的出现，实际上就是源于计算机本身及网络传递间的安全问题。可 信计算在构架和强度上作为突破点，比传统的安全保护方法有了质的飞跃和提高。 现在，计算机业内比较流行也比较认可的的安全解决方案是：先防外后防内、先防 服务设施后防终端设施，但是可信计算却是反其道而行之，也就是先从终端开始防 护，从计算机内部开始防护，然后再防护外部的服务器设备等，把“终端安全”的理 念带入实际应用中。这样的做法既可以保证所有终端的安全性，又能通过组件的安 全性质来构建更加强大的安全系统 3 。 其实，到目前为止，可信计算平台还没有一个非常明确的定义，一般情况下不 外乎包括以下几大方面 4 ：认证用户身份，这是对使用者的信任；平台软硬件配置 的正确性，这是使用者对运行环境的信任；应用程序的完整性和合法性，这是对应 用程序的运行信任；平台之间的可验证性，这是对平台之间网络环境下的互相信任。 1 绪论 目前国内外可信计算的研究大多数集中在硬件层面上，软件可信性研究作为可 信计算的一个分支，还未得到应有的重视和发展。目前，尚无公认的可信计算理论 模型以及动态可信性的度量方法和理论，因此，如何对软件进行可信性度量和评估， 特别是可量化的可信性评估将是一个值得高度关注的课题。 其中，高可信软件工程对目前的软件理论和技术提出了更为严峻的挑战，例如， 如何定性或定量地描述软件的行为? 如何描述软件可信性质及其行为之间的关 系? 如何讲软件的可信属性融入到软件设计中? 如何正确科学地评估软件系统是 否具有可信性质? 本文就上述问题中的若干分支做了初步探讨和研究。 1 2 国内外研究现状 1 2 1 国外研究现状 在信息安全方面，国外的可信计算起步相对比较早，在该领域内也取得了较多 的研究成果，并制定了一系列相关标准，具体内容如下： ( 1 ) t r u s t e dc o m p u t e rs y s t e me v a l u a t i o n sc r i t e r i a ( t c s e c ) 1 9 8 3 年，美国国防部 首次推出了“可信计算机系统评价标准( t c s e c ) ”，并在1 9 8 5 年对此进行了修改，实 现从橘皮书到彩虹系列的脱变，这也是计算机系统信息安全评估的第一个正式标 准。t c s e c 对访问控制、用户登录、审计跟踪、授权管理、可信通道建立、隐蔽通 道分析、文档写作、安全检测、生命周期、保障等内容提出了规范性的要求。同时， t c s e c 将安全保护分成四个等级，每个等级又包含一个或多个级别。安全级别按 d ，c 1 ，c 2 ，b 1 ，b 2 ，b 3 ，a 1 逐渐增强。对任何不满足较高级别的安全可信性条件的系 统均划入d 类；c 类是自主型保护，由两个级别组成；b 类是强制型保护，由三个 级别组成；a 类是验证型保护，比砧级可信度更高的系统都归入该级 5 】。 ( 2 ) 1 9 8 9 年7 月，德国信息安全局颁布的信息系统安全评估准则划分了八个可 信级；另0 ( a s s u r a n c el e v e l sq o q 7 ) 幂i ：i 十类安全功能 6 。 ( 3 ) 1 9 8 9 年，加拿大、法国和澳大利亚也相应制定了自己的可信计算标准。 2 1 绪论 ( 4 ) 国外对软件的可信计算研究，比较有成效的当属德国达姆施塔特大学的计 算机科学和工程系的数据库和分布式系统组f d a t a b a s e sa n dd i s t r i b u t e ds y s t e m s g r o u p ) ，其中有一项“可信计划”( t r u s t e dp r o j e c t ) 7 ，该计划致力于解决与可信分布 式系统相关的许多问题。他们认为，可信性是软件的一个性质，比任何其它特征更 具综合性，因为可信系统必须具备下列属性：可靠性( r e l i a b i l i t y ) ，可用性( a v a i l a b i l i t y ) ， 一致性( c o n s i s t e n c y ) ，实效性( t i m e l i n e s s ) ，可扩展性( s e a l a b i l i t y ) ，可预测性 ( p r e d i c t a b i h t y ) ，端到端的安全( e n dt oe n ds e c u r i t y ) 8 。 ( 5 ) 1 9 9 6 年，j v o a s 提出了一种“自适应的脆弱性分析a v a ( a d a p t i v e v u l n e r a b i l i t ya n a l y s i s ) ”理论模型，主要的功能是把软件代码模拟成各种恶意性的攻 击，然后检测这些攻击对软件安全性造成的影响，通过计算和统计能够得出一个定 量的参考值 9 。 ( 6 ) o h a l h a z m i 和yk m a l a i y a 等人提出了利用漏洞的密度来评估软件的安 全性和其潜在的威胁。漏洞密度表示的是每单位代码中包含的漏洞数目，根据漏洞 数再计算漏洞密度，两者之差就是未知漏洞密度，即系统面临的潜在威胁。 ( 7 ) i c h o w d h u r y 和b c h a r t 等人提出了基于源代码的安全性度量方法，并对这 些度量值在哪里需要进行改进做了详细的描述和解释。其中，包括安全性度量值的 失效比率、耦合错误传播和关键元素比例等。 ( 8 ) m g e g i c k 和l w i l l i a m s 等人提出利用静态工具的输出结果作为中间值的度 量安全性的方法。静态分析工具在不执行程序的情况下对代码进行综合分析，得出 代码流失、警告数量和源代码行数等相关结果，并由此来判断软件的安全性。 上述这些研究中的模型都存在着一个问题，就是对网络环境的综合分析能力不 足，缺乏对软件安全性的系统度量指标、度量模型及方法。 1 2 2 国内研究现状 我国可信计算的研究起步相对于国外要晚，但是在最近几年的时间里，发展非 常迅速： ( 1 ) 2 0 0 4 年6 月，瑞达自主研发并推出了国内首款具t p m 功能的可信安全计 3 1 绪论 算机。这是一款提供可控、可信、安全计算环境的计算机。它基于访问控制技术、 密码技术、智能i c 卡技术，在计算机主板中嵌入特定的安全控制模块，通过验证、 认证、数字签名、加解密、日志等方法，保障用户应用信息和网上信息的安全、可 信。 ( 2 ) “十一五”规划及“8 6 3 ”计划都将“可信计算”列入重点支持项目，并且有较 大规模的投入与扶持。把网络安全作为教育信息化中一个非常重要的方面做了整体 部署，为可信计算的研究和发展提供一个强大的平台。同时，数据和信息的传输和 应用中涉及到安全保护的各个方面，因此，搭建一个绿色、安全并且能实现资源共 享的网络平台已迫在眉睫。 ( 3 ) 全国信息安全标准化技术委员会于2 0 0 5 年1 月1 9 日在北京成立了可信计 算工作小组。成立大会在北京的福建大厦召开，会期1 天。到会代表共有1 2 0 人， 贾颖禾同志主持会议，吕诚昭和林宁同志分别在会上作了重要发言，吴志刚同志介 绍了可信计算工作小组成立的背景，卿斯汉同志作了简短发言 5 。 ( 4 ) 2 0 0 5 年4 月1 1 日，联想推出的“恒智”是迈向国际可信计算的标志。联想 继a t l e m 之后成为全球第二家推出符合t p m1 2 标准安全芯片的厂商。装有“恒智” 的计算机将获得一个唯一的身份标识，在其它计算机上也就无法使用与该计算机绑 定的帐号，这样就可以避免其它计算机冒充自己。“恒智”的安全芯片是一个内置 3 2 位的r i s c 处理器，采用0 2 5 微米嵌入式f l a s h 工艺制造的。它可以用于系统完 整性的校对和验证，并在相关软件的配合下进行快速的系统还原。所有的密钥信息 都存储于“恒智”的芯片当中，这样可以提供硬件级的加密功能，相对于软件加密的 可信性而言，可以大大提高可信度。“恒智”的推出对我国的信息产业及其发展具有 里程碑的意义，自主知识产权的安全芯片能够极大地推动我国芯片业的发展，并能 提高我国在世界芯片产业中的地位。另外，相关政策规定：在国内销售和使用的可 信计算平台必须使用本国的安全芯片技术，联想可以说已经占领了中国可信计算的 制高点 4 。 ( 5 ) 我国可信计算标准的工作提案 5 ：2 0 0 5 年7 月1 3 日，我国信息安全标准 化委员会发出了可信计算标准工作提案征集的通知。通知要求工作小组中的各成员 提案，必须按照国家信息安全标准化管理委员会的统一规定格式来进行申报。 4 l 绪论 ( 6 ) 2 0 0 7 年6 月，推出全新的同方t s t 安全技术平台。 ( 7 ) 陈火旺等多位教授已经对可信方面做了深入的研究，他们一致认为，软件 系统的可信是软件系统的关键性质，对系统的稳定和运作方面起着重要的作用；一 旦软件违背了这些关键性质，就极有可能造成巨大的损失，正因为如此，我们称这 些关键性质为高可信性质。软件的可信性质主要包含了以下几种：可靠安全性 ( s a f e t y s e c u r i t y ) 、可靠性( r e l i a b i l i t y ) 、实时性( r e a l t i m e ) 、容错性( f a u l tt o l e r a n c e ) 、生 存性( s u r v i v a b i l i t y ) 【l o 。一般情况下，高可信软件系统中会涉及到上述中的一个或 多个性质。也正因为软件本身的各种功能特性会和这些可信性质混合在一起，使得 软件可信性研究远比硬件可信性研究更为复杂、更不易评价。这其实也与软件本身 特点有密切联系。软件是高度复杂的智力产品，人们对它的工作原理和科学规律还 缺乏充分的认识，所以有效地生产高可信软件的条件和技术还不是非常成熟。 ( 8 ) 软件体系结构的常见评估方法主要有三类：基于场景的评估、基于体系结 构描述语言的评估和基于度量的评估。其中，基于场景的评估主要是评估人员检查 软件体系在各种场景下对属性的满足程度，这种方法也可以对体系结构进行比较和 风险预测；基于体系结构描述语言的评估是依赖某种特定体系结构描述语言的，与 它的定义机制和理论基础密切相关，且他的描述语言多以半形式化或形式化为主， 例如u m l 等；基于度量的评估是把传统的度量技术应用于软件体系结构，它通过 对软件体系结构的建模，来度量模型的复杂度、耦合性、内聚度、可信性等多种内 部属性。现在的七种度量评估方法包括 1 1 ，1 2 ，1 3 ： 软件体系结构评估方法( s a e m ) ：确定体系结构要评价的指标，再根据指标 结合领域知识或经验设计相关模型，并收集信息进行分析，结合具体的要 求和经验对指标进行评价。 软件体系结构性能评估方法( p a s a ) ：能够采集系统各个环节的运行信息并 加以分析，对系统处理的交易量、数据量、峰值负载变化等进行对比，找 出差异点进行优惠配置。通过对各项负载数据的对比整理，计算生成各项 性能的评估指标，并综合这些性能指标，采用统一的方法记录、存储和体 现综合性的评估报告。这个方法的一个优点是能根据性能目标为评估性能 特征定义量化的标准。 l 绪论 基于贝叶斯网的软件体系评估方法( s a a b n e t ) ：首先根据软件功能结构把软 件输入域划分成若干个子域，然后进行初始化工作，例如，建立缺陷密度、 运行剖面、软件测试数据、可靠性节点的先验分布等。接着对软件进行测 试，获得软件的失效数据，再根据贝叶斯网理论估计软件可靠性，最后才 输出结果。 软件体系结构度量过程：软件过程产品和软件过程的可信性统一，包括： 质量可信、成本可信和进度可信。从过程管理学角度而言，认为它在“质 量成本进度 三角制约上的平衡；从软件开发生命周期角度而言，是过程 实体、过程行为和过程产品三个维度的统一。 软件体系结构变化的度量方法( s a c m m ) ：这个方法的一个突破是对软件可 更改性及软件体系结构的演化性进行评估，利用g r a p hk e r n e l 函数对软件体 系的相似性进行量化。 软件体系结构静态评估方法( s a s a m ) ：软件静态结构主要提供了以下三部 分信息，即构件的外部可见特性及关系，构件实例之间的连接关系和连接 件中角色之间的连接关系。该方法从文本复杂性、耦合性和结构形态等几 方面对软件体系结构进行评估。 软件体系结构层次可靠性风险分析方法( a l r r a ) ：这个方法中进行了可靠 性风险分析，研究两类度量：一类是与软件体系结构动态复杂性相关的一 组度量，另一类是与故障相关的一组度量。这两类度量都是计算可靠性风 险的因子。 上述这些方法都应用相关指标，通过关联模型的推理，对软件的体系结构进行 评估，实现软件评估的量化。但是这些方法多数涉及到的是软件开发生命周期中的 整个过程，对软件本身的可信性分析、度量和评估没有进行深入的研究和挖掘。并 且，软件可信性所包含的属性相对比较多而杂，在评估的时候要从实际应用的经验 出发，结合量化的度量技术，得到最终的可信值。本文就是在这个这个基础上进行 相关理论和模型的研究。 6 1 绪论 1 3 论文组织 本文在信息安全的研究背景下，以可信计算作为突破口和创新点，对网构软件 度量技术的若干问题进行初步研究和探讨，提出一个全新的可信度量体系结构模 型，并附以实验数据作为实际应用的例子来验证可信度量评价模型是否切实可行。 第一章简单介绍了本篇论文的选题背景和研究意义，并对可信计算领域内的国 内外相关研究工作进行综述和分析。虽然国内可信计算的研究起步比国外的要晚的 多，但是通过最近几年的努力也已经取得了重大的成果，为接下去的研究奠定了良 好而扎实的基础。 第二章着重介绍网构软件的定义和特点，与传统软件相比较的优势所在。多角 度、多方面地阐述了可信计算的一系列概念，并在此基础上介绍了与可信相关的理 论知识，例如，可信平台、信任链路传递、可信芯片集成等，使得可信计算的知识 更加丰满。 第三章重点研究可信的度量技术，首先介绍了一般的度量技术分别有决策树、 专家评定方法和数学建模方法，在此基础上，通过引进软件可信树的度量方法来克 服传统可信度量方法的不足。软件可信树的应用中需要对最小可信因子进行衡量和 评判，分别从关键可信属性、需用相关标准评定的可信属性和专家评定的可信属性 三个方面，来刻画最小软件可信树，也由此能够获得可信度量的区域。 第四章在可信度量研究的基础上，借鉴了安全模型和信任模型中某些思想和理 念，利用矩阵算法求出各个属性的权重，获得一个三维可信空间来判断软件是否可 信，并提出了一个新的可信度量评估模型，通过该模型能够获得软件可信度量的确 切数值。本章的后半部分，通过一系列的实验数据和结果逐一来验证该模型的可行 性，最终对待评估软件做出整体可信性评估。 第五章大致总结了本文的研究工作，得出最后的研究结论，并对研究工作中存 在的问题和不足进行探讨，方便我们下一步工作的深入和开展。 2 可信计算和网构软件简介 2 1 网构软件的定义及特点 网构软件我们可以用形式化语言来描述它的定义 1 4 ，1 5 - 定义l ：假设用g c 来表示构件的集合，g c 是一个二元关系，g c = s c ，n c ， 其中，s c 代表系统构件的集合，n c 代表网络构件的集合。 定义2 ：构件是一个集相关功能于一体的结点，而接1 2 1 ( i n t e r f a c e ) 是它与外界交 流的通道，每个i n t e r f a c e 都是一个四元关系，i n t e r f a c e = f u n ，e n v i r , m e s g e ，d e p d ) ， 这四个元素分别表示的意义如下： f u n 代表接口的功能集合； e n v i r 代表接口的环境集合； m e s g e 代表接1 2 1 的消息集合； d e p d 代表接1 ：3 依赖其他构件接口的集合； 根据上述两个定义的描述，假设c f 代表任意网构软件，a g e n t j 代表本地的代理 构件，我们可以得出结论，网构软件必须同时满足的下列性质： v c fe g c ja g e n 务a g e n t j c i e n v i r i v 白g c 1 j9 副c ( 9 c i d e p d g ) v c i g c ，9 c i d e p d f 习9e g c 网构软件是传统软件的延伸，它与静态、封闭的传统软件有所不同，是针对开 放、多变、动态的i n t e m e t 环境对软件理论、方法和技术而言的。传统软件存在一 定的局限性，例如，系统目标和结构确定性的限制、协同方式的单一性和实体单元 2 可信计算和网构软件简介 自主性的欠缺等。而网构软件在这种大背景下应用而生，同时具备一定的自主性、 协同性、演化性、反应性和多态性等多种特征，下面就网构软件的各个基本特性做 具体介绍和分析【1 4 ： ( 1 ) 自主性：不同于传统软件的依赖性和被动性，它对系统中的软件实体具有 相对的独立性、自适应性和主动性。 ( 2 ) 协同性：不同于传统软件在封闭集中环境中的单一静态连接模式，它可以 按多种静态连接和动态合作方式在开放环境中相互协作和通信，甚至达成联盟。 ( 3 ) 演化性：根据各种需求和变化能够发生动态演变，最主要体现在实体元素 数目的可变性、结构形态的可配置性和结构关系的可调节性。网构软件的演化性也 使得它具备相应的应变能力。 ( 4 ) 反应性：具有感应外部环境的能力，并能给系统演化提供有效的信息。 ( 5 ) 多态性：网构软件所处的网络环境是动态变化的，为了满足这种多目标形 态相容的目标，网构软件必须根据某些协同的原则来达到这种相容的能力，使得软 件具备一定的柔韧性、相容性和多元性。 2 2 可信计算简介 2 2 1 可信计算概念 可信计算是目前信息安全领域研究的热点问题之一。但是，什么是“可信”呢? 可信是指“一个实体在实现给定目标时，其行为总是与预期一样的结果” 1 6 ，它强 调的是行为结果可控制性和可预测性。目前，学术界比较公认的可信计算的定义是 “系统提供可信赖的计算服务的能力，而这种可信赖性是可以验证的 1 7 ”。 i s o i e c l 5 4 0 8 给出的“可信”定义如下：一个可信的行为、操作或者是过程行为 在任意条件下都是可测的，并能对病毒或其他物理干扰所造成的破坏有一定的抵抗 能力 1 8 。 比尔盖茨认为，真正的可信计算是一种随时随地可获得的安全可靠的计算，人 9 2 可信计算和网构软件简介 们能像使用电话一样自由、安全、信任的使用计算机。 从上述的定义描述中我们可以发现，对“可信”的定义需要满足可预测、高可靠、 可用等多方面的要求。它更侧重于从整体上构建一个系统的安全架构，即建立一个 “本质安全”的p c 体系 1 9 】。 因此，对于软件的可信性而言，应具备以下四个基本特征 2 0 ，2 1 】： 规定：软件的可信是有条件的，是指在限定的范围内，而不是无限的任意 的情景。 情景：指软件运行的上下文，如软件运行的环境、使用的角色等。 时间：软件在这一刻可信并不意味着在一段时间后也一定可信。这就要求 软件具备一定的预期性，它要求软件的运行行为和结果是可检测的、可评估的、可 控制的。这里的预期性不仅是指正常情况下的预期，还包括因为各种因素的干扰而 达不到预订目标的预测性。 能力：软件的可信性是由多个相互作用的信任属性组成的，是软件具备的 一种抗干扰的能力和属性，同时，这些属性也是能够被度量的。 2 2 2 可信相关理论 i n t e m e t 环境下，计算机系统是否可信，包括硬件、应用软件、中间件、网络、 操作系统、信息系统使用者以及它们之间的交互是否可信。在这条链上的任何一个 环节出现问题，都将导致计算机系统的不可信。其核心信任源c r t m ( c o r er o o to f t r u s tf o rm e a s u r e m e n t ) 是可度量的信任根，即信任链的起始地。可信计算的研究目 标就是要从根本上解决计算机结构的不安全性，整体而全面地提高系统的安全性。 与传统的终端安全方案相比( 如基于病毒防护、防火墙、入侵检测等) ，它的最主要 特色在于植入一块t p m 芯片，即通过第三方来的约束来保障系统的可信性。可信 计算模块( t r u s t e dp l a t f o r mm o d u l e ，t p m ) ，它是计算机体系中一个自带密码运算功能 的安全微型控制器。它通过软件t s s ( t g gs o f t w a r es t a c k ) 的支撑，使得t p m 成为 高度集成的嵌入式芯片。t p m 对外提供加减密的密码运算服务，对内存储密钥等敏 感数据，是可信计算平台中的核心部件。 2 2 上面所提到的t s s 主要作用就是为t p m 1 0 2 可信计算和网构软件简介 接口提供便利，把不涉及到信任性功能的部分模块放到t p m 以外的处理器中进行 处理，这样可以缓解功能性与矛盾性之间的冲突。应用程序只需直接与t s s 交互， 就能与t p m 平台协调一致地工作，更加有效地管理t p m 的资源和功能 2 3 ，2 4 。 信任链是运用最原始的物理安全思路，从硬件上的安全芯片开始建立个信任 根，再从信任根拓展到硬件平台、操作系统、应用系统等，一级一级的认证，一级 一级的信任，从而把这种信任扩展到整个计算机系统。信任链建立的流程如下 2 5 ，2 6 ： ( 1 ) p c 被加电； ( 2 ) t c p a 认证的b i o s 启动模块，并与t p m 建立一个通话，确保b i o s 是可 信赖的； ( 3 ) b i o s 确认用户的使用授权； ( 4 ) b i o s 与t p m 和o sl o a d e r 通信，确保o sl o a d e r 是可信的； ( 5 ) o sl o a d e r 与o sk c m d 建立通话。在t p m 的控制下，b i o s 将信任传递给 b o o tl o a d e r ，再由b o o tl o a d e r 将信任传递给o sk e n n e l ，o sk e r n e l 将信任传递 给o s ，最后将信任传递给应用程序。 作为可信软件，专家们认为应当满足以下几条行为准则：首先，正常情况下， 软件的行为应该符合预先设定的规则：其次，在危险情况下，软性的行为也应当符 合预先设定的规则；最后，在危险情况不明的情况下，软件的行为应该把危害和创 伤降到最小 1 0 。 然而，现实生活中，软件面临的不仅仅是外部的攻击( 病毒) 和威胁( 恶意代码) ， 还有来自内部的失效( 软件的动态错误：功能部件无法执行相应的功能；系统无法在 限定的权限内执行相应的功能；程序的执行偏离了预先的设定) 和错误( 人们的预期 与实际执行时所产生的功能发生一定的偏差，包括动态的和静态的两种错误) ，软件 的可信性是由多个互相作用的信任属性组成，并且按照一定的空间顺序排列 2 7 ， 2 8 。因此，量化软件的可信属性能比传统的研究方法更好更细致更全面的了解和分 析软件的可信性。本文拟对软件的可信属性建立相应的体系模型来量化评估。 1 2 3 软件可信度量研究 3 1 可信度量方法介绍 3 1 1 专家评定方法 软件在经历设计、开发、验证、运行、维护这么多环节上都涉及了大量的人工因 素，具有很强的主观性，因此，具有“丰富经验”的专家评定在可信度量上有着举足轻 重的地位，例如，软件的安全性、可维护性、可操作性、可生存性等，都作为专家评 定的相关属性。专家评定方法是定量与定性的结合。专家会选择几项需要评定的对象， 根据标准分值对各个对象分别进行评分。 3 1 2 基于模糊理论的数学建模方法 模糊综合评价是应用模糊变换的原理，考虑评价对象相关的各个因素，并对其作 出综合评价的一种方法，该方法中经常使用( ，+ ) 模型。它的基本原理如下： ( 1 ) 根据评价标准构造多个隶属函数； ( 2 ) 根据测评指标在各个隶属函数中的对应程度即隶属度，形成一个模糊关系矩 阵； ( 3 ) 构造权重系数模糊矩阵； ( 4 ) 通过模糊运算，把模糊关系矩阵和权重系数模糊矩阵合并成隶属度矩阵，利 用最大隶属度原则，得到一个综合指标来评价目标主体。 3 软件可信度量研究 信任不是一个绝对的概念，主体对属性特征的认识也往往带有一定的模糊性，为 了更好的表现可信的特点，用删表示对属性做出1 1 种评价的可能性( 即属性对各个 评价集合的隶属度) ，采用梯形函数分段来描述办，其中，b k j ，b 船，b 昭，b k 4 s ，具 体描述了对特定主体的属性做x ( x s ) 级评价的可能性( 即该属性对工级的评价隶属 度) 2 9 。 以( 工) = 0 x 玩1 # 争魄。 x - t ) ， 平均失效间隔时间m t b f = ir ( t ) d t 乞 ( 2 ) 可用性：i s 0 9 2 4 1 1 1 的定义是一个软件或系统在特定的环境中，能被特定 的用户使用，从而有效、满意地达成目标的程度；g b t 3 1 8 7 9 7 的定义是：软件或 系统在外部资源保证的前提下，能在规定的时间、规定的条件、规定的范围内处于 可执行规定功能状态的能力；s h a k e l ( 1 9 9 1 ) 的定义是：某种能力在特定范围内，接 受特定培训和支持，由特定的用户在特定环境中去完成特定的任务。可用性性分别 由以下几个子属性 2 ： 有效性：用户完成特定任务和达到特定目标所具备的完整和准确程度： 效率：用户完成任务的完整和准确程度与所使用资源之间的比率； 满意度：用户在使用产品过程中所感受到的接受程度和满意程度。 3 软件可信度量研究 ( 3 ) 一致性：一般是指软件或系统要确保内部信息与外界内容的一致性；行为 过程不被非法授权主体篡改；执行过程不被其他进程中断；即使系统失效后，事件 也能恢复到已知的某一状态。具体可以分为以下两个方面来评定： 数据的一致性：又包含数据来源的完整性和数据内容的统一性； 程序代码的一致性。 图3 3 具备关键属性的可信树 3 3 2 需用相关标准评定的可信度 如今的i n t e r n e t 已经是一个开放程度相当高的互联网，黑客攻击、病毒侵入、 信息泄露这些现象的背后是网络安全与信息保密的矛盾性问题。各国已经对此引起 广泛关注。 我国也已经出台了计算机信息系统安全保护等级划分标准，该标准将计算 机系统安全保护能力划分成5 个等级，分别是第一级：用户自主保护级；第二级： 系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访 问验证保护级。为了更好的解决信息安全问题，必须对信息流通的各个步骤加以管 3 软件可信度量研究 理，例如，数据的采集、信息的传输和流通、文件的加工和存储、文献的检索、密 码的验证等。当信息系统发生失效或中