戰(zhàn)德臣，馮錦丹，聶蘭順，徐曉飛

(1.哈爾濱工業(yè)大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，150001哈爾濱;2.北京衛(wèi)星制造廠，100094北京)

管理軟件被廣泛應(yīng)用于工業(yè)、商業(yè)、服務(wù)業(yè)以及政府部門，對(duì)企業(yè)和組織的運(yùn)行起到關(guān)鍵性的支撐作用，因此軟件是否具有可信性至關(guān)重要.管理軟件可信性問(wèn)題的典型表現(xiàn)包括:軟件系統(tǒng)中復(fù)雜的業(yè)務(wù)邏輯處理是否正確;財(cái)務(wù)信息、核心商業(yè)機(jī)密、技術(shù)機(jī)密等能否保證不會(huì)被非授權(quán)人員訪問(wèn)和纂改;軟件系統(tǒng)的流程是否不會(huì)走到非預(yù)期的狀態(tài);各種路徑是否已被完整地覆蓋和解釋;軟件系統(tǒng)的集成和互操作是否如其所聲明的工作;所有數(shù)據(jù)是否被正確的集成和完整的處理;軟件系統(tǒng)能否適應(yīng)其所聲明的多樣化、多變性需求.可信的管理軟件如何快速低成本的開(kāi)發(fā)以支持復(fù)用和滿足不斷變化的業(yè)務(wù)需求，給管理軟件研發(fā)人員提出了一個(gè)更為艱巨的任務(wù).

為了解決管理軟件的快速開(kāi)發(fā)問(wèn)題，領(lǐng)域內(nèi)廣為使用的是對(duì)象管理組織提出的模型驅(qū)動(dòng)的體系結(jié)構(gòu)(Model Driven Architecture，MDA)規(guī)范［1］.其核心思想是將軟件系統(tǒng)開(kāi)發(fā)這樣一個(gè)復(fù)雜的大問(wèn)題進(jìn)行多步求解和逐步求精，以保證軟件符合需求.從軟件可信性的角度看，借助MDA將軟件系統(tǒng)的可信性問(wèn)題可分解為軟件模型的可信性問(wèn)題和軟件代碼的可信性問(wèn)題，即跨越了軟件可信性與用戶可信需求之間的鴻溝，自動(dòng)化的模型轉(zhuǎn)換與代碼生成有助于保持可信性的自上而下傳遞.然而MDA并未將可信軟件的構(gòu)造作為其主要目的，且在模型驅(qū)動(dòng)的軟件開(kāi)發(fā)方法中也未顯式地將軟件可信性的度量、驗(yàn)證、優(yōu)化等過(guò)程和方法納入其中.因此在MDA中引入可信相關(guān)的方法，使之形成模型驅(qū)動(dòng)的可信軟件構(gòu)造方法，是解決可信管理軟件構(gòu)造問(wèn)題的新思路.本文在總結(jié)目前相關(guān)研究的基礎(chǔ)上，提出一種基于分層遞增驗(yàn)證的可信管理軟件模型驅(qū)動(dòng)架構(gòu)，以此為企業(yè)管理軟件領(lǐng)域的研究人員提供一個(gè)基本的理論參考框架.

1 相關(guān)研究

1.1 軟件可信性

可信軟件的研究主要集中在復(fù)雜環(huán)境下嵌入式軟件和開(kāi)放環(huán)境中網(wǎng)絡(luò)軟件，對(duì)可信軟件的含義存在相似的理解.高可信系統(tǒng)能夠以可理解可預(yù)期的形式運(yùn)行、抵御惡意侵襲和事故，不會(huì)引起意外或不期望的損失［2］.文獻(xiàn)［3］是可信計(jì)算機(jī)組織(TCG)用實(shí)體行為的預(yù)期性來(lái)定義可信:如果它的行為總是以預(yù)期的方式，朝著預(yù)期的目標(biāo)，則一個(gè)實(shí)體是可信的.一般認(rèn)為軟件的可信性包含以下屬性［4-7］:可靠性(Reliability)，可用性(A-vailability)，防危性(Safety)，機(jī)密性(Confidentiality)，生存性(Survivability)，安全性(Security)，容錯(cuò)性(Fault tolerance)，實(shí)時(shí)性(Realtime)，完整性(Integrity)和可維護(hù)性(Maintainability)等，其中可靠性被認(rèn)為是可信軟件最重要的屬性.當(dāng)前研究較為成熟的是針對(duì)可信性中某個(gè)關(guān)鍵性質(zhì)而展開(kāi)的，例如研究在嵌入式軟件和網(wǎng)絡(luò)應(yīng)用軟件中的可靠性度量評(píng)測(cè)與保證技術(shù).在管理軟件研究領(lǐng)域，客戶對(duì)軟件的可信性需求所描述的不一定是軟件可靠性這樣單一的屬性，還可能包含其他的性質(zhì).因此只有當(dāng)軟件滿足客戶的需求規(guī)范中描述的所有性質(zhì)時(shí)，才可以認(rèn)為軟件是可信的.

1.2 模型驅(qū)動(dòng)架構(gòu)

圍繞MDA的分層建模、轉(zhuǎn)換、轉(zhuǎn)換過(guò)程中的一致性保持、代碼生成等問(wèn)題，國(guó)內(nèi)外學(xué)者進(jìn)行了廣泛的研究.文獻(xiàn)［8］在MDA的基礎(chǔ)上嵌入執(zhí)行確認(rèn)活動(dòng)，提出了一種新SPMDA結(jié)構(gòu)，建立多鏈排隊(duì)網(wǎng)模型(Multi-chain Queuing Network model，QN)到LQN(Layered Queuing Network)的轉(zhuǎn)換，使用LQN描述系統(tǒng)的服務(wù)需求與硬件資源的關(guān)系和參數(shù)，用配置圖建立基于構(gòu)件的軟件模型到平臺(tái)環(huán)境的映射.國(guó)外在MDA領(lǐng)域的研究覆蓋范圍廣泛且較為深入，相對(duì)而言國(guó)內(nèi)關(guān)于MDA理論方面的研究?jī)?nèi)容主要集中于MDA思想在系統(tǒng)開(kāi)發(fā)上的理論指導(dǎo)，而抽象層度較高的建模方法論、模型轉(zhuǎn)換以及建立特定領(lǐng)域內(nèi)完整MDA模型規(guī)范等方面的研究很有限，當(dāng)前主要應(yīng)用于嵌入式領(lǐng)域和企業(yè)管理軟件領(lǐng)域.MDA研究仍存在的不足主要表現(xiàn)為對(duì)語(yǔ)義的映射考慮不足，缺少對(duì)模型與代碼的可信性度量與驗(yàn)證，缺乏基于MDA構(gòu)造完整軟件系統(tǒng)的系統(tǒng)性實(shí)踐和集成平臺(tái).

1.3 基于構(gòu)件的可信軟件構(gòu)造與驗(yàn)證

基于構(gòu)件的軟件開(kāi)發(fā)成為降低軟件開(kāi)發(fā)成本的重要方法之一［9］.基于構(gòu)件的可信軟件開(kāi)發(fā)過(guò)程離不開(kāi)對(duì)其可信性的度量與評(píng)測(cè)，軟件可信性度量成為可信軟件研究的核心問(wèn)題.在軟件開(kāi)發(fā)生命周期的各階段中都可以對(duì)可信性進(jìn)行不同角度的度量.1)在軟件設(shè)計(jì)階段采用預(yù)言方式發(fā)現(xiàn)并解決可能潛在的問(wèn)題.可建立系統(tǒng)的描述模型，如基于RADL的軟件體系結(jié)構(gòu)模型或動(dòng)態(tài)錯(cuò)誤樹(shù)系統(tǒng)模型［10］，通過(guò)模型檢測(cè)設(shè)計(jì)中可能存在問(wèn)題予以較早解決，有助于較早減少軟件錯(cuò)誤來(lái)增強(qiáng)可信性.2)軟件開(kāi)發(fā)階段主要進(jìn)行預(yù)測(cè)性度量與跟蹤修正.系統(tǒng)可信性的度量與驗(yàn)證有兩個(gè)層面，即系統(tǒng)模型的可信性驗(yàn)證［11］和程序代碼的可信性驗(yàn)證［12］.3)在軟件測(cè)試階段，主要是基于測(cè)試數(shù)據(jù)進(jìn)行軟件測(cè)試和精確評(píng)估.軟件錯(cuò)誤檢測(cè)是軟件測(cè)試階段的主要任務(wù).Bev Littlewood等［13］認(rèn)為不同的軟件設(shè)計(jì)對(duì)應(yīng)著不同的錯(cuò)誤檢測(cè)方案，提出一種多樣錯(cuò)誤檢測(cè)度量方法.4)在軟件應(yīng)用過(guò)程中使用實(shí)際數(shù)據(jù)進(jìn)行實(shí)際評(píng)測(cè)［14］.5)也有部分研究考慮軟件生命周期中一些階段之間存在不同或相關(guān)的影響因素，需要從整體上予以考慮.雖然有研究覆蓋了軟件生命周期的全過(guò)程，但也只是針對(duì)一種或兩種關(guān)鍵性質(zhì)進(jìn)行跟蹤度量與改善.從軟件實(shí)現(xiàn)的技術(shù)角度考慮，對(duì)于多個(gè)可信性質(zhì)的度量技術(shù)往往是分離的，比如容錯(cuò)技術(shù)、調(diào)度、形式化驗(yàn)證等技術(shù)，這些技術(shù)應(yīng)用于不同的領(lǐng)域，沒(méi)能針對(duì)統(tǒng)一的可信性形成一個(gè)集成技術(shù)平臺(tái).針對(duì)上述問(wèn)題，本文提出在可互操作、可配置、可執(zhí)行的模型驅(qū)動(dòng)體系結(jié)構(gòu)(Interoperable Con-figurable Executable Model Driven Architecture，ICEMDA)［15］中融入可信性度量與驗(yàn)證是構(gòu)造可信管理軟件的一種有效途徑，其可提供一套系統(tǒng)性的可信軟件開(kāi)發(fā)理論指南和集成平臺(tái).

2 基于分層遞增驗(yàn)證的可信管理軟件模型驅(qū)動(dòng)構(gòu)造方法體系

定義1(管理軟件可信性)管理軟件可信性是指軟件具備可信性意味著軟件系統(tǒng)按用戶期望的方式運(yùn)行，不會(huì)導(dǎo)致非預(yù)期的狀態(tài)，換言之，軟件系統(tǒng)的可信性是其行為對(duì)聲明的符合程度.

基于這種理解，本文在ICEMDA的管理軟件開(kāi)發(fā)方法中，顯式地引入軟件可信性的度量、計(jì)算、判定及改善，實(shí)現(xiàn)PSM模型=＞構(gòu)件代碼=＞軟件系統(tǒng)的增量式可信性驗(yàn)證與構(gòu)造，最終實(shí)現(xiàn)軟件系統(tǒng)可信，即其行為符合用戶期望這一目標(biāo).

ICEMDA將軟件開(kāi)發(fā)/構(gòu)造過(guò)程劃分為4個(gè)層次:1)面向過(guò)程與對(duì)象技術(shù)相結(jié)合的CIM/PIM層;2)向下轉(zhuǎn)換為可支持實(shí)現(xiàn)的PSM層;3)進(jìn)一步轉(zhuǎn)換到以干業(yè)務(wù)構(gòu)件為核心的代碼層;4)干業(yè)務(wù)構(gòu)件被部署到系統(tǒng)層且被配置成面向特定需求的復(fù)用業(yè)務(wù)構(gòu)件，并通過(guò)工作流引擎將復(fù)用業(yè)務(wù)構(gòu)件和工作流可執(zhí)行模型組裝成完整的軟件系統(tǒng).ICEMDA的每個(gè)層次都有要構(gòu)造的實(shí)體，其可被逐層轉(zhuǎn)換.

定義2(ICEMDA各層次的構(gòu)造體)把ICEMDA各階段中所要構(gòu)造的目標(biāo)實(shí)體，如CIM模型、PIM模型、PSM模型、構(gòu)件代碼(干業(yè)務(wù)構(gòu)件、復(fù)用業(yè)務(wù)構(gòu)件)和軟件系統(tǒng)等，稱作ICEMDA各層次的構(gòu)造體.

定義3(構(gòu)造體具有可信性)給定可信性度量指標(biāo)集Φ，(用戶的)可信性需求φ是定義在指標(biāo)集Φ上的一些約束，M是構(gòu)造體的某種面向可信性計(jì)算的描述模型，ξ是一組度量/計(jì)算方法，對(duì)Φ中的每個(gè)指標(biāo)，ξ能夠度量/計(jì)算M的指標(biāo)值，稱M是可信的，當(dāng)且僅當(dāng)ξ(M)｜=φ，其中｜=是滿足關(guān)系.

具體而言，構(gòu)造可信的管理軟件系統(tǒng)就是逐步建立滿足客戶需求的可信構(gòu)造體，即建立可信的工作流模型和業(yè)務(wù)構(gòu)件PSM模型，將其轉(zhuǎn)換為CODE層可信的干業(yè)務(wù)構(gòu)件，在系統(tǒng)層面配置出可信的工作流可執(zhí)行模型和可信的復(fù)用業(yè)務(wù)構(gòu)件，最終組裝成可信的軟件系統(tǒng).

圖1給出了基于ICEMDA的可信管理軟件構(gòu)造方法架構(gòu).此構(gòu)造方法由4個(gè)核心步驟組成:

圖1 基于分層遞增驗(yàn)證的模型驅(qū)動(dòng)軟件構(gòu)造方法

1)可信度量指標(biāo)集Φ的定義及可信性需求φ描述;2)將面向開(kāi)發(fā)的構(gòu)造體轉(zhuǎn)化為支持可信性計(jì)算模型M;3)可信性指標(biāo)的度量、計(jì)算問(wèn)題ξ，包括如何由構(gòu)成要素的可信性指標(biāo)計(jì)算整體的可信性;4)調(diào)整構(gòu)造體的構(gòu)成要素，使可信指標(biāo)得以改善.客戶需求隨著模型到代碼的實(shí)例化過(guò)程逐步細(xì)化且嚴(yán)格，對(duì)ICEMDA各層次構(gòu)造體具有不同的可信性需求.

將ICEMDA各層次上原本以構(gòu)造/開(kāi)發(fā)為目標(biāo)的構(gòu)造體，轉(zhuǎn)換為面向可信性度量與驗(yàn)證的可信性描述模型，以可信性度量指標(biāo)體系為基礎(chǔ)，計(jì)算可信性描述模型的可信性影響指標(biāo)，根據(jù)綜合可信性指標(biāo)計(jì)算結(jié)果判定該構(gòu)造體的可信性，基于可信性判定對(duì)構(gòu)造體進(jìn)行多目標(biāo)可信優(yōu)化.

ICEMDA各層橫向采用適當(dāng)?shù)目尚判杂?jì)算方法度量與驗(yàn)證構(gòu)造體對(duì)客戶需求的滿足度，出具可信度證明，縱向基于構(gòu)造體可信性保持與遞增的策略，確?？尚判詮臉?gòu)造上游到下游的傳遞性.采用基于ICEMDA的可信構(gòu)造方法，將模型驅(qū)動(dòng)的軟件開(kāi)發(fā)方法和可信性度量與驗(yàn)證技術(shù)結(jié)合起來(lái)，將構(gòu)造可信的大型軟件系統(tǒng)分解為逐層建立可信構(gòu)造體的問(wèn)題，以實(shí)現(xiàn)可信軟件分層驗(yàn)證的增量式開(kāi)發(fā).

可信管理軟件的構(gòu)造過(guò)程中存在3個(gè)關(guān)鍵性問(wèn)題:1)有效的表征客戶可信需求，并將其合理的分布到軟件開(kāi)發(fā)的不同階段進(jìn)行驗(yàn)證;2)在軟件開(kāi)發(fā)的不同階段對(duì)軟件系統(tǒng)的構(gòu)成要素進(jìn)行逐步、增量式可信性驗(yàn)證;3)保證可信性伴隨著各種要素的轉(zhuǎn)換和組裝被不斷的保持與增強(qiáng)的構(gòu)造技術(shù).本文以業(yè)務(wù)構(gòu)件PSM模型為例，說(shuō)明其可信性度量與驗(yàn)證的具體過(guò)程.

2.1 支持MDA的可信性度量指標(biāo)體系

軟件系統(tǒng)的可信性是多種性能度量的綜合指標(biāo)，如可從可靠性、安全性、效率、適應(yīng)性等方面對(duì)可信性進(jìn)行度量來(lái)采用可信度衡量一個(gè)軟件系統(tǒng)的可信性高或低.可信性度量指標(biāo)體系中存在兩類指標(biāo):可信性指標(biāo)和可信性影響指標(biāo).這與軟件可信性密切相關(guān)，面向終端用戶、分析設(shè)計(jì)人員，且反映其軟件外特性的度量指標(biāo)稱為可信性指標(biāo)，每個(gè)可信性指標(biāo)可能受到存在于軟件系統(tǒng)內(nèi)部的若干關(guān)鍵特性的影響，這些關(guān)鍵特性間接影響到軟件系統(tǒng)的整體可信性能，將這些面向軟件開(kāi)發(fā)人員且影響可信性的軟件內(nèi)特性，稱為可信性影響指標(biāo).

PSM模型層、代碼層和系統(tǒng)層的構(gòu)造體形態(tài)與內(nèi)容不同，其可信性指標(biāo)與可信性影響指標(biāo)也存在差異，跨ICEMDA各層面的可信性度量指標(biāo)集如表1所示.在ICEMDA各層次上對(duì)可信度量指標(biāo)進(jìn)行劃分的過(guò)程中，需要滿足兩個(gè)基本原則:1)單層內(nèi)目標(biāo)針對(duì)性強(qiáng);2)不同層間指標(biāo)分布合理，基于可信保持減少層間同類型指標(biāo)重復(fù).

表1 支持MDA的可信性度量指標(biāo)體系

PSM模型相對(duì)于PIM層包含了特定的實(shí)現(xiàn)機(jī)制，參數(shù)類型和構(gòu)件模型的平臺(tái)概念等要素.PSM業(yè)務(wù)構(gòu)件模型，主要從結(jié)構(gòu)性、業(yè)務(wù)邏輯性與平臺(tái)實(shí)現(xiàn)相關(guān)性3個(gè)方面建立指標(biāo).干業(yè)務(wù)構(gòu)件代碼度量?jī)蓚€(gè)方面的內(nèi)容:1)程序是否實(shí)現(xiàn)了客戶對(duì)業(yè)務(wù)活動(dòng)的功能性需求;2)程序是否在可接受的性能指標(biāo)約束范圍內(nèi)運(yùn)行.軟件系統(tǒng)的可信性指標(biāo)集中于度量業(yè)務(wù)功能是否實(shí)現(xiàn)了客戶的需求;是否實(shí)現(xiàn)了不同配置約束對(duì)業(yè)務(wù)功能的安全性限制.運(yùn)行態(tài)性能是否滿足客戶的非功能性需求等方面.

2.2 由“面向構(gòu)造的模型/代碼”向“面向可信計(jì)

算的模型”的轉(zhuǎn)換方法與技術(shù)

ICEMDA體系中已有的構(gòu)造體主要是面向軟件開(kāi)發(fā)/構(gòu)造而建立的模型或代碼，相對(duì)不易于可信性指標(biāo)的計(jì)算，可將其轉(zhuǎn)換為支持可信性度量/計(jì)算的模型，使構(gòu)造體內(nèi)要素與可信性影響指標(biāo)的關(guān)系顯式的表征出來(lái).

業(yè)務(wù)構(gòu)件PSM模型是依據(jù)客戶需求從可實(shí)現(xiàn)可執(zhí)行角度建立的構(gòu)件實(shí)現(xiàn)模型.基于XML模型文件存儲(chǔ)業(yè)務(wù)構(gòu)件的數(shù)據(jù)集、操作集、生命周期狀態(tài)變遷和安全性相關(guān)信息等，既描述了結(jié)構(gòu)關(guān)系又體現(xiàn)了約束和邏輯關(guān)系，但其對(duì)可信性指標(biāo)的顯式表達(dá)不足.為計(jì)算該模型對(duì)客戶可信性需求的滿足度，提出采用基于圖論與邏輯公式的標(biāo)記算法.

將基于XML的構(gòu)件模型轉(zhuǎn)換為與邏輯相合并的PSM業(yè)務(wù)構(gòu)件可信性描述模型，基本思想如下:首先，基于XML的業(yè)務(wù)構(gòu)件模型M0轉(zhuǎn)換為有向圖結(jié)構(gòu).將數(shù)據(jù)集元素與子元素之間的結(jié)構(gòu)關(guān)系轉(zhuǎn)換為頂點(diǎn)A到B的有向邊，頂點(diǎn)的結(jié)構(gòu)是XML元素與其屬性構(gòu)造的多元組V(name，AttributeSet).再依次建立操作集、狀態(tài)變遷集、權(quán)限約束等關(guān)系的轉(zhuǎn)換，直至XML模型等價(jià)的反映為圖.其次，將圖與客戶需求φ0的合并機(jī)制.用φ0中的原子公式ψi標(biāo)記圖上的頂點(diǎn)，在V中添加一個(gè)標(biāo)記向量.若標(biāo)記成功，將該ψi從φ0中移出到被標(biāo)記公式集T1={ψi｜ψi已被成功標(biāo)記}中，若未找到與其匹配的頂點(diǎn)，則將子公式移至未標(biāo)記公式集T2={ψi｜ψi標(biāo)記失敗}中，直至φ0為空，此時(shí)可獲得基于XML與邏輯合并的PSM業(yè)務(wù)構(gòu)件可信描述模型.根據(jù)具體情況來(lái)確定哪些頂點(diǎn)能與ψi相關(guān)的可信性影響指標(biāo)匹配并采用何種方式標(biāo)記.當(dāng)ψi的公式內(nèi)容是:1)數(shù)據(jù)集D1→d1∧d2，若圖中已有d1和d2頂點(diǎn)，則用d1∧d2標(biāo)記它們的共同父節(jié)點(diǎn)D1;2)最大繼承深度h:則用h標(biāo)記具有繼承關(guān)系的類頂點(diǎn);3)ψi:若相對(duì)應(yīng)的頂點(diǎn)還沒(méi)有用ψi標(biāo)記，則用ψi標(biāo)記.其中對(duì)于復(fù)雜算子采用適當(dāng)?shù)眠B接詞將其進(jìn)行等價(jià)變形的預(yù)處理，或采用特殊變異的方式，對(duì)復(fù)雜算子變換處理方法以改進(jìn)標(biāo)記算法效率，使模型和公式的規(guī)模控制為線性.

2.3 可信性指標(biāo)計(jì)算與可信性判定方法

所謂可信的業(yè)務(wù)構(gòu)件PSM模型M0，即ξ(M0)｜=φ0，就是指M0滿足模型層客戶需求可信邏輯約束的程度.為了構(gòu)造可信的M0，需要在建模過(guò)程中檢測(cè)模型的可信性，采用基于多維標(biāo)記空間的業(yè)務(wù)構(gòu)件模型可信性度量與驗(yàn)證算法，其基本思想如下:

算法的輸入:以XML形式表達(dá)的PSM業(yè)務(wù)構(gòu)件模型M0;以邏輯形式表達(dá)的PSM層客戶可信性需求φ0.

輸出:M0的可信度(或稱M0對(duì)φ0的滿足度).

基本步驟為:首先，采用可信描述模型轉(zhuǎn)換方法“基于圖與邏輯公式的標(biāo)記算法”將以XML形式存儲(chǔ)的PSM業(yè)務(wù)構(gòu)件模型轉(zhuǎn)為與合并了邏輯φ0信息的，基于圖的PSM業(yè)務(wù)構(gòu)件可信性描述模型.此時(shí)，獲取到被標(biāo)記公式集T1和未標(biāo)記公式集T2.然后，將標(biāo)記圖映射到多維標(biāo)記空間中分別計(jì)算被標(biāo)記指標(biāo)的數(shù)值.一個(gè)頂點(diǎn)在多個(gè)子公式標(biāo)記情況下構(gòu)成了一個(gè)多維標(biāo)記向量Ci=＜ui1，ui2，…，uin＞，因此將標(biāo)記圖投影到一個(gè)描述多個(gè)邏輯維度的空間中，將同一邏輯維度的標(biāo)記頂點(diǎn)、標(biāo)記向量以及邊投影到該邏輯維上進(jìn)行計(jì)算指標(biāo)值.高度抽象的業(yè)務(wù)構(gòu)件模型，通?？勺儗傩砸?guī)模較大，因此有必要在不同維度上的應(yīng)用簡(jiǎn)化技術(shù).計(jì)算T2集合中的未標(biāo)記邏輯公式的滿足度，獲取圖上可標(biāo)記的可信性影響指標(biāo)值，綜合兩類指標(biāo)統(tǒng)計(jì)業(yè)務(wù)構(gòu)件模型的可信度，采用加權(quán)累加法等可信度的計(jì)算方案.最后輸出PSM業(yè)務(wù)構(gòu)件模型的可信度值.

客戶需求中包含一個(gè)期望的可信閥值d0，判定本模型可信與否，將可信指標(biāo)的計(jì)算結(jié)果與d0進(jìn)行比較，若＜d0則認(rèn)為此模型不可信，并提取指標(biāo)值與期望性能的差異，反饋給用戶使其針對(duì)不可信的關(guān)鍵點(diǎn)進(jìn)行修正或優(yōu)化，若≥d0則為模型出具可信度證明.

2.4 基于可信性判定的可信軟件構(gòu)造技術(shù)

根據(jù)可信性判定結(jié)果，通過(guò)調(diào)整ICEMDA各層次構(gòu)造體的要素和要素之間的關(guān)系，以提高其與客戶期望差異過(guò)大的可信性影響指標(biāo)值，使構(gòu)造體可信.在ICEMDA軟件系統(tǒng)構(gòu)造過(guò)程中存在從PSM模型到代碼，代碼到系統(tǒng)的兩次轉(zhuǎn)換過(guò)程，轉(zhuǎn)換的必要原則是上游到下游的可信性能夠保持.針對(duì)MDA各層次構(gòu)造體分別提出基于可信性判定的優(yōu)化方法和技術(shù)，目的在于通過(guò)調(diào)整完善構(gòu)造體內(nèi)部的要素或要素之間的關(guān)系以提高其可信性.針對(duì)PSM模型，提出面向多目標(biāo)可信優(yōu)化的模型完善方法.基本思想為:輸入是以XML形式表達(dá)的不滿足可信性要求PSM業(yè)務(wù)構(gòu)件模型M0和與客戶需求差異過(guò)大的可信度量指標(biāo)集δ0.以δ0的內(nèi)容作為模型可信性改善過(guò)程的多個(gè)優(yōu)化目標(biāo)，通過(guò)調(diào)整影響這些可信指標(biāo)的模型要素，實(shí)現(xiàn)本模型可信度量值的提升，直到模型滿足客戶可信需求為止.輸出為優(yōu)化后的業(yè)務(wù)構(gòu)件XML模型M'0.

2.5 軟件開(kāi)發(fā)平臺(tái)

在現(xiàn)有ICEMDA架構(gòu)的軟件開(kāi)發(fā)平臺(tái)基礎(chǔ)上，引入各層構(gòu)造體的可信性判定度量和優(yōu)化方法，形成一套支持可信軟件構(gòu)造的模型驅(qū)動(dòng)的軟件開(kāi)發(fā)工具集，如圖2所示.PSM可視化建模工具，業(yè)務(wù)構(gòu)件程序生成工具，業(yè)務(wù)構(gòu)件配置工具，工作流模型轉(zhuǎn)換工具，這些工具的輸出結(jié)果均要經(jīng)過(guò)可信描述模型驗(yàn)證容器進(jìn)行處理.該容器包含由“面向構(gòu)造的模型/代碼”向“面向可信性計(jì)算的模型”的轉(zhuǎn)換功能，可信性度量與驗(yàn)證并出具可信度證明的功能、基于可信性判定的優(yōu)化構(gòu)造功能.最后通過(guò)面向可信性保持的系統(tǒng)配置/部署工具組裝出可信的軟件系統(tǒng).

圖2 可信管理軟件的模型驅(qū)動(dòng)開(kāi)發(fā)平臺(tái)

3 結(jié)論

1)顯式地將構(gòu)造體的可信性度量和驗(yàn)證系統(tǒng)性綜合性的融入到ICEMDA架構(gòu)中，其目標(biāo)是解決可信管理軟件的快速構(gòu)造問(wèn)題.

2)該體系為可信管理軟件的構(gòu)造提供了一個(gè)基本方法框架，其基礎(chǔ)理論體系包含:一套支持MDA的企業(yè)管理軟件可信度量指標(biāo)體系;以MDA各層次構(gòu)造體為中心的可信性計(jì)算、判定和優(yōu)化的反饋機(jī)制;模型驅(qū)動(dòng)的可信軟件構(gòu)造技術(shù)和平臺(tái).

［1］OMG.MDA guide version 1.0.1［R］.［2003-06-12］.http://www.omg.com/.

［2］High confidence software and systems coordinating group.High confidence software and systems research needs［R］.［2001-01-10］.http://www.ccic.gov/pubs/hcssresearch.pdf.

［3］PEARSON S.Trusted computing platform，the next security solution［R］.Bristol U K:HP Laboratories，2002.

［4］陳火旺，王戟，董威.高可信軟件工程技術(shù)［J］.電子學(xué)報(bào)，2003，31(12A):1933-1938.

［5］AVIZIIENIS A，LAPRIE J C，RONDELL B.Foundational concepts of computer system dependability［C］//LARP/IEEE-RAS Workshop on Robot Dependability of Technological Challenge of Dependable Robots Environment.Washington，DC:IEEE Computer Society，2001:21-22.

［6］LAPRIE J C.Dependability computing:concepts，limits，challenge［C］//Proceeding of the 25th IEEE International Symposium on Fault-Tolerant Computing.Washington，DC:IEEE Computer Society，1995:42-54.

［7］CAVANO J P.Toward high confidence software［J］.IEEE Transactions on Software Engineering，1985，11(12):1449-1455.

［8］CORTELLESSA V，Di MARCO P，INVERARDI P.Software performance model driven architecture［C］//Proceedings of the ACM Symposium on Applied Computing.New York，ACM，2006:1218-1223.

［9］梅宏，申峻嶸.軟件體系結(jié)構(gòu)研究進(jìn)展［J］.軟件學(xué)報(bào)，2006，17(6):1257-1275.

［10］REUSSNER R H，SCHMIDT H W，POERNOMO I H.Reliability prediction for component-based software architectures［J］.The Journal of Systems and Software，2003，66(3):241-252.

［11］蔣屹新，林闖，曲揚(yáng)，等.基于Petri網(wǎng)的模型檢測(cè)研究［J］.軟件學(xué)報(bào)，2004，15(9):1265-1276.

［12］FENTON N E，PFLEEGER S L.Software metrics:a rigorous＆practical approach［M］.Beijing:Tsinghua Press，2003:250.

［13］LITTLEWOOD B，POPOV P T，STRIGINI L，et al.Modeling the effects of combining diverse software fault detection techniques［J］.IEEE Transaction on software engineering，2000，26(12):1157-1167.

［14］LORENZOLI D，MARIANI L，PEZZ`E M.Towards self-protecting enterprise applications［C］//Proceedings of the The 18th IEEE International Symposium on Software Reliability.Washington，DC:IEEE Computer Society，2007:39-48.

［15］戰(zhàn)德臣，馮錦丹，聶蘭順，等.一種可互操作可配置可執(zhí)行的模型驅(qū)動(dòng)體系結(jié)構(gòu)［J］.電子學(xué)報(bào)，2008，36(12A):120-127.