閆桂玲

（九江學(xué)院信息科學(xué)與技術(shù)學(xué)院，江西 九江 332005）

1 引言

網(wǎng)構(gòu)軟件（Internet Ware）是一種面向網(wǎng)絡(luò)環(huán)境的新型軟件形態(tài)，其構(gòu)建依賴于對(duì)開放、動(dòng)態(tài)和多變環(huán)境中各網(wǎng)絡(luò)節(jié)點(diǎn)軟件實(shí)體之間的有效協(xié)同，因此網(wǎng)絡(luò)節(jié)點(diǎn)之間的故障傳染是網(wǎng)構(gòu)軟件不可信的主要原因[1～3]。

然而，目前的軟件構(gòu)造方法都是基于靜態(tài)可信[4～6]，即：這些方法都是研究軟件制造過程中的可信度，一旦軟件制作完成，在運(yùn)行過程中，軟件的可信度是否會(huì)改變就不在研究范圍之內(nèi)。但是，實(shí)際上，靜態(tài)可信的方法并不適合網(wǎng)構(gòu)軟件，因?yàn)榫W(wǎng)構(gòu)軟件隨著網(wǎng)絡(luò)節(jié)點(diǎn)在互聯(lián)網(wǎng)中的協(xié)同運(yùn)作，一個(gè)節(jié)點(diǎn)的故障也許會(huì)導(dǎo)致更多的節(jié)點(diǎn)發(fā)生故障，從而使整個(gè)網(wǎng)構(gòu)軟件的可信度發(fā)生變化，而且如何以最小的代價(jià)修復(fù)網(wǎng)構(gòu)軟件、如何動(dòng)態(tài)提高網(wǎng)構(gòu)軟件的可信度目前也沒有研究。

針對(duì)以上問題，本文根據(jù)網(wǎng)構(gòu)軟件的開放、動(dòng)態(tài)和多變的特性，提出了一種動(dòng)態(tài)可信的概念，即：在網(wǎng)構(gòu)軟件運(yùn)行過程中，隨時(shí)根據(jù)軟件執(zhí)行情況、網(wǎng)絡(luò)節(jié)點(diǎn)狀態(tài)等相關(guān)因素，動(dòng)態(tài)評(píng)估網(wǎng)構(gòu)軟件的可信度，并根據(jù)可信度等信息修改網(wǎng)構(gòu)軟件和監(jiān)控參數(shù)，為網(wǎng)構(gòu)軟件提供動(dòng)態(tài)可信支持，并逐步提高網(wǎng)構(gòu)軟件的可信度。實(shí)驗(yàn)證明，本文方法能夠有效支持網(wǎng)構(gòu)軟件的信任管理及在線改進(jìn)，有助于解決開放環(huán)境下網(wǎng)構(gòu)軟件的可信性問題。

2 基本概念

2.1 網(wǎng)構(gòu)軟件

網(wǎng)構(gòu)軟件從軟件形態(tài)的角度考察Internet環(huán)境對(duì)軟件理論、方法和技術(shù)的挑戰(zhàn)，是傳統(tǒng)軟件結(jié)構(gòu)的自然延伸，網(wǎng)構(gòu)軟件具有自主性、演化性、協(xié)同性、多態(tài)性和反應(yīng)性等特征[3]。從網(wǎng)構(gòu)軟件的角度來看，傳統(tǒng)的軟件工程方法學(xué)體系本質(zhì)上是一種靜態(tài)和封閉的框架體系，難以支持由開放、動(dòng)態(tài)、多變的Internet環(huán)境衍生的網(wǎng)構(gòu)軟件的開發(fā)。

從技術(shù)的角度看，網(wǎng)構(gòu)軟件在Internet上表現(xiàn)為一種與當(dāng)前的信息Web 類似的Software Web。以軟件構(gòu)件等技術(shù)支持的軟件實(shí)體將以開放、自主的方式存在于Internet的各個(gè)節(jié)點(diǎn)之上，任何一個(gè)軟件實(shí)體可在開放的環(huán)境下通過某種方式加以發(fā)布，并以各種協(xié)同方式[4]與其他軟件實(shí)體進(jìn)行跨網(wǎng)絡(luò)的互連、互通、協(xié)作和聯(lián)盟。

Internet的開放、動(dòng)態(tài)和多變以及用戶使用方式的個(gè)性化要求決定了網(wǎng)構(gòu)軟件的開發(fā)不同于傳統(tǒng)軟件開發(fā)的“一次成型”式。具體表現(xiàn)為，網(wǎng)構(gòu)軟件在發(fā)布之后，能夠感知外部網(wǎng)絡(luò)環(huán)境的動(dòng)態(tài)變化，并隨著這種變化按照功能指標(biāo)、性能指標(biāo)和可信性指標(biāo)等進(jìn)行靜態(tài)的調(diào)整和動(dòng)態(tài)的演化，以使系統(tǒng)具有盡可能高的用戶滿意度。而且，由于用戶需求的多樣化和個(gè)性化以及投資回收等因素，因此，本文的網(wǎng)構(gòu)軟件構(gòu)造建模平臺(tái)是一個(gè)有豐富基礎(chǔ)軟件資源但同時(shí)又是開放、動(dòng)態(tài)和多變的框架，更強(qiáng)調(diào)開放環(huán)境下軟件實(shí)體間的協(xié)同性。

2.2 可信軟件

一個(gè)實(shí)體在實(shí)現(xiàn)給定目標(biāo)時(shí)，其行為與結(jié)果總是可以預(yù)期的。如果即使在運(yùn)行過程中出現(xiàn)一些特殊情況，軟件服務(wù)也總是與用戶的預(yù)期相符，這樣的軟件稱為可信軟件（Trusted-Software）[6，7]。

這里的特殊情況主要分為以下四類：

（1）硬件環(huán)境（計(jì)算機(jī)、網(wǎng)絡(luò)）發(fā)生故障；

（2）低層軟件（操作系統(tǒng)、數(shù)據(jù)庫）出現(xiàn)錯(cuò)誤；

（3）其它軟件（病毒軟件、流氓軟件）對(duì)其產(chǎn)生影響；

（4）出現(xiàn)有意（攻擊）、無意（誤操作）的錯(cuò)誤操作。

可信軟件構(gòu)造技術(shù)是指保證軟件系統(tǒng)的行為總是與預(yù)期相一致的軟件開發(fā)技術(shù)和過程技術(shù)。經(jīng)過多年的研究，目前人們對(duì)于造成軟件不可信的原因、機(jī)理已有基本認(rèn)識(shí)，并研究出了一些對(duì)策，如形式化方法、軟件測(cè)試方法、過程管理方法和軟件監(jiān)控（Software Monitoring）方法等。

2.3 軟件監(jiān)控

本文采用軟件監(jiān)控方法作為可信軟件構(gòu)造的支撐技術(shù)。所謂軟件監(jiān)控是指通過對(duì)軟件實(shí)施有效的監(jiān)控以獲得軟件的運(yùn)行狀態(tài)，并通過將監(jiān)控結(jié)果與預(yù)期行為進(jìn)行比較，從而有效地掌握軟件行為的可信程度，并在發(fā)生問題時(shí)準(zhǔn)確分析和定位軟件故障[8]。

不具備可監(jiān)控能力的系統(tǒng)不僅會(huì)大幅度增加維護(hù)軟件產(chǎn)品的成本，而且會(huì)對(duì)系統(tǒng)的可信特性帶來威脅。越來越高的維護(hù)成本和對(duì)軟件可信性的要求已使人們充分認(rèn)識(shí)到軟件監(jiān)控的重要性，軟件的監(jiān)控能力成為可信研究領(lǐng)域內(nèi)的熱點(diǎn)問題。

3 系統(tǒng)模型

本文在對(duì)網(wǎng)構(gòu)軟件進(jìn)行網(wǎng)絡(luò)拓?fù)浣５幕A(chǔ)上構(gòu)造可信網(wǎng)構(gòu)軟件模型，并進(jìn)一步探討基于監(jiān)控的可信網(wǎng)構(gòu)軟件構(gòu)造模型。

3.1 網(wǎng)絡(luò)拓?fù)淠Ｐ?/h3>

將網(wǎng)構(gòu)軟件網(wǎng)絡(luò)表示為具有m 個(gè)節(jié)點(diǎn)[9，10]、e條邊的加權(quán)有向圖G，記為G＝（V，E），其中V 是節(jié)點(diǎn)集合，V 中的每個(gè)元素vi代表網(wǎng)構(gòu)軟件源代碼中的一個(gè)函數(shù)，E 是邊集合，E 中的每個(gè)元素〈vi，vj〉是一個(gè)有序?qū)?，?dāng)且僅當(dāng)vi調(diào)用vj時(shí)，〈vi，vj〉∈E，即vi→vj。

在現(xiàn)有的大多數(shù)基于函數(shù)實(shí)體的軟件網(wǎng)絡(luò)模型中，節(jié)點(diǎn)間只有“相連”和“不相連”兩種連接方式，對(duì)應(yīng)著函數(shù)間的“調(diào)用”和“不調(diào)用”兩種關(guān)系，但這并不能準(zhǔn)確地反映軟件函數(shù)間的調(diào)用關(guān)系，實(shí)際上不同函數(shù)間連接的緊密程度也是不同的。因此，本文為每條有向邊設(shè)置一個(gè)權(quán)重wij∈[0，∞），用以表征函數(shù)間的調(diào)用頻度。同時(shí)，定義一個(gè)m×m 的鄰接矩陣[aij]，i，j∈[1，m]，如果在源代碼中，函數(shù)vi調(diào)用函數(shù)vj共wij次，則aij＝wij。同時(shí)，節(jié)點(diǎn)集合V 不包括庫函數(shù)。

3.2 可信網(wǎng)構(gòu)軟件模型

漏洞被觸發(fā)后稱之為故障，故障發(fā)生時(shí)對(duì)軟件系統(tǒng)正常運(yùn)行的影響程度稱之為故障強(qiáng)度（Failure Intensity）。本文采用Fortify Software公司對(duì)代碼漏洞的分類方式定義故障強(qiáng)度，記為λ∈[1，8]，等級(jí)越高，意味著故障影響到其它函數(shù)的可能性越大。軟件網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)（函數(shù)）對(duì)故障的處理能力稱為節(jié)點(diǎn)容錯(cuò)能力，記為β。實(shí)際測(cè)試過程中采用的函數(shù)質(zhì)量評(píng)估方法與漏洞分類方法應(yīng)該相一致，因此本文將容錯(cuò)能力劃分為八個(gè)等級(jí)，即β∈[1，8]，等級(jí)越高表示節(jié)點(diǎn)容錯(cuò)能力越強(qiáng)，越不易被軟件故障所影響。

網(wǎng)構(gòu)軟件的可信度主要依賴于網(wǎng)絡(luò)節(jié)點(diǎn)的容錯(cuò)能力，因此本文設(shè)定兩種容錯(cuò)能力分配方式：（1）隨機(jī)分配，各函數(shù)的容錯(cuò)能力符合均值為β的泊松分布；（2）優(yōu)先分配，各函數(shù)的容錯(cuò)能力與它擁有的調(diào)用關(guān)系數(shù)目和權(quán)重和的乘積成正比例關(guān)系，如式（1）所示：

在網(wǎng)構(gòu)軟件系統(tǒng)運(yùn)行的過程中，如果函數(shù)i出現(xiàn)故障，那么該故障可能通過函數(shù)間的調(diào)用或依賴關(guān)系以某一概率傳播至函數(shù)j，而后者容錯(cuò)能力的強(qiáng)弱決定著該故障能否導(dǎo)致函數(shù)j 失效，繼而影響著調(diào)用和依賴函數(shù)j的其它函數(shù)。

當(dāng)容錯(cuò)能力為βi 的函數(shù)i 調(diào)用故障強(qiáng)度為λj的函數(shù)j 時(shí)，考慮到網(wǎng)構(gòu)軟件的構(gòu)造方法，本文規(guī)定：當(dāng)βi≥λj時(shí)，j發(fā)生的故障能否感染函數(shù)i 依賴于兩個(gè)函數(shù)的緊密程度，以及故障強(qiáng)度與容錯(cuò)能力之比的共同作用；當(dāng)βi＜λj時(shí)，函數(shù)i是否會(huì)受到該故障的影響僅依賴于函數(shù)i 和函數(shù)j 之間調(diào)用關(guān)系的緊密程度。為了區(qū)分這兩種情況，設(shè)定一種區(qū)分系數(shù)δ如式（2）所示：

綜上，節(jié)點(diǎn)i在網(wǎng)構(gòu)軟件中的故障感染概率P如式（3）所示：

其中，Wij＝wij／wmax表示函數(shù)i與函數(shù)j 的調(diào)用關(guān)系在網(wǎng)構(gòu)軟件中發(fā)生的概率。這樣設(shè)計(jì)的原因是：函數(shù)被調(diào)用的次數(shù)越多意味著它具有的漏洞越易被觸發(fā)，Wij∈（0，1]，Wij中的wmax表示圖G 的最大權(quán)重。

發(fā)生故障的函數(shù)只有被其它函數(shù)調(diào)用時(shí)才有可能將故障傳播出去，因此故障的一次傳播規(guī)則定義如下：遍歷所有已發(fā)生故障的節(jié)點(diǎn)，如果指向故障節(jié)點(diǎn)的有向邊的起始節(jié)點(diǎn)是非故障節(jié)點(diǎn)，則根據(jù)式（3）計(jì)算感染概率，并以此概率感染該節(jié)點(diǎn)，直至所有非故障鄰居節(jié)點(diǎn)計(jì)算完畢。

3.3 基于監(jiān)控的可信網(wǎng)構(gòu)軟件構(gòu)造模型

根據(jù)網(wǎng)構(gòu)軟件的特性，本文設(shè)計(jì)了一種基于監(jiān)控的可信網(wǎng)構(gòu)軟件構(gòu)造模型TTIWM（the Tectonic model of Trusted Internet Ware based on Monitoring），如圖1所示。

Figure 1 Tectonic model of trusted Internet ware based on monitoring—TTIWM圖1 基于監(jiān)控的可信網(wǎng)構(gòu)軟件構(gòu)造模型TTIWM

其基本思想是為原本沒有監(jiān)控能力的網(wǎng)構(gòu)軟件網(wǎng)絡(luò)節(jié)點(diǎn)注入監(jiān)控能力，從而得以在系統(tǒng)運(yùn)行時(shí)監(jiān)控網(wǎng)絡(luò)節(jié)點(diǎn)的行為、狀態(tài)，以判斷網(wǎng)絡(luò)節(jié)點(diǎn)是否存在異常，從而提高系統(tǒng)的可維護(hù)性、適應(yīng)性和可用性等可信性質(zhì)。

TTIWM 分為網(wǎng)絡(luò)層、監(jiān)控層和服務(wù)層三個(gè)層次，各個(gè)層次間的核心線索是數(shù)據(jù)，其功能定義如以下各節(jié)所述。

3.3.1 網(wǎng)絡(luò)層

網(wǎng)絡(luò)層是網(wǎng)構(gòu)軟件實(shí)體對(duì)外信息交互的通道，這需要一個(gè)功能強(qiáng)大的中間件平臺(tái)來支持多種協(xié)議間通信鏈接的建立。但是，本模型關(guān)注的重點(diǎn)是：針對(duì)大規(guī)模的網(wǎng)絡(luò)事件，通過捕獲模塊對(duì)網(wǎng)構(gòu)軟件網(wǎng)絡(luò)節(jié)點(diǎn)的信息進(jìn)行分析，捕獲隨時(shí)可能發(fā)生的故障事件，為后續(xù)的信任度量做準(zhǔn)備。

3.3.2 監(jiān)控層

監(jiān)控層是本模型的主要組成部分，目的是對(duì)網(wǎng)構(gòu)軟件實(shí)體進(jìn)行全面監(jiān)控、信任評(píng)估及有效保護(hù)。

該層執(zhí)行過程為：

（1）對(duì)捕獲的源代碼進(jìn)行分析，利用代碼表示技術(shù)對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)代碼進(jìn)行分析，將其轉(zhuǎn)換為XML的中間形式，并利用XML 解析器將代碼中的類、函數(shù)、變量等信息提取出來。

（2）根據(jù)支撐工具模塊提供的監(jiān)控需求表達(dá)式模板幫助編程人員完成監(jiān)控需求表達(dá)式的描述，將監(jiān)控需求保存為XML需求文檔，為監(jiān)控代碼的生成提供依據(jù)。

（3）根據(jù)監(jiān)控需求表達(dá)式的描述，調(diào)用監(jiān)控代碼生成工具和通用模塊庫中的監(jiān)控代碼模板，生成編織器所需的網(wǎng)構(gòu)軟件監(jiān)控代碼。

（4）從支撐工具模塊中選用合適的監(jiān)控服務(wù)，并調(diào)用監(jiān)控代碼生成模塊選用的編織器，如果原有的網(wǎng)構(gòu)軟件中沒有監(jiān)控代碼，則將監(jiān)控探針和監(jiān)控服務(wù)一起注入到待監(jiān)控的網(wǎng)絡(luò)節(jié)點(diǎn)，使其具備可監(jiān)控的能力；如果原有的網(wǎng)構(gòu)軟件中已經(jīng)有了監(jiān)控代碼，則根據(jù)故障分析修改網(wǎng)絡(luò)節(jié)點(diǎn)中的監(jiān)控探針和監(jiān)控服務(wù)。

3.3.3 服務(wù)層

服務(wù)層體現(xiàn)了本文的一個(gè)重要?jiǎng)?chuàng)新點(diǎn)?，F(xiàn)有的軟件構(gòu)造方法都是基于靜態(tài)可信，換句話說，都是研究軟件制造過程中的可信度，一旦軟件制作完成，在運(yùn)行過程中的可信度是否會(huì)改變就不在考慮范圍之內(nèi)。而本文針對(duì)網(wǎng)構(gòu)軟件的開放、動(dòng)態(tài)和多變的特性，提出一種動(dòng)態(tài)可信的概念，即：在網(wǎng)構(gòu)軟件運(yùn)行過程中，隨時(shí)根據(jù)軟件執(zhí)行情況、網(wǎng)絡(luò)節(jié)點(diǎn)狀態(tài)等相關(guān)因素，動(dòng)態(tài)評(píng)估網(wǎng)構(gòu)軟件的可信度，并根據(jù)可信度修改網(wǎng)絡(luò)層的捕獲規(guī)則，以此實(shí)現(xiàn)動(dòng)態(tài)調(diào)整監(jiān)控參數(shù)的目的，為網(wǎng)構(gòu)軟件提供動(dòng)態(tài)可信支持。

除了負(fù)責(zé)維護(hù)與管理具備監(jiān)控能力的可信網(wǎng)構(gòu)軟件實(shí)體之外，服務(wù)層還具備以下三個(gè)功能：

（1）負(fù)責(zé)網(wǎng)絡(luò)層產(chǎn)生的決策行為的執(zhí)行。利用實(shí)體容器為實(shí)體提供生存的環(huán)境，維護(hù)實(shí)體狀態(tài)，同時(shí)通過實(shí)體管理模塊提供相應(yīng)的原子指令對(duì)它們進(jìn)行管理。本模型提供的原子操作主要有添加、刪除、復(fù)制、攔截等，負(fù)責(zé)完成網(wǎng)絡(luò)節(jié)點(diǎn)的遷移、淘汰及通訊等。

（2）信任的度量。實(shí)體管理模塊對(duì)網(wǎng)絡(luò)層獲得的故障事件進(jìn)行分類，根據(jù)已有的信任鏈表、度量策略及信任歷史進(jìn)行綜合評(píng)估，得出網(wǎng)構(gòu)軟件當(dāng)前的可信度。

（3）數(shù)據(jù)更新。實(shí)體容器模塊根據(jù)決策結(jié)果，對(duì)相關(guān)的捕獲規(guī)則、信任鏈表、歷史記錄、監(jiān)控代碼和網(wǎng)絡(luò)節(jié)點(diǎn)代碼進(jìn)行更新，形成反饋環(huán)路，使網(wǎng)構(gòu)軟件的可信度穩(wěn)步上升。

4 實(shí)驗(yàn)分析

本節(jié)通過實(shí)驗(yàn)分析了本文模型的性能指標(biāo)。

4.1 實(shí)驗(yàn)環(huán)境

采用移動(dòng)Aglets系統(tǒng)作為實(shí)驗(yàn)平臺(tái)，Aglets是由IBM 公司開發(fā)的基于Java的移動(dòng)系統(tǒng)。選擇Aglets是因?yàn)樗脑O(shè)計(jì)非常簡(jiǎn)潔，支持在不同的網(wǎng)絡(luò)主機(jī)平臺(tái)之間遷移，并且提供一個(gè)上下文環(huán)境來管理Aglet的基本行為。另外，Aglets系統(tǒng)由通信層和運(yùn)行層兩部分構(gòu)成，我們用通信層實(shí)現(xiàn)了網(wǎng)構(gòu)軟件網(wǎng)絡(luò)節(jié)點(diǎn)之間的通信，用運(yùn)行層實(shí)現(xiàn)了網(wǎng)絡(luò)節(jié)點(diǎn)的創(chuàng)建、發(fā)送和管理等基本功能，在實(shí)驗(yàn)室用三臺(tái)計(jì)算機(jī)連起來模擬了網(wǎng)構(gòu)軟件的構(gòu)造環(huán)境。

4.2 性能實(shí)驗(yàn)

用P 表示網(wǎng)構(gòu)軟件各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的平均故障感染概率，用C 表示網(wǎng)構(gòu)軟件的可信度（Degree of Confidence），用T 表示圖1所示模型的循環(huán)次數(shù)（Cycle Times of System），本文通過實(shí)驗(yàn)比較了在幾種不同故障感染率的情況下，系統(tǒng)對(duì)可信度的影響，如圖2所示。

從圖2可以看出，本文方法隨著系統(tǒng)循環(huán)次數(shù)的增加，可以有效地提高網(wǎng)構(gòu)軟件的可信度，其中，初始可信度越低的網(wǎng)構(gòu)軟件，其改進(jìn)效果越明顯。

Figure 2 Reliability influence of the system圖2 系統(tǒng)對(duì)可信度的影響

5 結(jié)束語

本文根據(jù)網(wǎng)構(gòu)軟件的特性，設(shè)計(jì)了一種基于監(jiān)控的可信網(wǎng)構(gòu)軟件構(gòu)造模型，該模型動(dòng)態(tài)調(diào)整監(jiān)控參數(shù)，為網(wǎng)構(gòu)軟件提供動(dòng)態(tài)可信支持。實(shí)驗(yàn)證明：該模型能有效提高網(wǎng)構(gòu)軟件的可信度。同時(shí)，該模型是一個(gè)層次模型，具有以下優(yōu)點(diǎn)：（1）較好的通用性；（2）較好的開放性；（3）各層功能相對(duì)獨(dú)立；（4）易于實(shí)現(xiàn)和維護(hù)；（5）結(jié)構(gòu)上易于分隔。

[1]Poladian V，Sousa P.Dynamic configuration of resource-aware services[C]∥Proc of the 32nd International Conference on Software Engineering，2010：604-613.

[2]Xu F，Lv J，Zheng W.Design of a trust evaluation valuation model in software service coordination[J].Journal of Software，2008，2.（3）：1043-1051.

[3]Beth T.Valuation of trust in open network[C]∥Proc of the European Symposium on Research in Security，2011：7-21.

[4]Ma Zhi-qiang，Yin Gui-sheng，Dong Yu-xin.Trust drive and evolution model based on network structure software[J].Journal of Harbin Engineering University，2010，31（8）：1054-1060.（in Chinese）

[5]Jpsang A.An algebra for assessing trust in certification chains[C]∥Proc of the Network and Distributed Systems Security Symposium，2011：11-20.

[6]Abdul A，Hailes S.A distributed trust model[C]∥Proc of 2007 Workshop on New Security Paradigms，2007：48-60.

[7]Shaw M.Self-healing：Softening precision to avoid brittleness[C]∥Proc of the 8th ACM SIGSOFT Workshop on Self-Healing Systems，2009：111-113.

[8]Li Ren-jie，Zhang Zhu-xi，Jiang Hai-yan，et al.Trusted software structure model research and implementation based on the monitoring[J].Computer Application Research，2009，2.（12）：4585-4588.（in Chinese）

[9]Zhang Guang-quan，Lin Miao，Rong Mei.Embedded real-time software modeling and analysis based on the component[J].Computer Engineering ＆Science，2008，30（12）：137-141.（in Chinese）

[10]Wang Cheng-xiao，Xiao Ming-qing，Gou Xin-yu.Airborne missile remote testing software modeling in grid environment[J].Micro Computer Information，2008，2.（31）：166-171.（in Chinese）

附中文參考文獻(xiàn)：

[4]馬志強(qiáng)，印桂生，董宇欣.面向網(wǎng)構(gòu)軟件的信任驅(qū)動(dòng)及演化模型[J].哈爾濱工程大學(xué)學(xué)報(bào)，2010，31（8）：1054-1060.

[8]李仁杰，張矚熹，江海燕，等.基于監(jiān)控的可信軟件構(gòu)造模型研究與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用研究，2009，2.（12）：4585-4588.

[9]張廣泉，林苗，戎玫.基于構(gòu)件的嵌入式實(shí)時(shí)軟件建模與分析[J].計(jì)算機(jī)工程與科學(xué)，2008，30（12）：137-141.

[10]王承孝，肖明清，茍新禹.網(wǎng)格環(huán)境下機(jī)載導(dǎo)彈遠(yuǎn)程測(cè)試軟件建模[J].微計(jì)算機(jī)信息，2008，2.（31）：166-171.