李俊霖 高濤 郁湧

摘 要：隨著軟件系統(tǒng)在信息社會(huì)中發(fā)揮越來越重要的作用，人們對軟件系統(tǒng)的可信性方面的要求也愈來愈高。軟件可信性可由軟件可信屬性集來進(jìn)行描述和表示，但是人們根據(jù)軟件系統(tǒng)的不同特征和不同層面提出了很多軟件可信屬性集。為此，本文提出一種軟件可信屬性的表示以及相關(guān)性分析的方法，給出了可信屬性相關(guān)性、獨(dú)立性和冗余性的概念，并基于相關(guān)性分析可以從所知的屬性集中構(gòu)建一個(gè)適合的可信屬性最小子集作為對軟件可信性進(jìn)行評估的指標(biāo)。此方法能夠很好地對可信軟件屬性之間的相關(guān)性進(jìn)行分析與度量。

關(guān)鍵詞：軟件可信性；可信屬性；相關(guān)性分析

中圖分類號：TP31 文獻(xiàn)標(biāo)識碼：A

1 引言（Introduction）

可信軟件作為軟件領(lǐng)域最具挑戰(zhàn)性和價(jià)值的研究課題之一，引起了國內(nèi)外學(xué)者的高度重視。早在1991年，Laprie從安全關(guān)鍵系統(tǒng)的研究出發(fā)提出軟件可依賴性（Dependability）的概念[1]。2001年，Algirdas等提出軟件的可依賴性是指人們相信軟件系統(tǒng)所具有的、特定服務(wù)的能力[2，3]，強(qiáng)調(diào)了人們對軟件的信任。1997年美國國家科學(xué)技術(shù)委員會(huì)在《高可信系統(tǒng)的研究挑戰(zhàn)》中明確提出了高可信性（High Confidence）的概念[4]。我國學(xué)者陳火旺、王戟等認(rèn)為高可信軟件系統(tǒng)在提供服務(wù)時(shí)能滿足一系列關(guān)鍵性質(zhì)[5]，具體涉及的性質(zhì)包括：可靠安全性、可靠性、生存性、容錯(cuò)性、實(shí)時(shí)性、保密安全性中的一個(gè)或者多個(gè)。

德國科學(xué)研究基金委員會(huì)在奧爾登堡大學(xué)成立了可信軟件研究院（Trust Soft Graduate School），該機(jī)構(gòu)研究認(rèn)為，軟件系統(tǒng)的可信性是由正確性、安全性、服務(wù)質(zhì)量（包括性能、可靠性、可用性）、保密性及私密性所決定的[6]。劉克等認(rèn)為可信軟件（Trustworthy Software，TS）是指軟件系統(tǒng)的動(dòng)態(tài)行為及其運(yùn)行結(jié)果總是符合人們預(yù)期，并在受到干擾時(shí)仍能提供連續(xù)服務(wù)的軟件[7]。他們認(rèn)為可信性是在正確性、安全性、可靠性、時(shí)效性、完整性、可用性、可預(yù)測性、生存性、可控性等眾多概念基礎(chǔ)上發(fā)展起來的一個(gè)新概念，是軟件系統(tǒng)諸多屬性的綜合反映。本文作者也提出過一種基于構(gòu)件的可信軟件框架及其表示方法[8]。

2 可信軟件和可信屬性（Trusted software and

trustworthy attribute）

在軟件可信性的研究中，如何描述和度量軟件的可信性是當(dāng)前研究的一項(xiàng)重要內(nèi)容。一般來說，軟件的行為及其產(chǎn)生的結(jié)果可以通過一組適當(dāng)?shù)膶傩詠砻枋觯窜浖尚判钥梢罁?jù)能夠反映軟件某種可信性的一組屬性以及用戶在這組屬性上的預(yù)期來共同刻畫，這貫穿于軟件的整個(gè)生命周期。為此，人們提出了很多軟件可信屬性類型和分類方法。

軟件可信屬性是一組用來描述和評價(jià)軟件系統(tǒng)可信的特性，通過這些屬性可以更明確具體地描述軟件可信的內(nèi)涵。Avizienis等[9，10]提出了可信性的概念框架，該框架中可信屬性包括：可用性（availability）、可靠性（reliability）、防危性（safety）、機(jī)密性（confidentiality）、可維護(hù)性（maintainability）等。同時(shí)指出，軟件的可用性、完整性和機(jī)密性構(gòu)成了軟件的安全性。陳火旺院士提出了高可信（high confidence）性質(zhì)的概念[5]，認(rèn)為軟件可信性質(zhì)包括：可靠性（reliability）、防危性（safety）、安全性（security）、可生存性（survivability）、容錯(cuò)性（fault to lerance）、實(shí)時(shí)性（real time）。

王懷民等主張從“客觀性”和“主觀性”兩個(gè)方面分別定義可信軟件：“軟件可信性”指軟件客觀具有的質(zhì)量；“可信軟件”指用戶對軟件客觀質(zhì)量的主觀認(rèn)同。他們認(rèn)為的影響軟件可信性的屬性包括：安全性、可用性、可靠性、實(shí)時(shí)性、可維護(hù)性和可生存性[11]。

此外，其他的研究者對可信性所包含的可信屬性也有不同的見解，其中，大部分的研究者認(rèn)為可信性應(yīng)包括可用性（Availability）、可靠性（Reliability）、可維護(hù)性（Maintainability）、防危性（Safety）、保密性（confidentiality）、完整性（integrity）和可生存性（survivability）等屬性，而每個(gè)屬性特性又可能包含了若干的子特性，這些可信屬性特征共同構(gòu)成了軟件的可信屬性模型。

軟件可信性是通過軟件可信屬性集及其取值來進(jìn)行描述的，可信屬性集是一組軟件可信屬性的集合，它是與軟件可信相關(guān)的一組指標(biāo)體系。可以通過用戶判斷的軟件所具有的關(guān)于可信屬性的評價(jià)和取值來判斷軟件系統(tǒng)的可信性，從而對軟件系統(tǒng)的可信性進(jìn)行不斷的改進(jìn)。在軟件系統(tǒng)的運(yùn)行過程中，若可信屬性滿足要求，則意味著軟件達(dá)到應(yīng)有的可信程度或該軟件能達(dá)到其預(yù)設(shè)的可信目標(biāo)；否則，就可以認(rèn)為軟件系統(tǒng)在運(yùn)行過程中不可信。

軟件可信性可由軟件可信屬性集來進(jìn)行描述和表示，但是人們根據(jù)軟件系統(tǒng)的不同特征和用戶所關(guān)心的不同層面提出了很多描述軟件可信的屬性集。這些屬性集中的屬性可能不相同，有些是冗余的，有些甚至是相互沖突的，因此，首先要解決的問題是如何選擇屬性來描述軟件的可信性，并且需要考慮這些所選擇的屬性之間是否有冗余，分析它們之間具有什么樣的相關(guān)性。

3 可信屬性相關(guān)性分析（Correlation analysis of

trustworthy attributes）

3.1 可信屬性的表示

對于一個(gè)可信軟件系統(tǒng)TS，設(shè)其可信屬性集為A={a1，a2，...，an}，V是可信屬性值的集合，，是可信屬性的值域，即可信屬性的取值范圍，是一個(gè)可信屬性函數(shù)，它指定某一可信軟件系統(tǒng)TS中可信屬性的取值范圍。由于軟件系統(tǒng)的特征和用戶所關(guān)心的層面不同，不同的可信軟件，其屬性取值范圍也各不相同。

由于可信軟件系統(tǒng)的運(yùn)行特征，軟件可信屬性的取值也是一個(gè)動(dòng)態(tài)的過程。隨著時(shí)間的推移或者軟件的運(yùn)行，可信屬性取值會(huì)不斷發(fā)生變化，因此，可以把每個(gè)可信屬性的取值看成一個(gè)時(shí)間序列，逐一記錄了可信屬性在時(shí)刻的取值。

3.2 可信屬性之間的相關(guān)性分析

對于一個(gè)可信軟件系統(tǒng)TS的可信屬性集A中的任意兩個(gè)可信屬性和，如果它們在可信軟件系統(tǒng)TS運(yùn)行過程中的取值為和，則它們的可信相關(guān)系數(shù)r可以用Pearson相關(guān)系數(shù)定義為：

其中，表示的平均值，表示的平均值，r的取值范圍在區(qū)間[-1，1]內(nèi)，若可信屬性和完全相關(guān)，則有r=1或者-1；若可信屬性和完全獨(dú)立，則r=0。

可信屬性之間的相關(guān)系數(shù)是對稱的，即對于可信屬性和，有。

可信相關(guān)系數(shù)的絕對值越大，相關(guān)性越強(qiáng)——可信相關(guān)系數(shù)越接近于1或-1，可信屬性之間的相關(guān)性越強(qiáng)，可信相關(guān)系數(shù)越接近于0，可信屬性之間的相關(guān)度越弱。通常情況下可以通過以下的取值范圍來判斷可信屬性自己的相關(guān)強(qiáng)度：對于兩個(gè)可信屬性來說，其相關(guān)系數(shù)的絕對值為0.8—1.0則稱兩個(gè)可信屬性之間極強(qiáng)相關(guān)，相關(guān)系數(shù)的絕對值為0.6—0.8稱兩個(gè)可信屬性之間強(qiáng)相關(guān)，相關(guān)系數(shù)的絕對值為0.4—0.6稱兩個(gè)可信屬性之間中等程度相關(guān)，相關(guān)系數(shù)的絕對值為0.2—0.4稱兩個(gè)可信屬性之間弱相關(guān)，相關(guān)系數(shù)的絕對值為0.0—0.2稱兩個(gè)可信屬性之間極弱相關(guān)或無相關(guān)。

可信屬性與可信屬性之間的獨(dú)立性和冗余性可以根據(jù)可信屬性之間的相關(guān)性來定義。一般地，如果兩個(gè)屬性是完全無關(guān)的，那么稱它們之間是獨(dú)立的；如果兩個(gè)屬性之間是完全相關(guān)的，那么稱它們之間是彼此冗余的。

可信屬性之間的獨(dú)立和冗余程度可以定義如下：

如果可信屬性，對于任意可信屬性都有，則稱可信屬性在可信軟件系統(tǒng)TS的可信屬性集A中是完全獨(dú)立的，可信屬性也稱為可信屬性集A中的孤立可信屬性。

對于可信屬性和有，則稱可信屬性和完全冗余的，一個(gè)屬性是完全冗余的應(yīng)從可信屬性集A中刪除。對于兩個(gè)可信屬性來說，其相關(guān)系數(shù)的絕對值大于0.2則稱兩個(gè)可信屬性是部分冗余的，部分冗余的可信屬性的處理要根據(jù)不同可信系統(tǒng)和不同用戶的要求來進(jìn)行，處理時(shí)可以根據(jù)要求設(shè)定一個(gè)閾值th，當(dāng)相關(guān)系數(shù)的絕對值大于閾值th時(shí)看成是冗余的，否則認(rèn)為是非冗余的。

3.3 可信屬性最小子集的求解

在對一個(gè)可信軟件系統(tǒng)TS進(jìn)行基于可信屬性集的可信性度量時(shí)，如何選擇合適的可信屬性集至關(guān)重要。為了能夠提高效率和節(jié)約資料，可以在全部可信屬性集相關(guān)性分析的基礎(chǔ)上，根據(jù)可信系統(tǒng)特征，求出最小可信屬性集作為可信度量的依據(jù)。

基于可信屬性的相關(guān)性分析，最小可信屬性集的選擇如下：

（1）根據(jù)可信系統(tǒng)特征選擇一個(gè)合適的冗余性度量閾值th；

（2）基于冗余性度量閾值th和可信屬性之間的相關(guān)系數(shù)來對全部可信屬性集進(jìn)行分類，把它分為一系列子集，凡是相關(guān)系數(shù)大于閾值th的可信屬性分在一個(gè)子集中；

（3）完全獨(dú)立的可信屬性即孤立可信屬性應(yīng)該加入到最小可信屬性集中；

（4）如果兩個(gè)或者多個(gè)子集中有一個(gè)及以上相同的可信屬性，則選擇一個(gè)可信屬性加入到最小可信屬性集中；

（5）對于剩余的子集，在每個(gè)子集中選擇一個(gè)可信屬性加入到最小可信屬性集中。

當(dāng)然，隨著可信軟件系統(tǒng)運(yùn)行環(huán)境和用戶要求的變更，最小可信屬性集也會(huì)發(fā)生變化，因此需要根據(jù)可信屬性之間的相關(guān)性的變化做出相應(yīng)的調(diào)整和處理，以適應(yīng)環(huán)境和用戶的需要。

4 結(jié)論（Conclusion）

如果一個(gè)軟件的行為總是與預(yù)期一致，則稱該軟件可信。軟件可信性是軟件質(zhì)量的一種特殊的表現(xiàn)形式，它所關(guān)注的是使用層面的綜合化的質(zhì)量屬性及其保障形式，涉及多個(gè)質(zhì)量屬性的集合以及這些屬性的綜合與平衡。一般來說，軟件的行為及其產(chǎn)生的結(jié)果可以通過一組適當(dāng)?shù)膶傩詠砻枋?，即軟件可信性可依?jù)能夠反映軟件某種可信性的一組屬性以及用戶在這組屬性上的預(yù)期來共同刻畫，這貫穿于軟件的整個(gè)生命周期。

軟件可信性可由軟件可信屬性集來進(jìn)行描述和表示，但是人們根據(jù)軟件系統(tǒng)的不同特征和用戶所關(guān)心的不同層面提出了很多描述軟件可信的屬性集。這些屬性集中的屬性可能不相同，有些是冗余的，有些甚至是相互沖突的，為此，需要考慮這些可信屬性之間的相互關(guān)系。本文提出了一種可信屬性的表示以及相關(guān)性度量與分析的方法，給出了可信屬性相關(guān)性、獨(dú)立性和冗余性的概念和度量方法?；诳尚艑傩韵嚓P(guān)性分析，根據(jù)不同的軟件類別、應(yīng)用領(lǐng)域和用戶所關(guān)注的不同方面和指標(biāo)，可以從所知的屬性集中選擇合適的屬性來作為對軟件可信性進(jìn)行評估的指標(biāo)，建立一個(gè)適合的可信屬性最小子集作為軟件可信性度量的體系，并根據(jù)環(huán)境和用戶的需要對可信屬性最小子集進(jìn)行不斷地調(diào)整和優(yōu)化。

參考文獻(xiàn)（References）

[1] Laprie J C.Dependability：Basic concepts and terminology[M].

Vienna：Springe-Verlag，1991.

[2] Algirdas Avizienis，Jean-Claude Laprie，Brian Randell.Fundamental

concepts of computer system dependability[J].IARWIEEE.RAS

Workshop on Robot Dependability：Technological，Challenge of

Dependable Robots in Human Environments.2001，2（15）：1-16.

[3] Algirdas A.，et al.Basic concepts and taxonomy of

dependable and secure[J].Computing.IEEE Trans.Dependable

Secure.2004，1（1）：11-33.

[4] NSTC.Research Challenges in High Confidence Systems.

In：Proceedings of the Committee on Computing Information

and Communications Workshop，1997.

[5] 陳火旺，王戟，董威.高可信軟件工程技術(shù)[J].電子學(xué)報(bào)，2003，

31（12A）：1933-1938.

[6] Steffen Becker，et al.Trustworthy software system：a discussion

of basic concepts and terminology[J].ACM SIGSOFT Software

Engineering Notes，2006，31（6）：1-18.

[7] 劉克，等.“可信軟件基礎(chǔ)研究”重大研究計(jì)劃綜述[J].中國

科學(xué)基金，2008（3）：145-151.

[8] 郁湧，劉永剛，侯江畔.一種基于構(gòu)件的可信軟件系統(tǒng)框架及

其表示[J].軟件工程師，2015，18（5）：60-62.

[9] Avizienis A，Laprie J C，Randell B.Fundamental concepts of

dependability[C].3rd Information Survivability Workshop.

Boston，Massachusetts. October 24-26，2000.

[10] Avizienis A，Laprie J C，Randell B，et al.Basic concepts and

taxonomy of dependable and secure computing[J].IEEE

Transactions on Dependable and Secure Computing.2004，

1：11-33.

[11] 郎波，等.一種軟件可信分級模型[J].計(jì)算機(jī)科學(xué)與探索，2010，

4（3）：231-239.

作者簡介：

李俊霖（1977-），男，博士，工程師.研究領(lǐng)域：電子政務(wù)，可

信軟件.

高 濤（1988-），女，碩士生.研究領(lǐng)域：缺失數(shù)據(jù)，數(shù)據(jù)相

關(guān)性.

郁 湧（1980-），男，博士，副教授.研究領(lǐng)域：軟件工程和可

信軟件.