姜迪 蘇磊

摘要：工作流技術(shù)作為業(yè)務(wù)過(guò)程管理的重要手段，一直是學(xué)術(shù)界研究熱點(diǎn)。如何從正確的角度對(duì)工作流可信性進(jìn)行分析與評(píng)價(jià)成為重要理論研究課題。借助可信軟件相關(guān)研究方法，在綜合比較分析多個(gè)軟件可信屬性模型的基礎(chǔ)上，結(jié)合工作流自身特點(diǎn)，建立工作流可信屬性模型，從安全性、可用性、可靠性、可測(cè)試性和工作流過(guò)程模型結(jié)構(gòu)合理性5個(gè)方面對(duì)工作流可信性進(jìn)行討論。在此基礎(chǔ)上，以工作流可信屬性中的可用性為例，從活動(dòng)級(jí)、過(guò)程級(jí)、環(huán)境級(jí)3個(gè)層級(jí)對(duì)工作流可信屬性分析方法進(jìn)行說(shuō)明，為解決工作流領(lǐng)域的可信性建模與評(píng)價(jià)提供了新思路。

關(guān)鍵詞：工作流;可信軟件;工作流可信屬性模型

DOIDOI：10.11907/rjdk.181122

中圖分類號(hào)：TP301

文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)文章編號(hào)：16727800（2018）009005603

英文標(biāo)題 Definition and Analysis of Workflow Trusted Attribute Model

--副標(biāo)題

英文作者JIANG Di1，SU Lei2

英文作者單位（1.Computer Center，Kunming University of Science and Technology;2.Institute of Information Engineering and Automation，Kunming University of Science and Technology，Kunming 650500，China）

英文摘要Abstract：As an important means of business process management，workflow has been the focus of academic research.How to analyze and evaluate the credibility of workflow from the right point of view has become an important theoretical research topic.We establish a workflow trusted attribute model based on the comprehensive comparative analysis of multiple software trusted attribute models and combination of workflow characteristics by trusted software .The model presents the trusted characteristics of the workflow from five aspects：security，availability，reliability，testability and the structural correctness of workflow process model.On this basis，taking availability as an example，the paper analyzes the influence and scope of the workflow trusted attribute model from the perspective of activity level，process level and environment level.The research provides a new perspective for workflow trusted modeling and evaluation.

英文關(guān)鍵詞Key Words：workflow; trusted software; workflow trusted attributes model

0引言

可信計(jì)算一直以來(lái)是學(xué)界和業(yè)界研究重點(diǎn)，如何定義可信，學(xué)術(shù)界一直沒有形成一致看法，但大多數(shù)定義都強(qiáng)調(diào)了可信評(píng)估目標(biāo)的可預(yù)期性，可預(yù)期性主要通過(guò)可信主體的可用性、可靠性以及安全性體現(xiàn)[16]。可信軟件指在特定環(huán)境下運(yùn)行行為及結(jié)果符合人們預(yù)期，并在受到干擾時(shí)仍能提供連續(xù)服務(wù)的軟件[7]。在可信軟件研究中，為深入理解軟件可信性，提出了軟件可信屬性的概念。軟件可信屬性是用來(lái)描述和評(píng)價(jià)軟件系統(tǒng)可信的特性，通過(guò)該屬性可以更明確、具體地描述軟件可信的內(nèi)涵[8]。軟件可信屬性可以看作是軟件可信保障能力在某一特定視角或維度的客觀描述，而可信屬性模型是一組軟件可信屬性的集合。Malaiy等[9]認(rèn)為，軟件可靠性模型是軟件可靠性度量的主要手段，它從更宏觀角度對(duì)軟件全局可信保障能力進(jìn)行客觀描述。

工作流的可信研究作為可信軟件研究領(lǐng)域的一個(gè)重要分支，可信軟件的研究方法對(duì)其也是適用的。因此，可以參考可信軟件研究中有關(guān)軟件可信屬性的研究方法，在其基礎(chǔ)上，建立工作流的可信屬性模型，使用該模型描述和評(píng)價(jià)工作流的可信性。下文對(duì)目前認(rèn)可度較高的幾種軟件可信屬性模型作出簡(jiǎn)要介紹。

陳火旺院士[10]認(rèn)為高可信性質(zhì)是軟件系統(tǒng)需要滿足的關(guān)鍵性質(zhì)，軟件系統(tǒng)一旦違背該性質(zhì)會(huì)造成巨大損失，他將軟件的可信性歸納為以下6種：可靠性、防危性、安全性、可生存性、容錯(cuò)性、實(shí)時(shí)性。陳火旺院士指出具有高可信性的軟件系統(tǒng)通常具有上述屬性中的一個(gè)或多個(gè)，并且這些特性與軟件的功能性混合在一起。Algirdas等[11]認(rèn)為，傳統(tǒng)軟件的可信性主要包括安全性和可靠性兩個(gè)方面。

王懷民等[12]認(rèn)為，如果軟件系統(tǒng)的行為總是與人們期待的愿望一致，那么該軟件系統(tǒng)是可信的，并且進(jìn)一步將可信性概括為身份可信和能力可信，其中，身份可信的核心是基于身份確認(rèn)的訪問(wèn)授權(quán)與控制，能力可信的核心是軟件系統(tǒng)的可靠性和可用性。湯永心等[13]認(rèn)為軟件可信屬性包含可靠性、可用性、防危性、保密性、完整性和可維護(hù)性。郎波等[14]以ISO 9126軟件質(zhì)量模型為基礎(chǔ)，重點(diǎn)關(guān)注與軟件可信特性關(guān)系較大的屬性，并擴(kuò)展安全性、實(shí)時(shí)性、可生存性等其它軟件特性，建立了較為完整的軟件可信屬性模型。該模型由可用性、可靠性、安全性、實(shí)時(shí)性、可維護(hù)性和可生存性，以及這些屬性的子屬性構(gòu)成，模型結(jié)構(gòu)如圖1所示。

通過(guò)綜合分析可發(fā)現(xiàn)，目前學(xué)界尚未形成一致認(rèn)同的軟件可信性模型，但由郎波等提出的軟件可信屬性模型最為全面和系統(tǒng)。該模型以軟件質(zhì)量模型為基礎(chǔ)，綜合了軟件關(guān)注的重要特性，對(duì)軟件可信屬性進(jìn)行了更為詳盡的劃分，對(duì)建立工作流可信屬性模型具有較大參考價(jià)值。

1工作流可信屬性選取與確定

本文已介紹的軟件可信屬性模型都是從較為宏觀的角度、針對(duì)一般意義上的軟件產(chǎn)品進(jìn)行模型設(shè)計(jì)。工作流相關(guān)產(chǎn)品在本質(zhì)上仍然屬于軟件，軟件可信屬性模型中的大多數(shù)可信屬性（安全性、可用性、可靠性等）在工作流中都有體現(xiàn)，包括：

①安全性。工作流參與者進(jìn)行身份鑒別，對(duì)工作流數(shù)據(jù)和資源進(jìn)行訪問(wèn)控制，確保工作流中相關(guān)數(shù)據(jù)機(jī)密性和完整性，確保工作流參與者對(duì)其行為無(wú)法抵賴等;

②可用性。取決于工作流使用的服務(wù)、離線資源和參與人員的可用性;

③可靠性。取決于工作流使用的服務(wù)、離線資源和參與人員的可靠性，以及對(duì)應(yīng)的異常處理機(jī)制。

在現(xiàn)實(shí)環(huán)境中，不同類型的軟件系統(tǒng)對(duì)可信的要求亦有所差異。針對(duì)特定類型的軟件產(chǎn)品，在進(jìn)行可信屬性建模時(shí)，需要結(jié)合自身特點(diǎn)對(duì)通用的軟件可信屬性模型進(jìn)行剪裁和完善。本文根據(jù)工作流特點(diǎn)對(duì)通用軟件可信屬性模型的部分屬性進(jìn)行細(xì)化，并取消不適用工作流或超出工作流討論范圍的可信屬性。具體情況如下：

（1）取消實(shí)時(shí)性。工作流中活動(dòng)的執(zhí)行過(guò)程在很大程度上受到參與者主觀能動(dòng)性和業(yè)務(wù)活動(dòng)復(fù)雜程度的限制，所以工作流中的業(yè)務(wù)過(guò)程往往具有較長(zhǎng)生存周期。由于工作流的應(yīng)用特性，實(shí)時(shí)性對(duì)工作流是不適用的。

（2）細(xì)化安全性。工作流管理聯(lián)盟（WFMC）在Workflow Security Considerations白皮書中對(duì)工作流安全性進(jìn)行了討論，白皮書中將工作流安全性分為身份鑒別、訪問(wèn)控制、數(shù)據(jù)私有性、數(shù)據(jù)完整性和防抵賴性。在經(jīng)過(guò)謹(jǐn)慎分析后，本文采用WFMC關(guān)于工作流安全性的劃分方式。

（3）對(duì)可用性進(jìn)行再定義。工作流作為業(yè)務(wù)過(guò)程的組織者并不參與某個(gè)具體業(yè)務(wù)活動(dòng)的執(zhí)行。工作流中的業(yè)務(wù)活動(dòng)主要可以分為人工活動(dòng)和自動(dòng)活動(dòng)兩種。人工活動(dòng)的參與者是人，而自動(dòng)活動(dòng)的參與者是外部應(yīng)用（主要指服務(wù)）。工作流可用性根據(jù)參與者的不同，可細(xì)分為人員可用性和服務(wù)可用性。在此基礎(chǔ)上還要考慮工作相關(guān)離線資源的可用性和工作流Qos約束的滿足性。

（4）對(duì)可靠性進(jìn)行擴(kuò)展。首先需要考慮作為工作流活動(dòng)具體參與人員或服務(wù)的可靠性，有研究顯示50%以上系統(tǒng)失效或崩潰由人為因素造成[15]，通過(guò)設(shè)置人員可靠性、服務(wù)可靠性對(duì)活動(dòng)參與者可靠程度進(jìn)行描述和評(píng)價(jià);其次是活動(dòng)的容錯(cuò)性，容錯(cuò)性是所有工作流活動(dòng)在出現(xiàn)異常或故障時(shí)的基本可靠保障，具有異常處理等容錯(cuò)性手段的活動(dòng)也具備更高可靠性。除此以外，對(duì)于自動(dòng)活動(dòng)而言，作為參與主體的服務(wù)評(píng)價(jià)也是影響活動(dòng)可靠性的重要指標(biāo)，在一般情況下，具有較好評(píng)價(jià)的服務(wù)同時(shí)也具備較高的可靠性，所以本文在服務(wù)可靠性的基礎(chǔ)上增設(shè)了服務(wù)評(píng)價(jià)的子屬性。

（5）提高工作流過(guò)程模型的結(jié)構(gòu)合理性。工作流的本質(zhì)是對(duì)具體業(yè)務(wù)過(guò)程的抽象，業(yè)務(wù)過(guò)程帶有顯著的結(jié)構(gòu)特征，過(guò)程模型中的結(jié)構(gòu)沖突會(huì)導(dǎo)致工作流出現(xiàn)死鎖、同步丟失等驗(yàn)證錯(cuò)誤，從而導(dǎo)致工作流正常無(wú)法運(yùn)轉(zhuǎn)。

2工作流可信屬性模型

基于以上分析，建立如圖2所示的工作流可信屬性模型。該模型由安全性、可用性、可靠性、可測(cè)試性和工作流過(guò)程模型結(jié)構(gòu)合理性及其子屬性構(gòu)成。

可信屬性的具體內(nèi)涵如下：

（1）安全性。工作流安全性指對(duì)工作流相關(guān)數(shù)據(jù)和信息提供保密性、完整性、真實(shí)性支持，確保工作流相關(guān)數(shù)據(jù)和資源的合法訪問(wèn)，保證工作流參與者的合法性及其行為的不可抵賴性。安全性主要包括身份鑒別、訪問(wèn)控制、數(shù)據(jù)私有性、數(shù)據(jù)完整性和防抵賴性。身份鑒別是指工作流對(duì)過(guò)程和活動(dòng)參與者的身份識(shí)別和認(rèn)證能力，將非法用戶隔離在工作流外部。訪問(wèn)控制是指工作流確保過(guò)程和活動(dòng)的參與者對(duì)工作流相關(guān)資源、數(shù)據(jù)和服務(wù)的合法訪問(wèn)和操作能力。數(shù)據(jù)私有性是指工作流相關(guān)數(shù)據(jù)不被非法用戶獲取的能力。數(shù)據(jù)完整性是指工作流相關(guān)數(shù)據(jù)不被非法篡改的能力。防抵賴性是指防止工作流活動(dòng)參與者對(duì)行為進(jìn)行抵賴的能力。

（2）可用性。工作流可用性指工作流相關(guān)資源和服務(wù)在給定時(shí)間內(nèi)可以被正常訪問(wèn)和使用，并且確保資源和服務(wù)能夠滿足工作流功能性與Qos約束等要求。可用性具體包括：離線資源可用性、服務(wù)可用性、Qos約束滿足性和人員可用性。離線資源可用性是指保障工作流相關(guān)離線資源在特定條件下可以被正常訪問(wèn)的能力。服務(wù)可用性是指工作流自動(dòng)活動(dòng)中調(diào)用的服務(wù)，在特定條件下可以被正常訪問(wèn)的能力。Qos約束滿足性是指工作流能夠在滿

足Qos約束的前提下進(jìn)行正常流轉(zhuǎn)的能力。人員可用性是指工作流中人工活動(dòng)的參與者在特定條件下能夠參與流程處理的能力。

（3）可靠性?？煽啃灾冈谝?guī)定環(huán)境下、規(guī)定時(shí)間內(nèi)工作流能夠正常持續(xù)運(yùn)行的能力，由兩部分構(gòu)成，一是在出現(xiàn)系統(tǒng)異常情況下工作流能夠從異常中恢復(fù)并繼續(xù)運(yùn)行的能力;二是確保工作流參與者（人員和服務(wù)）能夠正常持續(xù)提供服務(wù)的能力?？煽啃跃唧w包括：容錯(cuò)性、服務(wù)可靠性、服務(wù)評(píng)價(jià)和人員可靠性。

容錯(cuò)性是指在工作流出現(xiàn)異常或故障時(shí)，工作流能夠從異常或故障中恢復(fù)并繼續(xù)運(yùn)行的能力。服務(wù)可靠性是指工作流確保從自動(dòng)活動(dòng)中調(diào)用的服務(wù)能夠提供持續(xù)穩(wěn)定服務(wù)的能力。服務(wù)評(píng)價(jià)是指工作流確保從活動(dòng)中調(diào)用的服務(wù)具有較好評(píng)價(jià)能力。評(píng)價(jià)好的服務(wù)意味著該服務(wù)具有較高可信賴度。人員可靠性是指工作流確保人工活動(dòng)參與者能夠提供持續(xù)可靠的工作能力。

（4）可測(cè)試性?？蓽y(cè)試性指可以方便地對(duì)工作流進(jìn)行測(cè)試，并且測(cè)試結(jié)果滿足預(yù)期的能力。

（5） 過(guò)程模型結(jié)構(gòu)合理性。確保工作流過(guò)程模型結(jié)構(gòu)合理，即不存在潛在結(jié)構(gòu)沖突。

3工作流可信屬性模型分析

工作流不同于一般意義上的軟件，具有較高應(yīng)用層次和普適性。作為業(yè)務(wù)過(guò)程的組織者，除了要關(guān)注某個(gè)特定業(yè)務(wù)活動(dòng)，還要考慮業(yè)務(wù)活動(dòng)間組織和全局業(yè)務(wù)過(guò)程目標(biāo)的實(shí)現(xiàn)，這使工作流呈現(xiàn)一種明顯的層次結(jié)構(gòu)。因此，有關(guān)工作流可信屬性模型的分析要從活動(dòng)、過(guò)程和工作流所處環(huán)境3個(gè)層次進(jìn)行討論。本文以工作流性的離線資源可用性、服務(wù)可用性、Qos約束滿足性和人員可用性為例進(jìn)行分析，具體如表1所示。

4結(jié)語(yǔ)

軟件可信屬性模型是研究軟件可信性的基礎(chǔ)和關(guān)鍵，是進(jìn)行軟件可信性量化分析和評(píng)價(jià)的基本前提。本文在綜合比較分析多個(gè)軟件可信屬性模型的基礎(chǔ)上，結(jié)合工作流自身特點(diǎn)，建立了工作流可信屬性模型。該模型從安全性、可用性、可靠性、可測(cè)試性和工作流結(jié)構(gòu)合理性的角度對(duì)工作流可信性進(jìn)行討論。與通用軟件可信屬性模型相比，該模型涵蓋了對(duì)結(jié)構(gòu)可理性、人員可靠性、離線資源可用性等工作流特有可信屬性的分析，能夠較為貼切、客觀地對(duì)工作流的可行性進(jìn)行評(píng)價(jià)。在此基礎(chǔ)上，本文從活動(dòng)級(jí)、過(guò)程級(jí)和環(huán)境級(jí)3個(gè)角度對(duì)工作流可信屬性模型的影響和作用范圍進(jìn)行了探討。下一步的工作將主要集中于如何建立工作流可信評(píng)估指標(biāo)體系，完成可信證據(jù)的采集，最終實(shí)現(xiàn)工作流過(guò)程模型可信性量化分析與評(píng)價(jià)。

參考文獻(xiàn)參考文獻(xiàn)：

[1]ISO/IEC 959462002.TCPA Main Specification[S].

[2]ISO/IEC 9594101990.Information TechnologyOpen Systems Interconnection[S].

[3]ISO/IEC 154081999.Common Criteria for Information Technology Security Evaluation[S].

[4]沈昌祥，張煥國(guó)，王懷民，等.可信計(jì)算的研究與發(fā)展[J].中國(guó)科學(xué)：信息科學(xué)，2010，2：139166.

[5]沈昌祥，張煥國(guó)，馮登國(guó)，等.信息安全綜述[J].中國(guó)科學(xué)：E輯信息科學(xué)，2007，37（2）：129150.

[6]IMMONEN A，PALVIAINEN M.Trustworthiness evaluation and testing of open source components[C].IEEE Seventh International Conference on Quality Software，2007：316321.

[7]劉克，單志廣，王戟，等.“可信軟件基礎(chǔ)研究”重大研究計(jì)劃綜述[J].中國(guó)科學(xué)基金，2008，3：145151.

[8]程平，溫艷好.基于云會(huì)計(jì)的AIS可信性層次結(jié)構(gòu)模型[J].重慶理工大學(xué)學(xué)報(bào)：社會(huì)科學(xué)版，2014，28（2）：2431.

[9]MALAIYA Y K，SRIMANI P K.Software reliability models：theoretical developments，evaluation and applications[M].Los Alamitos：IEEE Computer Society Press，1991.

[10]陳火旺，王戟，董威.高可信軟件工程技術(shù)[J].電子學(xué)報(bào)，2003（S1）：19331938.

[11]ALGIRDAS A，LAPRIE J C，BRIAN R，et al.Basic concepts and taxonomy of dependable and secure computing[J].IEEE Transaction Dependable Secure，2004，1（1）：1133.

[12]王懷民，唐揚(yáng)斌，尹剛，等.互聯(lián)網(wǎng)軟件的可信機(jī)理[J].中國(guó)科學(xué)：E輯，2006，36（10）：11561169.

[13]湯永新，劉增良.軟件可信性度量模型研究進(jìn)展[J].計(jì)算機(jī)工程與應(yīng)用，2011，27：1216，42.

[14]郎波，劉旭東，王懷民，等.一種軟件可信分級(jí)模型[J].計(jì)算機(jī)科學(xué)與探索，2010，3：231239.

[15]BROWN A B，PATTERSON D A.To err is human[C].Proceedings of the First Workshop on Evaluating and Architecting System Dependability，2001：827828.

責(zé)任編輯（責(zé)任編輯：江艷）