一種基于信任關系的網構軟件安全模型及其應用研究

摘要：作為一種新的軟件架構概念和技術，網構軟件成為當前軟件工程研究領域的焦點之一。然而新的架構技術和運行環境也使得網構軟件技術面臨著一些新的問題，其中包括網構軟件的信息安全性問題。為了實現對網構軟件的信息安全保護，本文提出了一種基于信任關系的網構軟件安全保護模型，它通過建立網構軟件中各軟件主體之間的信任關系，達到對網構軟件中信息的安全保護目的。

關鍵詞：網構軟件；信任關系；安全模型

中圖分類號：TP311文獻標識碼：A文章編號：1009-3044(2008)15-20ppp-0c

The Application Research of a Internetware Security Model Based on Believe Relationship

PANG Luo-jun

(Pingxiang Entry-exit Inspection and Quarantine，Pingxiang 532600，China)

Abstract: Be a new software construct conception and technology， internetware becomes a focus of current software engineer research field. But for the new construct technology and runtime environment， there are also some problems in internetware development， security is the one problem of those. In order to protect the information security of internetware， it presents a interware security model based on believe relationship in the paper. It solves the problem through building the believe relationship between the software entities in internetware.

Key words:interware;believe relationship;security model

1 研究背景

網構軟件是目前軟件工程研究領域的熱點之一，它的主要概念來源由在網絡環境下，開放、動態難以控制的環境下軟件系統的開發。如同面向過程的軟件開發技術向面向對象的軟件開技術發展過程一樣，新的環境給軟件工程的研究人員提出了新需要。如何實現軟件的有限自主性和封閉性向軟件實體的轉變，網構軟件給出了新的解決思路和方案。網構軟件總體上來說，網構軟件是開放、動態和難控網絡環境下的分布式軟件系統的一種抽象，它包括一組分布于Internet 環境下各個節點的、具有主體化特征的軟件實體，以及一組用于支撐這些軟件實體以各種交互方式進行協同的連接子；它可以感知外部環境的變化，通過體系結構演化的方法來適應外部環境的變化，展示上下文適應的行為，從而使系統能夠以足夠滿意度來滿足用戶的多樣性目標[1]。

因此，從網構軟件的概念可以看出，網構軟件主要是通過鏈接分布在網絡環境中的一些軟件實體提供各種服務而架構實現的，也即網構軟件需要通過鏈接各軟件實體，傳送它們的數據實現某個階段用戶的目標。而數據傳送過程在一般情況下，是處于公共開放的網絡環境下，由此網構軟件的數據安全性問題是網構軟件架構必須要解決的首要問題，針對這個問題本文提出了基于信任關系的網構軟件安全模型，它采用在信息安全應用研究領域中常用的信任關系的概念出發[2]，建立起網構軟件中各軟件實體之間的信任關系，使得網構軟件中轉遞的數據具有真實性，可信性和保密性，達到保護信息安全的目標。

2 信任關系的概念及在網構軟件中的應用

2.1 信任關系的概念

信任作為了一個重要的概念在網絡安全、分布式計算等領域得到廣泛的研究與應用，也是可信計算的基礎概念之一。目前針對信任的概念有多種不同的描述和定義。其中，Deutsch定義信任為：當一個獨立的個體面對一條既可能產生有利事件又可能產生不利事件的道路時，并且其意識到不利或有利情況的發生與另一個個體的行為有關，且不利事件發生的可能性比有利事件發生可能性要大[3]。如果他選擇了這條道路，則他做出了一個信任抉擇。如果他沒有選擇這條道路，則他做出了一個不信任抉擇。而McKnight和Chervany的定義則為：信任是一個范圍，它表明一方愿意在某個確定環境下，帶有相對的安全感去依靠某個人或某個事物，即使這樣做可能會帶來消極的影響。

從以上的定義可以看出，信任關系的概念定義是比較復雜，難以給出一個公認的定義，這雖然與信任關系的內涵比較豐富之外，也與信任關系在不同應用環境下起到的作用不同有關。在本文中信任關系的定義為，如果一個網構軟件的軟件實體信任另一個軟件實體，那么即意味著它認為從另一個軟件實體傳送來的數據是真實，可信的，并滿足該軟件實體對傳送數據的保密需求。

2.2 軟件實體的信任關系

為了能夠在網構軟件實體中建立上節所述的信任關系，本文提了出了如下軟件實體之間的信任關系。如果兩個軟件實體之間存在有信任關系，即A信任B，那么A即信任B傳送來的數據具體真實可信性，并滿足A對數據的保密需求。那么顯然可以得到以下幾個結論：

1)信任關系是滿足傳遞性，自反性，不滿足對稱性，因為A信任B，并不意味著B也信任A，因此信任關系是一種偏序關系。

2)由第一點可知，一個網構軟件中是不存在循環的信任關系的，也即通過信任關系的傳遞性，建立起二個或二個以上軟件實體的信任關系鏈（這里的鏈不是數理邏輯中的鏈概念，因為一個實體可能信任多個其它實體），那么顯然，一個軟件實體是不可能在一條信任關系鏈中出現二次的，因為這違反了信任關系的偏序性。

3)如果在一個網構軟件中，軟件實體A與軟件實體B建立了信任關系，那么這兩個軟件實體可以通過其它軟件實體來實現建立彼此的信任關系。而這個過程即是建立信任關系鏈的過程，同理，如果一個軟件實體A與軟件實體B之間無法建立信任關系關系，也即意味著它們之間不存在信任關系鏈。

由以上的結論可見，如果一個網構軟件中各個軟件實體根據服務的需求，建立起信任關系鏈，那么由信任關系的定義，即可實現網構軟件中信息的安全目標。同樣由信任關系的傳遞，可知信任關系分為直接信任關系和間接信任關系兩種。其中直接信任關系的建立可由多種技術來實現，如認證與加密技術等，而間接信任關系的建立則需要由網構軟件的控制層來實現，本文討論的是網構軟件的信息安全模型，所以主要關注的是間接信任關系的建立。

為了實現網構軟件信息安全的目標，僅通過推導而建立信任關系是不夠的。因為網構軟件中軟件實體是在開放的網絡空間中傳送的數據，因此在這種環境下傳遞的數據無法保證真實保密性，極有可能會被攻擊者截獲或修改數據。因此信任關系除了直接與間接信任關系的劃分之外，還應用根據實現服務的需求不同，而設立不同的信任等級，在本文中采用的等級主要包括對信任的真實性信任、真實及完整性信任以及真實、完整并秘密性信任三個級別。

其中真實性信任級別表示實體A信任數據確實來自于其信任對象，真實及完整性信任表明實體A不僅信任數據來自于其信任對象而數據在傳送過程中沒有被修改過，最高級別的信任關系，除了滿足前二個級別之外，還滿足信息在傳遞過程中是保密的，不會被其它第三方獲知。

本文之所以要設定信任關系的等級，是因為信任關系的不同等級涉及到不同的認證方法和措施，對于系統資源占有不一樣，大規模的網構軟件應用系統中，采用信任關系的分級顯然可以節約大量不必浪費的系統資源，從而提高系統的利用率。

3 基于信任關系的安全模型

從網構軟件的運行結構表面上看，其構成軟件實體的信任鏈可以在網構軟件控制層中直接完成，即由網構軟件的控制層直接設置完成即可。但事實上并非如此簡單，主要在于網構軟件中建立信任鏈存在有以下問題：

1)各軟件實體分布在網絡環境中，各自有不同的操作平臺，采用不同的認證技術方法，因此必須要解決不同操作平臺下的軟件實體采用不同的認證方法建立彼此信任關系。

2)由于網構軟件結構本身處于一種動態的演化狀態，根據客戶的需要提供不同的服務，因此網構軟件的信任鏈也處于不斷的變化當中，網構軟件必須要實現信任鏈的動態變化。針對這兩個問題，本文提出了如下的基于信任關系的安全模型，如下圖所示。

從圖中可以看，本模型中的軟件實體進行數據交互的對象是具體公信力的認證服務器。具體的模型工作方式如下幾個步驟：

1)控制層的信任鏈設置與生成，當控制層接收到用戶的請求時，分析用戶需求，將用戶的需求分析成各種服務，然后根據流程建立各軟件實體的業務流數據鏈，從而設定各軟件實體的信任鏈。同時根據服務需要設定信任鏈中各個信任關系的信任等級。

2)根據設定完畢的信任鏈，控制服務器將業務流數據鏈連同信任鏈發送給業務流數據鏈中的各個軟件實體。當軟件實體接收到數據后，首先通過其信任的認證服務器驗證控制服務器發來的數據的可信性。通過驗證之后，軟件實體開始按業務流規定準備接收或發送業務流數據。

3)當軟件實體根據業務流設定，需要向另一個軟件實體發送業務流數據時，它首先根據信任鏈，推導目標軟件實體與其是否存在有信任關系以及信任關系的等級。當確定之后，軟件實體向其信任的認證服務器發送對應信任等級的認證請求。真實性，完整性，保密性可分別由數據簽名，HASH算法以及加密算法來實現。當認證結束后，軟件實體將認證信息與數據打包發送至業務流設定的目標軟件實體。

4)當軟件實體接收到其它軟件實體發送來的業務數據后，它將首先將數據提交給認證服務器，由認證服務器對認證數據部分進行認證。雖然發送數據的軟件實體采用的認證技術可能與接收數據的軟件實體采用的技術不一樣，但可以通過雙方各自信任的認證服務器實現中間轉換，解決平臺與實現技術不一致的問題。

5)當接收數據通過認證后，接收數據的軟件實體將檢驗數據的來源是否符合業務流程的要求，同時來源軟件實體與其是否存在信任關系，以及接收數據的驗證方式是否滿足信任鏈等級的要求。當以上檢測都通過以后，接收數據軟件實體即可信任接收數據，開始按業務流要求提供相互的服務。

此外當信任關系鏈動態調整時，其過程與除上述的步驟基本類似。

4 總結與討論

本文討論了網構軟件中信息安全保護，網構軟件由于處于分布的網絡環境中，各軟件實體在開放的網絡環境中傳遞的數據存在嚴重的安全風險問題。由此本文提出了基于信任關系建立網構軟件的安全模型。從上述文中內容可以看出，本模型中信任關系是一種偏序的關系類型，分為直接或間接信任關系兩種，并且具有三個不同的信任等級。

另外，由本文所述的工作流程可以看出，本模型主要采用了可信任的認證服務中心來完成軟件實體的認證工作，這樣的架構一方面降低了軟件實體的工作負載，也減少了對軟件實體組件的變動，提高軟件的重復利用率。而另一方面則通過可信任的認證服務中心實現軟件實體的認證技術和操作平臺不一致的問題，從軟件實體來看，它只需要與認證服務器交互即可。由此可以看出本文的安全模型對于現有網構軟件實體的變動是比較小的，具有良好的擴展性和可維護，因而具有一定的實際使用價值。

參考文獻：

[1]呂建，馬曉星，陶先平，等.網構軟件的研究與進展[J].中國科學:E輯，2006，(36)10.

[2]祝勝林，楊波，張明武.分布式系統中綜合的信任管理模型研究[J].華南農業大學學報，2007，28(2).

[3]Morton Deutsch.Trust and Suspicion[J].The Journal of Conflict Resolution，1958，2(4):265-266.

收稿日期：2008-03-10

作者簡介：龐洛軍（1978-），男，廣西貴港人，助理工程師，學士，研究方向：主要從事計算機網絡及信息安全方面研究。