工作流可信屬性模型定義與分析

姜迪 蘇磊

摘要：工作流技術(shù)作為業(yè)務(wù)過程管理的重要手段，一直是學(xué)術(shù)界研究熱點。如何從正確的角度對工作流可信性進行分析與評價成為重要理論研究課題。借助可信軟件相關(guān)研究方法，在綜合比較分析多個軟件可信屬性模型的基礎(chǔ)上，結(jié)合工作流自身特點，建立工作流可信屬性模型，從安全性、可用性、可靠性、可測試性和工作流過程模型結(jié)構(gòu)合理性5個方面對工作流可信性進行討論。在此基礎(chǔ)上，以工作流可信屬性中的可用性為例，從活動級、過程級、環(huán)境級3個層級對工作流可信屬性分析方法進行說明，為解決工作流領(lǐng)域的可信性建模與評價提供了新思路。

關(guān)鍵詞：工作流;可信軟件;工作流可信屬性模型

DOIDOI：10.11907/rjdk.181122

中圖分類號：TP301

文獻標(biāo)識碼：A文章編號文章編號：16727800（2018）009005603

英文標(biāo)題 Definition and Analysis of Workflow Trusted Attribute Model

--副標(biāo)題

英文作者JIANG Di1，SU Lei2

英文作者單位（1.Computer Center，Kunming University of Science and Technology;2.Institute of Information Engineering and Automation，Kunming University of Science and Technology，Kunming 650500，China）

英文摘要Abstract：As an important means of business process management，workflow has been the focus of academic research.How to analyze and evaluate the credibility of workflow from the right point of view has become an important theoretical research topic.We establish a workflow trusted attribute model based on the comprehensive comparative analysis of multiple software trusted attribute models and combination of workflow characteristics by trusted software .The model presents the trusted characteristics of the workflow from five aspects：security，availability，reliability，testability and the structural correctness of workflow process model.On this basis，taking availability as an example，the paper analyzes the influence and scope of the workflow trusted attribute model from the perspective of activity level，process level and environment level.The research provides a new perspective for workflow trusted modeling and evaluation.

英文關(guān)鍵詞Key Words：workflow; trusted software; workflow trusted attributes model

0引言

可信計算一直以來是學(xué)界和業(yè)界研究重點，如何定義可信，學(xué)術(shù)界一直沒有形成一致看法，但大多數(shù)定義都強調(diào)了可信評估目標(biāo)的可預(yù)期性，可預(yù)期性主要通過可信主體的可用性、可靠性以及安全性體現(xiàn)[16]?？尚跑浖冈谔囟ōh(huán)境下運行行為及結(jié)果符合人們預(yù)期，并在受到干擾時仍能提供連續(xù)服務(wù)的軟件[7]。在可信軟件研究中，為深入理解軟件可信性，提出了軟件可信屬性的概念。軟件可信屬性是用來描述和評價軟件系統(tǒng)可信的特性，通過該屬性可以更明確、具體地描述軟件可信的內(nèi)涵[8]。軟件可信屬性可以看作是軟件可信保障能力在某一特定視角或維度的客觀描述，而可信屬性模型是一組軟件可信屬性的集合。Malaiy等[9]認為，軟件可靠性模型是軟件可靠性度量的主要手段，它從更宏觀角度對軟件全局可信保障能力進行客觀描述。

工作流的可信研究作為可信軟件研究領(lǐng)域的一個重要分支，可信軟件的研究方法對其也是適用的。因此，可以參考可信軟件研究中有關(guān)軟件可信屬性的研究方法，在其基礎(chǔ)上，建立工作流的可信屬性模型，使用該模型描述和評價工作流的可信性。下文對目前認可度較高的幾種軟件可信屬性模型作出簡要介紹。

陳火旺院士[10]認為高可信性質(zhì)是軟件系統(tǒng)需要滿足的關(guān)鍵性質(zhì)，軟件系統(tǒng)一旦違背該性質(zhì)會造成巨大損失，他將軟件的可信性歸納為以下6種：可靠性、防危性、安全性、可生存性、容錯性、實時性。陳火旺院士指出具有高可信性的軟件系統(tǒng)通常具有上述屬性中的一個或多個，并且這些特性與軟件的功能性混合在一起。Algirdas等[11]認為，傳統(tǒng)軟件的可信性主要包括安全性和可靠性兩個方面。

王懷民等[12]認為，如果軟件系統(tǒng)的行為總是與人們期待的愿望一致，那么該軟件系統(tǒng)是可信的，并且進一步將可信性概括為身份可信和能力可信，其中，身份可信的核心是基于身份確認的訪問授權(quán)與控制，能力可信的核心是軟件系統(tǒng)的可靠性和可用性。湯永心等[13]認為軟件可信屬性包含可靠性、可用性、防危性、保密性、完整性和可維護性。郎波等[14]以ISO 9126軟件質(zhì)量模型為基礎(chǔ)，重點關(guān)注與軟件可信特性關(guān)系較大的屬性，并擴展安全性、實時性、可生存性等其它軟件特性，建立了較為完整的軟件可信屬性模型。該模型由可用性、可靠性、安全性、實時性、可維護性和可生存性，以及這些屬性的子屬性構(gòu)成，模型結(jié)構(gòu)如圖1所示。

通過綜合分析可發(fā)現(xiàn)，目前學(xué)界尚未形成一致認同的軟件可信性模型，但由郎波等提出的軟件可信屬性模型最為全面和系統(tǒng)。該模型以軟件質(zhì)量模型為基礎(chǔ)，綜合了軟件關(guān)注的重要特性，對軟件可信屬性進行了更為詳盡的劃分，對建立工作流可信屬性模型具有較大參考價值。

1工作流可信屬性選取與確定

本文已介紹的軟件可信屬性模型都是從較為宏觀的角度、針對一般意義上的軟件產(chǎn)品進行模型設(shè)計。工作流相關(guān)產(chǎn)品在本質(zhì)上仍然屬于軟件，軟件可信屬性模型中的大多數(shù)可信屬性（安全性、可用性、可靠性等）在工作流中都有體現(xiàn)，包括：

①安全性。工作流參與者進行身份鑒別，對工作流數(shù)據(jù)和資源進行訪問控制，確保工作流中相關(guān)數(shù)據(jù)機密性和完整性，確保工作流參與者對其行為無法抵賴等;

②可用性。取決于工作流使用的服務(wù)、離線資源和參與人員的可用性;

③可靠性。取決于工作流使用的服務(wù)、離線資源和參與人員的可靠性，以及對應(yīng)的異常處理機制。

在現(xiàn)實環(huán)境中，不同類型的軟件系統(tǒng)對可信的要求亦有所差異。針對特定類型的軟件產(chǎn)品，在進行可信屬性建模時，需要結(jié)合自身特點對通用的軟件可信屬性模型進行剪裁和完善。本文根據(jù)工作流特點對通用軟件可信屬性模型的部分屬性進行細化，并取消不適用工作流或超出工作流討論范圍的可信屬性。具體情況如下：

（1）取消實時性。工作流中活動的執(zhí)行過程在很大程度上受到參與者主觀能動性和業(yè)務(wù)活動復(fù)雜程度的限制，所以工作流中的業(yè)務(wù)過程往往具有較長生存周期。由于工作流的應(yīng)用特性，實時性對工作流是不適用的。

（2）細化安全性。工作流管理聯(lián)盟（WFMC）在Workflow Security Considerations白皮書中對工作流安全性進行了討論，白皮書中將工作流安全性分為身份鑒別、訪問控制、數(shù)據(jù)私有性、數(shù)據(jù)完整性和防抵賴性。在經(jīng)過謹(jǐn)慎分析后，本文采用WFMC關(guān)于工作流安全性的劃分方式。

（3）對可用性進行再定義。工作流作為業(yè)務(wù)過程的組織者并不參與某個具體業(yè)務(wù)活動的執(zhí)行。工作流中的業(yè)務(wù)活動主要可以分為人工活動和自動活動兩種。人工活動的參與者是人，而自動活動的參與者是外部應(yīng)用（主要指服務(wù)）。工作流可用性根據(jù)參與者的不同，可細分為人員可用性和服務(wù)可用性。在此基礎(chǔ)上還要考慮工作相關(guān)離線資源的可用性和工作流Qos約束的滿足性。

（4）對可靠性進行擴展。首先需要考慮作為工作流活動具體參與人員或服務(wù)的可靠性，有研究顯示50%以上系統(tǒng)失效或崩潰由人為因素造成[15]，通過設(shè)置人員可靠性、服務(wù)可靠性對活動參與者可靠程度進行描述和評價;其次是活動的容錯性，容錯性是所有工作流活動在出現(xiàn)異常或故障時的基本可靠保障，具有異常處理等容錯性手段的活動也具備更高可靠性。除此以外，對于自動活動而言，作為參與主體的服務(wù)評價也是影響活動可靠性的重要指標(biāo)，在一般情況下，具有較好評價的服務(wù)同時也具備較高的可靠性，所以本文在服務(wù)可靠性的基礎(chǔ)上增設(shè)了服務(wù)評價的子屬性。

（5）提高工作流過程模型的結(jié)構(gòu)合理性。工作流的本質(zhì)是對具體業(yè)務(wù)過程的抽象，業(yè)務(wù)過程帶有顯著的結(jié)構(gòu)特征，過程模型中的結(jié)構(gòu)沖突會導(dǎo)致工作流出現(xiàn)死鎖、同步丟失等驗證錯誤，從而導(dǎo)致工作流正常無法運轉(zhuǎn)。

2工作流可信屬性模型

基于以上分析，建立如圖2所示的工作流可信屬性模型。該模型由安全性、可用性、可靠性、可測試性和工作流過程模型結(jié)構(gòu)合理性及其子屬性構(gòu)成。

可信屬性的具體內(nèi)涵如下：

（1）安全性。工作流安全性指對工作流相關(guān)數(shù)據(jù)和信息提供保密性、完整性、真實性支持，確保工作流相關(guān)數(shù)據(jù)和資源的合法訪問，保證工作流參與者的合法性及其行為的不可抵賴性。安全性主要包括身份鑒別、訪問控制、數(shù)據(jù)私有性、數(shù)據(jù)完整性和防抵賴性。身份鑒別是指工作流對過程和活動參與者的身份識別和認證能力，將非法用戶隔離在工作流外部。訪問控制是指工作流確保過程和活動的參與者對工作流相關(guān)資源、數(shù)據(jù)和服務(wù)的合法訪問和操作能力。數(shù)據(jù)私有性是指工作流相關(guān)數(shù)據(jù)不被非法用戶獲取的能力。數(shù)據(jù)完整性是指工作流相關(guān)數(shù)據(jù)不被非法篡改的能力。防抵賴性是指防止工作流活動參與者對行為進行抵賴的能力。

（2）可用性。工作流可用性指工作流相關(guān)資源和服務(wù)在給定時間內(nèi)可以被正常訪問和使用，并且確保資源和服務(wù)能夠滿足工作流功能性與Qos約束等要求。可用性具體包括：離線資源可用性、服務(wù)可用性、Qos約束滿足性和人員可用性。離線資源可用性是指保障工作流相關(guān)離線資源在特定條件下可以被正常訪問的能力。服務(wù)可用性是指工作流自動活動中調(diào)用的服務(wù)，在特定條件下可以被正常訪問的能力。Qos約束滿足性是指工作流能夠在滿

足Qos約束的前提下進行正常流轉(zhuǎn)的能力。人員可用性是指工作流中人工活動的參與者在特定條件下能夠參與流程處理的能力。

（3）可靠性。可靠性指在規(guī)定環(huán)境下、規(guī)定時間內(nèi)工作流能夠正常持續(xù)運行的能力，由兩部分構(gòu)成，一是在出現(xiàn)系統(tǒng)異常情況下工作流能夠從異常中恢復(fù)并繼續(xù)運行的能力;二是確保工作流參與者（人員和服務(wù)）能夠正常持續(xù)提供服務(wù)的能力?？煽啃跃唧w包括：容錯性、服務(wù)可靠性、服務(wù)評價和人員可靠性。

容錯性是指在工作流出現(xiàn)異常或故障時，工作流能夠從異?；蚬收现谢謴?fù)并繼續(xù)運行的能力。服務(wù)可靠性是指工作流確保從自動活動中調(diào)用的服務(wù)能夠提供持續(xù)穩(wěn)定服務(wù)的能力。服務(wù)評價是指工作流確保從活動中調(diào)用的服務(wù)具有較好評價能力。評價好的服務(wù)意味著該服務(wù)具有較高可信賴度。人員可靠性是指工作流確保人工活動參與者能夠提供持續(xù)可靠的工作能力。

（4）可測試性?？蓽y試性指可以方便地對工作流進行測試，并且測試結(jié)果滿足預(yù)期的能力。

（5） 過程模型結(jié)構(gòu)合理性。確保工作流過程模型結(jié)構(gòu)合理，即不存在潛在結(jié)構(gòu)沖突。

3工作流可信屬性模型分析

工作流不同于一般意義上的軟件，具有較高應(yīng)用層次和普適性。作為業(yè)務(wù)過程的組織者，除了要關(guān)注某個特定業(yè)務(wù)活動，還要考慮業(yè)務(wù)活動間組織和全局業(yè)務(wù)過程目標(biāo)的實現(xiàn)，這使工作流呈現(xiàn)一種明顯的層次結(jié)構(gòu)。因此，有關(guān)工作流可信屬性模型的分析要從活動、過程和工作流所處環(huán)境3個層次進行討論。本文以工作流性的離線資源可用性、服務(wù)可用性、Qos約束滿足性和人員可用性為例進行分析，具體如表1所示。

4結(jié)語

軟件可信屬性模型是研究軟件可信性的基礎(chǔ)和關(guān)鍵，是進行軟件可信性量化分析和評價的基本前提。本文在綜合比較分析多個軟件可信屬性模型的基礎(chǔ)上，結(jié)合工作流自身特點，建立了工作流可信屬性模型。該模型從安全性、可用性、可靠性、可測試性和工作流結(jié)構(gòu)合理性的角度對工作流可信性進行討論。與通用軟件可信屬性模型相比，該模型涵蓋了對結(jié)構(gòu)可理性、人員可靠性、離線資源可用性等工作流特有可信屬性的分析，能夠較為貼切、客觀地對工作流的可行性進行評價。在此基礎(chǔ)上，本文從活動級、過程級和環(huán)境級3個角度對工作流可信屬性模型的影響和作用范圍進行了探討。下一步的工作將主要集中于如何建立工作流可信評估指標(biāo)體系，完成可信證據(jù)的采集，最終實現(xiàn)工作流過程模型可信性量化分析與評價。

參考文獻參考文獻：

[1]ISO/IEC 959462002.TCPA Main Specification[S].

[2]ISO/IEC 9594101990.Information TechnologyOpen Systems Interconnection[S].

[3]ISO/IEC 154081999.Common Criteria for Information Technology Security Evaluation[S].

[4]沈昌祥，張煥國，王懷民，等.可信計算的研究與發(fā)展[J].中國科學(xué)：信息科學(xué)，2010，2：139166.

[5]沈昌祥，張煥國，馮登國，等.信息安全綜述[J].中國科學(xué)：E輯信息科學(xué)，2007，37（2）：129150.

[6]IMMONEN A，PALVIAINEN M.Trustworthiness evaluation and testing of open source components[C].IEEE Seventh International Conference on Quality Software，2007：316321.

[7]劉克，單志廣，王戟，等.“可信軟件基礎(chǔ)研究”重大研究計劃綜述[J].中國科學(xué)基金，2008，3：145151.

[8]程平，溫艷好.基于云會計的AIS可信性層次結(jié)構(gòu)模型[J].重慶理工大學(xué)學(xué)報：社會科學(xué)版，2014，28（2）：2431.

[9]MALAIYA Y K，SRIMANI P K.Software reliability models：theoretical developments，evaluation and applications[M].Los Alamitos：IEEE Computer Society Press，1991.

[10]陳火旺，王戟，董威.高可信軟件工程技術(shù)[J].電子學(xué)報，2003（S1）：19331938.

[11]ALGIRDAS A，LAPRIE J C，BRIAN R，et al.Basic concepts and taxonomy of dependable and secure computing[J].IEEE Transaction Dependable Secure，2004，1（1）：1133.

[12]王懷民，唐揚斌，尹剛，等.互聯(lián)網(wǎng)軟件的可信機理[J].中國科學(xué)：E輯，2006，36（10）：11561169.

[13]湯永新，劉增良.軟件可信性度量模型研究進展[J].計算機工程與應(yīng)用，2011，27：1216，42.

[14]郎波，劉旭東，王懷民，等.一種軟件可信分級模型[J].計算機科學(xué)與探索，2010，3：231239.

[15]BROWN A B，PATTERSON D A.To err is human[C].Proceedings of the First Workshop on Evaluating and Architecting System Dependability，2001：827828.

責(zé)任編輯（責(zé)任編輯：江艷）