姜迪 苏磊

摘要：工作流技术作为业务过程管理的重要手段，一直是学术界研究熱点。如何从正确的角度对工作流可信性进行分析与评价成为重要理论研究课题。借助可信软件相关研究方法，在综合比较分析多个软件可信属性模型的基础上，结合工作流自身特点，建立工作流可信属性模型，从安全性、可用性、可靠性、可测试性和工作流过程模型结构合理性5个方面对工作流可信性进行讨论。在此基础上，以工作流可信属性中的可用性为例，从活动级、过程级、环境级3个层级对工作流可信属性分析方法进行说明，为解决工作流领域的可信性建模与评价提供了新思路。

关键词：工作流;可信软件;工作流可信属性模型

DOIDOI：10.11907/rjdk.181122

中图分类号：TP301

文献标识码：A文章编号文章编号：16727800（2018）009005603

英文标题 Definition and Analysis of Workflow Trusted Attribute Model

--副标题

英文作者JIANG Di1，SU Lei2

英文作者单位（1.Computer Center，Kunming University of Science and Technology;2.Institute of Information Engineering and Automation，Kunming University of Science and Technology，Kunming 650500，China）

英文摘要Abstract：As an important means of business process management，workflow has been the focus of academic research.How to analyze and evaluate the credibility of workflow from the right point of view has become an important theoretical research topic.We establish a workflow trusted attribute model based on the comprehensive comparative analysis of multiple software trusted attribute models and combination of workflow characteristics by trusted software .The model presents the trusted characteristics of the workflow from five aspects：security，availability，reliability，testability and the structural correctness of workflow process model.On this basis，taking availability as an example，the paper analyzes the influence and scope of the workflow trusted attribute model from the perspective of activity level，process level and environment level.The research provides a new perspective for workflow trusted modeling and evaluation.

英文关键词Key Words：workflow; trusted software; workflow trusted attributes model

0引言

可信计算一直以来是学界和业界研究重点，如何定义可信，学术界一直没有形成一致看法，但大多数定义都强调了可信评估目标的可预期性，可预期性主要通过可信主体的可用性、可靠性以及安全性体现[16]。可信软件指在特定环境下运行行为及结果符合人们预期，并在受到干扰时仍能提供连续服务的软件[7]。在可信软件研究中，为深入理解软件可信性，提出了软件可信属性的概念。软件可信属性是用来描述和评价软件系统可信的特性，通过该属性可以更明确、具体地描述软件可信的内涵[8]。软件可信属性可以看作是软件可信保障能力在某一特定视角或维度的客观描述，而可信属性模型是一组软件可信属性的集合。Malaiy等[9]认为，软件可靠性模型是软件可靠性度量的主要手段，它从更宏观角度对软件全局可信保障能力进行客观描述。

工作流的可信研究作为可信软件研究领域的一个重要分支，可信软件的研究方法对其也是适用的。因此，可以参考可信软件研究中有关软件可信属性的研究方法，在其基础上，建立工作流的可信属性模型，使用该模型描述和评价工作流的可信性。下文对目前认可度较高的几种软件可信属性模型作出简要介绍。

陈火旺院士[10]认为高可信性质是软件系统需要满足的关键性质，软件系统一旦违背该性质会造成巨大损失，他将软件的可信性归纳为以下6种：可靠性、防危性、安全性、可生存性、容错性、实时性。陈火旺院士指出具有高可信性的软件系统通常具有上述属性中的一个或多个，并且这些特性与软件的功能性混合在一起。Algirdas等[11]认为，传统软件的可信性主要包括安全性和可靠性两个方面。

王怀民等[12]认为，如果软件系统的行为总是与人们期待的愿望一致，那么该软件系统是可信的，并且进一步将可信性概括为身份可信和能力可信，其中，身份可信的核心是基于身份确认的访问授权与控制，能力可信的核心是软件系统的可靠性和可用性。汤永心等[13]认为软件可信属性包含可靠性、可用性、防危性、保密性、完整性和可维护性。郎波等[14]以ISO 9126软件质量模型为基础，重点关注与软件可信特性关系较大的属性，并扩展安全性、实时性、可生存性等其它软件特性，建立了较为完整的软件可信属性模型。该模型由可用性、可靠性、安全性、实时性、可维护性和可生存性，以及这些属性的子属性构成，模型结构如图1所示。

通过综合分析可发现，目前学界尚未形成一致认同的软件可信性模型，但由郎波等提出的软件可信属性模型最为全面和系统。该模型以软件质量模型为基础，综合了软件关注的重要特性，对软件可信属性进行了更为详尽的划分，对建立工作流可信属性模型具有较大参考价值。

1工作流可信属性选取与确定

本文已介绍的软件可信属性模型都是从较为宏观的角度、针对一般意义上的软件产品进行模型设计。工作流相关产品在本质上仍然属于软件，软件可信属性模型中的大多数可信属性（安全性、可用性、可靠性等）在工作流中都有体现，包括：

①安全性。工作流参与者进行身份鉴别，对工作流数据和资源进行访问控制，确保工作流中相关数据机密性和完整性，确保工作流参与者对其行为无法抵赖等;

②可用性。取决于工作流使用的服务、离线资源和参与人员的可用性;

③可靠性。取决于工作流使用的服务、离线资源和参与人员的可靠性，以及对应的异常处理机制。

在現实环境中，不同类型的软件系统对可信的要求亦有所差异。针对特定类型的软件产品，在进行可信属性建模时，需要结合自身特点对通用的软件可信属性模型进行剪裁和完善。本文根据工作流特点对通用软件可信属性模型的部分属性进行细化，并取消不适用工作流或超出工作流讨论范围的可信属性。具体情况如下：

（1）取消实时性。工作流中活动的执行过程在很大程度上受到参与者主观能动性和业务活动复杂程度的限制，所以工作流中的业务过程往往具有较长生存周期。由于工作流的应用特性，实时性对工作流是不适用的。

（2）细化安全性。工作流管理联盟（WFMC）在Workflow Security Considerations白皮书中对工作流安全性进行了讨论，白皮书中将工作流安全性分为身份鉴别、访问控制、数据私有性、数据完整性和防抵赖性。在经过谨慎分析后，本文采用WFMC关于工作流安全性的划分方式。

（3）对可用性进行再定义。工作流作为业务过程的组织者并不参与某个具体业务活动的执行。工作流中的业务活动主要可以分为人工活动和自动活动两种。人工活动的参与者是人，而自动活动的参与者是外部应用（主要指服务）。工作流可用性根据参与者的不同，可细分为人员可用性和服务可用性。在此基础上还要考虑工作相关离线资源的可用性和工作流Qos约束的满足性。

（4）对可靠性进行扩展。首先需要考虑作为工作流活动具体参与人员或服务的可靠性，有研究显示50%以上系统失效或崩溃由人为因素造成[15]，通过设置人员可靠性、服务可靠性对活动参与者可靠程度进行描述和评价;其次是活动的容错性，容错性是所有工作流活动在出现异常或故障时的基本可靠保障，具有异常处理等容错性手段的活动也具备更高可靠性。除此以外，对于自动活动而言，作为参与主体的服务评价也是影响活动可靠性的重要指标，在一般情况下，具有较好评价的服务同时也具备较高的可靠性，所以本文在服务可靠性的基础上增设了服务评价的子属性。

（5）提高工作流过程模型的结构合理性。工作流的本质是对具体业务过程的抽象，业务过程带有显著的结构特征，过程模型中的结构冲突会导致工作流出现死锁、同步丢失等验证错误，从而导致工作流正常无法运转。

2工作流可信属性模型

基于以上分析，建立如图2所示的工作流可信属性模型。该模型由安全性、可用性、可靠性、可测试性和工作流过程模型结构合理性及其子属性构成。

可信属性的具体内涵如下：

（1）安全性。工作流安全性指对工作流相关数据和信息提供保密性、完整性、真实性支持，确保工作流相关数据和资源的合法访问，保证工作流参与者的合法性及其行为的不可抵赖性。安全性主要包括身份鉴别、访问控制、数据私有性、数据完整性和防抵赖性。身份鉴别是指工作流对过程和活动参与者的身份识别和认证能力，将非法用户隔离在工作流外部。访问控制是指工作流确保过程和活动的参与者对工作流相关资源、数据和服务的合法访问和操作能力。数据私有性是指工作流相关数据不被非法用户获取的能力。数据完整性是指工作流相关数据不被非法篡改的能力。防抵赖性是指防止工作流活动参与者对行为进行抵赖的能力。

（2）可用性。工作流可用性指工作流相关资源和服务在给定时间内可以被正常访问和使用，并且确保资源和服务能够满足工作流功能性与Qos约束等要求。可用性具体包括：离线资源可用性、服务可用性、Qos约束满足性和人员可用性。离线资源可用性是指保障工作流相关离线资源在特定条件下可以被正常访问的能力。服务可用性是指工作流自动活动中调用的服务，在特定条件下可以被正常访问的能力。Qos约束满足性是指工作流能够在满

足Qos约束的前提下进行正常流转的能力。人员可用性是指工作流中人工活动的参与者在特定条件下能够参与流程处理的能力。

（3）可靠性。可靠性指在规定环境下、规定时间内工作流能够正常持续运行的能力，由两部分构成，一是在出现系统异常情况下工作流能够从异常中恢复并继续运行的能力;二是确保工作流参与者（人员和服务）能够正常持续提供服务的能力。可靠性具体包括：容错性、服务可靠性、服务评价和人员可靠性。

容错性是指在工作流出现异常或故障时，工作流能够从异常或故障中恢复并继续运行的能力。服务可靠性是指工作流确保从自动活动中调用的服务能够提供持续稳定服务的能力。服务评价是指工作流确保从活动中调用的服务具有较好评价能力。评价好的服务意味着该服务具有较高可信赖度。人员可靠性是指工作流确保人工活动参与者能够提供持续可靠的工作能力。

（4）可测试性。可测试性指可以方便地对工作流进行测试，并且测试结果满足预期的能力。

（5） 过程模型结构合理性。确保工作流过程模型结构合理，即不存在潜在结构冲突。

3工作流可信属性模型分析

工作流不同于一般意义上的软件，具有较高应用层次和普适性。作为业务过程的组织者，除了要关注某个特定业务活动，还要考虑业务活动间组织和全局业务过程目标的实现，这使工作流呈现一种明显的层次结构。因此，有关工作流可信属性模型的分析要从活动、过程和工作流所处环境3个层次进行讨论。本文以工作流性的离线资源可用性、服务可用性、Qos约束满足性和人员可用性为例进行分析，具体如表1所示。

4结语

软件可信属性模型是研究软件可信性的基础和关键，是进行软件可信性量化分析和评价的基本前提。本文在综合比较分析多个软件可信属性模型的基础上，结合工作流自身特点，建立了工作流可信属性模型。该模型从安全性、可用性、可靠性、可测试性和工作流结构合理性的角度对工作流可信性进行讨论。与通用软件可信属性模型相比，该模型涵盖了对结构可理性、人员可靠性、离线资源可用性等工作流特有可信属性的分析，能够较为贴切、客观地对工作流的可行性进行评价。在此基础上，本文从活动级、过程级和环境级3个角度对工作流可信属性模型的影响和作用范围进行了探讨。下一步的工作将主要集中于如何建立工作流可信评估指标体系，完成可信证据的采集，最终实现工作流过程模型可信性量化分析与评价。

参考文献参考文献：

[1]ISO/IEC 959462002.TCPA Main Specification[S].

[2]ISO/IEC 9594101990.Information TechnologyOpen Systems Interconnection[S].

[3]ISO/IEC 154081999.Common Criteria for Information Technology Security Evaluation[S].

[4]沈昌祥，张焕国，王怀民，等.可信计算的研究与发展[J].中国科学：信息科学，2010，2：139166.

[5]沈昌祥，张焕国，冯登国，等.信息安全综述[J].中国科学：E辑信息科学，2007，37（2）：129150.

[6]IMMONEN A，PALVIAINEN M.Trustworthiness evaluation and testing of open source components[C].IEEE Seventh International Conference on Quality Software，2007：316321.

[7]劉克，单志广，王戟，等.“可信软件基础研究”重大研究计划综述[J].中国科学基金，2008，3：145151.

[8]程平，温艳好.基于云会计的AIS可信性层次结构模型[J].重庆理工大学学报：社会科学版，2014，28（2）：2431.

[9]MALAIYA Y K，SRIMANI P K.Software reliability models：theoretical developments，evaluation and applications[M].Los Alamitos：IEEE Computer Society Press，1991.

[10]陈火旺，王戟，董威.高可信软件工程技术[J].电子学报，2003（S1）：19331938.

[11]ALGIRDAS A，LAPRIE J C，BRIAN R，et al.Basic concepts and taxonomy of dependable and secure computing[J].IEEE Transaction Dependable Secure，2004，1（1）：1133.

[12]王怀民，唐扬斌，尹刚，等.互联网软件的可信机理[J].中国科学：E辑，2006，36（10）：11561169.

[13]汤永新，刘增良.软件可信性度量模型研究进展[J].计算机工程与应用，2011，27：1216，42.

[14]郎波，刘旭东，王怀民，等.一种软件可信分级模型[J].计算机科学与探索，2010，3：231239.

[15]BROWN A B，PATTERSON D A.To err is human[C].Proceedings of the First Workshop on Evaluating and Architecting System Dependability，2001：827828.

责任编辑（责任编辑：江艳）