基于信任網(wǎng)絡(luò)的軟件可信評(píng)價(jià)方法①

閻 林 張建標(biāo) 張 艾

(*北京工業(yè)大學(xué)計(jì)算機(jī)學(xué)院 北京 100124)(**可信計(jì)算北京市重點(diǎn)實(shí)驗(yàn)室 北京 100124)(*** 信息安全等級(jí)保護(hù)關(guān)鍵技術(shù)國家工程實(shí)驗(yàn)室 北京 100124)(****北京工業(yè)大學(xué)-都柏林國際學(xué)院 北京 100124)

?

基于信任網(wǎng)絡(luò)的軟件可信評(píng)價(jià)方法①

閻 林②******張建標(biāo)③******張 艾****

(*北京工業(yè)大學(xué)計(jì)算機(jī)學(xué)院 北京 100124)
(**可信計(jì)算北京市重點(diǎn)實(shí)驗(yàn)室 北京 100124)
(***信息安全等級(jí)保護(hù)關(guān)鍵技術(shù)國家工程實(shí)驗(yàn)室 北京 100124)
(****北京工業(yè)大學(xué)-都柏林國際學(xué)院 北京 100124)

研究了可信計(jì)算領(lǐng)域中的軟件可信評(píng)價(jià)問題，提出了一種基于信任網(wǎng)絡(luò)的軟件可信度量方法，該方法通過信任網(wǎng)絡(luò)模型將用戶劃分成不同的用戶域，采用可信度量票據(jù)的方法保障設(shè)備的可信性；在設(shè)備可信的基礎(chǔ)上建立可信風(fēng)險(xiǎn)樹模型，分別從可信和風(fēng)險(xiǎn)兩方面對(duì)軟件進(jìn)行可信度量，計(jì)算異常行為的風(fēng)險(xiǎn)概率；采用多臺(tái)設(shè)備協(xié)同工作的方式，通過滑動(dòng)窗口模型從用戶域范圍和管理域范圍對(duì)軟件進(jìn)行可信評(píng)價(jià)。最后通過實(shí)驗(yàn)驗(yàn)證了該方法的正確性和可信性。

可信計(jì)算， 可信度量， 信任網(wǎng)絡(luò)， 信任域， 可信軟件

0 引 言

隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，軟件在信息社會(huì)中發(fā)揮著日益重要的作用[1,2]。隨著軟件在金融、軍事及經(jīng)濟(jì)等敏感領(lǐng)域應(yīng)用的不斷深化，對(duì)軟件可信性需求也愈加急迫[3,4]。然而目前可信軟件構(gòu)造技術(shù)、可信性度量與評(píng)價(jià)方法嚴(yán)重缺乏，使得軟件產(chǎn)品在推出時(shí)就含有已知或未知的缺陷，對(duì)軟件的安全運(yùn)行構(gòu)成了不同程度的威脅[5-7]。如何在軟件開發(fā)和運(yùn)行中保證軟件的高可信性，已成為軟件理論和技術(shù)研究的重要方向[8,9]。

可信計(jì)算組織(Trusted Computing Group，TCG)從實(shí)體行為角度對(duì)可信進(jìn)行了定義:“如果一個(gè)實(shí)體的行為，總是以預(yù)期的方式，達(dá)到預(yù)期的目標(biāo)，則稱其為可信的[10]”。一個(gè)可信的軟件應(yīng)該是在任何運(yùn)行環(huán)境中，軟件的行為及結(jié)果可以預(yù)期，運(yùn)行時(shí)的行為狀態(tài)可以監(jiān)控[11-13]。由于運(yùn)行環(huán)境的差異，單一的運(yùn)行環(huán)境不能為軟件的可信性給予充分的評(píng)價(jià)，只有多種運(yùn)行環(huán)境共同對(duì)軟件進(jìn)行可信評(píng)價(jià)，才能充分發(fā)現(xiàn)軟件的威脅[14,15]。本文基于信任網(wǎng)絡(luò)理論和可信連接架構(gòu)(trusted connection architecture，TCA)，結(jié)合靜態(tài)可信度量和動(dòng)態(tài)可信度量技術(shù)，提出了基于信任網(wǎng)絡(luò)的軟件可信評(píng)價(jià)方法。

1 基于票據(jù)的信任網(wǎng)絡(luò)模型

將信任網(wǎng)絡(luò)模型作為網(wǎng)絡(luò)管理模型，將可信連接架構(gòu)(TCA)作為設(shè)備之間通信的可信性保障，基于信任網(wǎng)絡(luò)的軟件可信評(píng)價(jià)模型如圖1所示。

管理框架分為三層：管理域管理者，用戶域管理者和終端設(shè)備。其中，管理域管理者是全局信任關(guān)系的可信根，負(fù)責(zé)維護(hù)信任網(wǎng)絡(luò)的可信性。當(dāng)管理域管理者和用戶域管理者進(jìn)行通信時(shí)，結(jié)合管理域可信第三方建立TCA模型，并通過用戶域票據(jù)選擇可信用戶域；用戶域管理者是局部信任關(guān)系的可信根，負(fù)責(zé)維護(hù)當(dāng)前用戶域的可信性。當(dāng)用戶域管理者和終端設(shè)備進(jìn)行通信時(shí)，結(jié)合用戶域可信第三方建立TCA模型，并通過用戶身份票據(jù)和平臺(tái)配置票據(jù)選擇可信終端；終端設(shè)備是用戶的操作平臺(tái)，也是軟件運(yùn)行的終端環(huán)境。用戶域管理者采集軟件在可信終端上運(yùn)行的可信度量值，從用戶域角度對(duì)軟件進(jìn)行局部可信評(píng)價(jià)。管理域管理者采集可信用戶域的局部可信評(píng)價(jià)，從管理域角度對(duì)軟件進(jìn)行全局可信評(píng)價(jià)。

圖1 基于信任網(wǎng)絡(luò)的軟件可信評(píng)價(jià)模型的邏輯結(jié)構(gòu)

(1)

其中，ΦMTTP(x)表示管理域可信第三方提供的票據(jù)生成函數(shù)。首先通過所有的用戶身份屬性和平臺(tái)配置屬性生成用戶域票據(jù)，之后管理域可信第三方的私鑰SKMTTP對(duì)該票據(jù)進(jìn)行數(shù)字簽名，生成的ticketUDi為最終的用戶域票據(jù)。注意，票據(jù)與證書的區(qū)別是：票據(jù)中不存在公鑰。例如，兩組相同的數(shù)據(jù)會(huì)生成兩個(gè)相同的票據(jù)，但不會(huì)生成兩個(gè)相同的證書。

Uticketj=sigUTTPi(SKUTTPi,ΦUTTPi(ticketUDi,Ui, j))

(2)

其中，ΦUTTPi(x)表示索引號(hào)為i的用戶域可信第三方提供的票據(jù)生成函數(shù)；sigUTTPi(x)表示索引號(hào)為i的用戶域可信第三方提供的數(shù)字簽名函數(shù)；SKUTTPi表示索引號(hào)為i的用戶域可信第三方進(jìn)行數(shù)字簽名操作的私鑰；Uticketj表示索引號(hào)為j的終端設(shè)備得到的用戶身份票據(jù)。

Pticketj=sigUTTPi(SKUTTPi,ΦUTTPi(ticketUDi,Pi, j))

(3)

定義4可信終端：如果終端設(shè)備使用者用戶身份票據(jù)和終端設(shè)備的平臺(tái)配置票據(jù)同預(yù)期的結(jié)果相同，則稱該終端設(shè)備為可信終端。

定義5可信用戶域：如果用戶域管理者的用戶域票據(jù)同預(yù)期的結(jié)果相同，則稱該用戶域?yàn)榭尚庞脩粲颉?/p>

2 軟件可信度量方法

2.1 基于票據(jù)的靜態(tài)可信度量

通過可信第三方對(duì)軟件和用戶域票據(jù)進(jìn)行數(shù)字簽名，使數(shù)字簽名在具有不可否認(rèn)性的同時(shí)具備標(biāo)識(shí)用戶域來源的功能。將數(shù)字簽名附加在軟件的指定位置得到發(fā)行的軟件。具體方式為

(4)

其中appraw代表軟件的原始二進(jìn)制文件，apprel表示發(fā)行的軟件，sUTTPi表示索引號(hào)為i的用戶域?qū)浖臄?shù)字簽名。當(dāng)軟件在運(yùn)行過程中出現(xiàn)問題時(shí)，可通過sUTTPi發(fā)現(xiàn)該軟件的來源。當(dāng)軟件的完整性被破壞時(shí)，可直接標(biāo)識(shí)為不可信，阻止軟件的運(yùn)行；反之，只能表示軟件未被篡改，允許軟件運(yùn)行，但不能確保其可信性。

2.2 基于可信風(fēng)險(xiǎn)樹的動(dòng)態(tài)可信度量

為了保障軟件運(yùn)行行為的可信性，需要對(duì)軟件的行為進(jìn)行實(shí)時(shí)監(jiān)控，定位軟件的漏洞等安全隱患。在軟件運(yùn)行時(shí)通過建立可信風(fēng)險(xiǎn)樹模型實(shí)施動(dòng)態(tài)可信度量，從可信性和風(fēng)險(xiǎn)性兩個(gè)方面進(jìn)行可信度量?？尚棚L(fēng)險(xiǎn)樹模型如圖2所示，可信風(fēng)險(xiǎn)樹的構(gòu)造如圖3所示。

圖2 可信風(fēng)險(xiǎn)樹模型

圖3 可信風(fēng)險(xiǎn)樹的構(gòu)造

從圖中可以看出，可信風(fēng)險(xiǎn)樹由可信樹和風(fēng)險(xiǎn)樹構(gòu)成?？尚艠涿枋鲕浖念A(yù)期行為，風(fēng)險(xiǎn)樹描述軟件的異常行為。ω和υ分別表示可信風(fēng)險(xiǎn)樹的信任權(quán)重和風(fēng)險(xiǎn)權(quán)重，始終滿足

ω+υ≡1

(5)

初始狀態(tài)為軟件可信，即ω=1, υ=0，此時(shí)建立可信樹，風(fēng)險(xiǎn)樹為空集。隨著可信度量的進(jìn)行，當(dāng)遇見異常行為時(shí)更新ω和υ的權(quán)重值。當(dāng)技術(shù)資料完善時(shí)，可直接得出軟件的預(yù)期行為和依賴資源；如果缺乏相關(guān)資料，可通過逆向工程技術(shù)分析出軟件的預(yù)期行為和依賴資源。通過對(duì)預(yù)期行為和依賴資源的分析，排除軟件內(nèi)部的調(diào)用序列，篩選出軟件對(duì)操作系統(tǒng)的調(diào)用序列，通過系統(tǒng)調(diào)用序列和依賴資源建立分層的可信樹。分層的原則為：當(dāng)遇見過程轉(zhuǎn)移指令時(shí)，則進(jìn)入下一層。

定義6設(shè)預(yù)期行為集合為B={b1,b2,…,bi,…,bn}，每一個(gè)元素bi是一個(gè)四元組：

bi=〈bid, bcount, rcount, bscore〉

其中bid表示行為的標(biāo)識(shí)符，bcount表示該行為的子行為數(shù)量，rcount表示該行為直接調(diào)用資源的數(shù)量，bscore為該行為節(jié)點(diǎn)實(shí)際得到的分?jǐn)?shù)。

定義7設(shè)資源集合為R={r1,r2,…,rj,…}，每一個(gè)元素rj是一個(gè)三元組：

rj=〈rid, rtype, rcontent〉

其中，rid表示資源的標(biāo)識(shí)符；rtype表示資源的類型，包括文件、圖片和音頻等；rcontent表示資源的內(nèi)容。

當(dāng)可信風(fēng)險(xiǎn)樹構(gòu)造完成之后，通過父節(jié)點(diǎn)的權(quán)重與子節(jié)點(diǎn)數(shù)量的比值為可信樹中所有的行為節(jié)點(diǎn)分配權(quán)重：

ωi=ωParent(i)/∑Brother(i)

(6)

(7)

用戶域管理者每隔一段時(shí)間需要從終端設(shè)備中選擇出可信終端，采集可信終端對(duì)軟件的可信度量值，并從用戶域角度做局部可信評(píng)價(jià)。在局部可信評(píng)價(jià)的基礎(chǔ)上，由管理域通過每個(gè)可信用戶域的局部可信評(píng)價(jià)從管理域角度做全局可信評(píng)價(jià)。因此，首先需要定義可信終端向用戶域管理者發(fā)送的可信度量值的概念。

定義8可信度量值：設(shè)可信終端對(duì)軟件的可信度量值為四元組：

mv=〈tid, ts, ω, RTree〉

(8)

其中tid表示終端設(shè)備的標(biāo)識(shí)符，ts表示時(shí)間戳，ω表示信任權(quán)重，風(fēng)險(xiǎn)樹表示為RTree。

3 基于信任網(wǎng)絡(luò)的可信評(píng)價(jià)方法

3.1 滑動(dòng)窗口模型

當(dāng)服務(wù)端長時(shí)間接收每個(gè)客戶端發(fā)送的item之后，可以通過這些數(shù)據(jù)對(duì)軟件進(jìn)行可信評(píng)價(jià)。這里論述一種滑動(dòng)窗口模型，保障可信評(píng)價(jià)是長時(shí)間數(shù)據(jù)的表現(xiàn)。利用滑動(dòng)窗口大小來體現(xiàn)可信評(píng)價(jià)的時(shí)間和空間特性，可以保障數(shù)據(jù)的規(guī)模性和可擴(kuò)展性，根據(jù)窗口的時(shí)間戳來保證近期數(shù)據(jù)的重要性和遠(yuǎn)期數(shù)據(jù)的衰減性。同時(shí)，隨著窗口的移動(dòng)與更新防止單次的分?jǐn)?shù)過低或者過高的情況，滑動(dòng)窗口模型如圖4所示。

圖4 滑動(dòng)窗口模型

窗口的大小始終保持為N，當(dāng)item數(shù)量很多時(shí)，只保留窗口內(nèi)的N項(xiàng)評(píng)價(jià)記錄，這樣可以保證item的可擴(kuò)展性。即使在較少item是高分?jǐn)?shù)或低分?jǐn)?shù)的情況下，由于總的可信評(píng)價(jià)是按照全部N次計(jì)算的，所以即使每個(gè)item獲得很高或很低的分?jǐn)?shù)時(shí)，由于實(shí)際發(fā)送的次數(shù)遠(yuǎn)比N小，所以并不能在用戶域的范圍內(nèi)獲得很高或很低的評(píng)價(jià)值。隨著窗口內(nèi)item的更新，很高或很低的item也會(huì)被移除滑動(dòng)窗口?？尚旁u(píng)價(jià)的基本思想是：當(dāng)有新的item到來時(shí)，通過窗口的右移，把時(shí)間最長的左邊item移除，新的item移入窗口的最右邊，保證item的可擴(kuò)展性。

3.2 可信評(píng)價(jià)方法

在可信評(píng)價(jià)時(shí)，通過滑動(dòng)窗口模型對(duì)可信度量值的集合建模。圖4中，item對(duì)應(yīng)mv；msgi對(duì)應(yīng)信任權(quán)重ω?？尚旁u(píng)價(jià)的思路是：越近期的可信度量值所占的比重越大，每項(xiàng)mv在總的評(píng)價(jià)中所占的比例與該條目的時(shí)間成正比，可信評(píng)價(jià)用下式計(jì)算：

(9)

其中tsnow表示當(dāng)前的時(shí)間戳，eva表示在tsnow時(shí)刻對(duì)軟件的可信評(píng)價(jià)。通過RTree計(jì)算風(fēng)險(xiǎn)樹中每個(gè)節(jié)點(diǎn)風(fēng)險(xiǎn)概率，計(jì)算的方法是：單一異常行為節(jié)點(diǎn)的總數(shù)與所有異常節(jié)點(diǎn)總數(shù)的比值，通過下式計(jì)算：

(10)

通過上式可以得到軟件中異常行為出錯(cuò)的風(fēng)險(xiǎn)概率，對(duì)每個(gè)節(jié)點(diǎn)的風(fēng)險(xiǎn)概率進(jìn)行降序排列就能找到風(fēng)險(xiǎn)概率高的節(jié)點(diǎn)。

4 實(shí)驗(yàn)與分析

4.1 軟件可信評(píng)價(jià)

為了說明本文方法的有效性，實(shí)驗(yàn)以為某單位開發(fā)的一種移動(dòng)辦公客戶端軟件為實(shí)驗(yàn)對(duì)象做可信評(píng)價(jià)。信任網(wǎng)絡(luò)由一個(gè)管理域和兩個(gè)用戶域組成，兩個(gè)用戶域分別是開發(fā)用戶域和測(cè)試用戶域。開發(fā)用戶域負(fù)責(zé)軟件的設(shè)計(jì)和開發(fā)工作，包括10臺(tái)相同的終端設(shè)備，采用處理器為Intel Core i7-2670QM CPU 2.20GHz、內(nèi)存為8GB的計(jì)算機(jī)，操作系統(tǒng)為Windows 7 x64，內(nèi)核版本為NT 6.1；測(cè)試用戶域負(fù)責(zé)軟件的測(cè)試工作，包括50臺(tái)軟硬件不同的終端設(shè)備。信任網(wǎng)絡(luò)中服務(wù)器的處理器均采用Xeon E7-4809 v2，內(nèi)存為32GB的計(jì)算機(jī)，操作系統(tǒng)為Red Hat Enterprise Linux。當(dāng)模型對(duì)軟件進(jìn)行10次局部可信評(píng)價(jià)時(shí)，得到的可信評(píng)價(jià)值如圖5所示。

從圖中可以看出，開發(fā)用戶域?qū)浖目尚旁u(píng)價(jià)全部是1，這是因?yàn)檐浖怯砷_發(fā)用戶域設(shè)計(jì)，當(dāng)所有異常情況解決完成后將軟件發(fā)布給測(cè)試用戶域；測(cè)試用戶域在可信評(píng)價(jià)時(shí)都出現(xiàn)異常情況，這是因?yàn)闇y(cè)試用戶域中終端設(shè)備運(yùn)行環(huán)境的差異性造成的，軟件還不能兼容測(cè)試用戶域中所有的終端設(shè)備。

圖5 兩個(gè)用戶域10次的可信評(píng)價(jià)

通過計(jì)算測(cè)試用戶域中異常行為的風(fēng)險(xiǎn)概率，選取測(cè)試用戶域中風(fēng)險(xiǎn)概率最高的3個(gè)異常行為作分析，如表1所示。

表1 異常行為的風(fēng)險(xiǎn)概率

分析：序號(hào)1中的manage-bde.exe是BitLocker的控制臺(tái)管理程序，該技術(shù)在Windows Vista以及之后的操作系統(tǒng)中被引入，如果終端設(shè)備的操作系統(tǒng)低于Vista版本，則無法找到該程序；序號(hào)2中的PsSetCreateProcessNotifyRoutineEx是內(nèi)核層中用戶捕獲創(chuàng)建進(jìn)程的行為，也是在Vista以及之后的操作系統(tǒng)中被引入；序號(hào)3中的CreateKey行為用戶注冊(cè)表操作沒有操作系統(tǒng)版本的限制，但由于64位操作系統(tǒng)使用WOW64(Windows-on-Windows 64-bit)技術(shù)來保障32位軟件的兼容性，注冊(cè)表的位置發(fā)生了變化，因此無法操作指定位置的注冊(cè)表項(xiàng)。由此可以看出，通過對(duì)異常行為的風(fēng)險(xiǎn)概率的分析，可以快速準(zhǔn)確地定位異常行為的發(fā)生原因，測(cè)試用戶域?qū)⒈?發(fā)送給開發(fā)用戶域，可使軟件的完善工作更具有針對(duì)性。

4.2 可信評(píng)價(jià)方法比較

將本文的方法與文獻(xiàn)[16]的基于支持向量機(jī)方法和文獻(xiàn)[17]的基于信任領(lǐng)域和評(píng)價(jià)可信度量的信任模型(trust model based on the trust area and evaluation credibility，TMEC)方法進(jìn)行比較。在運(yùn)行環(huán)境差異性方面，通過多臺(tái)軟硬件異構(gòu)的終端設(shè)備共同評(píng)價(jià)軟件的可信性、兼容性和穩(wěn)定性，盡可能多地發(fā)現(xiàn)軟件的漏洞和安全隱患；在運(yùn)行環(huán)境的可信性保障方面，通過基于票據(jù)的可信選擇機(jī)制篩選出可信終端和可信用戶域，在此基礎(chǔ)上對(duì)軟件進(jìn)行可信度量和可信評(píng)價(jià)；在網(wǎng)絡(luò)環(huán)境的可信性方面，通過引入可信第三方建立可信連接架構(gòu)(TCA)模型，確保終端設(shè)備和用戶域管理者的通信以及用戶域和管理域通信的可信性；在軟件可信性方面，結(jié)合靜態(tài)可信度量和動(dòng)態(tài)可信度量技術(shù)，通過基于票據(jù)的數(shù)字簽名機(jī)制確保軟件運(yùn)行前的完整性，通過可信風(fēng)險(xiǎn)樹模型，監(jiān)控軟件運(yùn)行時(shí)的系統(tǒng)調(diào)用序列和資源的依賴關(guān)系。本文方法和其他方法的比較結(jié)果如表2所示。

表2 可信性評(píng)價(jià)方法的比較

注： “√”表示支持，“×”表示不支持。

5 結(jié) 論

本文提出了基于信任網(wǎng)絡(luò)的軟件可信評(píng)價(jià)方法。該方法首先通過基于票據(jù)的可信選擇，確保終端設(shè)備和用戶域的可信性，在此基礎(chǔ)上實(shí)現(xiàn)對(duì)軟件的可信度量和可信評(píng)價(jià)；然后通過基于票據(jù)的數(shù)字簽名和基于可信風(fēng)險(xiǎn)樹的可信度量，將靜態(tài)可信度量和動(dòng)態(tài)可信度量相結(jié)合，確保軟件運(yùn)行前完整性的同時(shí)，度量運(yùn)行時(shí)的可信性和風(fēng)險(xiǎn)性；最后通過多臺(tái)軟硬件異構(gòu)的終端設(shè)備共同對(duì)軟件進(jìn)行可信度量和可信評(píng)價(jià)，及時(shí)準(zhǔn)確地發(fā)現(xiàn)軟件的缺陷和安全隱患。

本文提出基于信任網(wǎng)絡(luò)的軟件可信評(píng)價(jià)方法尤其適用于評(píng)價(jià)自主研發(fā)專用軟件的場(chǎng)景，當(dāng)軟件在小范圍可信評(píng)價(jià)通過之后，可將軟件向大范圍推廣。本文方法已經(jīng)成功應(yīng)用于為某單位開發(fā)的一種移動(dòng)辦公客戶端軟件，在軟件的可信保障上取得了較好的效果。下一步的工作是對(duì)可信評(píng)價(jià)方法進(jìn)一步規(guī)范化，擴(kuò)大適用范圍，進(jìn)而從開發(fā)、測(cè)試、完善等多角度建立一種可信軟件的通用設(shè)計(jì)開發(fā)方法。

[ 1] 沈昌祥，張煥國，馮登國等． 信息安全綜述． 中國科學(xué)E輯：信息科學(xué)，2007，37(2)：129-150

[ 2] 沈昌祥，張煥國，王懷民等． 可信計(jì)算的研究與發(fā)展。中國科學(xué)：信息科學(xué)，2010，40(2)：139-166

[ 3] 沈昌祥． 網(wǎng)絡(luò)空間安全戰(zhàn)略思考與啟示． 金融電子化，2014，(6):11-13

[ 4] 沈昌祥． 信息安全導(dǎo)論． 北京：電子工業(yè)出版社，2009. 163-165

[ 5] Knight J, Randell B. Fundamentals of dependable computing for software engineers. Leiden: CRC Press, 2012. 11-15

[ 6] Wang Q, Lu Y, Xu Z J, et al. Software reliability model for component interaction mode.JournalofElectronics(China), 2011,28(4):632-642

[ 7] Yang N H, Yu H Q, Qian Z L, et al. Modeling and quantitatively predicting software security based on stochastic Petri nets.MathematicalandComputerModeling, 2012, 55(1):102-112

[ 8] Tyagi K, Sharma A. An adaptive neuro fuzzy model for estimating the reliability of component-based software systems.AppliedComputingandInformatics, 2014, 10(s1):38-51

[ 9] Chen X H, Liu J, Liu Z M. Requirements monitoring for Internet-ware: an interaction based approach.ScienceChina:InformationScience, 2013, 56(8):1-15

[10] Trusted Computing Group. TPM main specification, version 1.2. 2003. http://www.trusted-computinggroup.org

[11] 丁衛(wèi)濤，徐開勇． 基于軟件行為的可信評(píng)價(jià)研究． 計(jì)算機(jī)科學(xué)，2016，43(1):202-225

[12] 劉玉玲，杜瑞忠，馮建磊等． 基于軟件行為的檢查點(diǎn)風(fēng)險(xiǎn)評(píng)估信任模型．西安電子科技大學(xué)學(xué)報(bào)(自然科學(xué)版)，2012,39(1):179-184

[13] 田俊峰，張亞姣． 基于馬爾可夫的檢查點(diǎn)可信評(píng)估方法． 通信學(xué)報(bào)，2015，36(1):230-236

[14] 韓強(qiáng)． 基于行為的軟件可信性度量理論與關(guān)鍵技術(shù)研究：[博士學(xué)位論文]． 北京：北京郵電大學(xué)計(jì)算機(jī)學(xué)院．2013. 18-20

[15] 吳昊，毋國慶． 程序的動(dòng)態(tài)完整性：模型和方法． 計(jì)算機(jī)研究與發(fā)展． 2012, 49(9):1874-1882

[16] 丁衛(wèi)濤，徐開勇． 基于軟件行為的可信評(píng)價(jià)研究． 計(jì)算機(jī)科學(xué)，2016, 43(1):202-225

[17] Shen G H, Huang Z Q, Xie B, et al. Survey on software trustworthiness evaluation:Standards, models and tools.JournalofSoftware, 2016,27(4):955-968

A scheme for software trustworthiness evaluation based on trusted networks

Yan Lin******, Zhang Jianbiao******, Zhang Ai****

(*College of Computer Science, Beijing University of Technology, Beijing 100124) (**Beijing Key Laboratory of Trusted Computing, Beijing 100124)(***National Engineering Laboratory for Critical Technologies of Information Security Classified Protection, Beijing 100124) (****Beijing-Dublin International College, Beijing University of Technology, Beijing 100124)

The software reliability evaluation in the field of trusted computing was studied, and a scheme for software trustworthiness evaluation based on trusted networks was presented. The scheme divides users into different user domains through the trusted network model, and then adopts the trusted selection mechanism based on tickets to protect the trustworthiness of devices, and builds the model of the trusted risk tree from trusted terminals. Two aspects of trustworthiness and riskiness are considered to measure software, and the risk probability is calculated from abnormal behaviors. Multiple terminals and the sliding window model are adopted to evaluate the software trustworthiness in the range of the user domain and management domain. The experiments proved the correctness and the credibility of the method.

trusted computing, trusted measurement, trusted network, trusted domain, trusted software

①北京市委組織部優(yōu)秀人才培養(yǎng)計(jì)劃(Q0007016201501)資助項(xiàng)目。

②男，1986年生，博士生；研究方向：可信計(jì)算；E-mail: chriszt@126.com

③通訊作者，E-mail: zjb@bjut.edu.cn

2016-05-31)

10.3772/j.issn.1002-0470.2016.07.005