（计算机科学与技术专业论文）基于第三方中介机构的web+services可信性度量方法研究与实现.pdf

独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：鸯虢a 式lt - i l 1 日期：垄型聋主臼坦! 当 关于论文使用授权的说明 本人完全了解北京邮电大学有关保留和使用学位论文的规定，即：研究生在 校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保留并向国 家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借阅；学校 可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它复制手段 保存、汇编学位论文。 本学位论文不属于保密范围，适用本授权书。 本人签名：翻幅 日期：墨呈厶2 玺墨巨1 2 1 2 d 导师签名：j 錾萼一 日期：乙复垡军五日巫l 基于第三方中介机构的w e bs e r v i c e s 可信性度量 方法研究与实现 摘要 随着网络的发展，w e bs e r v i c e s 的种类也越来越多，服务的请求 者在面对种类繁多的w e bs e r v i c e s 同时，急需要一种能够辨别其可信 的方法。但是现在的w e bs e r v i c e s 并没有为自身提供相应的可信证明 机制，服务的请求者无法相信将要使用的w e bs e r v i c e s 。因此，研究 w e bs e r v i c e s 的可信性度量机制成为了一项重要而急待解决的课题。 本文首先根据可信的种类和事务性可信的形成过程构思了本文 可信的定义，然后结合w e bs e r v i c e s 的核心内容对w e bs e r v i c e s 的可 信性进行分析并探讨了可信的w e bs e r v i c e s 定义以及其主要特点，在 此基础之上探讨了基于第三方中介机构的w e bs e r v i c e s 可信性度量 机制，该度量机制包括w e bs e r v i c e s 自身完整性度量和功能正确性度 量两个方面，其中在w e bs e r v i c e s 自身完整性度量中给出了改进的消 息摘要算法并通过消息摘要值生成、消息摘要值存储以及消息摘要值 比对三个过程来实现；在w e bs e r v i c e s 功能正确性度量中采用了自动 化解析w e bs e r v i c e s 描述文件并生成w e bs e r v i c e s 服务请求的方法， 同时还扩展了w e bs e r v i c e s 原有的结构用以表示可信的度量结果，方 便用户对所需服务的可信性度量结果进行查询。 最后在w e bs e r v i c e s 可信性度量机制的基础上，本文利用s e a m 等m v c 技术实现了w e bs e r v i c e s 可信性度量系统并通过对该系统的实 施和功能以及性能验证，证明其功能的可用性和运行的效率。 关键词可信完整性正确性消息摘要算法 r e s e a r c ha n di m p u e m e n t 棚o no f 陋bs e r v i c e s t r u s t e dm e a s u r e m e n tm e t h o d b a s e do nt h i r dp i ar t y w i t ht h ed e v e l o p m e n to fw e b w e bs e r v i c e sb e c o m em o r ea n dm o r e f a c i n gt h e g r o w i n gw | c bs e r v i c e s ，s e r v i c er e q u e s t e r su r g e n t l yn e e daw a yt oi d e n t i f yt h e t r u s t w o r t h yo f 既bs e r v i c e s 。h o w e v e rt h ec u r r e n tw e bs e r v i c e si t s e l fd on o tp r o v i d e t h et r u s t e dm e a s u r e m e n ts c h e m et ov e r i f yi t s e l f st r u s t e d s os e r v i c er e q u e s t e r sc a n n o tv e r d i c tw h e t h e rt h ew e bs e r v i c e sc a ne x e c u t e c o r r e c t l y f o c u s o nt h e a f o r e m e n t i o n e d p r o b l e m ，r e s e a r c h i n g o nt r u s t e dm e a s u r e m e n ts c h e m e w h i c h e s t a b l i s h e di nt r u s t e dw | e bs e r v i c e sb e c o m e ss u c ha ni m p o r t a n ts t u d y b a s e do nt h ea n a l y s i so ft h et y p e so ft r u s ta n df o r m i n gp r o c e s so ft r a n s a c t i o n a l t r u s t t h i sp a p e rp r o p o s e si t so w nd e f i n i t i o no ft r u s ta n dc o m b i n e dw i t ht h ec o r e c o n t e n t0 fw e bs e r v i c e st oa n a l y z et h et r u s t yo fw b bs e r v i c e sa n da l s og i v e st h e d e f i n i t i o no ft r u s t e dw e bs e r v i c e sa n di t sm a i nc h a r a c t e r s b a s e do nt h ep r e v i o u s e k n o w l e d g e ，t h i sp a p e rp r o p o s e st h et m s t e dm e a s u r e m e n ts c h e m ef o rw r e bs e r v i c e s w h i c hi sb a s e do nt h et h i r dp a r t y t h a ts c h e m ei n c l u d e sw e bs e r v i c e si n t e g r i t y m e a s u r e m e n ta n dw 曲s e r v i c e sf u n c t i o nm e a s u r e m e n t i ni n e g r i t ym e a s u r e m e n t t h i sp a p e rp r o p o s e st h ei m p r o v e dm e s s a g ed i g e s ta l g o r i t h ma n dt h r o u g hg e n e r a t i n g m e s s a g ed i g e s tv a l u e ，s t o r i n gt h em e s s a g ed i g e s tv a l u ea n dv e r i f y h a gt h em e s s a g e d i g e s tv a l u et oc o m p l e t et h em e a s u r e m e n t ；t h ef u n c t i o nm e a s u r e m e n tp r o c e s su s e s t h ep r o g r a m m et oa u t o m a t i c a l l ya n a l y z et h ew s d lf i l ea n dg e n e r a t et h es o a p r e q u e s tt og i v et h et h i r dp a r t y sc o n v e n i e n c e a n di nt h es c h e m e t h et r a d i t i o n a lw r e b s e r v i c e s ss t r u c t u r ei sa l s oi m p r o v e dt os h o wt h et r u s t e dm e a s u r e m e n tr e s u l t st og i v e t h ec u s t o m e rt os e a r c ht h em e a s u r e m e n tr e s u l t s a tl a s t ，b a s e do nt h ew r e bs e r v i c e st 】m s t e dm e a s u r e m e n ts c h e m e ，t h i sp a p e r i m p l e m e n t st h e 孵bs e r v i c e s 乃可s t e dm e a s u r e m e n ts y s t e mb ys e a ma n do t h e rm v c t e c h n o l o g i e s p r a c t i s et h ew e bs e r v i c e sm r i l s t e dm e a s u r e m n ts c h e m ei nr e a lw o r l d a n dt h i sp a p e ra l s od o e st h ef u n c t i o n a la n dp e r f o r m a n c et e s t i n gt ov e r i f yt h es y s t e m s a v a i l a b i l i t ya n dr u n t i m ee 彤c i e n c y k e yw o r d s t r u s t w o r t h y , i n t e g r i t y , c o r r e c t n e s s ，m e s s a g ed i g e s t a l g o r i t h m 目录 第一章绪论1 1 1 问题的提出 1 2 国内外研究现状 1 2 1 可信 1 2 2 构建可信的w e bs e r v i c e s 1 3 研究内容及结构安排 第二章可信的w e bs e r v i c e s 6 2 1 可信6 2 1 1 可信的种类6 2 1 2 事务性可信的形成过程7 2 1 3 本文可信的定义8 2 1 4 可信的属性8 2 2w e bs e r v i c e s 的可信性分析8 2 2 1w e bs e r v i c e s 的核心内容8 2 2 2 可信的w e bs e r v i c e s ，9 2 2 3 可信的w e bs e r v i c e s 的主要特点1 0 2 3 本章小结1 1 第三章w e bs e r v i c e s 可信性度量机制及主要的实现技术1 2 3 1w e bs e r v i c e s 可信性度量模型1 2 3 2 服务完整性的度量1 3 3 2 1 常用的消息摘要算法介绍1 4 3 2 2m d 5 与s h a l 算法的比较1 6 3 2 3 基于s h a l 的改进算法1 6 3 3 服务功能正确性的度量1 7 3 3 1 自动生成服务描述的标签树1 8 3 3 2 自动生成服务请求模板2 0 3 4w e bs e r v i c e s 可信性度量结果的保存2 1 3 5 本章小结2 8 第四章w e bs e r v i c e s 可信性度量系统的设计与实现2 9 4 1w e bs e r v i c e s 可信性度量系统的需求分析2 9 4 2w e bs e r v i c e s 可信性度量系统的概要设计2 9 4 2 1 系统的体系结构2 9 4 2 2 系统的组成3 1 4 2 3 系统的工作流程3 2 4 3w e bs e r v i c e s 可信性度量系统的详细设计3 3 4 3 1 系统管理模块的设计3 3 4 3 2 项目管理模块的设计3 4 4 3 3 可信性度量模块的设计3 6 4 3 4 信息查询模块的设计3 8 4 4w e bs e r v i c e s 可信性度量系统的实现3 8 4 4 1 开发环境的配置3 8 4 4 2 系统模块的实现4 0 4 4 3 消息摘要算法的实现4 4 4 5 本章小结4 7 第五章w e bs e r v i c e s 可信性度量系统的验证4 8 5 1 验证环境4 8 5 2 消息摘要算法的验证4 8 5 2 1 消息摘要算法的功能验证4 8 5 2 2 消息摘要算法的时间效率比对5 2 5 2 3 消息摘要算法的验证结果总结5 3 5 3 系统的功能验证5 3 5 3 1 系统管理模块的功能验证5 3 5 3 2 项目管理模块的功能验证5 4 5 3 3 可信性度量模块的功能验证5 6 5 3 4 信息查询模块的功能验证6 0 5 4 系统的性能验证6 0 5 4 1 服务完整性度量的成功率6 3 5 4 2 服务功能正确性度量的成功率6 4 5 5 本章小结6 5 第六章结论与展望6 6 6 1 论文工作总结6 6 6 2 问题和展望6 6 北京邮电大学软件学院工学硕士论文 1 1 问题的提出 第一章绪论 随着计算机技术的不断发展，应用程序可以用不同的语言和平台来开发，从 而对数据格式的定义、数据的发送形式以及数据的处理方式也就各不相同，不同 的应用程序之间在相互调用时，需要花费极大的精力来编写数据转换代码以适应 各自应用程序，因此急需要一种新的技术来解决不同应用程序之间相互的调用问 题，在这种情况下w e bs e r v i c e s 应运而生，w e bs e r v i c e s 是通过网络的、分布式 的模块化组件来解决应用程序之间相互调用的问题【1 1 。 但当用户通过网络来使用w e bs e r v i c e s 时，首先由于网络上黑客的存在，用 户需要辨别w e bs e r v i c e s 是否未被恶意篡改过；同样又由于某些w e bs e r v i c e s 的 提供方是通过提供虚假的服务来吸引用户，从而来提升自己服务的使用率，因此 用户还要对服务是否能够正确运行并返回正确结果进行判断。这样就引出了问题 的关键：w r e bs e r v i c e s 能否被用户所信任。 为了解决上述问题，需要一个能够对w e bs e r v i c e s 进行可信性度量的系统， 用户通过该系统得到w e bs e r v i c e s 可信性度量结果来判断w e bs e r v i c e s 是否可 信。因此w e bs e r v i c e s 可信性度量系统为用户以及w e bs e r v i c e s 的提供方之间建 立了信任关系。由于w | e bs e r v i c e s 的可信性度量机制是w e bs e r v i c e s 可信性度量 系统的核心机制，所以研究w e bs e r v i c e s 的可信性度量机制成为一项非常重要而 急待解决的问题。因此，本文将以w e bs e r v i c e s 可信性度量机制为核心，着重讨 论基于第三方中介机构的w e bs e r v i c e s 可信性度量方法研究与实现。 1 2 国内外研究现状 1 2 1 可信 目前，国内外对于可信的研究主要集中在可信计算的五个组成部分【2 1 ，如下 图1 - 1 所示： 北京邮电大学软件学院工学硕士论文 陌吲 可信i l 应用i i _ j 匝亟圃 亟困 l ! ! 兰三! 竺竺：l 图1 - 1 可信计算的体系结构 首先在整个可信计算体系结构中，处于基础地位的是可信终端，该层是所有 可信计算的根基，所有上层部分都是基于此层而构建。现阶段对于可信终端的构 建主要是在计算机硬件平台上引入安全芯片，通过安全芯片的安全特性来提高终 端系统的安全性从而达到可信，例如微软n g s c b 系纠3 】是构建在两个安全芯片 之上来实现全系统的可信，这个两个安全芯片分别是：提供安全密钥存储、安全 密码协处理器的可信平台芯片和具有屏蔽内存特性的中央处理器芯片。其中可信 平台芯片的工作原理是：在硬件生产制造阶段，相应的密钥就会被生成并存储在 可信平台芯片中，因此此密钥永远都不会被传送给其他的组件，应用程序可以把 用此密钥加密过的数据传送给可信平台模块来进行解密，而解密后的数据只会传 递给被证明是可信的应用程序，其他应用程序和操作系统都不能访问；屏蔽内存 特性的中央处理器是指：位于屏蔽内存中的数据只能被属于它的应用程序访问， 任何其他应用程序和操作系统都不可以，因此任何人，也包括所有者，试图欺骗 受信任的应用程序让其运行在屏蔽内存之外都是极为困难的。 终端可信应用层是基于可信终端而建立的，即确保其硬件和操作系统安全的 情况下的一种可信的应用，虽然目前对于什么应用是终端可信应用尚没有定论， 但对于如何通过具体的环境来使用可信终端的应用，t c g 和m i c r o s o f t 提出了通 过代理的技术来利用可信终端的应用1 4 l 。 网络连接的可信，可信计算则关注其中三个因素：物理设备、数据传输以及 网络接入。物理设备的可信是指物理设备的位置安全和限制访问，其解决方案是 通过容错手段和可信管理方法来实现；数据传输的可信是指能够为网络中的实体 间在数据交换过程提供可信证据，就像现实社会中的邮件，每经一个邮局就要加 盖一次印章一样，在每一次转报过程中都要提供经手的证明，其解决方案有 m p l s 技术【5 l ，该技术引入了基于标签的机制，把选路和转发分开，由标签规定 一个分组通过网络的路径，因此标签可以在网络中起“定位 的作用，为建立可 信传输提供了可信的证据。网络接入的可信则是指如何只能使符合要求的终端被 允许接入网络，并对能够对终端进行访问授权和控制，其解决方案有t c g 的可 信网络连接标准( t n c ) ，该标准从完整性和认证性出发来实现可信接入，完整 2 北京邮电大学软件学院工学硕士论文 性是指通过预先的设定规则来对系统运行状态进行检查，判断是否参与恶意的行 为；认证性是指通过用户授权列表来确保只有被授权的用户才可以使用该网络 【6 】 0 对于可信网络服务器的理解主要有3 种。高可信计算联盟认为，通过容错、 容灾来使服务器物理设备可靠和具有高性能从而使其可信。t c g 则认为，服务 器可信与终端可信的内涵基本相同，即只要服务器的环境是可信的，密钥和重要 数据能够安全存放和使用，服务器平台身份可以被验证，那么该服务器就是可信 的r ”。还有一种观点认为可信网络服务器就是“基于安全操作系统的安全服务 器”，该观点是利用安全内核提升操作系统安全等级，并在操作系统的核心层重 构操作系统的权限访问模型来实现访问控制，从而保证服务器的可信【引。 可信计算的最上层是交易可信层，该层是可信计算的最高表现形式，此前论 述的可信终端、可信网络连接、可信服务器都是实现可信交易的基础。交易可信 是指基于网络的、分布式的可信应用，因而w e bs e r v i c e s 也是属于该层。可信计 算对于交易的可信是通过可信认证技术来实现，可信认证技术是通过发放认证证 书或密钥对来认证交易的可信1 9 j 。 通过以上对可信计算的描述，可以看出可信计算是一个涵盖了从单独计算机 到网络计算机最后到网络应用的可信认证过程，它们共同的特点都是从安全性和 可靠性的角度出发对可信进行认证，但是针对于如何保证其功能的正确性并没有 提出任何度量方式，尤其是交易可信，可信计算只是给出具有可信性实体的身份 验证方法，但是对于那些没有基于可信计算而建立的交易，可信计算并没有给出 其自身完整性和功能正确性的验证方法。 1 2 2 构建可信的w e bs e r v ic e s 现阶段构建w e bs e r v i c e s 可信主要有以下四种方式： 第一种方式是w a n gs h a o - j i e 和s h e ng u i c h e n g 通过用户访问w e bs e r v i c e s 的经验来构建其可信的w e bs e r v i c e s 1 0 l ，该方式是通过统计用户对w e bs e r v i c e s 节点的访问回馈值，并将值带入自定义的可信计算公式而得其可信值，从而来判 断该w e bs e r v i c e s 是否可信。 第二种方式是z h a n g p i n g w u 和a l f r e dc w e a v e r 从用户的隐私来构建可信的 w e bs e r v i c e s 【1 1 】，首先用户有一个属性的库，每当用户要访问w r e bs e r v i c e s 时， 用户会根据服务的条款从属性库中选择出服务所需的属性，这样用户就不用暴露 全部的属性信息与服务请求方做交流，从而保护了用户的隐私实现了可信的w e b s e r v i c e s 。 第三种方式是g e o r g es p a n o u d a k i s 和s t e p h a n el o p r e s t i 基于安全的角度来构 3 北京邮电大学软件学院工学硕士论文 建可信的w e bs e r v i c e s l l 2 1 ，服务提供方与用户通过认证的方式来确保各自访问控 制权力，从而确保了不上读，不下写，实现了可信的w e bs e r v i e s 。 第四种方式是王玉媛通过语义网来构建可信的w e bs e r v i c e s l l 3 】，即通过结合 客观信任和主观信任，将语义网与基于声誉的、基于背景的和基于内容的三种信 任机制组合起来，给出用户在对w e bs e r v i c e s 进行信任判断所需的各种因素，从 而选择出可信的w e bs e r v i c e s 。 通过上述描述可以看出构建可信的w e bs e r v i c e s 一般有两种方式，第一种方 式是从w e bs e r v i c e s 安全性的角度出发来确保其可信，但是却忽视了w e b s e r v i c e s 功能的正确性；第二种方式是通过用户使用w e bs e r v i c e s 的经验来建立 可信的w e bs e r v i c e s ，这种方式最大的优点是能够保证w e bs e r v i c e s 是否是可用， 但是对于第一次发布还没有被用户使用过的w e bs e r v i c e s ，那么该方法就无法确 保其可信。因此，针对于以上问题，本文从w e bs e r v i c e s 的可信性和可信的w e b s e r v i c e s 定义出发，讨论了以第三方中介机构为中心的w e bs e r v i c e s 可信性度量 机制。 1 3 研究内容及结构安排 本文首先分析了w e bs e r v i c e s 的可信性，然后讨论了以第三方中介机构为中 心的可信性度量机制，使用了改进的消息摘要算法和自动化解析服务描述文件的 程序以及自动化生成服务请求的程序，最后将可信性度量结果保存到扩展的w e b s e r v i c e s 中或可信性度量系统中的方式来完成对w e bs e r v i c e s 的可信性度量。 本文由以下章节组成： 第一章，是全文的绪论。绪论分析当前可信计算所关注的5 个部分，总结出 可信计算中可信认证的特点，指出可信计算中的相关遗漏，其次绪论还分析了现 阶段有关构建可信的w e bs e r v i c e s 的现状及其弊端； 第二章，首先分析了可信的种类以及事务性可信的形成过程，描述了本文中 可信的定义，然后结合可信的相关概念对w e bs e r v i c e s 的核心内容进行了分析得 到了可信的w e bs e r v i c e s 的定义以及其主要特点； 第三章，根据可信的w e bs e r v i c e s 的特点探讨了基于第三方中介机构的w e b s e r v i c e s 可信性度量机制，然后对w e bs e r v i c e s 可信性度量机制的主要实现技术 进行了描述，包括w e bs e r v i c e s 本身的完整性度量过程、服务功能正确性的度量 过程以及w e bs e r v i c e s 可信性度量的结果保存方式； 第四章，根据w e bs e r v i c e s 可信性度量机制设计并实现了一个w e bs e r v i c e s 可信性度量系统； 第五章，对w e bs e r v i c e s 可信性度量系统进行功能和性能方面的验证； 4 北京邮电大学软件学院工学硕士论文 第六章，对全文进行总结并展望未来的工作。 5 北京邮电大学软件学院工学硕士论文 第二章可信的w e bs e r v i c e s 可信是人类社会的一种认知现象，在社会网络中，可信关系是人际关系的核 心。尽管可信是如此的重要，但是至今没有对“可信 给出具体的定义以及阐述 如何达到可信，因此本章首先从现阶段可信的各种定义出发，探讨了本文中可信 的具体定义。 2 1 可信 可信是一个非常复杂的课题，它涉及到人或服务的各方面的特性。虽然研究 人员对于可信的定义非常的重视，但是在文字上任何有关什么是可信的描述仍是 没有定论，目前，可信的定义主要有以下四种： 第一种可信计算组织对可信的定义：如果实体的行为总是以预期的方式，并 朝着预期的目标进行，则认为一个实体是可信的【1 4 j 。 第二种i s 伽e c l 5 4 0 8 标准对可信的定义：参与计算的组件、操作或过程在 任意的条件下是可预测的，并能够抵御病毒和物理干扰i l 引。 第三种微软公司的比尔盖茨认为可信计算是一种可以随时获得的可靠安全 的计算，并包括人类信任计算机的程度f 1 6 1 。 第四种国内学者王怀民教授认为如果一个软件系统的行为总是与预期相一 致，则可称之为可信旧。 从上面四个定义可以看出，现阶段对可信有两种观点，一种是从实体行为来 确保其可信性；另外一种是从安全的角度来确保实体的可信。虽然安全性在可信 中的作用很重要，但是安全性并没有创造或提供可信【墙j ，那么是什么形成了可 信? 为了回答这个问题，首先了解一下可信的种类，然后对事务性可信的形成进 行分析得到是什么导致了可信的形成，从而确定本文中可信的定义。 2 1 1 可信的种类 b a r b e r 在可信的逻辑与限制中给出了可信的三个组成部分【1 9 j ：1 ) 自然 社会的预期的行为；2 ) 角色能力的期望；3 ) 具有能力的角色的道德规范。由此 可以得出可信按照其范围大小可以分为两类： 第一类，从自然社会大范围来看，正是由于生活在其中人类之间存在着相互 信任，有着为自然社会的进步而共同奋斗的目标，从而使得人们能够正常从事各 种活动；可以想象，如果当人们之间失去了相互的信任，互相攻击，那么整个自 北京邮电大学软件学院工学硕士论文 然社会也会处在动荡之中，从而使得人们失去了赖以生存的环境。而保证人类之 间相互信任的方式是通过自然社会中的法律来达到的，通过法律保障人们的权益 不会被侵犯，使人们信任这个社会能够使自己进行正常的活动。 第二类，从小范围来看，可信则是对某一角色能力的信任，具体而言是指该 角色通过专业知识或技术手段来提供相应的能力，从而满足需要此能力的人，此 时的可信是建立在角色的知识和技术水平上，属于事物性的可信。通常这种可信 是通过第三方中介机构来保证的，比如医师的行医资格是由医疗的权威机构来认 可；而与此同时，该角色的也要遵守一定的道德规范，以投资服务公司为例其员 工是不允许持有任何股票，以防止员工向客户推销所持有的股票从而获利的行 为。 从上述两个不同的可信的种类来看，第一种是环境的可信，是人们对于环境 的信任；而第二种则是一种事务性的可信，即一方利用自己的特长为另外一方提 供服务。 2 1 2 事务性可信的形成过程 在事务性的可信中，根据m o r t o nd e u t s c h 在合作与竞争的理论中有关特 定事物选择的阐述，可知事务性的信任形成的过程可以用图2 - 1 来表示： v 0 v + v - 图2 - 1 信任形成图 如图2 1 所示，用户在选择使用某些事物的时候，首先要考虑有两种情况， 第一种是不信任情况，用户不选择使用某些事物，其用户自身的收益系数为v o ； 第二种是信任情况下，用户选择使用某些事物，产生对用户自身的收益为好的概 率为p 0 ，其结果为v + ，产生对用户自身的收益为坏的概率为( 1 p 0 ) ，其结果 为v - 。 当用户选择使用某些事物的时候，也就是说用户信任某些事物的能力，认为 其不论是坏还是好都能够产生比不信任都好的结果，如果把用户的考虑为好的权 重用s 表示，也就是说s 拳p 0 宰( v + ) + ( 1 一s 宰e 0 ) 木( v ) v 0 。也就是说，用户 是通过事物的能力形成对事物的可信。 7 北京邮电大学软件学院工学硕士论文 2 1 3 本文可信的定义 通过2 1 2 的描述，可知用户对事物性的可信形成是通过判断事物所提供的 能力能否带来收益来达到的，也就是说，在事务性可信的形成中信息安全并没有 创造或提供任何可信，而是完全通过事物的能力来达到可信的。 又根据牛津字典对可信定义：“对于一个实体的真实性以及对实体力量方面 的坚定的信念。 可知，可信是指实体首先要确保其真实存在，其次要能够保证 其力量是真实的可信。 其次，k i n i 和c h o o b i n e h 从人性学家、社会学家、经济学家以及社会心理学 家的角度出发对可信进行了定义1 2 1 l ：“某人或某事物上的一种假设的依赖关系， 对某人或某事的特性、能力、力量以及真实性上的牢靠的信赖关系。 可以其可 信的定义也是从实体的特性、能力、力量以及真实性来定义。 由此可见，结合本节的内容，探讨了适用于本文讨论范围的可信的定义：可 信是指建立在实体能力上的一种依赖关系，该实体的能力可以被证实是真实的和 可用的，且与信息安全性无任何关系。 2 1 4 可信的属性 根据2 1 1 可信的种类的描述以及人类在自然社会和事物性可信的活动可知 可信有以下四种特性： 第一种特性：相互信任之间的关系并不是绝对的，信任者只相信被信任者所 能达到的能力，例如a 不可能相信b 能够做任何事情。 第二种特性：相互信任的关系并不是对称的。比如a 相信b ，但是b 不一 定相信a 。 第三种特性：信任有着多种对应形式，有一对一的信任，例如a 只相信b 一个人的能力；有一对多的信任，例如老师对于学生的信任；有多对一的信任， 例如公司多个部门对领导的信任，最后还有多对多的信任，例如团体之间的信任。 第四种特性：信任具有传递性，比如a 信任b 能对自己的某些事情做决定， 而b 同时又信任c 能够将该事情做好，这样a 就通过b 也就信任了c 。 2 2w e bs e r v i c 0 8 的可信性分析 2 2 1w e bs e r v i c e s 的核心内容 为了定义可信的w e bs e r v i c e s ，首先应该分析一下w e bs e r v i c e s 的核心内容， 然后再结合可信的相关概念分析其可信性。 8 北京邮电大学软件学院工学硕士论文 w e bs e r v i c e s ，翻译成中文就是“网络的服务 ，分析词组的语法成分可以发 现其定语是“网络，起到对主语的修饰作用，是句子的次要成分；主语是“服 务 ，表明了句子的主要内容，也就是w e bs e r v i c e s 的核心内容。那么什么是服 务呢? 目前业界对“服务 有以下三种定义： 第一种万维网联盟将服务定义为服务提供方完成一组工作，为服务请求方交 付所需的最终结果。最终结果通常会使使用者的状态发生变化，但也可能使提供 方的状态发生改变，或者双方都产生变化【2 2 】； 第二种结构信息标准化促进组织则将服务定义为一种访问某一个或多个能 力的机制，这种访问使用预先定义好的接口，并与服务描述的约束和策略一致 【2 3 】 第三种在维基百科中，服务则是指自包含、无状态的业务功能，通过良好定 义的标准接口，接受多方的请求，并返回一个或多个响应。服务不应该依赖于其 他服务，并与使用的技术无关【2 4 j 。 由上述定义可知，“服务 包含服务提供方和使用服务的用户，并且根据在 定义一中的“工作 、定义二中的“能力的机制 和定义三中的“业务功能 ，则 表明“服务 还包含处理某项事物的能力，从而能够满足特定的需求，吸引用户 去使用。 2 2 2 可信的w e bs e r v i c e s 从2 2 1 可知w e bs e r v i c e s 的核心内容是服务，服务由服务的能力、服务提 供方以及使用服务的用户三个对象组成。又根据2 1 1 可信的种类的分析可知 w e bs e r v i c e s 是属于事物性的可信，再根据2 1 2 节事务性可信的形成过程以及 2 1 3 节可信的定义，可知w e bs e r v i c e s 的可信是建立w e bs e r v i c e s 的能力之上， 并且这种能力能够被证实是真实的和可用的，因此对于w e bs e r v i c e s 的可信性度 量就要从w e bs e r v i c e s 自身的完整性和功能的正确性两个方面来考量。 w e bs e r v i c e s 自身的完整性，就是要确保用户将要使用的服务是完整的，没 有被恶意篡改过的，也就是说该服务是由用户所信赖的服务提供方所提供，而不 是由其他服务提供方所提供。 w r e bs e r v i c e s 功能的正确性，就是要确保用户所部署的服务能够正确运行并 返回正确结果。 所以，本文可信的w e bs e r v i c e s 就是用户能否信任所使用的服务能力的问 题，而要保证w e bs e r v i c e s 可信则要从自身的完整性和功能正确性两个方面来度 量。 9 北京邮电大学软件学院工学硕士论文 2 2 3 可信的w e bs e r v i c e s 的主要特点 通过上面对于可信的w e bs e r v i c e s 分析可知，可信的w e bs e r v i c e s 不仅具有 w e bs e r v i c e s 的特点，而且还具有自身完整性和功能正确性的特点，因此可信的 w e bs e r v i c e s 的主要特点可以归纳为以下十一点【2 5 2 7 l ： 1 、可信服务具有可重用性 服务的可重用性是指，服务所包含的逻辑不仅可以被用于最初设计的目的， 也可以被用于其它目的，即服务可以出现在不同的应用中，它是上下文无关的。 2 、可信服务具有服务合同 服务合同是指服务消费者和服务提供方之间的约定。一般而言服务提供方提 供服务合同，对其服务进行描述；而服务消费者在消费服务前，必须理解该服务 合同，并按照服务合同的要求与服务提供方进行交互。可见，服务合同是服务提 供方和服务消费者之间交互的前提。 3 、可信服务隐藏了具体的逻辑 服务合同只提供服务之间交互所需的必要信息，而不暴露任何关于服务内部 逻辑实现的信息，这样服务就像一个黑盒子一样，隐藏了具体逻辑，外界只能看 到服务合同。 4 、可信服务之间是松耦合的关系 服务的松耦合是指两个或两个以上的服务之间的联系不是很紧密的，这样一 个服务的变化就不会给其他服务带来太大的影响。 5 、可信服务是可以被发现的 服务的发现性是指服务能够通过某种机制被潜在的服务消费者发现，从而实 现服务的价值。 6 、可信服务是可以组合 服务的可组合性是指两个或多个服务相互合作，构成一个更为复杂的服务， 这个更为复杂的服务一般具有更大的功能，能提供单个服务不能提供的功能。 7 、服务是自治的 服务的自治是指服务对其所包含逻辑的控制，即服务的逻辑必须限定在某一 个范围之内，在这个范围之内该服务对其所包含的逻辑具有绝对的控制权。 8 、可信服务是无状态的 服务的无状态指的是服务本身不保留任何状态，服务的消费者必须提供服务 处理所需的全部输入数据，服务则只包含处理逻辑，处理完毕后，再把处理的输 出结果返回给服务的消费者，服务本身不保留任何信息，处理完毕后就立即“忘 记 之前的处理，继续进行下一个请求处理。两个连续的处理之间没有任何联系。 9 、可信服务是粗粒度的 1 0 北京邮电大学软件学院工学硕士论文 粒度是度量系统中组件相对大小的一种方式，相对大的组件为粗粒度，反之 则为细粒度，粗粒度的服务可能是一个特定服务的完整执行，而细粒度的服务可 能是实现这个粗粒度服务接口的具体内部操作。例如一个面向服务的构架的网上 商城来说，粗粒度的服务可能就是暴露给外部用户使用的提交整个购买表单的操 作，而系统内部的细粒度的服务可能就是为实现这个提交购买表单服务的一系列 的内部服务； 1 0 、可信服务是完整的 完整性就是指用户使用的服务未被非法篡改过，没有加入任何恶意代码，不 会给用户带来危害； 1 1 、可信服务是正确的 正确性是指用户所使用服务时能够获得与服务描述一致的功能，并且该功能 能够正确运行并返回正确结果。 2 3 本章小结 为了实现对w e bs e r v i c e s 可信进行度量，本章首先探讨了适用于本文的可信 的定义，然后又对w e bs e r v i c e s 进行了分析得到其核心内容，并结合可信的相关 概念，描述了可信的w e bs e r v i c e s 的定义和其可信的度量目标，最后总结了其主 要特点。 北京邮电大学软件学院工学硕士论文 第三章w e bs e r v i c e s 可信性度量机制及主要的实现技术 根据第2 章w e bs e r v i c e s 可信性分析可知，为了确保用户能够获取可信的w e b s e r v i c e s ，就要从w e bs e r v i c e s 自身的完整性和功能的正确性两个方面进行度量，在 度量之前，先了解一下整个w e bs e r v i c e s 可信性度量模型。 3 1w e bs e r v i c e s 可信性度量模型 根据w e bs e r v i c e s 的特点，服务提供方将为多个用户来服务，服务提供方为了 安全起见，仅对用户提供使用其服务的接口，而隐藏了服务的逻辑实现，这样用户 不能够访问服务文件的本身，保证了文件的安全，但是用户却无法判断其文件是否 未被恶意篡改过：而用户在使用服务前，首先要阅读服务描述文件，通过其描述文 件来部署服务，如果当用户部署完所需服务后发现该服务的功能不能正确运行并返 回正确结果，那么对于用户来说在精力和体力上则是一种极大的浪费，因此需要一 种机制能够保证用户使用上正确的且未被篡改过的服务。 由于服务提供方不相信用户，所以服务提供方需要一个第三方中介机构b ，相 信其既不会破坏服务组成文件而且又能够对其服务的完整性和功能的正确性做出客 观公正的度量；而与此同时，用户是不相信服务提供方自身所出具任何可信的度量 信息的，因此则需要一个第三方中介机构a ，相信a 能够帮助自己验证w e bs e r v i c e s 的完整性和功能的正确性，从而可以节省自己部署服务的精力和体力。由此可以得 到了下面的一个关系图，如图3 - 1 所示： 相信对服务的度量结果 一相信能够做出客观