大规模信息系统的可信性建模和评估技术_updated1.0分析.pptVIP

软件事故典型案例 2007年10月30日，奥运门票第二阶段阶段预售首日…… 2003年，由于分布计算机系统试图同时访问同一资源引起软件失效，导致美国及加拿大部分地区发生历史上最大的停电事故，经济损失250亿到300亿之间。（2003年国际十大） 2004年，由于空管软件中的时钟管理缺陷，美国洛杉矶机场400余架飞机与机场指挥系统一度失去联系，给几万名旅客生命安全造成威胁。 2005年，日本东京证券交易所由于软件升级出现系统故障，导致股市停摆。 2005年，中国银联系统通信网络和主机出现故障，造成辖内跨行交易全部中断。这是2002年中国银联成立以来，首次全国性因系统故障造成的跨行交易全面瘫痪。 2006年，我国中航信离港系统发生三次软件系统故障，造成近百个机场登机系统瘫痪。 …… 软件可信性 什么是可信？ Trusted Trustworthy Dependability Confidence Assurance 软件可信性定义 软件系统在实现既定目标的过程中，行为及结果可以预期，它强调目标与实现相符，强调行为和结果的可预测性和可控制性，在受到干扰时仍能提供连续的服务。 可能受到的干扰 硬件环境（计算机、网络）发生故障 低层软件（操作系统、数据库）出现错误 其它软件（病毒软件、流氓软件）对其产生影响 出现有意（攻击）、无意的错误操作（误操作） 可信软件核心科学问题 一、软件可信性度量、建模与预测 如何认识、表述、度量软件的可信性 二、可信软件的构造与验证 如何进行可信性设计和保证，如何消解冲突 三、可信软件的演化与控制 如何认识环境和软件自身的演化，如何动态获取可信性和控制可信性的变化，如何构建可信的运行平台 四、可信环境的构造与评估 如何建立和管理信任链，如何构造可信的安全多方计算环境，如何评价一个计算环境的可信程度 国内外研究现状 国内 “可信软件基础研究”重大研究计划（2007年底） “高可信软件生产工具及集成环境”重点项目(2007) 中科大-耶鲁 高可信软件联合研究中心(2008) 北京大学高可信软件技术教育部重点实验室(2007) 国际 加州大学伯克利分校专门建立研究中心TRUST（2005） 卡内基梅隆大学HDCC (High Dependability Computing Consortium)项目（2005） 美国国家自然科学基金会Science of Design计划(2007) 德国AVACS项目 英国INDEEDD和DIRC研究项目 …… 大规模系统可信性建模可能的研究点（一） 可信度量标准的制定 由于软件可信性缺乏良好并被广泛接受的形式化定义，造成标准化测量和评价模型的缺乏，使得一些用以改善软件可信性设计方法的效能无从验证；同时也难以对软件当前的可信性作出精确的客观的量化和跟踪。 多维可信属性的建模与评估 需要考察正确性、可靠性、安全性等诸多属性的综合度量空间，以定量方式给出可信性建模的系统方法论，建立多维可信属性的多尺度量化指标系统和评估机制，以及适应环境依存稳定性条件下的可信度动态演化特征。 可信属性间的交互关系及相互协调 不同可信属性之间可能彼此有冲突，不同层次之间也可能有冲突。例如，容错性质往往会影响到实时性，研究可信属性之间的交互关系及可能的涌现特征，包括多个属性／综合属性的局部／全局相容与失配情况。 大规模系统可信性建模可能的研究点（二） 软件生命周期早期的可信性评估与预测 对于大规模信息系统而言，可信性评估必须融入到软件生命周期的前期阶段，在需求分析，架构设计的时候全面考虑可信性，否则很可能造成巨大开销；目前很多的可信性模型都是基于测试数据，所以这方面的研究很有必要。 单个可信属性的技术集成框架 目前对于单个的可信性质，分析、设计和保证该性质的技术常常是分离的，存在语义的沟壑。例如，对反应式系统的可靠性，有失效模式和影响分析技术、容错计算、调度、形式化验证等技术，但这些技术仍是各自分离的，没有形成一个集成技术框架。 大规模系统可信性建模可能的研究点（三） 基于软件体系结构的软件可信性建模 对于大规模信息系统而言，可信性评估必须融入到软件生命周期的前期阶段，在需求分析，架构设计的时候全面考虑可信性，否则很可能造成巨大开销；目前很多的可信性模型都是基于测试数据，所以这方面的研究很有必要。 动态环境中可信软件行为的信任管理 软件行为的信任管理旨在为动态演化环境中软件实体之间和实体跟用户之间的复杂交互行为提供新的安全保障和提升软件服务质量的机制，包括行为信任建模和行为信任评估、决策等；已有的信任建模研究仅着重于信任客体的可信描述，而对于可信软件信任主体本身的可信需求考虑很少；已有的对软件实体的信任评估大多依赖主观经验数据，而较少利用动态演化环境中可信软件行为本身的检测数据；此外，不