协调模型提供了一种描述软件实体之间的交互框架。目前开放系统" title="开放系统">开放系统中的协调技术主要考虑如何促使软件实体之间能够顺利地进行交互。但事实上，在开放系统下不能保证每个软件实体都是可信的，基于系统安全方面的考虑，必须要有一定的安全访问控制机制来限制软件实体之间的交互。
　　目前仅有KLAIM^[1]和SecSOS^[2]协调语言提供了一定的安全访问控制机制。KLAIM协调语言利用类型来描述软件实体的访问权限，在软件实体和元组数据之间采用典型的访问控制策略，使得软件实体和数据形成一种一一对应的关系。这种方法不能很好地满足开放系统动态性的要求，并且不支持对元组数据细粒度的安全控制。SecSOS通过只对空间元组数据增加一定的附加信息来控制数据的访问。这种对字段的加锁方法不但能对整个元组数据进行控制，还支持数据细粒度的安全控制。但SecSOS的缺陷是不能区分两种不同类型的读操作，并且数据的读取者能够向元组数据空间写入同样的数据。Nadia Busi，Roberto Gorrieri等人在KLAIM和SecSOS基础上进行了扩展，提出了SecSpaces^[3]安全协调模型。但是，SecSpaces每次都是运用非对称" title="非对称">非对称密钥进行匹配，计算复杂度高，而且没有提供时效控制，从而降低了系统的安全性。本文首先介绍了用于开放系统下数据驱动的协调模型Linda^[4]模型，然后简单地介绍了SecSpaces安全协调模型，最后提出了一种新的具有时间约束的安全数据" title="安全数据">安全数据驱动协调模型。
1 Linda数据驱动协调模型
　　在开放系统下，运用协调技术进行软件实体间的通信是一种非常有效的方法，能够满足开放系统互操作性、可移植性、伸缩性要求。Linda^[2]在1985年提出了基于数据驱动的协调模型体系结构，Sun Microsystem和IBM公司在此基础上开发了各自的商业产品JavaSpaces和TSpaces。这些都是利用一种被称为再生通信(generative communication)的模式：数据的发送方和接收方通过一个共享的数据元组空间进行通信，发送方将数据送入这个共享空间，接收方从共享空间读取数据。数据共享空间独立于任何一方而存在，即一旦发送方将数据写入共享空间，数据将不属于数据的提供者。任何接收方都可以从中提取相应的数据。Linda模型定义了out(e)、int(t)和rd(t)三种基本操作。输入操作out(e)是将数据项e写入共享元组空间；int(t)是用模板t和共享空间中的数据项e匹配，如果发现匹配数据项e，然后读e并将共享空间中的e删除。rd(t)和int(t)类似，仅仅是读取而不删除。Linda模型定义的匹配规则如定义1.1。

　　从定义1.1可以看出最初的Linda协调模型并没有提供相应的安全访问控制机制对读写操作进行控制，也不能区分int(t)和带有破坏性的rd(t)操作。
2 SecSpaces安全数据驱动协调模型
　　目前仅有KLAIM和SecSOS协调语言提供了一定的安全访问控制机制。2002年Nadia Busi、Roberto Gorrieri等人对KLAIM和SecSOS两种协调语言的安全访问控制机制进行了扩展和修改，提出了SecSpaces模型(支持在开放环境下安全的数据驱动协调模型)。SecSpaces不但能够区分读写操作，还能够区分非破坏性的读int(t)和具有破坏性的读rd(t)操作。SecSpaces对元组空间数据附加特定的控制信息。一个逻辑分区字段Partition，另一个非对称逻辑分区字段Asymmetric Partition。前者用于对元组空间进行逻辑上的分区，通过这个字段不但可以快速的索引到相应的数据也增加了数据的安全性。后者利用密码学非对称密钥对数据的读和写操作进行认证，能够严格区分读和写。同时又将后者分为int(t)和rd(t)区域，能将这两种读取操作区别开。
3 具有时间约束的安全数据驱动协调模型
　　从上述SecSpaces模型所提供的安全访问控制机制可以看出：(1)数据每次读取操作都会进行非对称的解密操作，计算复杂；(2)一旦某个软件实体得到了读取某数据的密钥，它将获得永久的读取权，SecSpaces没有提供时效控制。这对于动态的开放系统是不安全的，例如一个Agent实体用密钥读取数据后离开，相隔一定的时间再次访问相应的数据，而此时的Agent可能已经变得不安全，但依靠先前的密钥仍能读取。
　　针对SecSpaces存在的安全问题本文提出了一种具有时间约束的安全数据驱动协调模型。本文对匹配模板增加时限控制字段来控制软件实体访问共享数据空间的时间，使协调模型具有时间约束性。同时运用混合密钥认证机制来代替非对称认证来减轻SecSpaces的计算复杂度。

　　非对称密钥访问控制如表1所示。假设(1)、(2)、(3)、(4)条件均满足的情况下，(PrivK_A；PubK_A)和(PrivK_B；PubK_B)为两对密钥，分别为私钥和公开密钥。
　　为了保证时间戳本身的安全性，可运用密钥k对T进行加密T′={T}_k，当前时间t取协调系统的当前时间，其独立于各软件实体。这样就避免了时间的不同步性。对数据驱动的协调模型增加时间约束性使其能够安全运用于更多的开放系统之中。例如将其应用于Web Services中就能解决服务的一次绑定永久享受服务的局限性。
　　混合密钥认证机制^[5]是结合对称密钥和非对称密钥两种并存的认证机制，通信实体通过非对称密码体制和密钥分配中心间协商其会话密钥以及在密钥分配中心存放通信实体的注册信息等，而通信实体之间通过对称密码体制认证双方身份。本文将这种认证方式运用到共享元组数据空间的访问控制中，第一次从共享空间读取数据时通过非对称密钥认证，一旦通过身份认证，系统将和软件实体间建立一传递数据的安全通道，通过此安全通道传递数据避免了复杂的解密计算。将混合密钥认证机制运用于数据驱动协调模型能够减轻系统的计算复杂度，同时增加系统的动态性。其认证流程如图1所述。

　　上述所提出的具有时间约束的安全数据驱动协调模型不但能区分三种典型的操作，同时对数据的读取操作具有时效的约束性，这样就保证了协调系统的安全性。
　　本文在分析了KLAIM、SecSOS、SecSpaces的基础上提出了一种时间约束的安全数据驱动协调模型，它能够保证软件实体之间的通信安全。R.Lucchi和G.Zavattaro提出了WSSecSpaces^[6](面向Web Services应用的安全数据协调服务)。首次将协调技术运用于面向服务的分布式技术Web Services。本文提出的安全协调模型也可作为一种Web服务形式发布，服务之间通过共享元组空间交换数据，无需服务间的实时通信，同时可通过本模型的时间约束性来控制服务时间。这样不但解决了Web Services在时间和空间上的紧耦合，而且还增强对服务时间的控制。但是本文提出的模型并没有对向共享空间写数据进行控制，即任何软件实体都可以向共享数据空间写信息，这是本课题今后所要研究的内容。
参考文献
1 Nicola R D，Ferrari G，Pugliese R.KLAIM：A Ker-nel Language for Agents Interaction and Mobility.IEEE Transactions on Software Engineering.1998；24(5)：315～330
2 Vitek J，Bryce C，Oriol M.Coordinating Processes with Secure Spaces.Science of computer Programming，2003；46(1～2)：163～193
3 Busi N，Corrieri R，Lucchi R et al.Secspaces：a data-driven coordination model for environments open to untrusted agents.Electronic Notes in Theoretical Computer Science.2003；68(3)：310～327
4 Gelernter D.Generative Communication in Linda.ACM Trans-actions on Programming Languages and Systems.1985；7(1)：80～112
5 王汝传.混合密码认证模型的研究.计算机学报，2002；(11)：44～48
6 Lucchi R，Zavattaro G.WSSecSpaces：a Secure Data-Driven Coordination Service for Web Services Applications.Proceed-ings of the ACM Symposium on Applied Computing，2004；(1)：487～491