趙明 嚴(yán)宏舉 韓進(jìn)喜

摘要：針對移動(dòng)代理的安全性問題，在已有移動(dòng)代理研究的基礎(chǔ)上，研究了安全保護(hù)策略。對加密移動(dòng)代理攜帶的重要數(shù)據(jù)信息，提出了信譽(yù)度的概念，根據(jù)需要將信譽(yù)度進(jìn)行等級和操作權(quán)限確定，基于主機(jī)和移動(dòng)代理構(gòu)建雙向信譽(yù)度和安全校驗(yàn)認(rèn)證機(jī)制，根據(jù)信譽(yù)度等級確定是否為惡意主機(jī)或代理，以便進(jìn)行接納和拒絕操作，實(shí)例證明了安全保護(hù)策略對移動(dòng)代理安全的作用。

關(guān)鍵詞：移動(dòng)代理；信譽(yù)度；信譽(yù)度等級；操作權(quán)限

中圖分類號：TP393文獻(xiàn)標(biāo)志碼：A文章編號：1008-1739（2019）24-53-4

0引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)所承載的業(yè)務(wù)也越來越多樣化，同時(shí)多樣化業(yè)務(wù)的需求也越來越多。移動(dòng)代理技術(shù)因集異構(gòu)、軟件、通信及分布計(jì)算于一身，能夠滿足多樣化網(wǎng)絡(luò)和業(yè)務(wù)的需求而被廣泛研究和應(yīng)用。移動(dòng)代理[1]是軟件代碼，且能夠攜帶任務(wù)自主移動(dòng)，尤其能夠在異構(gòu)跨域網(wǎng)絡(luò)上遷移，移動(dòng)代理有目的的移動(dòng)特性避免了持續(xù)連接所占用的帶寬資源和連接中斷或異常導(dǎo)致的網(wǎng)絡(luò)錯(cuò)誤，提高了滿足多樣化業(yè)務(wù)需求的及時(shí)性和靈活性。同時(shí)，移動(dòng)代理的跨平臺性和移動(dòng)性也帶來一定安全隱患，包括目標(biāo)主機(jī)和代理自身的安全問題，因此亟待解決移動(dòng)代理的安全問題。

移動(dòng)代理的安全問題[2]主要涉及如下4個(gè)方面：①遷移時(shí)網(wǎng)絡(luò)的安全問題；②移動(dòng)過程中可能會受到其他惡意代理的攻擊問題；③與目標(biāo)主機(jī)交互過程中可能給主機(jī)帶來的惡意攻擊和非法篡改問題；④移動(dòng)執(zhí)行任務(wù)過程中可能遭受惡意主機(jī)的攻擊問題。

針對上述移動(dòng)代理可能存在的安全問題，本文在已有研究成果的基礎(chǔ)上，進(jìn)行了局部改進(jìn)和完善，運(yùn)用建立信譽(yù)度表技術(shù)，研究基于信譽(yù)度的安全保護(hù)策略，重點(diǎn)聚焦如何在目標(biāo)主機(jī)和移動(dòng)代理之間建立雙向信譽(yù)驗(yàn)證和保護(hù)，進(jìn)而保證移動(dòng)代理在執(zhí)行任務(wù)時(shí)自身以及所處環(huán)境的安全可靠。

1移動(dòng)代理的作用

協(xié)作性、快速反應(yīng)性和易重構(gòu)性[3]是移動(dòng)代理的三大特性。移動(dòng)代理能夠攜帶任務(wù)在異構(gòu)網(wǎng)絡(luò)中自主地從源主機(jī)向目標(biāo)主機(jī)移動(dòng)，何時(shí)移動(dòng)、何地移動(dòng)都可以事先設(shè)定好。移動(dòng)代理在執(zhí)行任務(wù)過程中，如果遇到網(wǎng)絡(luò)中斷可以根據(jù)要求掛起或中斷，等待網(wǎng)絡(luò)恢復(fù)正常后重新開始或繼續(xù)執(zhí)行任務(wù)。

移動(dòng)代理的作用如下：

①降低網(wǎng)絡(luò)負(fù)載[4]。傳統(tǒng)的網(wǎng)絡(luò)管理中，管理系統(tǒng)要完成一項(xiàng)管理任務(wù)，需要在管理者和被管節(jié)點(diǎn)之間進(jìn)行多次通信，進(jìn)行多個(gè)問答操作才能完成。應(yīng)用智能移動(dòng)代理后，只要設(shè)定移動(dòng)代理任務(wù)，將所要執(zhí)行的操作部署于任務(wù)代碼中，同時(shí)發(fā)送到被管節(jié)點(diǎn)，移動(dòng)代理執(zhí)行完規(guī)定的操作任務(wù)后，攜帶執(zhí)行結(jié)果返回管理者。這樣大大減少了頻繁操作占用的網(wǎng)絡(luò)傳輸帶寬，降低了網(wǎng)絡(luò)負(fù)載。

②異步和自主執(zhí)行功能[5]。移動(dòng)設(shè)備通常在網(wǎng)絡(luò)正常連接時(shí)進(jìn)行工作，有些特定任務(wù)要求移動(dòng)設(shè)備與網(wǎng)絡(luò)之間必須持續(xù)保持正常連接，但是網(wǎng)絡(luò)故障或中斷時(shí)有發(fā)生。要解決上述網(wǎng)絡(luò)難題，可以將所執(zhí)行的任務(wù)進(jìn)行編碼注入移動(dòng)代理中，任務(wù)可以設(shè)定起始節(jié)點(diǎn)、經(jīng)過節(jié)點(diǎn)、目前節(jié)點(diǎn)、所執(zhí)行路徑、何時(shí)開始、從什么地方開始及何時(shí)結(jié)束；移動(dòng)代理可以自主異步執(zhí)行任務(wù)，而不受網(wǎng)絡(luò)中斷影響，再攜帶返回結(jié)果，上報(bào)移動(dòng)設(shè)備。

③克服網(wǎng)絡(luò)時(shí)延[6]。很多應(yīng)用對于網(wǎng)絡(luò)實(shí)時(shí)性要求非常高，移動(dòng)代理能夠攜帶中央處理器的任務(wù)，基于設(shè)定路徑自主遷移到系統(tǒng)局部執(zhí)行，進(jìn)而減少網(wǎng)絡(luò)時(shí)延，提供符合要求的服務(wù)。

④動(dòng)態(tài)適應(yīng)環(huán)境。智能移動(dòng)代理能夠?qū)崟r(shí)感知運(yùn)行環(huán)境并及時(shí)上報(bào)和處理感知到的變化。多個(gè)移動(dòng)代理可以按需合理分布在網(wǎng)絡(luò)的不同地方，以便實(shí)時(shí)感知并進(jìn)行快速處理。

⑤自然的異構(gòu)性。開放分布網(wǎng)絡(luò)環(huán)境中無論軟件還是硬件設(shè)備大多是異構(gòu)的。智能代理在執(zhí)行任務(wù)時(shí)僅依賴于自身攜帶代碼以及代碼的運(yùn)行環(huán)境，與執(zhí)行任務(wù)的目標(biāo)主機(jī)有關(guān)系，與所處網(wǎng)絡(luò)環(huán)境和傳輸層協(xié)議無關(guān)，因此能夠適應(yīng)各種網(wǎng)絡(luò)環(huán)境，無論同構(gòu)還是異構(gòu)。

⑥協(xié)作性。在網(wǎng)絡(luò)管理中，涉及本域管理、跨域管理和全網(wǎng)管理問題，當(dāng)管理范圍涉及到跨多個(gè)管理域時(shí)，管理中心需要在多個(gè)管理節(jié)點(diǎn)之間進(jìn)行管理任務(wù)的規(guī)劃、分配和協(xié)調(diào)操作。智能移動(dòng)代理具有協(xié)作性，可以代替管理中心在多個(gè)管理節(jié)點(diǎn)之間完成任務(wù)協(xié)作。

⑦健壯性和容錯(cuò)性[7]。移動(dòng)代理能夠在網(wǎng)絡(luò)中斷或故障時(shí)單獨(dú)執(zhí)行任務(wù)，等到網(wǎng)絡(luò)恢復(fù)正常時(shí)繼續(xù)執(zhí)行任務(wù)，且能實(shí)時(shí)感知網(wǎng)絡(luò)環(huán)境并進(jìn)行及時(shí)處理，因此具有良好的容錯(cuò)性，可以應(yīng)用于要求較高的應(yīng)用系統(tǒng)的建立中。

2移動(dòng)代理安全問題

2.1安全威脅

在網(wǎng)絡(luò)中傳遞信息存在很多未知因素，因而當(dāng)移動(dòng)代理攜帶軟件程序在網(wǎng)絡(luò)中執(zhí)行任務(wù)時(shí)，存在很多安全威脅。

①被動(dòng)攻擊[8]。在被動(dòng)攻擊模式下，以竊聽模式最為常見，攻擊者的目標(biāo)是企圖通過獲取代理程序中存儲并傳遞的敏感信息，從中提取對自己有用的信息。另一種模式是由于數(shù)據(jù)采用加密傳輸時(shí)，攻擊者無法得到想要的具體數(shù)據(jù)，所以往往攻擊者對截取的數(shù)據(jù)進(jìn)行流量分析，通過分析通信頻度、交換數(shù)據(jù)的長度、通信雙方和接收方的IP地址等，進(jìn)而獲取所需的敏感信息。

②主動(dòng)攻擊[9]。主動(dòng)攻擊包括2種方式：篡改數(shù)據(jù)和身份偽裝。篡改數(shù)據(jù)是指網(wǎng)絡(luò)層的數(shù)據(jù)包被截獲并修改甚至刪除，而用偽造的數(shù)據(jù)取代；身份偽裝是指攻擊者偽裝成系統(tǒng)中的合法參與者或使用者，冒充其截取并處理收到的數(shù)據(jù)。

③惡意主機(jī)[10]。移動(dòng)代理所攜帶的軟件代碼需要在所經(jīng)過或到達(dá)的目標(biāo)主機(jī)上運(yùn)行，因此目標(biāo)主機(jī)掌握所有的代碼和數(shù)據(jù)并可以隨意更改。如果目標(biāo)主機(jī)是惡意的，或者該目標(biāo)主機(jī)已經(jīng)被攻擊，那么這種惡意主機(jī)可以破壞或終止代理程序，進(jìn)而影響或破壞所執(zhí)行的任務(wù)，代理所攜帶的任務(wù)信息也可以被刪除或篡改，造成安全隱患。

2.2移動(dòng)代理安全機(jī)制

①對于移動(dòng)代理傳輸中的安全問題，主要使用加密技術(shù)進(jìn)行安全性保障。設(shè)計(jì)了類似于SSL的在傳輸層對網(wǎng)絡(luò)連接進(jìn)行加密的安全協(xié)議，即將所有通信內(nèi)容封裝進(jìn)行安全套接字處理，用一組對稱密鑰和加密算法加密通信內(nèi)容。加密的IP數(shù)據(jù)包仍有可能被截取，攻擊者無法識別和破解加密信息。加密方法可以采用128位密鑰的RC4算法，也可以采用1 024位密鑰的RSA算法進(jìn)行會話數(shù)據(jù)交換。如果加密消息在傳輸過程中被截獲篡改或刪除，消息驗(yàn)證碼都能識別并驗(yàn)證。

②對于目標(biāo)主機(jī)的安全問題，可以采用基于檢測的安全手段。檢測運(yùn)行的目標(biāo)主機(jī)是否安全，檢測移動(dòng)代理的執(zhí)行路徑以及執(zhí)行結(jié)果，判斷其是否受到攻擊。

③對于移動(dòng)代理本身的安全問題，提供了一套相關(guān)的算法來檢測移動(dòng)代理是否安全可信賴，即為目標(biāo)主機(jī)設(shè)定可信度表或其他安全規(guī)則，通過安全規(guī)則檢測驗(yàn)證移動(dòng)代理是否有違規(guī)行為。所有的移動(dòng)代理必須遵守規(guī)定的安全規(guī)則，才能在目標(biāo)主機(jī)上執(zhí)行任務(wù)。

總之，通過對移動(dòng)代理本身、移動(dòng)代理傳輸過程以及移動(dòng)代理所執(zhí)行任務(wù)所需的目標(biāo)主機(jī)進(jìn)行系列安全限制和保護(hù)，使得移動(dòng)代理、目標(biāo)主機(jī)以及網(wǎng)絡(luò)環(huán)境均處于相對安全的環(huán)境中，適用于對數(shù)據(jù)傳輸保密要求比較嚴(yán)格的環(huán)境，如情報(bào)信息傳輸?shù)取?/p>

2.3安全策略

移動(dòng)代理自身的安全策略[11]如下：

①信譽(yù)度的5個(gè)等級：{惡意，不可信，較可信，可信，絕對可信}；

②信譽(yù)度的數(shù)學(xué)表示：{-20，-1，0，1，20}與信譽(yù)度5個(gè)等級一一對應(yīng)；

③MA_ID：移動(dòng)代理標(biāo)識，具有唯一性；

④HS：主機(jī)對自身信息的簽名，包括主機(jī)名、IP地址、硬件MAC地址；

⑤CN：校驗(yàn)數(shù)；

⑥PK：公有密鑰；

⑦SK：私有密鑰；

⑧I：移動(dòng)代理攜帶的重要數(shù)據(jù)和信息；

⑨移動(dòng)代理操作權(quán)限RS：取值為1時(shí)表示只讀，取值為2時(shí)表示可設(shè)置。

設(shè)計(jì)的策略規(guī)則步驟如下：

①將移動(dòng)代理攜帶的信息進(jìn)行初始化賦初值，包括設(shè)定移動(dòng)代理的操作權(quán)限、移動(dòng)代理遷移路徑和執(zhí)行任務(wù)所涉及的目標(biāo)主機(jī)等信息的設(shè)定和預(yù)置。同時(shí)對移動(dòng)代理的任務(wù)數(shù)據(jù)和資料進(jìn)行加密，加密SK（I），對隨機(jī)數(shù)加密PK（num），校驗(yàn)數(shù)CN=SK（I）+PK（num），移動(dòng)代理攜帶PK（CN）進(jìn)行校驗(yàn)。

②目標(biāo)主機(jī)提供一套與它自身有關(guān)的安全規(guī)則，信譽(yù)度表存儲在目標(biāo)主機(jī)中，根據(jù)信譽(yù)度評價(jià)結(jié)果執(zhí)行對應(yīng)的接納或拒絕操作。

③移動(dòng)代理的安全特性被創(chuàng)建者提取，驗(yàn)證移動(dòng)代理的安全規(guī)則，并生成相應(yīng)的安全證書。

④生成的安全證書與移動(dòng)代理被源主機(jī)一起送達(dá)目標(biāo)主機(jī)。

⑤當(dāng)移動(dòng)代理到達(dá)目標(biāo)主機(jī)后，目標(biāo)主機(jī)首先進(jìn)行校驗(yàn)數(shù)CN的提取，根據(jù)公鑰PK進(jìn)行解密，獲得校驗(yàn)數(shù)CN，如果目標(biāo)主機(jī)解密的校驗(yàn)數(shù)與移動(dòng)代理攜帶的校驗(yàn)數(shù)一致，則目標(biāo)主機(jī)根據(jù)移動(dòng)代理的唯一標(biāo)識號和源主機(jī)簽名，查詢所存儲的信譽(yù)度表，如信譽(yù)度表中存在該移動(dòng)代理的信譽(yù)度，則接受移動(dòng)代理的請求操作，反之則拒絕為移動(dòng)代理提供運(yùn)行環(huán)境。

⑥目標(biāo)主機(jī)進(jìn)一步查詢移動(dòng)代理的操作權(quán)限，目標(biāo)主機(jī)設(shè)置監(jiān)視器監(jiān)督移動(dòng)代理的操作，如移動(dòng)代理有超出權(quán)限的請求和操作，則拒絕相關(guān)操作，對應(yīng)的當(dāng)前信譽(yù)度值降一個(gè)等級并更新本地信譽(yù)度表；若沒有越限操作，則進(jìn)行正常的交互請求。

⑦移動(dòng)代理結(jié)束與目標(biāo)主機(jī)的交互，按照規(guī)劃的遷移路徑繼續(xù)遷移到下一個(gè)目標(biāo)主機(jī)。

通過基于信譽(yù)度的移動(dòng)安全保護(hù)策略能夠構(gòu)建代理和主機(jī)之間的雙向信譽(yù)度，明確了信譽(yù)度的評價(jià)標(biāo)準(zhǔn)和評價(jià)方法，較好地防護(hù)了惡意主機(jī)和惡意代理的侵害，保證移動(dòng)代理能夠高效、安全地工作。

軟件的開發(fā)環(huán)境為開發(fā)語言JAVA；運(yùn)行環(huán)境Windows XP操作系統(tǒng)或中標(biāo)麒麟操作系統(tǒng)；數(shù)據(jù)庫為達(dá)夢數(shù)據(jù)庫。

3實(shí)例驗(yàn)證

以某大型計(jì)算機(jī)網(wǎng)絡(luò)管理中心的管理為例，驗(yàn)證移動(dòng)代理的機(jī)制和作用，所有主機(jī)都處在一個(gè)已知的、絕對安全的網(wǎng)絡(luò)環(huán)境中，如VPN和公司內(nèi)部互聯(lián)網(wǎng)絡(luò)。此種網(wǎng)絡(luò)環(huán)境具有網(wǎng)絡(luò)規(guī)模相對較小和網(wǎng)絡(luò)環(huán)境絕對安全的特點(diǎn)。

起初設(shè)置所有主機(jī)和移動(dòng)代理信譽(yù)度C=10，絕對可信。在移動(dòng)代理移動(dòng)中可以直接進(jìn)行交互，減少信譽(yù)度認(rèn)證和修改的時(shí)間，大大提高了整個(gè)網(wǎng)絡(luò)的效率。

圖1中4個(gè)主機(jī)H1，H2，H3，H4和一個(gè)移動(dòng)代理MA1，信譽(yù)度都設(shè)置為絕對可信，移動(dòng)代理和主機(jī)交互的安全得到保證，響應(yīng)的執(zhí)行效率也大大提高，移動(dòng)代理MA1由源主機(jī)H1發(fā)起，向目標(biāo)主機(jī)H2移動(dòng)。

移動(dòng)代理攜帶的信息包括執(zhí)行任務(wù)所需的數(shù)據(jù)和初始化信息、設(shè)定的遷移路徑信息和操作權(quán)限信息。

工作流程如下：

①源主機(jī)H1給移動(dòng)代理MA攜帶的信息賦初值，包括設(shè)定移動(dòng)代理的操作權(quán)限、移動(dòng)代理遷移路徑和所經(jīng)過的主機(jī)、對移動(dòng)代理的任務(wù)數(shù)據(jù)和資料進(jìn)行加密，加密SK（I），對隨機(jī)數(shù)加密PK（1 024），校驗(yàn)數(shù)CN=SK（I）+PK（1 024），移動(dòng)代理攜帶PK（CN）進(jìn)行校驗(yàn)。

②目標(biāo)主機(jī)H1提供一套與其自身有關(guān)的安全規(guī)則，目標(biāo)主機(jī)中存儲有信譽(yù)度表，如表1所示，不同的信譽(yù)度評價(jià)結(jié)果執(zhí)行的操作不同。

③移動(dòng)代理的安全特性被其創(chuàng)建者所提取，并用安全規(guī)則進(jìn)行驗(yàn)證，生成相應(yīng)的安全證書。

④安全證書與移動(dòng)代理MA被源主機(jī)H1送達(dá)目標(biāo)主機(jī)

H2。

⑤移動(dòng)代理到達(dá)目標(biāo)主機(jī)H2后，首先解密校驗(yàn)數(shù)CN，根據(jù)公鑰PK進(jìn)行解密，獲得校驗(yàn)數(shù)CN，如果目標(biāo)主機(jī)解密的校驗(yàn)數(shù)與移動(dòng)代理攜帶的校驗(yàn)數(shù)一致，則目標(biāo)主機(jī)根據(jù)移動(dòng)代理的唯一標(biāo)識號和源主機(jī)簽名，查詢所存儲的信譽(yù)度表，發(fā)現(xiàn)MA的信譽(yù)度為1，任務(wù)移動(dòng)代理可信，接受移動(dòng)代理的請求操作。

⑥目標(biāo)主機(jī)H2進(jìn)一步查詢移動(dòng)代理的操作權(quán)限，發(fā)現(xiàn)移動(dòng)代理的操作權(quán)限為只讀，開始與移動(dòng)代理進(jìn)行信息交互。

⑦目標(biāo)主機(jī)H2通過監(jiān)視發(fā)現(xiàn)移動(dòng)代理MA頻繁出現(xiàn)越限操作，且企圖修改或刪除目標(biāo)主機(jī)H2的數(shù)據(jù)，目標(biāo)主機(jī)H2立刻修改信譽(yù)度表，將移動(dòng)代理MA的信譽(yù)度值置為不可信。

為了構(gòu)建移動(dòng)代理和主機(jī)之間的信譽(yù)度，通常設(shè)定目標(biāo)主機(jī)的安全策略、雙向信譽(yù)度表和移動(dòng)代理自身的安全保護(hù)策略。通過上述手段，保證安全運(yùn)行環(huán)境和目標(biāo)主機(jī)，防止了惡意主機(jī)和惡意代理的侵害，確保移動(dòng)代理高效、安全運(yùn)行。

4結(jié)束語

通過研究移動(dòng)代理的安全性問題，分為移動(dòng)代理自身、移動(dòng)代理執(zhí)行的目標(biāo)主機(jī)和運(yùn)行的網(wǎng)絡(luò)環(huán)境3個(gè)方面，首先，針對移動(dòng)代理自身對移動(dòng)代理攜帶的重要數(shù)據(jù)信息進(jìn)行加密保護(hù)；其次，在移動(dòng)代理和目標(biāo)主機(jī)之間建立信譽(yù)度表，在信譽(yù)度等級和相應(yīng)的操作權(quán)限進(jìn)行對照，構(gòu)建主機(jī)和移動(dòng)代理之間的雙向信譽(yù)度記錄和安全校驗(yàn)認(rèn)證；同時(shí)利用信譽(yù)度等級進(jìn)行惡意主機(jī)或代理的判定，拒絕惡意主機(jī)和代理的操作請求，保護(hù)移動(dòng)代理與目標(biāo)主機(jī)信息交互的安全可靠。總之，通過移動(dòng)代理本身、移動(dòng)代理運(yùn)行的網(wǎng)絡(luò)環(huán)境以及目標(biāo)主機(jī)的系列安全規(guī)則，使移動(dòng)代理更好地發(fā)揮作用，提升靈活性和可靠性。

參考文獻(xiàn)

[1]肖增良，樂曉波，周輝.基于與或依賴圖的多Agent系統(tǒng)任務(wù)分解算法[J].計(jì)算機(jī)工程與設(shè)計(jì)，2009，30（2）：426-428..

[2]劉曉明，黃傳河，江貝.一種基于移動(dòng)Agent技術(shù)的網(wǎng)絡(luò)管理模型[J].計(jì)算機(jī)應(yīng)用研究，2000（12）：52-53.

[3] Lennselius B，Rydstrom L.Software Fault Content and Reliability Estimations for Telecommunication Systems[J]. IEEE Journal on Selected Areas in Communications， 1990， 8（2）： 262-272.

[4] ThomasD，AnthonyS.EvaluatingthePerformanceofSoftware Reliability Models[J].IEEE Trans.on Reliability，1992，41（4）： 12-16.

[5] Zahedi F，Ashrafi N.Software Reliability Allocation Based on Structure Utility，Price and Cost[J].IEEE Transactions on Software Engineering，1991，17（4）：345-356.

[6] Beaumont O，Casanova H，Legrand A.Scheduling Divisible Loads on Star and Tree Networks：Results and Open Problems[J].IEEE Trans on Parallel and Distributed Systems， 2005，l（3）：207-218.

[7]朱淼良，邱瑜.移動(dòng)代理系統(tǒng)綜述[J].計(jì)算機(jī)研究與發(fā)展， 2001（1）：16-25.

[8]劉波，李偉，羅軍舟，等.網(wǎng)絡(luò)管理中多agent的半在線調(diào)度算法[J].計(jì)算機(jī)研究與發(fā)展，2006（4）：571-578.

[9]王媛媛，譚獻(xiàn)海.移動(dòng)代理系統(tǒng)———IBM的Aglets[J].微計(jì)算機(jī)信息，2006（9）：275-277.

[10]金黎黎，孔令富.協(xié)同設(shè)計(jì)環(huán)境中任務(wù)分解與調(diào)度的研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2009，30（22）：5291-5293.

[11] Waish T，Paciorek N，Wong D.Security and Reiiabiiity in Concordia[C]// Proceedings of the 31st Annuai Hawaii Internationai Conference on System Sciences，Kona，Hawaii， 1998，32（3）：22-26.