在线可重构决策支持服务的建模与模型驱动开发需求分析和验证模型

的1B2理论计算机科学电子笔记157（2006）101-118www.elsevier.com/locate/entcs基于数据库的建模复杂的在线可重构决策支持服务马丁·卡鲁塞特，蒂齐安娜·马加里亚，aUniversitéatDortmund，GermanybUniversitéatGüottingen，Germany摘要在本文中，我们展示了组件、功能和服务的概念在当今的在线会议系统（OCS），以便将功能复杂的在线可重构互联网服务的建模与模型驱动开发的需求结合起来，以分析和验证模型。该方法的特点是粗粒度的方法来建模和设计的功能和服务，这保证了可扩展性，以捕获大型复杂系统。通过基于协调的方法实现不同功能和组件的相互作用，这是一种易于理解的系统范围业务流程建模范例，因此足以满足工业应用开发人员的需求。关键词：面向对象和基于组件的开发，基于特征的系统，基于协调的方法1作为建模实体本文中考虑的具体应用场景是一个对复杂的、协作的、在线可重构的互联网服务进行去冗余的示例此类服务将异构体系结构与黑盒/灰盒实现相结合，这是大型增量开发系统的典型难题之一，特别是在持续重新设计和修改方面1电子邮件：martin. cs.uni-dortmund.de2 电子邮件地址：margaria@cs.uni-goettingen.de1571-0661 © 2006 Elsevier B. V.在CC BY-NC-ND许可下开放访问。doi：10.1016/j.entcs.2005.12.049102M. Karusseit，T.Margaria/Electronic Notes in Theoretical Computer Science 157（2006）101在系统的寿命期间产生[21]。为了提供一个不可理解和可管理的系统高级模型，我们通过定义和执行称为功能的复杂行为实体来设计整个应用程序，这些实体叠加在基础系统上，并在开发中的系统内进行协调。挑战恰恰在于如何以一种可理解、合理划分和可管理的方式处理这种叠加和协调。在我们的应用程序中，用户级的控制流程是至关重要的：这个级别是通过协调图，在我们的环境中称为服务逻辑图（SLG）实现的它们建立了一个特定的建模级别，允许在功能级别上对这些控制方面进行直接建模，而不会被更详细的实现问题所淹没，例如，数据结构、体系结构、死锁和负载平衡。这些问题对应用程序逻辑设计者来说是隐藏的，在单个功能（可能对系统产生全局影响）的面向对象、基于组件的开发过程中，这些问题在不同的级别上得到了关注，并捕获了单个用户级别的需求。因此，特别适合我们的方法的是用户级控制流程经常需要调整或更新的应用程序除了一些互联网服务的设计，通常是基于角色的，客户端-服务器应用程序，如我们在这里使用的在线会议服务[10，12]，作为一个运行的说明性例子，我们还成功地解决了（启用Web）CTI应用程序的建模和测试，如[4]所示我们对特征概念的理解可以沿着相似性和差异性得到很好的解释。文献中给出的特征和面向特征的描述的定义。我们学会了在智能网络[6，7，20]的背景下理解功能的概念和使用，但我们的功能概念比[3]中定义的功能更一般，以便也捕获更一般的服务类别，如在线，金融，监控，报告和情报服务：定义1.1[特征](i) 特性是构建在基础系统之上的一部分（可选）功能。(ii) 它是单调的，在这个意义上，每个功能都通过增加功能来扩展(iii) 除了基本系统之外，每个特征的描述可以(iv) 它是从外部的角度来定义的，即，从用户M. Karusseit，T.Margaria/Electronic Notes in Theoretical Computer Science 157（2006）101103和/或服务提供商。(v) 其粒度由营销或供应目的决定。与IN设置不同，在IN设置中，基本系统是交换机，运行POTS功能，并且功能是该行为的相对较小的扩展，我们有（例如，在面向CSCW 的Internet服务中，如OCS）一个精益的基本服务，处理会话，用户和角色权限管理，以及丰富的功能集合。在传统的电话设置中，功能被理解为基本服务的修改器[3]，基本上是顺序执行的，每个功能都离开并返回到基本服务（所谓的在基于Web的应用中，基本系统和功能之间的比例更加极端：Web服务具有最小的可扩展性，并且几乎完全由功能组成。文献是丰富的建模和验证的方法例如，[9，2]中提出了高级组合模型检查技术，它有效地处理了基于特征的系统的属性的指定。他们的目标是能够划分功能和需求，并在检查时实现自动属性组合。为了说明服务的复杂演变，我们允许多层次的功能组织，从而在其他更基本的功能可用性的基础上构建更专业的功能为了保持这种结构易于管理和行为容易理解，我们限制我们单调的功能，这是保证添加行为。限制行为，这也是通过其他上下文中的特征（例如[5]中的基于特征的设计）以及类似的面向方面的设计[8]）来完成的，在我们的设置中以正交的方式完成，通过需求级别的约束。通过特征重新定义行为，例如，在[5]中，具有面向对象设计实践的明显优势，在我们的环境中是不允许的。在重新定义特征的情况下定义和分析相互作用的尝试已经清楚地表明，处理这样的特征模型是非常困难的，最好避免它。此外，我们还区分了作为实现的特性和特性行为的属性两者共同产生了面向功能的描述，在我们的工作中执行的服务。定义1.2[面向知识的描述](i) 复杂服务的面向功能的服务描述指定了基本系统和一组可选功能的行为。104M. Karusseit，T.Margaria/Electronic Notes in Theoretical Computer Science 157（2006）101(ii) 每个功能和基本系统的行为通过服务逻辑图（SLG）[7]给出。(iii) 每个SLG的实现都基于一个可重用组件库称为服务独立构建块（SIB）。(iv) 面向功能的服务描述还包括一组抽象需求，以确保满足预期的目的。(v) 特征之间的相互作用被明确地调节，并且通常通过约束来表达。(vi) 允许任何不违反约束的特征组合与[3]相反，我们将特征行为的描述事实上，行为的约束是在不同的层次上表达的，即在需求层次上（通过时序逻辑约束），并且是我们希望能够使用形式化验证方法自动检查在下面的章节中，我们首先介绍我们的具体例子：在线会议服务（OCS）（第二节）。2），随后，我们详细描述了所采用的面向特征的描述技术，并说明了在节中所描述的概念3使用OCS的特定部分最后，第4节包含了我们的结论。2在线会议服务（OCS）OCS（在线会议服务）（参见[10，11]，了解服务及其开发方法的描述它是可定制的，可随时在线为每个角色，每个会议和每个用户进行灵活的重新配置。OCS已成功用于超过35个计算机科学会议和许多ETAPS会议。在2004年和2005年，它为所有这些服务提供服务，同时运行6个服务实例。服务在OCS中，单个用户可以覆盖多个角色（例如，PC Member可以提交论文，因此同时是Author），并可以在工作会议期间随时在它们之间切换。精细的角色和权限管理系统负责对上下文、角色和用户特定的权限和限制进行适当的管理。这些角色在PC操作的生命周期内协作，并使用在功能级别提供的OCS功能。通过其FEA的合作，M. Karusseit，T.Margaria/Electronic Notes in Theoretical Computer Science 157（2006）101105角色顶层特征子功能Fig. 1. OCS中基于角色的特征管理OCS提供及时、透明和安全的文件处理以及相关的提交、审查、报告和决策管理任务。2.1特征描述功能被分配给角色，并且可以针对特定于会议的策略进行精细调优例如，在一个示例中，一些会议实行盲审，这意味着文章提交表格的某些字段不向审稿人公布，并且是作者和PC主席之间的秘密。在本文中，我们集中在主要的功能和讨论他们的影响，基于功能的服务开发。以下特性说明了OCS中采用的大小和粒度，而完整的集合如图所示二、文章管理：超过30%的服务活动始终concerns- cerns这个功能.与此功能相对应的中心页面是文章概述页面（图1（底部）），其中还包含报告提交或论文委托等活动的链接，这些活动不仅仅是提供访问文章和文章管理页面。授权管理：PC主席将论文授权给适当的PC成员，并支持PC成员与其次级审查员进行对话。它管理PC Members和Reviewers任务列表。授权过程是反复的，因为PC成员/次级审查员可能会拒绝106M. Karusseit，T.Margaria/Electronic Notes in Theoretical Computer Science 157（2006）101任务，例如，由于利益冲突和/或缺乏专业知识。角色管理：它允许PC主席在OCS操作期间随时定义、修改、重新这些功能非常强大，它们负责我们在运行时检查权限的需要图1（上图）显示了PC Chair角色的文章管理的精细粒度的基于特征的定义。这些能力也超过了典型的基于角色的访问实现[15]：这样，就没有固定的角色定义，特别是没有角色层次结构：几乎从来没有一个角色包括和/或单调地扩展“底层”角色的能力相反，不同的角色在他们带来不同的访问权限的意义上是相互设置管理：它使负责管理员和/或PC主席能够在服务公开之前配置服务它还允许在服务运行时进行在线如图1所示，功能相互作用：通过不同地配置角色PC成员（功能角色管理，图1（顶部）），PC主席可以在任何时候向单个用户或用户组授予和撤销对整个文章管理功能（或其部分）的粗粒度和细粒度访问权限。我们应对挑战，以保证这些动态定义的可能服务行为符合我们的所有要求。2.2物业介绍本集团已采取安全及保密措施，以确保妥善处理隐私及知识产权敏感资料。特别是• 该服务只能由注册用户访问，• 用户可以自由地只注册角色Author，• 审核员、PC成员、PC主席等角色是敏感角色，仅由管理员授予用户• 处于敏感角色的用户被授予对纸质信息的明确定义的访问权限，• 担任敏感角色的用户同意将他们在服务中访问的所有数据视为机密。我们需要能够在一个以分层特征结构组织的服务体系结构中检查这些服务范围的属性。以下部分将解释我们的应用程序开发环境如何满足M. Karusseit，T.Margaria/Electronic Notes in Theoretical Computer Science 157（2006）1011073将OCS设计为基于特征的系统作为通过我们的Agent构建中心（ABC）框架[11，18]进行应用程序开发的特征，应用程序定义层是通过分层使用功能来构建的，这些功能是根据组件和（可能嵌套的）宏来实现的，每个组件和宏都有自己的SLG。具体地说，ABC在组件级别• 在SIB方面的组件的基本粒度，其具有原子功能并且被组织在特定于应用的集合中。这些构建块是基于应用程序专家可以理解的功能来识别的，并且通常包含许多• 以及一种通过宏的结构化机制，它允许开发人员构建更高阶的组件，这些组件可以像基本组件一样一致地重用。一致性实际上是通过模型检查进行分析和诊断方面的一个核心问题-如第二节所述三点四然后，应用程序开发由SIB和宏在粗粒度级别上的面向行为的组合组成。OCS是一个复杂的应用程序，其SLG目前约有2500个节点和3500条边，其设计反映了ABC中应用程序逻辑的典型基于特征的组织[11]。如图2所示，全局应用级SLG非常简单：• 它在顶层包含用于服务初始化（init-service）和基本服务的逻辑，基本服务是提供通用互联网登录和会话管理服务的骨架服务，以及公共功能（无需注册用户即可访问的功能），以及• 它协调对单个特征的调用和单个特征之间的干扰。正如我们在功能描述中所看到的，功能是相互关联的，因此通过模型检查和测试进行服务验证的目的之一就是发现和控制所谓的功能交互。3.1基于知识的设计如图2.每个功能都作为一个宏实现，因此它有自己的服务逻辑图，定义了该功能下可能的所有服务和行为。图3示出了例如实现文章管理顶级特征的SLG。顶级功能通常向用户提供许多服务。 在OCS的情况下，所描绘的版本控制器 除了文章、委派和设置管理功能之外，108M. Karusseit，T.Margaria/Electronic Notes in Theoretical Computer Science 157（2006）101图二、OCS的应用SLG：基础与公共服务及其特点brie birthy在Sect.2还提供角色、用户和状态管理服务，以及用于执行PC成员对论文的投标的功能这种结构通过SLG变得非常明显，并且它也明确地通过GUI公开可用，正如我们在图1的屏幕截图左侧的导航栏中所看到的那样1.一、图A.1（附录中）显示了OCS的功能和子功能的摘录。我们看到多个子特征出现在多个特征中，因此可以在各种条件下访问。总的来说，OCS有100多个功能。新版本的OCS通常不涉及基本服务，但涉及添加或重新设计顶级功能。3.2功能层次根据应用的需要，特征可以被构造成更细粒度（子）特征，这些特征本身也通过SLG来实现。与应用层的结构类似，文章管理功能的SLG，如图所示。三、M. Karusseit，T.Margaria/Electronic Notes in Theoretical Computer Science 157（2006）101109子特征…“文章图3.第三章。文章管理功能：分层特征结构的SLG见图4。 SLG中的SIB发生和SIB规范• 包含自己的工作流程，这里很简单，因为它只提供导航功能，• 协调对多个精细特征的调用和它们之间的干扰，这些精细特征本身可以根据相同的机制被子结构化…创建新闻组CVSCreateConnectiSIB规范对SIBs110M. Karusseit，T.Margaria/Electronic Notes in Theoretical Computer Science 157（2006）101“提交文章宏图五. 分层宏： 提交文章功能在我们的示例中，文章管理功能既处理文章的管理，如SubmitArticle、ModifyArticle、SubmitFinalArticleVersion等子功能所示，也处理驻留在其他功能中的与文章相关的任务，如Reportlist或DelegateArticle，它们分别是功能Role和Delegation的一部分为了说明一个完整的自顶向下的基于SLG的细化结构，我们研究了SubmitArticle子功能，如图5所示，它在技术上再次实现为宏。在这个SLG中，我们达到了描述实际业务逻辑的细化级别：嵌入在几个检查和错误处理逻辑的上下文中M. Karusseit，T.Margaria/Electronic Notes in Theoretical Computer Science 157（2006）101111(i) ShowSubmitArticleSIB准备并显示用于提交动作的网页，(ii) ShowConfirmArticle允许用户在检查元数据（如标题，文章，作者，摘要）的正确性后确认提交(iii) 然后在数据库和CVS版本控制系统中执行实际上传，最后(iv) ShowSubmitArticleAcknowledgementSIB通知子实体成功执行。SLG 还 使 用 了 三 个 宏 ， CVS Replikin ， mail notification ， 和WebNewsgroup（见图10）。4）. 这些宏嵌入了可重用的业务逻辑，这些业务逻辑与应用程序设计者相关，但与用户无关。因此，它们不值得具有功能的地位在ABC中，根据复杂的、个性化的角色权限上下文管理器，功能在更细的粒度上被启用并发布给最终用户。例如，只有具有PC Chair角色的用户才能以其他用户的名义提交文章。特征子结构的设计正是由根据不同上下文区分行为的需要驱动的。事实上，子特征通常是由于特征的细化而产生的，而特征的细化是配置特征和角色-权限管理系统的细化的结果通过这种方式，我们能够非常精确地调整对敏感信息和受保护操作的访问3.3组织用户/角色管理一旦互联网服务在线，它就由代表用户执行其全局服务逻辑的一组代理在与它们相关联的用户的角色/权限所施加的限制应用程序的SLG定义了智能体可以假设的潜在行为空间，每个智能体的行为被隐式地定义为当前有效的投影到该潜力上(i) 角色和权利管理系统，该系统对SLG中定义的行为进行动态、可重构的预测，以及(ii) 应用程序的当前全局状态，包括数据空间、配置以及某些与事件和时间相关的权限。这会影响用户和角色管理的设计，以及它与服务功能的基于特征的模型的交互。从用户和角色管理的角度来看，功能被视为服务功能的集合，可以打开和关闭112M. Karusseit，T.Margaria/Electronic Notes in Theoretical Computer Science 157（2006）101对于单个角色和单个用户。服务功能具有唯一的名称，其命名方案非常简单：F-子特性类别>-子特性ID>.& lt;过滤器>• 该特征类别是在建模级别的特征的名称，在服务中实现为自己的SLG• SubfeatureID在建模级别指定功能的子功能，该子功能在服务中实现为自己的SLG或SIB的功能。• Filtersuprix是可选的，允许控制细粒度权限管理：它将运行时的访问限制为功能底层的业务对象的功能。用户和角色管理本身通过以下特征实现：如图1所示，角色和用户通常可由管理员和PC椅访问。从用户/角色管理的角度来看，文章管理功能本身是在目录类别ART中管理的在OCS中提交文章的权限被称为权限F-ART-03：一个目录 类 别 的 单 个 权 限 被 编 号 ， 因 此 唯 一 命 名 。 在 访 问 子 功 能SubmitArticle（见图1（顶部））的情况下，首先检查调用代理（实现为进程）是否被授予权限F-ART-03。只有这样，才允许访问。一些子功能，如阅读文章的权限（F-ART-05），具有更细粒度的变体，通过过滤器进行管理。许可F-ART-05说明可以执行提供对提交内容的访问的子服务，但未指定在哪些arti- cles上执行。这是通过过滤器进行管理的，过滤器区分仅对自己的文章（F-ART-05.own）、仅对用户应该查看的文章（F-ART-05.delegated）或对所有文章（F-ART-05.all）的访问。这种用户/角色管理机制利用这些细粒度的任务来创建所需的个性化视图，限制例如对于用户，访问某些资源（文档或功能）的范围。角色是通过一组权限定义的，并且可以由对功能角色具有相应权限的用户随时在线重新配置。这涉及修改现有的角色，但也涉及新角色的定义（例如，处理特殊情况）。以这种方式优雅地处理例外的一个例子是替代PC主席角色的定义，其中PC成员担任PC主席提交给他主持的会议的文章的PC主席，这显然应该完全独立地对待。通过这种方式，我们赋予服务使用非常高的灵活性M. Karusseit，T.Margaria/Electronic Notes in Theoretical Computer Science 157（2006）1011133.4基于模型检查的高级验证应用程序设计的正确性和一致性享有完全自动化的支持：在整个面向行为的开发过程中，ABC操作员通过模型检查访问用于验证约束库的机制。模型检查器单独检查数百个通常非常小的应用程序和特定目的的约束，这些约束都是在流程图结构上进行的。这允许在约束违反的情况下提供简明和可理解的诊断信息，因为反馈是在SLG上提供的，即，在应用程序级别，而不是在代码上ABC包含基于[ 17 ]技术的迭代模型检查器，最近扩展到基于游戏的模型检查器[14]：它被优化用于处理大量的约束，这是我们的方法的特征，以便允许实时验证。具体地说，该算法验证给定模型（一个扩展的SLG，其中以宏形式的结构信息已被扩展）是否满足以用户友好的、类似自然语言的宏语言表达的属性[13]。在内部，该逻辑被映射到具有参数化的原子命题和模态的模态μ演算。例1. 在第3节中已经提到的一般OCS策略以及特定于会议的策略本质上在服务逻辑级别定义了服务的松散规范，可以在我们的模型检查逻辑中直接将其公式化为OCS的属性。例如，访问控制策略是约束的主要来源，如<$（modify-roles）除非用户登录[Role=Admin]作为对整个应用的SLG的全局约束。此示例说明了表达预期约束的略微间接的方式。 它说，此外，该示例还显示了一个参数化的原子命题：user-login[Role=Admin]在用户可能拥有的可能角色中被参数化，并且[Role=Admin]不仅需要出现user-login，而且需要角色匹配，在本例中为administrator。前面在第2节中提到的所有属性都是可以用这种逻辑表达的要求，它们是[1]中确定的安全性和一致性要求类别的实例，是计算机支持的协同工作平台的特征。能够通过模型检查自动验证这些属性是ABC的一个明显优势，在角色依赖性更加动态的OCS等应用程序中，这是必不可少的114M. Karusseit，T.Margaria/Electronic Notes in Theoretical Computer Science 157（2006）101在标准的RBAC应用程序中。以前版本的OCS没有按功能进行组织，已经进行了wrt检查。这种全局方法变得不切实际，因为Web服务的规模越来越大，Setup功能的重要性越来越高，它几乎可以在任何时候完全重新配置，并且过渡到分布式开发和维护，这是在一个团队中分布的功能。在这一点上，能够划分验证功能也成为核心。例如，这允许我们保持属性可读，因为我们不需要添加大量的合取词来隔离全局图的特定部分，这些部分通常与特征一致同时，我们使用CTL的一个稍微增强的变体，其中我们有向前和向后的方式。这在程序分析中很常见，在我们的应用中也很有用。这种算子对的例子是AF F（φ）和AF B（φ），众所周知的总是向前和向后的CTL算子。我们也经常使用直到运算符，用于描述AW U F（φ，φ））平均φ强前向直到φ（ resp. φweak forward-untilorunlessφ ） 。 因 此 ， 启 动 的 SIB 名 称 ， 如“ShowFrameSetFiles”，是逻辑的原子命题。考虑到SIB和分支机构名称的大字母表，使用具有集合的边缘模态，例如在[k {ok}]φ中，这意味着φ在经由未标记为ok的边缘可到达的每个后继状态中为真。除了仅强制SIB的一些前向或后向序列的多个更简单的约束（例如，与宏结合以强制某种形式良好的重用是有用的）之外，大多数属性表示可达性或功能的某种松散排序。实施例2. 在ForgottenPwd功能中，例如，我们希望，一旦显示了具有用于回答私人问题的表单的页面（由SIBShowFrameSetFiles完成），就应该始终检查用户输入的数据的正确性和完整性SIBCheckReqParam3。其被表示为J JShowFrameSetFiles=>[{ok}]AFF（CheckReqP aram）实施例3. 一旦参数检查失败，用户应该返回到带有输入表单的页面。在这种情况下，SIBCheckReqParam沿着分支缺失或空存在而退出：J JCheckReqParam=>[{missing，existsempty}]AFF（ShowF rameSetFiles）实施例4. 只有在输入有效的电子邮件地址后，才应显示密码问题。约束JShowPwdQuestion=>3我们希望在将数据转发到持久层之前确保这一点M. Karusseit，T.Margaria/Electronic Notes in Theoretical Computer Science 157（2006）101115J J（AF B（CheckEmailAddr）AW U B（CheckEmailAddr，！【成功】！T））这意味着ShowPwdQuestion的每次出现都在Check-EmailAddr之前，并且该CheckEmailAddr已经沿着成功的分支退出在这里，我们依赖于特征内成功边缘的唯一性。在一般情况下，我们需要额外的约束，如JAG F（<{successful}> T=> CheckEmailAddress）以更精确地界定范围。实施例5. 在没有用户明确确认的情况下，在实际发送电子邮件之前，不应显示带有新密码的电子邮件已发送的通知页面：J J JService2 CallContext => ASU F（ShowPwdAck、SendMimeMessage）这里我们看到，一旦服务逻辑变得更复杂，约束的直观性也会很快受损：为了检查服务逻辑的属性，我们需要参考技术SIB，如Ser-vice 2CallContext。我们还看到，有时 都是自我循环一个未满足约束的例子涉及OCS某些区域（如报告管理功能）中的回浏览分支为了检查这些（相当大的）循环的存在和正确性，我们决定在SLG级别对这些OCS部分的导航结构进行建模。然而，由于重新使用了以前可用的子功能，一些导航选项仍然在GUI级别实现，因此我们能够检测到SLG中丢失的一些分支。这不是一个功能错误，而是建模风格的不一致4结论我们不知道任何基于特征的设计方法在其意图类似于我们的目标，特别是在建模层面的简单性。我们所知道的最接近的方法通常需要更多的应用程序层面的知识（至少是编程专业知识）和/或缺乏正式方法的系统支持，因此对于我们所解决的场景和用户来说是不够的。在工业应用场景中，我们的方法对设计和文档效率的影响已被证明是显著的：我们的工业合作伙伴报告说，116M. Karusseit，T.Margaria/Electronic Notes in Theoretical Computer Science 157（2006）101倍数在3到5之间。 所报告的收益的原因特别是早期错误检测，这是由于应用程序专家更严格地参与开发周期。更一般地说，我们将当前的方法视为模型驱动应用程序开发的一个实例，其中异构模型允许对互补方面进行单独但相互依赖的建模。事实上，特征构成了这些方面的一个特定类别，足以根据互补视图构建复杂的应用程序，并支持优雅而强大的方法来证明复杂行为的正确性和兼容性。引用[1] T.艾哈迈德，A. Tripathi：Static Verification of Security Requirements in Role Based CSCWSystems，Proc.8th Symp.访问控制模型和技术，Como（I），ACM出版社，第196 -203页，2003年。[2] C. Blundell，K. Fisler，S. Krishnamurthi，P. Van Hentenryck：产品线开放系统验证的参数化接口，ASE 2004，IEEE自动软件工程国际研讨会。[3] J. Bredereke：On Feature Orientation and Requirements Encapsulation，卷[4] A. Hagerer，T.马尔加里亚岛尼斯湾Ste Escheren，G. Brune，H.- D. IDE：CTI系统的有效回归测试：测试复杂的呼叫中心解决方案，《通信年度评论》，第55卷，国际工程联合会，芝加哥，2001年。[5] H.哈里斯，M。Ryan：更新系统的理论基础。ASE 2003，第18届IEEE国际自动化会议。软件工程，IEEE-CS出版社，2003年。[6] 国际电联：关于电话的一般建议 切换 和 信令 智能网：智能网能力集1介绍，建议Q.1211，国际电联电信标准化部门，日内瓦，3月。一九九三年[7] 国际电联-T：建议Q.1203。“智能网络-全球功能平面架构”，10月。一九九二年[8] S. Katz ， Y. Gil ： Aspects and Superimpositions ， Proc.ECOOP 1999 ， LNCS N.1743 ，Springer Verlag.[9] H.C. Li，S. Krishnamurthi，K. Fisler：《作为开放系统的交叉特性》，Proc. FSE-10，ACMSIGSOFT Int. Symp.软件工程的基础，2002年。[10] B.我知道，T.我的天啊，B.Sten：EinpersonalisierterIinternetdienstfurürwissenschaftlicheBeguthtungsprozesse，GI-VOI-BITKOM-OCG-TeleTr u sTKon ferenzElektron ischeGeschüafts-prozesse（eBusinessProcesses），UniversitüatKlage n fur t，September2001，http：//syssec. uni-k lu.ac.at/EBP 2001/.[11] T. Margaria：Components，Features，and Agents in the ABC，in[12] T. Margaria，M.在线会议服务的社区使用：来自三个CS会议的经验报告，第二届IFIP会议。关于“电子商务、电子商务、电子政府”的报告[13] T.马加里亚湾Ste Escheren：Lightweight Coarse-grained Coordination：A Scalable System-Level Approach，in STTT，Int. Journal on Software Tools for Technology Transfer，Vol.5，N.2-3，pp. 107 - 123，Springer-Verlag，2004年3月M. Karusseit，T.Margaria/Electronic Notes in Theoretical Computer Science 157（2006）101117[14] M.穆勒- Yoo ： MetaGame ： AnAnimmationTolforM odel-CheckingGa m es ， Proc. TACAS2004，LNCS 2988，pp. 163-167，2004，Springer Verlag。[15] R. Sandhu，E. Coyne，H.范斯坦角Youman：Role-Based Access Control Models，IEEEComputer，29（2）：38-47，Feb. 一九九六年。[16] M.肖，D. Garlan：Software Architecture：Perspectives on an Emerging Discipline，Prentice-Hall，1996.[17] B. Ste daughen，A.克拉森湾Klein，J. Knoop，T. Margaria：定点分析机，（特邀论文）CONCUR[18] B. Ste Escheren，T. Margaria：METAFrame in Practice：Intelligent Network Service Design，InCorrect System Design390-415[19] B. Ste Escheren，T. Margaria，V. Braun：粗粒模型检验在实践中，Proc.8th Intern。SPIN模型检查软件研讨会，ICSE 2001的卫星，多伦多（加拿大），2001年5月，LNCS 2057，pp.304-312，Springer Verlag。[20] B. Ste Escheren ， T. Margaria ， V. Braun ， N. Kalt ： Hierarchical Service Definition ，Annual Rev. of Communication，IEC，Chicago，1997，pp. 847-856[21] H.韦伯：信息和通信网络结构的连续工程，国际学刊。Conf. 软件工程的基本方法（FASEN. 1577，Springer Verlag，pp. 22比29118M. Karusseit，T.Margaria/Electronic Notes in Theoretical Computer Science 157（2006）101一种层次特征结构主要特点子特征文章招标代表团报告Tasklist文章替代文章修改文章提交最终文章版本提交文章阅读下载文章委托文章报告列表提交报告提交最终报告修改最终报告AcceptRejectReviewTaskRemoveArticle SendMailToAuthor展会简介XXXXXX投标（列表）投标（矩阵）投标DisplayPdf阅读下载文章只读BidingMatrix编辑BidingMatrix显示PDF委托条款XXXX授权SubDelegationDelegateArticle显示PDF读取报告删除委派读取下载ArticleExtendDecisionTaskDeadlineXXX电子邮件管理邮件文本宏管理邮件模板发送邮件报告修改最终报告修改报告读取报告删除报告阅读下载文章作用定义新角色修改角色删除角色Tasklist提交报告委托文章阅读下载文章提交报告接受拒绝审查任务BidXX.........图A.1.层次特征结构与特征拒绝