一种新的操作系统安全模型

机密性和完整性是操作系统安全的两个重要特性，BLP模型只解决了机密性的问题，而Biba模型只解决了完整性的问题，其他模型也都类似，无法使二者同时兼顾．基于一个特殊可信主体，提出了一种新的操作系统安全模型，融合了以上两种模型，可以同时保持机密性与完整性．     

支持POSIX权能机制的一个新的特权控制的形式模型

为了在操作系统中实施极小特权原理, 必须对进程的特权进行有效的控制; 但是进程的动态性使实现对它的控制变得困难重重. 在深入分析进程特权的形成过程和作用机制的基础上, 提出了实施极小特权原理的三层实现机制, 即管理层、功能控制层和执行层; 而且明确指出限制特权的有效范围是特权控制的重要环节, POSIX中已经提到了它, 但是POSIX的权能机制并不能有效地支持它. 在分析现有控制机制的优缺点的基础上, 不仅提出了改进的权能公式, 而且提出了基于RBAC, DTE和POSIX权能机制的新的进程控制机制的完整的形式模型; 模型中的新不变量反映了新机制与RBAC, DTE和POSIX权能机制的不同, 新机制推广了子域控制机制, 实现了子域控制机制的动态化.     

高等级安全操作系统的设计

众多因特网安全事件的发生表明，为了对抗现代计算环境中的安全威胁，来自安全操作系统的支持是必不可少的．基于国内外相关标准的要求，结合安胜高等级安全操作系统v4．0（以下简称为安胜OS）的设计与开发实践，讨论高等级安全操作系统设计中的3个关键问题：安全体系结构、安全模型与隐蔽通道分析．对安全体系结构与3种基本的安全策略模型：机密性模型、完整性模型和特权控制模型的设计原则分别进行了阐述，提出了新的安全体系结构与3个新的安全模型，分别介绍它们的主要特色，以及它们在安胜OS中的实现。 隐蔽通道分析是高等级安全操作系统设计中众所周知的难题，迄今缺乏坚实的理论基础与系统的分析方法．为了解决隐蔽通道分析中存在的基本问题，文中提出了隐蔽通道标识完备性的理论基础、一种通用的隐蔽通道标识框架，以及高效的回溯搜索方法．这些新方法在安胜高等级安全操作系统中的成功实现表明，它们可以简化并加快整个隐蔽通道的分析过程。     

一个支持空间上下文的访问控制形式模型

利用上下文信息对授权决策进行控制已越来越受到重视．在无线和移动网络领域中控制资源的访问要求定义支持空间上下文的访问控制形式模型．然而，传统的RBAC模型并不能满足这些空间上的需求．文中对现有的RBAC模型进行扩充，提出了SC-RBAC模型，使其在定义安全策略时能结合用户的当前物理位置信息．提出了空间角色的概念，为角色赋予逻辑位置域以指定角色可以活动的空间范围．角色激活依赖于用户从移动终端获得的当前物理位置．紧接着，给SC—RBAC弓j入层次来表达权限、激活继承等关系．证明用层次化的空间角色在数学上可构建格模型以实施多级安全策略，使其更适合安全关键的位置感知信息系统对信息流的安全控制要求．随后，受限的SC-RBAC描述了3类限制：空间的职责隔离限制、基于位置的基数限制和基于位置的时序限制，这些限制允许表达位置感知系统中细粒度的空间语义．最后，为受限的SC—RBAC模型设置了9个不变量，证明了其基本安全定理，为模型在实际环境中的应用奠定了基础．     

矩独立的基本变量重要性测度及其概率密度演化解法

为有效分析基本变量对可靠性分析中失效概率的影响程度,提出了一种矩独立的基本变量对系统失效概率的重要性测度指标η,分析了其相应性质,并给出了性质的证明.在此基础上,比较了基本变量对系统失效概率与基本变量对响应量分布密度的重要性测度,并建立了求解2种矩独立基本变量重要性测度的概率密度演化方法,有效地解决了求解2种矩独立基本变量重要性测度在计算上的困难.采用所建立的重要性测度概率密度演化方法,求解了数值算例和具体工程中基本变量对功能响应函数分布密度和失效概率的重要性测度指标,结果证明所提重要性测度可以从输入变量随机取值的分布密度角度衡量基本变量对失效概率影响的程度,同时,计算结果也表明采用所建立的求解重要性测度的密度演化方法是高效可行的.     

仿射等价Boole函数的分析

利用Boole函数的一些基本变换和相应的不变量，。给出了两个结果：1．Boole函数仿射等价的判定和等价关系求取算法，该算法对Boole函数的科学研究和工程实践都具有重要意义．例如，该算法给出了所有8元3次齐次bent函数的等价关系；2．有效划分了部分参数的Reed—Muller码，如R（4，6）／R（1，6），R（3，7）／R（1，7）．     

城市建设与遗产保护之间的矛盾及其解决策略

在当前城市发展的过程中，经常会遇到城市建设与遗产保护之间的矛盾，如何妥善解决这一矛盾是城市健康发展的一项重要课题．本文探讨了解决这一矛盾的若干策略与方法，可供有关方面参考．     

可控环境生产系统建模、仿真与控制研究进展

可控环境生产系统属于复杂系统,目前对这类系统的建模及控制问题没有形成系统的方法与理论,因此在对这类系统进行控制时,缺乏理论依据.本文在回顾过去几十年可控环境生产系统建模与控制的各种方法的基础上,探讨了当前可控环境生产系统在系统建模、仿真及控制中存在的问题,如支持生产可使用的作物生长数学模型信息的不完整性,水肥系统的模型信息的时间尺度问题,环境模型的动态时变特性以及作物、土壤、大气相关变量的作用关系,耦合的多环境因子的控制问题、包括能耗在内的冲突多目标控制问题和考虑模型误差和气候突变等不确定性的鲁棒控制问题等.在此基础上,根据系统的特性:多变量,非线性,多模型(作物模型,土壤模型,大气模型)、模型之间强耦合、大尺度、能量有限、分布参数、冲突多目标等的特点,提出了该系统有效建模、仿真、控制急需解决的瓶颈问题和可能的研究趋势.     

基于可编程hash函数的短签名

数字签名中的短签名由于其签名长度的优势，特别适用于通信带宽受限的场合．现有的短签名方案大多是随机预言模型下可证明安全的，但是随机预言模型通常被认为过于理想化，现实中没有一种hash函数能够模拟随机预言模型，而少数标准模型下可证安全的短签名方案，一般被认为是低效的或者基于强困难假设，即攻击者被给于一定数量的随机的已解决问题实例，要求去解决一个它自己选择的实例．可编程hash函数fprogrammablehashflmctions，PHF）是一种能模拟随机预言的某些可编程特性的特殊hash函数．可编程hash函数可嵌入到签名的基本构造中，产生标准模型下的短签名．本文利用可编程hash函数设计了一个基于因子分解假设的短签名方案．它具有的优点是：1）签名长度短，只需要一个群上的元素和一个小整数；2）签名和验证计算量小，不需要在签名过程中进行生成素数的运算；3）不需要嵌入变色龙hash函数便可实现标准模型下可证明安全．     

岩石节理法向加载非线性变形本构模型研究

鉴于节理法向变形的经典指数模型和双曲线（BB）模型的中应力水平加载阶段变形与部分试验结果存在偏离的不足，采用柔度变形法建立了节理法向加载非线性变形的新本构模型．讨论了节理在法向单调加载条件下变形基本规律，提出了完备的节理法向本构方程应满足的3个基本条件．分析指出基于应力变形坐标系的节理法向本构改进模型：统一指数模型和改进双曲线模型在数学上均是不完备的．选择柔度变形（Cn-u）坐标下介于双曲线和经典指数2种传统模型之间的单调递减柔度变形曲线，使其满足法向变形基本条件，建立了节理法向变形本构三参数模型．分析柔度变形曲线存在的两类主要形式，推导了节理法向变形g-δ本构模型和g-λ构模型的具体数学表达形式，并初步分析了模型参数的取值范围及其相关地质影响因素．引用已有不同岩石节理法向变形试验数据，对2种本构模型验证分析表明：g-λ型既可以适用于耦合节理法向变形又适用于非耦合节理法向变形，同时提出的节理法向变形譬．碳型较BB模型、经典指数模型及对数模型能更好地与试验结果吻合．     

考虑偏平面屈服特性的三维耗散应力空间

天然沉积土大多处于复杂三维应力状态．建立岩土材料三维本构模型的方法（三维化方法）应满足热力学定律这一基本物理规律．本文通过引入与塑性剪应变相应的迁移应力，使基于耗散能增量函数建立的岩土材料本构模型能合理地描述偏平面的三维屈服特性．同时，给出了耗散应力空间应力张量与真实应力张量之间的关系表达式，使本构模型能在三维耗散应力空间中采用相关联的流动法则计算不同应力方向的塑性应变．其次，在热力学框架下对比分析了常见三维化方法的热力学本质，如直接引入强度准则的方法、g（θ）方法和变换应力方法等．说明了三维耗散应力空间与变换应力空间的等价性，验证了变换应力方法在热力学框架下的合理性，同时指出直接引入强度准则的方法和g（θ）方法的不合理之处．最后，通过模型预测值与试验值的比较，验证了建立的三维耗散应力空间及其等价的变换应力空间的适用性．     

蚁群算法中参数设置对超声回波估计性能的影响

摘要针对超声回波参数估计问题存在着耗机时长，估计结果严重依赖于初始值的缺点，本文将蚁群算法应用到超声回波参数估计中，结合超声回波的非线性高斯模型，提出了基于蚁群算法的超声回波参数估计算法，并就蚁群算法在超声回波估计中参数的优化组合设置进行了分析研究通过数值仿真，在信噪比为10dB条件下计算了蚁群算法中各参数的不同取值对估计结果的不同影响，包括计算时间、估计精度和算法稳定性，得出了算法中各参数的组合优化设置，给出了最优参数下的超声回波参数估计结果，并通过与其他算法的比较验证了蚁群算法在超声回波参数估计问题中的有效性．该研究有助于提高超声回波估计的精度和算法的稳定性，缩短蚁群算法的计算时问，以达到优化算法性能的目的．     

饱和砂土的渐近状态特性及其模拟

在UH（统一硬化）模型的基础上，基于部分塑性体积应变与塑性剪应变有耦合的思路，把对土塑性变形有影响的硬化参量分为耦合硬化参量和非耦合硬化参量，提出了一个新的双硬化的弹塑性本构模型．此模型新颖之处在于它不但可以有效的考虑应力路径也可以考虑应变路径对应力应变特性的影响，所以新模型既能合理预测排水、不排水，也可以模拟部分排水及部分吸水条件下的应力应变关系．结合渐近状态概念，还给出了基于饱和砂土排水试验参数计算不排水极限应力比、静止土压力系数梳的简单公式．模型参数简单，仅比Camclay模型多了一个特征状态点应力比，全部可通过常规三轴压缩试验简单确定．     

一种基于自回归隐式半Markov链的设备健康管理新方法

文中通过对隐式Markov模型（HMM：hidden Markov model）假设条件的松弛研究，提出了基于自回归隐式半Markov链（AR—HSMM：auto—regressive hidden semi—markov model）的设备健康诊断和预测新方法．与传统的HMM相比，AR-HSMM具有3个优点：一是将传统HMM所假设的隐藏状态分布改进为显式Gauss分布，因此能够用于设备性能衰退预测；二是改进了传统HMM中各观测变量相互独立的假设，通过自回归建立各观测变量之间的依赖关系，从而使之更加符合实际情况；三是AR-HSMM不必服从不现实的Markov链条件，因而具有更强的建模和分析能力．文中定义了新的“前向．后向”变量，给出了改进的“前向．后向”算法．通过一个实例对所提出的方法进行评价与验证．实验结果表明，基于AR—HSMM的设备健康诊断和性能衰退预测新方法是有效的．     

基于多活性代理的复杂信息系统研究

文中在系统理论指导下分析了信息系统（特别是在激烈对抗环境下，需要多种功能动态运筹发挥作用的复杂信息系统）的特点，提出了基于多活性代理的复杂信息系统研究方法．首先，给出了多活性代理方法的基本描述，初步得到了代理的“活性”表征及丧失的定性定量描述与分析，并从系统功能发挥剖面给出了多活性代理的基本动力学表征；其次，从系统自组织功能剖面给出了活性自组织机理的两集合模型；再次，给出了信息安全与对抗领域多活性代理复杂信息系统构建的功能模型，以及在此模型基础上多活性代理的3层次协商、协调模型；分析了基于Swarm群体结构的多活性代理复杂信息系统的3层次机理模型；最后，通过2个具体实例说明了如何利用多活性代理方法分析信息安全对抗领域复杂信息系统．多活性代理理论的提出将衔接应用基础层和应用层研究，对信息安全与对抗领域复杂信息系统的构建和分析提供基本的研究方法与理论支持．     

具有多故障模式的混杂双设备生产线系统性能分析研究

研究了一个不可靠混杂双设备生产线系统。对此系统而言，每台设备可以出现多种故障模式，并且缓冲区也可能发生故障。在离散模型的基础上，分析了系统状态概率的变迁情况，给出了相应的求解方法及算法，探讨并发展了一种评价多故障混杂生产线系统性能的近似解析方法。仿真结果证明了该方法的有效性。     

通用可组合的匿名HASH认证模型

理想函数是通用可组合安全的核心组成部分，但是目前通用可组合安全框架中定义的认证理想函数通过将身份与消息和签名值绑定的方式来实现对身份的认证，没能充分体现出采用其他形式进行匿名认证的特殊需求．受到Marten的启发，文中利用通用可组合安全定义并实现了一种适用于无线网络的匿名Hash认证理想函数，并在此基础上定义了一个具有普遍意义的Hash证书权威模型．定义了匿名Hash认证机制的安全需求和安全概念，并且证明在标准模型（非随机预言机模型）下所提匿名Hash认证机制的安全属性可以通过安全对称加密机制、安全数据签名机制、伪随机函数以及单向无碰撞Hash函数的组合得到保证．考虑到无线网络的特殊限制，以及移动终端设备的有限计算能力，本理想函数主要采用对称密码原语来实现身份认证．     

UC安全的并行可否认认证新方法

可否认认证协议允许认证者向接收者认证某个消息，但是接收者不能向第三方证明该认证消息的来源．在考虑开放的异步多方通信网络环境和自适应的主动攻击者能力的情形下，基于UC（universally composable）安全模型提出了解决并行可否认认证问题的新方法．根据可否认认证协议的安全目标，定义了形式化的并行可否认认证理想函数FCDA，然后，利用可验证平滑投影散列函数构造了一个具体的协议方案，在公共参考串模型中，新的协议方案是可证明UC安全的，即新方法能够保证可否认认证协议的不同实例在并行复合情形下是安全的，当与其他协议同时运行时具有非延展性．为了实现可否认认证的前向可否认性，新方法基于陷门承诺构造了新的投影密钥函数和可验证平滑投影散列函数，基于证人不可区分，协议的安全性可以归约为确定性复合剩余假设，改善了协议的计算效率和通信效率．     

公平交换协议的一个形式化模型

基于对现有公平交换协议的研究，使用求精过程建立了精确的形式化结构模型，在这一过程中，使用不可靠信道模拟攻击行为．模型首次给出了交换项的形式化定义，提出的公平性、可追究性目标能够更加完整地反映公平交换协议的内在要求．为了能高效而又细致地对协议进行检测、证明和设计，模型提出了适用于所有公平交换协议的不可滥用性的新性质，给出了第三方可信赖串的定义和设计安全高效的公平交换协议的一般准则．文中通过一个典型的公平交换协议分析实例，阐明了使用该模型分析公平交换协议的详细步骤．发现了一种过去从未发现过的新攻击，给出了攻击发生时系统运行的全过程，深刻揭示了攻击发生的各种原因．最后，对有缺陷的协议进行了改进，改进后的协议满足所需要的各种性质．     

基于随机时间自动机和统计模型检验技术的无线传感网络协议建模与分析

近年来，传感器技术得到了长足而有效的提升，无线传感网络（WSN）以其开放、动态的特征获得了极大的关注，并成为了互联网计算的一个重要组成．WSN系统行为复杂，经常面临信息丢失、节点动态变化等不确定因素，且网络中的节点一旦部署将很难更改、维护．因此，为了保证相关应用的正常工作，在系统设计阶段对WSN中的底层协议进行质量保障就成为了一项非常重要的研究问题．系统设计人员不仅需要保证协议功能上的正确性，还应该评估协议在目标工作环境下的性能，以保证其可以胜任相应的工作需求．针对以上问题，本文提出了一种基于随机时间自动机和统计模型检验技术的WSN协议建模、分析和评估途径．在建模阶段，首先将采用时间自动机对协议在理想环境下的基本业务流程进行建模．考虑到WSN系统实际工作中会遇到的各种不确定性因素，将用带权分枝来对模型进行扩展，生成协议的随机时间自动机．在验证阶段，首先采用经典模型检验技术，在理想时间自动机上检验相关功能性质，保证协议工作逻辑的正确性．为评估协议在不同条件下的具体性能，则在随机时间自动机上用统计模型检验技术对其进行数值分析，以进行参数配置、性能预测、协议比较等工作．为展示该途径的可用性及其技术细节，本文对两种著名的WSN时间同步协议，TPSN和FTSP分别进行了完整的建模与评估．