高等级安全操作系统的设计

众多因特网安全事件的发生表明，为了对抗现代计算环境中的安全威胁，来自安全操作系统的支持是必不可少的．基于国内外相关标准的要求，结合安胜高等级安全操作系统v4．0（以下简称为安胜OS）的设计与开发实践，讨论高等级安全操作系统设计中的3个关键问题：安全体系结构、安全模型与隐蔽通道分析．对安全体系结构与3种基本的安全策略模型：机密性模型、完整性模型和特权控制模型的设计原则分别进行了阐述，提出了新的安全体系结构与3个新的安全模型，分别介绍它们的主要特色，以及它们在安胜OS中的实现。 隐蔽通道分析是高等级安全操作系统设计中众所周知的难题，迄今缺乏坚实的理论基础与系统的分析方法．为了解决隐蔽通道分析中存在的基本问题，文中提出了隐蔽通道标识完备性的理论基础、一种通用的隐蔽通道标识框架，以及高效的回溯搜索方法．这些新方法在安胜高等级安全操作系统中的成功实现表明，它们可以简化并加快整个隐蔽通道的分析过程。     

基于DTE技术的完整性保护形式模型

为实现结构化保护级操作系统的完整性保护，本文在深入分析完整性策略的结构和涵义的基础上，提出了基于DTE技术的完整性保护的形式模型；该模型由两部分组成：配置DTE的基本规则和状态迁移模型，前者解决如何设置相应的域和型，后者解决在系统变迁过程中如何维持初始设置获得的安全不变量．模型设置了10个不变量，特别提出了新的处理信息流的不变量，并探讨了与文献中相关不变量的关系．以可操作性很强的方式描述了13个具有良好原子性的迁移规则．随后，证明了相应的安全基本定理．在深入分析文献中现有模型与本模型异同的基础上，探讨了不变量设置的合理性．最后，指出未来要完成的工作，特别，用本模型去分析SELinux的安全性是可能的．     

基于挑战——响应的安全协议分析

安全协议的本质是协议主体采用密码学方法通过挑战一响应来对协议其他方的存在做出判断，同时完成一些数据如会话密钥的协商．大部分国内外现有的分析方法或者采用状态检测等定理证明技术，或者采用认证逻辑等推理技术，存在着分析能力与可操作性之间的矛盾．为了解决这个问题，文中提出一种新的安全协议保密性和关联性的分析方法，该方法基于线空间模型理论给出了协议保密目标和认证目标的形式化定义，采用认证逻辑作为基础分析手段．保密性分析被分解为显式泄密和隐性泄密两种情况，其中隐性泄密分析依赖于关联性的判断，而关联性的分析被总结为Strand的存在关系和参数一致性分析的问题．新的分析方法既具有线空间模型的分析能力，又具有认证逻辑的易用性．     

基于iSCSI协议的远程灾备安全模型研究

本文分析了基于iSCSI协议的灾备模型的特点及其存在的安全隐患。为了解决该模型存在的安全问题，提出了基于iSCSI协议的远程灾备安全模型。其主要设计思想是在传输线路和本地存储网络以及远程灾备网络的接口处设置防火墙．用以提高两个存储网络的抗攻击能力，利用VPN来对传输的数据进行加密，从而保证数据的安全。最后通过实验验证了该模型数据传输的安全性和具有良好的抗攻击能力。     

基于可编程hash函数的短签名

数字签名中的短签名由于其签名长度的优势，特别适用于通信带宽受限的场合．现有的短签名方案大多是随机预言模型下可证明安全的，但是随机预言模型通常被认为过于理想化，现实中没有一种hash函数能够模拟随机预言模型，而少数标准模型下可证安全的短签名方案，一般被认为是低效的或者基于强困难假设，即攻击者被给于一定数量的随机的已解决问题实例，要求去解决一个它自己选择的实例．可编程hash函数fprogrammablehashflmctions，PHF）是一种能模拟随机预言的某些可编程特性的特殊hash函数．可编程hash函数可嵌入到签名的基本构造中，产生标准模型下的短签名．本文利用可编程hash函数设计了一个基于因子分解假设的短签名方案．它具有的优点是：1）签名长度短，只需要一个群上的元素和一个小整数；2）签名和验证计算量小，不需要在签名过程中进行生成素数的运算；3）不需要嵌入变色龙hash函数便可实现标准模型下可证明安全．     

大规模分布式系统中的智能资源管理模型

提出了一个适用于大规模分布式系统的智能资源管理模型。该模型能有效地解决大规模分布式系统中全局状态信息的不完整性、管理策略的单一性等问题，具有自我调节能力，保证了分布式系统始终保持良好的性能。     

基于安全域的安全约束机组组合

鉴于电力系统安全稳定问题日益突出，有必要在电力系统的日前调度，即机组组合中考虑静态电压稳定和暂态稳定等与系统有功调度方式密切相关的安全性约束．然而，由于电力系统暂态稳定等问题本身的复杂性与现有方法的局限性，尚未见到在机组组合中考虑这些约束的相关报道．同时，由于缺少对不同调度方案的安全裕度进行定量评估的手段，至今在制定日前发电计划时难以有效地协调电力系统的经济性与安全性．针对上述问题，以安全域的方法学为基础，建立了一种可同时考虑系统运行经济性与安全性的多目标机组组合模型，首次在电力系统机组组合问题中同时考虑了支路潮流约束、静态电压稳定约束和暂态稳定约束．建立的模型以系统总运行成本、支路传输容量裕度、静态电压稳定裕度和暂态稳定裕度为优化子目标，通过子目标的权值，可以方便的调整对系统运行经济性与安全性的偏好，达到两者的兼顾．以IEEERTS-24节点系统为例，验证了所建立模型的正确性与有效性．     

UC安全的并行可否认认证新方法

可否认认证协议允许认证者向接收者认证某个消息，但是接收者不能向第三方证明该认证消息的来源．在考虑开放的异步多方通信网络环境和自适应的主动攻击者能力的情形下，基于UC（universally composable）安全模型提出了解决并行可否认认证问题的新方法．根据可否认认证协议的安全目标，定义了形式化的并行可否认认证理想函数FCDA，然后，利用可验证平滑投影散列函数构造了一个具体的协议方案，在公共参考串模型中，新的协议方案是可证明UC安全的，即新方法能够保证可否认认证协议的不同实例在并行复合情形下是安全的，当与其他协议同时运行时具有非延展性．为了实现可否认认证的前向可否认性，新方法基于陷门承诺构造了新的投影密钥函数和可验证平滑投影散列函数，基于证人不可区分，协议的安全性可以归约为确定性复合剩余假设，改善了协议的计算效率和通信效率．     

面向网络的操作系统——现状和挑战

操作系统是计算机系统中最为关键的一层系统软件．长期以来,操作系统发展的主线是面向单机,追求更好地发挥计算机硬件的计算能力,同时为上层应用和用户提供更友好易用的接口．随着网络技术的发展,如何更好地支持网络构成了操作系统发展的一个重要辅线．近年来,由于互联网的迅速普及,面向网络的操作系统得到了广泛的关注,并逐渐成为操作系统发展的新主线．为了更好地管理互联网上的分布海量资源,同时为互联网时代的新型应用和服务提供支持,操作系统技术正在产生许多重要的变革．本文简要回顾了操作系统的发展历史,分析了在互联网时代操作系统面临的主要挑战．在总结现有面向网络的操作系统的研究进展的基础上,讨论了其主要特点和未来发展趋势．最后,也介绍了我们在此领域针对网构软件的研发尝试．     

GTD模型联合参数估计与定阶的Bayes方法

将基于Bayes原理的参数估计与定阶方法应用于GTD模型，设计并实现了基于RJ-MCMC方法的GTD模型联合参数估计与定阶算法．该算法利用GTD模型的物理约束先验信息，提高了定阶准确率和参数估计精度，同时较好地解决了GTD模型中的混合参量估计问题．通过仿真数据和电磁散射数据对算法的性能进行分析验证，结果表明，该算法能够得到较好的参数估计和定阶结果，在低信噪比、邻近分量、短数据的情形下，优势更为明显．     

基于时空光滑约束的总变分最小化视频去隔行算法

从隔行视频序列获得高质量图像需要进行去隔行处理．文中针对这一问题提出了一种基于时空光滑约束的总变分最小化视频去隔行算法．它首先应用Bayes公式将去隔行问题转化为一类最优化问题，然后应用图像随机场模型结合时空光滑约束导出优化问题的代价函数，通过变分法得到Euler-Lagrange方程，最后应用凸半二次规整化方法求得最优解．实验结果表明，文中的方法优于一般的去隔行算法．同时提出了两个去隔行方法的评价标准，它们可以定量检验去隔行方法的效果．     

基于D-S理论的分布交互式多传感器联合概率数据互联算法

为了解决杂波环境下利用分布式多传感器系统跟踪多机动目标的问题，提出了一种分布交互式多传感器联合概率数据互联算法,该算法对每个传感器应用交互式联合概率数据互联法滤波，并将模型概率、状态估计等滤波结果送至融合中心．融合中心首先对各目标进行航迹相关判别并应用D-S证据理论对不同传感器关于同一目标的各模型概率进行融合，然后依此模型概率计算各目标状态估计并反馈至各传感器．最后给出了该算法的分析，仿真结果表明本算法能够很好地解决杂波环境下多传感器多机动目标的跟踪问题．     

计算网格环境下基于多址协同的作业级任务调度算法

计算网格下多管理域机群互连为作业级任务协同调度创造了机遇，同时在协同性、异构适应性、网络适应性和算法可扩展性方面对传统的作业调度模型与算法提出了新的挑战．通过引入网格环境下作业级多址任务调度模型与性能模型，提出多址任务协同调度算法框架．以最优和贪心资源选择策略为核心，提出两种作业级多址协同调度算法．同Sabin与Yahyapour等人提出的单址与多址协同算法进行实验对比，验证了调度模型与算法的有效性与先进性．     

悬沙运动方程及其近底泥沙通量

悬沙运动方程及其近底泥沙通量是不平衡输沙研究的关键问题之一．从给出二维悬沙运动方程的推导出发,阐明近底泥沙通量的物理本质为悬沙运动方程的底部边界条件．分析研究了常用的挟沙力和切应力方法的内在联系,指出从物理意义和形式上两者的一致性,从理论上统一了挟沙力和切应力两种方法．同时在对近底泥沙通量表达式比较分析的基础上,总结了几个需要关注的问题,为研究和解决悬沙运动及近底水沙交换问题提供了一种解决思路．     

考虑裂尖点的三角单元劈裂法

在模拟固体断裂,尤其是固体中含有较多初始裂纹时,如何有效地处理裂纹和网格划分是一个关键问题．三角单元劈裂法（TEPM）是处理该问题的一种有效方法．在网格划分时,它可以不用考虑裂纹体的几何完整性而直接对裂纹体进行网格划分,然后通过三角单元劈裂技术直接将裂纹的力学性质反映到数值模型中,为裂纹的数值模拟带来了极大的方便．目前,已有的TEPM虽然已经考虑了劈裂单元的块体变形问题,但还没有考虑裂纹尖点问题,由此所产生的误差将随着单元尺寸的增大而显著增大．为了解决这一问题,通过移动最小二乘法将裂纹尖点的位移与其邻域内实结点位移建立了联系,从而能更精确地再现裂纹周边的位移场．数值分析表明,这种考虑裂尖点的TEPM在不用重新划分网格的基础上与传统有限单元法计算精度基本一致,使TEPM摆脱了单元尺寸的限制．TEPM与扩展有限单元法（XFEM）的主要区别在于,TEPM不用处理位移的非连续性问题,也不用结点富集插值技术（Node enrichment）,同时也没有引入额外的自由度,实现过程更为简单．     

单步延迟无序量测滤波算法的最优性分析

不同的通信时间延迟和量测预处理时间，导致在实际的集中式多传感器融合跟踪系统中，常会出现多传感器量测数据不能按正常时序到达中心处理器的无序量测（OOSM）现象，中心处理器处理这类无序量测数据时将遇到负时间更新问题．针对单步延迟无序量测更新问题，从理论上分析了Bar-Shalom提出的A1算法的最优性，指出其最优性与过程噪声的离散化模型有关，证明A1算法在过程噪声直接离散化模型（DDM）下不是最优的，它仅是过程噪声连续离散化模型（DCM）下的最优滤波算法．提出了DDM条件下的一种改进算法，它能获得比A1算法更高的无序量测滤波精度．提出了一种与过程噪声离散化模型无关的最优无序量测滤波算法，此算法在两种过程噪声离散化模型下都能达到有序量测处理时的滤波精度．对两个新算法的滤波性能进行了理论分析，采用Monte Carlo计算机仿真实验比较了新算法和有序量测处理时的滤波结果，验证了新算法的有效性．     

集成建模环境研究及其在黑河流域的初步应用

环境和水问题是跨学科问题，解决这些问题需要集成多学科模型．建模环境提供了有效的模型集成技术手段．现有建模环境由于技术设计和学科侧重点的原因，无法满足当前的需求，比如无法集成知识系统形成智能建模环境．本文建立了用于水文和地表过程领域的建模环境，采用高效灵活的模块控制和数据传递机制，实现了灵活的模块重用性和扩展性．本文介绍了本建模环境的体系结构、模块组件化表示、模块控制和数据传递、模块连接和重用等关键技术．最后，作为一个应用实例，在建模环境的支持下使用Noah陆面过程模型的蒸散发模块替换了TOPMODEL的蒸发模块，演示了基于建模环境的模型集成和模型比较是高效、可靠、有意义的．     

通用可组合的匿名HASH认证模型

理想函数是通用可组合安全的核心组成部分，但是目前通用可组合安全框架中定义的认证理想函数通过将身份与消息和签名值绑定的方式来实现对身份的认证，没能充分体现出采用其他形式进行匿名认证的特殊需求．受到Marten的启发，文中利用通用可组合安全定义并实现了一种适用于无线网络的匿名Hash认证理想函数，并在此基础上定义了一个具有普遍意义的Hash证书权威模型．定义了匿名Hash认证机制的安全需求和安全概念，并且证明在标准模型（非随机预言机模型）下所提匿名Hash认证机制的安全属性可以通过安全对称加密机制、安全数据签名机制、伪随机函数以及单向无碰撞Hash函数的组合得到保证．考虑到无线网络的特殊限制，以及移动终端设备的有限计算能力，本理想函数主要采用对称密码原语来实现身份认证．     

基于知识发现创新技术的专家系统新构造

为解决“知识匮乏”这一专家系统中的瓶颈问题，提出了基于数据库与知识库协同机制的综合过程模型KD（D＆K）及其相关的创新技术，进而提出了基于知识发现的专家系统ESKD新构造．作为ESKD的核心知识获取构件KD（D＆K）由KDD＊和KDK＊两部分组成，对基于双库协同机制的KDD＊过程模型和基于双基融合机制的KDK＊过程模型分别做了介绍；给出了ESKD的总体框架；并讨论了ESKD的一些子系统和动态知识库系统；最后，在农业真实数据库上验证了ESKD的有效性和先进性．ESKD有望把专家系统推向新阶段．     

岩石节理法向加载非线性变形本构模型研究

鉴于节理法向变形的经典指数模型和双曲线（BB）模型的中应力水平加载阶段变形与部分试验结果存在偏离的不足，采用柔度变形法建立了节理法向加载非线性变形的新本构模型．讨论了节理在法向单调加载条件下变形基本规律，提出了完备的节理法向本构方程应满足的3个基本条件．分析指出基于应力变形坐标系的节理法向本构改进模型：统一指数模型和改进双曲线模型在数学上均是不完备的．选择柔度变形（Cn-u）坐标下介于双曲线和经典指数2种传统模型之间的单调递减柔度变形曲线，使其满足法向变形基本条件，建立了节理法向变形本构三参数模型．分析柔度变形曲线存在的两类主要形式，推导了节理法向变形g-δ本构模型和g-λ构模型的具体数学表达形式，并初步分析了模型参数的取值范围及其相关地质影响因素．引用已有不同岩石节理法向变形试验数据，对2种本构模型验证分析表明：g-λ型既可以适用于耦合节理法向变形又适用于非耦合节理法向变形，同时提出的节理法向变形譬．碳型较BB模型、经典指数模型及对数模型能更好地与试验结果吻合．