形式模型

形式模型（共8篇）

形式模型 篇1

一、CHAM形式化模型特点

CHAM形式化模型以代数演算的方式研究通信并发系统, 将进程看作是代标号的变迁系统, 迁移的规则是以句法重新安排的方式来反映状态信息的变化过程。

1. CHAM形式化模型结构。

CHAM形式化模型最初是由Berry和Boudol开发研制的, 它建立在化学隐喻的基础上。CHAM形式化模型中的各个结构都可以利用化学概念来描述, CHAM形式化模型主要包括分子 (Molecules) 、溶液 (Solutions) 以及膜 (Membrane) 结构。

(1) 分子。分子是组成CHAM形式化模型的进本元素, 由进程代数理论可知, 子结构主要是由一些基本常量和操作细节所组成, 分别用m1, m2, …, mn来表示。

(2) 溶液。溶液是多分子的集合体, 可以表示为S=m1, m2, …, mn, 而且有多个溶液组成的一个较大型的溶液还可以表示为S∪S′=m1, m2, …, mn, m1′, m2′, …, mn′, 在CHAM形式化模型中溶液可以定义为一个状态信息。

(3) 膜结构。膜结构是对CHAM形式化模型的各种结构进行封包分层细化, 可以表示为{︱.︱}, 利用膜结构可以将不同溶液进行封包, 此时就可以将被封装的溶液看作是一个单一分子, 即为{︱S=m1, m2, …, mn︱}。而且膜结构还具有一定的选择透过性, 即通过膜上的气孔, 对分子的进入和离开进行选择, 这一过程可以表示为S′=mi{︱m1, m2, …, mn︱}。

2. CHAM形式化模型迁移规律。

分为一般反应和特定反应两大类。一般反应是对所有的CHAM形式化模型描述的软件体系结构都有效, 没有任何限制;特定反应只是针对某一具体的CHAM形式化模型进行描述, 是一种无任何前置条件的基本项重写规则。

二、CHAM软件连接形式化模型的设计与实现

1. CHAM形式化模型的构建元素。包括处理元素、数据元素、连接元素、膜元素四种基本构件元素。

(1) 处理元素。处理元素可以表示为分子结构, 具体是指具有一定功能的逻辑处理对象或者单元, 在进行软件体系结构描述的过程中也可以代表软件的构件单元。CHAM形式化模型的处理元素主要是由接口描述以及状态定义两大部分构成。其中接口描述包括一组说明处理元素与外部环境交互的端口, 而状态定义则是用来描述软件的构件单元的当前状态。

(2) 数据元素。数据元素主要包括进行软件结构描述所使用和变化的信息, 通常, 数据元素用依附在处理元素的红色和蓝色三角形来表示;红色三角形代表从处理元素中输入的数据元素, 而蓝色三角形则代表从处理元素输出的数据元素。

(3) 连接元素。连接元素的主要作用是将体系结构中的各个成分连接在一起。例如, 在不同处理元素之间进出的有效通讯元素就属于连接元素。而且每一个连接元素都具有连接不同处理元素之间的交互条件, 也就是CHAM形式化模型中的反应规则, 一般情况下用圆圈表示连接元素。

(4) 膜元素。膜元素是由一些处理元素和连接元素根据行对应的要求组合而成的, 可以通过膜上的气孔实现处理元素的输出与输入。

2. CHAM形式化模型的实现。

CHAM形式化模型的实现主要应用Java语言, 在NIST/ECMA环境集成的参考模型来构建。建模过程包括指图形视图和文本视图两大部分, 图形视图和文本视图建立在同一数据模型的基础上。先以Shape基类为根节点, 然后派生出Process类、Date类、Membrane类、Por类数据模型。通过面向对象语言的多态性等特征, 就可以将一些例如绘制、移动以积分放缩等相同的操作或者函数归于同一基类中。再根据DRTSADL的语法建立数据模型元素间的树形结构, 通过这种树形结构在方便实现数据模型元素导航的同时也更有利于Java序列化存储。使用CHAM形式化模型的基本建模元素设计软件体系结构图, 并且在构图的同时还可以进行模型语义一致性检查等工作。在设计软件体系结构图功能时, 使用了职责链设计模式, 即在加入其他新建模元素类时, 不会对原先的系统造成任何影响。文本视图建模主要包括程序理解以及信息浏览两大功能, 程序理解部分主要是由软件架构师根据图形建模生成的或者手工编写的CHAM形式化模型的描述并最终生成CHAM形式化模型的层次结构。源文件的浏览显示CHAM形式化模型的文件内容, 包括关键字、操作符等内容。另外, 由于图形视图和文本视图建立在同一数据模型的基础上, 因此更有利于两者间的数据转换。从软件体系结构图生成CHAM形式化模型的文本的过程来分析, 两者之间的数据交换主要是按照CHAM形式化模型的语法结构, 直接从数据模型中抽取文本, 属于一个正向的过程。而从CHAM形式化模型的文本产生软件体系结构图则属于一个逆向过程, 因为文本视图所映射的数据模型知识和图形视图所映射的数据模型子集不包含图形视图的布局信息, 需要通过软件结构配置语义生成对应的布局信息, 并且要确保布局的合理性以及有效性。

三、结论

随着软件技术的快速发展, 各行各业对于软件的使用和依赖性越来越高, CHAM软件是一款专门用来描述各类软件系统动态行为的一种工具, 广泛应用于各类软件的体系结构及行为的描述和分析。本文, 笔者以CHAM形式化模型为主要研究对象, 重点介绍了CHAM形式化模型的特点以及CHAM软件构建形式化模型的主要工作原理, 并且详细分析了该模型的设计与实现, 对建立系统、完善的计算机软件质量评价体系具有一定的指导意义。

形式模型 篇2

具有一般形式饱和接触率SEIS模型的周期解

利用重合度的延拓定理,导出了具有一般形式饱和接触率SEIS模型周期解的存在性准则.

作 者：艾丽华 吴新民 AI Li-hua WU Xin-min 作者单位：邵阳学院,数学系,湖南,邵阳,42刊 名：生物数学学报 ISTIC PKU英文刊名：JOURNAL OF BIOMATHEMATICS年，卷(期)：23(2)分类号：O175.12关键词：流行病数学模型 周期解 拓扑度

间接计算模型和间接形式化方法 篇3

本文旨在从人机交互界面与协同计算程序结合而构成协同智能计算系统的角度,论述了一种间接计算模型和间接形式化方法结合所支持的优化云计算技术原理。图灵可计算理论[1]、克莱尼字符串形式理论[2]、冯诺依曼数字计算机体系结构[3]和图灵人工智能判定假设[4]等前人理论研究成果,是本研究的基础。间接计算模型提供的一系列好算法+间接形式化方法提供的最优化数据结构=孪生图灵机虚拟的计算程序。首先,它是对图灵可计算数在计算目标域的收敛,进而,它是对计算复杂性之NP完全问题[5]在其如何实现由P到NP深化理解和怎样实现由NP到P简化表达的双重转化过程中所涉及转化限制条件的揭示,之后,采用大、小字符串兼容的间接形式化途径,不仅是对克莱尼小字符串形式理论的优化改进,而且,还可扩展到字符串以外的处理,涉及:字、式、图、表、音、像、立体、活体等多媒体形式,以中文信息数据处理为例来介绍协同智能计算系统基本设计构想[6]。其意义是该成果有利于从数据中心[7]到知识中心[8]优化现有的云计算[9]。

1 从宏观、微观和中观三个角度进行探索

基因文本及其系统工程蓝图、理想分类集与信息基本定律,分别从宏观、微观和中观三个角度,对文本基因及其表现形式或可能的人机交互界面、数据结构及其表现形式或可能的分合机理、形式信息及其内在原理或可能的变换法则三个方面进行必要的理论探索,从而奠定本研究的认知前提或思考范式。

1.1 以汉字汉语为例描述基因文本及其系统工程蓝图

本文均限定在基因文本及其系统工程蓝图[10]这一既可间接计算又可间接形式化表达因而更加易于自然语言处理与理解的文本基因及其表现形式或可能的人机交互界面的范围来讨论。

由图1可见,汉字汉语有两类基因文本,即可视为子全域元素的汉字基本笔画和汉语单音节字,其特征是可且易枚举,这是简单的基础文本;可视为超子域元组的汉字及偏旁部首和汉语的言即字及语即各级字组(繁杂的衍生文本),其特征是经过理想分类之后放在孪生图灵机双列表中不仅可能而且容易进行有针对性地搜索。试问:笔者凭什么能够这么说呢?

这是因为图1所述的与优化数据结构和好算法配套而组成的文本基因系统工程蓝图告诉了我们这样几个道理:它揭示了“文本全域=子全域+超子域”涉及“目标域=已知域+未知域”这样的优化数据结构,并指明了“未知域=目标域-已知域”这样的可导向很好算法的收敛策略。前一个公式描述的是理想分类集,后两个公式描述的是广义和狭义的信息方程。

其中,根据{基本笔画}可构造{各类偏旁部首}进而可构造{单音节字},根据{单音节字}可构造{各级字组}。该两类汉语文本基因及其构造原理,结合下述理想分类集(图2)、信息基本定律(图3)和孪生图灵机(图4),便可以导出一套高效处理图1所述基因文本及衍生文本的协同智能计算系统方略。

下面介绍理想分类集[11]及其蕴含的信息基本定律以及如何通过细分最优化数据结构而可导出形式信息处理的最佳方略。

1.2 以二进制数为例描述理想分类集

由图2可见,笔者对Σ*={ε,0,1,00,01,10,11,000,001,010,011,…}所做的理想分类:单一集合、分层集合、标志集合以及原先不做这样细分的杂多集合(即Σ*)。笔者以二进制数为例这样来描述理想分类集,不仅可揭示其中蕴含的信息基本命题,而且,还可通过这种细分为进一步最优化各类数据结构提供一种切实可行的方略,更重要的是:这样论述理想分类集可做到言简意赅,对识别、理解和表达均具有事半功倍的效果。

原理1:最优化理想分类集是把通常的集合进一步区分为两大类型,即:杂多集合与理想集合,其中,前者,包含康托集合与广义集合(即群体,涵盖个体的自然分布或无组织群体、自组织群体和他组织群体);后者,包含单一集合、分层集合和标志集合。可最优化的理想集合是本文探讨的一个研究重点。

定义1:单一集合是只涵盖单一元素的集合。以二进制数为例的单一集合,即:{0,1}。以十进制数为例的单一集合,即:{0,1,2,3,4,5,6,7,8,9}。由其元素的复制和重组而派生的元素组合(简称:元组),因为不超出其单一元素基因文本符号可能的排列组合范围,而仅仅是其基本元素复制和重组所造成的结构变化,且仅仅是复用或重用的数量在总量上的增长或者在基本序位关系上的变换,因此,它被形象地命名为子全域,其特征在于单一集合或子全域的元素的数量确定而不重复,其辖域内元素的顺序和位置(简称:序位关系)均具有唯一守恒的特性。

1.3 以理想分类集为例描述信息基本命题

1.3.1 第一信息基本命题

定理1:子全域元素的“序位关系,唯一守恒”。子全域可作为测量和计算超子域的基准参照系,即:单一集合可规范分层集合的元组进化发展。

定义2:分层集合是基于上述单一集合而通过复制和重组而逐层进化派生的。它决定各个层次的元素构造元组的可能,其特征是进阶层式化。以二进制数为例的分层集合,即:{0,1}、{00,01,10,11}、{000,001,010,011,110,101,100,111}、…。其进化发展阶梯上各个层次形式(简称:进阶层式)包含由单一集合直接复制过来的第一进阶层式,通过其元素及元组的不断复制和重组进而派生出后续第二、第三、第N进阶层式及其元组的进化发展过程,其特征在于分层集合及其元组的序位关系均不重复,各进阶层式及元组不仅数量确定而且其相互之间的序位关系均具唯一性。因而,分层集合的各进阶层式可作为枚举或优化搜索其中蕴含各个成分——元素及元组的应对参照系。

定义3:标志集合,是自然人主体和计算机代理根据特定的目标从单一集合与分层集合中选择设订的范围或领域,又称:目标域。它是自然人主体及其计算机代理协同选订的特定目标范围某些具体的单一集合和相应的分层集合中某些具体的进阶层式所构成的集合。例如,本文介绍的协同智能计算系统选订的{二进制数}、{十进制数}、{英文字母}、{中文笔画}和建立在它们基础之上的或与之配套或与之等价的各类标志集合,如特定年龄段学生必须熟悉的一定数量的{单音节字}以及记录{通用常识}和{专用知识}的进阶层式化{汉语字组}——等价于与之相应的{英语的词与词组},其特征在于标志集合或目标域所涉及的基准参照系是确定的而其应对参照系各个进阶层式是可确定的,尽管其中的未知域元组具有不确定性,但是已知域元组具有确定性,所以,容易选订最优化数据结构和最好算法,从而,可显著地加速目标域内各个进阶层式元组的枚举和搜索的进程。这有利于优化汉语及中文信息处理的双文双语化进程,优化基于统计的机译新策略。

1.3.2 第二信息基本命题

定理2:超子域及其各个进阶层式的元组,含子全域元素,一旦具体的目标域元素及元组出现两个序列的对应数据,无论它们属于已知域,还是未知域,只要可做到“同义并列”(含:同意并列)且满足一一对应的函数关系,那就可在不同类型的两个序列的对应数据形式之间做预约的相互转换或彼此替代。

由图3可见描述子全域元素与描述超子域元组虽然均满足特定的序位关系唯一守恒的第一信息基本命题且具有异义排列序趣简美的特征,但是,与第二信息基本命题相比较,则分属两个等级,前者是最基本的,后者在图3所示的一组基本法则中虽然位居第二但与其配套的另外三个法则相比较之所以具有更突出的地位,其原因就在于它所具有的普适性和关键作用。因为,第二信息基本命题是相互转换的基本法则,简称“同义并列、对应转化”法则。代数的恒等变形所依据的是这个法则。生成句法基本公式(即S=NP+VP)所依据的当然也是这个法则。像这类满足第二信息基本命题的例子还很多(1)。如果说单一集合和分层集合共同确定的主要是唯一守恒的序位关系,即:基因文本(2)所记录的可用真值方式来判定其子全域元素以及超子域各个进阶层式及其元组的序位关系,那么,把它称之为广义的基因文本(简称:广义文本(3))记录的本真信息就是表达恰当且可理解的。因为,无论是对未做进一步细分的杂多集合,还是对已做过精细划分的标志集合,在本质上都是基于上述的单一集合和分层集合才能做到更透彻的理解和更恰当的表达。

2 间接计算模型和间接形式化方法的结合

因间接计算模型具有计算机代理与自然人主体之间既可分又可合的分布计算与并行计算的基本特征,加上和与其配套的间接形式化方法一道共同构成的孪生图灵机恰似一个天平,即:左列表id(以自然数顺序代码构成)数据结构类型,就像订制的标准化计量砝码,而与之一一对应的右列表ge(以预留格的位置及其相应)数据结构类型,则像等待被称量的任意个性化物品,在此,所不同的就是天平及其砝码和被称量“物品”是虚拟的。因此,可用天平法则来称谓第二信息基本命题(4)。由此可见,第二信息基本命题是构建孪生图灵机的理论依据。

由图4可见,左边a是由并行的两图灵机组成的一个虚拟的孪生图灵机,中间b和右边c均可视为左边a的等价形式,且各具特征:其中,b描述基于“同义并列、对应转换”法则而建构的天平式计量转换装置,其构造原理由实施例c描述的基于可穷举汉语单音节字的文本符号有限集来说明。遵循定理2而构造的“双列表”经过广义双语文本的理想分类可实现:数与字之间或机与人之间的合理分工与高度协作,故具有可分可合的协同智能计算特征。其运行方式可达到标准化与个性化融为一体的使用效果。图4所示的a、b、c三种基本形式具有一个共同的特点:它们(各类数据的“双列表”)都是由左右对称的虚拟表(VT&L和VT&R)所组成的;而a、b、c三种基本形式又各有其自身独特性:并行计算模型a是纯二进制数设定的可计算数上限;分布计算模型b是左列表十进制数和右列表可计算格之间一一对应关系的体现,以虚拟ge格的形式来进行虚拟计算,进而,可为协同处理不同类型的数据结构提供一系列通用的转换平台;虚拟云计算模型c是左列表十进制数和右列表可间接计算的单音节字之间一一对应关系的体现,是以汉语为例所体现的间接计算模型与间接形式化方法的结合。这就是图4从a到c逐渐收敛的孪生图灵机原理。这样设计的目的在于为最优化数据结构和好算法的选用提供一个协同智能计算系统平台。因为由a到b再到c可计算数的上限是在依次逐步收敛的,最重要的是b和c两类虚拟的孪生图灵机的结合不仅可让间接计算的文本数据有很好的收敛性,而且,还可为算法的优选和数据结构的优化以及进一步为作广义文本的理想分类提供典型实施例。因此,可以说,由间接计算模型和间接形式化方法的结合而成的孪生图灵机是定理2的模型化,其中b模型是抽象的具有普适性的宏观模型,c模型是以汉语为例而展示的具有实用性的微观模型。

引理1(第二信息基本命题形式化:目标域的信息方程):当基准参照系和应对参照系都确定时,其中因为存在“目标域=已知域+未知域”,所以“未知域=目标域-已知域”至少存在分布解,其所指的元组在应对参照系中的序位关系通常是便于枚举或搜索的。实际结果是可由查全率、查准率和重用率及复现率来严格检验衡量。目标域的信息方程可被视为形式化的第二信息基本命题,因为它实质上是天平法则在有限目标域范围内的变换,即在可预知结果(恒等式)的情况下寻找方程式的求解途径。数学表达式Iu=Id-Ik即目标域的狭义信息方程。

3 以汉语处理为例描述协同智能计算系统

下面笔者以中文信息数据结构优化处理为例来介绍实用的虚拟孪生图灵机的一个典型实施例。它是一个典型的协同智能计算系统。其基础和核心是笔者结合中文信息处理的实际需求而构造的一个数据库,它就是基于间接计算模型和间接形式化方法相结合的协同智能计算系统。因良序化数据结构自然蕴含着很好的算法,故汉语的单音节字和由它组合衍生的各级字组,一方面,可发挥计算机处理标准化形式信息自动生成的优越性;另一方面,又可发挥自然人熟悉个性化形式信息处理的习惯,即可从自动采集的数据中进一步遴选出汉语使用者普遍认可的语辞作为解释汉语单音节字即言的各个具体义项的用例字组,作为进一步进行计算机辅助系统自动计算和统计的基础。

由图5可见,左边呈现的是可并行计算的一系列虚拟孪生图灵机,中间呈现的是可且易计算的矩阵(m n)及线性方程组(∑amnxn=bm),而右边呈现的则是已经间接形式化的言(字)和语(字组)及其相互关系。语(字组)此处即辞语(即相当于英语的词和短语或词组)均由言即字逐级组合派生而来。分布函数公式A=(∑nixi)[15]涉及广义集合(A)以及标志集合(nixi)如{单音节字}通过查询以{基本笔画}为例的单一集合可构成以{偏旁部首}为例的分层集合,反之可通过计算机辅助系统获得并统计目标域标志集合的具体标志值和个体数。

以下结合图5对该言和语的关系数据库实例作具体说明:

首先,在图5所示的数据库中,目标域不仅实现了言(字)和语(字组)及其相互关系的间接形式化,而且,可随时进行间接计算,无论是枚举,还是搜索,都非常方便、准确而高效。也就是说,图5所表示的协同智能计算系统,不仅其“检全率”和“检准率”均有质量保证,而且其“重用率”的计算和统计也十分方便、准确和高效。这既是引理1的应用实例,也是可用于对引理1进行验证的实施例。具体操作可在目标域进行。

接着,必须指出该数据库,对于计算机而言,就是一系列标准化的孪生图灵机;对于自然人而言,则主要是数字计算机辅助工具平台。它之所以特殊而可称之为是一种协同智能计算系统的理由主要在于其核心涉及一系列具有协同智能计算本质的虚拟的孪生图灵机,因定理1与定义1以及定理2和定义2与定义3以及引理1的指引或揭示,隐藏在杂多集合中通常是视而不见的三类细分的优化数据结构,以及同时隐藏在一系列左列表之中可说是数学家们早已发现的各类好算法,均可通过一系列虚拟的孪生图灵机原理由“非显而易见”(NP问题只是其特例)转化为“显而易见”(P问题也只是其特例)。这样,笔者对汉语的言(字)和语(字组)的关系进行的间接形式化处理的意义,就能逐步地被习惯于直接借用基于小字符集或小字符串处理的已有各种程序语言表达方式来试图直接把汉语做分词处理的同行们所理解。最后值得提及的两点:I因为,根据以汉语为例的普通语言学和计算语言学两方面的研究成果可以断定:用基于“言本位”的语言科学原理来处理大、小字符集的方式,均可采用孪生图灵机的间接计算模型以及间接形式化方法,故中文数据处理不必再非借用处理小字符集的做法不可。II因为,现有的各种汉语分词方法均不可能做到十分彻底,即所谓分词充其量只可做到接近“标志集合”似的分类,不可能做到“分层集合”那样彻底。

由图6可知,“字、式、图、表、音、像、立体、活体”八类数据均可基于双列表而间接形式化。此类虚拟孪生图灵机具有的(双列)表格化、(左列)数字化、(右列)字组化,就是间接形式化方法及其处理装置所具有的“三化”功能。而在图6中所示的“文”即广义文本,“义”即:孪生图灵机、双列表、序位恒等式协同记录(理解或表达)的序位关系。

4 结论

本文所谓孪生特指间接计算和间接形式化结合具有的孪生特征或基本属性。它刻画“孪生图灵机虚拟计算程序=间接计算模型提供的一系列好算法+间接形式化方法提供的最优化数据结构”的本质属性。其关键步骤:由a到b利用间接计算模型对图灵可计算数在计算目标域内进一步形式化收敛以保证提供一系列好的算法,由b到c对计算复杂性之NP完全问题在其如何实现由P到NP深化理解和怎样实现由NP到P简化表达的双重转化过程中涉及的转化限制条件“N可有可无”的内涵加以揭示,即做间接计算和间接形式化表达。其中,采用大、小字符串兼容的间接形式化方法涉及数据结构的最优化处理,这不仅是对克莱尼字符串形式理论的优化改进,而且还可扩展到小字符串以外的字、式、图、表、音、像、立体、活体等多媒体形式以及广义文本即各类形式信息的计算机辅助处理。

综上所述,可见:间接计算模型可提供目标域内最佳路径或最好算法,间接形式化方法可提供目标域内最优化数据结构,两者结合构成计算机代理(系统)与自然人主体(用户)互动的协同智能计算程序(5),加上基于知识本体的高校学科建设在“教、学、研、用、管”各类活动的支持下而不断优化的人机交互界面,即可获得一个理想的协同智能计算系统。从而可为协同智能计算系统的特例——云计算乃至云端计算及其所涉及的分布计算、并行计算、网格计算,提供一种更高水平的协同智能计算,可实现从数据中心到知识中心的最优化的云计算。(6)

摘要：本文旨在从人机交互界面与协同计算程序结合而构成协同智能计算系统的角度,论述间接计算模型和间接形式化方法结合所支持的优化云计算技术原理。本文在系统回顾图灵可计算理论、克莱尼小字符串形式理论、冯诺依曼数字计算机体系结构和图灵人工智能判定假设等前人理论研究成果对主流数字计算机通用范式影响的基础之上,着重介绍了笔者设计的间接计算模型和大、小字符串兼容的间接形式化理论,并以中文信息数据为例介绍了协同智能计算系统原型的设计构想。其意义是该成果有利于从数据中心到知识中心优化云计算。

SET协议形式化分析与模型检测 篇4

1 模型检测

模型检测[2]是一种用于有限状态并发系统自动验证技术。模型检测,狭义的解释为可以看成是决策程序,如果Kripke结构是一个模态逻辑公式,那么能被检测。模型检验,广义的解释为是一个系统验证算法,是在一个系统模型上操作(语义),而不是一个系统描述(语法)。模型检测的优点为不需要证明、检测速度快、给出反例、局部规约可以进行检测、许多并发特性中,逻辑能很容易表达。

2 AVISPA检测工具

AVISPA工具提供了一套建立和分析协议安全的应用软件。协议用高级协议说明语言HLPSL来建模,以描述协议和协议的安全性质。AVISPA工具的结构:一个HLPSL的说明书用转换器hlpsl2if被转换成中间层IF。IF是一个比HLPSL低级的语言,可以被AVISPA工具的后台直接使用。注意,转换的这一步对用户透明,所以是自动的。协议IF说明书被输入AVISPA的后台,分析是否满足安全的目标。

AVISPA工具有四个后台:OFMC,CL-AtSe,SATMC和TA4SP;IF就是被设计来方便这些后台分析这些输入的语言。而且,这些分析方法是部分互补的而不是等价的,所以,不同的分析方法可能产生不同的分析结果。本协议的检测主要采用后台OFMC,下面对其进行详细概述。

On-the-Fly模型检测器OFMC[3]是在需要驱动的协议分析方法上,建立一个无限树。它用了一些符号表示法来表示状态空间。正是在这样的技术下,OFMC在没有给出具体入侵者能产生的消息的情况下,而高效的检测协议的伪造,和一些会话过程的验证。在现在的版本中,OFMC最显著的特性是用户可以说明在消息项上说明一个代数的理论,来建模协议分析的运行。OFMC还将符号表示法和惰性入侵技术相结合,其运行也需要驱动。

3 SET协议形式化分析与检测

HLPSL是基于角色的语言,SET协议中,有三个基本角色,分别叫做cardholder, m erchant,paym entgatew ay。因篇幅的原因,下面只给出基本角色cardholder的HLPSL代码。

使用AVISPA检测工具的OFMC后台对SET协议进行检测,检测结果如下:

4 结论

本文以SET协议为例,采用高阶协议描述语言HLPSL,不仅对SET协议进行了详尽的描述,并且运用AVISPA工具实现了对其的自动化验证。

AVISPA工具立足于Dolev-Yao模型对描述好的协议来进行验证。通过AVISPA检测SET协议,发现该协议存在重放攻击且不满足秘密性,其实并不安全。这种方法的验证效率和自动化程度很高,它集合了四种不同的验证技术。因此,AVIPSA工具是分析与检测协议的有效工具。

参考文献

[1]薛锐,冯登国.安全协议的形式化分析技术与方法[J].计算机学报,2006.

[2]化志章,吴传孙,揭安全,薛锦云.软件模型检测新技术研究[J].微计算机信息,2007,(36).

形式模型 篇5

脑出血占所有卒中的10%～15%, 动物实验提示最初的机械性损害及占位效应, 血块源性的因素是造成脑出血脑损伤中重要的因素[6]。目前缺乏有效的药物和治疗措施来减轻损伤和促进轴突再生以改善神经功能。本实验旨在研究脑出血后脑组织NgR时间依赖性的变化及表达规律, 为脑出血治疗提供新的时间窗, 提高脑出血后的神经功能恢复。

1 材料与方法

1.1 动物与分组

Wistar大鼠由山西医科大学动物实验中心提供, 活动灵活的200 g～250 g成年大鼠, 分为6组。假手术组及5个脑出血组 (6 h, 24 h, 48 h, 72 h及7d) 。脑出血组大鼠分别于出血后6 h, 24 h, 48 h, 72 h及7 d处死。假手术组大鼠在脑出血6 h后处死。

1.2 脑出血模型

采用自体血三次注血法建立[7]。采用微量注射器从颅骨预先钻好的小孔 (中线旁开2 mm, 前囟前1 mm, 深度5.5 mm) 注入。首先注入20 μL, 停留10 min后, 40 μL血在2 min内缓慢注入, 最后40 μL的血以同样的方式注入, 停留10 min。假手术组造模方法类似, 扎针不注射血。

1.3 免疫组织化学染色

断头取脑后, 将脑组织置于4 ℃ 的4%多聚甲醛中浸泡8 h～12 h, 后经过石蜡包埋。制作5 μm切片进行HE染色和免疫组织化学染色, 采用亲和生物素法的试剂盒。阳性对照:随机抽取多个样本重复证实标志物的存在。阴性对照:采用非免疫的血清代替一抗进行实验。采用BI-2000医学图像系统分析NgR表达情况, 每张切片随机选取10个视野进行OD值的测定。免组织化的程度通过OD值进行半定量分析。

2 结 果

2.1 HE 染色

对照组脑组织正常, 组织形态正常, 细胞结构完整。脑出血6 h有少量的坏死神经元和散在炎性细胞浸润, 炎症细胞浸润在脑出血后24 h逐渐上升, 72 h达到高峰, 并在血肿周围出现胶质细胞和毛细血管增生。在脑出血7 d时, 血肿明显减轻, 血肿周围出现明显胶质和毛细血管增生。

2.2 脑皮质NgR免疫组织学观察

脑出血6 h血肿周围开始出现少量的NgR阳性细胞。阳性表达高于对照组, 平均光密度值高于对照组 (P<0.01) 。之后随着时间的延长, NgR表达在脑出血后 24 h, 48 h, 72 h逐渐增多, 但在7 d时有所降低, 但仍高于 6 h, 24 h 及假手术组。同时, 光密度值也在脑出血后24 h逐渐增高 (P<0.01) , 72 h到达高峰 (P<0.01) , 与对照组相比, 7 d降低。详见图1。

3 讨 论

本实验发现, 大鼠脑组织NgR的表达在脑出血后12 h, 24 h, 48 h, 72 h呈时间依赖性上调。脑组织NgR的表达形式与脑组织急性期损伤程度变化相一致。 在实验动物脑出血模型中, 脑出血周围组织在没有出现脱髓鞘的情况下, 出现了轴突损害[8]。在本实验中, NgR作为中枢神经系统受损后抑制轴突再生的重要因素, 在手术后72 h表达最高。说明NgR可能在脑出血早期参与了轴突损害过程。脑出血后NgR表达形式局灶性脑梗死脑组织NgR的表达情况不同, 这可能与脑出血后凝血级联以及红细胞破裂后的产物有关[6]。

NgR的发现以及其在中枢神经系统突起再生中的抑制性作用促使人们对其进行了大量的研究。近些年, 人们试图通过多种方法从基因水平, 蛋白水平对NgR干预以促进轴突的再生。在离体及在体实验中均发现应用抗NgR的DNA疫苗可以明显促进脊髓损伤后的轴突再生[9]。 通过皮下注射NgR拮抗肽NEP1-40促进脊髓损伤患者轴突的重塑[10]。侧脑室给予NgR受体拮抗剂, 可以明显提高小鼠脑梗死模型轴突的可塑性, 从而促进神经功能恢复[11]。这些研究在进一步证实NgR作用的同时为中枢神经系统损害治疗提供了新的治疗措施。但是新的治疗方法需要不断完善以治疗脑出血后神经功能的恶化。本实验发现脑出血后12 h NgR在脑白质表达逐渐上调, 在72 h达到高峰, 7 d时开下降。此研究结果将为采用NgR抗体治疗脑出血促进神经功能恢复提供切实有效的时间窗。

摘要：目的 观察大鼠脑出血后不同时间点脑组织NgR (Nogo-66 Receptor) 的表达情况。方法 大鼠断尾取血100μL, 分3次注入大脑尾状核, 分别于手术后6 h2、4 h、48 h、72 h和7 d处死动物。采用免疫组织化学方法检测脑组织NgR的表达变化。结果 与假手术组相比较, 脑出血后6 h, NgR表达增高 (P<0.01) , 72 h达到高峰 (P<0.0 1) , 7 d后降低但仍然高于假手术组 (P<0.01) 。结论 NgR的上调是脑出血的重要特征之一, 并且在脑组织的病理损害过程中起着重要作用。

形式模型 篇6

随着大学生招生人数的剧烈增加与就业困难的矛盾日益突出, 人不能尽其才、学不能尽其用的现象更加尖锐。因此, 我国很多的学者和专家对中国教育的发展和效益问题进行了思考和研究。

中国高等教育管理专业委员会常务副秘书长王保华认为, 有效利用教育资源, 首先要重建高等教育的评价制度。目前评价体系是单一的, 其评价主体主要是政府, 评价标准只以研究性大学为标准评价所有学校, 评价指向只作为是否授予学位点及拨款的因素。这种单一的评价标准, 已经造成了千校一面和人才结构严重失衡。

曾任教育部副部长的全国政协委员周远清认为, 计划体制下很多教育决策往往是一两个人决策, 我国高等教育发展为此付出了极大的代价。发展高等教育必须注重民主和科学决策, 强调以人为本, 要注意规模和效益的关系。

我国经济增长率近几年来始终保持着高水平的增长速度, 其中一部分是靠资本投入和能源消耗驱动的, 而高等教育的发展也有这样的倾向。高等教育的发展不能只看规模和速度, 只有物质量 (招生规模) 的增长而没有价值量 (就业比率) 的增长, 绝不是高质量的发展。而把以人为本真正落实到受教育者身上, 就应该把提高培养质量作为衡量高校发展的重要内涵, 努力实现速度、结构、质量、效益相统一, 与高等教育付出的智力和财力代价相配比。

中国教育部部长周济在第二届中外大学校长论坛闭幕式上说, 社会发展对人才的需求是多样化的, 人的发展对教育的需求也是多样化的。不同的大学要有不同的目标定位。从国家利益看, 中国必须创建若干所世界一流大学, 这是中国高等教育参与国际竞争与合作的需要。但对大多数大学而言, 需要根据自身的历史背景、环境特点、学科特色、资源结构等实际情况, 制定本校发展战略规划, 不能盲目追求“大而全”, 要讲求规模的扩大和教育效益和社会经济效益的提高。

二、高等学校毕业学生就业状况

据最新的数据调查结果显示, 2000—2009年国内高校毕业生人数分别是101万、115万、145万、212万、280万、338万、410万、520万、590万、611万。据统计, 2009年有611万高校毕业生, 加上历年没有就业的人员, 就有超过700万毕业生等待就业。2000—2009年10年间的全国高校总计毕业生是3322万人, 2009年等待就业的人数占10年总毕业生的21.1%。随着用工需求的进一步萎缩, 2009年就业难度会非常大。2000—2008年, 大学生自主创业比率分别为8.9%、9.4%、10.7%、11.3%、12.1%、12.9%、15.40%, 创业的比例一年比一年高。可见在就业难的情况下, 更多的学生选择了自主创业。

由于接受高等教育和掌握现代科学技术人才是一种特殊的生产力资源, 这种人才只有在和资本、设备、技术等生产要素结合时才能发挥其重要的作用, 其投资成本高、效用大;同时这种生产力资源的不可长期储备性及随着时间的延长会降低其使用的寿命, 决定了其发挥作用的特殊时间性和条件性。

而目前大学毕业生就业的现状是:一是毕业多年很难找到工作, 延误了其发挥专业特长的时间, 使其专业知识迅速老化;二是专业不对口, 失去了专业优势, 放弃有专业优势的特长;三是为了就业而降低就业标准, 使花费了大量国家高等教育经费的大学生去从事低文化水平就能胜任的工作, 造成国家大量教育经费的浪费。因此, 寻找合理的高等学校教育投资规模, 确定一个适合国民经济发展的大学招生数量, 从而建立一个有效的财政投资—合理大学数量—合理学生数量—人尽其用—发挥最大经济效益的教育体制是当前高等教育投资中应该考虑的一个主要问题。

三、就业边际效用的经济分析

边际效用法则 (The law of diminishing marginal utility) 也称边际效益递减法则, 是经济学的一个基本概念, 是指在一个以资源作为投入的企业, 单位资源投入对产品产出的效用是不断递减的。即其产出总量是递增的, 但是其二阶倒数为负, 使得其增长速度不断变慢, 最终趋于峰值, 并有可能衰退, 即可变要素的边际产量会递减。当消费者消费某一物品的总数量越来越多时, 其新增加的最后一单位物品的消费所获得的效用 (即边际效用) 通常会呈现越来越少的现象 (递减) , 用数学语言表达:x是自变量, y是因变量, y随x的变化而变化, 随着x值的增加, y的值在不断减小。这就是著名的边际效用递减原理, 也叫做戈森第一法则。

所谓人才的边际效用问题, 是指在我国目前的生产技术条件下、现行的经济运行模式和管理体制下, 通过扩大教育投资的规模, 不断培养和增加高素质人才对整个国民经济运行过程中的供给, 刺激国民经济的迅速发展。但是随着教育投资规模的不断扩大, 人才供给的不断增加, 边际效用规律就会起作用。当人才的供给达到一定量后, 如再扩大人才的供给, 人才的作用将会不断降低, 边际收益下降, 边际成本上升, 最后出现负效用。根据这一规律, 人才的供给必须控制在一定量上, 才能使企业劳动生产率不断提高, 成本降低, 边际收益不断上升。

本文通过对人才边际效用问题的分析, 认为我国高校的扩招问题应结合我国的国情和国力, 注意以下几个问题。

1、加强政府对高等教育规模结构的宏观调控。

不可否认, 高等教育供求总量的失衡, 特别是结构性失衡, 对社会发展会产生许多不利影响。例如, 对高等教育个人需求过旺而导致的实际供给过多, 不仅会带来社会资源的浪费, 更可能会造成劳动力市场上的结构性失业, 也有可能造成社会的不安定。基于这些因素, 没有任何国家的政府会甘冒风险, 听任高等教育总体规模和结构完全自由发展。尤其是在我国, 目前存在着市场失灵的问题。因此, 必须形成一个良好的机制, 使高等教育规模和结构与实际的社会需求相吻合, 确保高等教育在对社会经济发展作出最大贡献的同时尽可能地满足社会需求。

2、建立合理的高等教育发展的层次结构。

在我国的1022所普通高等学校中, 大学、学院就占了590所, 而高等专科学校和职业技术学院只有432所。在高等教育重心偏高的情况下, 许多高校没有办出自己的特色, 盲目攀比, 一味追求升格, 纷纷设置硕士点、博士点。国民经济和社会发展所需要人才的知识水平和专业技能是多层次的, 既要有学识广博精深的高级专门人才, 又要有掌握某一学科基本理论和技能的一般技术人才, 但更多地需要通晓某一专业、有一技之长的技术人员和高级技术工人。如果不切实际地盲目扩大本科教育甚至研究生教育的规模, 会造成人才浪费与人才短缺并存的局面。因此, 当前应该在建设好一批重点大学和重点学科的同时, 调动各方面的办学积极性, 大力发展适合当地经济和社会发展需要的高等职业教育。

3、改革社会用人制度, 缓解社会上对高等教育的一部分虚假需求。

社会上普遍存在盲目追求高学历、忽视实际能力的现象, 造成教育资源和人力资源的巨大浪费, 这对教育过程和教育目标也产生错误导向。只有社会不拘一格选人才, 学校才能真正不拘一格育人才。因此, 应在全社会转变观念, 改革社会用人制度。要依法抓紧制定国家职业技能标准, 明确对各类劳动者的岗位要求。在专业技术职务的评聘中要体现学业证书与实际能力并重的原则, 并为出类拔萃的中青年人才脱颖而出创造条件。应建立国家职业资格协调指导机构, 在全社会实行学业证书与职业资格证书并重的制度, 并加强学业证书与职业资格证书之间的沟通和衔接。

4、认真对待支付能力不同的受教育者的高等教育需求。

对于个人具有较强支付能力的高等教育需求, 要积极引导, 在生源质量达到一定标准的前提下, 努力满足这种需求。另一方面, 为了实现高等教育的平等, 必须实事求是和充分考虑普通家庭的实际教育支付能力, 制定大多数普通家庭能够承受的高等教育收费标准。对于支付能力不足而素质较高的受教育者, 应降低其支付标准, 或通过各种形式比如奖学金、贷学金以及勤工俭学等补足。此外, 要提高受教育者就业后的个人投资回报率。只有充分体现投资与收益的合理性, 才能使人们真正认同个人对教育的投资, 使贷学金的偿还具有可操作的物质基础。

从表1可以看出, 当大学生人数占总人数20%时, 其边际效用最高。当达到70%时, 出现负效用。说明此企业随着大学生人数的不断增加, 高素质人才在企业中所产生的效用是越来越低, 其结果必然是大材小用, 不利于发挥人才的优势, 损伤其工作积极性, 导致企业人才流动频繁, 无法形成稳定的人才结构, 使企业处于一种动荡的状态。

从收入与大学生供给的曲线关系分析图看, 随着大学生这种劳动力供给的不断增加, 其工资收入不断降低。因此可以看出, 大学生这种劳动力, 供给越少时, 工资越高;供给越多时, 工资就下降。

四、高等教育发展与就业方向选择

形式模型 篇7

在开放的互联网环境中进行安全的电子商务交易, 需要保证交易中数据的安全, 识别交易双方的身份, 保护参与各方的隐私和利益。安全电子交易协议SET[1]的出现正是为了解决上述问题, 它是目前已经标准化且被业界广泛接受的一种网际网络信用卡付款机制, 由Visa和MarsterCard两大信用卡组织共同推出并由包括IBM、HP、Microsoft等很多公司的共同协作发展而成。

SET协议分为两个阶段[1]:注册阶段和购买阶段, 注册阶段的主要目的是使参与各方获得由权威机构颁发的证书, 在购买阶段交易过程中表明自己的身份。SET协议的主要目的是确保网上交易所要求的保密性和数据的完整性, 所以参与各方的身份认证显得尤为重要。本文将分析重点放在SET的注册阶段, 同时分析了购买阶段的消息流, 提出入侵者在注册阶段可能的攻击及攻击对协议安全性的影响。

1SET协议的形式化模型

1.1相关符号和格式说明

在本文中所用到的模型符号说明如表1所示。

协议各步骤的描述格式如下:

X→Y[:message], 意为实体X向实体Y发送消息“message”。

1.2SET注册阶段[5,7]

在SET协议中, 每个主体都有自己相应的数字证书, 如持卡人证书、商家证书、支付网关证书、发卡行证书和收单行证书等, 每个主体用证书来标识自己的合法身份, 因此持卡人在向商家发送购物等信息之前必须在CA注册, 只有注册了, 才能以合法的身份向商家等参与交易者发送信息。SET证书的申请与发放都是在网上进行的, 参加网上交易的持卡人、商家和支付网关都必须在自己的计算机里安装一套网上交易专用软件, 这套软件包含了申请证书的功能, 其安装在持卡人方的电子钱包中。

1.2.1 持卡人注册申请证书

持卡人的证书申请过程由3个消息对组成, 如图1所示。

SET协议持卡人申请证书过程的抽象模型:

初始化请求CInitReq C → CA: <C, ChallC1>

初始化响应CInitRes

C ← CA: <SCA (C, ChallC1, CertERCA (CA) ) >

注册表请求CRegFormReq C → CA:<{ (C,

ChallC2, H (PAN) ) }KC1, { (KC1, PAN, H (C, ChallC2) ) }PK${}_{\text{C}\text{A}}^{\text{e}}$>

注册表响应CRegFormRes

C← CA: <SCA (C, ChallC2, ChallCA, RegForm, CertERCA (CA) ) >

持卡者证书请求CCertReq C → CA: <{ ( m1, SOC (m1, PAN, CardSecret) ) }KC3, { (K C3, PAN, CardSecret) }PK${}_{\text{C}\text{A}}^{\text{e}}$where m1 =C, ChallC3, CRF, KC2, PKC>

持卡者证书响应CCertRes

C←CA: <{SCA (m2, CertSCA (C) , CertSRCA (CA) ) } KC2 where m2=C, ChallC3, CA, NonceCCA>

SET协议持卡人申请证书过程的模型描述:

(1) 初始化请求CinitReq

持卡人启动电子钱包, 向CA发送初始化请求以获得CA的公钥证书。CA的公钥证书用于加密持卡人注册表请求中的信用卡帐号信息。初始化请求主要包括本地标识符和消息随机数。

(2) 初始化响应CinitRes

CA接收到初始化请求。根据应答要求产生响应消息和响应消息的消息摘要, 用其签名私钥加密消息摘要来生成数字签名。CA并向持卡人发送响应消息和由根CA签署的公钥证书。

(3) 注册表请求CregFormReq

电子钱包接收到CA应答后, 通过证书信任链回溯到根密钥。电子钱包用CA签名公钥解密其数字签名, 将结果与新产生的响应消息的Hash值比较来验证CA的签名。如果一致, 说明该证书有效, 电子钱包将有效的CA证书保存起来备用。电子钱包发送包含持卡人的信用卡卡号 (PAN) 和新随机数的注册表请求信息, 用一个随机产生的对称加密密钥 (KC1) 加密注册表请求消息, 将其连同持卡人的帐号一起用CA的公钥加密。加密算法和哈希函数确保了请求信息的安全和完整。电子钱包把加密的注册表请求消息传输给CA。

(4) 注册表响应CRegFormRes

CA接收到持卡人的消息后, 用CA的私钥解密获得持卡人帐号和对称加密密钥 (KC1) , 然后用对称密钥 (KC1) 解密注册表请求。CA根据持卡人帐号信息识别发卡行并选择适当的注册表, 产生注册表的消息摘要, 然后用自己的私钥生成数字签名。CA将注册表、CA证书和响应消息发送给持卡人。

(5) 持卡者证书请求CCertReq

电子钱包接收到注册表并通过证书信任链校验CA身份。电子钱包用CA的签名公钥来解密CA的签名并将结果与新生成的注册表的Hash值比较验证CA的签名。电子钱包生成一对签名密钥:公共签名密钥和私人签名密钥。持卡人填写注册表 (包括持卡人姓名、有效期、账单地址等) , 电子钱包生成证书请求。电子钱包将证书请求、持卡人的签名公钥和新生成的对称密钥 (KC2) 一起组成信息, 生成证书请求的消息摘要, 然后用持卡人的签名私钥对消息摘要进行加密来创建数字签名。电子钱包用随机生成的对称密钥 (KC3) 来加密信息, 然后用CA公钥来加密这个对称密钥和持卡人的帐号信息。电子钱包将加密的证书请求信息发送给CA。

(6) 持卡者证书响应CCertRes

CA用自己的私钥打开数字信封获得对称密钥 (KC3) 、持卡人的帐号信息和由电子钱包产生的随机数, 然后用解密出的对称密钥 (KC3) 解密出证书请求。CA再用持卡人的签名公钥解密出持卡人的数字签名, 并将结果与新生成的证书请求的Hash值进行比较, 来验证持卡人的签名。CA用持卡人的帐号信息和注册表上的信息验证其与证书请求信息是否一致。CA通过持卡人帐号向相应发卡行校验持卡人注册信息, 校验完毕后, CA生成持卡人证书, 并用CA签名私钥对证书进行签名。CA生成证书响应, 及响应消息摘要, 然后用CA签名私钥加密来创建数字签名。CA用来自持卡人请求中的密钥 (KC2) 加密证书响应, 最后CA将证书响应传送给持卡人。

持卡人接收证书后, 电子钱包通过反转信任链至根密钥, 认证CA证书, 并用对称密钥 (KC2) 解密证书响应, 用CA的签名公钥解密CA签名, 并将结果与新生成的证书响应的Hash值进行比较, 以认证CA签名。最后电子钱包将证书和来自证书响应的消息存储起来, 以备后用。

1.2.2 商家和支付网关注册申请证书

商家和支付网关注册协议比持卡人注册协议简单一些, 因为过程中没有包含像持卡人私人账号一样的敏感信息。商家或支付网关 (EE) 选择两个私钥, 用来签名和加密, 并登记他们相应的公钥。整个过程的抽象模型:

初始化请求InitReq EE →CA:<EE, ChallEE1, EEFinancialIDs>

初始化响应InitRes EE←CA:

<SCA (EE, ChallEE1, ChallCA, RegForm, CertERCA (CA) ) >

证书请求CertReq EE ← CA: <{SEE (EE, ChallEE2, ChallCA, EEFinancialIDs, CRF, PK${}_{\text{E}\text{E}}^{\text{s}}$, PK${}_{\text{E}\text{E}}^{\text{e}}$) }KEE, {KEE1}PK${}_{\text{C}\text{A}}^{\text{e}}$>

证书响应CertRes EE←CA:

<SCA (EE, ChallEE2, CA, CertSCA (EE) , CertECA (EE) ) >

EE端软件发送本地标识符 (EE) 、消息随机数和金融标号 (EEFinancialIDs) 给CA。CA向EE发送响应消息和由根CA签署的公钥证书以及根据金融标号确定的注册表 (RF) 。EE端软件产生两对密钥对 (用来签名和加密) , 将签名公钥和加密公钥以及完成后的注册表 (CRF) 回送给CA。这里使用加密算法和哈希变换确保发送信息的安全和完整。CA将完成后的注册表发给银行确认详细信息, 若被通过, CA签署包括EE的签名公钥和MerID (银行为商家分配的身份标识号) 的证书。

1.3SET购买阶段[6,9]

购买阶段的参与方是持卡人、商家和支付网关, 持卡人和商家对商品描述 (OrderDesc) 和购买数目 (PurchAmt) 达成一致后, 购买阶段就开始了。购买阶段由3个消息对组成, 如图2所示。

SET协议购买阶段的抽象模型:

持卡人初始化请求PInitReq C → M: <LIDC, ChallC>

商家初始化响应PInitRes C ← M: <SM (LIDM, LIDC, XID, ChallC, ChallM, CertECA (PGW) ) >

持卡人购买请求PurchReq C → M: <OI, DualSigned, {PI} PK${}_{\text{Ρ}\text{G}\text{W}}^{\text{e}}$>

OI、PI、DualSign的生成过程[8]:

HOD := H (OrderDesc, PurchAmt)

PIHead := LIDM, LIDC, XID, HOD, PurchAmt, MerID, H (XID, CardSecret)

OIData := LIDM, LIDC, XID, ChallM, ChallC, HOD

PANData := PAN, PANSecret

PIData := PIHead, PANData

DualSign := SOC (H (PIData) , H (OIData) )

PI := PIHead, H (OIData) , PANData

OI := OIData, H (PIData)

OrderDesc为持卡人详细订单说明, PurchAmt为购买订单的总数, PAN为持卡人的信用卡号, PANSecret为持卡人在购买过程中标识自己身份的密码。MerID来自于商家的证书, 是银行为商家分配的身份标识号。商家通过OI中的H (PIData) 验证OI和双重签名。

商家发送授权请求AuthReq

M→PGW:<{SM (AuthReqData, LinkOIPI) } PK${}_{\text{Ρ}\text{G}\text{W},}^{\text{e}}$DualSigned, {PI} PK${}_{\text{Ρ}\text{G}\text{W}}^{\text{e}}$Where AuthReqData = H (OIData) , HOD, LIDM, LIDC, XID, AuthRRTagsand LinkOIPI = H (AuthReqData, DualSigned, {PI} PK${}_{\text{Ρ}\text{G}\text{W}}^{\text{e}}$) >

授权响应AuthRes

M←PGW: <{SPGW (LIDM, LIDC, XID, AuthRRTags, PurchAmt,

AuthCode) } PK${}_{\text{Μ}}^{\text{e}}$>

购买响应PurchRes C ← M: <SM (LIDM, LIDC, XID, ChallC, AuthCode) >

SET协议购买阶段的模型描述:

(1) 持卡人初始化请求PInitReq

电子钱包向商家发送他的本地标识号 (LIDC) 和消息随机 (ChallC) 。

(2) 商家初始化响应PInitRes

商家软件收到初始请求, 为请求报文分配一个唯一的交易标识号 (XID) , 连同支付网关的证书用商家的私人密钥进行数字签名, 发送给持卡人。

(3) 持卡人购买请求PurchReq

电子钱包收到初始化响应并追溯信任链, 确认商家和支付网关的身份, 用商家签名公钥确认初始化响应上商家的签名。电子钱包随后产生订单信息 (OI) 和支付指令 (PI) , 为了使商家不能看到卡信息, 支付网关购买信息, 电子钱包使用了双重签名:持卡人用自己的私钥对支付指令 (PIData) 和购买信息 (OIData) 签名的联合体签名, PIData中包括了PAN, PANSecret, CardSecret等敏感信息来验证持卡人的身份。最后电子钱包对PI用支付网关的公钥加密, 和支付指令、双重签名一起发送给商家。

(4) 商家发送授权请求AuthReq

授权请求中包括来自持卡人的PI和DualSign, H (OIData) 和HOD, 支付网关可以通过H (OIData) 和HOD验证双重签名, 还有授权请求响应标志 (AuthRRTags) , AuthRRTags的作用就是使支付响应消息成对出现, 其中包括MerID和可能被商家银行用到的可选信息。商家软件接收到购买请求, 首先验证双重签名和订购信息, 将付款指令、交易标识和经哈希变换过的订购信息结合起来用商家的公钥生成数字签名, 再用支付网关的公钥加密后发给支付网关。

(5) 授权响应AuthRes

支付网关收到授权请求, 确保商家支付授权请求和持卡人的付款指令之间的一致性, 通过金融网络发送商家支付授权请求给持卡人开户行。如果授权被批准, 支付网关发送从授权请求中复制出AuthRRTags、PurchAmt等信息并用网关的私钥签名, 再将用商家的公钥加密后的授权响应发送给商家。

(6) 购买响应PurchRes

商家软件检验支付网关的签名, 确认ID号和AuthRRTags等信息和授权请求中的信息的一致性, 然后将授权状态发送给持卡人。

2对SET协议的攻击

以上是对SET协议的抽象模型的描述, 本节提出了入侵者可能对SET协议的一个攻击[4]。如果在SET协议的注册阶段没有进行特殊的防范措施, 入侵者可能会伪装成商家或是支付网关, 影响到SET协议购买阶段协议的安全性, 那么真正的商家或支付网关的利益会遭到严重破坏。

在商家和支付网关的注册过程中可以看出, 传输的重要数据就是填入的注册表信息 (CRF) , 如果CRF中的信息是透明的, 入侵者可以冒充商家或支付网关来领取证书, 再利用这个合法的伪造证书去损害其他参与的主体。在SET的规格说明 (SET Secure Electronic Transaction Specification) [1,2,3]中并没有详细说明这个注册表应包括的内容, 而是把定义注册表内容的权力交给了参与方的发卡银行。由此可见, SET协议的安全性已经依赖于其它的主体, 这是其中存在的一个安全隐患。另一个安全隐患在于CRF的加密方式, CRF是通过对称密钥加密方式加密的, 这个密钥又是通过CA公钥加密的, 这就意味着如果CA的公钥泄露了, CRF的内容也就很容易被盗取了。

SET的官方文件没有重视注册表对子协议安全的重要性。假设入侵者猜出或用别的方法得到注册表信息, 就可能导致以下攻击。

I (EE) 表示伪装成EE的入侵者。入侵者截获EE的初始化请求, 得到EE的金融标号 (EEFinancialIDs) , 他利用这个金融标号向CA请求注册表。前面已经假设他已获得注册表中的需填信息, 完成注册表并和金融标号组合起来, 利用自身生成的密钥对, 请求证书。入侵者的证书请求不会让CA感觉他将证书发给了错误的EE。入侵者伪装成商家或支付网关注册证书的攻击过程如下所示:

(1) InitReq EE → CA: EE, ChallEE1, EEFinancialIDs

(1’) InitReq I (EE) → CA: EE, ChallI1, EEFinancialIDs

(2’) InitRes I (EE) ← CA: SCA (EE, ChallI1, ChallCA2, RegForm, CertERCA (CA) )

(3’) CertReq I (EE) ← CA: {SI (EE) (EE, ChallI2, ChallCA2, EEFinancialIDs, CRF, PK${}_{\text{Ι}(\text{E}\text{E})}^{\text{s}}$, PK${}_{\text{Ι}(\text{E}\text{E})}^{\text{e}}$) }KI1, {KI1}PK${}_{\text{C}\text{A}}^{\text{e}}$

(4’) CertRes I (EE) ← CA: SCA (EE, ChallI2, CA, CertSCA (I (EE) ) , CertECA (I (EE) ) )

入侵者利用以上攻击得到合法的伪造证书, 继续参与购买阶段的交易会损害顾客和商家的利益。入侵者进行的非法SET购买阶段如下所示:

(1) PInitReq C → M: LIDC, ChallC

(2) PInitRes C ← M: SM (LIDM, LIDC, XID, ChallC, ChallM, CertECA (I (PGW) ) )

(3) PurchReq C → M: OI, DualSigned, {PI} PK${}_{\text{Ι}(\text{Ρ}\text{G}\text{W})}^{\text{E}}$

(4) AuthReq M → PGW: {SM (AuthReqData, LinkOIPI) } PK${}_{\text{Ρ}\text{G}\text{W},}^{\text{e}}$DualSigned, {PI} PK${}_{\text{Ι}(\text{Ρ}\text{G}\text{W})}^{\text{e}}$Where AuthReqData = H (OIData) , HOD, LIDM, LIDC, XID, AuthRRTags and LinkOIPI = H (AuthReqData, DualSigned, {PI} PK${}_{\text{Ι}(\text{Ρ}\text{G}\text{W})}^{\text{e}}$)

(5) AuthRes M←I (PGW) :{SI (LIDM, LIDC, XID, AuthRRTags, PurchAmt, AuthCode) } PK${}_{\text{Μ}}^{\text{e}}$

(6) PurchRes C ← M: SM (LIDM, LIDC, XID, ChallC, AuthCode)

上例说明了入侵者伪装成支付网关进行的攻击。入侵者将用公钥加密的证书发送给商家, 商家校验证书, 随后在购买初始化时发送给顾客, 顾客检验证书, 利用它加密包括信用卡卡号的付款信息, 入侵者接收到授权请求, 将付款信息解密得到顾客的卡号。他签署伪造的授权响应发送给商家, 使商家相信可以得到付款, 这种攻击损害了顾客和商家的利益, 顾客的卡号被盗, 商家相信自己能得到付款, 但实际整个过程并没有银行参与。

3结语

本文分析了简化的SET协议, 分析了SET协议的注册和购买过程的消息流, 对整个过程建立了形式化模型。指出了SET规格说明中的不完善部分, 分析得知, 其很有可能被入侵者利用来申请非法证书, 进而破坏参与者的隐私和利益。在实现SET的过程中要注意防范此类攻击, 才能有效地保证协议的安全性。

参考文献

[1]MasterCard and VISA.Secure Electronic Transaction (SET) Specifica-tion, Book1:Business Description, version1.0 (1997) [M].http://www.setco.org/set-specifications.html, 1997.

[2]MasterCard and VISA.Secure Electronic Transaction (SET) Specifica-tion, Book2:Programmer’s Guide, version1.0 (1997) [M].http://www.setco.org/set-specifications.html, 1997.

[3]MasterCard and VISA.Secure Electronic Transaction (SET) Specifica-tion, Book3:Formal Protocol Definition, version1.0 (1997) [M].ht-tp://www.setco.org/set-specifications.html, 1997.

[4]Srecko Brlek, Sardaouna Hamadou, John Mullins.Some Remarks on the Certificates Registration ofthe Electronic Commerce Protocol SET[C].International Conference on Internet and Web Applications and Serv-ices/Advanced International Conference (AICT-ICIW'06) , 2006:119-119.

[5]Bella G, Massacci F, Paulson L.Verifying the SET Registration Proto-cols[J].IEEE Journal on Selected Areas in Communications, 2003, 21 (1) :77-87.

[6]Bella G, Massacci F, Paulson L.Verifying the SET Purchase Protocols[J].Journal of Automated Reasoning, 2006, 36 (1) :5-37.

[7]韩宝明, 杜鹏, 刘华.电子商务安全与支付[M].北京:人民邮电出版社, 2001.

[8]Brlek S, Hamadou S, Mullins J.A flawin the electronic commerce pro-tocol SET[J].Information Processing letters, 2006 (97) :104-108.

形式模型 篇8

随着数字化变电站的发展,基于IEC 61850的变电站自动化是一种必然趋势[1]。电网结构日趋复杂、容量不断扩大、实时信息传送量成倍增多,对变电站智能电子设备(IED)提出了更高的要求。新开发的IED必须具备高效快速的处理能力,以满足大量信息传输的实时性、可靠性和多任务性。目前,新型的IED多采用数字信号处理器(DSP)+ARM(advanced RISC machines)双中央处理器(CPU)结构[2],甚至出现了集成多功能的集中式IED[3]。随着硬件可靠性的提高,IED的可靠性越来越依赖嵌入式软件的质量。IEC 61850为变电站内IED之间的互操作提供途径,其应用的关键在于利用标准的模型对实际的IED进行建模,将其功能抽象成若干逻辑节点(LN),以达到信息交换的目的[4]。为了更好地实现分布式功能在IED上的标准化设计,需要事先对各种功能在IED之间和IED内部LN之间的交互关系、系统行为进行严谨描述与验证,以保证分布式功能的正确性[5]。

已有相关文献研究了基于IEC 61850的各种IED的设计开发方法。文献[1]研究了IEC 61850下间隔层IED软件设计方案,分析了IED的功能模型。文献[6]给出了保护功能一般性建模方法,但仍很抽象。文献[7]研究了基于IEC 61850的变压器IED的设计,以模块化的方法设计了IED嵌入式软件。文献[8]基于面向对象的方法对线路电流差动保护IED进行设计。文献[9]依据IEC 61850,建立了牵引变电站线路保护IED的对象模型。文献[10]利用配置文档动态地生成IED的模型。文献[11]研究利用可编程逻辑语言的与门、或门对IED内部的 LN之间关系进行可视化设计,但未能完整地描述和严谨地设计IED之间和IED内部各LN 之间的逻辑关系。电力系统IED是一种系统行为与时间紧密相关的嵌入式系统,其设计、实现与验证比较复杂。已有文献中,IED的开发过程缺乏对系统行为的有效建模,以及在设计阶段对系统关键行为进行分析与检验等方面的研究工作。

通信顺序进程(CSP)[12]是Hoare于1978年建立的一种适合于分布式并发软件规格和设计的形式化方法,已经广泛地应用于软件的行为建模。它以进程的方式刻画系统的动态行为,具有强大的描述能力。已有基于CSP的验证工具——进程分析工具包(PAT)[13]可以对系统中的死锁、活锁、可达性等安全问题进行自动化验证。在CSP基础上加入时间相关操作而形成的一种形式化语言Timed CSP[14],能够对实时的并发系统进行良好的描述。本文采用Timed CSP对IED内各LN的交互关系、系统行为进行描述并验证,进而指导IED的软件设计和互操作测试实验。

1Timed CSP简介

Timed CSP中最基本的概念是事件和时间。通常用小写字母a,b,c或自定义字符串表示事件。事件的序列形成进程,通常用大写字母P,Q或自定义字符串表示。√是一种特殊的事件,表示进程正常终止。时间用字符t或数字表示。

Timed CSP定义的巴克斯范式如下:

P::=stop|skip|wait$t|\text{a}\to \text{Ρ}|\text{a}\stackrel{t}{{\displaystyle \to }}\text{Ρ}|\text{Ρ}$;Q|P□Q|P∏Q|a:$A\stackrel{t}{{\displaystyle \to }}\text{Ρ}{}_{\text{a}}|\text{Ρ}\stackrel{t}{{\displaystyle ⊳}}\text{Q}|\text{Ρ}\text{Δ}\text{Q}|f(\text{Ρ})|\Vert {}_{A{}_{\text{Ρ}}}\text{Ρ}|\text{Ρ}{}_A\Vert {}_B\text{Q}|\text{Ρ}\underset{C}{{\displaystyle \parallel }}\text{Q}|\text{Ρ}|||\text{Q}|\text{Ρ}A|\mu X\cdot F(X)$

上述定义解释如下。

stop:停止,表示一个进程的中断,该进程不与外部发生通信,可表示死锁或进程不收敛。

skip:跳过,表示一个进程除终止外不做任何事情。

wait t:等待,表示进程在时间t后终止,其间不做任何事情。

$\text{a}\stackrel{t}{{\displaystyle \to }}\text{Ρ}$:前缀操作,表示事件a经过时间t执行完后执行进程P。

P;Q:顺序复合,表示进程P执行完后执行进程Q。

P□Q:外部选择,表示执行进程P或Q依赖于进程执行的第1个事件。

P∏Q:内部选择,表示执行进程P或Q由进程内部决定。

a:$A\stackrel{t}{{\displaystyle \to }}\text{Ρ}{}_{\text{a}}$:通道选择输入,a为A中的任一事件,a的类型由通道输入的数据类型决定。

$\text{Ρ}\stackrel{t}{{\displaystyle ⊳}}\text{Q}$:超时,如果时间t内2个进程未发生通信则认为超时,控制权由P交给Q。

PΔQ:中断,Q的任何事件执行都能导致P 的中断。

f(P):换标,f(P)和进程P有着同样的结构,只是P中的事件经过函数f映射为另一个名字。

‖APP:同步并发,P的所有子进程必须执行AP中的所有事件且每一对子进程同步执行它们的事件集合交集上的事件。

PA:集合隐藏,表示不显示进程P中任何属于A的事件。

$\text{Ρ}{}_A\Vert {}_B\text{Q}$:同步并发,P仅能执行A中的事件,Q仅能执行B中的事件,A∩B的事件P与Q同步执行。

$\text{Ρ}\underset{C}{{\displaystyle \parallel }}\text{Q}$:同步并发,P和Q在集合C的事件并发,在其他集合的事件交叉进行。

P|||Q:异步并发,进程所执行的每个事件为进程P或Q中的一个事件。

μX·F(X):X是一个进程变量,A=αX,F(X)称为包含进程变量X的一个前缀表达式,且该递归方程具有事件符号集A上的唯一解。

例如:下文中PTOC:=strop$1\stackrel{t{}_1}{{\displaystyle \to }}\text{s}\text{t}\text{r}\text{o}\text{p}2\stackrel{t{}_2}{{\displaystyle \to }}\text{s}\text{t}\text{r}\stackrel{t{}_3}{{\displaystyle \to }}\text{Ρ}\text{Τ}\text{Ο}\text{C}$就是这种表示法。其中,A={strop1,strop2,str};X为进程变量PTOC;F(X)为前缀表达式strop$1\stackrel{t{}_1}{{\displaystyle \to }}\text{s}\text{t}\text{r}\text{o}\text{p}2\stackrel{t{}_2}{{\displaystyle \to }}\text{s}\text{t}\text{r}\stackrel{t{}_3}{{\displaystyle \to }}\text{Ρ}\text{Τ}\text{Ο}\text{C}$。Timed CSP更详细的操作语义可参见文献[12]。

2 IED逻辑模型与Timed CSP的转换关系

IED是IEC 61850中保护功能的设备载体,LN是最基本的功能单位。对于IED的设计,必须关注它所包含的LN如何正常工作并完成所分配的分布式功能,进一步从全貌和细节角度对分布式功能下各IED之间、IED内部相关LN之间的交互关系进行严谨刻画,从而实现IED程序的标准化设计。

根据IEC 61850,LN间通过逻辑连接(LC)相连,专用于LN间的数据交换。因此,LN之间的交互表现为它们之间的数据交换,即消息传递。将LN定义为进程,与LN有关的消息定义为进程的事件集。IED之间、IED内部相关LN之间的交互关系就是进程之间的交互关系,这种关系即是进程之间消息的传递。LN的输入可表示为从其他LN接收到的消息。每个进程按照自己的行为发送和接收消息,进程之间独立并行地运行。为了利用Timed CSP描述IED逻辑交互模型,需要将IED逻辑模型转换为Timed CSP描述的规格。

根据Timed CSP操作语义及IEC 61850中IED的逻辑节点模型,与本文描述有关的映射关系描述如表1所示。

3 实例分析

3.1 IED交互模型

为了能够清晰地表达出一个分布式功能下各IED之间的关联关系(如信息传递、函数调用、事件触发等)、交互信息(包括调用消息、变化量、事件等信息的内容及其通信要求)、交互发生的先后次序,在IEC 61850-5[15]的基础上,建立定时过电流保护的交互模型如图1所示。

该模型包含的LN有定时过电流保护PTOC、跳闸条件PTRC、断路器XCBR、自动重合闸RREC、扰动记录RDRE、故障记录RFLO、开关控制器CSWI、人机接口IHMI、告警处理CALH等。其中,PTRC用于组合各种跳闸信号,构成一个跳闸信号条件,这里只考虑PTOC这一个跳闸信号。图1中标出的各逻辑节点之间传输信号的时限参考文献[15]。各IED的LN交互过程如下。

1)PTOC检出故障后,使其启动状态Str=1、跳闸状态Op=1,传给PTRC(消息流①),PTRC接收处理后,发出跳闸通用面向对象的变电站事件(GOOSE)报文XCBR.Pos.ctlVal=off 给XCBR和RREC(消息流②),以跳闸和启动重合闸。

2)PTOC将其保护启动信息Str=1,PTRC将其跳闸信息Tr=1分别以报告形式发送给站级的CALH(消息流③和④),同时将其保护启动信息Str=1发送给录波IED中的RDRE和RFLO(消息流⑤),以启动扰动记录。

3)XCBR接收跳闸报文,经附加处理后跳开断路器。当断路器的状态XCBR.Pos.stVal由合变成开时,用GOOSE报文立即发送新状态XCBR.Pos.stVal=off给PTRC和 RREC(消息流⑥)。断路器的变位信息以报告模型报告给测控IED中的CSWI(消息流⑦),CSWI再将此报告传给站级主机的IHMI(消息流⑨)。

4)RREC尝试以不同延时重合已跳开的断路器,发出带值重合闸的GOOSE报文XCBR.Pos.ctlVal=on给XCBR(消息流⑧),发送报告RREC.Op=1给IHMI (消息流⑩)。

5)XCBR接收带值重合闸报文,经处理合上断路器,如果是临时性故障,则断路器合上,送出断路器新状态的GOOSE报文XCBR.Pos.stVal=on给PTRC和RREC(消息流(11))。类似地,产生断路器合上的XCBR到CSWI和CSWI到IHMI的报告(消息流(12)和(13))。

3.2 IED交互模型的形式化描述

根据IED逻辑模型与Timed CSP的转换关系,图1中有9个LN进程,进程名即为LN的名称。LN上的动作(包括发出消息和接收消息)为LN进程的事件集,每个动作的时限即为相应事件规定的完成时间。

事件即为消息名,发送消息与接收消息相同时,用一个事件来表示。2个进程的事件集中有相同的事件,即表明进程存在交互行为。按照Timed CSP中的表示法,图1中相关进程的事件集如表2所示。

各进程的交互行为描述如下。

PTOC::=strop$1\stackrel{t{}_1}{{\displaystyle \to }}\text{s}\text{t}\text{r}\text{o}\text{p}2\stackrel{t{}_2}{{\displaystyle \to }}\text{s}\text{t}\text{r}\stackrel{t{}_3}{{\displaystyle \to }}\text{Ρ}\text{Τ}\text{Ο}\text{C}$

RDRE::=str$\stackrel{t{}_3}{{\displaystyle \to }}\text{R}\text{D}\text{R}\text{E}$

PTRC::=strop$1\stackrel{t{}_1}{{\displaystyle \to }}\text{g}\text{o}\text{o}\text{s}\text{e}\_\text{o}\text{f}\text{f}\stackrel{t{}_4}{{\displaystyle \to }}\text{t}\text{r}\stackrel{t{}_2}{{\displaystyle \to }}\text{Ρ}\text{Τ}\text{R}\text{C}\square$

goose_on_off$\stackrel{t{}_4}{{\displaystyle \to }}\text{Ρ}\text{Τ}\text{R}\text{C}$

XCBR::=goose_off$\stackrel{t{}_4}{{\displaystyle \to }}\text{g}\text{o}\text{o}\text{s}\text{e}\_$off_on$\stackrel{t{}_4}{{\displaystyle \to }}\text{x}\text{c}\text{b}\text{r}\_\text{s}\text{t}\text{v}\text{a}\text{l}\stackrel{t{}_2}{{\displaystyle \to }}\text{X}\text{C}\text{B}\text{R}\square$goose_on$\stackrel{t{}_4}{{\displaystyle \to }}\text{g}\text{o}\text{o}\text{s}\text{e}\_$off_on$\stackrel{t{}_4}{{\displaystyle \to }}$

xcbr_stval$\stackrel{t{}_2}{{\displaystyle \to }}\text{X}\text{C}\text{B}\text{R}$

RREC::=goose_off$\stackrel{t{}_4}{{\displaystyle \to }}\text{g}\text{o}\text{o}\text{s}\text{e}\_\text{o}\text{n}\stackrel{t{}_4}{{\displaystyle \to }}\text{g}\text{o}\text{o}\text{s}\text{e}\_$off_on$\stackrel{t{}_4}{{\displaystyle \to }}\text{o}\text{p}\stackrel{t{}_2}{{\displaystyle \to }}\text{R}\text{R}\text{E}\text{C}$

CSWI::=xcbr_stval$\stackrel{t{}_2}{{\displaystyle \to }}\text{i}\text{h}\text{m}\text{i}\_\text{s}\text{t}\text{v}\text{a}\text{l}\stackrel{t{}_2}{{\displaystyle \to }}\text{C}\text{S}\text{W}\text{Ι}$

CALH::=strop$2\stackrel{t{}_2}{{\displaystyle \to }}\text{t}\text{r}\stackrel{t{}_2}{{\displaystyle \to }}\text{C}\text{A}\text{L}\text{Η}$

IHMI::=op$\stackrel{t{}_2}{{\displaystyle \to }}\text{Ι}\text{Η}\text{Μ}\text{Ι}\square$ihmi_stval$\stackrel{t{}_2}{{\displaystyle \to }}\text{Ι}\text{Η}\text{Μ}\text{Ι}$

其中,t1<0.1 ms,t2<100 ms,t3<1 000 ms,t4<3 ms。

对各LN进程进行同步并行组装,即可完成系统的行为描述。

SYSTEM::=PTOC‖PTRC‖RDRE|XCBR‖CSWI‖RREC‖CALH‖IHMI

3.3 IED交互模型的形式化验证

PAT[13]是由新加坡国立大学开发的基于CSP的模型检测工具,包含CSP模型、实时系统模型、Web服务模型、概率模型等多种模型检测。PAT已被认为是良好的进程代数检测工具,支持可视化模拟、可达性分析、死锁检测等,且仍在不断发展完善。

将3.2节IED交互模型的形式化描述在PAT中进行验证,以0.1 ms为一个计时单元。首先将IED交互模型的形式化描述编辑在PAT主窗口中。编辑窗口中除了模型的描述外,还包括进行验证的断言,如附录A图A1中以#assert开头的语句。然后进行语法检测,以检测描述文本中的语法错误,最后点击“验证”,弹出的验证窗口见附录A图A1。

在附录A图A2的验证窗口中,可以对每一个断言进行验证,验证结果在输出窗口显示,显示的死锁验证结果为“The Assertion (System() deadlockfree) is NOT valid”,可见系统存在死锁。

经检查,RREC进程的描述存在不符合逻辑的情况。RREC接收任何一个消息,都会将其状态以op消息报告给IHMI,这些消息之间的关系是根据接收的不同消息来决定op消息的内容。所以,RREC接收的消息之间的关系应该为外部选择。将RREC的行为描述修正如下:

RREC=goose_off$\stackrel{t{}_4}{{\displaystyle \to }}\text{o}\text{p}\stackrel{t{}_2}{{\displaystyle \to }}\text{R}\text{R}\text{E}\text{C}\square$goose_on$\stackrel{t{}_4}{{\displaystyle \to }}$

$\text{o}\text{p}\stackrel{t{}_2}{{\displaystyle \to }}\text{R}\text{R}\text{E}\text{C}\square$goose_off_on$\stackrel{t{}_4}{{\displaystyle \to }}\text{o}\text{p}\stackrel{t{}_2}{{\displaystyle \to }}\text{R}\text{R}\text{E}\text{C}$

将修正后的描述再进行死锁验证,结果正确。

进行死锁验证的同时,可验证可达性。例如:当PTOC检测到故障时,发出strop1消息,验证XCBR能否在限定的时间内执行goose_off事件。当PTOC检测出故障,在0.1 ms内将故障信息发给PTRC,PTRC接收处理后,发出跳闸GOOSE报文XCBR.Pos.ctlVal=off给XCBR,XCBR跳开断路器。根据文献[15]中关于报文类型和性能的描述,这个过程的时间限为3.1 ms。在PAT中设定一个计数变量x,以0.1 ms为一个计时单元,上述过程的时间限为31个时间单元。时限目标:#define goal x≤31。可达性目标:strop1→<>goose_off。限时可达性目标:strop1→<>goose_off&&goal。验证结果见附录A图A3,输出窗口显示的验证结果为“The Assertion (System()=[]strop1→<>goose_off&&goal) is VALID”,表明断言是合法的,即验证了可达性。如果设置时限目标为#define goal x<40,输出同上面。如果将时限目标设置为:#define goal x<20,则验证结果为“The Assertion (System()=[]strop1→<>goose_off&&goal) is NOT valid”。也可以用同样的方法验证其他消息流的可达性,例如strop1→<>ihmi_stval。这个过程表示PTOC发出strop1给PTRC,PTRC接收后发出goose_off给XCBR,然后XCBR向CSWI报告goose_off_on,CSWI最后向IHMI报告ihmi_stval。以此来说明形式化描述是否真实地反映模型的交互过程。

从上述对IED交互模型的形式化描述及验证可以看出,将IED中LN的交互行为进行形式化描述并进行自动验证,可以在IED软件设计早期及时发现描述中的缺陷,有效地指导IED软件系统的设计并节约开发成本。

4 结语

IEC 61850产品设计仅靠常规的手工建模和编程,会使复杂的IED交互系统中存在隐含的缺陷,并制约系统的工程实施。本文从分布式功能建模和 IED 设计的角度出发,采用进程代数形式化方法描述保护功能下各IED之间和IED内各LN之间的交互模型,并进行自动验证,为基于IEC 61850的IED系统标准化设计提供良好的模型基础和方法,为工程应用提供一定的参考和借鉴,在一定程度上促进设计的规范化并及时发现系统中存在的缺陷,节约开发成本。

附录见本刊网络版(http://aeps.sgepri.sgcc.com.cn/aeps/ch/index.aspx)。

摘要：IEC 61850将变电站智能电子设备(IED)的功能抽象成若干逻辑节点,以达到信息交换的目的。IED及其逻辑节点之间的交互关系复杂,如何正确地设计并实现这种复杂的行为是IEC 61850实施的关键。形式化方法为此提供了良好的途径。提出采用进程代数方法对各种功能在IED之间、IED内部逻辑节点之间的交互关系、系统行为进行严谨地描述并进行自动验证,以保证分布式功能的正确性。以定时过电流保护功能为例,建立了基于IEC 61850的IED交互模型,采用在通信顺序进程(CSP)上加入时间相关操作形成的形式化语言Timed CSP描述其交互功能及系统行为,在验证工具——进程分析工具包(PAT)环境中进行了验证。结果表明,所提出的方法能有效地检测出描述中潜在的缺陷,有利于指导IED交互系统的设计并节约开发成本。