1、引言

信息物理融合系統 （ Cyber - Physical System,CPS） 是一種集成計算、通信與控制功能的新型智能嵌入式系統，系統中計算進程和物理進程在開放環境下持續交互、深度融合，從而實現大規模物理系統的實時感知、遠程精確控制和信息服務[1],并在國防安全、航空航天、智能電網、醫療設備等多個領域得到了廣泛應用。
不同于傳統的計算機控制系統和傳感器網絡，首先，CPS 是動態、自治、異構的復雜系統； 其次，CPS 包含傳感器節點（ Sensors） 、執行器節點（ Actua-tors） 和控制器節點（ Controllers） ,各節點間通過有線或無線網絡連接實現節點間的高效協作、精確控制、資源的動態組織與協調分配、體系結構重配置等功能[2].CPS 的最終目標是實現信息世界和物理世界的完全融合，構建一個可控、可信、可擴展且安全高效的 CPS 網 絡，進 而 改 變 人 與 物 理 世 界 交 互的方式[3].
軟件是 CPS 的靈魂，其在 CPS 中所起的作用也越來越大。由于 CPS 主要應用于安全關鍵系統中，生存環境惡劣，極易遭受感染與攻擊，且其功能需求也在不斷增加，導致 CPS 軟件日趨龐大化、復雜化，并不可避免地產生了越來越多的缺陷及漏洞，這也使得 CPS 愈發脆弱，一旦系統失效或發生故障，將造成難以挽回的巨大損失。2010 年爆發的“震網”
病毒是首例針對工業控制系統的惡意代碼，可突破CPS 的物理域限制直接對物理世界中的工業設施造成破壞，伊朗核電站便因遭受“震網”攻擊而被迫推遲發電； 2012 年，“火焰”（ Flame） 爆發，“火焰”能夠使用服務器遠程控制受感染的計算機，并通過錄音、截圖及記錄網絡消息等手段來盜取機密文件、聯系人數據等重要信息[4].因此，我們必須提高 CPS 軟件的可信性，防止軟件漏洞及系統內部缺陷被惡意攻擊所利用，這對 CPS 的安全性和有效性至關重要[5].雖然目前采用了防火墻技術、主動防御技術、入侵檢測技術等多種防護手段來保障軟件的運行安全，但這些傳統的安全防護技術只能較好地對抗外部入侵，而從內部發起的攻擊與竊密仍舊防不勝防。為了解決這一問題，美國國家自然科學基金自 2005 年起便組織了一系列關于 CPS 可信軟件的研討會及國際會議[6],探討了 CPS 在航空、汽車、鐵路等安全關鍵系統的應用、構建高可信軟件的方法與技術及所面臨的挑戰。我國學術界也對此展開了研究，文獻[7]對網絡時代的軟件可信演化進行了研究，提出了可信軟件演化論； 文獻[8]建立了基于軟件行為可信性的軟件動態可信理論模型，并用于軟件動態可信評測。
由于 CPS 軟件通常在惡劣環境中長期運行，這一過程中其可信性持續演化，不斷變化，這往往導致原本可信的軟件不再可信，因此需要對其可信性演化規律進行研究和分析。然而現有的形式化方法、軟件驗證技術[5,9]等僅在描述靜態 CPS 軟件時表現良好，并不適合對 CPS 軟件可信性動態演化規律進行描述和分析。通過研究可發現，CPS 軟件在復雜環境中動態行為演化的統計特性與軟件可信性特征屬性存在對應關系[10].綜合這些統計特性，本文利用非線性動力學理論與方法建立 CPS 軟件行為演化動力學模型，為 CPS 軟件可信性的判定提供一定參考。

2、信息物理融合系統軟件可信性及其動態演化

2. 1 信息物理融合系統軟件可信性研究
可信性是在可靠性、正確性、安全性、時效性、可用性、可預測性、可控性、私密性、高效性、可生存性等概念基礎上發展而來的一個新概念。目前，學術界對于軟件可信性的定義仍有爭議，一個被廣泛認可的定義是： 所謂“可信軟件”,通常是指那些運行行為及其結果總是符合人們預期，并在受到干擾時仍能提供連續服務的軟件[11].本文認為 CPS 可信軟件應具備一定的抗病毒、抗攻擊能力，即在惡意攻擊下能夠保持穩定運行、異常狀態可控、行為符合預測，可得到預期結果。
文獻[12]從資源共享、資源能力提供、局部性能和整體性能這 3 個角度出發將可信研究劃分為身份可信問題、能力可信問題和行為可信問題，在此基礎上，本文根據 CPS 軟件的特點，將 CPS 軟件可信研究進一步分為功能可信、能力可信、身份可信、數據可信、行為可信。其中，功能可信著眼于用戶需求，保證 CPS 軟件能夠滿足用戶所提出的要求； 能力可信著眼于 CPS 軟件實現其功能的能力，強調了CPS 軟件執行任務能力的可靠性及高效性； 身份可信對 CPS 軟件進行約束以確保 CPS 軟件總是在規則允許的范圍之內對相應資源進行訪問和利用； 數據可信立足于數據，從數據層面來保證 CPS 軟件的可信性，數據是軟件執行任務的基礎，只有確保數據安全，防止數據泄露，才能保證 CPS 軟件的安全可信； 行為可信則確保 CPS 軟件在其行為演化過程中的可信性，是 CPS 軟件可信性的核心問題，也是本文研究的重點所在。
在 CPS 軟件數據完整的前提下，如何確保 CPS軟件的行為總是以預期的方式朝著預期的目標運行，這就是 CPS 軟件動態行為可信問題[13],CPS 軟件的動態行為可信性是衡量其可信與否的重要依據，是行為可信的核心問題。若 CPS 軟件的動態行為可信性無法得到保證，會引發如軟件失效、運行異常、數據泄露、遠程操控等問題，甚至引發重大安全事故。
2. 2 信息物理融合系統軟件可信性動態演化
隨著 CPS 軟件需求進一步多樣化、新技術的不斷出現、新功能的不斷拓展以及人們對 CPS 軟件生存性的要求進一步提高，其在內部因素及外部因素的雙重作用下不斷演化，可將處于開放、復雜環境中的 CPS 軟件視為一個動力學系統。
在持續運行過程中，即使 CPS 軟件不受任何外部因素影響，其內部缺陷也會隨著時間推移不斷增加，并導致其性能衰退、功能失效甚至崩潰； 為了延長軟件的生命周期，不但要在軟件研發階段進行嚴格的測試，而且需要不斷地對軟件進行維護、數據更新、版本升級。此外，由于 CPS 軟件一般應用于安全關鍵系統，對可能引發事故的重大軟件缺陷應為“零容忍”,反映在其可信性演化曲線上即是 CPS 軟件的可信性不低于人為設置的臨界點，一旦其可信性低于安全線，將自動切換為安全模式以滿足最低限度的安全需求。
根據以上分析，結合非線性動力學理論，我們將CPS 軟件自身演化過程稱為自然演化，將其受人為因素影響的演化過程稱為人為演化，將其處于安全模式下的演化過程稱為生存演化[10].
在自然演化過程中，給定 CPS 軟件的初始狀態，這也就確立了一個動力系統的初態。隨著時間推移，CPS 軟件的可信性演化過程可用其特征屬性隨時間變化而形成的軌道[14]進行描述。
在人為演化過程中，加入人為因素如發布補丁、更新軟件數據庫等，這通常使得軟件可信程度發生一個明顯的變化，此種情況下，其可信性演化曲線將是一個由多個局部自然演化曲線組成的具有階躍特性的演化曲線，人為演化對應著“類動力系統”.
在生存演化過程中，CPS 軟件內部發生嚴重錯誤或遭遇高強度惡意攻擊，為了保證安全關鍵系統最低限度的安全需求，CPS 軟件將自動切換為安全模式。此模式下，CPS 軟件僅實現核心功能，可信性大幅增強并能在較長時間內處于一個較穩定的狀態，此時可對 CPS 軟件進行人工維護、升級等操作，以提升其可信性。將這些嚴重影響 CPS 軟件可信性的因素表示為控制參量，其可信性演化曲線將在這些控制參量的作用下出現分支（ Bifurcation） ,這對應著動力系統中的分支理論。

3、信息物理融合系統軟件可信性演化非線性動力學建模與分析

CPS 可信軟件的行為演化軌跡應是有規律、可預測的。由于 CPS 軟件行為難以直接觀測，但其行為變化會引起與其直接相關的特征量發生相應變化，因此我們通過選取 CPS 軟件的特征屬性及影響CPS 軟件運行的外部因素來刻畫 CPS 軟件的演化規律。將所選的 CPS 軟件可信性特征屬性與相應外部因素作為參數[10],可以建立起與之對應的動力學模型，便于對 CPS 軟件可信性的演化特性進行分析。
下面以一個應用于工業控制系統的 CPS 軟件為例說明其非線性動力學建模與分析過程，該 CPS軟件同時受內部因素（ 終端連接數） 及外部因素（ 病毒攻擊） 綜合影響。
假設 i 時 刻 該 CPS 軟 件 占 用 的 網 絡 帶 寬為 x（ i） ,終端連接數為 y（ i） .軟件穩定運行時，所占用的網絡帶寬應與上一時刻所占用的網絡帶寬大致相同，即 x（ i+1） ≈x（ i） ; 若有病毒入侵，由于入侵該軟件的病毒間存在相互競爭，致使抵消的網絡帶寬占用量正比于 x（ i） 的平方，其比例系數為 a; 該軟件的終端用戶也需占用一定的網絡帶寬，終端連接數與占用的網絡帶寬大小間的比例系數為 b,并設終端連接數與上一時刻的網絡帶寬占用量成正比，比例系數為 c.
由上述假設，根據非線性動力學理論與方法，結合生物模型中著名的 Logistic 映射[15],可列出相應的微分方程對該模型進行描述。為了便于計算機仿真，將該微分方程離散化，得到的模型如下：在 CPS 軟件動態行為演化過程中，可通過較少次數的測試得到終端連接數與網絡帶寬占用量間的比例系數 b、c,而病毒間的競爭系數 a 也可通過類似方法測得。確定了參加測試的病毒及軟件后，a、c也隨之確定。下面以 a = 1. 6、c = 1. 5 為例，對上述模型進行分析。（ 1） 當 0. 332（ 2） 當 0. 346由圖 1 和圖 2 可知，通過分析終端連接數與軟件所占用網絡帶寬間的關系，該模型能夠準確反映出 CPS 軟件運行過程中的動態演化過程并形象地展示出來，有利于分析 CPS 軟件當前狀態，為 CPS軟件可信性研究提供了一種新手段。

4、總結

本文在 CPS 可信軟件相關技術的基礎上，結合非線性動力學的思想與相關方法，針對 CPS 軟件行為演化特性進行建模與分析，并從中導出相應判定機制： 動力系統的軌道對應著 CPS 軟件的行為演化過程； 其分支現象則表示 CPS 軟件在控制因素影響下的行為演化。利用這一方法，可通過提取 CPS 軟件特征屬性對其行為演化過程進行模擬仿真，為人們判斷 CPS 軟件是否可信提供重要支撐。
目前本文所做的僅限于 CPS 軟件可信性演化分析，在實際應用中存在只能分析而無法控制的問題，接下來將進一步研究 CPS 軟件可信性演化動力學模型的穩定性并著重分析在內部、外部因素影響下模型的分支現象及分支類型。

【參考文獻】
[1] National Science Foundation of the United States. Cyber-physical system （ CPS） program solicitation [EB / OL].
[2013 - 10 - 10].
[2] 王中杰，謝璐璐。 信息物理融合系統研究綜述[J].自動化學報，2011,37（ 10） : 1157-1166.
[3] Rajkumar R,Lee I,Sha L,et al. Cyber-Physical Sys-tems: the Next Computing Revolution [C]/ / Proceedingsof the 47th ACM / IEEE Conference on Design Automa-tion. Anaheim,California,USA: IEEE,2010: 731-736.
[4] 蔣建春，文偉平，張云泉。 “震網”、“火焰”惡意代碼警示-信息物理系統安全問題與挑戰[J]. 中國計算機學會通訊，2012,8（ 7） : 75-78.
[5] Lee I,Sokolsky O,Chen S,et al. Challenges and Re-search Directions in Medical Cyber - Physical Systems[J]. Proceedings of the IEEE,2012,100（ 1） : 75-90.
[6] National Workshop on High-Confidence Transportation Cy-ber-Physical Systems: Automotive,Aviation and Rail [EB/OL].[2013 -10 -10].
[7] 王懷民，尹剛。 網絡時代的軟件可信演化[J]. 中國計算機學會通訊，2010（ 2） : 28-35.
[8] 楊曉暉。 軟件行為動態可信理論模型研究[D]. 合肥：中國科學技術大學，2010.
[9] Bruce R A,McMillin M. Mode-Checking BNDC Proper-ties in Cyber Physical Systems [C]/ / Proceedings of the33rd Annual IEEE International Computer Software andApplications Conference. Seattle,WA,USA: IEEE,2009:660-663.
[10] 鄭志明，馬世龍，李未，等。 軟件可信性動力學特征及其演化復雜性[J]. 中國科學 E 輯： 信息科學，2009,39（ 9） : 946-950.
[11] 劉克，單志廣，王戟，等?！翱尚跑浖A研究”重大研究計劃綜述[J]. 中國科學基金，2008（ 3） : 145-151.
[12] 王懷民，唐揚斌，尹剛，等。 互聯網軟件的可信機理[J]. 中國科學 E 輯： 信息科學，2006,36（ 10） :1156-1169.
[13] 張煥國，趙波。 可信計算[M]. 武漢： 武漢大學出版社，2011.
[14] Smale S. Differentiable Dynamical Systems [J]. Bulle-tin of the American Mathematical Society,1967,73（ 6） : 747-817.
[15] Benedicks M,Carleson L. On Iterations of 1 - ax2on（ -1,1） [J]. Annals of Mathematics,1985,122（ 1） : 1-25.