张志鹏 许 倩 夏承遗

(天津理工大学智能计算机及软件新技术天津市重点实验室 天津 300384)

(天津理工大学学习型智能系统教育部工程研究中心 天津 300384)

1 引言

随着信息通信技术的飞速发展和数据处理能力的不断提高，物理系统通过信息通信网络实现互联的趋势日益显著，由此产生了信息物理融合系统(Cyber Physical Systems, CPSs)。同时，为了提高CPSs的智能化和信息化，系统将部分或全部计算和决策上传到云服务器中。此时，物理系统的操作环境变得更加开放，为入侵者窃取隐私和机密信息提供了更多的漏洞。因此，隐私分析与安全控制是CPSs领域一个非常重要的研究方向[1,2]。

不透明性作为一种重要的隐私信息流概念，要求入侵者无法准确地推断出系统的隐私和秘密信息[3,4]。如果一个系统被判定为不透明的，则系统的隐私信息能够得到有效保证。不透明性的分析和控制问题主要集中在两个方面：一个是验证，即判定给定系统是否不透明的；另一个是综合，即如何通过控制策略保证系统的不透明性。具体地，文献[5]首次引入当前状态不透明性的概念，并构建了状态观测器对基于状态的不透明性进行验证；文献[6]通过构造K步时延状态估计器，提出K步不透明性的验证方法；同时，文献[7]分析了无穷状态估计器的性质，证明了无穷步不透明性的验证问题是一个多项式空间难 (Polynomial SPACE hard ,PSPACE-hard)问题。除此之外，针对上述状态不透明性的验证问题，学者提出了多种技术方法和算法，比如双向观测器[8]、互模拟法[9]和系统状态变换法[10]。以上工作主要利用形式化方法展开研究，得到了很多非常深刻且有意义的结论。但是，随着传统代数状态空间理论的发展，基于矩阵半张量积(Semi-Tensor Product, STP)的代数方法为不透明性分析、验证与控制提供了非常便捷的工具。STP理论最早是由我国控制科学专家程代展教授及其团队提出的[11-13]，作为常规矩阵乘积的推广，已得到了广泛的应用，包括布尔网络[14-19]、离散事件系统[20-23]、博弈论[24]等多个领域。文献[25]首次将STP应用于有限自动机系统，提出了有限自动机的代数建模以及状态可达性等基本问题；文献[26]基于STP系统地研究了有限自动机的状态反馈镇定和输出反馈镇定问题，并提出相应的镇定充要条件和镇定设计算法；文献[27]利用布尔STP研究了有限状态机在有界通信延迟下的网络化不透明性，给出了在有界通信延迟下的当前状态估计器动力学方程。另外，STP在离散事件系统中其他研究问题可参考相关文献[28-30]。

目前，基于STP理论的CPSs的信息安全与隐私防护研究仍处于起步阶段。本文针对有限自动机建模的CPSs，提出一种新的代数方法来验证系统的状态不透明性。首先，在布尔STP框架下，对CPSs进行代数建模，给出系统动态的代数表达式；其次，假定外部入侵者了解系统结构和状态转移等完全信息，构建了CPSs的当前状态估计器，并提出一个有效的矩阵计算方法；最后，通过引入矩阵的行、列逻辑运算，将系统当前转移状态的估计进行简化，给出判定系统当前状态不透明性的充分必要条件。本文的主要创新点可凝练为以下3点：

(1) 借助矩阵的布尔STP，通过将状态/输入表示为列向量，将有限状态入侵估计器的转移函数表示为状态-转移估计矩阵，进而得到入侵估计器的可观测动态演化代数方程。

(2) 结合布尔STP计算特性，入侵状态-转移估计矩阵将抽象的当前状态不透明性验证问题转化成较为具体的结构矩阵计算和对应元素判断问题。

(3) 利用系统演化代数方程和入侵状态-转移估计矩阵，给出验证带有不可观事件CPSs当前状态不透明性的代数充分必要条件。

本文其余部分组织如下，第2节介绍STP和CPSs的相关预备知识；第3节在STP框架下，建立基于有限自动机的CPSs可观测动力学代数表达式，并提出基于代数状态空间的不透明性验证条件；同时，为便于阅读，针对一些关键结论，通过数值算例进行详细说明。最后，第4节对该文进行总结，并给出后续研究展望。

2 预备知识

本节主要展示了一些常用符号如表1所示，引入了布尔矩阵半张量积的定义、常用性质及具体算例。同时，介绍了本文用到的信息物理系统模型，即带有不可观事件的不确定有限自动机。

表1 常用符号

2.1 半张量积

近年来，程代展教授及其团队提出的基于STP的代数状态空间方法逐渐发展成为逻辑系统分析和设计有力的工具之一。该方法扩大了矩阵的适用范围，同时，还保持了矩阵普通乘法的所有重要性质。鉴于STP理论的优点，将该方法引入到CPSs的不透明性分析问题中。

首先，给定矩阵A=(aij)a×b ∈Ra×b和B=bijc×d∈Rc×d，它们的克罗内克积是维度为ac×bd的分块矩阵

在有限逻辑系统中，许多分析和控制问题更关注经过STP运算后矩阵中的元素是“0”还是“1”。以有限自动机的可控性为例，只需要检测初始状态到目标状态是否可达的，不需要知道可达路径的条数。因此，为便于计算和矩阵表示，在矩阵STP中引入布尔运算，得到了布尔STP的定义。

2.2 基于有限自动机的CPSs与状态不透明性

在现实中，很多CPSs的状态的变迁是由事件驱动的，而且往往会出现同一个事件产生多个不确定的状态转移。针对这些情况，本文引入有限自动机模型对上述现象进行刻画。本节介绍了关于有限状态自动机的基础概念和相关记号。

基于状态的不透明性描述了系统隐私和秘密状态转换的行为信息流，是信息安全理论和技术的一个重要概念。对于给定的秘密状态集Xse⊆X和系统生成的任意事件串L(A)，如果外部的恶意入侵者不能确定地推断出系统当前所处状态是否是秘密状态x ∈Xse，则该系统被认为是状态不透明的。假设入侵者具有以下能力：

(1) 入侵者完全了解系统的结构和事件转换。

(2) 系统A生成的语言是非死锁的，即A中的每个状态都存在一个转移事件。

3 基于STP的当前状态不透明性的分析与验证

3.1 系统入侵下的当前状态估计

定理1 给定系统A=(X,E,Eo,σ,x0)，外部入侵条件下的动力学方程可描述为

其中，x(t)表示从x(1)出发在t时刻系统当前状态估计的向量表达式，u(t)表示在t时刻可观测事件的向量表示。

证明过程略，可参考文献[25]进行证明。

事实上，上述定理揭示了入侵估计器的动态转换可用代数方程来表示，并且建立了一步可观测事件的动态转移。接下来，通过定理1中矩阵表达式的重复迭代运算，可得到系统从x(1)出发在t时刻系统当前状态估计的向量表达式为

图1 系统A=(X,E,Eo,σ,x0)

3.2 当前状态不透明的验证

基于上述入侵部分观测条件下的状态估计模型，本节集中对系统的当前状态不透明性进行分析与验证。首先，给出系统当前状态不透明性的定义如下。

定义3 考虑系统A=(X,E,Eo,σ,x0)以及秘密状态集Xse⊆X，

(1) 如果σ(x0,s)∩Xse̸=∅，那么字符串s ∈E∗是秘密-可达的；

(2) 如果σ(x0,t)∩{X −Xse}̸=∅，那么字符串t ∈E∗是非秘密-可达的；

(3)A称为关于Xse不透明的，如果对于任意的秘密-可达串s，总存在另一个非秘密-可达串t使得P(s)=P(t)。

值得注意的是，入侵者往往通过系统模型结构和可观事件转移来获得系统的状态估计，根据上述状态不透明性定义，对于任意一个字符串，如果该串验证为秘密-可达的，则至少存在另一个具有相同入侵观测映射的非秘密-可达的字符串，进一步使得入侵者在当前时刻无法判断当前到达的状态是否是秘密状态，此时，具备状态不透明性的系统能够保证入侵者总是不能揭露系统的秘密信息。因此，状态不透明性对于系统信息安全与隐私的分析与控制具有非常重要的意义。

为了进一步理解所提方法的计算过程以及提高该文的可读性，算法流程的整体阐述如图2所示。

图2 验证算法的流程图

在实际工程中，设计者往往更关注哪些路径或者转移序列违反了状态不透明性，以便于采取措施进行校正，进而防止隐私信息的泄漏。定理2表明如果系统是当前状态不透明的，当且仅当Row∨

进一步地，根据矩阵STP的运算特性(引理3)，可计算出其对应事件。通过上面定理，可知系统状态不透明性的判定可以转换成逻辑代数的运算，这为更多类型的状态不透明性的验证以及其强化监督控制提供了有效的工具。

备注2 定理2给出了一种基于矩阵的方法来验证有限自动机的当前状态不透明性。相较于现存方法，有以下两方面不同之处：

(1) 在研究问题上，本文提出的代数框架为研究CPS的基于状态的各种不透明属性提供了新的研究思路与视野。

(2) 在研究方法上，矩阵半张量积是我国学者开创性的数学成果，基于此提出验证给定CPS不透明性的方法易计算，同时推广了矩阵半张量积的应用范畴。

本文所提方法具有以下特点：首先，借助矩阵的布尔STP，建立了一种描述入侵估计器动态演化的算法，并基于该代数表达式，简洁明了地导出了不透明性的验证准则，为研究复杂CPSs的分析和控制问题，特别是相关的隐私和安全保护问题提供了新的视角。其次，借助矩阵半张量积Matlab软件包，不透明性的验证问题可以相应地转换成矩阵求解问题。最后，上述结果在未来有望扩展到更复杂的系统[31,32]。

4 结束语

本文针对带有不可观测事件的不确定有限自动机建模CPSs，提出一种基于矩阵STP的外部入侵动力学代数方程，并通过矩阵的布尔逻辑运算给出验证当前状态不透明性的充分必要代数条件，为进一步分析其他类型的状态不透明性以及基于状态不透明性强化控制问题提供了一个非常有益的视角。此外，数值算例验证了该方法的有效性。未来的研究方向包括以下两个方面：一方面，当原始系统不是状态不透明时，如何设计一些监控与强化策略来确保不透明性是非常重要的研究问题；另一方面，当前工作假设有限自动机的权重都为1，然而现实系统中事件的转移权重往往是不一样的，因此推广所提方法到加权有限自动机的隐私分析与控制问题具有非常重要的工程意义。