| 第一章 引言 | 第1-23页 |
| 1.1 研究背景和意义 | 第15-19页 |
| 1.1.1 研究的意义 | 第15-16页 |
| 1.1.2 计算机系统的服务质量 | 第16-18页 |
| 1.1.3 CS-QoS研究存在的不足 | 第18-19页 |
| 1.2 当前的研究情况 | 第19-20页 |
| 1.2.1 安全性研究的目的 | 第19-20页 |
| 1.2.2 安全核 | 第20页 |
| 1.3 本文主要工作 | 第20-21页 |
| 1.4 本文章节安排 | 第21-23页 |
| 第二章 安全性的研究现状及发展趋势 | 第23-38页 |
| 2.1 软件传统安全技术的研究现状 | 第23-30页 |
| 2.1.1 基本概念 | 第23-24页 |
| 2.1.2 系统的设计原则 | 第24-25页 |
| 2.1.3 安全管理 | 第25页 |
| 2.1.4 软件危险分析 | 第25-27页 |
| 2.1.5 软件的需求说明与验证 | 第27-28页 |
| 2.1.6 软件的设计与验证 | 第28-29页 |
| 2.1.7 软件的实现 | 第29-30页 |
| 2.1.8 软件容错 | 第30页 |
| 2.2 软件传统安全技术的不足 | 第30-31页 |
| 2.3 软件新安全技术的研究现状 | 第31-33页 |
| 2.3.1 非安全关键件安全性的研究 | 第31-32页 |
| 2.3.2 分离设计思想 | 第32-33页 |
| 2.4 净室软件工程法 | 第33页 |
| 2.5 安全领域的行业标准 | 第33-35页 |
| 2.6 几个重要的观点 | 第35-36页 |
| 2.7 安全性研究的发展趋势 | 第36-37页 |
| 2.8 小结 | 第37-38页 |
| 第三章 分布式控制系统可信性的评价 | 第38-49页 |
| 3.1 引言 | 第38页 |
| 3.2 高可信计算机系统的设计与评价 | 第38-42页 |
| 3.2.1 系统设计的进程图 | 第38-39页 |
| 3.2.2 系统开发与可信性评价的关系 | 第39-42页 |
| 3.3 可降级现场总线网系统的一种可信性评价模型 | 第42-47页 |
| 3.3.1 可降级现场总线网系统的特点 | 第42-43页 |
| 3.3.2 定义 | 第43页 |
| 3.3.3 系统结构的描述 | 第43-44页 |
| 3.3.4 建模假设 | 第44页 |
| 3.3.5 系统的可信性计算 | 第44-47页 |
| 3.3.6 模型的比较 | 第47页 |
| 3.4 小结 | 第47-49页 |
| 第四章 安全核的剖析 | 第49-59页 |
| 4.1 安全核的技术基础 | 第49-52页 |
| 4.1.1 访问控制 | 第49-50页 |
| 4.1.2 引用监控器 | 第50页 |
| 4.1.3 Security核 | 第50-52页 |
| 4.2 安全核的本质 | 第52-55页 |
| 4.2.1 核机制的合理性 | 第52-53页 |
| 4.2.2 安全核的基本原理 | 第53-54页 |
| 4.2.3 安全核的有效性 | 第54-55页 |
| 4.3 安全核的实现 | 第55-58页 |
| 4.3.1 安全核的位置 | 第55-57页 |
| 4.3.2 Kevin的安全核实现方案 | 第57-58页 |
| 4.4 分布式控制系统采用安全核技术存在的困难 | 第58页 |
| 4.5 小结 | 第58-59页 |
| 第五章 分布式控制系统的安全体系 | 第59-73页 |
| 5.1 为什么要研究SSBSK | 第59-60页 |
| 5.1.1 什么是SSBSK | 第59页 |
| 5.1.2 SSBSK研究的重要性 | 第59-60页 |
| 5.2 SSBSK应具有的特点和设计目标 | 第60-61页 |
| 5.3 SSBSK可行性分析 | 第61-66页 |
| 5.3.1 应用软件 | 第61-62页 |
| 5.3.2 安全策略 | 第62-64页 |
| 5.3.3 软件重用技术 | 第64-65页 |
| 5.3.4 SSBSK的可行性 | 第65-66页 |
| 5.4 分布式控制系统的安全需要 | 第66-68页 |
| 5.4.1 安全控制系统的构成 | 第66页 |
| 5.4.2 域间安全 | 第66-67页 |
| 5.4.3 域内安全 | 第67-68页 |
| 5.5 SSBSK的结构 | 第68-72页 |
| 5.5.1 SSBSK的外部视图 | 第68页 |
| 5.5.2 安全服务代理 | 第68-70页 |
| 5.5.3 安全代理之间的关系 | 第70-71页 |
| 5.5.4 安全服务 | 第71-72页 |
| 5.6 小结 | 第72-73页 |
| 第六章 安全核的一致性 | 第73-92页 |
| 6.1 为什么要研究安全核的一致性 | 第73-74页 |
| 6.2 系统安全需求与安全策略的一致性 | 第74-87页 |
| 6.2.1 安全策略的分类 | 第74-75页 |
| 6.2.2 理想安全策略的制定与控制系统的设计 | 第75-77页 |
| 6.2.3 控制系统的工作原理图 | 第77-78页 |
| 6.2.4 理想安全策略的制定路径 | 第78页 |
| 6.2.5 安全需求的分析和安全验证 | 第78-80页 |
| 6.2.6 理想安全策略的制定方法 | 第80-82页 |
| 6.2.7 一个实例----交通灯理想安全策略的制定 | 第82-87页 |
| 6.3 安全核与安全策略的一致性 | 第87-91页 |
| 6.3.1 存在的困难 | 第87-88页 |
| 6.3.2 SP的形式化描述 | 第88-90页 |
| 6.3.3 SP与理想安全策略一致性的验证 | 第90-91页 |
| 6.4 小结 | 第91-92页 |
| 第七章 RTOS中安全核机制的研究 | 第92-111页 |
| 7.1 引言 | 第92页 |
| 7.2 需要考虑的问题 | 第92-93页 |
| 7.3 Security操作系统的开发方法 | 第93-94页 |
| 7.4 Security模型 | 第94-96页 |
| 7.5 安全核机制的实现 | 第96-100页 |
| 7.5.1 安全原理 | 第96页 |
| 7.5.2 安全模型 | 第96-97页 |
| 7.5.3 安全核机制的提供方式 | 第97-98页 |
| 7.5.4 支持环境 | 第98-99页 |
| 7.5.5 安全核机制的重用算法 | 第99-100页 |
| 7.6 原型实验 | 第100-110页 |
| 7.6.1 实验的目的 | 第100页 |
| 7.6.2 交通灯控制系统及其安全需求 | 第100-101页 |
| 7.6.3 安全系统的设计 | 第101-104页 |
| 7.6.4 安全系统的实现 | 第104-108页 |
| 7.6.5 实验结果 | 第108-110页 |
| 7.7 小结 | 第110-111页 |
| 第八章 安全核的可靠性评价 | 第111-124页 |
| 8.1 引言 | 第111页 |
| 8.2 软件可靠性的评价技术 | 第111-112页 |
| 8.3 软件可靠性模型机理的分析 | 第112-116页 |
| 8.3.1 软件可靠性模型的分类 | 第112页 |
| 8.3.2 建模的一般过程 | 第112-113页 |
| 8.3.3 建模过程中主要考虑的因素 | 第113-114页 |
| 8.3.4 软件可靠性模型的立足点 | 第114-115页 |
| 8.3.5 软件可靠性模型的研究特点 | 第115-116页 |
| 8.4 影响软件可靠性模型评估精度的主要原因 | 第116-117页 |
| 8.5 软件可靠性模型评价误差的分析 | 第117-122页 |
| 8.5.1 建立误差模型的可行性 | 第117-118页 |
| 8.5.2 SRET系统 | 第118页 |
| 8.5.3 定义 | 第118页 |
| 8.5.4 误差分析模型的建立 | 第118-120页 |
| 8.5.5 模型的验证与应用 | 第120-122页 |
| 8.6 本章小结 | 第122-124页 |
| 第九章 总结 | 第124-127页 |
| 参考文献 | 第127-143页 |
| 致谢 | 第143-144页 |
| 作者在攻博期间的科研成果、论文发表、教学和获奖情况 | 第144-146页 |