可信服务关键技术研究课件.ppt

1、Trusted Service 1 1/72/72可信服务关键技术研究可信服务关键技术研究Research on the Key Technology of Trusted Service Based on CPK Identity Certification&Modern Trust Theory1Trusted Service 2 2/72/72可信服务关键技术研究可信服务关键技术研究内内 容容 一、项目情况简介一、项目情况简介二、立项依据（背景及意义）二、立项依据（背景及意义）三、研究目标、内容三、研究目标、内容四、技术路线四、技术路线五、预期研究成果五、预期研究成果六、项目需要掌握的相

2、关知识六、项目需要掌握的相关知识七、科学研究方法探讨七、科学研究方法探讨2Trusted Service 3 3/72/72可信服务关键技术研究可信服务关键技术研究一、项目情况简介一、项目情况简介u项目类别：国家自然科学基金青年科学基金项目u 负责人：许光全 在Pro.Feng&Li Supervision下u研究范畴：可信软件（1）可信计算（0.9）信息安全（0.9）软件安全（0.8）网络安全、QoS（0.6）信息系统安全（0.5）u研究属性：应用基础研究u关键词：服务计算 可信服务 CPK 快速信任 自动信任协商 可信性预测3Trusted Service 4 4/72/72可信服务关键技

3、术研究可信服务关键技术研究第一部分 从质量到可信从与软件相关的一些重大事故谈起4Trusted Service 5 5/72/72可信服务关键技术研究可信服务关键技术研究l20072007年年1010月月3030日，奥运门票第二阶段阶段预售首日日，奥运门票第二阶段阶段预售首日科技奥运？5Trusted Service 6 6/72/72可信服务关键技术研究可信服务关键技术研究l2007年8月14日14时，美国洛杉矶国际机场电脑发生故障，60个航班的2万旅客无法入关。直至次日凌晨时分，所有滞留旅客才全部入关。l原因分析：包含旅客姓名和犯罪记录的部分数据系统(海关和边境保护系统：决定旅客是否可以进

4、入美国领土)瘫痪 2004年9月发生过类似问题6Trusted Service 7 7/72/72可信服务关键技术研究可信服务关键技术研究l2006年3月2日14点10分，沪深大盘忽然发生罕见大跳水，7分钟之内上证指数跌去近 20 点。l原因分析：当日下午刚上市的招商银行认股权证成交量巨大，导致其行情显示时总成交量字段溢出，使其价格在股票分析软件上成为一条不再波动的直线，让市场产生了恐慌。7Trusted Service 8 8/72/72可信服务关键技术研究可信服务关键技术研究l 2005年4月20日上午10时56分，中国银联系统通信网络和主机出现故障，造成辖内跨行交易全部中断。这是2002

5、年中国银联成立以来，首次全国性因系统故障造成的跨行交易全面瘫痪。l 原因：银联新近准备上线的某外围设备的隐性缺陷诱发了跨行交易系统主机的缺陷，使主机发生故障 软件能否提供支持?8Trusted Service 9 9/72/72可信服务关键技术研究可信服务关键技术研究l2003年8月14日下午4时10分，美国及加拿大部分地区发生历史上最大的停电事故。15日晚逐步恢复l后果：经济损失250亿到300亿之间l原因分析 俄亥俄州的第一能源（FirstEnergy）公司x下属的电力监测与控制管理系统软件 XA/21 出现错误，系统中重要的预警部分出现严重故障，负责预警服务的主服务器与备份服务器连接失控

6、，错误没有得到及时通报和处理，最终多个重要设备出现故障，导致大规模停电新华社2003年国际十大新闻9Trusted Service 1010/72/72可信服务关键技术研究可信服务关键技术研究l1996年6月4日，欧洲空间局的阿丽亚娜火箭，发射后37秒爆炸。损失6亿美元l原因分析：ADA语言编写的一段程序，将一个64位浮点整数转换为16位有符号整数时，产生溢出，导致系统惯性参考系统完全崩溃10Trusted Service 1111/72/72可信服务关键技术研究可信服务关键技术研究l1994年12月3日，美国弗吉尼亚州 Lynchburg 大学的T.R.Nicely博士使用装有 Pentiu

7、m 芯片的计算机时发现错误：（4195835/3145727)*3145727-4195835=0?l后果：Intel 花费4亿多美元更换缺陷芯片l原因：Pentium 刻录了一个软件缺陷（浮点除法）11Trusted Service 1212/72/72可信服务关键技术研究可信服务关键技术研究2002年6月28日美国商务部的国家标准技术研究所（NIST）发布报告：“据推测，（美国）由于软件缺陷而引起的损失据推测，（美国）由于软件缺陷而引起的损失额每年高达额每年高达 595 亿美元。亿美元。这一数字相当于美国国内生产总值的这一数字相当于美国国内生产总值的 0.6%”。12Trusted Ser

8、vice 1313/72/72可信服务关键技术研究可信服务关键技术研究从质量谈起1、什么是软件质量？13Trusted Service 1414/72/72可信服务关键技术研究可信服务关键技术研究软件质量是：软件产品满足规定的和隐含的与需求能力有关的全部特征和特性14Trusted Service 1515/72/72可信服务关键技术研究可信服务关键技术研究来源于来源于 Barry Boehm的软件质量模型的软件质量模型形成了形成了 软件生存周期中的不同阶段软件生存周期中的不同阶段 区分不同的软件区分不同的软件!15Trusted Service 1616/72/72可信服务关键技术研究可信服

9、务关键技术研究阐述性阐述性数据公开性数据公开性连贯性连贯性容错性容错性执行效率执行效率/储存效率储存效率存取控制存取控制/存取检查存取检查可训练可训练沟通良好沟通良好 简单性简单性易操作的易操作的工具工具自我操作性自我操作性扩展性扩展性一般性一般性模块性模块性软件系统独立性软件系统独立性机器独立性机器独立性通讯公开性通讯公开性正确性正确性可操作性可操作性16Trusted Service 1717/72/72可信服务关键技术研究可信服务关键技术研究外部测量内部内部质量质量属性外部外部质量质量属性使用使用质量质量属性过程过程质量质量过程过程过程测量内部测量使用质量的测量软件产品软件产品软件产品的

10、效用软件产品的效用使用条件影响影响影响依赖依赖依赖过程质量过程质量 有助于提高有助于提高 产品质量产品质量产品质量产品质量 有助于提高有助于提高 使用质量使用质量17Trusted Service 1818/72/72可信服务关键技术研究可信服务关键技术研究（1）软件产品与需求符合的程度）软件产品与需求符合的程度（2）软件的本质）软件的本质（3）软件度量困难）软件度量困难18Trusted Service 1919/72/72可信服务关键技术研究可信服务关键技术研究（1）软件产品与需求符合的）软件产品与需求符合的程度程度需求与需求与成本之间的矛盾成本之间的矛盾需求是永无止境的需求是永无止境的成

11、本是永远有限的成本是永远有限的微软：质量只要好到能使大量的产品卖给客户微软：质量只要好到能使大量的产品卖给客户NASA：可靠性要达到：可靠性要达到 99.999%Motorola：6 软件产品属性完全满足用户需求是不现实的软件产品属性完全满足用户需求是不现实的 19Trusted Service 2020/72/72可信服务关键技术研究可信服务关键技术研究（2 2）软件的本质）软件的本质规模、复杂性、演化性规模、复杂性、演化性网络环境网络环境软件研发过程缺乏基础理论支撑软件研发过程缺乏基础理论支撑软件产品的验证缺乏基础理论支持软件产品的验证缺乏基础理论支持20Trusted Service 2

12、121/72/72可信服务关键技术研究可信服务关键技术研究（3）软件度量困难）软件度量困难 “You cant control what you dont measure”Tom DeMarco,1982对比物理属性：尺子、秤、时钟、温度计、测速仪对比物理属性：尺子、秤、时钟、温度计、测速仪 它们的发展过程它们的发展过程!代码、过程、组织代码、过程、组织度量无处不在！度量无处不在！21Trusted Service 2222/72/72可信服务关键技术研究可信服务关键技术研究3 3、从质量到可信、从质量到可信1、什么是可信？2、什么样的软件是可信的？CompaqCompaq、HPHP、IBMI

13、BM、IntelIntel和和MicrosoftMicrosoft等发起等发起(1999):(1999):Trusted Computing Platform AllianceTrusted Computing Platform Alliance 后来增加软件：后来增加软件：Trusted ComputingTrusted Computing Group（2003）微软倡导微软倡导(2002):(2002):Trustworthy ComputingTrustworthy Computing22Trusted Service 2323/72/72可信服务关键技术研究可信服务关键技术研究Trus

14、tedTrustworthyDependabilityConfidenceAssurance一个实体在实现给定目标时，其行为与结果总是可以预期的一个实体在实现给定目标时，其行为与结果总是可以预期的23Trusted Service 2424/72/72可信服务关键技术研究可信服务关键技术研究软件是可信的,如果:其服务总是与用户的预期相符(质量?)即使在运行过程中出现一些特殊情况24Trusted Service 2525/72/72可信服务关键技术研究可信服务关键技术研究1、硬件环境（计算机、网络）发生故障2、低层软件（操作系统、数据库）出现错误 3、其它软件（病毒软件、流氓软件）对其产生影响

15、4、出现有意（攻击）、无意（误操作）的错误操作什么特殊情况?25Trusted Service 2626/72/72可信服务关键技术研究可信服务关键技术研究可用功能：正确、不少、不多可靠性（容错）：高安全性（机密性、完整性）：高响应时间（从输入到输出）：小维护费用（监测、演化）：小26Trusted Service 2727/72/72可信服务关键技术研究可信服务关键技术研究l可信更多关主体与客体的关系是系统“承诺”与实际表现的符合程度。存在这样一种情形，质量不是很高，但有具体的说明，仍然有高的可信性。同一个系统的质量是确定的，但对不同主体的可信度可能不一样：一个受侵害的系统，对于实际用户是不

16、可信的，对于黑客是可信的对于同一个系统，当用户对其信息掌握得有限时，可信度低，掌握了较多的正面信息时，可信度提升27Trusted Service 2828/72/72可信服务关键技术研究可信服务关键技术研究l质量主要是针对客体自身而言的质量与可信之间的关系 类似于 软件与服务之间的关系服务、可信服务、可信 更多地关注更多地关注 主体：最终用户主体：最终用户软件、质量软件、质量 更多地关注更多地关注 客体：软件自身客体：软件自身28Trusted Service 2929/72/72可信服务关键技术研究可信服务关键技术研究29Trusted Service 3030/72/72可信服务关键技术

17、研究可信服务关键技术研究计算机世界发生了重大的改变！网络：封闭的计算机网络开放的互联网物联网、普适网（Ubiquitous Network）业务上：简单的数据通信网上交易或事务处理30Trusted Service 3131/72/72可信服务关键技术研究可信服务关键技术研究阶段名称标志安全构件 安全策略 主要安全技术数据安全（通信保密(COMSEC)时代）1949年Shannon发表的保密通信的信息理论 CIA 机密性策略 密码技术 信息安全（网络和信息安全阶段）1977年美国国家标准局公布的国家数据加密标准(DES)和1983年美国国防部公布的可信计算机系统评价准则(TCSEC)PDR 完

18、整性策略 防护技术，防火墙、VPN加密隧道、IDS入侵检测、防病毒等 网际安全、网络世界安全、交易安全 2005年美国总统信息技术顾问委员会PITAC提交的网际安全优先项目危机 C3MSE 自主型assurance（自主保障）策略 建立可信系统为主的主动管理技术，信任理论、行为监管理论，多agent技术与认证技术31Trusted Service 3232/72/72可信服务关键技术研究可信服务关键技术研究32Trusted Service 3333/72/72可信服务关键技术研究可信服务关键技术研究认证系统年代、标志事件基本部件认证方式优缺点相对成本PKI1996两个：层次化的CA、在线证书

19、库在线，无法进程认证效率低，处理能力并不强（103），目前主流100IBE1984年Shamir证明了IBE的存在性，2001年Don Boneh和Matthew Franklin提出取消了CA，但用户参数库在线，无法进程认证效率低，处理能力不强（103），可行性高，有取代PKI趋势50CPK1999年提出，2005年公布取消CA、用户参数库，只保留少量公用参数脱线，支持进程认证密钥集中生产，分开管理。占用资源小（25KB），规模大（1048），芯片化、代理化。533Trusted Service 3434/72/72可信服务关键技术研究可信服务关键技术研究l十年的发展，理论已成熟，芯片化也已

20、经实现，已研制出CPKbuiltin芯片和Demon系统；l得到了国内很多学者的支持：QNS工作室，北大信息安全实验室、广东省、武汉大学、武汉瑞达公司、北京市科委、中兴微电子；l2008年欧洲密码年会上，James Hughes（2004年国际密码年会执行主席）和北大关志介绍了CPK；34Trusted Service 3535/72/72可信服务关键技术研究可信服务关键技术研究l得到了国家保密局和国家知识产权局等大力支持，国务院信息化办和安标委已将CPK体制作为国家标准的基础项目，正式纳入标准化研究；lSun决定，将CPK体制作为Solaris的一部分，并签署战略合作意向；l成立北京易恒信公

21、司，开发了相关产品，在民生银行票据认证系统中得到应用。35Trusted Service 3636/72/72可信服务关键技术研究可信服务关键技术研究发展历史（国际）1.20世纪70年代 Anderson首次提出可信系统（Trusted System）2.1983年美国国防部推出了“可信计算机系统评价标准(TCSEC，Trusted computer System Evaluation Criteria)”(亦称橙皮书)，其中对可信计算基(TCB，Trusted Computing System)进行了定义。3.1999年10月，由Intel、Compaq、HP、IBM以及Microsoft发

22、起成立了一个“可信计算平台联盟TCPA(Trusted Computing Platform Alliance)”。36Trusted Service 3737/72/72可信服务关键技术研究可信服务关键技术研究4.2003年4月8日，TCPA重组为“可信计算组”TCG（Trusted Computing Group）。5.2002年1月15日，比尔.盖茨在致微软全体员工的一封信中称，公司未来的工作重点将从致力于产品的功能和特性转移为侧重解决安全问题，并进而提出了微软公司的新“可信计算”(Trustworthy computing)战略。37Trusted Service 3838/72/72

23、可信服务关键技术研究可信服务关键技术研究容错计算故障检测冗余备份技术Trusted System可信硬件平台TPM可信软件系统（TSS）可信网络接入（TN）Trusted Computing集中式、单机计算网格计算与web服务（分布式）有线网无线网络38Trusted Service 3939/72/72可信服务关键技术研究可信服务关键技术研究l国家信息安全标准技术委员会（TC260）的可信计算标准工作组，组长：卿斯汉，2005年年1月月19日日l国家密码管理局中国可信计算工作组（可信计算密码专项组，2006，2008年12月改成现名），组长：冯登国l沈昌祥院士的可信计算标准工作组，2010

24、39Trusted Service 4040/72/72可信服务关键技术研究可信服务关键技术研究1 1系统的可信性：系统的可信性：在在ISO/IEC 15408ISO/IEC 15408标准中给出了以下定义：标准中给出了以下定义：一个可信一个可信(trusted)(trusted)的组件、操作或过程的组件、操作或过程的行为在任意操作条件下是可预测的，的行为在任意操作条件下是可预测的，并能很好地抵抗应用程序软件、病毒以并能很好地抵抗应用程序软件、病毒以及一定的物理干扰造成的破坏。及一定的物理干扰造成的破坏。计算机系统的可信性应包括可用性、可靠性、可维护性、安全性、健壮性、可测试性、可维护性等多个

25、方面。40Trusted Service 4141/72/72可信服务关键技术研究可信服务关键技术研究lTCG的可信计算概念及相关规范 l可信计算的三个属性：鉴 别：计算机系统的用户可以确定与他们进行通信的对象身份；完整性：用户确保信息能被正确传输；私有性：用户相信系统能保证信息的私有性。41Trusted Service 4242/72/72可信服务关键技术研究可信服务关键技术研究TPM与TSS结合的应用系统分层图示 42Trusted Service 4343/72/72可信服务关键技术研究可信服务关键技术研究l目标包括四个方面：安全性(Security)：即客户希望系统对攻击具有恢复能力

26、，而且系统及其数据的机密性、完整性和可用性得到保护；私密性(Privacy)：即客户能够控制与自己相关的数据；并按照信息平等原则使用数据；可靠性(Reliability)：即客户可在任何需要服务的时刻即时得到服务；商务完整性(Business Integrity)：强调服务提供者以快速响应的方式提供负责任的服务。43Trusted Service 4444/72/72可信服务关键技术研究可信服务关键技术研究l武汉大学张焕国：可信可靠（Dependability）安全（Security）l清华大学顾明：软件可信性：在一定的上下文环境中，通过与用户等主体进行相互作用产生的、体现了依据软件系统历史信

27、息对未来的一种预测。用户视角！44Trusted Service 4545/72/72可信服务关键技术研究可信服务关键技术研究45Trusted Service 4646/72/72可信服务关键技术研究可信服务关键技术研究目前，针对服务安全和可信性问题主要有：l一系列的WS，如：WS-Security、WS-Security Policy、WS-Security Conversation、WS-Federation、安全断言标记语言（SAML）、传达信息策略（XACML）、XML密钥管理规范（XKMS）、XML加密以及XML数字签名等。lWSTrust：定义了如何发出和交换Token，它对WS

28、-Security规范提供了一些扩展，专门处理有关安全tokens的发布、整新和验证，确保各方参与者的互操作处在一个可信任的安全数据交换环境中。它只是从接口上定义了信任关系的开始，并没有指定哪种认证方式来保障可信性。46Trusted Service 4747/72/72可信服务关键技术研究可信服务关键技术研究l可信底层硬性安全：可信认证体系服务实体自身的信任决策（描述、度量、预测、管理等）47Trusted Service 4848/72/72可信服务关键技术研究可信服务关键技术研究图1“软硬结合”的服务可信性构建体系结构示意48Trusted Service 4949/72/72可信服务关

29、键技术研究可信服务关键技术研究l研究目标：可信服务！结合传统的信息安全技术与信任理论为核心的可信保障技术，主要解决可信认证、可信度量、信任协商以及可信预测等关键技术问题，实现可信服务交互各方的服务选择、服务编排、动态服务组合以及快速服务重组等，并最终集成阶段性研究成果，实现可信服务整体解决方案。49Trusted Service 5050/72/72可信服务关键技术研究可信服务关键技术研究l基于组合公钥CPK标识认证的可信认证 有序化（个人签名和非匿名化等标识认证）服务实体间的可信连接，可信数据传输等，基础是可信认证，核心：可信逻辑和ID证书设计主要包括：50Trusted Service 5

30、151/72/72可信服务关键技术研究可信服务关键技术研究1.实体的身份认证：注册性Re、一体性Ti、解读性MR2.实时/离线数据认证：服务数据的合法性、机密性、可靠性、安全性等，主要是对数据传输的弹性监控，实现对客体（传输的数据）完整性（readable）、新鲜性（nonce）、负责性（done-by）的实时在线或脱线验证。3.服务动态运行的可信性：动态跟踪和缺陷分析与检测，降低实时监控技术所带来的资源消耗 51Trusted Service 5252/72/72可信服务关键技术研究可信服务关键技术研究其主要目的在于实现服务请求和服务响应之前，确保每个服务计算环境中的服务实体（包括服务请求者

31、、服务提供者、服务中间人以及其他如网络基础设施等）在服务执行周期内身份是可信的，在服务执行过程中传输的数据等信息是可信的。总之，这部分研究内容将决定整个研究目标从底层和最根本的信任根上是满足可信需求的。52Trusted Service 5353/72/72可信服务关键技术研究可信服务关键技术研究l满足临时服务和快速服务重组的快速信满足临时服务和快速服务重组的快速信任可计算模型任可计算模型 信任源信息的缺乏和信息不完整性非匿名化服务难为了满足部分临时的、匿名服务以及快速服务重组的需要=信任关系的初始化研究快速产生服务信任的机制 主要包括：53Trusted Service 5454/72/72

32、可信服务关键技术研究可信服务关键技术研究1.信任关系初始化，临时服务和快速重组服务的形式化描述；2.基于认知逻辑框架的快速信任产生机制研究；3.基于本体驱动的快速信任概念模型；4.快速信任量化计算 54Trusted Service 5555/72/72可信服务关键技术研究可信服务关键技术研究这部分内容的研究重点是从认知科学的角度出发，根据信任产生的背景、时间域、动机和其他相关要素，有效准确地找出影响快速信任产生的一些主要因子，并采用本体描述的形式化方法对这些因子进行概念清晰化、规约化，然后根据信任关系构建出适应服务计算环境的快速信任可计算模型。55Trusted Service 5656/7

33、2/72可信服务关键技术研究可信服务关键技术研究l自动信任协商算法自动信任协商算法 服务组合的自动化程度要求高、部分依赖协商手段用于信任协商的智能主体(agent)信任的形式化描述预动的（proacitve）信息交换委托agent自动信任协商 主要包括：56Trusted Service 5757/72/72可信服务关键技术研究可信服务关键技术研究1.确定自动化模块以及需要依赖信任协商的部分：功能进行模块化分割采用本体形式化描述整合推理模块设计；2.可信智能代理体设计和实现：智能体功能和可信需求分析BDI+本体推理的可信智能代理体；3.自动信任协商算法：基于预动的信息交换 57Trusted

34、Service 5858/72/72可信服务关键技术研究可信服务关键技术研究 研究重点是如何根据不同的服务需求和业务流程，确定整个服务编排和动态服务组合生命周期内各自的自动化模块以及依赖信任协商的部分，并据此设计出满足功能性和可信性需求的、适用于自动信任协商的智能代理体。58Trusted Service 5959/72/72可信服务关键技术研究可信服务关键技术研究l服务可信性预测服务可信性预测 信誉的综合评价可能具有时效性和背景局限性欺骗性(竞争、自身利益、技术)统计性的趋势性、季节性以及随机性 基于随机过程的服务可信性预测是较为可行的方法。主要包括：59Trusted Service 60

35、60/72/72可信服务关键技术研究可信服务关键技术研究1.研究基于信任和信誉的时间序列分析，确定模糊非齐次马尔科夫系统的状态转移矩阵；2.求解与精化可信性与IF的关系：搜集统计序列多元回归分析确定函数关系；3.整合前述两种结果：模糊推理和凸组合；4.预测验证，回溯修正：误差极小化。60Trusted Service 6161/72/72可信服务关键技术研究可信服务关键技术研究l整体架构：可信认证（身份、数据）为底层和信任根（基）快速信任度量、自动信任协商、可信预测可信服务（服务选择、编排、组合以及动态服务重组）61Trusted Service 6262/72/72可信服务关键技术研究可信服

36、务关键技术研究基于CPK标识认证和现代信任理论为核心的先进可信技术的可信服务构建 62Trusted Service 6363/72/72可信服务关键技术研究可信服务关键技术研究面向服务计算网络环境下的快速信任概念模型 63Trusted Service 6464/72/72可信服务关键技术研究可信服务关键技术研究面向服务计算网络环境的自动信任协商实现 64Trusted Service 6565/72/72可信服务关键技术研究可信服务关键技术研究服务可信性预测的初步技术路线 65Trusted Service 6666/72/72可信服务关键技术研究可信服务关键技术研究l理论上：1.一种满足

37、服务计算环境的基于CPK标识认证和智能代理技术的可信认证体系结构；2.一种面向临时服务和快速服务重组的快速信任可计算模型；3.一种基于认知和智能代理技术的自动信任协商算法；4.一种能够有效规避趋势性、季节性和随机性等的服务可信性预测模型；66Trusted Service 6767/72/72可信服务关键技术研究可信服务关键技术研究1.在国内外高水平学术刊物和国际会议上发表不少于8-12 篇学术论文，其中高水平的学术论文不少于6 篇，国外高水平SCI源期刊文章3 篇，国际高水平会议3 篇以上；2.申请专利2 项，获得软件著作权2 项；3.协助培养博士生2 名，硕士生3 名。67Trusted

38、Service 6868/72/72可信服务关键技术研究可信服务关键技术研究1.服务计算的相关概念和对安全方面的需求分析；2.密码管理技术的基础知识，侧重于CPK标识认证技术的具体研究；3.基于认知角度的信任机制研究，包括服务信任和本体相关知识；4.智能代理即agent技术，以及自动信任协商的研究现状；5.模糊数学，回归分析等数学工具理论。68Trusted Service 6969/72/72可信服务关键技术研究可信服务关键技术研究当前计算机科学界正在涌现出来的模式：学科交叉性（生物信息学、系统科学）回归基础设施与基础理论研究69Trusted Service 7070/72/72可信服务关

39、键技术研究可信服务关键技术研究l论语为政的第15句，“学而不思则罔，思而不学殆”70Trusted Service 7171/72/72可信服务关键技术研究可信服务关键技术研究1.随机（Petri网）模型：认知世界的第一步；2.量化计算：各种数学工具，包括计算和推理，有数值上的、逻辑上的区分；3.优化控制：试验或逻辑验证，反复回溯修正；4.成果整理，形成文字或实践成果。71Trusted Service 7272/72/72可信服务关键技术研究可信服务关键技术研究l自然世界、物理世界是无序的，杂乱无章的有序化方法实现无序世界的管理；l未知的世界或知识大多数是不确定的：1.形式化：规格语言，数学模型；2.量化计算与逻辑推理：寻找一种合适的数学工具，数值或逻辑上的；3.试验设计，试验验证：包括仿真和实践。72