Nozioni di Opacità e Osservabilità Critica, esatte e approssimate per sistemi di transizione metrici

Capitolo 4. Stimatori

4.1 Stimatore agli stati iniziali

4.2 Stimatore agli stati correnti

Capitolo 5. Esempi sull’analisi dell’opacità e dell’osservabilità critica

5.1 Costruzione degli stimatori

5.2 Analisi degli stimatori e condizioni da verificare

2 Indice

________________________________________________________________________________________________

5.2.1 Condizioni sull’opacità (esatta e approssimata)

sull’osservabilità critica (esatta e approssimata)

5.2.2 Condizioni

5.3 Applicazioni pratiche: Opacità e Osservabilità critica esatte

5.4 Applicazioni pratiche: Opacità e Osservabilità critica δ-approssimate

Conclusioni

Bibliografia

Appendice A: Calcoli sulle nozioni esatte

Appendice B: Calcoli sulle nozioni approssimate

Appendice C: Dimostrazioni delle nozioni forti dell’ Osservabilità critica

3 Introduzione

________________________________________________________________________________________________

Introduzione

I sistemi cyber-fisici (Cyber-Phisical-Systems, CPS) sono sistemi derivanti da strette interazioni di

sistemi dinamici e dispositivi computazionali. Tali sistemi sono generalmente molto complessi e

presentano comportamenti sia continui che discreti, il che rende la verifica e la progettazione di tali

sistemi significativamente impegnative. In particolare, le componenti di CPS sono generalmente

collegate tramite reti di comunicazione per acquisire e scambiare informazioni in modo da poter

ottenere alcune funzionalità globali del sistema. Tuttavia, questo porta anche nuove sfide per la

verifica e la progettazione di CPS, poiché la comunicazione tra il sistema e le componenti, può

rilasciare informazioni che potrebbero compromettere la sicurezza dell’intero sistema. Pertanto, è

importante poter determinare quali informazioni possano essere rilasciate e quali no.

Vengono dunque esaminate due importanti proprietà di sicurezza del flusso di informazioni,

chiamate opacità e osservabilità critica. In parole povere, l'opacità è una proprietà di riservatezza

di quest’ultimo

legata al sistema stesso, che rileva se il "segreto" possa essere rivelato o meno ad un

intruso (il quale deduce il comportamento reale del sistema in base al flusso di informazioni che

L’osservabilità

aquisisce). critica è invece una proprietà di sicurezza, legata a delle dinamiche

“critiche”,

denominate ovvero a dei malfunzionamenti del sistema (le quali devono essere

individuabili e distinguibili).

In questa tesi, le due proprietà verranno studiate più approfonditamente nel contesto di sistemi ad

eventi discreti (Discrete-Event Systems (DES)), un'importante classe di sistemi dinamici guidati da

Poiché l'opacità e l’osservabilità critica sono delle proprietà del

eventi con spazi di stato discreti.

flusso di informazioni, la loro definizione dipende strettamente dal modello informativo del sistema.

In generale, un sistema si dice opaco se qualsiasi suo comportamento segreto risulta celato e

difficilmente individuabile; differentemente, un sistema si dice criticamente osservabile se le

Per l’analisi

criticità possono essere sempre indubbiamente individuabili. delle due proprietà, viene

adottato un modello basato sull'osservazione degli eventi, ovvero alcuni eventi del sistema (etichette

di stato) sono osservabili o distinguibili mentre alcune non lo sono.

E’ possibile, ad esempio, analizzare tali proprietà su un sistema ad output simbolico, ovvero un

sistema le cui uscite sono associate a dei livelli logici, in cui è possibile distinguere con precisione

due uscite con etichette diverse. Le proprietà di opacità e di osservabilità critica associate a questa

“esatte”. L’analisi delle proprietà esatte,

classificazione di sistemi, vengono denominate risulta

essere molto significativa per i sistemi i cui set di output non sono metrici, ad es. sistemi discreti le

cui uscite sono, appunto, eventi logici. Tuttavia, per molte applicazioni del mondo reale le cui uscite

sono segnali fisici, invece di dire semplicemente che due eventi sono distinguibili o indistinguibili,

è possibile effettuare una misurazione per valutare quantitativamente la vicinanza di due risultati.

Tali sistemi sono indicati come sistemi metrici, in cui gli insiemi delle uscite sono dotati di metriche

appropriate. Per i sistemi metrici, se due segnali sono molto vicini tra loro, sarà molto difficile

distinguerli in modo univoco a causa della precisione di misurazione o di potenziali rumori e

disturbi di misurazione. Pertanto, le definizioni esatte di opacità e osservabilità critica risultano

essere troppo forti per i sistemi metrici poiché implicitamente si assume che si possa sempre

distinguere due segnali di uscita anche quando sono arbitrariamente vicini l'uno all'altro.

4 Introduzione

________________________________________________________________________________________________

In [01] viene proposto un nuovo concetto chiamato opacità approssimata che è applicabile ai sistemi

metrici. In particolare, vengono trattate due uscite come uscite "indistinguibili" se loro la distanza

(misurata) è inferiore a un dato parametro di soglia δ ≥ 0, in cui δ rappresenta la precisione con cui

l’intruso è obbligato a misurare le uscite per poterle distinguere. Vengono considerate tre tipologie

di opacità: Opacità δ-approssimata l’intruso non possa

I. agli stati iniziali: Richiede che mai

distinguere se l’evoluzione del sistema abbia origine da uno stato segreto.

Opacità δ-approssimata l’intruso non possa

II. agli stati correnti: Richiede che mai

distinguere se il sistema raggiunga uno stato segreto.

Opacità δ-approssimata

III. a step infiniti : Richiede che l'intruso non possa mai determinare

se il sistema sia in uno stato segreto per una qualsiasi evoluzione del sistema, se la sua

precisione di misura non è superiore a δ.

invece di richiedere l’opacità esatta a tutto il sistema, le opacità δ

Intuitivamente, -approssimate

forniscono delle versioni rilassate (più deboli) di opacità.

L’osservabilità critica “esatta” introdotta in [04], viene trattata ed implementata allo stesso modo;

considerando infatti una tolleranza δ ≥ 0 legata a errori o a potenziali disturbi durante la

misurazione delle uscite, è possibile definire delle forme di osservabilità critica meno restrittive, e

meglio applicabili a sistemi metrici.

Vengono implementate due nozioni di osservabilità critica basate sulle etichette di stato:

δ-approssimata Richiede che l’osservatore sia

I. Osservabilità critica agli stati iniziali:

sempre in grado di determinare se l’evoluzione del sistema sia stata originata da uno

stato critico. δ-approssimata Richiede che l’osservatore sia

II. Osservabilità critica agli stati correnti :

sempre in grado di determinare se il sistema raggiunga uno stato critico.

Dalle nozioni esatte introdotte in [04], vengono implementate anche due nuove forme di

“forti”. L’asserzione a tali proprietà permette non solo di

osservabilità critica, denominate

determinare quando il sistema si trovi in uno stato critico, ma anche di distinguere le diverse

Le nozioni forti dell’osservabilità critica

criticità che possono coesistere in uno stesso sistema.

vengono anch’esse analizzate servendosi della tolleranza δ ≥ 0. Chiaramente, le nozioni

quando δ = 0.

approssimate di opacità e osservabilità critica, si riducono fino a quelle esatte

e dell’osservabilità critica

Lo studio dell’opacità di un sistema viene successivamente affrontato

attraverso le tecniche proposte in [01], le quali prevedono la costruzione di un nuovo sistema

“stimatore di stato”,

denominato che tiene traccia di tutti i possibili stati coerenti con

l’osservazione.

L’utilizzo di questi nuovi sistemi permette di determinare a quali nozioni di opacità e osservabilità

critica il sistema riesce ad asserire; lo scopo principale è quello di riuscire a determinare se, e in che

δ

modalità, le diverse nozioni risultino affermate. La variazione del parametro permette di

5 Introduzione

________________________________________________________________________________________________

comprendere come mutino le nozioni di opacità e quelle di osservabilità critica nel caso di sistemi

“reali”. Durante lo studio delle nozioni approssimate, si avranno dunque diversi stimatori, ottenuti

δ.

tramite variazione della tolleranza

L’analisi “vicinanza tra due segnali di uscita”,

dei sistemi avviene considerando la in cui le uscite

sono, come già introdotto, basate sugli stati; la metrica utilizzata per determinare la distanza tra due

uscite, è la medesima introdotta in [01]. Oltretutto, dal momento che le uscite sono basate sugli

stati, le transizioni che permettono al sistema di evolvere vengono considerate generiche; come

verrà successivamente introdotto, la costruzione degli stimatori non dipende dal tipo di transizione,

ma dalla generica possibilità di avere una transizione a partire da uno stato.

Si supponde dunque che l’osservatore possa distinguere l’evoluzione del sistema, unicamente dalle

etichette di uscita associate agli stati. 6 Capitolo 1

________________________________________________________________________________________________

Capitolo 1. Concetti fondamentali

1.1 Modelli di Sistemi: La nozione di "sistema" introdotta in [02] permette di descrivere sia

sistemi di controllo a spazio continuo che sistemi di controllo a spazio finito; tale nozione verrà

impiegata per la rappresentazione di un Cyber-Phisical-System.

Definizione 1.1: Un sistema S è una tupla

= (, , , → , , ) (1.1)

0

in cui:

• è l’insieme degli stati

• è l’insieme

⊆ degli stati iniziali

0

• è l’insieme degli

ingressi

• → ⊆ × × è la funzione di transizione

• è l’insieme delle uscite

• ∶ → è la funzione di uscita +

se l’insieme delle uscite : × → ℝ

Un sistema S viene detto metrico Y è dotato di una metrica .

0

Un sistema S viene detto finito se gli insiemi X e U hanno cardinalità finita.

′ L’