計算機系統(tǒng)形式化驗證中的模型檢測方法綜述_第1頁
計算機系統(tǒng)形式化驗證中的模型檢測方法綜述_第2頁
計算機系統(tǒng)形式化驗證中的模型檢測方法綜述_第3頁
計算機系統(tǒng)形式化驗證中的模型檢測方法綜述_第4頁
計算機系統(tǒng)形式化驗證中的模型檢測方法綜述_第5頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

計算機系統(tǒng)形式化驗證中的模型檢測方法綜述1形式化方法概述形式化方法是用數(shù)學(xué)和邏輯的方法來描述和驗證系統(tǒng)設(shè)計是否滿足需求。它將系統(tǒng)屬性和系統(tǒng)行為定義在抽象層次上,以形式化的規(guī)范語言去描述系統(tǒng)。形式化的描述語言有多種,如一階邏輯,Z語言,時序邏輯等。采用形式化方法可以有效提高系統(tǒng)的安全性、一致性和正確性,幫助分析復(fù)雜系統(tǒng)并且及早發(fā)現(xiàn)錯誤。形式化驗證是保證系統(tǒng)正確性的重要方法,主要包括以數(shù)學(xué)、邏輯推理為基礎(chǔ)的演繹驗證(deductiveverification)和以窮舉狀態(tài)為基礎(chǔ)的模型檢測(modelchecking)o演繹驗證是基于人工數(shù)學(xué)來證明系統(tǒng)模型的正確性。它利用邏輯公式來描述系統(tǒng),通過定理或證明規(guī)則來證明系統(tǒng)的某些性質(zhì)。演繹驗證既可以處理有限狀態(tài)系統(tǒng),又可以解決無限狀態(tài)問題。但是演繹驗證的過程一般為定理證明器輔助,人工參與,無法做到完全自動化,推導(dǎo)過程復(fù)雜,工作量大,效率低,不能適用于大型的復(fù)雜系統(tǒng),因而適用范圍較窄。常見的演繹驗證工具有HOL,ACL2,PVS和TLV等。模型檢測主要應(yīng)用于驗證并發(fā)的狀態(tài)轉(zhuǎn)換系統(tǒng),通過遍歷系統(tǒng)的狀態(tài)空間,對有限狀態(tài)系統(tǒng)進行全自動驗證,快速高效地驗證出系統(tǒng)是否滿足其設(shè)計期望。下面將主要介紹模型檢測方法的發(fā)展歷史和研究現(xiàn)狀,以及當(dāng)前面臨的挑戰(zhàn)和未來發(fā)展方向等問題。2模型檢測及相關(guān)技術(shù)模型檢測方法最初由Clarke,Emerson等人于1981年提出,因其自動化高效等特點,在過去的幾十年里被廣泛用于實時系統(tǒng)、概率系統(tǒng)和量子等多個領(lǐng)域。模型檢測基本要素有系統(tǒng)模型和系統(tǒng)需滿足的屬性,其中屬性被描述成時態(tài)邏輯公式。檢測系統(tǒng)模型是否滿足時態(tài)邏輯公式,如果滿足則返回是,不滿足則返回否及其錯誤路徑或反例。時態(tài)邏輯主要有線性時態(tài)邏輯LTL(LinearTemporalLogic)和計算樹邏輯CTL(ComputationTreeLogic)。2.1線性時態(tài)邏輯對一個系統(tǒng)進行檢測,重要的是對系統(tǒng)狀態(tài)正確性要求的形式化,其中一個基本維度是時間,同時需要知道檢驗結(jié)果與時間維度的關(guān)系。使用線性時態(tài)邏輯(LTL)來描述系統(tǒng),可以使得系統(tǒng)更容易被理解,證明過程更加直截了當(dāng)。LTL公式是一種線性時態(tài)邏輯。它在表示授權(quán)約束時,定義了無限的未來和過去,這樣擴展了常用語義,并且保證了證明中判定的結(jié)果在各個時間點中都是成立的。LTL公式用邏輯連接符和時態(tài)算子表達系統(tǒng)運行時狀態(tài)之間的關(guān)系。LTL的邏輯連接符包括:(與),(或),|(非),(邏輯包含),(邏輯對等)。時態(tài)算子包括:G(Globally),U(Until),F(Future),X(neXt-time)。LTL模型檢測驗證系統(tǒng)狀態(tài)轉(zhuǎn)換模型是否滿足屬性,使用可滿足性判定,即為檢測系統(tǒng)模型M中是否存在從某個狀態(tài)出發(fā)的并滿足LTL公式|的路徑,如果所有路徑都滿足LTL公式則不存在有路徑滿足|。使用LTL公式也有一定的局限性,LTL公式只能包括全稱量詞,對于混用了全稱和存在量詞的性質(zhì),一般無法用這種方法進行模型檢測。2.2計算樹邏輯計算樹即為通過將遷移系統(tǒng)M某一狀態(tài)作為根,將M用樹形結(jié)構(gòu)展開表示出來,CTL使用路徑量詞(包括:A(All),E(Exist))和時態(tài)算子(包括F,G,X,U)對計算樹屬性進行形式化的描述,表示出系統(tǒng)的狀態(tài)變化以及狀態(tài)的分枝情況。LTL的時間定義是與路徑相關(guān)的,每個時刻只有唯一的一個后繼狀態(tài)。LTL可用于有重點的選擇感興趣的路徑分析,并且LTL可以表達公平概念而CTL不能。但是對于一些復(fù)雜屬性,如每個計算總是可能返回到初始狀態(tài),LTL將無法描述,但是CTL可以。CTL的時間定義是與狀態(tài)相關(guān)的,每個狀態(tài)都有多個可能的后繼狀態(tài),從一個給定的狀態(tài)量化分離出路徑,能夠斷言行為的存在。CTL可以用路徑量詞E,而LTL不可以;CTL公式使用路徑量詞A時與LTL公式表達內(nèi)容可以相同。LTL和CTL各有優(yōu)勢,Emerson等人提出擴展的時間邏輯CTL,提供了一種統(tǒng)一的框架,包含了LTL和CTL,但是可滿足性判定代價較高。2.3模型檢測工具模型檢測因其自動化、高效等特點得到廣泛應(yīng)用,各類模型檢測工具也層出不窮。以下是幾類典型的模型檢測工具。SPIN是1980年美國貝爾實驗室開發(fā)的模型檢測工具,主要關(guān)心系統(tǒng)進程間的交互問題。它以promela為建模語言,以LTL為系統(tǒng)屬性的邏輯描述語言,支持on-the-fly技術(shù),可以根據(jù)用戶的需要生成系統(tǒng)的部分狀態(tài),而無需構(gòu)建完整的狀態(tài)遷移圖。SPIN驗證器無法驗證實時系統(tǒng)。NuSMV是1987年由McMillan提出的開源的符號模型檢測工具。它可以工作于批處理模式,也可以工作于交互模式。NuSMV采用擴展的SMV語言描述系統(tǒng),并用CTL和LTL描述需求°NuSMV結(jié)合了以可滿足性(SAT)為基礎(chǔ)的模型檢測和以二叉決策樹BDD(BinaryDecisionDiagram)為基礎(chǔ)的模型檢測。它具有健壯性,以模塊形式構(gòu)建,不同模塊間無依賴關(guān)系,代碼易修改。提供了同步模型和異步模型的分區(qū)方法,可以結(jié)合可達性分析,驗證不變性質(zhì)。NuSMV非常靈活,使用者可以控制并且可以改變其系統(tǒng)模塊的執(zhí)行順序,并且可以檢查和修改系統(tǒng)的內(nèi)部參數(shù)來調(diào)整驗證過程。普通的有限狀態(tài)轉(zhuǎn)換圖無法模擬動態(tài)變化的物理環(huán)境,于是出現(xiàn)了由時間自動機與有著一系列變量的狀態(tài)轉(zhuǎn)換圖結(jié)合而成的新模型。UPPAAL就是基于這種模型的成熟的實時系統(tǒng)驗證工具。UPPAAL是1995年由Aallorg大學(xué)和Uppsala大學(xué)共同提出,具有可視化圖形編輯器。它基于時間自動機并對其進行擴展,引入了堅定位置、初始化程序、緊迫位置和緊迫管道等概念,有助于對真實系統(tǒng)進行建模,并能夠有效減少系統(tǒng)內(nèi)存占用。它被用于檢測不變量和可達性屬性,尤其是檢測時間自動機的控制節(jié)點某些組合以及變量約束是否滿足初始配置。CPN-Tool是由Aarhut大學(xué)開發(fā)的工具,用于有色petri網(wǎng)CPN(ColoredPetriNet)的構(gòu)造和分析。有色petri網(wǎng)是用于對系統(tǒng)進行建模并驗證其并發(fā)、通信和同步的語言,是一種描述離散事件的圖形化建模語言。它基于metalanguage,并有強大的可擴展性。它能夠通過仿真分析系統(tǒng)的行為,通過模型檢測驗證系統(tǒng)屬性。對于狀態(tài)爆炸問題,CPN-Tool有很多方法來減少狀態(tài)數(shù)量,Christensen等人使用全局時鐘和時間戳作為標記,通過狀態(tài)等價關(guān)系化簡狀態(tài)空間,將無限狀態(tài)轉(zhuǎn)化為有限狀態(tài)。2.4狀態(tài)爆炸問題模型檢測使用狀態(tài)空間檢索來進行系統(tǒng)驗證。狀態(tài)空間檢索的主要缺點就是狀態(tài)空間隨著進程數(shù)量增CTL使用路徑量詞(包括:A(All),E(Exist))和時態(tài)算子(包括F,G,X,U)對計算樹屬性進行形式化的描述,表示出系統(tǒng)的狀態(tài)變化以及狀態(tài)的分枝情況。CTL和LTL都有強大的表達能力。LTL的時間定義是與路徑相關(guān)的,每個時刻只有唯一的一個后繼狀態(tài)。LTL可用于有重點的選擇感興趣的路徑分析,并且LTL可以表達公平概念而CTL不能。但是對于一些復(fù)雜屬性,如每個計算總是可能返回到初始狀態(tài),LTL將無法描述,但是CTL可以°CTL的時間定義是與狀態(tài)相關(guān)的,每個狀態(tài)都有多個可能的后繼狀態(tài),從一個給定的狀態(tài)量化分離出路徑,能夠斷言行為的存在。CTL可以用路徑量詞E,而LTL不可以;CTL公式使用路徑量詞A時與LTL公式表達內(nèi)容可以相同°LTL和CTL各有優(yōu)勢,Emerson等人提出擴展的時間邏輯CTL,提供了一種統(tǒng)一的框架,包含了LTL和CTL,但是可滿足性判定代價較高。3模型檢測的新進展盡管模型檢測驗證能力在不斷增強,可是對于復(fù)雜系統(tǒng)的驗證仍然面臨許多挑戰(zhàn)。驗證混成系統(tǒng)時,由于其狀態(tài)空間龐大,對于一些基礎(chǔ)問題的驗證,具有不可判定性。驗證系統(tǒng)的訪問控制策略時,一條策略可能包含大量規(guī)則,如何對策略建模成為難點。驗證多智能系統(tǒng)MAS(Multi-AgentSystem)時,由于MAS出現(xiàn)的目的就是用多個模塊來解決單一模塊無法解決的復(fù)雜問題,因此MAS的使用環(huán)境一般較為復(fù)雜,行為多樣且具有隨機性,驗證難度較大。本文針對上述難題,提出一些解決方法如下。驗證混合自動機。Krishna等人用混合自動機模型化物聯(lián)網(wǎng)系統(tǒng),并且用LTL模型檢測進行驗證。在使用LTL模型檢測混合自動機時,由于LTL具有不可判定性,引入互模擬的概念,并表明一個有限互模擬的存在意味著使得LTL模型檢測問題的可判定。驗證訪問控制安全策略。Maarabani等人將組織間模型O2O(OrganizationtoOrganizationmodel)與LTL模型相結(jié)合,來驗證互操作訪問控制安全策略。將每一個O2O策略分別用兩個LTL公式表示,進行驗證。Hwang,Tao等人定義了一個新的工具ACPT(AccessControlPolicyTesting),將策略制定者的安全需求,轉(zhuǎn)化成可執(zhí)行的策略,并根據(jù)需要對訪問控制策略進行動態(tài)和靜態(tài)驗證驗證MAS。Meski等人用基于SAT的限界模型檢測和基于BDD的限界模型檢測分別驗證多智能系統(tǒng)MAS,并對兩種驗證方法的時間和內(nèi)存耗費方面等進行比較。由于目前對MAS的驗證技術(shù)不支持主流驗證工具,且輸入形式單一,Hunter等人提出擴展驗證框架可以支持多種輸入,并且提供翻譯器將輸入翻譯為多個主流驗證工具的輸入語言,利用現(xiàn)有的驗證工具對MAS進行驗證。由于MAS的使用環(huán)境相對復(fù)雜,其行為具有隨機性,Song針對MAS行為具有隨意性的難題,提出一種概率建模語言對MAS的進行描述,并提出相應(yīng)的模型檢測框架。4結(jié)束語形式化驗證方

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論