形式化验证讲义
- 格式:ppt
- 大小:1.23 MB
- 文档页数:24
文档推荐
-
形式化验证:从混成系统到CPS页数:8
-
形式化验证讲义页数:24
-
第二十一章 形式化建模与验证页数:29
-
形式化方法--程序的正确性验证-14页数:11
-
形式化验证笔记页数:2
-
第5章 形式化验证1页数:97
-
形式化验证操作系统页数:4
下载文档原格式
合集下载
网络安全协议的形式化分析与验证教学课件作者李建华第三章基于模型检测技术的安全协议分析方法课件
另一种则是综合利用定理证明技术来推理所需的安全性质。
3.2.1 CSP的基本概念
1.事件
协议是通过实体间执行一系列的事件(Event)来执行的, 所有可能事件的集合记为∑。
一个典型的CSP事件表示为c.i.j.m,包括一个信道c、一个 消息源i、一个消息目的地j和一个消息m。
3.2.1 CSP的基本概念
3.2.1 CSP的基本概念
3.迹
一个进程的迹(Traces)模型描述了该进程所有可 能的事件序列。例如:
Traces(STOP)={< >},其中< >是一个空序列,即不管 观察STOP进程多长时间,它都是什么也不做。
Traces(P.a→P□b→SKIP)={<a>n, <a>n<b>,<a>n<b,√>|nN},其中ab表示a和b的串联,sn 是s的n个副本的串联;√是发送终止信号的事件,当该 信号在迹中出现时就是迹中的最后一个元素。
每一个进程都受到一个特定事件集合的控制。在CSP中,称这类事件 集 是X合和为Y进,程即字P一母定表同。意PX所|| Y有QX表中示的P与通Q信并,联而,Q并一且定P同和意Q所的有字Y母中表的分通别信。
3.2.1 CSP的基本概念
(11)成功终止 SKIP
成功终止通常是由一个进程主动产生的。
协议执行过程中,主体收发消息的动作会引起局部状态的改变,进而 也引起全局状态的改变;
在安全协议全局状态上定义安全属性或不变关系,则安全协议是否满 足安全目标等价于在系统可达的每个全局状态上安全属性或不变关系 是否都能得到满足。
引言
安全协议的模型检测分析方法取得了很大的成功,其优点 是自动化程度高,可以借助自动分析工具来完成分析过程 而不需要用户的参与,并且安全协议存在缺陷时能够自动 生成相应的攻击实例。
3.2.1 CSP的基本概念
1.事件
协议是通过实体间执行一系列的事件(Event)来执行的, 所有可能事件的集合记为∑。
一个典型的CSP事件表示为c.i.j.m,包括一个信道c、一个 消息源i、一个消息目的地j和一个消息m。
3.2.1 CSP的基本概念
3.2.1 CSP的基本概念
3.迹
一个进程的迹(Traces)模型描述了该进程所有可 能的事件序列。例如:
Traces(STOP)={< >},其中< >是一个空序列,即不管 观察STOP进程多长时间,它都是什么也不做。
Traces(P.a→P□b→SKIP)={<a>n, <a>n<b>,<a>n<b,√>|nN},其中ab表示a和b的串联,sn 是s的n个副本的串联;√是发送终止信号的事件,当该 信号在迹中出现时就是迹中的最后一个元素。
每一个进程都受到一个特定事件集合的控制。在CSP中,称这类事件 集 是X合和为Y进,程即字P一母定表同。意PX所|| Y有QX表中示的P与通Q信并,联而,Q并一且定P同和意Q所的有字Y母中表的分通别信。
3.2.1 CSP的基本概念
(11)成功终止 SKIP
成功终止通常是由一个进程主动产生的。
协议执行过程中,主体收发消息的动作会引起局部状态的改变,进而 也引起全局状态的改变;
在安全协议全局状态上定义安全属性或不变关系,则安全协议是否满 足安全目标等价于在系统可达的每个全局状态上安全属性或不变关系 是否都能得到满足。
引言
安全协议的模型检测分析方法取得了很大的成功,其优点 是自动化程度高,可以借助自动分析工具来完成分析过程 而不需要用户的参与,并且安全协议存在缺陷时能够自动 生成相应的攻击实例。
认识形式化验证
认识形式化验证 软件开发中⼀般使⽤“测试”来找bug,这种⽅法只能找到bug,不能证明程序没有bug。
形式化验证是⽤逻辑来验证程序的可靠性,就是把⼀段程序⽤逻辑的⽅法证明⼀遍,证明它能得到预期的结果,没有bug。
⼀般这类研究主要应⽤于昂贵的航天器材的操作系统、危险的医疗设备的程序之中。
因为航天器材、医疗设备牵扯到⼈的⽣命,如果操作系统出现错误,那么很危险,⼜不能⽤测试⼀遍⼀遍的测,所以⽤形式化验证来做。
⽐如美国航天局NASA就会雇佣⼤批形式化验证的专家来验证他们操作系统的正确性。
学习这个⽅向,最好有⽐较好的逻辑知识(数理逻辑、拉姆达验算),最好⽐较了解程序(⽐如操作系统的设计、编译器的设计等)。
这个⽅向是⽐较犀利的研究⽅向,但不⼤容易出论⽂,需要长时间积累才能发⼀篇好论⽂。
这个⽅向只是科研⽅向,不适合找⼯作,如果你读完硕⼠打算找⼯作⽽不做研究,这个⽅向不适合。
因为企业没⼈⽤形式化验证来验证程序。
Formal Verification(形式验证) 在计算机硬件(特别是集成电路)和软件系统的设计过程中,形式验证的含义是根据某个或某些形式规范或属性,使⽤数学的⽅法证明其正确性或⾮正确性。
形式验证是⼀个系统性的过程,将使⽤数学推理来验证设计意图(指标)在实现(RTL)中是否得以贯彻。
形式验证可以克服所有3种仿真挑战,由于形式验证能够从算法上穷尽检查所有随时间可能变化的输进值。
形式验证形式验证的出现 由于仿真对于超⼤规模设计来说太耗费时间,形式验证就出现了。
当确认设计的功能仿真是正确的以后,设计实现的每⼀个步骤的结果都可以与上个步骤的结果做形式⽐较,也就是等价检查,如果⼀致就说明设计合理,不必进⾏仿真了。
形式验证主要是进⾏逻辑形式和功能的⼀致性⽐较,是靠⼯具⾃⼰来完成,⽆需开发测试向量。
⽽且由于实现的每个步骤之间逻辑结构变化都不是很⼤,所有逻辑的形式⽐较会⾮常快。
这⽐仿真的时间要少很多。
⼀般要做形式验证的步骤有:RTL和RTL。
Formily讲解_2
的模块名) • 在Set and link the top design中点击Set Top
设置Implementation Design
• 点击Implement按钮,在Read Design Files 中点击Veril og,出现Add verilog files对话框,
• 选择netlist_w_svf目录下的verlog网表文件mR4000.gat es.v
• 选择Set Top Design,在Choose a library中选择WORK ( Design Library)
• 在Choose a design中选择顶层模块名mR4000 • 点击Set Top按钮。此时在Implementation出现绿色的
对号符。
Match
• 检查reference design 和 Implemention des
4
5 6 7
内容
形式化验证简介
形式化验证的优点
Formality同其他的工具的区别 Formality使用范围 重要概念 Formality工作流程 Formality操作方法
形式化验证简介
形式化验证方法不需要仿真向量,通过数学方法比较实现 与参考是否等价。
Reference Design
module top (…); always @ (posedge clk) . . . endmodule
• 一般调试是从cell数目最小的compare point开始 。在这里我们从第一个compare point开始。
• 选择错误点, 击鼠标右键,选择菜单中的view Lo gic Cones,出现Logic Cones View窗口。
• 在这个新窗口里显示的是reference design 和Imeplemention design的原理图,
设置Implementation Design
• 点击Implement按钮,在Read Design Files 中点击Veril og,出现Add verilog files对话框,
• 选择netlist_w_svf目录下的verlog网表文件mR4000.gat es.v
• 选择Set Top Design,在Choose a library中选择WORK ( Design Library)
• 在Choose a design中选择顶层模块名mR4000 • 点击Set Top按钮。此时在Implementation出现绿色的
对号符。
Match
• 检查reference design 和 Implemention des
4
5 6 7
内容
形式化验证简介
形式化验证的优点
Formality同其他的工具的区别 Formality使用范围 重要概念 Formality工作流程 Formality操作方法
形式化验证简介
形式化验证方法不需要仿真向量,通过数学方法比较实现 与参考是否等价。
Reference Design
module top (…); always @ (posedge clk) . . . endmodule
• 一般调试是从cell数目最小的compare point开始 。在这里我们从第一个compare point开始。
• 选择错误点, 击鼠标右键,选择菜单中的view Lo gic Cones,出现Logic Cones View窗口。
• 在这个新窗口里显示的是reference design 和Imeplemention design的原理图,
形式化验证方法浅析
形式化验证方法浅析随着信息技术的不断发展,软件系统已经成为现代社会和经济的基础设施之一。
软件系统的正确性和可靠性越来越受到重视,因为软件错误会带来巨大的经济损失和安全隐患。
为了提高软件系统的质量和可靠性,形式化验证方法逐渐成为了重要的研究领域。
本文将对形式化验证方法进行一定的浅析,介绍其基本概念、原理和应用。
一、形式化验证方法的基本概念形式化验证是一种基于数学逻辑的方法,通过数学语言描述待验证系统的行为规范或性质,然后利用自动化或手工化的技术对系统进行验证。
形式化验证方法主要包括模型检测、定理证明和符号执行等技术,其中模型检测和定理证明是相对常见和成熟的技术。
模型检测是一种自动化验证技术,它通过穷举系统的所有可能状态来检测系统是否满足给定的性质。
模型检测的核心就是构建系统的状态转移模型,然后利用状态空间搜索算法进行验证。
常用的状态空间搜索算法包括符号模型检测、显式状态搜索和隐式状态搜索等。
模型检测方法的优点是自动化程度高,能够发现系统中的错误和性质违反情况,但是其缺点是状态空间爆炸问题,对于大规模的系统往往难以处理。
定理证明是一种手工化验证技术,它通过数学推理和演绎来证明系统是否满足给定的性质。
定理证明的核心是将系统的行为规范或性质转化为逻辑公式,然后利用数学推理规则和定理证明工具来验证系统。
定理证明方法的优点是能够处理复杂的性质和系统,但是其缺点是依赖于人工的推理和分析,效率较低并且受到形式化规约的限制。
1. 系统建模:形式化验证的第一步是对系统进行建模,将系统的行为规范或性质形式化描述。
系统建模可以采用多种形式化语言和工具,如时序逻辑、Petri网、状态机和模型检测工具等。
建模的目的是将系统的行为抽象化和形式化,为后续的验证工作奠定基础。
2. 性质描述:形式化验证的第二步是对系统的性质进行描述,通常包括功能性要求和安全性要求。
功能性要求是描述系统的期望行为,如正确性、完备性和一致性等;安全性要求是描述系统的禁止行为,如死锁、饥饿和冲突等。
形式化验证标准
形式化验证标准
一、数学逻辑
形式化验证始于数学逻辑。
在计算机科学中,数学逻辑被广泛用于证明程序的正确性。
形式化验证利用数学逻辑的严谨性,通过定义和定理来证明程序的正确性。
二、形式化语言
形式化语言是形式化验证的基础。
它是一种精确、严谨的语言,用于描述程序的行为和性质。
形式化语言通常包括数据类型、函数、程序等元素,以及这些元素的操作和关系。
三、形式化推理
形式化推理是形式化验证的核心。
它是一种基于数学逻辑的推理方法,用于证明程序的正确性。
形式化推理包括定理证明、模型检验等技术。
四、形式化模型
形式化模型是形式化验证的关键。
它是一种精确的模型,用于描述程序的行为和状态。
形式化模型通常包括状态机、进程代数、Petri网等。
五、形式化测试
形式化测试是形式化验证的重要手段。
它是一种基于数学逻辑的测试方法,用于检测程序的错误和漏洞。
形式化测试包括模型检验、符号执行等技术。
六、形式化校验
形式化校验是形式化验证的重要环节。
它是一种基于数学逻辑的校验方法,用于检查程序是否符合规范和要求。
形式化校验包括程序规范检查、代码审查等技术。
七、形式化保证
形式化保证是形式化验证的目标。
它是一种基于数学逻辑的保证方法,用于证明程序的正确性和安全性。
形式化保证包括程序证明、安全性证明等技术。
八、形式化符号
形式化符号是形式化验证的工具。
它是一种符号化的表示方法,用于描述程序的语义和行为。
形式化符号包括一阶逻辑、模态逻辑等。
第七讲 形式验证
yˆ1 = ab + (a ⊕ b) c = ab + (ab + ab)ic = abc + abc + abc + abc
yˆ2 = (a ⊕ b ⊕ c)id = abcd + abcd + abcd + abcd
yˆ3 = (a ⊕ b ⊕ c ⊕ d ) = abcd + abcd + abcd + abcd + abcd + abcd + abcd + abcd
是否相等?
z 所谓形式验证,是指从数学上完备地证明或验 证电路的实现方案(简称实现)是否确实实现 了电路设计描述(简称描述)的功能。
4
1.3 形式验证
形式验证的优点
z 1. 首先,由于形式验证技术是借用数学上的方法 将待验证电路和功能描述或参考设计直接进行比 较,因此测试者不必考虑如何获得测试向量。
z 等效性检验应用最为广泛,它用数学方法来验 证参考设计与修正设计之间的等效性。
2.1等效性检验
应用场合
7
2.1等效性检验
基于布尔代数的等价性验证
a b
进位
c
FA
和
进位
d
HA
和
a b
y1
y2
c
y3
d
进位 HA
和
进位 HA
和
进位 HA
和
≥1
yˆ1
yˆ2 yˆ3
2.1等效性检验
基于布尔代数的等价性验证
z 2. 其次,形式验证是对指定描述的所有可能的情 况进行验证,而不是仅仅对其中的一个子集进行 多次试验,因此有效地克服了模拟验证的不足。
形式化验证操作系统
形式化验证操作系统形式化验证操作系统是指使用数学和逻辑推理的方法来验证操作系统的正确性和可信性。
这种验证方法通过形式化规范和精确的证明来检查操作系统设计和实现中可能存在的错误和安全漏洞。
下面将介绍形式化验证操作系统的背景、方法和应用。
背景:操作系统是一个复杂的软件系统,负责管理计算机的硬件资源和提供服务。
操作系统的正确性至关重要,因为操作系统中的错误和漏洞可能导致系统崩溃、数据丢失、安全漏洞等严重后果。
传统的测试方法对于操作系统的验证来说是不够的,因为测试只能覆盖有限的场景,而操作系统的功能和交互非常复杂。
形式化验证通过形式化规范和证明来检查操作系统的设计和实现是否满足预期的性质,能够提供更严谨和全面的验证。
方法:1.型检查:使用类型系统对操作系统的源代码进行静态检查,识别类型错误和不合理的操作。
2.模型检查:将操作系统的设计和实现抽象为一个有限状态机或其他形式的模型,然后使用模型检查工具来自动验证这个模型是否满足预期的性质。
3.定理证明:将操作系统的设计和实现表示为一组数学公理和规则,然后使用定理证明工具来证明这些公理和规则,以及预期的性质是否成立。
4.符号执行:通过对操作系统的源代码进行符号执行,自动生成可能的执行路径,并使用约束求解器来判断这些路径是否满足预期的性质。
5.静态分析:对操作系统的源代码进行静态分析,通过检查代码中的约束、不变量和错误模式来发现潜在的错误和漏洞。
应用:1. seL4操作系统:seL4是一个基于L4微内核的开源操作系统,使用形式化验证的方法对其进行了验证。
seL4的正确性和安全性已经由严格的数学证明证明。
2. CertiKOS:CertiKOS是一个基于Coq证明助手的操作系统,能够提供严格和可信的正确性证明。
CertiKOS被广泛应用于关键系统的开发和安全性验证。
3. Linux核心验证项目:Linux核心验证项目使用Coq证明助手对Linux核心模块的功能和安全性进行了验证,并发布了一系列的验证结果和工具。
形式化验证笔记
形式化验证笔记2.2 形式化方法简介形式化方法是一类基于数学的用于精确化规范说明、开发和验证软件和硬件系统的多种方法的总称[28]。
对软件和硬件设计使用形式化方法是为了通过利用适当的数学分析方法,来保证设计的正确性、可靠性和健壮性。
形式化方法一般可以分为形式化规范说明(Formal Specification)和形式化验证(Formal Verification)两大类。
其中形式化验证又可分为定理证明(Theorem Proving)、模型检测(Model Checking)和自动测试用例生成(Automated Test Case Generation)三类。
其中定理证明也称演绎验证(Deductive Verification)。
本文中采用的形式化验证方法属于定理证明的范畴。
下面简要介绍一下这三种形式化验证技术:, 模型检测:模型检测是一种通过对目标系统建立一个有限的模型,并在模型发生改变时,检测某系统属性(如安全性和活性)在该模型中是否保持的技术。
从本质上讲,模型检测技术就是穷尽地对状态空间搜索,并通过模型的有限性来保证该搜索过程一定会终止。
最初模型检测应用在硬件和协议验证领域,大为成功,后来在软件系统的验证上也得到了广泛应用。
, 定理证明:定理证明是一种用某种数学逻辑公式来表达系统及其属性的技术,该数学逻辑公式被定义为一个形式化系统,包含一系列系统公理、已证明的定理及其推论,定理证明的本质就是基于该形式化系统,找到某属性的一个证明的过程。
定理证明通常被应用于对软硬件系统重要属性的机械化验证。
与模型检测的不同是,定理证明一般是需要人辅助来交互地完成证明的,而模型检测可以达到完全的自动化。
由于使用了结构归纳(Structural Induction)等技术,定理证明可以处理无限的状态空间,这一点是模型检测难以做到的。
但由于需要人的参与,定理证明一般较慢且易出错,这一点上模型检测则做得更好。
, 自动测试用例生成:自动测试用例生成是一种通过形式化地分析系统规范说明以及代码,并且通过机械推理技术来实现自动化地给出完全覆盖的测试用例算法的技术。
形式化验证方法浅析
形式化验证方法浅析形式化验证是一种计算机辅助验证的方法,它通过数学逻辑和形式化规范来证明一个系统或软件的正确性、安全性和性能等属性。
相比传统的测试和代码审查方式,形式化验证可以检测到更深层次的问题,并能够提供数学证明的保证,为软件和系统的开发提供了一种全新的验证方法。
形式化验证方法的基本步骤包括问题建模、规范化、验证、分析和优化等过程。
比如一个安全系统的形式化验证一般可以分为以下几个步骤:1.问题建模:将安全系统分解成一个个模块,每个模块分别进行形式化建模,确定模块的功能和属性。
2.规范化:将模块的功能和属性用形式化语言规范化,用数学符号、公式描述模块的预期行为,构建主从模型。
3.验证:利用模型检验器验证模型的正确性和安全性,找出模型中存在的问题,如死锁、数据竞争等并给予修正。
4.分析:对模型中存在的问题进行分析和对比,总结出问题的原因和解决方法。
5.优化:对模型进行优化,提高系统性能和效率,消除错误。
形式化验证方法具有以下几个优点:1.提供了严格的数学证明,保证了系统的正确性和安全性。
2.能够检测到更多的问题,如死锁、数据竞争等,避免了测试和代码审查的漏洞。
3.能够提高系统的性能和效率,在软件和系统的开发过程中有较高的价值。
但形式化验证方法也存在一些限制:1.建模和规范化需要掌握一定的数学和逻辑知识,需要专业人员才能完成。
2.建模和规范化的精度和效率决定了验证的结果和效果。
3.形式化验证方法不能完全取代传统的测试和代码审查方法,两种方法应该相互结合使用。
总之,形式化验证方法是一种有效的计算机辅助验证方法,可以在软件和系统的开发过程中提高开发效率,保证系统正确性和安全性。
但需要专业人员的支持,才能发挥更大的价值。
形式化方法--程序的正确性验证-14资料
第十四讲形式化方法--程序的正确性验证一、概述计算机的程序是一种静态的对象,但它所描述的问题(问题的解)却是一个动态的对象。
所谓的程序设计就是用程序设计语言中的语句改变程序中数据对象的状态,构造所描述问题的动态行为。
这是不自然的,程序所描述的动态行为也无法直接用程序本身的静态结构进行正确性证明。
形式化规约(formal specification)是需求阶段的形式化说明,是用户需求的严格描述,其一般形式用Hoare逻辑描述[1]如下:├{Φ}P{Ψ} <1>其中Φ和Ψ分别表示初始和结束断言条件,其含义是:“假如初始状态d I满足条件Φ,那么程序结束并且终结状态d f必须满足Ψ”。
设D=D1×……×D n为程序P的状态空间,其中,D j(j=1,……,n)表示程序中数据对象的值域。
显然,由Φ和Ψ断言条件所确定的合法初始和结束状态的集合是D的一个子集。
执行函数E:Φ×P→Ψ定义如下:无定义对合法的初始状态d i,程序P不结束E(P,d I)=终结状态d f对合法的初始状态d i,程序P结束程序的正确性即为:├{Φ}P{Ψ}iff <2>∀d i(├Φ(d i)→(├程序P结束 and ├Ψ(E(P,d i))))总地来讲,验证一个程序的正确与否有两种办法,一种是程序的测试,另一种是程序的正确性证明。
1.程序的测试与程序的验证对给定的一个合法的初始状态d i,当程序执行结束时其终结状态为d f,那么,Φ(d i)和Ψ(d f)都应该被满足。
这一点可用下式表示:{d i}P{d f} <3>所谓程序的测试就是验证测试用例{d i}P{d f},即验证程序对d i的执行结果是否为d f。
由于合理的初始状态是无限的,因此,对程序验证来讲,测试不是一个完备的方法。
测试被认为是一种尽量发现错误,但并不能保证程序中没有错误[2]的方法。
对大数应用来讲,它是可满足的;但对有些应用来讲,测试是一种不能满足的验证方法,例如:航空、航天等领域的软件系统。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
软件问题的应对(2)
研究各种构件形式,以利用已有的开发成果,提高开发 层次,降低开发代价:子程序库、类库、组件库等; 设计和开发好用的编程语言,研究编程中的规律性,以 支持有效的良好编程过程:结构化、OO 及相关语言; 设计良好的描述形式,满足在各层次上描述软件及相关 事物的需要:数据流图、控制流图、状态机、UML等; 开发适用的工具,支持各阶段的不同活动,支持对开发 结果的深入分析和检查:编辑器、调试器、程序分析工 具、集成程序开发环境、UML支持工具等; 培训人员,提高开发参与者的认识能力和工作能力等。 但是,仍然不足以解决软件的问题。为什么?
模型检验工具(2)
基于SMV输入语言建立了IEEE Futurebus+896.1-1991标 准下cache一致协议的精确模型,通过SMV验证了模型满 足cache一致性的规格。并发现了先前并未找到的潜在协 议设计错误。该工作是第一次从IEEE标准中发现错误; Philips公司音响设备的控制协议通过HyTech得到了完全 自动验证,这是一个具有离散和连续特征的混杂系统验证 问题; AT&T公司的7500条通信软件的SDL源代码进行了验证, 从中发现112个错误,约55%的初始设计需求在逻辑上不 一致。
软件问题的应对
对软件开发活动的良好管理和组织; 建立严格的工作规范,深入控制软件开发过程; 安排丰富的人际信息交流活动,以尽早发现软件需求、 设计各阶段出现的错误和失误。 通过不同层次的抽象技术,将复杂系统分解为相对独 立的层次或部分,封装并提供清晰接口。如系统开发 的层次模型,模块化技术,面向对象的技术等; 研究有效的程序开发模型及支持技术,设法屏蔽软件 开发中的难点、解决共性问题。如图形用户界面技术, 客户端-服务器模型,中间件技术,Web服务模型等;
形式化规格(2)
规格可以采用非形式化的方式来描述,包括自然语言、图、 表等,也可以采用形式化方式来描述。 非形式化方法本身所存在的矛盾、二义性、含糊性,以及 描述规格时的不完整性、抽象层次混杂等情况,使得所得 到的规格不能准确地刻画系统模型,甚至会为后来的软件 开发埋下出错的隐患。 而对于形式化方法来说,由于其基于严格的数学,具有严 格的语法和语义定义,从而可以准确地描述系统模型,排 除了矛盾、二义性、含糊性等情况;同时,在对系统进行 严格地描述的过程中,将会帮助用户明确其原本模糊的需 求,并发现用户所陈述的需求中存在的矛盾等情况,从而 相对完整、正确地理解用户需求,最终得到一个完整、正 确的系统模型。
是否一致并完整,有无矛盾或遗漏?找出并更正其中的错误 和缺陷; 运行中是否会出现不能容忍的状态(死锁、活锁等)。
Formal Refinement(精化):从抽象的高层描述出 发,严格地保语义地推导更接近实现的包含更多细节 的规范;通过反复精化,最终得到正确的可运行程序。
形式化规格
软件规格是指对软件系统对象及用来对系统对象进行 操作的方法集合,以及对所开发系统中的各对象在其 生存期间里的集体行为的描述。 软件生命周期模型将整个软件开发过程分解为一系列 的阶段,并为每个阶段赋予明确的任务。虽然在不同 的模型中这些阶段的分界和顺序有所不同,但规格在 每个阶段所产生的作用都使得对系统特征的定义更加 准确。对系统中的每个对象来说,对象、对象的性质 以及操作等都应该在系统演变的整个过程中当作一个 整体来处理。所以,“规格”应当理解为一个多阶段 的、而不是仅仅某一个阶段的行为。
形式化验证
形式化验证的主要技术包括模型检验和定理证明。 模型检验是一种基于有限状态模型并检验该模型的期望特 性的技术。 模型检验就是对模型的状态空间进行搜索,以确认该系统 模型是否具有某些性质。搜索的可终止性依赖于模型的有 限性。 模型检验主要适用于有穷状态系统,其优点是完全自动化 并且验证速度快;并且,模型检验可用于系统部分规格, 即对于只给出了部分规格的系统,通过搜索也可以提供关 于已知部分正确性的有用信息;此外,当所检验的性质未 被满足时,将终止搜索过程并给出反例,这种信息常常反 映了系统设计中的细微失误,因而对于用户排错有极大的 帮助。
形式化方法的发展
20世纪80年代,牛津大学和Hursley实验室于合作将Z用于 IBM商用信息控制系统。IBM对整个开发所进行的测试表 明:明显地改善了产品质量、大量地减少了错误和早期诊 断错误。IBM估计使总体开发成本降低9%。这一成果获 皇家技术成就奖; 1992年,Praxis公司交付给英国民航局的信息显示系统是 伦敦机场新空中交通管理系统的部分。在该系统的需求分 析阶段,形式化规格和非形式结构化的需求概念相结合。 在系统规格阶段,采用了抽象的VDM模型。在设计阶段, 抽象VDM细化为更为具体的模块化规格。项目开发的生产 效率和采用非形式化技术相当、甚至更好。同时,软件质 量得到了很大的提高,软件的故障率仅为0.75每千行代码, 大大低于采用非形式化技术所提供的软件的故障率(约为 2~20每千行代码);
问题:这样的实际情况会造成什么问题?
软件缺陷造成的损失
软件缺陷造成的损失(2)
软件问题的本质
极端复杂
规模:成万、成百万、甚至成千万行代码 系统组成部分之间异常复杂的直接与间接相互作用 静态结构与动态性质之间难以把握的复杂关系
多变性
异常丰富多彩的应用需求 需求的不断提升和变化
要求较低的开发成本和较短的开发周期 不可能长期集中一大批最优秀的技术人员
形式化求精
形式化求精是Carroll Morgan(现为新南威尔士大学教授) 在1990年提出来的,最初是基于程序设计的概念,但在之 后逐步发展为一种通用的设计理论,也就是逐步细化的方 式。 形式化求精是将自动推理和形式化方法相结合而形成的一 门新技术,它研究从抽象的形式规格推演出具体的面向计 算机的程序代码的全过程。 它的基本思想是用一个抽象程度低、过程性强的程序去代 替一个抽象程度高、过程性弱的程序,并保持它们之间功 能的一致。
形式化方法的发展
20世纪50年代后期,Backus提出了巴克斯范式(Backus normal formula,简称BNF),作为描述程序设计语言语 法的元语言; 20世纪60年代,Floyd、Hoare和Manna等开展的程序正 确性证明研究推动了形式化方法的发展,他们试图用数学 方法来证明程序的正确性并发展成为了各种程序验证方法, 但是受程序规模限制这些方法并未达到预期的应用效果; 20世纪80年代,在硬件设计领域形式化方法的工业应用结 果,掀起了软件形式化开发方法的学术研究和工业应用的 热潮,Pnueli提出了反应式系统规格和验证的时态逻辑 (temporal logic,简称TL)方法,Clarke和Emerson提出了 有穷状态并发系统的模型检验(model checking)方法;
软件的形式化理论和方法
catty.wang@
主要内容
软件开发过程和问题 形式化方法简介 形式化方法历史 主要的形式化证明工具 形式化方法的应用举例 结论
软件开发过程
一般来说,软件开发的主要步骤大致如下:
提出问题并进行需求分析; 设计:包括功能和结构设计; 编码和构建; 调试; 发布,维护和升级。
有较清晰定义的形式和部分的语义定义。其中的一些基本性 质可能通过开发工具进行检查和分析
事实:软件开发正在从朴素的、非形式的设计方法, 向着更加严格、更加形式化的方向转变
形式化方法简介
形式化方法研究如何把(具有清晰数学基础的)严格性 (描述形式、技术和过程等)引入软件开发的各阶段: Formal Specification(形式化规格):采用具有严 格数学定义的形式和语义的记法形式,描述软件设计 和实现; Formal verification(形式化验证):对形式化规范 进行分析和推理,研究它的各种静态和动态性质
形式化规格(3)
形式规格精确地描述了用户的需求、软件系统的功能 以及各种性质,其描述的是“做什么”,而不考虑 “怎么做”。 在书写规格时应该注意的一个问题是如何描述得恰如 其分,既不过多也不过少。在规格中描述过多会导致 “实现偏向”,给实现施加了不必要的限制,从而排 除了一些原本是合理的实现;描述得过少又有容纳不 合理实现的危险。 为了开发出良好的规格,除了应透彻理解、熟练掌握 所使用的形式规格语言和方法外,更重要的是对所要 描述的系统有全面深入的了解。
模型检验工具
时态逻辑模型检验工具有EMC、CESAR、SMV、Mur、 SPIN、UV、SVE、HyTech、Kronos等;行为一致检验 工具有FDR、Cospan/Formal Check等;复合检验工具有 HSIS、VIS、STeP、METAFrame等。 贝尔实验室对其高级数据链路控制器在FormalCheck下进 行了模型检验功能验证,6个性能进行了规格,其中5个验 证无误、另外一个失败,从而进一步发现了一个影响信道 流量的Bug; 对某楼宇抗震分布式主动结构控制系统设计进行了规格, 所生成的系统模型有2.12×1019数目的状态。经过模型检 验分析发现了影响主动控制效果的计时器设置错误;
形式化方法的引入
传统的软件设计方法:
基于自然语言的思考、设计和描述。语义含糊,可能的歧义 性,依赖于参与者的经验和理解。无法进行严格检查,只能 通过人的交流活动进行分析。
形式化方法:
基于严格定义的数学概念和语言。语义清晰,无歧义。可以 用自动化或半自动化的工具进行检查和分析
半形式化的方法(例如UML 等)
形式化方法的发展
美国加州大学的安全关键系统研究组所开发的空中交通防碰撞 系统的形式化需求规格TCASII,采用了基于Statecharts的需求 状 态 机 语 言 RSML , 解 决 了 开 发 过 程 中 遇 到 的 许 多 问 题 。 TCASII项目表明:复杂过程控制系统软件开发采用形式化需求 规格的可能性以及应用工程师们不经任何专门培训建立易读且 易评判的形式化规格的可行性。 其它方面的应用:数据库:用于存储病人监护信息的HP医用仪 器实时数据库系统;电子仪器:Tektronix系列谐波发生器、 Schlumberger 家 用 电 度 计 ; 硬 件 : INMOS 浮 点 处 理 器 、 INMOS中T9000系列的虚拟信道处理器;医疗设备:核磁共振 理疗系统;核反应堆系统:核反应器安全系统、核发电系统的 切换装置;保密系统:NATO控制指挥和控制系统中的保密策 略模型、Multinet网关系统的数据安全传输、美国国家标准和技 术院的令牌访问控制系统;电信系统:AT&T的5ESS电话交换 系统、德国电信的电话业务系统;运输系统:巴黎地铁的自动 火车保护系统、英国铁路信号控制、以色列机载航空电子软件。