协议验证技术.pptVIP

第五章 协议验证技术 原子操作 SM ， RA 和 RS 由发端协议实体执行， RM 和 SA 由收端协议实 体执行， TM 和 TA 由通道执行。不变性 1 和 2 的证明比较简单，因 为只涉及发端协议实体所执行的原子操作。下面用归纳法证明不 变性 3 。 证明： 第一步 初始化后， HW = 0,LW = 0, NS = 0 因此 LW=NS=HW, 表达式 3 成立。 第二步 假定协议在执行到某个状态时 HW=j ， LW=i ， NS=k ， 并且 ikj 成立。验证发端协议实体发出一个新的报文之后，协议 在执行所有相关原子操作之后，表达式 3 是否成立。 SM SM 发出顺序号为 j 的报文之后， HW= j+1 ， LWNSHW, 表达式 3 成立 TM TM 不改变 HW ， LW 和 NS 的值； 第五章 协议验证技术 RS 如果超时事件产生，重发报文， RS 不修改 HW,LW 和 NS ； RM 由于 SM 执行之后 HW=j+1 ，当 RM 执行之后，虽然 NS=K+1 ，但表达式 3 仍然成立。如果所接收的报文顺 序号有错， RM 不修改 NS ，因此表达式 3 成立； SA 不改变 HW,LW 和 NS TA 不修改 HW,LW 和 NS,TA 发出的 ACK 报文的顺序号为 k 到 j 之间任意数值，即 seq(ck)=k … j ； RA 正确执行之后 LW=NS=seq(ck)=k … j, 而 HW 仍然为 j+1 ， 因此表达式 3 成立。如果 RA 丢弃 ack 报文， HW,LW 和 NS 不变。 证毕。 第五章 协议验证技术 ? 5.3.2 不变性监测系统 ? 不变性监测系统借助监测软件和监测方法对模拟运行 或符号执行中的协议进行不变性校验的过程称之为不 变性监测（ invariant monitoring ）。这种方法要求在 协议代码中插入断点（子程序的调用或返回可视为自 然断点），每个断点处，监测系统取相关变量值，计 算并校验不变性表达式是否成立。除此之外，监测程 序还可以对程序断言（ assert ）进行校验，程序断言是 嵌于协议代码指定地方的特殊语句，例如 ASSERT(state= =1) 。协议代码运行到 ASSERT 语句时 将指示监测程序对 assert 语句所申明的布尔表达式进行 校验。不变性表达式不同于程序断言之处在于它无需 插入协议代码之中。 第五章 协议验证技术 ? 无论是不变性证明系统还是监测系统，我们都认为下 述两个问题都是不可判定问题。 ? 不变性表达式已完整、准确、严密地表述了协议的所 有行为和性质吗？ ? 用归纳法证明不变性时，引用的原子操作已覆盖了所 有相关操作吗？在监测系统中，所设立的断点完备吗？ ? 在通过监测系统进行不变性分析时，我们还遇到一个 麻烦问题。协议系统由多个协议实体组成（分布式）， 监测系统必须凌驾于它们之上，实现起来比较困难。 由于上述这些问题和愿因，不变性分析在协议验证中 的应用受到很大限制。 第五章 协议验证技术 § 5.4 等价性分析 “等价”意味着某种程度上的“相同”和“无差别”。如果两个协 议模型或协议规范是等价的，那么它们可以互相替换，如果一个是 正确的，那么另一个也是正确的。我们在第三章讨论 FSM 和 CCS 时已 利用“等价”方法简化 FSM 图和 CCS 表达式，这实质上也是一种等价 性分析方法。等价性分析的另一个途径是证明两个协议的 FSM 图或 CCS 表达式是等价的，典型的情况是证明协议规范和它的服务规范一 致性。 按等价的含义和等价的强弱，等价性分为【 20 】： 1 观察等价（ observational equivalence ） 如果对两个协议进行状态到状态的互相模拟时所观察到的协议行为 没有差别，这两个协议是观察等价的。本节重点讨论观察等价性。 2 测试等价（ test equivalence ） 如果对两个协议施加相同的测试序列所观察到的协议行为没有差别， 那么这两个协议是测试等价的。 第五章 协议验证技术 3 跟踪等价（ trace equivalence ） 如果两个协议执行的事件序列是相同的，那么它们是踪迹等 价的。 4 实现等价（ implementation equivalence ） 如果一个协议所做的每一件事情都能被第二个模仿 （ mimic ），反之亦然，那么它们是实现等价的。 这四种等价按强弱程度排列的话，顺序是：观察等价、测试 等价、跟踪等价、实现等价，其中观察等价还分为强观察等 价和弱观察等价。等价性的强弱反映两个协议对行为细节的 相同程度，等价性越强，它们的行为细节的相同程度越高。 第五章 协议验证（分析）技术 5.1 概述 对协议本身的逻辑