模型检测技术在农业生产中的应用.docxVIP

模型检测技术在农业生产中的应用 1 限状态系统的技术 linux操作系统的出现是计算机科学发展史的重要里程碑。它诞生于1969年的贝尔实验室。1991年,Linus Torvalds等人基本上按照UNIX的设计,开发出一个真正可以使用的UNIX内核,并称之为 LINUX。可以说LINUX内核是目前覆盖面最广的一体化内核,它的安全性和稳定性也众所周知。作为多用户、多任务的操作系统,进程间通信的重要性不可小觑,因此对其进行模型检测成为一个意义重大的研究课题。 模型检测是一种强大的自动分析验证有限状态系统的技术,它将所需验证的系统及属性作为模型检测工具的输入,以判断属性的正确性,是有限状态验证(Finite State Verification)的方法之一,另外还有两种分别是流方程(Flow Equations)和数据流分析(Data Flow Analysis)。迄今为止已开发出多种分析验证工具,如模型检测的SMV(Symbolic Model Checking),SPIN(Simple Promela INterpreter),流方程的INCA(Integer Necessary Conditions)以及数据流分析的FLAVERS(FLow Analysis for VERification of Systems)。美国的NASA实验室还专门开发了一种针对JAVA的工具——JPF(Java Path Finder),对JAVA程序进行模型检测。 本文采用的是SPIN工具。它是一种由美国贝尔实验室开发的模型检测工具,应用了偏序规约、on the fly等技术,大大提高了模型检测的效率,减小了状态空间,可以用断言 (assertion)或线性时态逻辑 (LTL)来验证系统属性,已经成功地应用于协议验证、分布式系统验证和软件验证中。本文分析了LINUX2.4.0版本的基于管道的进程间通信的内核源码,从中提取形式化模型,再用SPIN进行模型检测。 文章结构如下:第2节简单介绍模型检测分析工具SPIN;第3节是LINUX进程间通信的代码分析和形式化建模;第4节对它进行模型检测,并得出实验结果;最后总结全文。 2 spin模型探测器 2.1 promela描述 SPIN(Simple Promela INterpreter)是适合于并发系统的一种模型检测分析验证工具。它以PROMELA作为输入语言,对于给定的一个使用PROMELA描述的系统模型,SPIN可以对其执行进行随意的模拟,也可以生成一个C代码程序,然后对系统的正确性进行有效的检验。 PROMELA(PROcess MEta LAnguage)是用来对有限状态系统进行建模的形式描述语言。它类似于C程序语言,允许动态创建并行的进程,并可以在进程之间通过消息通道进行同步或异步通信。一个PROMELA模型由进程、消息通道、变量和全局对象组成,相当于一个有限转换系统。其大体结构为:类型说明、通道说明、变量说明、进程说明、初始进程。 如图1所示,SPIN首先从一个PROMELA描述的抽象模型开始,经过分析,没有语法错误后,对系统的交互进行模拟,直到确认系统设计拥有预期的行为;然后,SPIN将产生一个用C语言描述的验证程序,经验证机编译后被执行。执行中如果发现了违背正确性说明的任何反例,则可反馈给交互模拟机,通过重现细节找出引发错误的原因。 2.2 线性态逻辑的生成规则 SPIN的工作原理基于这样一个事实,即分布式系统中异步进程的行为能够用有限状态自动机(FSA)来模拟。 定义1(有限状态自动机,FSA) 有限状态自动机A是一个五元组(S,s0,L,T,F),其中: S= {s0,s1,s2,…,sn}是有限状态集合; s0是FSA的初始状态,s0∈S; L是触发状态迁移的事件的有限集合; T是状态之间的迁移关系,T?(S×L×S); F是终止状态,F?S。 定义2(同步积) FSAP和B的同步积是一个FSAA= (S,s0,L,T,F),其中: A.S是P′.S×B.S的笛卡尔积,P′是P的stutter闭包; A.S0是二元组(P.s0,B.s0); A.L是P′.L×B.L的笛卡尔积; A.T是(t1,t2)对,t1∈P′.T且t2∈B.T; A.F是(s1,s2)∈A.S对的集合,s1∈P.F∨s2∈B.F。 定义3(异步积) 一个FSA有限集合A1,…,An的异步积是一个FSAA= (S,s0,L,T,F),其中: A.S是A1.S×…×An.S笛卡尔积; A.s0是n元组(A1.s0,…,An.s0); A.L是A1.L∪…∪An.L; A.T是元组集合((x1,…,xn),I,(y1,…,yn)),其中?i,1≦i≦n,(xi,I,yi)∈Ai.T,且?j,1≦j≦n,j≠i→