[发明专利]基于树语义的异步动态下推网络可达性分析方法

摘要

基于树语义的异步动态下推网络可达性分析方法属于软件安全、可靠性技术领域，其特征在于将树语义引入到异步动态下推网络中，通过构建一个中间模型模拟模型的树语义，并采用上下文限界方法使模型的可达性为可判定，计算有限的k次上下文执行内的可达格局集合，通过计算可达格局集合与目标格局集合的交集是否为空，判断出目标格局集合是否可达，从而确定程序的抽象模型中是否存在设计错误或漏洞，保证模型的正确与可靠。

主权项

一种基于树语义的异步动态下推网络可达性的分析方法，其特征在于：是一种并发程序的软件可靠性、安全性的验证方法，是在计算机中依次按以下步骤实现的，步骤(1)、依次按以下步骤构造一个基于异步动态下推网络的并发程序中间模型，以便模拟树语义的执行方式，步骤如下：步骤(1.1)构造所述的异步动态下推网络的中间模型M，简称模型M，M＝(G,P,Γ,△_l,△_g)，其中：G是全局状态集合，P是局部状态集合，Γ是栈符号的集合，Γ*是Γ的幂集，表示栈符号的集合的幂集，格局(G,PΓ*)表示异步动态的格局集合，表示栈符号为幂集Γ*的局部状态集合P所对应的全局状态G的集合，(g,ργ)表示栈符号为γ的局部状态ρ所处的全局状态g，△_l是局部迁移规则集合，包括以下迁移规则：表示栈符号为γ的某一局部状态p经过迁移l_p后转化为栈符号集合Γ*中的某一组栈符号w₁所对应的局部状态ρ₁；表示栈符号为γ的某一局部状态p经过局部迁移l_p后转化为栈符号组中的第一组栈符号组w₁所对应的局部状态ρ₁和第二栈符号组w₂所对应的局部状态ρ₂，△_g是全局迁移规则集合，包括以下全局迁移规则：表示栈符号为γ的局部状态ρ所处的全局状态g经过迁移l_g后转换为全局状态g'下第一栈符号组w₁所对应的局部状态ρ₁；示栈符号为γ的局部状态ρ所处的全局状态g经过迁移l_g后同时转换为栈符号组的集合Γ*中的第一栈符号组w₁所对应的局部状态ρ₁和第二栈符号组w₂所对应的局部状态ρ₂；其中g,g'∈G,ρ,ρ₁,ρ₂∈P,γ∈Γ,w₁,w₂∈Γ*，当用C表示所述异步动态下推网络模型M的格局集合(G,PΓ*)时，C＝(G,PΓ*)，令(g,α)∈C，其中g为全局状态，α是全局状态g中由n个栈符号组w_n各自所对应的一个局部状态ρ_n组成的一个字符串，α称之为所述异步动态下推网络模型M在某一时刻的格局相应的动态下推网络格局，步骤(1.2)、构造一个hedge‑自动机A，也称树篱式自动机，接收所述模型M在树语义下的执行序列，也称为执行树，用h表示，其步骤如下：步骤(1.2.1)定义：所述执行树h是所述模型中由局部迁移规则和全局迁移规则组成的迁移序列集合，所述迁移规则用表示，在初始状态下，仅有单个线程T_M时，迁移规则表示为PΓ*>×T_M×<g′,Conf_N>，其中，×T_M×表示“经过T_M下推”，执行树是指从栈符号集合Γ*下的一个局部状态集合P所处的全局状态经过单个线程T_M后下推到一个符号串Conf_N所对应的动态下推网络格局α所处的全局状态g′时的迁移规则所组成的迁移序列集合，同时含有大于一个线程T_M时，迁移规则表示从格局C出发通过执行一组执行树h迁移到新格局C′时的状态，表示为其中h＝t₁,…,t_i,..,t_n，i指一组执行树h中迁移时的各个线程t_i执行所对应的执行树，步骤(1.2.2)利用基于所述迁移序列的线程创建规则L来创建新的线程：对于只有一个孩子节点的非动态创建节点S₂′，用非动态创建规则L₂来创建新线程，新创建线程的迁移序列对应于所述非动态创建节点S₂′左边的一部分执行树，右边的迁移序列则对应于原来的线程所对应的执行树，执行树h用树状的线程组T_M表示：T_M::＝N L₁T_M|S L₂T_MT_M|L<G,PΓ*>，其中T_M为树状的线程集合；N L₁T_M为非动态创建节点，该节点只有一个孩子，创建规则用字母组合N L₁表示，后继为一个新节点T_M；S L₂T_MT_M为动态创建节点，该节点有两个孩子，创建规则用字母组合S L₂表示，后继为一个动态创建出的新线程T_M和原来的线程T_M；L<G,PΓ*>为叶子节点，其对应此线程运行终止时的格局，此时格局为<G,PΓ*>，所述中间模型就是这种树状执行模型，用于判别迁移所属的进程，其中L为线程一般迁移规则，L₁对应非动态创建规则，L₂为动态创建规则，步骤(1.2.3)依次按以下步骤用所述hedge‑自动机A创建执行树h步骤(1.2.3.1)，设定：hedge‑自动机A＝(S,A₀,D)，其中S为有限个全局状态的集合，S*是S的幂集；A₀为一个的初始自动机，A₀∈S*，用L(A₀)表示自动机A₀的接收的语言簇；D为规则集合，它包括叶子节点的迁移规则集合D_L、非动态创建节点的迁移规则集合D_N和动态创建节点的迁移规则集合D_S，表示为D＝D_L∪D_N∪D_S，其中：叶子节点的迁移规则为s→A₁∈D_L表示，其中s∈S，A₁是接收所有格局集合(G,(PΓ*)⁺)的自动机，非动态创建节点的迁移规则为其中s∈S，s′∈S，l₁∈L₁，动态创建节点的迁移规则表示，其中s,s′,s_s∈S,l₂∈L₂，符号＞表示从状态s同时迁移到状态s'和s_s，步骤(1.2.3.2)按下述步骤判断执行树h是否被hedge‑自动机A接收，其中h＝t₁…,t_m,...,t_n，t_m为全局状态为m的线程，t_m∈T_M*，步骤(1.2.3.2.1)判断执行树h是否被hedge‑自动机A的迁移规则集合D模拟，对执行树h的叶子节点而言：叶子节点的全局状态<g,pw>与hedge‑自动机A的全局状态s相对应时应满足规则：s→A₁∈D_L，表示为：对各个非动态创建节点N L₁T_M而言：非动态创建节点N L₁T_M的状态与hedge‑自动机A的状态相对应时应满足规则：并且满足hedge‑自动机A的全局状态s′与执行树t相对应，即lab_T(s′,t)，上述条表示为：其中t∈T_M，l₁∈L₁，对各个非动态创建节点S L₂T_MT_M而言：动态创建节点S L₂T_MT_M的状态与hedge‑自动机A的状态相应时应满足规则：并且在下推同时满足非动态创建节点的状态t与hedge‑自动机A的全局状态s相对应(即lab_T(s′,t))，以及动态创建节点的状态t_s与hedge‑自动机A的全局状态s_s相对应(即lab_T(s_s,t_s))，上述条件表示为其中t∈T_M，l₂∈L₂，符号“＝”表示等同于；符号“∧”表示以及，符号“＞”表示同时，步骤(1.2.3.2.2)若满足步骤(1.2.3.2.1)所述的条件，则通过所述迁移规则集合D构造接收执行树h的hedge‑自动机A，hedge‑自动机A与所述执行树h的全局状态的各全局状态一一对应,表示为：自动机A接收的语言簇L(A)表示为，为hedge‑自动机的所有状态集合，步骤(1.3)、把所述hedge‑自动机A的状态和对应异步动态下推网络模型M的局部状态相结合组成新的全局状态，实现迁移序列的树语义执行方式：步骤(1.3.1)构造一个异步动态下推网络模型M×A来实现迁移序列在树语义下的执行方式：M×A＝(G,P×S,Γ,L,△_l,△_g)，其格局集合表示为：其中：Conf_M×A表示所述模型M×A所对应的动态下推网络的格局集合，C′×A:＝{(g,(p₁,s₁)w₁...(p_n,s_n)w_n)|(g,p₁w₁...p_nw_n)∈C′∧其中：s_i为序号为i的hedge‑自动机A的状态，步骤(1.3.2)所述模型M×A的全局迁移规则△_g'定义如下：非动态创建规则：表示结合后的模型M×A下从格局(g,(p,s)γ')迁移到格局(g',(p',s')w')时时必须满足在模型M中成立，并且满足在自动机A中成立，动态创建规则：表示结合后的模型M×A下从格局(g,(p,s)γ')迁移到格局(g′,(p′,s′)w′)并动态产生新的局部格局(p_s,s_s)w_s时必须满足在模型M中成立，并且满足在自动机A中成立，步骤(1.3.3)所述模型M×A的全局迁移规则△_l'定义如下：非动态创建规则：成立，当且仅当成立，表示结合后的模型M×A下从局部格局(p,s)γ'迁移到局部格局(p',s')w'时时必须满足在模型M中成立，并且满足在自动机A中成立，动态创建规则：表示结合后的模型M×A下从局部格局(p,s)γ'迁移到局部格局(p',s')w'并动态产生新的局部格局(p_s,s_s)w_s时必须满足在模型M中成立，并且满足在自动机A中成立，其中：γ′，w′均为结合后的栈符号或栈符号组，步骤(2)、依次按下述步骤计算所述模型M×A的K个上下文内的正则逆向可达格局集合pre_M[H](C′)，其中H为正则的执行树，C′为正则集合，C′为异步动态下推网络的格局集合，pre_M[H](C′)表示所述异步动态下推网络模型M下从格集合局C′出发的正则逆向可达格局集合，pre_K,M[H](C′)表示模型M下从格局集合C′出发的K‑上下文限界正则逆向可达格局集合，其中：C′＝(g,α)，α为hedge‑自动机A对应的动态下推网络格局，在该所述异步动态下推网络模型M×A中α＝(p,s)γ，异步动态下推网络的格局从(g,α)通过执行树迁移到(g',α')，表示为步骤(2.1)、按以下步骤计算从所述异步动态下推网络的格局集合C′出发的未发生上下文切换的逆向格局集合pre_1,M[H](C′)步骤(2.1.1)定义格局集合之间的迁移关系：步骤(2.1.2)两个格局(g,u)和(g',v)之间的迁移关系为其中：格局的局部迁移规则集合△_l定义如下：成立，当且仅当u＝u₁ργu₂,v＝u₁ρ₁w₁u₂,g＝g'成立，或者u＝u₁ργu₂,v＝u₁ρ₂w₂ρ₁w₁u₂,g＝g'成立格局的全局迁移规则集合△_g定义如下：成立，当且仅当u＝u₁ργu₂,v＝u₁ρ₁w₁u₂成立，或者且u＝u₁ργu₂,v＝u₁ρ₂w₂ρ₁w₁u₂成立；u,v是指一组栈符号和其所对应的局部状态组成的一个字符串，其中：u₁∈(PΓ*)*,u₂∈Γ*(PΓ*)*，全局迁移规则集合和局部迁移规则集合构成了整个迁移系统，步骤(2.1.3)在所述模型M×A中，自动机A接收字符串u₁(p,s)u₂，构造接收符号串u₁(g,(p,s))u₂的自动机Z，其中：u₁(p,s)u₂∈L(A)，u₁∈((P,S)Γ*)*，p∈P，u₂∈Γ*((P,S)Γ*)*，步骤(2.1.4)可按下式构造接收所述hedge‑自动机Z的逆向可达格局集合的自动机Z_pre*，其中，单个上下文中的逆向可达格局为：${\mathrm{pre}}_{1,M}\left[H\right](g,u)=\underset{g^{\&prime;}\&Element;G}{U}(g^{\&prime;},\{w\&Element;{(\mathrm{P\&Gamma;}*)}^{+}:w={\mathrm{upu}}^{\&prime;}\&cap;\&Exists;u(g^{\&prime;},p)u^{\&prime;}\&Element;L\left(Z_{\mathrm{pre}*}\right)\left\}\right)$其中栈符号组w都属于hedge‑自动机Z_pre*的接收语言簇中，具体包括栈符号组w＝upu′和u(g′,p)u′，步骤(2.1.5)把所述自动机Z_pre*接收的单个上下文中逆向可达格局集合pre_1,M[H](g,u)放入reachable集合中，步骤(2.2)计算K‑上下文限界逆向可达格局集合pre_K,M[H](C′)步骤(2.2.1)若(g′,u′)∈pre_1,M[H](C′)，g′∈G，重复步骤(2.1.3)到步骤(2.1.5)计算pre_1,M[H](g′,u′)，步骤(2.2.2)、重复步骤(2.2.1)K次，直到计算完设定的有限个K个上下文时终止，即可计算出K‑上下文限界逆向可达格局集合，从而得到模型M×A的K‑上下文限界逆向可达格局集合pre_K,M[H](C′)，K为设定的有限正整数，步骤(3)、通过投影操作得出所述异步动态下推网络下的逆向可达格局集合：定义投影操作proj_H：则：格局C的投影操作为proj_H(C)：符号“→表示转换，从而得出原模型下的逆向可达格局集合，步骤(4)、目标可达性的判定分析，根据所述格局集合C的逆向可达格局集合reachable和初始格局集合I(I为程序初始状态对应的格局集合)，计算集合reachable和初始集合I的交集是否为空；步骤(4.1)、若reachable∩I非空，则经过K次上下文切换的运行，某个目标格局c∈C是可达的，则存在一个起始于初始格局的执行路径能够到达该格局中的状态，进而根据每个进程的运行格局，尝试查找产生错误的原因；步骤(4.2)、若reachable∩I为空，则经过K次上下文切换的运行，目标格局集合C中的所有格局是不可达的，那么即存在两种可能：1)经过K次上下文切换的运行，搜索的状态空间覆盖度不足以覆盖到初始状态，此时通过增大K的值并继续求解，直至耗尽所有可用的计算资源；2)若根据上述步骤仍不能判定目标状态是可达的，则得出结论：在现有计算能力下目标格局是不可能出现的。