基于时间属性序列图的运行验证技术研究.doc

酣狮泌硕士学位论文基于时间属性序列图的运行验证技术研究华中师范大学计算机学院 甋讯篜 学位论文版权使用授权书作者签名：每剑日期：矗一年兮月日 中文摘要随着信息技术的发展，计算机技术已经融入了现代社会各个领域，得到极其广泛的应用。然而在这样的背景下，计算机系统的异常可能会造成灾难性后果。测试和仿真通常被用来保障这类安全关键系统的可靠性，但是这类方法针对的是实际运行前的系统，只能检测到系统的错误，而不能证明系统的正确。模型验证是完备的，但是它针对的是系统的抽象模型，难以证明系统的抽象模型和实际系统的等价性，同时这种方法需要遍历系统的所有执行路径，对于复杂系统来说，容易产生组合爆炸问题。 ， 甅 ， 瓼， 畂琣 功能性试验 谢。 图基于时间属性序列图的运行时验证原理图图监控器构造算法片段的转化图简单情况的转换图駽级间切换仿真系统图断駽级转换示意图图駽级间切换需求规约时间属性序列图图图构造运行时监控器 有穷事件的集合蕀 疭研究动因 当前的研究现状的基础上引入了“蝗范膎提出了三值语义。的表达能力，定义良好，是一种普遍适用的建模语言，在工业界得到广泛应用， 的一个研究热点。这类研究主要包括两个方面：第一，如何扩展序列图的表达能】等人在序列图的时间建模方面进行了扩展，提出了带时间约束的蛄型迹玫絎服务组合中。可以使用不同的方法对序列图进行形式化，等人提出了将序列图转化为椒问焦嬖迹珺方法是一种基于对象的形式化方法，具有面向对象的类似特征。文献【】中提出利用进程代数来对序列图进行形式化，能够以自然的方式描述系统的并发和组合特征，便于对问题进行分解和组合层次建模。，该工具能建立 能有效验证系统模型的正确性，还能解决模型检测中潜在的组合爆炸问题。为了和中断茸楹掀蔚拇恚獳的定义复杂。文献【】中利进行验证。以上这些研究主要针对序列图的形式化和模型验证中。 甋 具体研究内容包括：时间属性序列图的形式化定义第一章是绪论，主要介绍本文相关的研究背景、国内外研究的现状以及本文 运行时验证中包括两个重要的元素：系统运行的轨迹和需验证的需求规约或性质。系统的运行轨迹可以通过离线或在线的方式得到；系统的性质规约一般采用时序逻辑、等形式化方法来表示，能准确的描述系统的性质。然而使运行时验证相关理论运行时验证验证的对象是正在运行的系统，能更准确地反映系统的实际运行情况，可以看作是“永久的测试”，而模型检测等方法验证的对象是系统模型。运行时验证只考虑目标系统的输出部分，测试等方法需要考虑系统的输入序列。运行时验证只关注系统的当前运行轨迹，不需要遍历系统的整个状态空间，从而避免了组合爆炸问题。 图运行时验证的基本框架验证，如“每个打开的文件最终都会被关闭”，也将这种类型的运行时验证称为参数运行时验证方法主要包括两种：第一种，基于重写逻辑，以的方式重 种方式：只显示对象名，显示类名和对象名，只显示类名。图序列图中的对象及生命线 生命线图序列图中的激活及消息展示消息用来描述序列图中实体内部及实体间的交互行为，用带箭头的线表示，带箭头的一端指向消息的接收方，另一端指向消息的发送方。在图中，、都是消息。序列图中存在着同步消息、异步消息、返回消息等几种消息类型，本文只关心消息的发送和接收事件，而不关心消息的具体内容和类型，故不在这里一一列举。 篻绻鹓，男口么一 绻鹐，癇么妇是组合片段执行条件的有限集，当组合片段的执行条件为空时，用占表示。在序列图中，我们将消息的发送和接收定义为事件。我们用事件序列来代表序 时间自动机相关理论义如下：其中： 咸，芤弧豢桑琈为共享事件的集合，共享事件是指邻居自动机间发根据对目标系统插装对象的区别，可以分为基于源代码的插装和基于可执行文种方式通常是针对源代码进行插装，当系统代码需要修改时，插装代码引起的修改比较复杂，但是这种插装方式不需要使用反射等机制，对目标系统的运行开销影响小。基于可执行文件的插装的机制，不需要获取系统的源代码，只需要利用反射的等机制，获取需要监控的变量或方法信息，就能实现插装，方式更灵活，应用更广泛，但是由于反射等机制对目标系统造成的开销较大。 止九谅灏醒芯恐行发明的一种编程范式齁。随着软件系统规模越来越大，复杂性不断增加，企业级的应用往往要求将业务逻辑和公共业务分离，J嫉玫焦惴旱挠谩将应用程序中的商业逻辑同通用服务分离，对通用服务进行统一的包装、编码和处理，使得负责业务逻辑的相关开发人员仅需要关心系统的业务逻辑而通用服务由专门的开发人员负责，降低了系统开发的复杂性。随际趸共还怀墒欤形葱纬赏骋坏谋曜迹壳笆且桓銮把匦缘难芯咳鹊恪是一种基于松散耦合的关注分离技术，允许系统的开发人员从系统的需求中分离出不同的关注，例如安全性、实时性、日志、异常处理、同步控制、性能优化、调度、资源共享、分布式管理、通信管理等方面，将不同的关注点从系统中分离出来独立进行封装和处理，系统开发人员只需要针对不同的关注点进行单独实现而不需要过多考虑当前关注点与系统核心组件及其他关注点之间实现的相互影响，同时解决了以往面向过程和面向对象程序设计中存在的某些同一关注点的代码分散在系统的各个部分而难以开发和维护的问题，降低了系统内部各个模块之间的耦合度、提高了系统的灵活性。关注点是一个特点区域，代表了某一方面的特定逻辑行为。一个软件系统通常 疭图区分关注点的三菱镜法则图将横切关注点织入到商业逻辑中切入点点，在软件系统运行的过程中动态的修改对象的执行行为。第二种，静态横切，这 不需要修改对象的执行行为，静态横这时一种本质上更优雅、更逼真于现实机构的方法。本章小结 基于时间属性序列图的运行时验证原理并根据需求规约构造监控器。由于时态逻辑等传统形式化方法自身的复杂性，对没有形式化经验，缺少相关专家知识的软件工程师而言，难以采用时态逻辑方法来描述需求规约。同时，时态逻辑的方法往往缺少对时间机制的支撑，难以描述实时系统和并发系统的需求规约。因此，使用一种便于缺乏形式化经验的软件工程师使用，满足时间支撑的需求规约描述语言来描述要验证的需求规约，就很有运行时验证的具体要求，本文给出了时间属性序列图的形式化定义。 】齋現琽，瑃，其中：嵌韵蟮挠邢藜杂谌我獾亩韵蟆珼。包含的消息集合及其作用域葱刑跫。在序列图中，我们将消息的发送和接收定义为事件。我们用事件序列来代表 隆艱，是状态集合，其中甶硎鞠低吃诵械牡趉步；件和接收事件；表示初始状态，啪庵；图基于时间属性序列图的运行时验证原理图 图是蔚淖惴渲衠怯美创娲刺谋镜乇淞浚琣浼尤氲降趇个对象的时间对象自动机的状态集合中，创建迁移 痳疕事件，为每个事件创建一个新的状态浼尤氲降趇个对象的时间对象自动 疕图是蔚淖惴盟惴谥葱泄讨校热鯾片段在 件序列后，将直接进入终态。图是对简单情况的转化算法，这里的简单情况包括不在组合片段内的事件和其他不产生分支的组合片段中的事件这两类情况。对于这两类情况，转化算 疭列“爿叼，渲性绞堑鼻笆录瑃是当前事件发生的时间，监控器先相关工作对比当序列图较复杂时，状态空间会很大，容易产生组合爆炸问题。本章小结 前面介绍了本文提出的基于时间属性序列图的运行时验证方法，在本章中，将通过实验来验证该方法的可行性。实验分为两个环节设计：功能性试验环节和性能试验环节。在功能性试验中，将第三章的节中的运行时验证方法应用到具体的安全关键系统运行时验证案例中，我们将以列控系统的级间切换系统作为要验证的目标系统，所设计实验的目的是验证本文中提出的运行时验证方法是否能正确的产生运行时监控器，以验证需求规约的正确及违背：在性能对比试验中，为了让文献【】中的方法能够适应时间属性序列图的转化要求，我们修改了该方法，用来与本文中的方法对比，并在此基础上，以消息条数作为复杂程度的度量标准，采用了一组复杂程度不同的序列图作为实验样本，以在监控器生成的状态 苟矗珻的地面设备是一闹匾W槌刹糠郑涞绷薈的后备系统。由于不同路段受列控系统级别以及路段无线信号的状况影响，在列图一駽级间切换仿真系统 葱屑都渥;唬旱绷谐低鼵谋呓纾軨的运行时验证中，首先需要建立要监控的性质或需求规约，本文采用时间属性 图駽级间切换需求规约时间属性序列图 丑蜀，圜甀：瞖口：痸狾。匀哇冶钌敬蕖保岩眨唬籩：罩“簦篺置琧工趺霉眝狝阷鉶，量趖，髈啦五魁：；：眩甧：謊图时间属性序列图片段 图构造运行时监控器 甋。瓾图定义事件和属性到具体方法和变量的映射 事件、条件或时间观测点，名称和类别是指这些事件、条件或时间观测点的名称系统的对象名称是指目标系统对应的方法名或变量名。可以使用不同的方法来实胁捎肁来实现插装。 监控器在运行过程中，会把验证过程记录下来，每接收到一个感兴趣的事件监控暑记录：事件：，验证结果：目标系绞运行正掌事件：时闾：一争事件：验证结果：目标系绞运行正常验证结果：目标系统运行正常验证结果：目标系统运行正常验证结果：目标系绞运行正常验证结果：目标系统运行正常验证结果：目标系统运行正常验证结果：目标系绞运行正常验证结果：目标系统运行正常验证结果；目标系统运行正常验证结果：目标系统运行正常验证结果：目标系统运行正常验证结果：目标系统运行正常验证结果：目标粟绫运行正常验证结果：目标系统运行正常验证结果：目标系统运行异常时间：实验表明，当仿真系统的执行轨迹符合需求规约时，系统运行正常，监控器验证结果表明目标系统运行正常：当仿真系统的执行轨迹出现错误时，监控器能及时检测到系统发生异常。通过实验说明本文中提出的利用时间属性序列图的方法能够满足实时系统运行时验证中需求规约的描述要求，因此本文中提出的监控器构造算法是正确的，这意味着本文所中提出的实验方案是可行的。 性能对比试验验，具体过程如下：第二步，选择试验案例，选取一组不同复杂程度的时间属性序列图作为案例。对于不含组合片段的简单序列图，这两种算法构造的监控器规模和运行开销基本相当，缺少对比价值。因此我们选择的都是一些比较复杂的序列图，这组序列图的试验案例均包含了騛等组合片段，包含这几种片段的序列图分支较多，容易产生组合爆炸，具备研究价值。可以用消息数量来区分这种包含了騛得到加寐识员韧肌员冉峁缤所示。 相关工作对比献【】中的监控器构造算法，进行了对比试验。首先，本文实现了本文第三章提 的监控器构造方法和文献基于单个状态机的监控器构造方法对这组需求规本章小结实验表明利用该方法能够有效地构造监控器，进行运行时验证，缓解了序列图向状态机转化可能引