基于微内核原型的进程间通信安全性形式化分析验证系统的制作方法

本发明属于嵌入式系统领域，涉及模型检测和定理证明技术，特别涉及一种基于嵌入式操作系统微内核原型的进程间通信安全性形式化分析验证系统。

背景技术：

一方面，随着计算机科技的飞速发展，一类具有内核精简、专用性强、易维护等特点的嵌入式微内核操作系统逐渐流行，并且在医疗、军工、民生等各大方面都得到了广泛应用。另一方面，传统宏内核操作系统由于将绝大部分功能实现于内核的设计理念，随着时间推移，不可避免的出现了代码量无比庞大，内核体积迅速膨胀，模块间依赖严重，易崩溃等问题。而微内核的提出恰恰解决了宏内核中存在的上述等众多问题，微内核只保留必须在内核态完成的功能，其他功能一律通过服务线程的方式在用户态中完成，而用户态各系统服务之间的通信由进程间通信(IPC)掌控。由此可见，进程间通信在微内核中的作用举足轻重。

针对此现状，目前主要使用的验证方法有：仿真、传统测试、推导证明、模型检测等。其中仿真和传统测试使用的典型方案均为设计不同覆盖标准的逻辑测试用例，通过输入信号，观察结果信号是否有误，这种测试方案在操作系统日益复杂的今天难以保证验证的全面性与准确性。对所有可能行为正确性的验证则需要形式化方法，本发明正是基于推导证明和模型检测的形式化验证技术的验证系统。一方面，模型检测弥补了推导证明的半自动化效率问题，可以自动化检验特定属性的安全性；另一方面，推导证明弥补了模型检测过程中由于状态爆炸和无穷状态导致的相关属性无法验证的局限性。由于嵌入式操作系统的微内核相对精简，IPC功能也不会复杂至极，无论是使用推导证明还是模型检测技术，复杂度都在可控范围之内。本发明涉及的系统可对基于嵌入式操作系统微内核原型的进程间通信安全性进行有效的形式化验证，验证的可信度远高于传统测试方案。

技术实现要素：

本发明提出了一种基于嵌入式操作系统微内核原型的进程间通信安全性形式化分析验证系统，包括以下模块：

原型预处理模块，其包含所述形式化分析验证系统的系统入口，并且以嵌入式操作系统微内核原型为输入，经过微内核模块分类提取器处理从中提取出待验证的IPC模块，生成IPC功能相关的集合作为各模块输入的待验证数据；

可数状态特定属性验证模块，其与所述原型预处理模块通信，用于验证有穷状态下特定属性的IPC安全性质，可有针对性地对待验证的IPC故障行为进行建模分析；

无穷状态及泛化属性验证模块，其与所述原型预处理模块通信，用于验证无穷状态或非特定属性的IPC安全性质、验证由规范化数据结构抽象出的IPC外在性质、及基于已有抽象性质针对各兴趣点深入抽象且进一步生成不同的模型并精化验证。

本发明提出的所述基于嵌入式操作系统微内核原型的进程间通信安全性形式化分析验证系统中，进一步设有：可视化模块，其分别与所述原型预处理模块、所述可数状态特定属性验证模块及所述无穷状态及泛化属性验证模块交互，所述可视化模块用于验证过程及结果中图形、文本和信息的可视呈现。

本发明提出的所述基于嵌入式操作系统微内核原型的进程间通信安全性形式化分析验证系统中，所述可数状态特定属性验证模块包括：

系统故障行为建模工具，其与所述原型预处理模块通信，用于对系统微内核故障行为建模，输出状态机元模型；

模型转换引擎，其将所述状态机元模型作为输入，根据需要转换成规范化故障模型；及模型自动化分析工具，其将所述规范化故障模型输入到对应的模型自动化分析工具中，得到验证结果。

本发明提出的所述基于嵌入式操作系统微内核原型的进程间通信安全性形式化分析验证系统中，所述无穷状态及泛化属性验证模块包括：

可执行规范化转化引擎，将基于微内核原型的IPC功能相关集合作为输入，转换成可执行规范的数据结构，且包括抽象出的IPC性质；

定理证明器，其将抽象出的IPC性质作为输入，经判定、深入抽象获得包含可体现微内核IPC外在功能特性的IPC抽象性质集，并经精化证明反复验证系统微内核的安全性质。

本发明提出的所述基于嵌入式操作系统微内核原型的进程间通信安全性形式化分析验证系统中，所述定理证明器主要包括：Isabelle/HOL、Coq、Maude。

本发明的有益效果在于：

针对业界亟待解决的嵌入式操作系统微内核IPC安全性问题，提供了一种基于微内核原型并以形式化方法为主导的IPC高可信验证系统。

本系统有效地结合了推导证明和模型检测技术，相互取长补短，很大程度上既弥补了推导证明半自动化证明的效率问题，也弥补了模型检测对于无穷状态或非特定属性无法验证的局限性；

相比于传统的用例覆盖测试方案，本发明涉及的系统可对嵌入式操作系统微内核IPC安全性做出更为显著有效的形式化验证，验证的可信度远高于传统测试方案。

附图说明

图1为本发明基于嵌入式操作系统微内核原型的进程间通信安全性形式化分析验证系统的系统框架图。

图2为具体实施方式中基于嵌入式操作系统微内核原型的进程间通信安全性形式化分析验证系统的系统框架图。

具体实施方式

结合以下具体实施例和附图，对本发明作进一步的详细说明。实施本发明的过程、条件、实验方法等，除以下专门提及的内容之外，均为本领域的普遍知识和公知常识，本发明没有特别限制内容。

如图1所示，本发明公开一种基于嵌入式操作系统微内核原型的进程间通信(IPC)安全性形式化分析验证系统的系统，它包括了四个系统模块：原型预处理模块，可数状态特定属性验证模块，无穷状态及泛化属性验证模块和可视化模块。其中，原型预处理模块包含整个系统的入口，以嵌入式操作系统微内核原型为输入，经过微内核模块分类提取器处理，提取出IPC功能相关集合；接下来，可数状态特定属性验证模块，根据微内核原型提供的IPC功能相关集合，通过系统建模工具对其故障行为统一建模，然后将原始的状态机元模型输入转换引擎，生成符合模型自动化分析工具规范的故障模型，最后将故障模型输入至模型分析工具，自动化分析生成报告；同样地，无穷状态及泛化属性验证模块，也将IPC功能相关集合作为输入，通过可执行规范化转化引擎处理，生成符合定理证明器可执行规范的数据结构，而由数据结构抽象出的待验证性质可在定理证明器中进行判定，并且可多次抽象迭代，精化证明，达到包含足够多细节以体现微内核IPC外在特性的效果；以上三个模块在运行过程和结果中所涉及图形、文本以及其他数据信息，均通过可视化模块予以显示，但可视化模块不直接参与分析验证工作。

原型预处理模块包括系统入口和微内核模块分类提取器。所述原型预处理模块的系统入口是该系统开始运行的起点。所述原型预处理模块的微内核模块分类提取器用于从嵌入式操作系统微内核原型中提取出待验证的IPC模块，生成IPC功能相关集合。

可数状态特定属性验证模块包括系统故障行为建模工具，模型转换引擎和模型自动化分析工具。的系统故障行为建模工具用于对系统微内核IPC故障行为建模，输出状态机元模型，作为故障模型的初始模型。的模型转换引擎将状态机元模型作为输入，可根据需求转换成规范化故障模型，如GTS(guard transition system)等模型，生成用于模型自动化分析工具处理的最终故障模型。的模型自动化分析工具是一类具有模型自动化分析功能的工具，现有的一些比较成熟的工具有PAT、UPPAAL、SPIN等，将符合输入规范的故障模型输入对应的模型自动化分析工具中，得到验证结果。

无穷状态及泛化属性验证模块包括可执行规范化转化引擎，定理证明器和IPC抽象性质集。的可执行规范化转化引擎，将基于微内核原型的IPC功能相关集合转换成满足定理证明器可执行规范的数据结构，且包括具体的描述和实现细节。的定理证明器对符合可执行规范数据结构的IPC安全性质进行交互式的推导证明，现有的一些相对成熟工具包括Isabelle/HOL、Coq、Maude等，都可通过交互式的机器协助定理证明，验证系统微内核IPC的安全性质。的IPC抽象性质在定理证明器中进行判定，并且可深入抽象，精化证明，最终获得包含足够多细节可完整体现微内核IPC外在功能特性的IPC抽象性质集。

可视化模块用于验证过程及结果中图形、文本和其他信息的可视呈现，不直接参与分析验证工作。通过可视化模块，可以直观地观察各种信息数据及相互关系，例如各种状态机模型图、抽象关系图、指标数据图等。可视化模块直接与用户交互，将分析验证的过程及结果可视呈现给用户。

本发明主要提供一套支持扩展的验证框架，其中，可数状态特定属性验证模块具体可使用工具有如PAT、UPPAAL、SPIN等现有工具，无穷状态及泛化属性验证模块具体辅助工具有如Isabelle/HOL、Coq、Maude等现有工具，具体的验证算法将封装在工具之中。下面具体讲述本发明的一种基于嵌入式操作系统微内核原型的进程间通信(IPC)安全性形式化分析验证系统。

实施例1

本实施例以本发明一种基于嵌入式操作系统微内核原型的进程间通信(IPC)安全性形式化分析验证系统为例,实现对一基于某编程语言(例如c++、haskell等)所开发原型的系统微内核IPC安全性验证。

下面详细介绍使用本发明的系统对该基于c++原型的系统微内核IPC安全性进行分析验证。该系统的具体实施系统框架图如图2所示。

该系统的输入为基于c++开发的微内核原型,在原型预处理模块中经过微内核模块分类提取器的处理，生成IPC功能相关集合数据作为其他模块的输入。对于模型检测技术，主要体现在可数状态特定属性验证模块，包括以下步骤：首先使用sysML/MARTE建模工具为系统微内核IPC故障行为建模，可以得到sysML/MARTE状态机元模型；然后通过扩展的AMMA平台模型转换引擎将状态机元模型转化为GTS卫式迁移系统中间模型，且进一步转化为文本形式的AltaRica故障树模型；紧接着，将上一步得到的AltaRica故障树模型输入到XFTA工具中进行自动化分析；最后得到模型检测的验证结果。

对于推导证明技术，主要体现在无穷状态及泛化属性验证模块，包括以下步骤：首先将IPC功能相关集合输入到可执行规范化转化引擎中，生成满足Isabelle/HOL定理证明器可执行规范的数据结构，然后通过Isabelle/HOL定理证明器推导证明抽象出的IPC安全性质。另外，一旦当前待验证的IPC性质在定理证明器中被判定，即可进行下次抽象，通过迭代精化证明，达到包含足够多细节可体现微内核IPC外在特性的效果。

在整个分析验证过程中，通过可视化模块直观地观察各种信息数据及相互关系，例如状态机元模型图，GTS模型图，AltaRica故障树模型图，IPC抽象性质集列表等。

本发明的保护内容不局限于以上实施例。在不背离发明构思的精神和范围下，本领域技术人员能够想到的变化和优点都被包括在本发明中，并且以所附的权利要求书为保护范围。