×
格温·克莱恩

操作系统验证概述。 (英语) Zbl 1192.68432号

Sādhanā 34,第1期,27-69(2009).
概要:本文从较高的层次介绍了正式的、交互式的、机器检查的软件验证,特别是操作系统代码的验证。我们调查了机器检查代码证明的现状、优点和局限性,并更详细地描述了两个正在进行的具体的大规模验证项目。

引用于14文件

MSC公司:

60年第68季度 规范和验证(程序逻辑、模型检查等)
68N25号 操作系统理论

关键词:

正式软件验证;操作系统;定理证明

软件:

伊莎贝尔/HOL;哈斯克尔;PVS公司;veriSoft软件;NQTHM公司;ACL2型;HOL灯;TAME公司;配套元件;存档正式证据;经验证的校准仪;Specware公司;能源监管局
PDF格式BibTeX公司 XML格式引用
\textit{G.Klein},萨达纳34,第1号,第27-69页(2009年;Zbl 1192.68432)
全文: 内政部

参考文献:

[1] Abadi M,Lamport L 1991精炼映射的存在性。理论计算机科学。82(2): 253–284 ·Zbl 0728.68083号 ·doi:10.1016/0304-3975(91)90224-P
[2] Abrial J-R 1996《B书——赋予程序意义》,剑桥大学出版社·兹比尔0915.68015
[3] Alkassar E、Hillebrand M、Rusev S K R Tverdyshev S 2007串行接口的形式化设备和编程模型。收录人:B Beckert,ed.,《第四届国际验证研讨会(VERIFY)会议记录》,《CEUR研讨会记录》第259卷,德国不来梅4–20
[4] Alkassar E,Schirmer N,Starostin A 2008寻呼机制的正式普遍验证。收录:C R Ramakrishnan,J Rehof(eds),《系统构建和分析的工具和算法》(TACAS),计算机科学讲稿第4963卷,Springer-Verlag 109-123·Zbl 1134.68394号
[5] Alves-Foss J,Taylor C 2004《全球野生动植物安全政策分析》,In:第五届ACL2探测仪及其应用国际研讨会(ACL2-2004)。可从以下位置获得http://www.cs.utexas.edu/users/moore/acl2/workshop-2004/contrib/alves-foss-taylor/ACL2004-final.pdf
[6] Archer M 2000 TAME:使用PVS策略进行特殊目的的定理证明。数学与人工智能年鉴29(1-4):139-181·Zbl 1001.68127号 ·doi:10.1023/A:1018913028597
[7] Archer M 2006基于通用定理证明器的建模环境,技术报告NRL/MR/5546-06-8952,(美国华盛顿特区:NRL)
[8] Archer M,Heitmeyer C L,Riccobene E 2000使用TAME证明自动机模型的不变量:两个案例研究。In:FMSP 00:软件实践中形式方法第三次研讨会会议记录,(美国纽约州纽约市:ACM)25-36
[9] Archer M、Leonard E、Pradella M 2003分析安全增强型Linux策略规范。In:POLICY 03:第四届IEEE分布式系统和网络政策国际研讨会会议记录,(美国华盛顿特区:IEEE Computer Society)158–169
[10] ARM 2000 ARM体系结构参考手册
[11] Ball T、Bounimova E、Cook B、Levin V、Lichtenberg J、McGarvey C、Ondrusek B、Rajamani S K、Ustuner A 2006设备驱动程序的全面静态分析。In:EuroSys 06:2006年第一届ACM SIGOPS/EuroSys欧洲计算机系统会议记录,(美国纽约州纽约市:ACM)73–85
[12] Bell D E,LaPadula L J 1973安全计算机系统:数学基础,第一卷,技术报告MTR2547,The MITRE Corporation,Bedford,MA,USA(ESDTR73278I)
[13] Berson T,Jr G B 1979 KSOS:安全操作系统的开发方法。收录:AFIPS会议记录,1979年全国计算机会议,第48卷,AFIPS出版社365–371
[14] Bertot Y,Castran P 2004交互式定理证明和程序开发。CoqArt:归纳结构的微积分,理论计算机科学文本,Springer-Verlag
[15] Beuster G,Henrich N,Wagner M 2006真实世界验证–Verisoft电子邮件客户端的经验。收录:G Sutcliffe,R Schmidt S Schulz,(编辑),Proc。ESCoR 2006,CEUR研讨会论文集第192卷第112–115页
[16] Bevier W R 1987经验证的操作系统内核,技术报告11,计算逻辑公司,德克萨斯州奥斯汀,美国
[17] Bevier W R 1988 Kit:操作系统验证研究,技术报告28,计算逻辑公司,德克萨斯州奥斯汀,美国
[18] Bevier W R 1989a工具包:操作系统验证研究。IEEE软件工程汇刊15(11):1382–1396·数字对象标识代码:10.1109/32.41331
[19] Bevier W R 1989b套件和短堆栈。J.自动推理5(4):519–530
[20] Bevier W R,Hunt W A,Moore J S Young W D 1989系统验证方法。J.自动推理5(4):411–428
[21] Bevier W R,Smith L 1993a《马赫核的数学模型:原子作用和锁》,技术报告89,计算逻辑公司,美国德克萨斯州奥斯汀
[22] Bevier W R,Smith L 1993b马赫核的数学模型:实体和关系,技术报告88,计算逻辑公司,德克萨斯州奥斯汀,美国
[23] Beyer S、Jacobi C、Kröning D、Leinenbach D、Paul W J,2006年,对VAMP进行了形式验证。国际技术转让软件工具杂志(STTT)8(4):411–430·doi:10.1007/s10009-006-0204-6
[24] Blazy S,Dargaye Z,Leroy X 2006 C编译器前端的正式验证。收录于:J Misra,T Nipkow E Sekerinski,(编辑),FM 2006:第14届形式方法国际研讨会,计算机科学讲稿第4085卷460–475
[25] Bornat R 2000 Hoare Logic中的证明指针程序。收录:R Backhouse,J Oliveira,(eds),程序构造数学(MPC 2000),计算机科学讲义第1837卷Springer-Verlag 102–126·Zbl 0963.68036号
[26] Bowen J P,Hinchey M G 2005年重温十诫:形式方法工业应用的十年展望。In:FMICS 05:第十届工业关键系统形式化方法国际研讨会会议记录,(美国纽约:ACM)8–16
[27] Boyer R S,Moore J S 1988《计算逻辑手册》(美国马萨诸塞州波士顿:学术出版社)·Zbl 0655.68117号
[28] Burstall R 1972证明改变数据结构的程序正确性的一些技术。In:B Meltzer,D Michie,(编辑),机器智能7,爱丁堡大学出版社23-50·Zbl 0259.68009号
[29] Cock D、Klein G、Sewell T 2008安全微内核、状态单体和可扩展优化。In:C Munoz,O Ait,(eds),《第21届高阶逻辑定理证明国际会议论文集》(TPHOLs08),计算机科学讲稿,Springer-Verlag 167-182·Zbl 1165.68454号
[30] 通用标准2006信息技术安全评估通用标准(CC v3{(\cdot\)}1),http://www.commoncriteriaportal.org/ . 2007年7月访问的链接
[31] Cook B、Gotsman A、Podelski A、Rybalchenko A、Vardi M Y 2007证明了这些项目最终会有好的效果。收录于:POPL 07:ACM SIGPLAN-SIGACT第34届编程语言原则年会会议记录,(美国纽约州纽约市:ACM)265–276·Zbl 1295.68083号
[32] Cook B,Podelski A,Rybalchenko A 2006系统代码的终止证明。在:PLDI 06:2006年ACM SIGPLAN编程语言设计和实现会议记录,(美国纽约州纽约市:ACM)415–426
[33] Dalinger I,Hillebrand MA,Paul WJ 2005关于内存管理机制的验证。收录:D Borrione,W J Paul,(编辑),Proc。第13届IFIP正确硬件设计和验证方法会议(CHARME 2005),计算机科学讲稿第3725卷,Springer-Verlag 301-316·Zbl 1159.68317号
[34] Daum M、Maus S、Schirmer N、Seghir M N 2005将软件模型检查器集成到Isabelle中。收录于:G Sutcliffe A Voronkov,(eds),第十二届程序设计、人工智能和推理逻辑国际会议(LPAR05),计算机科学讲稿第3835卷,Springer-Verlag 381-395·Zbl 1143.68449号
[35] Davis M,ed 1965 The Undecitable:关于不可判定命题、不可解问题和可计算函数的基础论文,Raven Press,NY·邮编1099.03002
[36] Dawson J E 2009 Isabelle机器词理论。在:第七届关键系统自动验证国际研讨会(AVOCS07),计算机科学电子笔记,(英国牛津:爱思唯尔)(出版中)
[37] de Roever W-P,Engelhardt K 1998《数据精炼:面向模型的证明方法及其比较》,《剑桥理论计算机科学丛书》第47期,剑桥大学出版社
[38] Dennis J B,Van Horn E C 1966多道程序计算的编程语义。ACM通讯9:143–155·Zbl 0139.32806号 ·doi:10.1145/365230.365252
[39] Derrin P、Elphinstone K、Klein G、Cock D、Chakravarty M M T 2006运行手册:高保证微内核开发方法。收录:美国俄勒冈州波特兰ACM SIGPLAN Haskell研讨会论文集
[40] DiBona C、Ockman S、Stone M 1999年《开放源代码:来自开放源代码革命的声音》,附录A:《Tanenbaum-Torvalds辩论》,俄勒冈州。http://www.oreilly.com/catalog/opensources/book/appa.html,Link于2008年5月访问·Zbl 0928.68027号
[41] Dörrenbächer J 2006 VAMOS微内核,形式化模型和验证。摘自:在澳大利亚悉尼NICTA举行的第二届系统验证国际研讨会(SV 2006)上的演讲。http://www.cse.unsw.edu.au/formalmethods/events/svws-06/VAMOS_Microkernel.pdf。2008年5月访问的链接
[42] Duff T 1983 Duffs设备,http://www.lysator.liu.se/c/duffs-device.html . 2008年5月访问的链接
[43] Elkaduwe D,Derrin P,Elphinstone K 2007嵌入式微内核的内存分配模型。收录:第一届嵌入式系统微内核国际研讨会论文集,澳大利亚悉尼NICTA,28-34
[44] Elkaduwe D、Derrin P、Elphinstone K 2008用于隔离和保证物理内存的内核设计。In:嵌入式系统隔离与集成第一次研讨会,ACM SIGOPS,英国格拉斯哥35-40
[45] Elkaduwe D,Klein G,Elphinstone K 2007年验证的seL4微内核保护模型,技术报告,NICTA。可从以下位置获得http://ertos.nicta.com.au/publications/papers/Elkaduwe_GE_07.pdf
[46] Elphinstone K 2004 L4微内核进化的未来方向。In:G Klein编辑,《2004年第一届OS验证国际研讨会论文集》,技术报告0401005T-1,NICTA,澳大利亚悉尼
[47] Elphinstone K,Klein G,Derrin P,Roscoe T,Heiser G 2007走向实用、验证的内核。摘自:美国加利福尼亚州圣地亚哥USENIX第十一届操作系统热点研讨会会议记录
[48] Elphinstone K、Klein G、Kolanski R 2006《高性能微内核的形成》。In:R Leino,ed.,《验证软件:理论、工具和实验研讨会》(VSTTE 06),微软研究技术报告MSR-TR-2006-117,美国西雅图1–7
[49] Feiertag R J 1980证明规范是多级安全的技术,技术报告CSL-109,计算机科学实验室,SRI International,Menlo Park,CA,USA
[50] Feiertag R J,Neumann P G 1979可证明安全操作系统(PSOS)的基础。In:美国纽约州纽约市1979年全国计算机会议AFIPS会议记录329–334
[51] Feng X 2007美国康涅狄格州纽黑文市耶鲁大学计算机科学系博士论文《认证系统软件的开放框架》
[52] Feng X,Shao Z,Dong Y,Guo Y 2008使用硬件中断和抢占线程认证低级程序。收录:2008年ACM SIGPLAN编程语言设计与实现会议记录(PLDI08),(美国纽约州纽约市:ACM)出炉·兹比尔1191.68176
[53] Fetzer J H 1988计划验证:正是这个想法。ACM通讯31(9):1048–1063·数字对象标识代码:10.1145/48529.48530
[54] Fischer S 2008大型整数库的正式验证。参见:DATE08可靠软件系统研讨会。可从以下位置获得http://busserver.cs.uni-sb.de/publikationen/Fi08DATE.pdf
[55] Ford B、Hibler M、Lepreau J、Tullmann P、Back G、Clawson S 1996微内核满足递归虚拟机。收件人:第二届操作系统设计与实现研讨会(OSDI96)会议记录,美国华盛顿州西雅图137–151
[56] Gargano M,Hillebrand M,Leinenbach D,Paul W 2005《操作系统内核的正确性》。摘自:《第18届高阶逻辑定理证明国际会议论文集》(TPHOLs05),计算机科学讲稿第3603卷,(德国:柏林施普林格出版社)1-16·Zbl 1152.68423号
[57] Gödel K 1931年,正式的《数学原理与系统》,I.Monatsheft für Mathematik und Physik 38:173-198。英语翻译,《数学原理和相关系统的形式上不确定命题》,戴维斯(1965)4–38·Zbl 0002.00101号 ·doi:10.1007/BF01700692
[58] Goerick W,Hoffmann U 1998严格的编译器实现正确性:如何证明真实的东西是正确的。收录人:D Hutter,W Stephan,P Traverso M Ullmann,(编辑),《应用形式方法——FM-Trends 98》,计算机科学讲稿第1641卷,(德国:柏林斯普林格·弗拉格)122–136
[59] Goguen J A,Meseguer J 1982安全政策和安全模型。摘自:1982年IEEE安全与隐私研讨会论文集,IEEE计算机社会出版社,美国纽约州纽约市11–20
[60] Goguen J A,Meseguer J 1984展开和推理控制。In:IEEE安全与隐私研讨会,IEEE计算机社会出版社,美国纽约州纽约市75–87
[61] Greenhills Software,Inc.2008 Integrity实时操作系统,http://www.ghs.com/products/rtos/integrantity.html
[62] Greve D,Richards R,Wilding M 2004内在分区验证概述。在:第五次关于ACL2验证及其应用的国际研讨会(ACL2-2004)。可从http://www.cs.utexas.edu/users/moore/acl2/workshop-2004/contrib/greve-richards-wilding/acl2-paper.pdf
[63] Greve D、Wilding M、Vanfleet W M 2003分离内核正式安全策略。参加:第四届ACL2校准仪及其应用国际研讨会(ACL2-2003)。可从以下位置获得http://www.cs.utexas.edu/users/moore/acl2/workshop-2003/contrib/greve-wilding-vanfleet/security-policy.pdf
[64] Greve D、Wilding M、Vanfleet W M 2005高保证正式安全策略建模。附:2005年第17届系统和软件技术会议论文集(SSTC05)
[65] Guttman J D、Herzog A L、Ramsdell J D、Skorupka C W 2005验证安全增强型Linux中的信息流目标。计算机安全杂志13(1):115–134
[66] Haigh J T,Young W D 1987扩展SAT的MLS无干扰版本。IEEE软件工程汇刊13(2):141–150·doi:10.10109/TTS.1987.226478
[67] Hansen P B 1970多道程序操作系统的核心。ACM通信13(4):238–250·Zbl 0191.18505号 ·doi:10.1145/362258.362278
[68] Hardin D S、Smith E W、Young W D 2006用于高度安全应用程序的强大机器代码验证框架。摘自:ACL2 06:ACL2定理证明器及其应用第六届国际研讨会论文集,(美国纽约州纽约市:ACM)11–20
[69] Hardy N 1985 KeyKOS体系结构,ACM SIGOPS操作系统评论19(4):8–25·数字对象标识代码:10.1145/858336.858337
[70] Harrison J 1996 HOL Light:教程介绍。收录:M Srivas,A Camilleri,(eds),《计算机辅助设计形式方法第一届国际会议论文集》(FMCAD96),计算机科学讲稿第1166卷,Springer-Verlag 265-269
[71] Harrison J 2006走向HOL Light的自我验证。收录于:U Furbach,N Shankar,(eds),《第三届国际自动推理联合会议论文集》(IJCAR 2006),计算机科学讲稿第4130卷,华盛顿州西雅图斯普林格-Verlag 177–191
[72] Härtig H,Hohmuth M,Wolter J 1998驯服Linux。收录:K A Hawick,H A James,(编辑),澳大利亚阿德莱德Springer-Verlag第五届澳大利亚并行和实时系统年度会议记录(第98部分)
[73] Heiser G、Elphinstone K、Kuz I、Klein G、Peters S M 2007面向可信计算系统:将微内核提升到新的水平。ACM操作系统评论41(3)
[74] Heitmeyer C L,Archer M,Leonard E I,McLean J 2006嵌入式系统分离内核中数据分离的形式化规范和验证。In:CCS 06:ACM第13届计算机和通信安全会议记录,(美国纽约州纽约市:ACM)346–355
[75] Heitmeyer C L,Archer M,Leonard E,McLean J 2008将形式化方法应用于可证明安全的软件系统。IEEE软件工程汇刊34(1):82–98·doi:10.1109/TSE.2007.70772
[76] Hennessy J,Patterson D 1996《计算机体系结构:定量方法》,Morgan Kaufmann,美国旧金山·Zbl 0844.68003号
[77] Hillebrand M A,in der Rieden T,Paul W J 2005在普及系统验证的背景下处理I/O设备。In:ICCD 05:2005年国际计算机设计会议记录,IEEE计算机学会,美国华盛顿特区309–316
[78] Hillebrand MA,Paul W J 2008关于系统验证环境的体系结构。在:硬件和软件:验证和测试,计算机科学讲义第4899卷,(德国:施普林格出版社,柏林)153–168
[79] Hoare C A R 1969计算机编程的公理基础。ACM通信12(10):576–580·Zbl 0179.23105号 ·doi:10.1145/363235.363259
[80] Hohmuth M,Härtig H 2001实时系统的实用非阻塞同步。收录:《通用轨道会议录:2002年USENIX年度技术会议》,USENIX-协会,美国加利福尼亚州伯克利217–230
[81] Hohmuth M,Tews H 2003 C++数据类型的语义:面向验证低级系统组件。In:D Basin,B Wolff,(eds),TPHOLs 2003,新兴趋势跟踪,技术报告187号,德国弗莱堡弗莱堡大学信息研究所127-144
[82] Hohmuth M,Tews H 2005验证操作系统的VFiasco方法。收录于:英国格拉斯哥第二届ECOOP编程语言和操作系统研讨会论文集。网址:网址:http://wwwtcs.inf.tu-dresden.de/tews/Plos-2005/ecoop-Plos-05-a4.ps
[83] Hohmuth M,Tews H,Stephens S G 2002a将源代码验证应用于微内核:VFiasco项目。收录人:G Muller,7月E日(编辑),第十届ACM SIGOPS欧洲研讨会论文集,(美国纽约州纽约市:ACM)165-169
[84] Hohmuth M,Tews H,Stephens S G 2002b将源代码验证应用于微内核:VFiasco项目,技术报告TUD-FI02-03-März 2002,德国德累斯顿德累斯顿科技大学
[85] Huisman M,Jacobs B 2000 Java程序通过带有突然终止的Hoare逻辑进行验证。收录于:FASE 00:《第三届软件工程基本方法国际会议论文集》,计算机科学讲稿第1783卷,英国伦敦施普林格-弗拉格284–303
[86] 在der Rieden T,Tsyban A 2008 CVM中,这是一个针对微内核程序员的验证框架。收录人:R Huuck,G Klein B Schlich,(编辑),《第三届系统软件验证国际研讨会论文集》(SSV08),计算机科学电子笔记第217卷,澳大利亚悉尼爱思唯尔151–168
[87] Jacob J 1989关于安全组件的推导。摘自:IEEE安全与隐私研讨会论文集,IEEE计算机学会,美国华盛顿特区242–247
[88] Jacobs B、Meijer H、Poll E 2001VerifiCard:欧洲智能卡验证项目。荷兰理论计算机科学协会(NVTI)新闻稿5
[89] Jones S P 2003 Haskell 98语言与图书馆:修订报告,剑桥大学出版社
[90] Kaufmann M、Manolios P、Moore J S 2000《计算机辅助推理:一种方法》,Kluwer学术出版社
[91] Kemmer R 1979 UCLA安全内核的形式化验证:抽象模型、映射函数、定理生成和证明。,美国洛杉矶加利福尼亚大学博士论文
[92] Kestrel Institute 1998 Specware语言手册,美国加利福尼亚州帕洛阿尔托
[93] Klein G,Nipkow T 2006类Java语言、虚拟机和编译器的机器选择模型。美国计算机学会编程语言与系统汇刊28(4):619–695·数字对象标识代码:10.1145/1146809.1146811
[94] Klein G,Tuch H 2004朝向L4中的验证虚拟内存。收录人:K Slind,ed.,TPHOL Emerging Trends 04,Park City,UT,USA
[95] Kolanski R 2008虚拟内存逻辑。收录人:R Huuck、G Klein、B Schlich(编辑),《第三届系统软件验证国际研讨会论文集》(SSV08),计算机科学电子笔记第217卷,澳大利亚悉尼爱思唯尔61-77
[96] Kolanski R,Klein G,2006年,L4微内核API的形式化。收录:B Jay,J Gudmundsson,(编辑),《计算:澳大利亚理论研讨会》(CATS 06),信息技术研究与实践会议第51卷,澳大利亚霍巴特53–68
[97] Leinenbach,D,Paul,W.Petrova,E.2005面向C0编译器的形式验证:代码生成和实现正确性。在:第三届IEEE软件工程与形式化方法国际会议,SEFM 2005 2-11
[98] Leinenbach D,Petrova E 2008通用编译器验证——从经过验证的程序到经过验证的系统。收录人:R Huuck、G Klein、B Schlich(编辑),《第三届系统软件验证国际研讨会论文集》(SSV08),计算机科学电子笔记第217卷,澳大利亚悉尼爱思唯尔23-40
[99] Leroy X 2006编译器后端的正式认证,或:使用校对助手为编译器编程。收录人:J G Morrisett,S L P Jones(编辑),第33届程序设计语言原则研讨会(POPL06),(美国纽约州纽约市:ACM)42–54·Zbl 1369.68124号
[100] Leslie B、Chubb P、Fitzroy-Dale N、Götz S、Gray C、Macpherson L、Potts D、Shen Y、Elphinstone K、Heiser G 2005用户级设备驱动程序:实现的性能。计算机科学杂志。和Technol。20(5): 654–664 ·doi:10.1007/s11390-005-0654-4
[101] Leslie B、van Schaik C、Heiser G 2005 Wombat:嵌入式系统的可移植用户模式Linux。收录:《第六届Linux会议录》。澳大利亚堪培拉Conf.Au。网址:http://lcs2005.linux.org.au . 2008年5月访问的链接
[102] Liedtke J 1995关于{\(\mu\)}-核构造。In:第15届ACM操作系统原理研讨会(SOSP)会议记录,操作系统评论29(5),(美国纽约州纽约市:ACM)237–250
[103] Lipton R J,Snyder L 1977确定主体安全性的线性时间算法。美国医学会杂志24(3):455–464·Zbl 0358.68041号 ·doi:10.1145/322017.322025
[104] MacKenzie D 2001机械化证明:计算、风险和信任,麻省理工出版社·Zbl 1063.68500号
[105] Martin W B,White P,Goldberg A,Taylor F S 2000数学分析分离核的形式化构造。收录:ASE 00:美国哥伦比亚特区华盛顿IEEE计算机学会第15届IEEE自动化软件工程国际会议论文集133–141
[106] McCauley E J,Drongowski P J 1979 KSOS–安全操作系统的设计。收录于:AFIPS会议记录,1979年全国计算机会议,第48卷,AFIPS出版社345–353
[107] Morgan C 1990规范编程,普伦蒂斯·霍尔第二版·Zbl 0697.68018号
[108] 美国国家标准与技术研究所(NIST)2002年软件错误每年使美国经济损失5950亿美元,http://www.nist.gov/public_affairs/releases/n02-10.htm . 2008年4月访问
[109] Naur P,Randell B eds 1969软件工程。关于1968年10月7日至11日在德国加米什举行的北约科学委员会会议的报告,北约科学事务部,比利时布鲁塞尔
[110] Neumann P G、Boyer R S、Feiertag R J、Levitt K N、Robinson L 1980可证明安全的操作系统:系统、应用程序和证明。第二版,技术报告CSL-116,计算机科学实验室,SRI International,Menlo Park,CA,USA
[111] Neumann P G,Feiertag R J 2003 PSOS重访。收录:ACSAC 03:美国哥伦比亚特区华盛顿IEEE计算机学会第19届年度计算机安全应用会议记录208–216
[112] Ni Z,Yu D,Shao Z 2007使用XCAP验证现实系统代码:机器上下文管理,《第20届高阶逻辑定理证明国际会议论文集》(TPHOLs07),计算机科学讲义第4732卷,德国柏林施普林格出版社189–206·Zbl 1144.68325号
[113] NICTA 2006 L4/袋熊表演,网页,http://ertos.nicta.com.au/research/l4/performance.pml . 2008年5月访问
[114] NICTA 2008 L4/Iguana OS网站,http://www.ertos.nicta.com.au/iguana/ . 2008年5月访问
[115] Nipkow T、Paulson L、Wenzel M 2002 Isabelle/HOL–高阶逻辑的证明助手,计算机科学讲稿第2283卷,斯普林格·弗拉格·Zbl 0994.68131号
[116] Norrish M 1998 C在剑桥大学计算机实验室HOL正式发表博士论文
[117] Norrish M Slind K 1998–2006 HOL-4手册。可在网址:http://hol.sourceforge.net/
[118] Open Kernel Labs,Inc.,2007 OKL网站,http://www.ok-labs.com . 2008年5月访问
[119] Owre S、Rajan S、Rushby J、Shankar N、Srivas M 1996 PVS:结合规范、验证检查和模型检查。收录人:R Alur,T Henzinger,(编辑),计算机辅助验证,计算机科学讲稿第1102卷,Springer-Verlag 411-414
[120] Parker K J 2007逃离轨道
[121] Perrine T,Codd J,Hardy B 1984内核化安全操作系统(KSOS)概述。附:第七届国防部/国家统计局计算机安全倡议会议记录146-160
[122] Petrova E 2007源代码级C0编译器实现验证,博士论文,德国萨尔州大学计算机科学系
[123] Popek G J,Farber D A 1978操作系统数据安全验证模型。ACM通信21(9):737–749·Zbl 0399.68036号 ·数字对象标识代码:10.1145/359588.359597
[124] Popek G J,Kampe M,Kline C S,Walton E 1977加州大学洛杉矶分校数据安全操作系统,技术报告,加州大学洛杉矶校区
[125] Popek G J、Kampe M、Kline C S、Walton E 1979加州大学洛杉矶分校数据安全Unix。收录:AFIPS会议记录:1979年全国计算机会议(1979 NCC),AFIPS出版社355–364
[126] Rashid R、Julin D、Orr D、Sanzi R、Baron R、Forin A、Golub D Jones M 1989马赫:系统软件内核。摘自:第34届计算机学会国际会议论文集COMPCON 89
[127] Reason J 1990人为错误,剑桥大学出版社
[128] Reynolds J C 2002分离逻辑:共享可变数据结构的逻辑。In:程序。第17届IEEE计算机科学逻辑研讨会55–74
[129] Ridge T 2004一种经过机械验证的、有效的、完善的一阶逻辑定理证明器。收录:G Klein、T Nipkow、L Paulson(编辑),《形式证明档案》,http://afp.sf.net/entries/Verified-Prover.shtml . 正式证明开发
[130] Robinson L,Levitt K N 1977层次结构程序的证明技术。ACM通信20(4):271–283·Zbl 0358.68030号 ·电话:10.1145/359461.359483
[131] 罗克韦尔柯林斯公司2003 AAMP7r1参考手册
[132] Rushby J 1992非干扰、传递性和信道控制安全政策,技术报告CS-92-02,计算机科学实验室,(美国加利福尼亚州门罗公园:SRI International)
[133] Saydjari O,Beckman J,Leaman J 1987安全锁定计算机。参加:第十届全国计算机安全会议129–141
[134] Schirmer N 2004 Isabelle/HOL中顺序命令程序的验证环境。收录于:F Baader,A Voronkov,(eds),第11届程序设计、人工智能和推理逻辑国际会议(LPAR04),计算机科学讲稿第3452卷,Springer-Verlag 398-414
[135] Schirmer N 2006 Isabelle/HOL中顺序强制程序的验证,德国慕尼黑慕尼黑理工大学信息研究所博士论文·Zbl 1108.68410号
[136] Schwichtenberg H 2004最小逻辑证明搜索。收录人:B Buchberger,J A Campbell,(编辑),《人工智能与符号计算》,第七届国际会议,AISC 2004,林茨,奥地利,2004年9月22日至24日,计算机科学讲稿第3249卷,Springer-Verlag 15-25
[137] Scott D S 1970计算数学理论概述。在:第四届普林斯顿信息科学与系统年会169–176
[138] Securityfocus 2008漏洞网站,http://www.securityfocus.com/漏洞 . 2008年5月访问
[139] 夏皮罗J S 2006系统代码编程语言挑战:为什么系统程序员仍然使用C语言,以及如何应对。摘自:PLOS 06:编程语言和操作系统第三次研讨会论文集,(美国纽约州纽约市:ACM)
[140] 夏皮罗J S 2008 Coytos网站,网址:http://www.coyotos.org/ . 2008年5月访问的链接
[141] Shapiro J S、Doeriry M S、Northup E、Sridhar S、Miller M 2004走向一个经过验证的通用操作系统内核。In:G Klein,ed.,2004年NICTA操作系统验证正式方法研讨会会议记录。技术报告0401005T-1,NICTA,悉尼,澳大利亚
[142] Shapiro J S、Smith J M、Farber D J 1999 EROS:快速能力系统。摘自:SOSP 99:第十七届ACM操作系统原理研讨会论文集,(美国纽约州纽约市:ACM)170–185
[143] Shapiro J S,Weber S 2000验证EROS限制机制。摘自:2000年IEEE安全与隐私研讨会论文集,IEEE计算机学会,美国华盛顿特区166–176
[144] NVIDIA闭源Linux驱动程序的Slashdot 2006根漏洞利用,http://it.slashdot.org/article.pl?sid=06/10/16/2038253 . 2008年5月访问
[145] Spencer R、Smalley S、Loscoco P、Hibler M、Andersen D、Lepreau J 1999《烧瓶安全体系结构:不同安全策略的系统支持》。收录于:SSYM99:USENIX安全专题讨论会第八届会议记录,美国加州伯克利USENIX-协会123–139
[146] Sridhar S,Shapiro J S 2006未装箱类型和第一类可变性的类型推断。摘自:PLOS 06:编程语言和操作系统第三次研讨会论文集,(美国纽约州纽约市:ACM)第7页
[147] Starostin A 2006字符串C库的正式验证,硕士论文,德国萨尔州大学计算机科学系。可在http://www-wjp.cs.unisb.de/publikationen/St06.pdf
[148] Starostin A,Tsyban A 2008更正微内核原语。收录人:R Huuck,G Klein,B Schlich,(编辑),《第三届系统软件验证国际研讨会论文集》(SSV08),计算机科学电子笔记第217卷,(澳大利亚悉尼:爱思唯尔出版社)169-185
[149] 系统架构小组2003 L4Ka::开心果微内核,http://l4ka.org/projects/pistachio/pistachio-whitepaper.pdf . 2008年5月访问的链接
[150] Tews H 2004验证Duffs设备:goto和计算跳跃的简单组合指称语义,http://wwwtcs.inf.tu-dresden.de/tews/Goto/Goto.ps . 2008年5月访问的链接
[151] Tews H 2007 Robin项目中的正式方法:Nova微管理程序的规范和验证。收录于:H Tews,ed.,C/C++验证研讨会论文集2007。技术报告ICIS-R07015,荷兰奈梅亨Radboud大学
[152] Tews H、Weber T、Poll E、van Eekelen M、van Rossum P 2008正式Nova接口规范(Robin交付文件D.12),http://www.cs.ru.nl/tews/Robin/specification-deliverable.pdf . 第45次修订。链接访问时间:2008年5月
[153] Tews H,Weber T,Völp M 2008用于验证低级操作系统代码的内存特性的形式化模型。收录人:R Huuck,G Klein,B Schlich,(编辑),《第三届系统软件验证国际研讨会论文集》(SSV08),计算机科学电子笔记第217卷,(澳大利亚:爱思唯尔,悉尼)79-96
[154] Tuch H 2008a验证C系统代码的形式内存模型,澳大利亚悉尼新南威尔士大学计算机科学与工程学院博士论文
[155] Tuch H 2008b结构化类型和分离逻辑。收录人:R Huuck,G Klein,B Schlich,(编辑),《第三届系统软件验证国际研讨会论文集》(SSV08),计算机科学电子笔记第217卷,(澳大利亚:爱思唯尔,悉尼)41–59
[156] Tuch H,Klein G,2004验证L4虚拟内存子系统。In:G Klein,ed.,《2004年操作系统验证第一届国际研讨会会议记录》,技术报告0401005T-1,NICTA,悉尼,澳大利亚73–97
[157] Tuch H,Klein G,2005指针的统一内存模型。摘自:牙买加蒙特哥湾第十二届程序设计、人工智能和推理逻辑国际会议(LPAR05)会议记录474–488·Zbl 1143.68464号
[158] Tuch H,Klein G,Heiser G.2005 OS验证–立即!。摘自:美国新墨西哥州圣菲USENIX第十届操作系统热点研讨会会议记录7–12
[159] Tuch H、Klein G、Norrish M 2007类型、字节和分离逻辑。In:M Hofmann,M Felleisen,(eds),第34届ACM SIGPLAN-SIGACT编程语言原理研讨会论文集,法国尼斯97–108·Zbl 1295.68094号
[160] Verisoft项目2006 BMBF融资提高了计算机系统的安全性,http://www.verisoft.de/PressRelease20050826.html . 2008年5月访问
[161] Verisoft Project 2008 Verisoft存储库,http://www.verisoft.de/VerisoftRepository.html . 2008年5月访问
[162] Walker B J、Kemmer R A、Popek G J 1980 UCLA Unix安全内核的规范和验证。ACM通信23(2):118–131·Zbl 0427.68032号 ·doi:10.1145/358818.358825
[163] White P,Allen Goldberg A F S T 2002在分离内核中创建高置信度,自动化软件工程9(3):263–284·兹比尔1034.68637 ·doi:10.1023/A:1016324624000
[164] Wiedijk F ed 2006《世界十七个证明者》,Dana S.Scott前言,计算机科学讲稿第3600卷,Springer-Verlag·Zbl 1114.03007号
[165] Wiedijk F 2008将100个定理形式化,http://www.cs.ru.nl/freek/100/ . 2008年5月访问的链接
[166] Winskel G 1993《编程语言的形式语义》(英国剑桥:麻省理工学院出版社)·Zbl 0919.68082号
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。