×
马克西米利亚诺·克里斯蒂亚;吉安弗兰科·罗西

Tokeneer ID站规范的自动验证原型。 (英语) Zbl 07461267号

J.汽车。推理 65,编号8,1125-1151(2021).
摘要:Tokeneer项目是美国国家安全局(NSA,USA)提出的一项倡议,旨在证明可以通过以成本效益高的方式应用严格的方法来开发高度安全的系统。Altran UK被NSA选中,负责Tokeneer ID站的开发。该公司编写了一个Z规范,后来用SPARK Ada编程语言实现,并使用SPARK Examiner工具集进行了验证。在本文中,我们证明了Z规范可以很容易地自然地用(log)集合约束语言编码,从而生成一个函数原型。此外,我们还表明,(\{log\})的自动证明功能可以免除与状态不变量以及重要安全属性相关的所有证明义务。因此,可以认为原型相对于验证的属性是正确的。这提供了经验证据,证明Z用户可以使用\(\{log\}\)根据Z规范生成正确的原型。反过来,这些原型支持或简化了本文中讨论的一些验证活动。

引用于文件

MSC公司:

68伏15 定理证明(自动和交互式定理证明、演绎、解析等)

关键词:

Tokeneer ID站规范;Z表示法;\(\{log\}\);约束编程;原型制作;自动验证;自动校对

软件:

JSetL公司;Z轴;SETL公司;seL4级
PDF格式BibTeX公司 XML格式引用
\textit{M.Cristiá}和\textit{G.Rossi},J.Autom。推理65,No.8,1125--1151(2021;Zbl 07461267)
全文: 内政部 arXiv公司

参考文献:

[1] 2011年微软研究验证软件里程碑奖:Janet Barnes和Rod Chapman获得Tokeneer项目,https://sites.google.com/site/verifiedsoftwareinitiative/mrs-award/2011-前进
[2] Abdelhalim,I.、Sharp,J.、Schneider,S.A.、Treharne,H.:使用CSP对在fUML中建模的Tokeneer行为进行正式验证。Dong,J.S.,Zhu,H.(编辑)形式方法与软件工程——第十二届形式工程方法国际会议,2010年11月17日至19日,中国上海。诉讼程序。计算机科学课堂讲稿,第6447卷,第371-387页。Springer(2010),doi:10.1007/978-3-642-16901-4_25
[3] Altran UK:Tokeneer软件和项目文档(2008),http://www.adacore.com/uploads/downloads/tokeneer.zip
[4] Andréka,H.,Givant,S.R.,Németi,I.:关系代数方程理论的决策问题,第604卷。美国数学学会(1997)·Zbl 0877.03030号
[5] Barnes,J.,Chapman,R.,Johnson,R.、Widmaier,J.、Cooper,D.、Everett,B.:Tokeneer飞地保护软件工程。摘自:IEEE安全软件工程国际研讨会论文集。IEEE(2006)
[6] Barnes,J.:Tokeneer ID Station:正式规范。Altran Praxis技术代表(2008),http://www.adacore.com/uploads/downloads/tokeneer.zip,在tokeneer.zip中查找为/tokeneer/docs/41_2_Formal_Functional_Specification/41_2.pdf
[7] Barnes,J.E.:正式方法的工业应用经验。电子。Commun公司。欧洲协会软件。科学。Technol公司。46,(2011)
[8] Betarte,G.,Campo,J.D.,Luna,C.,Romano,A.:安卓基于许可的安全模型的形式分析。科学。Ann.Comp.公司。科学。26(1), 27-68 (2016). doi:10.7561/SACS.2016.27·兹比尔1424.68029
[9] 通用标准识别安排:信息技术安全评估通用标准,第1部分:导言和通用模型,3.1版。版本5。技术代表(2017),https://www.commoncriteriaportal.org/files/ccfiles/CCPART1V3.1R5.pdf
[10] Cooper,D.:Tokeneer ID Station:安全属性。技术代表,Altran Praxis(2008),http://www.adacore.com/uploads/downloads/tokeneer.zip,在tokeneer.zip中查找为/tokeneer/docs/40_4_Security_Properties/40_4.pdf
[11] Cooper,D.,Barnes,J.:Tokeneer ID Station EAL5演示:总结报告。技术代表,Altran Praxis(2008),https://www.adacore.com/uploads/downloads/Tokeneer_Report.pdf
[12] Cooper,D.,Everett,B.,Johnson,R.,Widmaier,J.:建筑安全-工程软件超过EAL5。附:第四届年度高可信度软件和系统会议记录(2004年)
[13] 克里斯蒂(M.Cristiá)。;阿尔贝滕戈,P。;弗里德曼,CS;普吕斯,B。;Rodríguez Monetti,P.,测试模板框架的工具支持,Softw。测试。验证。信实。,24, 1, 3-37 (2014) ·doi:10.1002/stvr.1477
[14] Cristiá,M.,Rossi,G.:限制内涵集的决策过程。摘自:de Moura,L.(编辑)《自动扣减-CADE 26-第26届自动扣减国际会议》,瑞典哥德堡,2017年8月6日至11日,会议记录。计算机科学课堂讲稿,第10395卷,第185-201页。斯普林格(2017),doi:10.1007/978-3-319-63046-5_12·Zbl 1496.03041号
[15] Cristiá,M.,Rossi,G.:使用受限内涵集的Java编程。收录于:Cristiá,M.,Delahaye,D.,Dubois,C.(eds.)与第六届国际ABZ会议合办的第三届成套工具国际研讨会会议记录,设置@ABZ2018年6月5日,英国南安普敦。CEUR研讨会记录,第2199卷,第17-31页。CEUR-WS.org(2018),http://ceur-ws.org/Vol-2199/paper2.pdf
[16] Cristiá,M.,Rossi,G.:有限集关系代数的集求解器。收录于:Desharnais,J.、Guttmann,W.、Joosten,S.(编辑)《计算机科学中的关系和代数方法——第17届国际会议》,RAMiCS 2018,荷兰格罗宁根,2018年10月29日至11月1日,会议记录。计算机科学课堂讲稿,第11194卷,第333-349页。斯普林格(2018),doi:10.1007/978-3-030-02149-8_20·兹比尔1518.68415
[17] Cristiá,M.,Rossi,G.:限制内涵集的自动推理。CoRR abs/1910.09118(2019),http://arxiv.org/abs/1910.09118 ·Zbl 07432188号
[18] 克里斯蒂(M.Cristiá)。;Rossi,G.,《求解有限集和二元关系上的无量词一阶约束》,J.Autom。原因。,64, 2, 295-330 (2020) ·Zbl 1468.03009号 ·doi:10.1007/s10817-019-09520-4
[19] 克里斯蒂(M.Cristiá)。;Rossi,G.,《Bell-LaPadula安全属性的自动证明》,J.Autom。原因。,65, 4, 463-478 (2021) ·Zbl 07356979号 ·doi:10.1007/s10817-020-09577-6
[20] 克里斯蒂(M.Cristiá)。;罗西,G.,带限制内涵集的自动推理,J.Autom。原因。(2021) ·Zbl 07356979号 ·doi:10.1007/s10817-021-09589-w
[21] Cristiá,M.,Rossi,G.:({log\}):将公式设置为程序。CoRR abs/2104.08130(2021),https://arxiv.org/abs/2104.08130
[22] Cristiá,M.,Rossi,G.,Frydman,C.S.:日志作为测试模板框架的测试用例生成器。收录:Hierons,R.M.,Merayo,M.G.,Bravetti,M.(编辑)SEFM。计算机科学课堂讲稿,第8137卷,第229-243页。施普林格(2013)
[23] 多维尔,A。;C.广场。;彭泰利,E。;Rossi,G.,集与约束逻辑编程,ACM Trans。程序。语言系统。,22, 5, 861-931 (2000) ·doi:10.1145/365151.365169
[24] Dovier,A。;彭泰利,E。;罗西,G.,《集合统一》,理论与实践。日志。程序。,6, 6, 645-701 (2006) ·Zbl 1108.68104号 ·doi:10.1017/S1471068406002730
[25] Evans,A.:Z.中规定反应系统的改进配方。in:Bowen,J.P.,Hinchey,M.G.,Till,D.(编辑)ZUM’97:Z形式规范符号,第十届Z用户国际会议,英国雷丁,1997年4月3日至4日,会议记录。计算机科学课堂讲稿,第1212卷,第275-294页。Springer(1997),doi:10.1007/BFb0027293
[26] Garavel,H.,ter Beek,M.H.,van de Pol,J.:2020年正式方法专家调查。In:ter Beek,M.H.,Nickovic,D.(eds.)《工业关键系统的形式方法——第25届国际会议》,FMICS 2020,奥地利维也纳,2020年9月2日至3日,会议记录。计算机科学课堂讲稿,第12327卷,第3-69页。斯普林格(2020),doi:10.1007/978-3-030-58298-2_1
[27] 霍尔,A。;Chapman,R.,《通过构造实现正确性:开发商业安全系统》,IEEE Software,19,1,18-25(2002)·数字对象标识代码:10.1109/52.976937
[28] Holzbaur,C。;梅内泽斯,F。;巴拉奥纳,P。;弗洛伊德,EC,通过广义松弛变量在CLP(Q)中的可失性,计算机科学讲义,209-223(1996),柏林:施普林格,柏林
[29] 国际电工委员会:电气/电子/可编程电子安全相关系统的功能安全-第1部分:一般要求。国际电工委员会技术代表,https://webstore.iec.ch/preview/info_iec61508-1ed2.0b.pdf
[30] Jackson,P.B.,Passmore,G.O.:用SMT求解器证明SPARK验证条件。爱丁堡大学技术代表(2009年),http://homepages.inf.ed.ac.uk/pbj/papers/vct-dec09-draft.pdf
[31] Jacky,J.,《Z的方式:用形式方法进行实用编程》(1996),美国纽约:剑桥大学出版社,美国纽约·doi:10.1017/CBO9780511574924
[32] 金·S。;哈蒙德,J。;查普曼,R。;Pryor,A.,证据比测试更具成本效益吗?,IEEE传输。软件工程,26,8,675-686(2000)·doi:10.1109/32.879807
[33] Kuppe,M.A.,Lamport,L.,Ricketts,D.:TLA+工具箱。发表于:Monahan,R.、Prevosto,V.、Proença,J.(编辑)《正式综合开发环境第五次研讨会论文集》,F-IDE@FM2019年,葡萄牙波尔图,2019年10月7日。EPTCS,第310卷,第50-62页(2019年),doi:10.4204/EPTCS.310.6
[34] 兰波特:TLZ。收录:Bowen,J.P.,Hall,J.A.(编辑)Z用户研讨会,英国剑桥,1994年6月29日至30日,会议记录。第267-268页。计算研讨会,Springer/BCS(1994),doi:10.1007/978-1-4471-3452-7_15
[35] Lamport,L.:为硬件和软件工程师指定系统、TLA+语言和工具。Addison-Wesley(2002),http://research.microsoft.com/users/lamport/tla/book.html
[36] Leroy,X.,真实编译器的形式验证,Commun。ACM,52,7,107-115(2009)·doi:10.1145/1538788.1538814
[37] Luna,C。;Betarte,G。;坎波,JD;桑兹,C。;克里斯蒂亚,M。;Gorostiaga,F.,验证Android基于许可的安全模型的正式方法,CLEI Electron。J.(2018)·doi:10.19153/cleiej.21.2.3
[38] Moy,Y.,Wallenburg,A.:Tokeneer:超越正式程序验证。嵌入。实时软件系统。24,(2010)
[39] Murray,T.C.,Matichuk,D.,Brassil,M.,Gammie,P.,Bourke,T.,Seefried,S.,Lewis,C.,Gao,X.,Klein,G.:seL4:从通用到信息流证明的实施。摘自:2013年IEEE安全与隐私研讨会,2013年5月19日至22日,美国加利福尼亚州伯克利,SP 2013。第415-429页。IEEE计算机学会(2013),doi:10.1109/SP.2013.35
[40] Nemouchi,Y.、Foster,S.、Gleirscher,M.、Kelly,T.:Isabelle/SACM:采用综合形式方法的计算机辅助保证案例。In:Ahrendt,W.,Tarifa,S.L.T.(编辑)综合形式方法-第15届国际会议,IFM 2019,挪威卑尔根,2019年12月2-6日,会议记录。计算机科学讲义,第11918卷,第379-398页。斯普林格(2019),doi:10.1007/978-3-030-34968-4_21
[41] Plagge,D.,Leuschel,M.:使用验证程序和模型检查器验证Z规范。摘自:Davies,J.,Gibbons,J.(编辑)《综合形式方法》,第六届国际会议,2007年IFM,英国牛津,2007年7月2-5日,会议记录。《计算机科学讲义》,第4591卷,第480-500页。Springer(2007),doi:10.1007/978-3-540-73210-5_25·Zbl 1120.68004号
[42] 波特,B。;辛克莱,J。;Till,D.,《正式规范简介》和Z(1996),美国新泽西州:普伦蒂斯·霍尔PTR上鞍河,美国新日本州·Zbl 0860.68069号
[43] Rivera,V.,Bhattacharya,S.,Cataño,N.:在Event-B中接受Tokeneer挑战。摘自:第四届FME软件工程形式化方法研讨会会议记录,FormaliSE@ICSE2016年5月15日,美国德克萨斯州奥斯汀。第8-14页。ACM(2016),doi:10.1145/2897667.2897671
[44] 罗西,G.:({log\})。http://people.dmi.unipr.it/gianfranco.rossi/setlog.Home.html(2008年),最后一次进入2021年
[45] 罗西,G。;Bergenti,F.,《使用JSetL的Java非确定性编程》,Fundam。通知。,140, 3-4, 393-412 (2015) ·doi:10.3233/FI-2015-1260
[46] Schanda,F.,Brain,M.:在开发验证软件时使用答案集编程。摘自:Dovier,A.、Costa,V.S.(编辑)《第28届逻辑编程国际会议的技术通信》,2012年9月4日至8日,匈牙利布达佩斯。LIPIcs,第17卷,第72-85页。Dagstuhl Schloss-Leibniz-Zentrum für Informatik(2012),doi:10.4230/LIPIcs。ICLP.2012.72号·Zbl 1281.68083号
[47] Schwartz,J.T.,Dewar,R.B.K.,Dubinsky,E.,Schonberg,E.:用集合编程-SETL简介。《计算机科学文本和专著》,Springer(1986),doi:10.1007/978-1-4613-9575-1·Zbl 0604.68001号
[48] 斯皮维,JM,Z符号:参考手册。(1992),英国赫特福德郡:普伦蒂斯·霍尔国际(英国)有限公司,英国赫特福德郡·Zbl 0777.68003号
[49] 股票,P。;Carrington,D.,《基于规范的测试框架》,IEEE Trans。软件工程,22,11,777-793(1996)·数字对象标识代码:10.1109/32.553698
[50] Woodcock,J.,验证软件大挑战的第一步,《计算机》,39,10,57-64(2006)·doi:10.1109/MC.2006.340
[51] Woodcock,J.,Aydal,J.,Aydal,E.G.,Chapman,R.:代币实验。收录于:Roscoe,A.W.,Jones,C.B.,Wood,K.R.(编辑)《对C.A.R.Hoare作品的反思》,第405-430页。施普林格(2010)·Zbl 1213.68391号
[52] Yin,X.,Knight,J.C.:大型软件系统的正式验证。摘自:穆尼奥斯(Muñoz,C.A.)(ed.)第二届美国国家航空航天局正式方法研讨会——2010年NFM,美国华盛顿特区,2010年4月13日至15日。诉讼程序。NASA会议记录,第NASA/CP-2010-216215卷,第192-201页(2010年)
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。