[发明专利]验证目标程序的验证规范的产生装置和方法

说明书

技术领域

本发明涉及到一种装置，用于产生对验证目标程序进行验证的验证规范，以及产生所述验证规范的方法。

背景技术

在用于探测计算机程序中的逻辑错误的验证技术中，有一种称作类型状态验证的众所周知的技术。类型状态验证包括输入验证对象的程序代码和由用户所描述的验证规范，在不执行程序的情况下进行验证。顺便提及，作为相关的文件，可以参考非专利文件1和非专利文件2，其中，非专利文件1为“Checking system rules using SystemSpecific，Programmer-written compiler extensions(使用程序员编写的编译器扩展“SystemSpecific”对系统规则进行检查)”in Proceedings of the FourthSymposium on Operating Systems Design and Implementation(关于操作系统的设计和实现的第四次会议的文集)，San Diego，CA，October 200(Dawson Engler，Benjamin Chief，Andy Chou，and Seth Hallem)，非专利文件2为“Esp：Pathsensitive program verification in polynomial time(多项式时间中的路径敏感的程序验证)”in Proceedings of the ACM SIGPLAN2002 Conference on Programming Ianguage design and implementation(关于编程语言的设计和实现的ACM SIGPLAN 2002会议的文集)(ManuvirDas，Sorin Lerner，and Mark Seigle)。

用于类型状态验证的验证规范是将程序代码中出现的对象变量的状态变化抽象成有限状态机的一种验证规范。用于类型状态验证的验证算法如下。即，有限状态机在搜寻程序代码的控制流图时根据对用户指定的对象变量所进行的操作来做出转换，并检查是否存在到无效状态的转换，其中，如果存在到无效状态的转换，那么转换路径就被显示为反例。

类型状态验证有几个优点：它直接取程序代码为验证目标，不需要执行程序，并且它检查程序的所有可能的执行路径。另一方面，类型状态验证的不利之处在于，会给出关于实际上不可行的路径的错误报告(假的反例)，因为程序代码中的变量值或分支目标被处理为未决定的(unsettled)，并且验证结果是不正确的。

在做类型状态验证时，要求用户正确地描述有限状态机，其中，对要验证的对象变量的内部状态进行抽象。如果通过描述大的程序代码的验证规范来进行类型状态验证，那么会出现下列情形。

1.多个不同的对象经常做类似的状态转换，其中，如果单个地描述验证规范，那么大量的描述就会重复。

2.如果有限状态机中的状态数很大，那么很难没有错误地描述验证规范。

3.很难判断类型状态验证中所报告的反例是否实际上发生了。

本发明提供一种产生程序验证规范的装置、方法以及程序，它们至少具有下列优点之一，即，尽可能地节省验证规范的描述量、减少复杂验证规范中的错误以及减少假反例。

发明内容

根据本发明的一个方面，提供一种装置，该装置产生验证规范以验证包含对一个或多个对象进行操作的函数的验证目标程序，该装置包括：

第一输入单元，配置为用来输入描述第一有限状态机的第一规范，所述第一有限状态机定义由于事件的发生而导致的多个状态之间的转换；

第二输入单元，配置为用来输入第二规范，所述第二规范为第一对象类型描述了对具有所述第一对象类型的对象进行操作的函数与所述第一有限状态机中的事件之间的对应；以及

验证规范产生单元，配置为用来通过合成所述第一和第二规范来产生用于对所述验证目标程序进行验证的验证规范，所述验证规范描述了第二有限状态机，所述第二有限状态机定义了由于调用对具有所述第一对象类型的所述对象进行操作的函数而导致的具有所述第一对象类型的所述对象的各状态之间的转换。

根据本发明的一个方面，提供一种方法，该方法用来产生验证规范以验证包含对一个或多个对象进行操作的函数的验证目标程序，该方法包括：

输入描述第一有限状态机的第一规范，所述第一有限状态机定义由于事件的发生而导致的多个状态之间的转换；