[发明专利]一种嵌入式软件可信属性建模与验证方法

说明书

技术领域

本发明属于可信计算领域，特别是一种嵌入式软件可信属性建模与验证方法。

背景技术

可信软件是指软件的运行行为及其结果总是符合人们的预期，即使在受到攻击和干扰的恶劣环境下仍能提供可靠的运算结果和连续的服务。嵌入式软件已经在航空、航天、船舶、汽车、工农业生产等许多领域中得到了广泛的应用，并不断向复杂化、规模化与开放化的趋势发展。未来的嵌入式软件具有软件规模庞大、通信环境复杂、与硬件紧密耦合等特点。在其发展趋势和应用场景下，嵌入式软件对实时性、安全性、可靠性等可信属性提出了更高的需求。因此，在嵌入式软件的需求分析、设计、实现等阶段均面临着新的困难和挑战。传统的测试方法要在软件实现阶段才能发现部分软件代码中的错误，不仅需要付出很大的时间与资源代价，而且难以完全排除其潜在的逻辑缺陷。因此，研究在设计阶段针对嵌入式软件可信属性建模与验证的方法具有重要的理论意义和实用价值，通过对嵌入式软件模型的可信性质的验证，可减少其在设计和编码过程中的可信性缺陷，从而降低软件失效的概率。

针对嵌入式软件可信属性的建模与验证主要围绕两个问题：可信属性的建模方法以及可信性质的验证方法。由于可信属性是软件的非功能属性，无法在功能模型中体现出来，需要通过软件静态结构及动态行为中的约束来进行描述。为了验证软件在每个可能的状态中都满足这些约束，就需要建立软件的结构和行为模型，并描述软件操作在软件行为中的作用。因此，针对嵌入式软件可信属性的建模方法应该能够描述嵌入式软件的操作规约，即操作对软件状态的改变，以及这种改变对软件可信性质的影响。

由于半形式化模型中缺少操作规约，并且采用对象约束语言（Object Constraint Language，OCL）来描述软件中的约束，不具备精确的语义，因此无法直接进行严格的分析验证。而形式化模型能够避免半形式化模型的歧义性和不精确性，且模型精化技术可保证软件的抽象模型与实施模型满足相同的性质。因此，更适用于设计和验证具有高可信需求的嵌入式软件。目前，嵌入式软件建模所采用的形式化语言主要包括有限自动机、Petri网、AADL、CORBA等。由于这些方法缺乏针对嵌入式特征与可信属性的形式化建模元素，因此现有的研究工作成果无法满足我们对嵌入式软件可信属性的建模需求。另一方面，目前常用的软件行为模型并不能很好地与软件功能模型相融合，无法描述软件操作对软件状态的改变，导致现有的模型验证方法无法对功能模型中的数据约束进行验证，从而无法完整地评估软件操作对可信性质的影响。因此，在现有模型的基础上加强对嵌入式软件操作规约与数据约束的表达能力，将嵌入式软件行为与功能模型进行深度融合，是解决嵌入式软件可信属性的建模与验证问题的有效途径。但是，现有技术中尚无相关描述。

发明内容

本发明所解决的技术问题在于提供一种嵌入式软件可信属性建模与验证方法。

实现本发明目的的技术解决方案为：一种嵌入式软件可信属性建模与验证方法，将嵌入式软件建模规范MARTE与Z语言、时间自动机的建模过程相结合，并基于模型检测算法进行模型可信性质的验证，具体包括以下步骤：

步骤1、建立半形式化模型，具体是建立UML/MARTE类图和状态图；

步骤2、建立有限域上的可信嵌入式软件模型ZAM，具体是将半形式化模型向形式化模型转换，并补充其操作规约和可信约束，所述可信嵌入式软件模型ZAM分为时间模型、静态模型与动态模型三部分，用于对嵌入式软件的结构、行为及其可信约束进行描述，其中：

（a）ZAM时间模型ZM_time包括时钟类型、时钟实例、时间构造型建模元素，所述时间构造型建模元素包括时间事件、时间过程两种；

（b）ZAM静态模型ZM_static包括：数据类型、全局变量、类状态、可信构造型、类、类关联、操作规约建模元素；

（c）ZAM动态模型ZM_dynamic包括：状态、转移动作、时钟、状态转移建模元素，以及这些建模元素分别与ZM_time和ZM_static中各类元素之间的二元关系。

建立有限域上的可信嵌入式软件模型ZAM主要包括如下子步骤：