[发明专利]一种操作系统内核形式化验证方法

权利要求书

1.一种操作系统内核形式化验证方法，其特征在于实施步骤为：

(1)选择操作系统内核系统调用作为验证对象；

(2)根据设计文档中对系统调用功能的期望以及系统调用过程中的不变量等高级属性设计声明规范，供验证人员手动审查，同时提高状态机规范的可信度；

(3)依据系统调用具体实现以及设计文档，定义相应状态机规范，详细描述系统调用功能以及调用过程中的操作系统内核状态转移情况；

(4)将声明规范、状态机规范传给形式化验证工具，利用工具完成证明。

2.根据权利要求1所述的操作系统内核形式化验证方法，其特征在于本方法在声明规范定义阶段：

(1)总结系统设计人员对系统调用功能的期望；

(2)参考设计文档，归纳操作系统内核系统调用阶段应满足的高级属性或不变量等信息；

(3)根据设计人员期望以及不变量等信息综合定义声明规范。

3.根据权利要求1所述的操作系统内核形式化验证方法，其特征在于本方法在状态机规范定义阶段：

(1)利用状态机规范对内核行为进行形式化描述，将系统调用过程中内核的状态变化抽出，作为每一转换步，利用状态转换过程中的不变量以及定义的前置与后置条件对系统调用的正确运行进行验证；

(2)定义抽象内核状态，抽象内核状态是将操作系统内核利用程序逻辑结构进行抽象描述，其中应包括当前内核状态以及系统调用功能两部分内容；

(3)定义抽象状态转换，利用状态转换模拟系统调用运行情况。

4.根据权利要求1或3所述的操作系统内核形式化验证方法，其特征在于本方法定义状态机规范后，对抽象状态转换验证过程如下：

(1)将内核状态与系统调用参数作为验证规范的输入；

(2)获取当前执行进程信息，存储执行系统调用的进程的具体信息；

(3)验证系统调用参数，确定系统调用参数的正确性，并返回验证条件；

(4)验证条件为真，则开始将内核状态转移到下一阶段，执行系统调用功能，得到下一阶段的内核状态。

5.根据权利要求1所述的操作系统内核形式化验证方法，其特征在于本方法在声明规范、状态机规范定义完毕后，对系统调用进行建模验证，建模验证实现步骤如下：

(1)总结系统调用执行过程中所必须满足的高级属性，结合内核中的对应不变量进行声明规范的定义；

(2)根据设计文档及源码，以形式化语言定义状态机规范；

(3)将状态机规范、声明规范传递给验证器，验证器将二者转化为一个定理证明，并自动进行求解验证；

(4)求解器验证成功，则该部分代码实现可认为是安全的；若验证失败，则返回相应的测试用例帮助排查可能的问题。