摘要：分布式系统在计算环境中发挥重要的作用,其中的共识协议算法用于保证节点间行为的一致性.共识协议的设计错误可能导致系统运行故障,严重时可能对人员和环境造成灾难性的后果,因此保证共识协议设计的正确性非常重要.形式化验证能够严格证明设计模型中目标性质的正确性,适合用于验证共识协议.然而,随着分布式系统的规模增大,问题复杂度提升,使得分布式共识协议的形式化验证更为困难.采用什么方法对共识协议的设计进行形式化验证、如何提升验证规模,是共识协议形式化验证的重要研究问题.对目前采用形式化方法验证共识协议的研究工作进行调研,总结其中提出的重要建模方法和关键验证技术,并展望该领域未来有潜力的研究方向.

摘要：为确保拟态路由器中协议代理等“拟态括号”关键组件的安全性和功能正确性,设计实现了边界网关协议(BGP)代理,并采用形式化方法对BGP代理的安全性和功能正确性进行了验证。BGP代理通过监听邻居路由器与主执行体之间的BGP会话报文,模拟邻居路由器与从执行体展开BGP会话,实现各执行体的BGP状态一致。采用VeriFast定理证明器,编写基于分离逻辑的形式化规约,证明程序不会出现空指针引用等内存安全问题,并验证了BGP代理各功能模块实现的高级属性符合功能规约。BGP代理实现与验证代码量之比约为1.8:1,程序设计实现和程序验证所耗费的时间之比约为1:3。经过形式化验证的BGP代理处理100000条BGP路由所花费的时间为0.16 s,约为未经过验证的BGP代理的7倍。研究工作为应用形式化方法证明拟态防御设备与系统中关键组件的安全性和功能正确性提供了参考。

摘要：拟态路由器基于拟态防御的动态异构冗余架构进行设计,对于未知漏洞后门具有良好的防御能力。协议代理在拟态路由器中处于内外联络的枢纽位置,协议代理的安全性和功能正确性对于拟态路由器有着重要意义。本文设计实现了拟态路由器的TCP协议代理,并采用形式化方法,对其安全性和功能正确性进行了验证。TCP协议代理嗅探邻居和主执行体之间的TCP报文,模拟邻居和从执行体建立TCP连接,并向上层应用层协议代理提供程序接口。基于分离逻辑与组合思想,采用Verifast定理证明器,对TCP协议代理的低级属性,包括指针安全使用、无内存泄露、无死代码等,进行了验证;同时,还对TCP协议代理的各主要功能模块的部分高级属性进行了形式化验证。搭建了包含3个执行体的拟态路由器实验环境,对实现结果进行了实际测试,结果表明所实现的TCP代理实现了预期功能。TCP协议代理实现总计1611行C代码,其中形式化验证所需人工引导定理检查器书写的证明共计588行。实际开发过程中,书写代码实现与书写人工证明所需的时间约为1︰1。本文对TCP协议代理的实现与形式化验证工作证明了将形式化验证引入拟态路由器的关键组件开发中是确实可行的,且证明代价可以接受。

摘要：对于构建可信操作系统而言,文件系统设计和实现的正确性至关重要,即使是已经得到广泛运用的文件系统仍然有漏洞被检测出来。采用形式化方法对文件系统的设计和实现的正确性进行严格的验证是公认的可行方法。当前文件系统的形式化验证工作大多基于宏内核操作系统,而忽视了微内核操作系统架构下文件系统的验证。为此,提出一种微内核架构下采用内联数据机制的文件系统的形式化设计和验证方法。以高阶逻辑(HOL)和自动机模型为基础,将文件系统中的工作对象和系统资源抽象为系统对象来构建文件系统的工作状态,形式化地描述文件系统的相关系统调用的功能语义,将系统调用提供服务的过程抽象为系统工作状态发生跃迁的过程,并给出文件系统功能正确性和安全属性的断言。以实现的安全可信微内核操作系统(VSOS)中的安全可信文件系统(VSFS)为例,在设计阶段构建VSFS的有限状态机模型,并在Isabelle/HOL中抽象描述VSFS的可移植操作系统接口(POSIX)系统调用,分析和归纳出VSFS文件系统正确性断言,使用定理证明的方式来验证VSFS的正确性。实验结果表明,该方法在Isabella/HOL中完成VSFS有限状态机模型细粒度的形式化验证,满足预期的安全需求规范。

摘要：目前,高级数据链路控制(High-Level Data Link Control, HDLC)协议控制器在航天型号中依然应用广泛,通常以IP核的形式被集成在通信部件中。但是近年,多个经过仿真验证的HDLC IP核在航天型号运行过程中出现了触发概率极小的功能错误,导致数据帧丢失、通信功能失效甚至任务失败。在仅依靠仿真无法保证验证充分性的背景下,采用形式化验证方法进行功能验证。本文依据HDLC国际标准分析同步传输模式关键功能,将关键功能拆分为属性描述,并根据属性编写断言,从而建立HDLC协议同步传输模式关键功能用例集,并以正在航天型号中使用的某HDLC IP核为例,使用形式化验证工具进行验证实验,发现了此前从未发现的两处设计缺陷。针对这些设计缺陷,分析了其触发原理和可能造成的危害。

摘要：EAP-TLS是5G标准定义的在特定物联网环境中提供密钥服务的安全协议,然而EAP-TLS协议无法提供用户设备与网络之间的双向认证,存在设计缺陷的协议在运行时将危害系统安全,因此在协议实施之前分析其安全性,尽可能找到潜在缺陷并将其改进是所有协议必不可少的过程。文中研究了基于Proverif的EAP-TLS协议与安全属性的形式化模型,并验证了用户设备与网络之间的相互认证性、协议中安全锚点密钥KSEAF与用户身份标识SUPI的保密性等安全属性。实验结果表明,在非安全信道下EAP-TLS协议在认证性方面存在安全缺陷,用户设备对网络的认证失败。分析验证结果进一步确定了导致安全缺陷的原因,并给出了相应的攻击路径。最后,基于密码学中的非对称密钥加密与随机数,讨论了安全缺陷改进的可能性。

摘要：为提高下一代列车运行控制(简称列控)系统安全计算机的系统兼容性,首先对其结构进行简要分析,并对管理机制进行设计,建立了管理单元状态转移模型,同时以形式化验证工具对模型的正确性进行了验证。在此基础上对基于微控制单元(MCU,micro controller unit)的管理单元进行了软硬件的设计实现与测试。验证和测试结果表明,所设计的管理机制符合设计规范的要求,管理单元能够实现预期的状态转移功能。

摘要：针对硬件安全验证的效率受形式化验证模型构建方式影响的问题,提出了一种面向硬件木马检测的自动构造形式化验证模型的方法。该方法首先遍历寄存器传输级设计的控制流图,提取出赋值语句的路径条件及其对应赋值表达式,构成Kripke结构中状态转移的约束关系;然后将Verilog语法的约束关系转换成模型检测器的语法,从而生成形式化验证模型;最后利用模型检测器对所构造的模型进行验证,当模型违反设定的安全验证属性时,检测到其中的硬件木马。利用Trust-HUB硬件木马测试基准的实验结果表明,该方法生成的形式化验证模型,能够有效检测寄存器传输级硬件设计中的木马。

摘要：阐述在验证芯片复杂场景的过程中,往往会由于激励的仿真时间过长或随机化程度不够,从而丢失掉部分的边界情况。形式化验证是一种通过数学的方式来对待测设计进行验证的方法,可以对模块的接口信号进行遍历,从而覆盖其约束范围内所有场景。通过形式化属性验证,对SoC中的轮询仲裁器模块进行验证,通过其得到的违例结果,反向指导SoC制造相应的激励,缩短了寻找边界场景的时间,大大提高了验证效率。

摘要：为提高核电厂数字化仪控系统中HPD(HDL-Programmed Device)验证工作的效率和有效性,从而帮助提高仪控系统可靠性,引入形式化验证方法。形式化验证方法与传统的基于功能仿真的验证方法相比可以更有效地发现系统设计中的错误,更充分地验证系统设计,更方便地对验证流程进行管理。目前基于断言的形式化验证方法已经在大规模ASIC设计,以及数字通信领域HPD设计的功能验证中取得了成功,本文将这一方法引入核安全级系统HPD验证实践中,主要介绍HPD形式化验证的特点、原理和方法,以及其在FirmSys系统安全级HPD验证工作中的初步应用。