SPIN安装及模型验证实验报告

实验报告实验题目：基于SPIN的LTL模型检测课程名：形式化方法姓名：王燕霞学号：201428013229141一、SPIN概述SPIN是由贝尔实验室形式化方法与验证小组用ANSIC开发，可以在所有UNIX操作系统版本使用，也可以在安装了Linux、Windows95以上版本等操作系统中使用，适合于分布式并发系统，尤其是协议一致性的辅助分析检测工具。SPIN模型检验工具的基本思想是求两种自动机所接受语言的交集，若交集为空集，则安全特性得到验证，否则输出不满足安全特性的行为迹。SPIN可以用于以下三种基础模型中：1）作为一个模拟器，允许快速对建立的系统模型进行随意的、引导性的或交互的仿真。2）可以作为一个详尽的分析器，严格的证明用户提出的正确性要求是否满足（使用偏序简约进行最优化检索）。3）用于大型系统近似性证明，用SPIN可以对大型的协议系统进行有效的正确性分析，即使这个系统覆盖了最大限度的状态空间。二、SPIN的安装2.1安装CygwinCygwin是一个在windows平台上运行的类UNIX模拟环境，我们可以通过这个软件在windows系统上模拟简单的unix环境。（1）首先从官网，下载Cygwin安装包，选择64位windows系统（2）打开软件安装包setup-x86_64.exe，界面如下：（3）选择installfromInternet，下一步（4）选择安装路径（5）选择模拟的Unix环境在系统中的路径（6）选择UseInternetExplorerProxySetting，根据自己的网络链接状态选择（7）选择镜像，最好是选国内的，以.cn结尾或者含有.cn的，国外镜像下载速度只有几K，所以可以不用尝试。在这里我选择的是中科大的一个镜像(8)选择要安装的包，Cygwin默认安装的东西很少，像gcc、make、X11、tcl/TK这些都没有，需要自己勾选，可以在Search中直接输入关键字进行查找。如果一次安装没有全都装上也不要紧，可以再次运行setup.exe，然后继续安装其他的包。（9）点击下一步，等待安装完毕。2.2在Cygwin中安装yacc和SPIN。（1）第一步，编译YACC先下载用编译yacc.exe：将byacc.tar.Z放在一个空目录yacc中，解压：gunzip*.tar.Z;tar-xf*.tar;然后用make编译，若有错误再用下面命令编译：gcc-oyacc*.o将yacc.exe拷贝到cygwin/bin下（或Src*目录下）（2）第二步，编译SPIN在SPIN官网上下载spin642.tar.gz放在一个空目录spin中，解压：gunzip*.tar.gz;tar-xf*.tar;转到Src*目录下cdSrc*，make-fmake_unix，最后将生成的spin.exe放到cygwin/bin下。编译好以后的截图如下：（3）这时候运行在Cygwin命令行中输入spin就会显示spin的版本，截图如下：2.3安装SPIN的图形界面工具ispin（1）安装ISPIN的前提是Cygwin支持图形界面，也就是刚才我们在安装Cygwin的时候必修安装Tcl/TK和X11，安装好以后在windows开始菜单会出现一个Cygwin-X目录，如下图所示：（2）从SPIN官网上下载ispin.tcl放到C:\cygwin64\bin目录下，把后缀去掉，重命名为ispin。（3）打开Cygwin-X目录下的XWinServer，在命令框中输入ispin就会出现ispin的界面。（4）遇到的问题：在这里不知道为什么，大多数同学都没有出现ispin界面错位的问题，但是我的ispin超出了界面，影响到了正常使用。后来在ispin.tcl文件中加了一条关于字体大小的全局声明就好了，经试验对于xspin方法也是一样的。下面的改代码前后改代码后的界面对比：三、利用SPIN进行模型检测3.1互斥协议的模型检测互斥协议指的是两个进程共享一个临界区（critical），任何时间只能有一个进程占用临界区。互斥协议的Promela语言的正确表述如下：对该模型建立如下LTL检验条件：下面我们用SPIN对该模型进行检验，打开mutex.pml，首先进行语法检验，syntaxcheck，得到结果如下图所示，没有语法错误，提示有没有用到的ltl公式。bytesem=1;//占用信号：0表示临界区被占用bytecritical=0;//临界区：n表示临界区被n人占用#definesss(sem0)#definemutex(critical=1)//要求检验activeproctypeP1(){do::atomic{sem0;sem--;}critical++;//进程P1占用临界区critical--;//进程P1退出临界区sem++;//释放占用信号od}activeproctypeP2(){do::atomic{sem0;sem--;}critical++;//进程P2占用临界区critical--;//进程P2退出临界区sem++;//释放占用信号od}ltle1{mutex}//未来存在一种情况，无多个用户占用临界区ltle2{!mutex}//未来临界区始终有多个用户ltle3{!mutex}//未来存在一种状态临界区有多个用户ltle4{[]mutex}//临界区始终最多只有一个用户ltle5{![]mutex}//未来存在一种状态临界区有多个用户，跟e2等价ltle6{[]!mutex}//临界区始终有多个用户，跟e3等价ltle7{!sss-[]mutex}//如果临界区被占用，则临界条件成立然后选择verification选项卡，进行模型验证，模型验证分成三块，safety、liveness、以及LTLneverclaims。刚开始我们先对程序进行安全性和可活动性验证，下面截图中用的是默认勾选的选项，第一个表示死锁，进程无法执行下去，第二个表示程序的断言冲突（在mutex这个程序中不包含断言），第三个是允许循环，就是允许只有一个进程一直处于活动状态，而另一个不动。运行结果是没有找到反例，所以描述的模型是没有死锁的。选择检验条件e1，同样也没有找到反例。说明未来存在一种情况，只有一个用户占用临界区这个断言是正确的。同样我们也可以选择其他的检验条件。如果条件不成立的话，在选择Simulate/Replay，模拟方式选择Guidewithtrail，意思就是重放检验的时候得到的路径。比如，当我们检验e6时，显然这个条件是不成立的，在下面的进程运行步骤中就能看到一个使断言不成立的运行步骤。