Skip to main content
QUICK REVIEW

[论文解读] On Verifying Timed Hyperproperties

Hsi-Ming Ho, Ruoyu Zhou|arXiv (Cornell University)|Dec 25, 2018
Formal Methods in Verification参考文献 39被引用 4
一句话总结

本文提出 HyperMTL,即 HyperLTL 的时序扩展,用于在时序自动机建模的系统中指定和验证时序超性质。研究证明,当存在量词交替时,即使在受限的时序约束下,HyperMTL 的模型检测也是不可判定的;但在同步语义或有界时间域下,其变为可判定,从而可通过现有的 LTL 和自动机工具实现实际验证。

ABSTRACT

We study the satisfiability and model-checking problems for timed hyperproperties specified with HyperMTL, a timed extension of HyperLTL. Depending on whether interleaving of events in different traces is allowed, two possible semantics can be defined for timed hyperproperties: asynchronous and synchronous. While the satisfiability problem can be decided similarly to HyperLTL regardless of the choice of semantics, we show that the model-checking problem, unless the specification is alternation-free, is undecidable even when very restricted timing constraints are allowed. On the positive side, we show that model checking HyperMTL with quantifier alternations is possible under certain conditions in the synchronous semantics, or when there is a fixed bound on the length of the time domain.

研究动机与目标

  • 解决在反应式系统中形式化验证与时间相关的安全策略(如时序侧信道泄露)的需求。
  • 通过引入 HyperMTL,将 HyperLTL 扩展至时序系统,提出一种在时序轨迹上表达超性质的形式化方法。
  • 分析在不同语义和约束条件下,HyperMTL 的满足性与模型检测问题的可判定性。
  • 识别在存在量词交替的情况下,HyperMTL 模型检测仍保持可判定的条件,而这类情况通常导致不可判定性。
  • 通过将 HyperMTL 映射到 QPTL 和无时序自动机,实现与现有工具的集成,从而支持实际验证。

提出的方法

  • 通过在度量时序逻辑(MTL)中引入轨迹量词,定义 HyperMTL,以支持对多个时序执行轨迹之间关系的规格说明。
  • 提出两种逐点语义——同步与异步,基于不同轨迹间的事件是否允许在时间上交错。
  • 使用堆叠构造将具有有界时间域的 HyperMTL 公式转换为等价的 QPTL 公式,从而将模型检测问题归约为 QPTL 中的满足性问题。
  • 利用 MSO[<, +1] 逻辑表示时序自动机及其轨迹,支持将其转换为自动机以进行模型检测。
  • 通过将 HyperMTL 模型检测归约为 QPTL 中的满足性问题,证明在同步语义或有界时间域下的可判定性结果。
  • 通过映射到无时序自动机和基于 LTL 的工具(如 SPOT、GOAL、Owl),实现 HyperMTL 公式的实际验证。

实验结果

研究问题

  • RQ1当规格说明中包含量词交替时,HyperMTL 的模型检测问题是否可判定?
  • RQ2在同步与异步语义之间选择,如何影响 HyperMTL 模型检测的可判定性?
  • RQ3HyperMTL 模型检测能否归约为时序逻辑或自动机理论中的已知可判定问题?
  • RQ4对系统或规格说明施加何种限制,可使 HyperMTL 模型检测在存在量词交替时仍保持可判定?
  • RQ5有界时间域是否能恢复完整 HyperMTL 的可判定性?若能,如何与现有验证工具结合使用?

主要发现

  • 当规格说明中至少存在一个量词交替时,即使时序约束极为受限,HyperMTL 的模型检测也是不可判定的。
  • 在同步语义下,即不同轨迹间的事件交错被禁止时,可判定性得以恢复。
  • 当时间域被预先限制为 [0, N)(N 为正整数)时,模型检测变为可判定。
  • 在有界时间域下,HyperMTL 模型检测可归约为 QPTL 的满足性问题,从而可利用优化的现成工具。
  • 即使对于 ∃∗∀∗ 片段,也可通过现有基于 LTL 和自动机的验证后端高效执行 HyperMTL 模型检测。
  • 同步语义简化了证明过程,避免了对停顿构造的需求,支持直接使用 MSO[<, +1] 进行推理。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。