Certificação de composições de serviços web semânticos

(1)

Centro de Ciˆ

encias Exatas e da Terra

Departamento de Inform´

atica e Matem´

atica Aplicada

Programa de P´

os-gradua¸c˜

ao em Sistemas e Computa¸c˜

ao

Evando Carlos Pessini

Certifica¸c˜

ao de Composi¸c˜

oes de Servi¸cos Web

Semˆ

anticos

(2)

Certifica¸c˜

ao de Composi¸c˜

oes de Servi¸cos Web

Semˆ

anticos

Tese submetida ao Programa de Pós-gradua¸cão em Sistemas e Computa¸cão do Departamento de In-formática e Matemática Aplicada do Centro de Ciências Exatas e da Terra da Universidade Federal do Rio Grande do Norte como parte dos requisitos para a obten¸cão do t´ıtulo de Doutor em Ciência da Computa¸cão.

Orientador:

Prof. Martin A. Musicante(UFRN-Brasil)

Coorientadora:Prof

a

_{. Regina Motz}

_{(UdelaR-Uruguai)}

Coorientador:Prof. Alberto Pardo(UdelaR-Uruguai)

(3)

Catalogação da Publicação na Fonte. UFRN / SISBI / Biblioteca Setorial Centro de Ciências Exatas e da Terra – CCET.

Pessini, Evando Carlos.

Certificação de composições de servicos web semânticos / Evando Carlos Pessini. - Natal, 2014.

138 f. : il.

Orientador: Prof. Martin Alejandro Musicante. Coorientadora: Profa. Regina Motz

Coorientador: Prof. Alberto Pardo

Tese (Doutorado) – Universidade Federal do Rio Grande do Norte. Centro de Ciências Exatas e da Terra. Programa de Pós-Graduação em Ciência da Computação.

1. Linguagens de programação – Tese. 2. Métodos formais – Tese. 3. Serviços web semânticos – Tese. 4. Composição de serviços web – Tese. 5.Correção parcial

– Tese. 6. Lógica descritiva – Tese. 7. Lógica de Hoare – Tese. I. Musicante, Martin Alejandro. II. Motz, Regina. III. Pardo, Alberto. IV. Título.

(4)

ao meu querido filho, Pietro.

(5)

Primeiramente, agrade¸co à Deus pelas ben¸cãos a mim concedidas durante minha vida, sendo uma delas a conclusão deste doutorado.

Agrade¸co à minha esposa Marcia por sua confian¸ca e apoio, especialmente nos momentos mais dif´ıceis desta caminhada. Agrade¸co ao meu filho Pietro, pela paciência e compreensão nos inúmeros momentos em que estive ausente, e muitas vezes quando presente, não podia dedicar meu tempo à ele.

Agrade¸co ao meu orientador, Prof. Martin A. Musicante, pela oportunidade de ingressar no programa de doutorado e pelo apoio e orienta¸cão durante este per´ıodo. Agrade¸co pelas inúmeras contribui¸cões para o desenvolvimento desta tese, seja na forma de revisão cr´ıtica do texto assim como nas discussões sobre os aspectos técnicos do seu desenvolvimento.

Agrade¸co aos meus coorientadores, Profa_{. Regina Motz e Prof. Alberto Pardo, pela} afe-tuosa recep¸cão no per´ıodo do estágio do doutorado-sandu´ıche em Montevidéu. Agrade¸co pelas orienta¸cões e contribui¸cões que foram fundamentais para o desenvolvimento da pre-sente tese.

Agrade¸co aos membros da banca de defesa, Profa_{. Mirian Halfeld Ferrari, Prof}a_{. Cláudia} Ribeiro e Prof. Umberto Souza da Costa, pela revisão cr´ıtica do texto da tese e pelas contribui¸cões para a melhoria do trabalho.

Agrade¸co aos professores do PPgSC pelos conhecimentos transmitidos durante o per´ıodo do cumprimento dos cr´editos do doutorado.

Agrade¸co à CAPES pelo apoio financeiro durante o estágio de doutorado-sandu´ıche rea-lizado na Universidad de la Republica (UdelaR) em Montevidéo/Uruguai.

(6)

Esta tese apresenta um método de certifica¸cão de composi¸cões de servi¸cos web semânticos, o qual visa assegurar estaticamente sua corre¸cão funcional. O método de certifica¸cão consiste em duas dimensões de verifica¸cão, denominadas base e funcional. A dimensão

base é centrada na verifica¸cão da correta aplica¸cão dos servi¸cos web semânticos na com-posi¸cão, i.e., visa certificar que as invoca¸cões de servi¸co especificadas na composi¸cão estão em conformidade com as respectivas defini¸cões dos servi¸cos. A certifica¸cão desta di-mensão explora a compatibilidade semântica entre os argumentos dados na invoca¸cão e os parâmetros formais do servi¸co web semântico. A dimensãofuncional visa certificar que a composi¸cão cumpre uma dada especifica¸cão expressa na forma de pré- e pós-condi¸cões. Esta dimensão é formalizada através de um cálculo baseado na lógica de Hoare. Especi-fica¸cões de corre¸cão parciais envolvendo composi¸cões de servi¸cos web semânticos podem ser derivadas a partir do sistema dedutivo proposto. Este trabalho caracteriza-se também por explorar o emprego de um fragmento da lógica descritiva, i.e., ALC, para expres-sar as especifica¸cões de corre¸cão parciais. Como forma de operacionalizar o método de certifica¸cão, foi desenvolvido um ambiente de suporte para a defini¸cão das composi¸cões de servi¸cos web semânticos, assim como os mecanismos necessários para realizar a cer-tifica¸cão. O método de certifica¸cão foi avaliado experimentalmente através da aplica¸cão em três provas de conceito diferentes. As provas de conceito desenvolvidas possibilitaram avaliar de forma ampla o método de certifica¸cão proposto.

´

Area de concentra¸cão: Linguagens de Programa¸cão e Métodos Formais

(7)

This thesis presents a certification method for semantic web services compositions which aims to statically ensure its functional correctness. Certification method encompasses two dimensions of verification, termed base and functional dimensions. Base dimension concerns with the verification of application correctness of the semantic web service in the composition, i.e., to ensure that each service invocation given in the composition comply with its respective service definition. The certification of this dimension exploits the semantic compatibility between the invocation arguments and formal parameters of the semantic web service. Functional dimension aims to ensure that the composition satisfies a given specification expressed in the form of preconditions and postconditions. This dimension is formalized by a Hoare logic based calculus. Partial correctness specifications involving compositions of semantic web services can be derived from the deductive system proposed. Our work is also characterized by exploiting the use of a fragment of description logic, i.e.,ALC, to express the partial correctness specifications. In order to operationalize the proposed certification method, we developed a supporting environment for defining the semantic web services compositions as well as to conduct the certification process. The certification method were experimentally evaluated by applying it in three different proof concepts. These proof concepts enabled to broadly evaluate the method certification.

Area of concentration: Programming Languages and Formal Methods

(8)

Lista de Figuras p. x

Lista de Tabelas p. xii

1 Introdu¸c˜ao p. 1

1.1 Motiva¸c˜ao e Formula¸c˜ao do Problema . . . p. 2

1.2 Objetivos e Principais Resultados . . . p. 4

1.2.1 Hip´oteses . . . p. 4

1.2.2 Objetivos . . . p. 4

1.2.3 Contribui¸c˜oes . . . p. 5

1.3 Organiza¸c˜ao da Tese . . . p. 5

2 Estado da Arte p. 7

2.1 Fundamenta¸c˜ao Te´orica e Trabalhos Relacionados . . . p. 8

2.1.1 Representa¸c˜ao de Conhecimento . . . p. 8

2.1.1.1 L´ogica Descritiva . . . p. 9

2.1.1.2 Atualiza¸c˜ao de Base de Conhecimento . . . p. 17

2.1.2 Verifica¸c˜ao Formal de Programas . . . p. 24

2.1.2.1 L´ogica de Hoare . . . p. 25

2.2 Verifica¸c˜ao de Composi¸c˜oes de Servi¸cos Web . . . p. 26

2.2.1 Abordagens baseadas em Prova de Teorema . . . p. 27

2.2.2 Abordagens baseadas em Model Checking . . . p. 29

(9)

3.1 Preliminares . . . p. 33

3.1.1 Servi¸cos Web Semˆanticos . . . p. 33

3.1.2 Atualiza¸c˜ao do ABox . . . p. 36

3.1.3 Linguagem de Composi¸c˜ao de Servi¸cos . . . p. 37

3.1.3.1 Sintaxe . . . p. 38

3.1.3.2 Semˆantica . . . p. 41

3.2 M´etodo de Certifica¸c˜ao . . . p. 43

3.2.1 Running Example . . . p. 44

3.2.2 Dimens˜ao Base . . . p. 51

3.2.3 Dimens˜ao Funcional . . . p. 54

3.2.3.1 Regra de Invocac˜ao de Servi¸co . . . p. 57

3.2.3.2 Regra do Consequente . . . p. 61

3.2.3.3 Regra de Sequˆencia . . . p. 63

3.2.3.4 Regra do Condicional . . . p. 65

3.2.3.5 Regra de Itera¸c˜ao . . . p. 68

3.2.3.6 Regra do Paralelismo . . . p. 71

3.3 Conclus˜oes . . . p. 74

4 Ambiente de Certifica¸c˜ao p. 75

4.1 Arquitetura do Ambiente de Certifica¸c˜ao . . . p. 76

4.1.1 M´odulo Parser . . . p. 77

4.1.2 M´odulo KnowledgeBase . . . p. 77

4.1.3 M´odulo Certifier . . . p. 78

4.1.3.1 Atividade “Certify Workflow”. . . p. 82

4.2 Certificando Workflows . . . p. 93

4.3 Considera¸c˜oes . . . p. 96

(10)

5.1 Cenário 1 - Aprova¸cão de Empréstimo . . . p. 99

5.2 Cen´ario 2 - Processamento de Ordem de Compra . . . p. 108

5.3 Cen´ario 3 - Reembolso de Despesas de Viagem . . . p. 120

5.4 Considera¸c˜oes . . . p. 128

6 Conclus˜oes p. 130

6.1 Contribui¸c˜oes . . . p. 131

6.2 Trabalhos Futuros . . . p. 132

Referˆencias p. 133

(11)

1 Atualiza¸c˜ao de conceitos no fragmento ALCO [1]. . . p. 20

2 Gramática das se¸cões de declara¸cão da linguagem de composi¸cão. . . . p. 39

3 Construtores de Workflow e de Asser¸c˜oes . . . p. 41

4 Semˆantica Natural da Linguagem de Workflow. . . p. 42

5 Se¸cão de defini¸cão do workflow para o exemplo de comércio eletrônico. . p. 46

6 Componente terminol´ogico (TBox) da base de conhecimento K@. . . p. 47

7 Relacionamentos hier´arquicos inferidos a partir da terminologia da base

de conhecimento K@. . . p. 48

8 Servi¸cos web semânticos do exemplo de comércio eletrônico. . . p. 50

9 Workflow com as se¸cões de declara¸cão para verifica¸cão da dimensão base. p. 53

10 C´alculo de Hoare para a linguagem de workflow. . . p. 56

11 Exemplo de uma especifica¸cão válida com invoca¸cão de servi¸co com

efei-tos condicionais. . . p. 58

12 Exemplo de especifica¸cão inválida com invoca¸cão de servi¸co. . . p. 59

13 Exemplo de instancia¸c˜ao da regra de invoca¸c˜ao para um servi¸co com

m´ultiplos efeitos condicionais. . . p. 60

14 Exemplo de deriva¸c˜ao da prova para invoca¸c˜ao de servi¸co. . . p. 60

15 Exemplo de deriva¸c˜ao da prova para um workflow sequencial. . . p. 60

16 Especifica¸cão de corre¸cão parcial com sequência de servi¸cos. . . p. 63

17 Especifica¸c˜ao de corre¸c˜ao parcial com construtor condicional. . . p. 65

18 Exemplo de deriva¸c˜ao da prova para o construtor condicional. . . p. 67

(12)

21 Especifica¸c˜ao contendo um workflow paralelo. . . p. 71

22 Exemplo de deriva¸cão de uma especifica¸cão de corre¸cão parcial com

work-flows compostos em paralelo. . . p. 73

23 Arquitetura do Ambiente de Certifica¸c˜ao. . . p. 76

24 Diagrama de Atividades do Processo de Certifica¸c˜ao. . . p. 79

25 Constru¸c˜ao de um novo workflow. . . p. 94

26 Editor como plugin do Eclipse. . . p. 95

27 Certifica¸c˜ao da composi¸c˜ao. . . p. 96

28 Resultado da certifica¸c˜ao de um workflow v´alido. . . p. 97

29 Resultado da certifica¸cão de um workflow não válido. . . p. 98

30 Workflow para aprova¸cão de solicita¸cão de empréstimo. . . p. 102

31 Deriva¸cão de especifica¸cão do estudo de caso de aprova¸cão de empréstimo.p. 104

32 Deriva¸cão de especifica¸cão do estudo de caso de aprova¸cão de empréstimo

(continua¸c˜ao). . . p. 105

33 Workflow de processamento de ordem de compra [2]. . . p. 109

34 Workflow para processamento de ordem de compra. . . p. 113

35 Deriva¸cão de especifica¸cão do cenário de processamento de ordem de

compra (sub-workflows W1 e W2). . . p. 114

36 Continua¸c˜ao da deriva¸c˜ao - sub-workflows W3 eW4. . . p. 115

37 Componente terminol´ogico (TBox) da base de conhecimento Ktravel. . . p. 121

38 Servi¸cos web semˆanticos do exemplo de reembolso de viagem. . . p. 122

39 Workflow para reembolso de despesas de viagem. . . p. 123

40 Deriva¸cão de especifica¸cão do cenário de reembolso de despesas de viagem.p. 124

41 Deriva¸cão de especifica¸cão do cenário de reembolso de despesas de viagem

(cont.). . . p. 125

(13)

(14)

1 Introdu¸

c˜

ao

A Computa¸cão Orientada a Servi¸cos é um paradigma de computacão que emprega a nocão de servi¸co como elemento central para o desenvolvimento de aplicacões [3]. Nesta visão, os servi¸cos são componentes de software autônomos, auto-descritos e independentes de plataforma que disponibilizam funcionalidades através de uma interface padronizada e automaticamente processável [4]. Entretanto, em muitos cenários de negócios, a funcio-nalidade fornecida individualmente pelos servi¸cos não é suficiente para atender as tarefas mais complexas, sendo necessário a combina¸cão de diversos servi¸cos para prover a funcio-nalidade requisitada. Esta combina¸cão de servi¸cos fez surgir uma perspectiva interessante para o desenvolvimento de aplica¸cões, onde novos servi¸cos (denominados servi¸cos com-postos) são criados a partir dos servi¸cos pré-existentes. Esta perspectiva, denominada de

composi¸cão de servi¸cos, tem um papel fundamental no paradigma da computa¸cão orien-tada a servi¸cos, pois permite que novas funcionalidades sejam disponibilizadas a partir da composi¸cão de servi¸cos existentes, promovendo assim a idéia do reuso de software [5] e evitando que aplica¸cões sejam constru´ıdas a partir do zero.

Os servi¸cos web são uma das implementa¸cões usadas para a concretiza¸cão da visão conceitual dada pela computa¸cão orientada a servi¸cos. A tecnologia de servi¸cos web define linguagens e protocolos para a descri¸cão (WSDL [6]), publica¸cão (UDDI [7]) e invoca¸cão (SOAP [8]) de servi¸cos web. Servi¸cos web tem sido usados como building blocks para a defini¸cão de processos de negócios expressando intera¸cões complexas entre servi¸cos. O as-pecto dinâmico requerido para expressar intera¸cões complexas é capturado por linguagens de composi¸cão que, em geral, estendem a linguagem de descri¸cão de interface WSDL, tais como, BPEL [9], PEWS [10] e WS-CDL [11].

(15)

proto-colos de comunica¸cão suportados pelo servi¸co. Este conjunto de elementos fornece uma descri¸cão sintática da funcionalidade provida pelo servi¸co. Esta descri¸cão sintática (pa-dronizada) dos servi¸cos web permite automatizar algumas tarefas envolvendo o uso de servi¸cos web, como por exemplo, a gera¸cão de artefatos (stubs) para facilitar a invoca¸cão de servi¸cos web.

Entretanto, considerando as tarefas relacionadas ao ciclo de vida de uso dos servi¸cos web, i.e., publica¸cão, localiza¸cão, sele¸cão e execu¸cão, as descri¸cões (sintáticas) forneci-das pela linguagem WSDL não são suficientes para permitir um n´ıvel satisfatório de automa¸cão destas tarefas. Esta automa¸cão é fundamental em cenários dinâmicos, onde servi¸cos podem tornar-se indispon´ıveis (ou não satisfazer requisitos de QoS) e devem ser substitu´ıdos por outro funcionalmente similar. Neste caso, a substitui¸cão do servi¸co deve ser feita manualmente pelo projetista, uma vez que não há elementos na descri¸cão dos servi¸cos que permitam determinar sua funcionalidade com precisão. Esta ausência de semântica formal dificulta o processamento automático destes servi¸cos, necessários nas tarefas do ciclo de vida de uso dos servi¸cos. Por exemplo, servi¸cos com diferentes com-portamentos possuindo a mesma interface (descri¸cão WSDL) não podem ser precisa e automaticamente diferenciados, dificultando assim a automa¸cão de tais tarefas.

As tecnologias de servi¸cos web semânticos surgiram da necessidade de melhorar a au-toma¸cão e a precisão das tarefas envolvidas no ciclo de vida (de uso) dos servi¸cos web. Sua concep¸cão é fundamentada nas tecnologias de servi¸cos web e da web semântica [12]. Dentre as principais especifica¸cões propostas para expressar servi¸cos web semânticos, destaca-se as ontologias de servi¸cos OWL-S [13], WSMO [14] e WSDL-S [15]. A semântica formal provida pelas linguagens empregadas para descrever os servi¸cos web semânticos pode ser explorada para automatizar tarefas como a descoberta, sele¸cão e composi¸cão de servi¸cos web.

1.1 Motiva¸c˜

ao e Formula¸c˜

ao do Problema

(16)

Por outro lado, a defini¸cão de processos de negócios baseados em descri¸cões abstratas de tarefas (i.e., tarefas anotadas com informa¸cões semânticas) provê uma perspectiva interessante para definir novas aplica¸cões que possibilitam um n´ıvel maior de dinamismo em sua execu¸cão. O dinamismo mencionado aqui refere-se, por exemplo, à possibilidade de substitui¸cão de servi¸cos web que apresentem alguma falha por outros servi¸cos com funcionalidade similar, sem a necessidade de interven¸cão (manual) do projetista e/ou interrup¸cão da execu¸cão do processo de negócio.

Independentemente do n´ıvel de automa¸cão assegurado pelos processos de negócios abstratos, é importante garantir que o processo possua determinadas propriedades dese-jadas. Estas propriedades referem-se, por exemplo, à propriedades genéricas do modelo do processo como deadlock-free, reachability, etc. Além destas, propriedades expressando aspectos não-funcionais do modelo do processo também são requeridas em muitos con-textos de aplica¸cão. Por outro lado, as propriedades expressando o aspecto funcional do processo de negócio constituem um requisito fundamental em todos os contextos de aplica¸cão, pois garantem que o processo de negócio é correto em sua funcionalidade, i.e., que o processo produz os resultados esperados a partir das informa¸cões fornecidas como entrada.

Dessa forma, garantir a corre¸cão funcional é o primeiro passo para melhorar o n´ıvel de confiabilidade dos processos de negócios. O problema da verifica¸cão da propriedade funcional da composi¸cão pode ser definido como: ”dada uma composi¸cão de servi¸cos web semânticos, definidos com base em uma descri¸cão funcional na forma de pré-condi¸cões e efeitos condicionais, e dada uma especifica¸cão expressa na forma de pré- e pós-condi¸cões, verificar estaticamente se a combina¸cão dos servi¸cos expressos pela composi¸cão produz

os resultados descritos pela referida especifica¸c˜ao”.

(17)

1.2 Objetivos e Principais Resultados

O objetivo principal desta tese é prover um método para certifica¸cão de composi¸cões de servi¸cos web semânticos. A certifica¸cão diz respeito à verifica¸cão formal de que a composi¸cão de servi¸cos web semânticos cumpre uma especifica¸cão dada na forma de pré-e pós-condi¸cõpré-es.

1.2.1 Hip´

oteses

Para a defini¸cão do método de certifica¸cão de composi¸cões de sevi¸cos web semânticos, adotamos as seguintes hipóteses:

1. A corre¸cão parcial da composi¸cão pode ser determinada a partir das propriedades (pré- e pós-condi¸cões) dos seus elementos base (i.e., as invoca¸cões de servi¸cos web semânticos) e considerando a estrutura do workflow.

2. Para certificar as composi¸cões de servi¸cos web semânticos, é suficiente considerar a descri¸cão funcional dos servi¸cos, ignorando sua lógica interna.

3. A verificacão da corre¸cão de workflows abstratos (onde as tarefas são descritas por servi¸cos web semânticos) pode ser tratada a partir de uma abordagem axiomática.

4. Fragmentos da lógica descritiva podem ser empregados como linguagem de asser¸cões para expressar as especifica¸cões de corre¸cão parciais.

5. É viável representar os estados do mundo através de bases de conhecimento cujo formalismo subjacente emprega um mecanismo de racioc´ınio baseado na suposi¸cão de mundo aberto.

1.2.2 Objetivos

(18)

O trabalho objetiva também o desenvolvimento de um ambiente de suporte para a operacionaliza¸cão do método de certifica¸cão proposto, permitindo que o projetista defina o modelo do workflow (além das declara¸cões do vocabulário empregado na defini¸cão do modelo) e então certifique que modelo do workflow implementado cumpre uma dada especifica¸cão.

1.2.3 Contribui¸c˜

oes

Como principais contribui¸c˜oes da tese, podemos destacar:

• Corre¸cão parcial de composi¸cões de servi¸cos web semânticos. A defini¸cão de um método de certifica¸cão de composi¸cões cujos elementos base são descritos em um n´ıvel semântico. A defini¸cão de composi¸cões em um n´ıvel mais abstrato permite maior flexibilidade, i.e., as invoca¸cões de servi¸cos podem ser realizadas com base em informa¸cões semanticamente compat´ıveis, não necessariamente de tipos idênticos.

• Abordagem axiomática para verifica¸cão de composi¸cão expressadas em um n´ıvel semântico. A defini¸cão de um cálculo de programa baseado na lógica de Hoare para derivar especifica¸cões de corre¸cão parciais envolvendo workflows de-finidos em um n´ıvel semântico.

• L´ogica Descritiva como linguagem de asser¸c˜oes. O emprego do fragmento

ALC da lógica descritiva como linguagem de asser¸cões para expressar as especi-fica¸cões de corre¸cão parciais.

• Ambiente operacional. O desenvolvimento de um ambiente de suporte, na forma de um plugin do Eclipse, para a operacionaliza¸cão do método de certifica¸cão. O ambiente provê as funcionalidades requeridas para a defini¸cão do modelo do workflow e sua respectiva certifica¸cão.

• Valida¸cão do método de certifica¸cão na forma de provas de conceito. O método de certifica¸cão foi validado com base em provas de conceito englobando três cenários distintos, os quais são caracterizados por empregar diferentes construtores de fluxo de controle para expressar as composi¸cões de servi¸cos web semânticos.

1.3 Organiza¸c˜

ao da Tese

(19)

• O cap´ıtulo 2 aborda as bases teóricas que fundamentam o desenvolvimento do tema de pesquisa abordado na tese, em especial, i) os aspectos relativos à representa¸cão de conhecimento e ii) os aspectos relativos à verifica¸cão formal de programas. Na sequência, o cap´ıtulo apresenta um relato do estado da arte no tema da verifica¸cão de composi¸cões de servi¸cos web.

• O cap´ıtulo 3 é destinado à formaliza¸cão do método de certifica¸cão de composi¸cões de servi¸cos web semânticos definido nesta tese. São apresentadas inicialmente algumas defini¸cões servindo de base para a concep¸cão do método de certifica¸cão. Em seguida, é apresentada a formaliza¸cão do método de certifica¸cão, a partir da defini¸cão de duas dimensões: dimensão base e dimensão funcional. Os elementos de cada dimensão são formalizados e exemplificados através de sua aplica¸cão em um running example

no contexto de com´ercio eletrˆonico.

• O cap´ıtulo 4 descreve o ambiente proposto para operacionalizar o método de certi-fica¸cão de composi¸cões de servi¸cos web semânticos. O cap´ıtulo descreve a arquite-tura do ambiente, detalhando cada um dos módulos e ilustrando como o mesmo é usado para desenvolver e certificar as composi¸cões.

• O cap´ıtulo 5 descreve a avalia¸cão do método de certifica¸cão na forma de provas de conceito. São descritos três cenários com diferentes requisitos visando explorar de forma ampla os elementos de cada dimensão do método de certifica¸cão.

(20)

2 Estado da Arte

A corre¸cão é um aspecto fundamental dos sistemas computacionais [16, 17, 18, 19, 20]. Particularmente, em sistemas de software, a corre¸cão refere-se à verifica¸cão de que o al-goritmo é correto com rela¸cão a uma especifica¸cão. Esta no¸cão de corre¸cão é denominada de corre¸cão funcional [21, 22], pois diz respeito ao comportamento do algoritmo consi-derando suas entradas e sa´ıdas. Em outras palavras, refere-se à verifica¸cão de que para cada entrada fornecida ao algoritmo, uma sa´ıda correta é produzida.

Historicamente, a verifica¸cão da corre¸cão de algoritmos tem sido abordada com base em duas estratégias distintas. A primeira delas é denominada análise experimental [23] (ou teste dinâmico). Esta estratégia visa testar o algoritmo com diferentes conjuntos de dados de entrada e verificar se a sa´ıda produzida pelo algoritmo é correta (em rela¸cão a sa´ıda esperada para aquele conjunto de dados de entrada). A vantagem desta estratégia é sua simplicidade, a qual requer a elabora¸cão de casos de testes visando cobrir as situa¸cões desejadas. A desvantagem é que a deteçcão de erros do algoritmo depende da qualidade dos casos de testes executados. Em geral, os casos de testes não conseguem cobrir todas as poss´ıveis instâncias de dados de entrada. Outro aspecto importante da análise experi-mental, é que os casos de testes permitem encontrar erros no algoritmo, porém, não são suficientes para garantir a ausência de erros no algoritmo.

Por outro lado, a análise formal tem como objetivo provar que o algoritmo funciona para qualquer instância de dados de entrada. A análiseformal [24] é baseada no emprego de formalismos lógicos para provar que o algoritmo cumpre uma dada especifica¸cão. A vantagem desta estratégia é a possibilidade de aplicar um método de prova para garantir a corre¸cão do algoritmo, independente do conjunto de instâncias de dados de entrada. Sua desvantagem diz respeito à dificuldade de encontrar uma prova no caso de algoritmos complexos.

(21)

e verifica¸cão formal de programas. A se¸cão 2.2 apresenta uma descri¸cão das principais abordagens relacionadas à verifica¸cão de programas, com especial ênfase na verifica¸cão de composi¸cões de servi¸cos. A se¸cão 2.3 conclui o cap´ıtulo com a discussão dos conceitos e abordagens apresentadas.

2.1 Fundamenta¸c˜

ao Te´

orica e Trabalhos

Relaciona-dos

A fundamenta¸cão teórica desta tese consiste nos trabalhos desenvolvidos nas áreas de i) representa¸cão de conhecimento, ii) lógica de programa e iii) verifica¸cão formal de programas. Nesta se¸cão são descritos algoritmos, modelos, técnicas e abordagens servindo como embasamento para o desenvolvimento do método de certifica¸cão proposto nesta tese.

2.1.1 Representa¸c˜

ao de Conhecimento

A representa¸cão de conhecimento é uma sub-área de pesquisa da Inteligência Artifi-cial [25, 26]. Sua aplica¸cão tem sido voltada para o projeto de sistemas computacionais que representam as informa¸cões de um determinado dom´ınio em um formato que permita seu processamento automático por um agente inteligente. Sistemas desta natureza, denomina-dos sistemas baseados em conhecimento, assumem que o conhecimento está representado simbolicamente expressando os elementos do dom´ınio e seus relacionamentos [27]. Esta representa¸cão recebe o nome de base de conhecimento. O principal propósito da repre-senta¸cão de conhecimento é organizar o conhecimento objetivando facilitar as inferências a partir da manipula¸cão simbólica destes elementos e de suas rela¸cões.

Diferentes técnicas e formalismos tem sido empregados para a representa¸cão de co-nhecimento, dependendo do contexto do problema considerado. As principais técnicas de representa¸cão de conhecimento incluem i) redes semânticas, ii) regras de produ¸cão e iii) formalismos lógicos.

(22)

co-muns em sistemas baseados em regras de negócios [29] e em formalismos de programa¸cão lógica [30]. Outra forma é o emprego de linguagens de representa¸cão de conhecimento baseadas em lógica. Estas linguagens têm a caracter´ıstica de permitir a interpreta¸cão semântica precisa do conhecimento representado. A semântica formal provida pela lógica subjacente permite que mecanismos de dedu¸cão automatizados sejam aplicados a bases de conhecimento expressas a partir destas linguagens.

A próxima se¸cão descreve o principal formalismo lógico empregado pelas linguagens de representa¸cão de conhecimento no contexto da Web Semântica [31]: a Lógica Descritiva.

2.1.1.1 L´ogica Descritiva

Lógica Descritiva [32] é uma fam´ılia de formalismos lógicos para a representa¸cão de co-nhecimento, a qual se caracteriza por ter uma semântica formal associada. É caracterizada também por permitir a defini¸cão de fragmentos com diferentes n´ıveis de expressividade objetivando preservar a decidibilidade dos mecanismos de racioc´ınio.

As fórmulas na Lógica Descritiva são definidas indutivamente com base em um con-junto de construtores e em dois concon-juntos discon-juntos de s´ımbolos elementares: NC repre-sentando um conjunto de nomes de conceitos (também denominadoconceitos primitivos) eNP representando um conjunto de nomes de propriedades. O conjunto de construtores dispon´ıveis para a defini¸cão de conceitos é dependente do fragmento da Lógica Descritiva considerado. O fragmento AL (denominado Attributive Language) representa o frag-mento m´ınimo da Lógica Descritiva cuja expressividade pode ser explorada em aplica¸cões práticas [32]. As fórmulas que podem ser expressas por esse fragmento são definidas a seguir:

C, D = ⊤ | ⊥ |A| ¬A| C⊓D| ∃r.⊤ | ∀r.C

onde A∈NC e r∈NP.

O s´ımboloArepresenta um conceito primitivo (A∈NC), a partir do qual são expressos os conceitos complexos (C e D) através da aplica¸cão dos construtores dispon´ıveis no fragmentoAL. Os s´ımbolos⊤e⊥expressam, respectivamente, conceitos representando o conjunto completo de indiv´ıduos do dom´ınio de discurso e o conjunto vazio. O construtor

¬A expressa o conjunto de indiv´ıduos do dom´ınio de discurso que não fazem parte da interpreta¸cão do conceito primitivoA, ou seja, o complemento da interpreta¸cão do conceito

(23)

cuja interpreta¸cão é formada pelos indiv´ıduos comuns aparecendo nas interpreta¸cões dos conceitosC eD. O contrutor∃r.⊤expressa um (sub-) conjunto de indiv´ıduos do dom´ınio de discurso que estão relacionados através da propriedade r ∈ NP com, no m´ınimo, um indiv´ıduo qualquer do dom´ınio de discurso. O construtor ∀r.C expressa um (sub-) conjunto de indiv´ıduos do dom´ınio de discurso onde cada indiv´ıduo deste (sub-) conjunto está relacionado, através da propriedade r∈NP, somente com indiv´ıduos pertencentes à interpreta¸cão do conceitoC.

Considerando os conjuntos de s´ımbolos elementares NC e NP dados a seguir:

NC = {Hotel, Hostel}

NP = {hasReservation}

pode-se expressar conceitos arbitrários como¬Hotel, denotando o conjunto de indiv´ıduos do dom´ınio de discurso exceto aqueles pertencentes ao conceito Hotel. Outro exemplo é o conceito arbitrárioHotel⊓Hostel, o qual denota o conjunto de indiv´ıduos do dom´ınio de discurso que pertencem à ambos os conceitos Hotel e Hostel. O conceito arbitrário

∃hasReservation.⊤denota o conjunto de indiv´ıduos do dom´ınio de discurso que estão re-lacionados, através da propriedadehasReservation, a outro indiv´ıduo do dom´ınio. Outro exemplo de conceito arbitrário é∀hasReservation.Hotel⊓Hostel, o qual denota o con-junto de indiv´ıduos do dom´ınio de discurso que estão relacionados, através da propriedade

hasReservation, somente com indiv´ıduos que perten¸cam aos conceitos Hotel e Hostel.

A semântica formal da Lógica Descritiva é baseada na teoria de modelos. Uma inter-preta¸cão é dada pela tupla I = (∆I_,.I

), onde ∆I _{representa um conjunto (n˜ao-vazio) de}

indiv´ıduos e .I

representa uma fun¸c˜ao de interpreta¸c˜ao que associa:

• a cada elemento A∈NC um conjunto AI ⊆∆I, e

• a cada elemento r∈NP um conjunto de pares ordenadosrI ∈∆I×∆I.

(24)

comple-xas (arbitr´arias):

⊤I _{= ∆}I

⊥I ₌ _∅

(¬A)I = ∆I \AI

(C⊓D)I = CI∩DI

(∃r.⊤)I = {a∈∆I | ∃b.(a, b)∈rI}

(∀r.C)I = {a∈∆I | ∀b. (a, b)∈rI ⇒b ∈CI

}

onde ⊤I _{corresponde ao conjunto de indiv´ıduos ∆}I_{, e} _⊥I _{corresponde ao conjunto vazio} ∅. A interpreta¸cão do conceito (¬A)I _{define que sua extensão é dada pelo conjunto de}

indiv´ıduos do dom´ınio que n˜ao fazem parte da extens˜ao do conceito A, i.e., ∆I _\_AI_{. A}

interpreta¸cão do conceito C ⊓D define que sua extensão é dada pelo conjunto formado pela interse¸cão dos conjuntos de indiv´ıduos representando as extensões dos conceitos C e

D, i.e.,CI_∩_DI_{. A interpreta¸cão do conceito (}_∃_r._⊤₎I _{define que sua extensão é dada pelo}

conjunto de indiv´ıduos do dom´ınio que estão relacionados a, no m´ınimo, um indiv´ıduo através da propriedade r, i.e., {a ∈ ∆I _{| ∃}_b.₍_{a, b}₎ _∈ _rI_}_{. A interpreta¸cão do conceito}

(∀r.C)I _{define que sua extensão é dada pelo conjunto de indiv´ıduos do dom´ınio que estão}

relacionados, através da propriedader, somente a indiv´ıduos pertencentes à extensão do conceito C, i.e. {a∈∆I _{| ∀}_b.₍_{a, b}₎_∈_rI _⇒_b _∈_CI_}_.

De modo geral, uma base de conhecimento em Lógica Descritiva é composta por dois componentes: terminológico e assertivo. O componente terminológico, denominado

TBox, expressa o conhecimento conceitual sobre o dom´ınio (denominado de conhecimento

intencional), enquanto que o componente assertivo, denominado ABox, expressa os fatos descrevendo o estado do mundo (denominado de conhecimento dos objetos).

O componente TBox tem um papel importante na representa¸cão do conhecimento pois permite expressar o relacionamento entre conceitos. É poss´ıvel expressar dois tipos de relacionamentos: defini¸cão de conceitoeinclusão de conceito. As defini¸cões de conceito (Ndef) permitem incorporar abrevia¸cões para conceitos complexos. São denotadas por

A≡C, onde Aé um nome de conceito (denominado conceito definido) eC é um conceito complexo (arbitrário), representado por uma fórmula. Por exemplo, o axioma

CartaoDebitado ≡ CartaoCredito⊓ ∃temDebito.⊤

(25)

expressam o relacionamento hier´arquico entre os conceitosC eD. Por exemplo, o axioma

CartaoCredito ⊑ F ormaP agamento expressa que todos os indiv´ıduos pertencentes ao conceito CartaoCreditotamb´em pertencem ao conceito F ormaP agamento.

Asser¸c˜oes sobre os indiv´ıduos do dom´ınio (axiomas de ABox) s˜ao constru´ıdas a partir dos conceitos formulados no componente TBox.

Defini¸c˜ao 2.1.1 (Literal) [32] Um literal tem a forma A(a), r(a, b) ou ¬r(a, b), onde A ∈ NC, r ∈ NP e a, b ∈ NI. Os conjuntos NC, NP e NI representam o conjunto de

conceitos primitivos, o conjunto de propriedades e o conjunto de nomes de indiv´ıduos, respectivamente.

Literais permitem expressar asser¸c˜oes (primitivas) de conceitos e de propriedades sobre os indiv´ıduos do dom´ınio. Considerando os conjuntos de s´ımbolos elementares NC =

{Hotel}, NP ={hasReservation} e NI ={req, ritz}, pode-se formular, por exemplo, o literalHotel(ritz) expressando que o indiv´ıduo ritz ´e parte da interpreta¸c˜ao do conceito

Hotel. Por outro lado, o literalhasReservation(req, ritz) expressa o relacionamento entre os indiv´ıduos req e ritz atrav´es da propriedadehasReservation.

Defini¸cão 2.1.2 (Asser¸cão Complexa) [32] Uma asser¸cão complexa é dada por C(a), onde a ∈ NI e C é uma expressão de conceito (conceito complexo) formulada a

partir dos construtores dispon´ıveis no fragmento da L´ogica Descritiva considerado.

Assim como literais, asser¸cões complexas permitem expressar asser¸cões de conceitos sobre os indiv´ıduos do dom´ınio, porém, envolvendo conceitos complexos ao invés de pri-mitivos (como no caso dos literais). Através de asser¸cões complexas, pode-se formular fatos como (∃hasReservation.Hotel)(req), o qual expressa que o indiv´ıduoreqé parte da extensão do conceito ∃hasReservation.Hotel, cuja extensão compreende o conjunto de indiv´ıduos que estão relacionados a outro indiv´ıduo da classeHotelatravés da propriedade

hasReservation.

A partir da extensão da fun¸cão de interpreta¸cão .I

(26)

axiomas de TBox e de ABox em rela¸c˜ao a uma dada interpreta¸c˜ao I, como:

(C ≡D)I = (CI =DI) (C ⊑D)I _{= (}_CI _⊆_DI₎

(C(a))I = {a}I ∈CI

(r(a, b))I = (aI, bI)∈rI

(¬r(a, b))I = (aI, bI)6∈rI

Se um axiomaφ(de TBox ou ABox) se verifica, considerando uma dada interpreta¸c˜ao

I, então I é um modelo do axioma φ. Em outras palavras, a interpreta¸cão I satisfaz o axioma φ, expressa pela rela¸cão de satisfa¸cão I |= φ. Esta no¸cão de satisfa¸cão pode ser estendida para bases de conhecimento. Uma interpreta¸cão I é um modelo de uma base de conhecimentoK(denotada porI |=K), se a interpreta¸cãoI satisfaz todos os axiomas da base K, ou seja, ∀φ | φ ∈ K ⇒ I |= φ. Além disso, uma base de conhecimento K é

consistente se existir (no m´ınimo) uma interpreta¸c˜ao I que satisfaz todos os axiomas da base K.

A rela¸cão de satisfa¸cão definida acima determina quando um axiomaφse verifica, dada uma interpreta¸cão espec´ıficaI. Entretanto, o objetivo da semântica formal é fornecer uma rela¸cão de consequência, a qual determina se uma fórmula φ é uma consequência lógica de uma base de conhecimentoK. A rela¸cão de consequência lógica é denotada porK |=φ

e definida como: uma fórmula φ é uma consequência lógica de uma base de conhecimento

K se, todo modelo de K´e tamb´em um modelo de φ, ou seja, se cada modelo I da base K

(I |=K) é também um modelo da fórmula φ (I |=φ).

(27)

Considere, por exemplo, uma base de conhecimento K contendo os seguintes fatos:

CartaoCredito(cc)

Autorizacao(auth)

Além disso, considere uma consulta para determinar se o cartão de crédito “cc” não possui algum débito associado, i.e., verificar se K |= ¬∃temDebito.⊤(cc). Esta consulta terá respostas diferentes dependendo o tipo de semântica empregada pelo mecanismo de racioc´ınio. Se for considerada uma semântica de mundo fechado, a resposta para a consulta resultará emverdadeiro, uma vez que o cartão de crédito “cc” não possui nenhum débito expl´ıcito. Por outro lado, se for empregada uma semântica de mundo aberto, o resultado da consequência semântica não severifica, i.e., os fatos contidos na base K não são suficientes para que o mecanismo de racioc´ınio possa inferir que o cartão “cc” não possui débitos.

Servi¸cos de Racioc´ınio. Além de representar conhecimento sobre um dom´ınio, os sis-temas que empregam Lógica Descritiva como formalismo subjacente exploram os servi¸cos de racioc´ınio para inferir conhecimento impl´ıcito contido nos fatos explicitamente dados na base de conhecimento. Em um sistema de representa¸cão de conhecimento baseado em Lógica Descritiva, é poss´ıvel realizar alguns tipos espec´ıficos de racioc´ınio.

Considerando um TBoxT, podem-se verificar as seguintes propriedades de conceitos:

• Satisfatibilidade. Um conceito C ´e satisfat´ıvel se existe um modelo I de T tal que

CI ₆₌_∅_.

• Subsun¸c˜ao. Um conceito C ´esubsumido por um conceito D seCI _⊆_DI _{para todo}

modelo I de T. Neste caso, denota-se por C ⊑T D ou T |= C ⊑ D. Com base

na subsun¸cão de conceitos, é poss´ıvel classificar de forma hierárquica os conceitos dados na terminologia.

• Equivalência. Dois conceitos C e D são equivalentes com rela¸cão a T se CI ₌_DI

para todo modelo I deT. Neste caso, denota-se por C≡T D ouT |=C ≡D.

• Disjun¸cão. Dois conceitos C e D são disjuntos com rela¸cão a T se CI _∩_DI ₌ _∅

para todo modelo I deT.

(28)

• Consistência. Um ABox A éconsistente com rela¸cão a um TBoxT se existir uma interpreta¸cão I que é um modelo de ambos A e T.

• Verifica¸cão de instância. Uma asser¸cão α é consequência lógica de um ABox A, denotada porA |=α, se todo modelo que satisfazA, também satisfazα. O problema da verifica¸cão de instância pode ser reduzido a verifica¸cão da consistência de ABox, i.e., A |=α se e somente se,A ∪ {¬α}é inconsistente.

• Problema de Recupera¸c˜ao. Dado um ABox A e um conceito C, encontrar todos os indiv´ıduos a satisfazendo A |=C(a).

Os servi¸cos de racioc´ınio são implementados por um componente espec´ıfico dos sis-temas de representa¸cão de conhecimento baseados em Lógica Descritiva, denominado

raciocinador semântico. Sua responsabilidade é realizar as inferências a partir dos fatos dados explicitamente na base de conhecimento. No contexto da lógica descritiva, existe atualmente uma diversidade de raciocinadores1_{que implementam os servi¸cos de inferência}

descritos acima. O principal aspecto que os diferencia diz respeito ao fragmento da l´ogica descritiva suportado pelo raciocinador.

Neste trabalho, escolhemos o raciocinador Pellet [33] como mecanismo de inferência. Sua escolha deve-se ao fato de que o mesmo provê amplo suporte aos servi¸cos de inferência relativos ao fragmento ALC da lógica descritiva, o qual é usado neste trabalho como linguagem de asser¸cões para expressar as especifica¸cões de corre¸cão parciais.

Fragmentos da L´ogica Descritiva. Os construtores de conceitos apresentados acima definem o fragmentoALda L´ogica Descritiva, o qual possui caracter´ısticas que permitem sua aplicabilidade em problemas reais preservando a decidibilidade de racioc´ınio [34].

Além do fragmento m´ınimo AL, outros fragmentos podem ser definidos através da agrega¸cão de novos construtores, indicado por:

AL[C][U][E][N][O]

onde C, U, E, N e O representam, respectivamente, o complemento de conceitos (ar-bitrários), a união de conceitos, qualifica¸cão existencial completa, restri¸cões numéricas

1

(29)

em propriedades e nominais. A sintaxe e a semˆantica destes construtores ´e definida como:

Construtor Sintaxe Semantica

U C⊔D CI_∪_DI

E ∃r.C {a∈∆I | ∃b.(a, b)∈rI ∧b∈CI} N ≤nr {a∈∆I | {b |(a, b)∈rI} ≤n}

≥nr {a∈∆I|{b|(a, b)∈rI} ≥n}

C ¬C ∆I\CI

O {a} {aI}

Do ponto de vista semântico, algumas destas extensões são equivalentes. Por exem-plo, as extensões E e U podem ser obtidas a partir dos construtores do fragmento AL

juntamente com o construtorC (o complemento de conceito arbitrário). As equivalências são dadas por: (C⊔D) ≡ (¬C ⊓ ¬D) e (∃r.C) ≡ (¬∀r.¬C). Dessa forma, o acrônimo

ALC ´e frequentente usado para representar o fragmento composto pelos construtores

AL[C][U][E].

Em algumas situa¸cões, é conveniente usar nomes de indiv´ıduos na formula¸cão de conceitos do dom´ınio, denominados de nominais. Fragmentos da lógica descritiva que consideram o uso de nominais na formula¸cão dos conceitos são representados pela letra

O. Por exemplo, para formular o conceito representando os pa´ıses membros permanentes do conselho de seguran¸ca da ONU 2_{, ´e conveniente usar os nomes de indiv´ıduos}

Rus-sia, Estados Unidos, Fran¸ca, Reino Unido e China para formular tal conceito, conforme descri¸c˜ao a seguir:

M embrosP ermanentesConselhoSegurancaON U ≡ {Russia, Estados U nidos,

F ranca, Reino U nido, China}

A sintaxe e a semˆantica do construtor nominal est´a ilustrada na listagem acima (identificada pelo construtorO).

Nosso trabalho se concentra no fragmento ALC da lógica descritiva. Por isso, outros fragmentos não serão considerados neste documento.

(30)

2.1.1.2 Atualiza¸c˜ao de Base de Conhecimento

Nos últimos anos, a lógica descritiva tem sido empregada como formalismo base para a defini¸cão de linguagens de ontologias (p.ex., OWL [35]), assim como para descrever os efeitos das a¸cões em formalismos de a¸cão [36, 37, 38, 39]. Em particular, quando empregada no contexto de formalismos de a¸cão, o conjunto de fatos do ABox tem sido usado para descrever o estado do mundo sobre o qual o racioc´ınio é realizado para decidir sobre a aplicabilidade das a¸cões. Os efeitos das a¸cões representam os novos fatos que devem ser verdadeiros após a execu¸cão da a¸cão. Dessa forma, a aplica¸cão de uma a¸cão (considerando um estado inicial) gera uma mudan¸ca de estado, a qual requer a atualiza¸cão dos fatos do ABox a fim de expressar que os novos fatos (dados pelos efeitos das a¸cões) sejam contemplados pelo novo estado.

Historicamente, a atualiza¸c˜ao dos fatos contidos no ABox tem sido realizada de forma

ad-hoc [40], ou seja, os novos fatos são diretamente inclu´ıdos ou removidos do ABox. Este procedimento, à primeira vista, parece natural e suficiente para resolver o problema da atualiza¸cão de estado. Entretanto, o componente ABox tem uma carater´ıstica distinta: os fatos contidos no ABox fornecem umadescri¸cão do mundo enquanto que os (poss´ıveis) modelos do ABox representam os estados (reais) do mundo. Esta particularidade dos ABoxes na representa¸cão do conhecimento é devido à semântica de mundo aberto [41] adotada pelo formalismo subjacente empregado para expressar as bases de conhecimento. Sob esta perspectiva de mundo aberto, a ausência de um fato no ABox não permite inferir sua falsidade, mas é tratado como um fato desconhecido. Esta perspectiva é contrária àquela demundo fechado [41], onde a ausência de um fato implica em sua falsidade, como é comum em sistemas baseados em bancos de dados e orientados a objetos [42].

Portanto, quando ABoxes são empregados como mecanismo para representa¸cão dos estados, não podemos presumir a descri¸cão completa dos fatos do mundo, ou seja, temos apenas um conhecimento parcial destes. Esta caracter´ıstica do ABox tem um impacto significativo na forma como as atualiza¸cões são realizadas nele. Para ilustrar esta situa¸cão, considere o ABoxALC A e a atualiza¸cão U dados a seguir.

A = {∃temBenef icio.Bolsa(e), Bolsa(b)} U = {¬Bolsa(b)}

(31)

∃temBenef icio.Bolsa(e)), e que o indiv´ıduo “b” ´e parte da extens˜ao do conceito Bolsa

(axioma Bolsa(b)). Note que não está expl´ıcito (nem pode ser inferido) no ABox A que o benef´ıcio atualmente mantido pelo indiv´ıduo “e” é a bolsa “b”.

A atualiza¸cão U expressa um ou mais fatos representando novos conhecimentos sobre o estado do mundo. Uma atualiza¸cãoU ={α(t)}é dada por um conjunto finito de literais onde cada literalα(t) tem a forma A(a),¬A(a),r(a, b) ou ¬r(a, b), com A representando um nome de conceito, r representando um nome de propriedade, a e b representando nomes de indiv´ıduos. Intuitivamente, um literal α(t) contido na atualiza¸cão determina que o respectivo literal é válido após a mudan¸ca do estado do mundo. No exemplo acima, a atualiza¸cãoU representa o fato que o indiv´ıduo “b” não pertence à extensão do conceito

Bolsa.

Devido à semântica de mundo aberto adotada pela lógica descritiva, os fatos contidos no ABoxApermitem duas classes de modelos, conforme representado abaixo pelas inter-preta¸cões I1 e I2, conforme ilustrado na tabela 1. Ambas as interpreta¸cões assumem o

mesmo dom´ınio de indiv´ıduos, i.e., ∆I1 _{= ∆}I2 ₌_{_{e, b, b}

1}. A interpreta¸c˜ao I1 representa

a classe de modelos onde o individuo “b” é o único benef´ıcio mantido pelo indiv´ıduo “e”, i.e., temBenef icioI1 ₌{h_{e, b}i}_{. Por outro lado, a interpreta¸cão} I

2 representa a classe de

modelos onde o indiv´ıduo “b” n˜ao aparece como um benef´ıcio do indiv´ıduo “e”, ou seja, o indiv´ıduo “e” possui outro benef´ıcio (temBenef icioI2 ₌_{h_{e, b}

1i}).

I1 I2

∆I1 ₌_{_{e, b, b}

1} ∆I2 ={e, b, b1}

temBenef icioI1 ₌{h_{e, b}i} _{temBenef icio}I2 ₌{h_{e, b}

1i}

BolsaI1 ₌_{_b_} _BolsaI2 ₌_{_{b, b}

1}

Tabela 1: Interpreta¸c˜oes poss´ıveis para os fatos contidos no ABox A.

A atualiza¸cãoad-hocdo ABox é realizada através da inclusão/exclusão dos fatos dados no conjunto atual de fatos deste ABox. No exemplo descrito acima, o ABoxA′ _resultante

da atualiza¸cão ad-hoc, com os fatos dados na atualiza¸cão U, contêm os seguintes fatos:

A′ ₌ _{∃_{temBenef icio.Bolsa}₍_e₎_,_¬_Bolsa₍_b₎_}

O novo ABox A′ _{representa uma descri¸c˜ao do mundo contemplando o novo}

conheci-mento dado pela atualiza¸cãoU, i.e.,¬Bolsa(b). Neste caso, o indiv´ıduo “b” que pertencia à extensão do conceito Bolsa no ABox original A, deixou de pertencer após atualiza¸cão do ABoxA com os fatos dados em U.

(32)

A′_{, a classe de modelos representada anteriormente pela interpreta¸c˜ao}_I

1 (i.e., a classe de

modelos onde o único benef´ıcio do indiv´ıduo “e” era a bolsa “b”) não constitue uma classe de modelos do ABox atualizado A′_{. Em outras palavras, a atualiza¸cão da descri¸cão do}

mundo (i.e., o novo ABoxA′_{) n˜ao permite expressar todos os estados que eram poss´ıveis}

com a descri¸c˜ao do mundo anterior (i.e., o ABox original A). Portanto, a atualiza¸c˜ao

ad-hoc do ABox n˜ao preserva todos os estados reais (i.e., os modelos poss´ıveis) dados pela descri¸c˜ao do ABox original.

A preserva¸cão dos (poss´ıveis) estados reais é importante no contexto dos formalismos de a¸cão baseados na lógica descritiva (com semântica de mundo aberto) que empregam uma abordagem baseada emprogressão [37, 38, 39] para raciocinar sobre a aplicabilidade das a¸cões.

Esta questão da atualiza¸cão do ABox é formalmente abordada em [40], onde os au-tores propõem uma estratégia de atualiza¸cão denominada de atualiza¸cão semântica. A abordagem foi assim denominada pois emprega um esquema de atualiza¸cão baseada na teoria de modelos, inspirada na semântica dos modelos poss´ıveis PMA (Possible Models Approach [43]). A semântica formal de atualiza¸cão proposta em [40] estabelece para cada interpreta¸cão I, uma interpreta¸cão atualizada IU _{obtida através da altera¸cão (m´ınima)}

da interpreta¸cão I de forma que a asser¸cão dada pela atualiza¸cão U seja satisfeita. A minimiza¸cão das altera¸cões nas interpreta¸cões diz respeito à interpreta¸cão dos conceitos primitivos A e propriedades primitivasr, sendo definida por:

AIU = (AI ∪ {aI |A(a)∈ U})\ {aI | ¬A(a)∈ U} (2.1)

rIU = (rI ∪ {(aI, bI)|r(a, b)∈ U})\ {(aI, bI)| ¬r(a, b)∈ U} (2.2)

A equa¸cão 2.1 expressa que a interpreta¸cãoAI _{de um conceito primitivo}_A_{é atualizada}

considerando os indiv´ıduos aparecendo nas asser¸cões de conceitos dados na atualiza¸cãoU, gerando assim uma nova interpreta¸cão AIU

. A equa¸c˜ao 2.2 expressa que a interpreta¸c˜ao

rI _{de uma propriedade primitiva} _r _{´e atualizada a partir das asser¸c˜oes de propriedade}

aparecendo nos fatos da atualiza¸c˜ao U. Como resultado, uma nova interpreta¸c˜ao rIU

´e produzida satisfazendo as asser¸c˜oes de propriedades emU.

(33)

AU = (A⊔ G ¬A(a)∈U

{a})⊓ ¬( G A(a)∈U

{a}) (2.4)

{a}U = {a} (2.5)

(¬C)U = ¬(C)U (2.6)

(C ⊓ D)U = CU _{⊓ D}U _(2.7)

(C ⊔ D)U = CU _{⊔ D}U _(2.8)

(∃r.C)U = ∃r.CU (2.9)

(∀r.C)U = ∀r.CU (2.10)

Figura 1: Atualiza¸c˜ao de conceitos no fragmento ALCO [1].

ABox A e uma atualiza¸c˜aoU, busca-se obter um ABox A′ _{tal que}

M(A′) = M(A)U onde M(A)U ={IU | I ∈ A}

O ABox atualizado A′ _{´e computado da seguinte forma:}

A′ = ^(A ∪ U)∨^(AU ∪ U) (2.3)

onde AU ₌ _{_αU₍_a₎ _|_α₍_a₎ _{∈ A}}_{, com} _α _{representando um conceito e o identificador “}_a_”

representando um indiv´ıduo do dom´ınio. Intuitivamente, AU _{representa o conjunto de}

axiomas do ABox original A cujos conceitos associados (a cada defini¸cão de axioma do ABox) são atualizados conforme equa¸cões dadas na Figura 1. A fórmula usada para com-putar o ABoxA′ _{é composta por uma disjun¸cão, onde a primeira parte da disjun¸cão (i.e.,}

V

(A ∪ U)) contempla o caso em que a atualiza¸c˜ao U n˜ao afeta os fatos do ABox original

A(portanto, ´e suficiente apenas agregar os novos fatos ao ABox original), enquanto que a segunda parte da disjun¸c˜ao (i.e.,V

(AU_{∪ U}_{)), contempla o caso em que os fatos dados na}

atualiza¸cão coincidem com fatos contidos no ABox original (portanto, são afetados pela atualiza¸cão e precisam ser atualizados).

Como descrito pela equa¸cão 2.3 acima, o procedimento de atualiza¸cão requer a atua-liza¸cão de cada conceito contido nos axiomas do ABox que são afetados pela atuaatua-liza¸cão, i.e., é necessário computar o conceito atualizado αU _{para cada axioma do ABox afetado}

pela atualiza¸cão. A atualiza¸cão dos conceitos expressos pelo fragmentoALCO é descrita pelas equa¸cões ilustradas na Figura 1.

(34)

fragmentoALCO da l´ogica descritiva.

O caso base da indu¸cão (equa¸cão 2.4) diz respeito à atualiza¸cão dos conceitos primi-tivos usados para declarar os axiomas do ABox. Esta equa¸cão define que um indiv´ıduo “a”, aparecendo em um fato negado da atualiza¸cão U (i.e., ¬A(a) ∈ U), deve ser agre-gado na forma de um nominal como parte da defini¸cão do conceitoA (primeira parte da conjun¸cão -A⊔F

¬A(a)∈U{a}. Intuitivamente, o novo conceitoA⊔

F

¬A(a)∈U{a}estabelece

que a classe de modelos do ABox original A que assumia o indiv´ıduo “a” como sendo o

´

unicoindiv´ıduo aparecendo na interpreta¸c˜ao de um determinado conceito, continue sendo uma classe de modelos do novo ABoxA′ _{(atualizado). A segunda parte da conjun¸c˜ao (i.e.,} ¬(F

A(a)∈U{a})) estabelece que um indiv´ıduo “a” aparecendo em uma asser¸c˜ao (positiva)

deU (i.e.,A(a)) ´e explicitamente exclu´ıdo da interpreta¸c˜ao do conceitoA no novo ABox

A′ _{(atualizado).}

A equa¸cão 2.5 estabelece que um nominal aparecendo na defini¸cão de conceitos não é atualizado. A equa¸cão 2.6 estabelece que a atualiza¸cão do complemento de conceito (arbitrário) é dada pelo complemento do conceito (arbitrário) atualizado. A equa¸cão 2.7 estabelece que a atualiza¸cão de um conceito formado pela interse¸cão de outros conceitos é dada pela interse¸cão da atualiza¸cão destes conceitos. A equa¸cão 2.8 estabelece que a atu-aliza¸cão de um conceito formado pela união de conceitos é dada pela união da atuatu-aliza¸cão destes conceitos. A equa¸cão 2.10 estabelece que a atualiza¸cão de um conceito formado por um construtor existencial é dada pela atualiza¸cão do conceito C usado como “role filler”. A equa¸cão 2.9 estabelece uma atualiza¸cão semelhante ao construtor existencial, porém envolvendo o construtor universal.

Retomando o exemplo descrito anteriormente, o ABox atualizado A′ _{resultante da}

atualiza¸cão semântica descrita acima é dado por:

A′ ₌ _{∃_{temBenef icio.}₍_Bolsa_{⊔ {}_b_}₎₍_e₎_,_¬_Bolsa₍_b₎_}

Observe que o ABox atualizado A′ _{requer o uso de nominais para expressar a}

atu-aliza¸cão semântica do ABox ALC A. Como observado em [44], atualiza¸cões semânticas não são express´ıveis em todos os fragmentos da Lógica Descritiva. No exemplo acima, a atualiza¸cão semântica do ABox ALC A, não pode ser representada por um ABox A′

tamb´em expresso no fragmentoALC, ou seja, o ABox atualizado A′ _{requer um fragmento}

(35)

Restri¸cões impostas às atualiza¸cões e ao TBox. O procedimento de atualiza¸cão semântica descrito nos parágrafos anteriores impõe restri¸cões no que diz respeito às as-ser¸cões contidas na atualiza¸cão e aos axiomas definindo a terminologia do dom´ınio, a fim de garantir a coerência semântica e a computabilidade das atualiza¸cões [45].

A primeira restri¸cão refere-se à expressividade do componente TBox empregado para descrever a terminologia do dom´ınio. No caso assume-se que o TBox é ac´ıclico, ou seja, um nome de conceito definido não aparece (direta ou indiretamente) na expressão de conceito que o define. TBoxes ac´ıclicos, ao contrário dos c´ıclicos, tem a propriedade que a interpreta¸cão dos conceitos definidos é determinada unicamente pela interpreta¸cão dos conceitos primitivos usados em sua defini¸cão, assim como da forma como os conceitos primitivos são combinados [32]. Além disso, a condi¸cão de minimiza¸cão das mudan¸cas nas interpreta¸cões considera somente a minimiza¸cão da interpreta¸cão de conceitos e pro-priedades primitivas, ignorando a minimiza¸cão da interpreta¸cão dos conceitos definidos, o que pode gerar resultados pouco intuitivos.

Para exemplificar esta situa¸c˜ao, considere a base de conhecimento K =hT,Ai (con-tendo uma terminologia c´ıclica) e a atualiza¸c˜aoU, descritas a seguir:

A = {Humano(h)}

T = {Humano≡ ∃progenitor.Humano} U = {M ulher(m)}

A partir da base de conhecimento K = hT,Ai e da atualiza¸cão U, não é poss´ıvel concluir queHumano(h) é uma consequência da baseKatualizada comU. Para entender esse resultado inesperado, considere uma interpreta¸cãoI, conforme a seguir.

∆I = {m} ∪ {h0, h1, h2, . . .}

HumanoI = {h0, h1, h2, . . .}

M ulherI = ∅

progenitorI = {hhi, hi+1i|i∈N}

hI = h0

mI ₌ _m

A interpreta¸cão atualizada I′ _{é obtida pela atualiza¸cão da interpreta¸cão do conceito}

(36)

em interpreta¸cões (i.e., considerar somente a atualiza¸cão da interpreta¸cão de conceitos e propriedades primitivas), a interpreta¸cão do conceito definido Humano torna-se vazia (i.e.,HumanoI′

=∅). Isto deve-se ao fato que o conceito Humanoé um conceito definido (não é primitivo) e, portanto, não é considerado na atualiza¸cão das interpreta¸cões. Dessa forma, obtemos o resultado inesperado queI′ _6|₌_Humano₍_h_{), uma vez que a extensão do}

conceito (definido) Humano ´e vazia na interpreta¸c˜ao atualizadaI′_.

Outra restri¸cão imposta pelo procedimento de atualiza¸cão semântica diz respeito à complexidade dos conceitos usados para descrever os fatos contidos na atualiza¸cão. O uso de conceitos arbitrários (complexos) nas atualiza¸cões pode gerar problemas semânticos produzindo resultados pouco intuitivos. Este problema está relacionado ao uso dos cons-trutores ⊔, ∃ e ∀ na formula¸cão dos conceitos aparecendo nos fatos contidos nas atua-liza¸cões. Estes construtores introduzem não-determinismo no processamento das atua-liza¸cões, podendo gerar resultados inesperados.

No caso de atualiza¸cões envolvendo restri¸cão existencial, por ex. ∃r.B(a), qualquer indiv´ıduo do dom´ıniob ∈∆I _{pode ser}_{não-deterministicamente} _{escolhido para satisfazer} haI_{, b}_{i ∈} _rI _e _b _∈ _BI _{após o processamento da atualiza¸cão. O indiv´ıduo escolhido pode}

previamente satisfazer a primeira condi¸c˜ao (i.e.,haI_{, b}_{i ∈}_rI_{), ou a segunda condi¸c˜ao (i.e.,}

b∈BI_{) ou nenhuma delas.}

Considere o exemplo a seguir, descrito pelo ABox A e pela atualiza¸c˜ao U.

A = {Bolsa(b)}

U = {∃temBenef icio.¬Bolsa(e)}

Devido ao não-determinismo introduzido pela restri¸cão existencial, o axioma “Bolsa(b)” não é consequência lógica do ABoxA′ _{gerado como resultado do processamento da}

atua-liza¸c˜aoU, i.e., A′ _6|₌_Bolsa₍_b_{). Este resultado inesperado se deve ao fato que o indiv´ıduo}

escolhido não-deterministicamente para satisfazer a atualiza¸cão U é o indiv´ıduo “b”, o qual então passaria a pertencer à extensão do conceito ¬Bolsa(b) (visando satisfazer a atualiza¸cãoU).

(37)

so-mente a partir de conceitos primitivos (i.e., as asser¸cões representam literais). A mesma restri¸cão é imposta para os efeitos descritos na defini¸cão dos servi¸cos web semânticos, conforme discutido na se¸cão 3.1.1.

2.1.2 Verifica¸c˜

ao Formal de Programas

A verifica¸cão formal de programas tem como objetivo fornecer uma prova formal de que um programa satisfaz uma especifica¸cão desejada [46]. A deriva¸cão da prova requer que o programa seja modelado através de uma estrutura matemática, a qual forma a base para a aplica¸cão de um processo de racioc´ınio que permita derivar propriedades sobre a mesma.

Em geral, as técnicas de verifica¸cão formais são compostas por três partes distin-tas [47]: i)uma linguagem de descri¸cão que permita modelar o programa,ii) uma lingua-gem de especifica¸cão que permita expressar as propriedades desejadas, eiii) um método de verifica¸cão para determinar se o programa satisfaz a propriedade.

A principal diferen¸ca entre as abordagens de verifica¸cão formal diz respeito à escolha do formalismo matemático empregado no processo de racioc´ınio. Estas abordagens podem ser classificadas como [48]: i) baseadas em modelos e ii) baseadas em provas.

(38)

As técnicas baseadas em provas se caracterizam por transformar o problema da veri-fica¸cão em um problema de prova de teorema. Nesta abordagem, a descri¸cão do programa é dada por um conjunto de fórmulas Γ expressas em um formalismo lógico, enquanto que a especifica¸cão é dada por outra fórmula ϕ expressa também neste formalismo. A prova do teorema (i.e., a verifica¸cão) é realizada com base no cálculo de prova subjacente ao formalismo lógico empregado. Formalmente, o método de verifica¸cão consiste na tenta-tiva de encontrar uma prova que Γ ⊢ ϕ. Um aspecto importante desta abordagem é a necessidade da orienta¸cão e do conhecimento especializado do usuário para desenvolver a prova de problemas de maior complexidade.

Uma das áreas em que a técnica baseada em prova tem encontrado grande aplicabi-lidade é na lógica de programas. A lógica de programas tem suas origens nos trabalhos desenvolvidos em [53, 54]. O objetivo principal desta abordagem é simplificar a verifica¸cão por meio da abstra¸cão dos detalhes da execu¸cão do programa do processo de verifica¸cão em si. As idéias propostas naqueles trabalhos formam a base para a defini¸cão do estilo de especifica¸cão conhecido como semântica axiomática.

As provas desenvolvidas em lógica de programas combinam dois n´ıveis lógicos dis-tintos. O primeiro n´ıvel está diretamente relacionado com os construtores da linguagem de programa¸cão (atribui¸cão, composi¸cão sequencial, condicional, etc), a partir dos quais são definidas as regras de dedu¸cão. O segundo n´ıvel diz respeito à lógica subjacente à linguagem de especifica¸cão empregada para descrever as propriedades sobre o programa.

Na próxima se¸cão é apresentado o principal formalismo empregado para raciocinar sobre a corre¸cão de programas imperativos.

2.1.2.1 L´ogica de Hoare

A Lógica de Hoare [54] é um formalismo para raciocinar sobre a corre¸cão de programas imperativos, tendo como base a lógica de primeira ordem. A lógica de Hoare trata com a no¸cão de corre¸cão, relativa a uma especifica¸cão que consiste de pré- e pós-condi¸cão. A corre¸cão de um programa em rela¸cão a uma especifica¸cão é obtida através da constru¸cão de uma deriva¸cão no sistema de inferência da Lógica de Hoare, a qual usa pré-condi¸cões, pós-condi¸cões e invariantes.

(39)

ver-dadeiras quando a execu¸cão do programa é iniciada. Por outro lado, as pós-condi¸cões são asser¸cões que devem ser verdadeiras quando a execu¸cão do programa terminar. Deste modo, uma especifica¸cão pode ser definida como um par de asser¸cões (P,Q), onde P é a pré-condi¸cão e Q é a pós-condi¸cão. Uma especifica¸cão de corre¸cão relativa a um programa C é convencionalmente expressa no formato de uma tripla{P}C{Q}.

Uma tripla {P}C{Q} é chamada de especificacão de corre¸cão parcial. Esta especi-fica¸cão é considerada parcial porque não diz nada a respeito do término do programa C, ou seja, para que {P}C{Q} seja verdadeiro não é requerido o término da execu¸cão do programa C quando iniciado em um estado satisfazendo P. É somente requerido que, caso o programa C termine, a pós-condi¸cão Q se verifica no estado final.

Uma especifica¸cão de corre¸cão mais rigorosa é acorre¸cão total. A nota¸cão usada para expressar uma especifica¸cão de corre¸cão total é [P] C [Q]. Uma especificacão de corre¸cão total [P] C [Q] é verdadeira se e somente se as duas condi¸cões a seguir se aplicam:

• se o programa C é executado em um estado satisfazendo a pré-condi¸cão P, então o programa C termina.

• Após o término da execu¸cão do programa C, a pós-condi¸cão Q se verifica no estado final.

O relacionamento entre corre¸c˜ao parcial e total pode ser informalmente expresso como:

Corre¸cão T otal = Corre¸cão P arcial + T ermina¸cão

onde a validade de uma especifica¸cão de corre¸cão total pode ser estabelecida através das provas da corre¸cão parcial e do término da execu¸cão, separadamente.

No contexto da certifica¸cão de composi¸cões de servi¸cos web semânticos, consideramos somente especifica¸cões de corre¸cão parcial.

As próximas se¸cões descrevem os principais trabalhos relacionados à verifica¸cão for-mal de programas, mais especificamente, enfatizando a verifica¸cão de propriedades de composi¸cões de servi¸cos web.

2.2 Verifica¸c˜

ao de Composi¸c˜

oes de Servi¸cos Web

(40)

estado, tais como redes de Petri [55]. Outra abordagem formal empregada ´e a prova de teoremas. Ambas as abordagens visam verificar propriedades de uma especifica¸c˜ao.

Esta se¸cão apresenta uma revisão dos principais trabalhos descritos na literatura abor-dando a verifica¸cão formal de composi¸cões de servi¸cos web. Os trabalhos revisados se enquadram na classifica¸cão descrita na se¸cão 2.1.2, i.e., baseados emprova de teoremas e baseados emmodel checking.

2.2.1 Abordagens baseadas em Prova de Teorema

Abordagens baseadas em prova de teoremas tem sido empregadas para a verifica¸cão formal de propriedades de composi¸cões de servi¸cos web. Os trabalhos revisados empregam os mais diversos formalismos lógicos para expressar o modelo do sistema assim como as propriedades a serem verificadas são diversas.

Os autores em [56] propõem um sistema axiomático baseado na Lógica de Hoare para a verifica¸cão de processos BPEL. O foco da verifica¸cão se centra nos mecanismos de compensa¸cão e falhas providos por BPEL. O método de verifica¸cão proposto apresenta limita¸cões, como considerar que os fluxos paralelos do processo não compartilham variáveis (ou seja, são independentes). Além disso, a aplica¸cão do método de verificacão não pode ser totalmente automatizada, pois algumas regras de inferência do sistema axiomático proposto não tem a propriedade desub-fórmula3_.

Em [57], os autores propõem uma abordagem de verifica¸cão de workflow baseada na semântica de Hoare (dada por pré- e pós-condi¸cões). As tarefas orquestradas no workflow são expressas também por uma especifica¸cão dada por uma pré-condi¸cão e um conjunto de a¸cões (onde cada a¸cão representa um efeito poss´ıvel da tarefa), denominada frame semantics. A a¸cão a ser aplicada, em resposta à execu¸cão da tarefa, é escolhida de forma não-determin´ıstica. O modelo do workflow é representado através de um grafo dirigido, onde os vértices representam as tarefas orquestradas e as arestas descrevem o fluxo de execu¸cão das tarefas. A verifica¸cão da corre¸cão do workflow (i.e., se o workflow cumpre uma dada especifica¸cão) é realizada através da anota¸cão das arestas do grafo com fórmulas representando as condi¸cões que são requeridas serem verdadeiras naquele ponto do workflow. O workflow é validado se a anota¸cão de todas as arestas é poss´ıvel e se a fórmula associada a cada aresta representando as sa´ıdas do workflow (calculada com

3