Enforcement par moniteur - Yliès Falcone

Dans cette section, nous introduisons la notion de moniteur d’enforcement. Nous présentons une notion générale de moniteur paramétré par un ensemble générique d’opérations d’enforcement. Puis, nous définissons comment de tels moniteurs enforcent une propriété. Ensuite, nous instantions ces moniteurs avec un ensemble d’opérations d’enforcement “minimales” et étudions la notion d’enforcement pour ces moniteurs. Également, nous étudions les propriétés vérifiées par ces moniteurs particuliers.

6.3.1 Notion de moniteur d’enforcement g´ en´ erique

Nous définissons la notion centrale de moniteur d’enforcement. Un tel dispositif, prévu pour opérer

a l’exécution des systèmes, surveille un programme cible en examinant ses événements intéressants. A chaque entrée produite par le programme son état évolue et une opération d’enforcement est produite.

Les moniteurs d’enforcement sont paramétrés par un ensemble d’opérations d’enforcementOps.

Définition 38 (Opérations d’enforcement Ops). Les opérations d’enforcement sont destinées à opérer une modification de la mémoire interne du moniteur d’enforcement et produisent potentiellement une sortie. Plus spécifiquement, ils prennent comme entrée un événement et un contenu mémoire (i.e., une séquence d’événements) pour produire une séquence de sortie et un nouveau contenu mémoire : Ops=(Σ×Σ^∗)→(Σ^∗×Σ^∗).

6.3 : Enforcement par moniteur Définition 39 (Moniteur d’enforcement générique (EM(Ops))). Un moniteur d’enforcement (enforcement monitor : EM)A_↓est un moniteur,i.e., un 5-tuple(QÂ^!,qinit

A_!,−→_A_!,Ops,ΓÂ^!)où la fonction de sortie produit des opérations d’enforcement deOpssur chaque état de l’automate.

Les notions derunet detrace pour les EMs se transposent naturellement depuis ces mêmes notions définies pour les automate de Streett (cf. Chapitre 3 Section 3.6). Dans la suite de cette section, σ∈Σ^∞ désigne une séquence d’exécution d’un programme etA_↓ =(QÂ^↓,qinit

A_↓,−→_A_↓,Ops,Γ^A^↓) d´esigne un EM(Ops).

Définition 40 (Run et trace). LerundeσsurA_↓est la séquence des états impliqués par l’exécution deA_↓ lorsqueσlui est donné en entrée. Ce qui est formellement défini commerun(σ,A_↓)=q₀·q₁· · · où q₀ =qinitA↓∧ ∀i,(qi∈QÂ^↓∧q_i−→^σⁱ A_↓ q_i+1). Latrace résultant de l’exécution deσsur A↓ est la séquence (finie ou non) de triplets (q0, σ₀/α₀,q₁)·(q1, σ₁/α₁,q₂)· · ·(qi, σ_i/α_i,q_i+1)· · · où run(σ,A↓) =q₀·q₁· · · et

∀i·α_i= Γ(qi+1).

Ainsi, un moniteur d’enforcement n’applique pas d’opération d’enforcement sur l’état initial lors de la soumission d’une séquence d’entrée. Celui-ci réalise la première opération sur le premier état visité et le premier événement de la séquence d’entrée.

Nous formalisons la manière dont un EM(Ops) réagit à une séquence d’exécution donnée en entrée,

étant donné un programme cible. Ceci repose sur les notions standards deconfigurationet dérivation.

Définition 41 (Configurations et dérivations d’un EM(Ops)). Pour un EM(Ops)(QÂ^↓,qinitA_↓,−→_A_↓ ,Ops,ΓÂ^↓), uneconfigurationest un triplet(q, σ,m)∈QÂ^↓×Σ^∗×Σ^∗oùqdénote l’état de contrôle courant, σla séquence courante d’entrée, etmle contenu mémoire courant.

Nous disons qu’une configuration(q^′, σ^′,m^′)estdérivable en un pasdepuis la configuration(q, σ,m) et produit la sortie o ∈ Σ^∗, et nous notons (q, σ,m) ֒→ô (q^′, σ^′,m^′) ssi σ = a.σ^′∧q −→â _A_↓ q^′∧Γ(q^′) = α∧α(a,m)=(o,m^′).

Nous disons qu’une configurationC^′estdérivable en plusieurs pasdepuis la configurationC etproduit la sortie o∈Σ^∗, et nous notons C=⇒ô A_↓ C^′,ssi il existe k≥0 et des configurationsC₀,C₁, . . ., Ck t.q.

C=C₀,C^′=C_k,C_i֒→^oⁱ C_i+1 pour tout0≤i<k, eto=o₀·o₁· · ·o_k−1.

La notion d’enforcement est basée sur la manière dont un moniteur transforme une séquence d’entrée en une séquence de sortie. Pour les définitions à venir, nous distinguerons les séquences finies et infinies.

Définition 42 (Transformation de séquences depuis un état et un contenu mémoire). La sé- quenceσ∈Σ^∗ est transformée parA↓ depuis l’étatq∈QÂ^↓ et le contenu mémoire m∈Σ^∗ en la séquence o∈Σ^∗, ce qui est noté(q, σ,m)↓_A_↓ o, si∃q^′∈QÂ^↓,∃m^′∈Σ^∗ t.q.(q, σ,m)=⇒ô _A_↓(q^′, ǫ,m^′). C’est-à-dire, s’il existe une dérivation démarrant depuis une configuration dont l’état estq, la mémoire (initiale)m, et produisantoen sortie.

Définition 43 (Transformation de séquences par un moniteur). Nous définissons la transformation réalisée par un EM(Ops) lorsque celui-ci lit une séquence d’entrée σ ∈ Σ^∞ et produisant une séquence de sortieo∈Σ^∞. La relation⇓_A_↓⊆Σ^∞×Σ^∞est définie comme suit :

– La séquence videǫn’est pas transformée parA↓,i.e.,ǫ⇓A_↓ǫ. Ceci se produit lorsque le programme sous-jacent ne produit pas d’événement.

– La séquenceσ∈Σ⁺est transformée parA↓ en la séquenceo∈Σ^∗, lorsque(qinit

A_↓, σ, ǫ)↓A_↓ o, ce que nous notonsσ⇓A_↓ o. C’est-à-dire, la séquence est transformée depuis l’état initial de l’EM avec un contenu mémoire vide.

– La séquenceσ∈Σ^ω est transformée parA_↓ en laséquence finie o∈Σ^∗, ce qui est notéσ⇓_A_↓o, si

∃σ^′∈Σ^∗, σ^′≺σ∧σ^′⇓A_↓ o∧ ∀σ^′′∈Σ^∗, σ^′≺σ^′′≺σ⇒σ^′′⇓A_↓ o.

C’est-à-dire, la séquence finie o est produite s’il existe un préfixe de σqui produit o, et chaque continuation de ce préfixe produitoégalement.

– La séquenceσ∈Σ^ω est transformée parA↓ en laséquence infinieo∈Σ^ω, ce qui est notéσ⇓A_↓ o, si les deux contraintes suivantes sont vérifiées :

∀o^′∈Σ^∗,o^′≺o⇒ ∃σ^′′,o^′′∈Σ^∗,o^′≺o^′′∧σ^′′⇓_A_↓o^′′ (6.4)

∀σ^′,o^′∈Σ^∗, (σ^′≺σ∧σ^′⇓A_↓o^′)⇒o^′≺o (6.5) C’est-à-dire, la séquence infinieo est produite si pour tous les préfixes deo, il existe un préfixe plus long qui peut être produit.

Sur les séquences finies, la transformation de séquences peut être définie de manière inductive comme suit par une fonction de transformation.

Définition 44 (Transformation de séquence). La fonction de transformation⇓ A_!(·) : Σ^∗ → Σ^∗ repose sur la fonction⇓ A_!(·,·,·) :Σ^∗×QÂ^! ×Σ^∗→Σ^∗définissant la transformation réalisée à partir de l’état courant et le contenu mémoire courant :⇓A_! (σ,q,m)est la séquence de sortie produite en lisantσ depuis l’étatq et un contenu mémoire (initial)m.

– La séquenceǫ n’est pas transformée parA_!,i.e., ∀q∈QÂ^!,∀m∈Σ^∗,⇓ A_!(ǫ,q,m)=ǫ.

– Une séquence d’exécutiona·σest (incrémentalement) transformée selon la transition déclenchée par l’entréea : on applique l’opération d’enforcement de l’état d’arrivé de la transition sur le contenu mémoire courant et l’entrée ade l’état ; ce qui induit un nouveau contenu mémoire et une sortieo.

C’est-`a-dire :

⇓ A_!(a·σ,q,m)=o· ⇓ A_!(σ,q^′,m^′) avec q−→^a A_! q^′∧Γ(q^′)=α∧α(a,m)=(o,m^′)

La définition précédente montre que le problème de l’enforcement, et la transformation de séquences peut se réaliser de manière incrémentale (ce que fait exactement un moniteur).

6.3.2 Enforcement de propri´ et´ es par un moniteur.

Nous définissons maintenant la notion d’enforcement de propriétés par un EM. La notion d’enforcement relie la séquence d’entrée produite (et fournie à l’EM) par un programme (ou un générateur de séquences d’exécution) et la séquence de sortie autorisée par celui-ci (correcte vis-à-vis de lar-propriété considérée).

Dans le cas général, la comparaison entre les séquences d’entrées et de sortie est réalisée selon une relation d’équivalence entre les séquences :≈⊆Σ^∞×Σ^∞. Notons que la relation d’équivalence utilisée dans ce cas doit préserver lar-propriété considérée.

Définition 45 (Enforcement d’une r-propriété). Pour une r-propriété Π = (φ, ϕ) ∈ EP, nous disons queA_! enforceΠsurPΣ, ce qui est notéEnf_≈(A_!,Π,PΣ),ssi pour toute séquenceσ∈Exec(PΣ), il existeo∈Σ^∞,t.q.les contraintes suivantes sont vérifiées :

σ⇓A_! o (6.6)

Π(σ)⇒σ≈o (6.7)

¬Π(σ)∧Pref_≺(φ, σ)=∅ ⇒o≈ǫ (6.8)

¬Π(σ)∧Pref_≺(φ, σ),∅ ⇒o≈Max(Pref_≺(φ, σ)) (6.9)

6.3 : Enforcement par moniteur

(6.6), (6.7), (6.8), et (6.9) assurent la correction et la transparence deA_! : (6.6)stipule que la séquenceσ est transformée parA_↓ en la séquence o;

(6.7)assure que siσsatisfaisait déjà la propriété alors elle n’est pas transformée (ou est transformée en une séquence équivalente) ;

(6.8) assure que l’EM produit ne produit rien en sortie (la séquence videǫ) lorsqu’il n’y a pas de préfixe correct deσsatisfaisant la propriété ;

(6.9)assure queoest le plus long préfixe de σsatisfaisant la propriété, lorsque celui-ci existe.

La correction est due au fait que la séquence produiteo, lorsqu’elle est différente deǫ, satisfait toujours la propriétéφ. La transparence est assurée par le fait que les séquences d’exécution correctes ne sont pas modifiées, et les séquences incorrectes sont tronquées en leur plus grand préfixe correct.

Remarque 9 ( À propos de la définition deMax(Pref_≺(φ, σ))) Nous pouvons remarquer que nous aurions pu définirMax(Pref_≺(φ, σ))comme étant égal àǫ lorsquePref_≺(φ, σ)=∅et fusionner les deux der- nières contraintes. Cependant, nous choisissons de distinguer explicitement le cas dans lequelPref_≺(φ, σ)=∅ car cela met en évidence les différentes situations où un EM peut produireǫ. Parfois, cela correspond à la seule séquence correcte de la propriété. Mais parfois cela peut être une séquence incorrecte vis-à-vis de la propriété. En pratique lors de l’implémentation d’un EM, il est facile de marquer cette séquence comme

correcte ou incorrecte. ∗

6.3.3 Instantiation des moniteurs d’enforcement g´ en´ eriques

Dans la suite, nous nous concentrerons sur une forme particulière de moniteur d’enforcement. Ce- pendant, nous verrons que ces moniteurs sont assez expressifs (du point de vue de l’enforcement). Nous allons, en effet, considérer un ensemble restreint d’opérations d’enforcement.

Les op´erations d’enforcement permettent aux moniteurs :

– d’arrêter le programme cible (lorsque la séquence d’entrée viole irrémédiablement la propriété) : opération halt,

– de mémoriser l’événement courant dans undispositif mémoire(lorsqu’une décision définitive doit être prise plus tard) : opérationstore,

– ou de vider le contenu de la mémoire (lorsque le programme est revenu à un comportement correct) : opération dump,

– ou d’éteindre définitivement le moniteur (lorsque la propriété est satisfaite pour toujours) : opération off.

Nous donnons une définition plus précise de ces opérations d’enforcement.

Définition 46 (Opérations d’enforcement Ops={halt,store,dump,off}). Dans la suite, nous consi- dérons un ensembleOps={halt,store,dump,off}défini comme suit : ∀a∈Σ∪ {ǫ},∀m∈Σ^∗

halt(a,m)=(ǫ,m) store(a,m)=(ǫ,m.a) dump(a,m)=(m.a, ǫ) off(a,m)=(m.a, ǫ) (a désigne l’événement fourni en entrée au moniteur etmle contenu du dispositif mémoire.)

Notons que la définition de l’opérationoff est la même que celle de l’opérationdump. D’un point de vue théorique, cette opération n’est effectivement pas nécessaire. En revanche, elle revêt un intérêt pratique.

En effet, pour limiter l’impact du moniteur sur le programme (du point de vue des performances), il peut être utile de savoir lorsque le moniteur n’est plus nécessaire. Ainsi la suite des raisonnements pourrait

´egalement se faire en consid´erant uniquementhalt,store,dump.

De plus, pour que la séquence des opérations d’enforcement réalisée par ces moniteurs soit cohérente, nous supposerons que les moniteurs d’enforcement ne peuvent pas réaliser d’autres opérations quehalt (resp.off) après avoir fait une opération halt(resp.off).

Dans la suite de cette thèse nous désignons par EM, un EM(Ops) instancié qui respecte ces contraintes.

De plus pour un EMA↓, nous noteronsHaltÂ^↓ l’ensemble des états où l’opération d’enforcement produite esthalt (HaltÂ^↓={q∈QÂ^↓|ΓÂ^↓(q)=halt}).

Exemple 19 (Moniteur d’enforcement) Nous illustrons l’enforcement de certaines r-propri´et´es in- troduites dans l’Exemple1(p. 1) avec des EMs.

– La partie droite de la Fig.6.3(p. 112) est un EMA_↓Π₁ pour lar-propri´et´e de safetyΠ₁.

Son état initial est l’état 1. Depuis l’état initial, il effectue simplement l’opérationdump sur une première occurrence deg authet se déplace à l’état3, où l’opérationopest autorisée et donc produite en sortie (avec l’opérationdump) et retourne à l’état1. Autrement, si l’événementopprécèdeg auth, alors l’EM se déplace à l’état2 et arrête définitivement le programme.

– Sur le bas de la Fig. 6.5 (p.113) est esquissé un EMA↓Π₂ pour la r-propriété de guarantee Π₂. L’état initial deA↓Π₂ est l’état 1, et il n’a pas d’état où l’EM arrête le programme sous-jacent. Son comportement est le suivant : les occurrences d’événements différents d’unreq authsont mémorisées (opérationstore) tant qu’unreq authn’a pas lieu. Ensuite, le contenu mémoire global est produit en sortie. Enfin, cet EM n’a pas d’état d’arrêt.

Informellement nous pouvons remarquer que les EMs donnés dans cet exemple respectent bien les contraintes de correction et transparence formulées dans le Chapitre 4 Section 4.3. Par exemple le deuxième EM assure bien que la séquence de sortie satisfait toujours lar-propriété considérée et cette sortie est toujours le plus grand préfixe correct de la séquence d’entrée.

6.3.4 Propri´ et´ es des moniteurs d’enforcement instanci´ es

Nous étudions maintenant les propriétés des moniteurs d’enforcement avec l’ensemble d’opérations d’enforcement {halt,store,dump,off}. Nous donnons une propriété vérifiée par les EMs lorsque ceux-ci lisent des séquences infinies. Puis, pour les séquences finies, il est possible de relier à tout moment la séquence d’entrée fournie à l’EM, son contenu mémoire, et la sortie qu’il produit.

Propriété 9 ( À propos de la transformation de séquence infinie) : Etant donnés une séquence´ d’exécutionσ∈Exec(PΣ)∩Σ^ω et un EMA↓,t.q.le run deσsurA↓ est exprimé par :

(q0, σ₀/α₀,q₁)·(q1, σ₁/α₁,q₂)· · ·(qi, σ_i/α_i,q_i+1)· · ·, nous avons la propri´et´e suivante :

σ⇓A_↓ σ⇔ ∀i∈N,∃j∈N, α_j∈ {dump,off}

♦ La propriété stipule que, pour un EM, produire en sortie la même séquence qu’en entrée est équivalent

a réaliser régulièrement l’opération d’enforcementdump ouoff.

Pour les séquences finies, il est possible de relier la séquence d’entrée, la mémoire, et la séquence de sortie. Cette relation est exprimée par la relation suivante.

Propriété 10 (Relation entre l’entrée, la mémoire, et la sortie) : La séquence d’entrée, le contenu mémoire, et la sortie produite sont reliés par la propriété suivante :∀σ∈Σ⁺,∀σ^′∈Σ^∗,

∃q∈Q^A^↓·(qinitA_↓, σ·σ^′, ǫ)=⇒^o _A_↓(q, σ^′,m)

=⇒

(σ=o·m∧q∈QÂ^↓\HaltÂ^↓)∨(o≺σ∧q∈HaltÂ^↓) ♦

Informellement, la séquence σ·σ^′ (resp. σ, σ^′) est la séquence fournie en entrée à l’EM (resp.

eﬀectivement lue, restant `a lire).

Preuve : Cette preuve est faite par induction sur la longueur de la s´equence d’entr´ee lueσ.

Cas de base. Pour le cas de base|σ|=1; nous avonsσ=a avec a ∈Σ. En utilisant la définition de l’évolution des configurations (Définition41, p.101), nous avons que∃q∈QÂ^↓,(qinit

A_↓, σ·σ^′, ǫ)=⇒^o A_↓(q, σ^′,m) avecα(σ, ǫ)=(o,m)et qinit

A_↓ σ

−→q∧Γ(q)=α. Il y a quatre cas possibles pour α: – Si α=halt, alorso=ǫ,m=ǫet q∈Halt^A^↓. Nous avonso≺σ.

– Sinon, siα=store, alorso=ǫ,m=σ. Nous avonsσ=o·m.

– Sinon (α=dumpouα=off),o=a,m=ǫ et σ=o·m.

6.4 : Operations de composition sur les moniteurs d’enforcement

No documento Yliès Falcone (páginas 113-118)