国防科技大学计算机学院

创新之路Way of Innovation徐凯“我们生活在一个三维世界里，对世界的观察是三维的，与世界的交互也是三维的。

我们的生产生活对数字化三维世界的表达与交互需求正不断升级，未来一定是三维数据的天下。

”国防科技大学计算机学院徐凯教授肯定地说。

作为一位计算机图形领域的科技从业者，他对这样的趋势很兴奋。

“计算机图形学研究已经接近饱和”——自20世纪90年代起，这样的论调就一直存在。

徐凯却不这么想，他认为，图形学当前的一个主要瓶颈就是“三维内容生成”，一旦突破，就有望令三维数据真正实现爆炸式增长，而三维大数据反过来也会对三维内容的生成与创作产生变革式影响。

如今，三维数据的生产-消费生态正在逐渐建立，围绕三维内容的产业链基金的支持。

“这个年轻人成功了！”外人眼中的徐凯光环罩身，他却在获得一系列荣誉后，决定让自己沉静下来。

2017年，他前往美国普林斯顿大学做访问学者，跟随S I G G R A P H杰出成就奖（计算机图形领域最权威的奖项）获得者T h o m a s Funkhouser教授做研究。

“我们讨论问题，他提到一个好点子，我觉得确实不错，散会后还跟学生交代能如何实现这个设想。

结果第二天再讨论时，他自己已经把代码编程写好了。

”徐凯忍不住自省起来，无论何时何地，都不能和一线工作脱节，而亲力亲为的好处是，不仅能够在思路上给学生指导，还能够及时发现可能会被错过的细节问题。

这一年，徐凯彻底稳了下来。

用他的话说这是一场“内功的修炼”，在前沿研究上，天马行空的思维脑洞和扎实稳固的基础步调缺一不可，这将是他潜心锻造的两把“利剑”，在充满未知的科学探寻中，助他披荆斩棘，无畏无惧。

用数据驱动数据生成数据驱动，就是要让数据说话。

徐凯认为归根结蒂就是要“让数据帮助数据理解，用数据驱动数据生成”，即将数据驱动方法引入到三维几何分析和建模中。

在SIGGRAPH Asia 2010的一篇论文中，他与合作者提出了三维模型集“联合分析”概念，打破了以往三维几何模型分析只针对单个模型的模式，被认为是数据驱动几何处理与分析的核心概念之一，引发了数据驱动三维形状分析的研究热潮。

文章编号：1006-2475（2006）06-0088-03收稿日期：2005-08-18基金项目：国家863资助项目（2003AA142010）作者简介：蒋少华（1976-），男，湖南衡阳人，湖南师范大学计算机教学部讲师，国防科技大学计算机学院硕士研究生，研究方向：计算机网络安全，软件工程；姚娟（1978-），女，华中师范大学信息管理系硕士研究生，研究方向：安全电子商务；胡华平（1967-），男，国防科技大学计算机学院教授，博士生导师，博士后，研究方向：计算机网络安全，密码学。

分布式IDS 的报警关联定义蒋少华1，2，姚娟3，胡华平1（1.国防科技大学计算机学院，湖南长沙410073；2.湖南师范大学计算机教学部，湖南长沙410081；3.华中师范大学信息管理系，湖北武汉430079）摘要：网络规模越来越大，传统的IDS 往往存在漏报误报率高、报警太低级的问题，因而不能及时准确反映整个系统的安全态势，网络管理人员不得不面对海量的原始报警信息，如大海捞针般地寻找可能的安全威胁和攻击来源。

本文首先讨论了现有IDS 的不足；之后给出了报警关联的定义。

本文的研究成果已经在“网络安全监控与预警系统”（十五863项目）中得到应用，对分布式入侵检测系统的报警关联设计有重要的参考价值。

关键词：分布式入侵检测系统（DIDS ）；报警事件；报警关联；响应中图分类号：TP393.08文献标识码：ADefinition of Alert Correlation in Distributed IDSJIANG Shao-hua 1，2，YAO Juan 3，HU Hua-ping 1（1.SchooI of Computer Science ，NationaI University of Defense TechnoIogy ，Changsha 410073，China ；2.Department of Computer Education ，Hunan NormaI University ，Changsha 410081，China ；3.Department of Information Management ，CentraI China NormaI University ，Wuhan 430079，China ）Abstract ：Nowadays ，the present IDS has too many faIse negatives and faIse positives ，and the IeveI of the aIert is too Iow.So it cannot refIect the security situation of the whoIe network accurateIy and in time.The administrators have to deaI with a Iot of raw aIerts to find the possibIe security threat and the source of attack just as Iook for a needIe in a bottIe of hay.In this paper ，the shortages of the present IDS are presented firstIy.Then ，a definition of aIert correIation is given.The production of this paper has been appIied into “the Network Security Monitor and the Warning TechnoIogy ”，which wiII do a great deaI of good for the design of aIert correIation system in distributed IDS.Key words ：distributed intrusion detection systems（DIDS ）；aIert event ；aIert correIation ；response 0引言当越来越多的公司将其核心业务向互联网转移的时候，网络安全作为一个无法回避的问题呈现在人们面前。

软件学报ISSN 1000-9825, CODEN RUXUEW E-mail: jos@ Journal of Software,2019,30(1):33-61 [doi: 10.13328/ki.jos.005652] ©中国科学院软件研究所版权所有. Tel: +86-10-62562563形式化方法概貌*王戟1,2, 詹乃军3,4, 冯新宇5,6, 刘志明7,81(国防科技大学计算机学院,湖南长沙 410073)2(高性能计算国家重点实验室(国防科技大学),湖南长沙 410073)3(中国科学院软件研究所,北京 100190)4(天基综合信息系统重点实验室(中国科学院软件研究所),北京 100190)5(南京大学计算机科学与技术系,江苏南京 210023)6(计算机软件新技术国家重点实验室(南京大学),江苏南京 210023)7(西南大学计算机与信息科学学院,重庆 400715)8(西南大学软件研究与创新中心,重庆 400715)通讯作者: 刘志明, E-mail: zhimingliu88@摘要: 形式化方法是基于严格数学基础,对计算机硬件和软件系统进行描述、开发和验证的技术.其数学基础建立在形式语言、语义和推理证明三位一体的形式逻辑系统之上.形式化方法已经以不同程度和不同方式愈来愈多地应用在计算系统生命周期的各个阶段.介绍了形式化方法的发展历程和基本方法体系;以形式规约和形式验证为主线,综述了形式化方法的理论、方法、工具和应用的现状,展示了形式化方法与软件学科其他领域的交叉和融合;分析了形式化方法的启示,并展望了其面临的发展机遇和未来趋势.形式化方法的发展和研究现状表明:其应用已经取得了长足的进步,在提高计算系统的可靠性和安全性方面发挥了重要作用.在当今软件日益成为社会基础设施的时代,形式化方法将与人工智能、网络空间安全、量子计算、生物计算等领域和方向交叉融合,得到更加广阔的应用.研究和建立这种交叉融合的理论和方法不仅重要,而且具有挑战性.关键词: 形式化方法;形式规约;形式验证;程序设计方法学;软件开发中图法分类号: TP311中文引用格式: 王戟,詹乃军,冯新宇,刘志明.形式化方法概貌.软件学报,2019,30(1):33-61./1000-9825/ 5652.htm英文引用格式: Wang J, Zhan NJ, Feng XY, Liu ZM. Overview of formal methods. Ruan Jian Xue Bao/Journal of Software, 2019, 30(1):33-61 (in Chinese)./1000-9825/5652.htmOverview of Formal MethodsWANG Ji1,2, ZHAN Nai-Jun3,4, FENG Xin-Yu5,6, LIU Zhi-Ming7,81(School of Computer, National Univerisity of Defense Technology, Changsha 410073, China)2(State Key Laboratory for High Performance Computing (National Univerisity of Defense Technology), Changsha 410073, China)3(Institute of Software, Chinese Academy of Science, Beijing 100190, China)4(Science & Technology on Integrated Information System Laboratory (Institute of Software, Chinese Academy of Science), Beijing 100190, China)*基金项目: 国家自然科学基金(61532007, 61632005, 61672435, 61732019)Foundation item: National Natural Science Foundation of China (61532007, 61632005, 61672435, 61732019)本文由“软件学科发展回顾特刊”特约编辑梅宏教授、金芝教授、郝丹副教授推荐.收稿时间:2018-10-23; 修改时间: 2018-10-30; 采用时间: 2018-11-15; jos在线出版时间: 2018-11-22CNKI网络优先出版: 2018-11-23 07:18:05, /kcms/detail/11.2560.TP.20181123.0717.005.html34 Journal of Software软件学报 V ol.30, No.1, January 20195(Department of Computer Science and Technology, Nanjing University, Nanjing 210023, China)6(State Key Laboratory for Novel Software Technology (Nanjing University), Nanjing 210023, China)7(School of Computer and Information Science, Southwest University, Chongqing 400715, China)8(Software Research and Innovation Center, Southwest University, Chongqing 400715, China)Abstract: Formal methods are techniques with mathematical foundations for specifying, developing, and verifying computer software and hardware systems. Their mathematical foundations lie in formal logic systems, consisting of formal languages, semantics, and proof systems. Formal methods have been increasingly applied in different stages of the lifecycle of a computing system with appropriate levels of rigor. This paper reviews the historic development of formal methods. Focusing on specification and verification, the paper discusses and introduces the state-of-the-art mainstream formal methods in details, including their theories, techniques, tools, and applications. It is also shown that the relation between formal methods and other fields of computer science. Finally, the opportunities, trends, and challenges of formal methods are forseen. Formal methods have made significant progresses and played crucial roles to guarantee the safety and security of computing systems. Now software is becoming a fundamental infrastructure, it is believed that formal methods will gain much wider applications, especially when they are used in combination with other theories and methods such as those in artificial intelligence, cyber security, quantum computing, and bioinformatics. Research to achieving such seamless combinations is, however, both challenging and important.Key words: formal method; formal specification; formal verification; programming methodology; software development计算机科学的发展主要涉及硬件和软件的发展,而软、硬件发展的核心问题之一是如何保证它们是可靠的、安全的,关键问题是正确性.如今,硬件性能变得越来越高、运算速度变得越来越快、体系结构变得越来越复杂,软件的功能也变得越来越强大而复杂,如何开发可靠的软、硬件系统,已经成为计算机科学发展的巨大挑战.特别是现在计算机系统已广泛应用于许多关系国计民生的安全攸关系统中,例如高速列车控制系统、航空航天控制系统、核反应堆控制系统、医疗设备系统等等,这些系统中的任何错误都可能导致灾难性后果.现代计算科学和计算机科学技术源自于Church的Lambda演算和Turing的图灵机等计算模型.这些形式系统提供了计算的理论基础.计算系统的设计开发需要分析、处理、证明计算机硬件和软件系统的性质.形式化方法以形式(逻辑)系统为基础,支持对计算系统进行严格的规约、建模和验证,并且为此设计算法从而建立计算机辅助工具.在现代计算系统的开发过程中,形式化方法在不同的阶段、以不同的形式和程度得以应用,例如:在基于模型的软件开发中,建模、模型精化和基于模型的测试都是基于形式化方法的思想和技术发展起来的;程序语言的类型设计、程序分析的算法都是形式化方法中的基本技术.形式化方法已经成功应用于各种硬件设计,特别是芯片的设计.各大硬件制造商都有一个非常强大的形式化方法团队为保障系统的可靠性提供技术支持,例如IBM、Intel、AMD等等.由于软件系统的复杂性和不确定性远远超出硬件系统,形式化方法在软件开发中应用程度并不高.但是在最近10多年中,随着形式验证技术和工具的发展,特别是在程序验证中的成功应用,形式化方法在处理软件开发复杂性和提高软件可靠性方面已显示出无可取代的潜力.各个著名的研究机构都已经投入大量人力和物力从事这方面的研究.例如,美国宇航局(NASA)拥有一支庞大的形式化方法研究团队,他们在保证美国航天器控制软件正确性方面发挥了巨大作用.在美国研发“好奇号”火星探测器时,为了提高控制软件的可靠性和生产率,广泛使用了形式化方法.微软、华为、Synopsis、Facebook、Amazon等公司聘用形式化方法的专家从事形式验证技术研究及工具开发工作,以期提高其商业软件的可靠性.国际上已经出现了一批以形式化方法为核心竞争力的高科技公司,例如Galois、Praxis 等等.本文主要给出形式化方法的基本方法学和发展概貌,第1节介绍形式化方法的基本概念、简要历史和构成体系.第2节、第3节分别介绍形式规约和开发以及形式验证的基本内容和现状.第4节介绍形式化方法的应用.第5节讨论形式化方法面临的一些挑战,展望其在软件逐渐成为基础设施时代的发展趋势和交叉方向,并给出一些加强形式化教育的建议.关于已有的介绍形式化方法的中文文章和报告,我们推荐文献[1 3],其中,文献[1]是关于形式化方法的最新进展的报告,而关于软件分析的文献[2,3]讨论了面向程序或程序模型的形式化方法(包括模型检验、抽象解王戟等:形式化方法概貌35释和符号执行)的新进展.1 形式化方法基本概念形式化方法是基于严格数学基础,对计算机软(硬)件系统进行形式规约、开发和验证的技术.其中,形式规约使用形式语言构建所开发的软件系统的规约,它们对应于软件生命周期不同阶段的制品,刻画系统不同抽象层次的模型和性质,例如需求模型、设计模型甚至代码和代码的执行模型等.形式验证是证明不同形式规约之间的逻辑关系,这些逻辑关系反映了在软件开发不同阶段软件制品之间的需要满足的各类正确性需求.例如,形式验证给出“系统设计模型满足若干特定性质”的证明构造.在形式规约和验证的基础上,形式化开发主要是构造、证明形式规约之间的等价转换和精化关系,以系统的形式模型为指导,逐步精化,开发出满足需要的系统,也称为构造即正确(correct by construction)的开发.形式化方法与其他软件开发方法[4]的主要区别在于:其描述软件及其性质的语言是无歧义的,构造和验证软件的方法是严格的.在软件工程中,形式化方法提供了工程化系统设计的一种比较透彻的思维方式,可以很好地支持抽象模型建立、系统精化、模型和证明重用;形式化开发过程具有很好的可重复性,相应的软件制品模型也具有较强的可分析性和可验证性.因而,形式化方法可以有效地提高和保障系统的可信性.形式化方法与计算机科学理论密切相关,其发展与程序设计语言和程序理论的发展息息相连.作为一个学科方向,它研究形式化方法的数学基础、形式系统的表达能力、形式系统的推理系统及其可靠性和完备性,以及在计算系统开发和生命周期各个阶段的理论、方法、技术、工具和应用方式等.1.1 历史回顾形式化方法的发展已有较长的历史,人们主要从两个角度出发推动形式化方法的提出和早期发展,即,为程序设计提供数学基础的理论研究角度以及为软件开发提供严格质量保证的软件工程角度.早在1949年, Turing 的论文“Checking a large routine”即讨论了程序的正确性问题[5].1962年,McCarthy在IFIP上做了题为“通往计算的数学科学”的演讲[6],系统论述了程序语言的形式语义和程序设计理论重要性,直接触发了形式语义研究. 1968年在德国Garmisch召开的NATO软件工程会议,从提高软件质量和生产率的软件工程角度出发,提出了要建立软件开发和生产的数学基础;进一步地,软件的正确性问题和概念成为1969年NATO软件工程会议的主题之一.形式化方法在这种历史背景下成为程序设计和软件工程基础的重要组成部分,先后出现了一批有重要影响的工作.表1给出了部分图灵奖获奖者在形式化方法方面的研究工作.Table 1Examples of formal methods researches by Turing Award Laureates表1部分图灵奖获得者在形式化方法方面的研究获奖年份获奖人研究工作McCarthy 计算的理论、LISP1971 John1972 EdsgerDijkstra 最弱前置条件演算W.1974 Donald Knuth LR Parser1976 Michael Rabin和Dana Scott 不确定自动机、指称语义Backus BNF 1977 JohnFloyd 公理语义、程序验证1978 RobertHoare 公理语义、CSP1980 Tony1984 NiklausWirth 程序设计语言的形式描述Hopcroft 形式语言1986 John1991 RobinMilner LCF,CCS,MLPnueli 时序逻辑与验证1996 AmirNaur BNF 2005 Peter2007 Edmund Clarke,E.Allen Emerson和Joseph Sifakis模型检验2008 BarbaraLiskov Larch,抽象数据类型Lamport TLA 2013 Leslie1.1.1 围绕形式语言和形式语义学的基础研究(1930年~至今)形式语言是由符号化字母表以及递归的语法规则完全定义和生成所有表达式或语句的语言.形式逻辑的36 Journal of Software软件学报 V ol.30, No.1, January 2019语言都是形式语言,如命题逻辑、谓词逻辑和布尔代数.20世纪30年代,Church用形式语言定义研究计算和算法,提出了一种计算模型Lambda演算[7,8],后来成为函数式程序设计语言、类型论和操作语义的理论基础.事实上,Lambda演算本身可以看作是一种程序语言.在20世纪50年代末,高级程序设计语言的定义开始了关于计算的形式系统的研究,产生了Backus-Naur Forms(BNF范式)并用于定义ALGOL60,形成了语言的递归抽象.形式语言不仅在语言的定义中得到了应用,在系统软件开发中也发挥了作用,例如,UNIX中的yacc和grep的开发[9].在形式语言定义的同时,如何定义程序的含义成为关注的焦点[10],形式语义学的研究逐渐形成了四大体系:操作语义、指称语义、代数语义和公理语义.在定义ALGOL68的语义时,首次使用了“操作语义”这个术语,而McCarthy已在1960年用Lambda演算定义了LISP的语义[11].形式语言理论和形式语义学为形式化方法奠定了基础,不仅用来定义程序设计语言,形式系统还用来严格定义规约语言的基础,建立了形式规约语言或形式化建模语言.20世纪60年代,Petri提出了Petri Net作为分布式系统的数学化建模语言[12].面向并发系统,Hoare提出了通信顺序进程CSP[13,14],Milner提出了通信系统演算CCS[15,16],Hennessy和Lin提出了消息传送进程的符号互模拟理论[17].随着软件形态的不断变化,形式化建模语言也不断发展.例如,针对反应式系统,Pnueli在1977年引入了线性时序逻辑LTL[18],Clarke和Emerson在1981年建立了计算树逻辑CTL[19];在反应式系统描述的基础上,发展了面向实时系统的TPTL[20]、Timed Automata[21]、Timed Regular Expressions[22]和Timed CSP[23]以及Timed CCS[24],还出现了硬件描述语言、体系结构描述语言、通信控制建模仿真语言等.1.1.2 围绕形式规约和开发的方法学研究(1970年~至今)直接使用程序设计语言及其语义难以描述和证明软件从需求文档到程序代码的开发过程各阶段创建的不同抽象层次的制品及其正确性,人们开始研究高层抽象的形式规约语言的设计,形成了以形式规约语言为基础的形式化开发方法.例如VDM[25 27]、Z[28]、Event-B[29]、RAISE[30,31]、CafeOBJ[32]、TLA+[33]、rCOS[34]、SOFL[35]等等.形式化开发利用形式规约语言对软件建模并描述其所期望的软件性质,提供指导开发人员进行精化的方法,进行形式规约之间(部分的)一致性检查和证明.基于不同的开发方法,形式规约可以自顶向下逐步精化形成开发的规约序列,在足够的实现细节完成后,可以通过代码自动生成得到程序.例如,VDM的精化有数据具体化(data reification)和操作分解(operation decomposition)等.形式化方法逐步建立了工具集,以支持形式规约的性质分析和证明,例如Z/EVES[36]、Event-B/Rodin[37].1970年代后,软件工程界认识到了数学可以为保证程序正确性提供技术基础,形式化方法(formal methods)一词开始传播开来.1980代初,唐稚松提出以时序逻辑作为软件开发过程的统一基础,并着手建立XYZ系统[38].在1980年代到90年代,形式化方法得到了重视,特别是欧盟大力支持了形式化开发方法的研究.例如Concur、ProCoS、REACT等.人们希望能够利用形式化方法高效、高质量地开发软件,这一方面有力地促进了形式化方法和技术的发展;另一方面,由于应用规模较小,效果证据不足,应用方式不明确,工业界对形式化方法的看法出现了争议.在形式规约和开发的方法学基础方面,Goguen和Burstall 提出了机构(institution)的抽象模型理论,用以建立语言语法驱动的、不同形式逻辑基础上的各种形式化方法的理论统一以及技术和工具集成与和谐使用[39];Hoare和何积丰提出了统一程序设计理论框架UTP,提供了在一种程序(如顺序程序)语义模型理论基础上构建扩展程序(如并发)的语义理论,从而保证原来的理论在扩展的理论中重用,并同时建立了操作语义、指称语义、公理语义和代数语义的互联统一[40].1.1.3 围绕形式验证技术的工程化研究(1980年~至今)建立了形式规约之后,如何从形式规约开发得到正确的系统成为关键.形式验证,包括如何证明不同抽象层次的规约间等价或者满足精化关系、如何验证形式规约(所要求的性质)及其模型之间的满足关系,是形式化方法保证软件开发正确性必须解决的科学问题和实际应用问题.形式验证理论涉及了数理逻辑的传统基础问题.在研究验证自动化过程中,发现了相关大量的不可判定问题、NP完全问题以及状态爆炸等否定性的结果.否定性的结果同时推动了各种可组合的规约证明技术、抽象解释技术以及提高实现效率的数据结构(如BDD).这些研究同时促进了形式化技术与传统测试和仿真技术的结合,形成了新的基于形式化的测试和仿真技术.这些技术将重点放在软件的缺陷检验和调试上,以发现错误为首要目的[3],出现了形式验证及其工程化技术和工具,包括以SAT/SMT为代表的约束求解、基于交互式辅助定理证明工具的机械化验证、以模型检验为代表的自动王戟等:形式化方法概貌37分析与验证.工具的自动化水平和可扩展能力得到了显著的提高,如SAT/SMT求解器Chaff[41]、Z3[42]、CVC4[43],定理证明环境ACL2[44]、Isabelle/HOL[45]、Coq[46]和PVS[47],模型检验工具SMV[48]、SPIN[49]、UPPAAL[50], PRISM[51]、PAT[52]等等.形式验证在硬件验证中获得了巨大的成功,也不断地进入嵌入式软件、安全攸关软件等高安全等级软件的开发.Pnueli在他的图灵奖演说中称,验证工程(verification engineering)是未来的职业[53].1.1.4 以可验证软件为目标的多学科交叉研究(2000年~至今)1999年,在关于计算机科学技术面临的巨大挑战的讨论中,Hoare提出了验证编译器(verifying compiler)倡议(后称为verified software).经过几年的调研和准备,2005年召开了第1届VSTTE(verified software:Theories, tools,experiments)会议.来自世界各地的专家讨论了形式规约、构建和验证高质量软件的方法,形成了可验证软件计划,希望[54]:(1) 建立能够构建实际可靠的程序的设计理论;(2) 建立一组支持上述理论的自动化工具集,并且能扩展至具有工业化能力;(3) 建立已验证的程序库,能够在实际系统中替代未验证的程序,并能以可验证的状态持续演化.2007年,我国国家自然科学基金委也开展了“可信软件基础研究”重大研究计划[55-57],形式化方法作为其中的重要途径来提高软件的可信性.经过10余年的努力,形式化方法进入了硬件设计的标准流程,也出现了验证过的编译器[58]和微内核操作系统[59].人们普遍认可了形式化方法对于深刻认识计算系统和提高软件质量的贡献.美国NITRD在计算使能的网络化物理系统(CNPS)、网络空间安全和隐私(CSP)、软件生产力、可持续和质量(SPSQ)等多个领域(PCA)突出了形式化方法的位置,NSF连续资助了形式化方法领域的大规模探索项目CMACS[60]、EXCAPE[61]、DeepSpec[62]等.DARPA的项目HACMS[63]利用形式化方法成功地研发了可以免于黑客攻击的无人机操作系统和飞行控制软件.形式化方法在计算机软/硬件开发和质量保证上发挥了重要作用,与人工智能相结合的程序综合、大数据以及与形式推理相结合的软件自动化重回热点前沿.此外,形式化方法在网络安全、量子计算、生物计算等方向的交叉应用也受到了广泛关注.1.2 形式化方法的基本体系图1给出了基于形式化方法进行软件开发的基本框架.与基于模型的软件开发类似,通过需求分析得到初始形式规约Spec1;然后,经过逐步求精或者转换,得到一系列精化后的形式规约(Spec2,…,Spec n);最后,可转换或综合生成得到系统的程序代码实现.Spec1,...,Spec n都是对系统的抽象(建模),它们的抽象角度和层次不同.Fig.1 Framework of formal (development) methods图1 形式化方法软件开发框架整体图图1中还给出了形式规约语法、语义以及形式规约之间的关系.给定形式规约Spec i,由语义函数[[_]]给出其在数学域上的形式语义[[Spec i]](即Semantics i).规约之间的逻辑关系(如精化关系可以描述为逻辑中的蕴含“→”)与相应数学理论(如集合论中的集合包含“⊒”)有对应关系(如,若Spec2→Spec1,则[[Spec1]]⊒[[(Spec2)]]).在软件开发中,规约不必仅用同一种形式语言描述,不同的规约语言之间的关系可以基于某个统一的形式理论,例如Institutions[39].综上所述,形式化方法是由形式规约语言(包括形式语义与模型理论)、形式规约(包括精化与综合)、形式验证、形式化工具等形成的一个整体.其中,形式规约语言是基础,形式化方法中,软件制品是规约语言编写/变换的形式规约;形式验证是保证开发正确性的途径,形式语义与模型理论是联接形式规约和形式验证的数学纽带;形式化工具是系统设计和开发中高效使用形式化方法的需要和实践.38 Journal of Software软件学报 V ol.30, No.1, January 2019 2 形式规约形式规约是由形式规约语言严格描述的系统模型或者系统需要满足的性质.前者是模型规约,后者是性质规约.形式规约是形式化方法的基础[64].在软件分析[2,3]中,动态执行测试或验证技术以及动态在线跟踪监控和验证也经常使用形式规约.本节我们讨论形式规约语言及其语义的定义方法、形式规约和语义模型之间的关系,并在此基础上介绍形式规约在软件构造中的应用.2.1 形式规约语言形式规约语言是指由严格的递归语法规则所定义的语言,满足语法规则的句子称为合式或良定义规约(well-formed specification).2.1.1 模型规约语言模型规约语言利用数学结构描述系统的状态变化或者事件轨迹,它直接定义所描述系统模型的结构、功能行为甚至非功能行为(如时间).模型规约给出了系统开发过程中不同抽象层次的模型,有相应的逻辑推理系统支持其分解和组合,完成不同层次间规约的转换和精化.主要包括如下几类.(1) 代数规约语言一个代数规约由一些表述类子(sort)的符号、类子之间的运算符(operation symbol)以及在多类等式逻辑(many-sorted equality logic)中的等式公理组成.代数规约的一个模型就是满足该规约的异构代数.为了语义的唯一性,一般采取初始代数(initial algebra)为规约的语义.代数规约的优点是具有非常好的数学基础,任意操作序列的计算结果可以自动得到、自动执行,例如4GL(fourth generation programming languages).等式逻辑的表述能力有较大局限性,不能表达一般的程序结构和行为.因此,后来代数描述中引进了带归纳的一阶逻辑,同时引进了支持偏函数和子类,模块化结构和模块组合的架构机制,形成了一个通用代数规约语言(the common algebraic specification language,简称CASL)[65].其他的代数规约语言还有OBJ[66]、PLUSS[67]、Larch[68]等.代数规约对程序设计理论和软件工程影响非常广泛,例如早期的抽象数据类型[69],后来的面向对象程序设计[70,71]、ML等函数式程序设计语言[72],等等.(2) 结构化规约语言早期的结构化模型规约语言有VDM-SL[27]、Z Notation[28,73]等.VDM包括数据类型的规约和程序结构(即模块)的规约.数据类型的规约定义具有该类型的数据以及数据上的操作,由一阶谓词逻辑描述数据的范围约束以及操作需要满足的约束.一个模块的规约说明程序变量及其类型以及一组过程或函数.过程和函数的功能约束由Floyd-Hoare逻辑来定义.VDM定义了模块的组合机制.Z-语言的Z-模式(Z-schema)可以描述数据类型和程序功能,并统一使用一阶谓词逻辑描述集合、函数和关系,故而其逻辑基础是一阶谓词逻辑和集合论.Z-语言的模块组合机制与VDM相似.VDM和Z都是以精化为核心的规约语言,支持软件从需求规约到代码规约的自顶向下的瀑布开发过程模型.由于一阶逻辑包含在规约语言中,所以可以描述模型规约需满足的性质.如果规约蕴含该性质,则该归约满足此性质.因此,VDM和Z也支持包含分析验证的V型开发过程模型.为了提供面向对象的软件规约和精化,VDM扩展到VDM++[74],Z扩展为Object-Z[75].在VDM和Z的基础和思想的影响下,为了处理交互的分布式软件和基于服务的系统,在类似基于数据状态的VDM和Z的静态规约语言中引进了事件和状态迁移行为,发展了一系列的规约语言,包括B[76]、Event-B[29]、Alloy[77]、JML[78]和rCOS[34]等,这些规约语言都有明显的软件结构描述,其中,JML和rCOS直接使用了现代高级程序语言的结构机制表示软件架构,例如面向对象的继承和基于构件的软件界面和连接器(connector).(3) 进程代数(演算)为了设计开发并发和分布式系统,出现了CCS[15]、CSP[13]、ACP[79]等进程代数(演算).CCS和CSP都最大限度地将并发通信系统的数据状态和数据计算功能抽象掉,集中描述通信和同步以及二者之间的关系,是基于事件的规约语言.CCS规约是一个CCS语法定义的表达式,语义是通过结构操作语义来定义表达式描述的通信。

DOI ： 10.7544/issnl000-1239.2021.2021018958(6) : 1234 1237, 2021计算机研究与发展Journal of Computer Research and Development一种自主设计的面向E 级高性能计算的异构融合加速器刘胜卢凯郭阳刘仲陈海燕雷元武孙海燕杨乾明陈小文陈胜刚刘必慰鲁建壮(国防科技大学计算机学院 长沙410073)(liusheng8 3 @ nudt. edu. cn)A Self-Designed Heterogeneous Accelerator for Exascale High Performance ComputingLiu Sheng , Lu Kai , Guo Yang , Liu Zhong , Chen Haiyan, Lei Yuanwu , Sun Haiyan, Yang Qianming ,Chen Xiaowen, Chen Shenggang, Liu Biwei, and Lu Jianzhuang{College of Computer Science and Technology , National University of Defense Technology , Changsha 410073)Abstract High performance computing (HPC) is one of the basic fields to promote the developmentof science and technology. Exascale HPC era, recognized as “the next crown of supercomputer", is coming. The accelerator field for exascale HPC has gradually developed into the arena of the mosthigh-end chips in the world. The international famous companies , such as AMD,NVIDIA and Intel ,have occupied this field for several years. As one of the organizations which independently designed processors in China, National University of Defense Technology (.NUDT) has always been a strongcompetitor in HPC accelerator field. This paper introduces an accelerator for exascale HPC which isself-designed by NUDT. It adopts a heterogeneous architecture with CPU and general purpose digital signal processor (GPDSP ). It has the characteristics of high performance, high efficiency and high programmability , and is expected to be the key computing chip of our new exascale supercomputersystem.Key words high performance computing (HPC ) ； accelerator ； heterogeneous architecture ； sei--designed ;highe f iciency摘 要 高性能计算(high performance computing , HPC)是推动科学技术发展的基础性领域之一，当前，作为超级计算机系统“下一个明珠”的E 级高性能计算时代已经来临.面向E 级高性能计算的加速 器领域成为了全球高端芯片的竞技场.国际上，AMD 、英伟达和英特尔公司已经占据这一领域多年.作为国内最早开始自主处理器设计的优势单位之一，国防科技大学一直以来都是高性能加速器领域强有力的竞争者.主要对国防科技大学自主设计的面向E 级高性能计算的加速器芯片进行介绍，该芯片采用了CPU+GPDSP 的异构融合架构，具备高性能、高效能和高可编程性的特点，有望成为新一代E 级超算系统的核心计算芯片.关键词 高性能计算；加速器；异构融合体系结构；自主设计；高效能中图法分类号TP33； TN47高性 能计算(high performance computing,HPC)是推动科学技术发展的基础性领域之一，被称为超级计算机的“下一个明珠”的E 级高性能计算时代已经悄然来临.面向E 级高性能计算的加速器领域逐渐发展成为全球最高端芯片的竞技场.由AMD 公司于2020年11月推出的INSTINCT TM MI100加速器的双精度峰值计算能力已经突破10TFLOPS 量级，达到11.5TFLOPS,典型功耗为收稿日期：2021—03—09 ；修回日期=2021-04-20基金项目：国家重点研发计划项目(2018YFB0204301课题1)This work was supported by the National Key Research and Development Program of China (2018YFB0204301 sub-project I).刘胜等：一种自主设计的面向E级高性能计算的异构融合加速器1235300W[1].由英伟达公司于2020年5月推出的A100 GPU[]，其可编程部分的双精度浮点峰值计算能力为9.7TFLOPS,张量核（tensor core）部分的双精度浮点峰值计算能力高达19.5TFLOPS,典型功耗为400W.根据报导，英特尔公司也将于2021年末甚至更早推出代号为Ponte Vecchio的X e HPC系列GPU,预计性能也将高达数十TFLOPS[].作为国内最早开始自主处理器设计的优势单位之一，国防科技大学一直以来都是高性能加速器领域强有力的竞争者.本文主要对国防科技大学自主设计的一款面向E级高性能计算的加速器进行介绍.该芯片采用了CPU+GPDSP的异构融合架构,兼顾高性能、高效能和高可编程性的特点，双精度浮点峰值性能可达10TFLOPS以上，典型应用情况下效能在50GFLOPS/W左右，有望成为新一代E级超算系统的核心计算芯片•1体系结构该芯片采用了异构融合架构，如图1所示.由多核CPU和4个GPDSP_Cluster五部分组成.多核CPU包含32个FT-C662CPU内核（兼容ARM指令集），每个GPDSP_Cluster包含24个自定义指令集的FT-M64DSP核.作为芯片的主控部分，多核CPU 可以访问和调用所有的资源，4个GPDSP_Cluster 相互独立.该芯片将主控部分和运算部分的互连在片内解决，从而为两者间的通信提供高数据带宽•GPDSP_Cluster从标、向量并行的64b单核结构、可扩展多核结构等方面实施了全方位、多层次并行优化，充分开发应用的指令级、数据级、任务级并Fig.1Architecture of the chip图1芯片体系结构行，并针对应用进行了指令集级别的定制，提高了典型应用的峰值运算能力和效能.每个GPDSP_Cluster 包含6个DSP节点（每个DSP节点包含4个DSP 核）.GPDSP_Cluster内包含一个全局共享存储器,提供了片上高带宽的数据传输.还包含一个HBM2转接桥和控制器，以支持片外高带宽数据传输.采用了具备高带宽、支持优先权仲裁和QoS等多个特点的多级CrossBar（CrossNet）片上网络结构，保证了数据带宽的稳定发挥.1.1GPDSP内核结构DSP内核基于自主知识产权的指令集设计.如图2所示，采用了超长指令字（very long instruction word,VLIW）技术和标向量协同融合的结构.向量部件由16个同构的VPE阵列组成，每个VPE内部包含3个乘加单元.指控单元（LIP/Fetch/Dispatch）同时向标量单兀（scalar unit）和向量单元（vector unit）派发指令，16个VPE采用SIMD的方式同时执行相同的向量指令.标量部件和向量部件各自有对应本地的局部存储器:标量存储器和阵列存储器. DSP内核拥有一个的DMA,支持灵活高效的数据传输方式（如点对点、广播、分段＞SuperGather等）以充分适应不同的应用需求•Fig.2Structure of DSP Core图2DSP内核结构图1.2存储层次为了简化存储管理硬件逻辑设计，多核CPU内部支持硬件Cache一致性（包含16MB的L2Cache）, GPDSP_Cluster支持软件管理的垂直存储一致性.面向高性能计算以及AI等应用需求,提出了一种多层次协同共享存储结构，将加速器GPDSP核内的私有存储（近80MB,峰值带宽98TB/s）、全局共享存储（共24MB,峰值带宽1.2TB/s）、HBM存储（4个HBM2,峰值带宽1.2TB/s,容量32GB）三级存储架构，通过高速DMA和片上网络连接，提供了高带宽的数据传输和核间数据交互能力.1236计算机研究与发展2021,58(6)1.3先进、灵活的PCIE4.0接口本加速器集成了2个PCIE4.0接口.每个PCIE 接口除了支持4.0规范外，还兼容3.0,2.0规范.每个接口为XI6设计，支持EP和RC模式.2软件开发环境针对异构融合架构设计并实现了一套支持异构多核的类CUDA开发调试运行环境.支持用户在同一个界面中进行多核CPU和GPDSP异构程序的调试，支持用户在同一个工程甚至在一个文件中编写CPU和GPDSP异构程序.如图3所示，该芯片软件工具链包含了异构编译器、资源管理库、异构运行时库、异构设备库等，方便用户快速开发面向典型领域的高性能应用. GPDSP编译器针对多核、超长指令字、向量等特点进行了一系列优化，具体包括标量和向量指令级并行优化、SIMD优化、循环展开和软流水优化、跳转延迟槽调度优化、寄存器分配优化、谓词优化等•Fig.3Structure of the software chain图3软件工具链结构图为了发挥加速器的计算能力和易用性，提供了面向用户核心级代码的线性汇编开发工具，能够在大幅提高核心代码效率的同时降低程序优化难度.此外还提供与结构相匹配的手工汇编优化算法库,手工汇编优化后的算法库比普通C语言实现的库函数效率能够提高一个数量级以上.目前已经完成了Linack,HPCG,CNN等算法核心算法库的开发.3算法效率评估1)双精度通用矩阵乘法(double general matrix­matrix multiplication,DGEMM)算法.采用DGEMM 算法(执行C f=A X B+C)对系统的计算效率进行评测，其中矩阵A的规模为24576X512,矩阵B的规模为512X(1152X n),矩阵C的规模为24576X(1152X n)n为矩阵规模的系数.如图4所示，DGEMM算法在系统的实测计算效率方面平均为94%.Fig.4Efficiency of DGEMM图4DGEMM算法的效率2)卷积神经网络模型算法.在加速器上实现了深度卷积神经网络模型AlexNet.表1对比了本加速器与其他5种高性能GPU⑷实现AlexNet推理的计算性能•本加速器在深度卷积神经网络推理计算方面能够达到15108帧/秒,具有较高的计算性能. Table1Comparison of Our Accelerator and Other GPUs 表1本加速器与其它GPU的性能对比处理器AlexNet推理性能/(帧-秒T) NVIDIA V1008700NVIDIA T42600NVIDIA P42600GTX1080Ti3712GTX10802285本加速器151084小结本文主要介绍了国防科技大学自主设计的面向E级高性能计算的加速器芯片.目前该芯片已经顺利流片和量产，下一步将围绕该芯片进行工具链和应用开发进行更深入的工作•作者贡献声明：卢凯（芯片架构设计）、郭阳（芯片结构设计）、刘仲（芯片算法评估）三人对本文具有同等贡献,均为通信作者•参考文献AMD.AMD INSTINCT tm MI100ACCELERATOR World'sFastest HPC GPU[OL].[2021-03-01].https://www.amd.com/system/files/documents/instinct-mil00-brochure.pdf [2]NVIDIA.NVIDIA A100TENSOR CORE GPU UNPRECEDENTED SCALE AT EVERY SCALE,The MostPowerful Compute Platform for Every Workload[OL].[2021­03-01].https:///content/dam/en-zz/Solutions/Data-Center/a100/pdf/a100-80gb-datasheet-update-nvidia-us-1521051-r2-web.pdf刘胜等：一种自主设计的面向E级高性能计算的异构融合加速器1237WIKICHIP.SC19:Aurora Supercomputer To Feature Intel First Exascale Xe GPGPU,7nm Ponte Vecchio[OL].[021­03-01].https：//fuse.wiki /news/3029/scl9-aurora-s uper compu ter-to-feature-in tel-first-exascale-xe-gpgpu-7nm-ponte-vecchio/[]DELL.INFERENCE using the NVIDIA T4[OL].[021-03­01].https：///support/kbdoc/en-iis/000143470/ inference-using-the-nvidia-t4Sun Haiyan,born in1976.Phi),associate professor.Her main research interests includecomputerarchtecture,complerand programming environment.孙海燕，1976年生.博士，副研究员.主要研究方向为计算机体系结构、编译、编程环境.Liu Sheng,born in1984.Phi),associate professor.His main research interests include processor micro architecture,chip memory system design and etc.刘胜，1984年生.博士，副研究员.主要研究方向为处理器微体系结构、芯片存储系统设计等.Yang Qianming,born in1984PhD,assistant professor.His main research interests include computer micro archtecture,chip memory system design.杨乾明，1984年生.博士，助理研究员.主要研究方向为计算机微体系结构、芯片存储系统设计.Lu Kai,born in1973.PhD.Professor.His main research interests include parallel programming,operatngsystemandsecurty.卢凯，1973年生.博士，教授.主要研究方向为并行编程技术、操作系统和安全性研究.Guo Yang,born in1971.Phi).Professor. His main research interests include VLSI and processorarchtecture.郭阳，1971年生.博士，研究员.主要研究方向为超大规模集成电路和处理器体系结构.Liu Zhong,born in1971.Phi).Professor. His main research interests include high perfor­mance computng,computer archtecture and etc.刘仲，1971年生.博士，研究员.主要研究方向为高性能计算、计算机体系结构等.Chen Haiyan,born in1967.Professor.Her main research interests include microprocessor architecture,VLSI design and etc.陈海燕，1967年生.研究员.主要研究方向为微处理器体系结构、超大规模集成电路设计等.Lei Yuanwu,born in1982.Phi),assistant professor.His main research interests include computer archtecture,mcroprocessor desgn etc.雷兀武，1982年生.博士，助理研究员.主要研究方向为计算机体系结构、微处理器设计等.Chen Xiaowen,born in1982.Phi),associate professor.His main research interests include high performance microprocessor architecture,NoC and etc.陈小文，1982年生.博士，副研究员.主要研究方向为高性能微处理器体系结构、片上网络等.Chen Shenggang,born in1981.Phi),associate professor.His main research interests include computerarchtecture,highperformancemicro-processordesign.陈胜刚，1981年生.博士，副研究员.主要研究方向为计算机体系结构、高性能微处理器设计.Liu Biwei,born in1979.Phi),associate professor.His main research interests includehigh performanceintegraton circut designandetc.刘必慰，1979年生.博士，副研究员.主要研究方向为高性能集成电路设计等.Lu Jianzhuang,born in1977.PhD,professor. His main research interests include high performance microprocessor architecture, on-chip memory,VLSI design and etc.鲁建壮，1977年生.博士，研究员.主要研究方向为高性能微处理器体系结构、片上存储、VLSI设计等.。

序号姓名证件号码面试成绩复试成绩1艾玉明612728******17081792.83151.9 2安天乐371482******08601790.01179.4 3白亮612726******07303389.84148.1 4包锐421121******05243890.21205.33 5蔡华悦342401******05941392.19201.46 6陈桂林510704******10271589.84188.4 7陈浩浩362301******26403590.01187.24 8陈娟500222******04094891.51204.9 9陈睿430822******26886391.88215.5 10陈世钊220502******29101390.67154.57 11邓志刚430811******04003291.36202.46 12方程430726******19185389.84199.9 13苟建国620422******29433591.36174.46 14郭安邦370826******01053388.88146.67 15韩丹120110******26302289.84154.54 16何敬霞410527******07102784.54172.33 17黄东兴440113******16361693.67170.42 18黄力430321******12905591.36210.62 19黄山360302******17051990.67153.27 20黄兴森460027******13851886.54160 21黄彦龙622425******20831889.17143.8 22贾孟涵421302******03041393.38141.7 23蒋轶焜420102******28281X92.51190.57 24金圣玄222401******01211289.89133.24 25金玮440802******11001292.89171.17 26李南460102******23003788.36193.71 27李乾坤412723******20731794.38198.17 28李腾飞341623******04157X88.89138.04 29李轩654001******29071291.33150.7 30李盈达130823******13561491.67203.07 31李云峰220282******21291889.38144 32李泽润320121******03005587.22203.37 33梁建兵130527******18201892.52210.79 34林玉342427******19002192.01214.4 35刘佰鑫371324******06521885.71126.9 36刘福军341227******20347387.17138.93 37刘晋宇511381******25025294.38141.23 38刘军622801******12041892.71156.67 39刘路鹏320722******11451991.39162.51 40刘谱光430503******10501192.67141.83 41刘阳421181******18005293.22160.27 42刘运韬610104******11441691.05204.37 43娄革伟410222******06351593.19149.62 44陆柏霖430481******07121292.04151.67 45罗英奇420602******28153790.83160.2 46吕宝财220283******14351291.55162.84 47闵旭511322******12817484.72139.1148潘凌翔110108******08131792.69197.46 49祁小乐610322******23031X86.52152.62 50钱师孟220102******02022190.5140.5 51邱为好430681******10931589.21181.17 52荣泽林431122******22817891.33165.53 53商子健120107******16455791.39153.84 54尚苏宁320721******11487888.38147.63 55申强强142625******01391091.55152.97 56施森林430626******09103X85.36159.29 57税潇宇650105******07001692.02209.12 58宋蕊630102******12002X91.17202.24 59孙凯旋430611******27551292.05158.67 60孙文成320321******15481190.84142.5 61汪亦奇500102******130********.93 62王宝耀371322******13583992.51156.24 63王汉文140322******27753X87.67135.8 64王昊131121******18142391.54171.67 65王婧532901******30002786.33143.77 66王然232330******27021387.02172.04 67魏自勉420984******20206391.54181.83 68吴昊520201******02283589.38135.33 69谢城510704******07153989.51144.74 70谢实明341225******20685489.21161.83 71谢湘成430521******18001594.51148.24 72谢予430203******18501884.52159.79 73熊旺362401******18153187.89197.37 74徐亦欣420704******17086986.67140.34 75杨浩铎445224******18191293.55159.14 76杨茂宇340621******09361886.89137.84 77杨洒情500230******08123488.34144.74 78杨雪豪620502******30136887.01129.82 79杨耀华371323******29211490.51197.24 80於杰421127******25173088.54206.83 81余炜610121******14002091.17158.57 82喻琳元510184******28003285.69171.29 83岳喜坤341222******09209589.21169.17 84张根500233******05697692.22164.67 85张恒321002******21401X97.19223.04 86张景景342623******18381492.01156.8 87张俊男211103******23271690.89156.67 88张若男131127******11002592.54187 89张诗情513821******19902194.05161.77 90张廷荣371522******21925589.84177.65 91张万彬360403******20031390.52171.71 92张维琦610121******04155292.17147.33 93张心言370181******19444886.55159.67 94张振宇429006******17039391.38196.67 95张智雄430703******04957092.54196.596赵东阳412722******10691X89.05198.21 97赵晟120107******05301892.52195.46 98周鹏430523******27663X90.04139.27 99周士杰420822******07521788.01161.9 100周歆星450103******16253291.38155.2 101朱博青630104******28201392.02193.87 102朱传超371481******13601490.34156.37 103朱佳平130130******05301X90.72161.44 104邹明钰430724******14005389.01146.67。

１引言段、页式存储模式是多任务操作系统常用的内存管理机制，为适应操作系统多任务切换要求，通用微处理器设计中需要支持虚拟地址寻址和物理地址寻址两种寻址方式。

执行部件发出的虚拟地址需要经过段管理部件转换后形成线性地址。

线性地址对应的页目录、页表一般存储在外部存储器中，ＣＰＵ需要两次访问外存才能查找到线性地址对应页的物理地址，这会严重降低处理器的取指或者操作数据的效率。

ＴＬＢ（ＴｒａｎｓｌａｔｅＬｏｏｋ－ａｓｉｄｅＢｕｆｆｅｒ）是加速线性地址向物理地址转换的缓冲器，即缓存最近使用过的页的物理地址。

使用线性地址和ＴＬＢ中的存储项进行比较，如果有相同行，则不需要访问外存，而直接获得目标页的物理地址，可以大大提高地址转换速度。

由于微处理器大部分的指令、数据操作地址均需进行地址转换，ＴＬＢ的工作速度会直接影响到整个ＣＰＵ的性能。

为此本文根据ＪＸ微处理器的研制要求，设计了一种高速ＴＬＢ结构，并且全定制设计了存储阵列、敏感放大等关键电路单元。

仿真结果和应用于ＪＸ微处理器流片测试结果表明，采用此种ＴＬＢ结构，能够显著提高ＣＰＵ的执行效率。

２高速ＴＬＢ的结构设计设计的ＴＬＢ由ＣＡＭ存储阵列、敏感放大和命中逻辑、ＳＲＡＭ存储阵列以及替换策略逻辑构成，结构如图１所示。

ＣＡＭ存储阵列存储了需要进行地址转化的３２项线性地址，以及行有效位。

敏感放大和命中逻辑对ＣＡＭ比较输出信号进行放大调理形成ＳＲＡＭ输出选择信号和命中信号。

ＳＲＡＭ存储阵列保存了３２项物理地址和页属性位，每行物理地址对应于ＣＡＭ中同行的线性地址，页属性位包括页大小、页ＣＡＣＨＥ使能、奇偶校验位等。

替换策略采用了伪ＬＲＵ方法实现，使用３２个一位计数器，近期使用过则置１否则为０，替换为０的最低行，全访问后则自动清除所有计数器至初始态。

当ＴＬＢ收到线性地址后，即和ＣＡＭ体内的３２个数据项进行比较，形成３２位的命中信号Ｒ，只有命中行为１。

使用此Ｒ基金项目：国家自然科学基金（ｔｈｅＮａｔｉｏｎａｌＮａｔｕｒａｌＳｃｉｅｎｃｅＦｏｕｎｄａｔｉｏｎｏｆＣｈｉｎａｕｎｄｅｒＧｒａｎｔＮｏ．６０４７３０７９）。

高可信软件工程技术陈火旺,王 戟,董 威(国防科技大学计算机学院,湖南长沙410073)摘 要: 随着软件在信息社会中发挥日益重要的作用,人们对软件可靠性、可靠安全性和保密安全性等可信性质的要求也愈来愈高.本文讨论了高可信软件工程技术的现状和面临的主要挑战,给出了基于形式化方法的高可信软件技术的发展趋势和突破点.关键词: 软件工程;软件可信性;软件保证中图分类号: TP311 文献标识码: A 文章编号: 0372 2112(2003)12A 1933 06High Confidence Software Engineering TechnologiesC HE N Huo wang,W ANG Ji,Dong Wei(Sc hool o f Compute r ,National U nive rsity o f De fense Technology ,Changsha ,Hunan 410073,China )Abstract: As the software plays more and more important roles in today s information society,the software reliabitity,safety and security are strongly req uired.The state of art of its engineering technologies for this hi gh confidence software and the challenges it faced are descirbed in this paper.Based on the formal methods,this confidence software developi ng trends and its key technical points are also discussed.Key words: software engineering;high confidence soft ware;software assurance(上接封二)科研通信基于小波压缩域的统计纹理特征提取方法李晓华,沈兰荪(2123) 基于星载电子侦察与成像侦察的数据融合技术王 壮,樊 昀,王 成,康少单,孙兆林,胡卫东,郁文贤(2127) 基于指纹特征数字水印算法的身份认证技术研究张毅刚,焦玉华,牛夏牧,俞龙江(2131) 运用遗传算法综合稀疏阵列王玲玲,方大纲(2135) 基于免疫算法的E 面波导分支耦合器优化技术许 殿,史小卫(2139) 并行共形FDTD 算法及其在PBG 结构仿真中的应用张 玉,宋 健,梁昌洪(2142) 任意平面阵列的干扰抑制李 平,史小卫(2145) 高动态扩频信号的载波跟踪技术研究程乃平,任宇飞,吕金飞(2147) 特定领域软件框架的提取方法研究吴毅坚,赵文耘(2151) 一种模型选择优化准则及其在高光谱图像非监督分类中的应用吴 昊,郁文贤,匡纲要,李智勇(2154) 基于协方差控制的集中式传感器分配算法研究周文辉,胡卫东,余安喜,郁文贤(2158) 基于Beta Prime 统计模型和QGD 分类器的SAR 图像地物分类方法付 琨,孙真真,吴一戎(2163) 一类可由基本模型嵌套组成的工作流系统的性能分析方法田立勤,林 闯(2167) FKAOS:一种面向Agent 需求工程方法刘宗田,邵 ,孙志勇,刘 炜(2171) 混合维空间遮蔽关系的表示与推理王生生,刘大有(2175) 一种可变测试集的协议一致性测试方法吕欣岩,赵保华,屈玉贵(2179) 编队飞行InSAR 的平地效应与地形高度效应分析唐 智,李景文(2183) 基于IP 突发信源模型数据包的定量计算研究刘晏兵,孙世新,唐 红(2187) 可行方向算法与模拟退火结合的NMF 特征提取方法陈卫刚,戚飞虎(2190) 多级弯曲磁微梁执行器力 磁耦合宏模型方玉明,黄庆安,李伟华(2194) 自主机器人视觉与行为模型及避障研究梁 冰,洪炳,曙 光(2197) 4H SiC npn BJ T 特性研究龚 欣,张进城,郝 跃,张晓菊(2201) 多天线系统的广义谐振研究李 龙,梁昌洪,史 琰(2205) 一种对光照变化鲁棒性的彩色目标检测方法曙 光,洪炳,梁 冰(2210) X 波段ME MS 膜开关的阻抗分析模型郑惟彬,黄庆安,廖小平,李拂晓(2213)收稿日期:2003 09 30;修回日期:2003 12 10基金项目:国家自然科学基金项目(No.90104007,No.60233020,No.60303013);国家863项目(No.2001AA113202);霍英东青年教师基金(No.71064)第12A 期2003年12月电 子 学 报ACTA ELECTRONICA SINICA Vol.31 No.12ADec. 20031 引言随着计算机应用的不断发展,软件已渗透到国民经济和国防建设的各个领域,在信息社会中发挥着至关重要的作用.一方面,软件为人们提供了新的生活和工作方式,软件成为信息基础设施.例如网上银行、电子商务等,离开了软件,这些应用恐怕不会出现.另一方面,软件不仅在逐步地代替传统硬件和物理设备,而且在系统中承担了集成的作用.高技术产品往往是软件密集型系统,小到日常使用的手机,大到联接全球的Internet应用,软件成为人们生活的一部分.相应地,人们也越来越依赖软件.然而,软件的生产现状不能令人满意.著名的Chaos报告[1]对美国8380个软件项目的统计,仅有16%的项目按时按预算完成,有53%的软件项目超时超预算,其余31%的项目被取消.与此同时,软件质量不能令人满意.软件常常发生失效,并对人们的工作生活带来不利的影响,甚至造成巨大的损失.例如,软件失效导致1996年6月欧洲Ariane 五型火箭首发失败[2].因此,人们对软件的正确性、可靠性、可靠安全性和保密安全性等可信性质给予了十分的关注,如何在软件的开发和运行中保证软件具有高可信性质也成为软件理论和技术的重要研究方向.软件技术指软件开发、运行和维护的技术,其形态可以是概念、过程、方法、算法、工具或环境.软件技术可分为三种不同类型.第一类是软件系统技术,指在软件系统运行中直接使用的软件技术.这类软件技术与具体运行的软件系统类型密切相关,例如操作系统技术、中间件技术等.第二类是软件开发和维护技术,指在软件系统开发和维护中使用的软件技术.这类技术通常与软件生命周期相关.例如,软件面向对象的需求分析、设计、编码、测试技术.第三类是软件过程技术,指通过软件生产线使软件的开发和维护更有效的软件技术.因此,软件的高可信性质的获得和保证需要这三个层面上的技术支撑.例如,从软件系统运行的层面上,软件保密安全性需要操作系统的访问控制和保密安全策略的支撑;从软件系统的开发层面上,软件可靠安全性需要软件形式化规约和验证技术的支撑;从软件过程技术层面上,软件可靠性可以一种工程化的方法在软件可靠性工程中度量和跟踪.高可信软件系统要求能充分地证明或认证该软件系统提供服务时满足一些关键性质(称为高可信性质).典型的例子如核电站控制软件,其可靠安全性十分重要,需要给予充分的验证.近十年来,软件可信性研究受到了国际上广泛的重视.在美国,DARPA、NSF、NAS A、NSA、NIS T、FAA、FDA和其他DoD 机构都积极参与关于高可信软件和系统的研究开发.美国NS TC先后形成一系列报告:America in the Age of Information:A Forum[3]、Research challen ges in high confidence systems[4]、setting an i nteragency high confidence systems(HCS)research agenda[5]和Hi gh Confidence Software and Sys tems Research Needs[6].高可信软件工程技术是指获得和保证高可信软件系统关键性质的软件开发技术和过程技术.本文主要探讨高可信软件工程技术的现状和发展趋势,给出一些需要深入研究的课题.2 软件可信性质的挑战软件系统的可信性质是指该系统需要满足的关键性质;当软件一旦违背这些关键性质会造成不可容忍的损失时,称这些关键性质为高可信性质.软件可信性质常常有以下几种.可靠性(reliability)在规定的环境下、规定的时间内软件无失效运行的能力;可靠安全性(safety)软件运行不引起危险、灾难的能力;保密安全性(security)软件系统对数据和信息提供保密性、完整性、可用性、真实性保障的能力;生存性(survi vabili ty)软件在受到攻击或失效出现时连续提供服务并在规定时间内恢复所有服务的能力;容错性(fault tolerance)软件在故障(硬件、环境异常)出现时保证提供服务的能力;实时性(real ti me)软件在指定的时间内完成反应或提交输出的能力.高可信软件系统中会涉及上述性质的一个或多个.这些可信性质与软件的功能性混合在一起,使得高可信性质的获得和保证变得复杂.究其原因,软件作为人类连续的高度复杂的智力产品,其科学原理和工程规律远未得到充分的认识,从而缺乏有效地生产满足高可信软件的软件技术.事实也表明了这一点,1999年的PITAC报告指出开发可靠和安全软件的技术不足[7].高可信软件工程对目前的软件理论和技术提出了严峻的挑战,涉及到一系列科学问题.第一、软件系统的行为特征.如何定性/定量地描述软件的行为?如何建立各类复杂的软件结构和系统对应的系统行为?这是软件理论的基本问题.软件的静态语法与其动态语义的分离是造成软件行为难于描述和推理的原因.随着软件规模的增大,软件中并发、实时、分布、移动等特性的出现,这些问题的认识亟待深入.第二、软件可信性质与软件行为的关系.如何描述软件可信性质及其与软件行为的关系?我们看到,上述关于软件可信性质的描述是非形式化的抽象陈述.必须建立起性质和软件行为之间的内在联系及其严格的描述,才能在软件开发中,设计并验证所需的可信性质.第三、面向软件可信性质的设计和推理.如何将软件可信性质(通常非操作性的)融入软件设计(操作性)?可信性质通常是软件系统的全局约束,伴随着软件开发过程逐步地!设计∀出来,最终获得这些可信性质.如何针对可信性质发现一种分而治之的策略从而控制复杂性,是进行面向可信性质的软件设计和验证的关键.第四、软件系统的可信性质的确认.如何发现和评估软件系统是否具有可信性质?量化是一种工程科学成熟的重要标志,需要对软件可信性质有合适的度量方法,并能在软件过程1934 电 子 学 报2003年中进行跟踪.3 高可信软件工程技术现状高可信软件系统在很大程度上不会因为系统中存在的错误、环境的异常或恶意的攻击而导致系统的失效.这要求系统的行为在软件开发时就能得到准确的把握,即系统的行为是可预计的.这就与软件理论和形式化方法发生了自然和本质化的联系.3 1 高可信软件理论人们对程序理论开展了长期的研究.早期的成果有Hoare 的顺序程序的公理化理论[8],它通过前后置断言给出了顺序程序的部分正确性和完全正确性的形式推理系统.顺序计算语义理论的主要思想是把程序模型视作是输入输出映射.当并发程序计算出现后,程序模型的重点转向系统间的交互及其随时间变化的激励/响应模式,形成了CSP[9]、CCS[10]、I/O 自动机[11]、标记变迁系统及程序的时序语义[12]等模型.相应地,在实时计算出现后,一个重要的方向是对上述并发模型进行实时扩充,例如时间自动机[13].在这些程序理论中,可以通过定理证明或模型检验的方式验证系统的一些并发性质(例如,安全性和活性),也可以验证系统间的行为关系(例如,互模拟).近年来,嵌入式应用的发展,推动了关于混合了离散计算和连续计算的混合系统程序理论的研究,并发模型中加入连续计算成分,例如混合自动机[14].移动应用推动了程序理论关于移动演算的进展.然而复杂应用的高可信软件的程序理论远未获得共识.传统工程技术往往能在进行产品生产之前,通过建立模型进行演算、测试和验证,从而保证产品生产出来后具有期望的性质.软件工程与传统工程技术相比,目前尚不具备类似的理论基础.综观已有的程序理论,多数集中在面向程序正确性,或者若干理论拼接,不足以作为软件可信性质的统一基础.这在技术层面上体现在两个方面.一方面,对于单个的可信性质,分析、设计和保证该性质的技术常常是分离的,存在语义的沟壑.例如,对反应式系统的可靠安全性,有失效模式和影响分析技术、容错计算、调度、形式化验证等技术,但这些技术仍是各自分离的,没有形成一个集成技术框架.另一方面,对多个可信性质,这些性质之间对设计决策会造成冲突,例如,容错性质往往会影响到实时性.目前的程序理论未能作为指导性质的融合、折衷的基础.3 2 软件形式化方法形式化方法的重要目标是以一种严格的工程方法进行软件的开发,它作为一种思想、方法、技术渗透到软件开发的各个活动中.其理论基础是数学化的程序理论.因此程序理论的发展和不足直接影响了形式化方法在工程中的应用.形式化方法是关于在计算系统的开发中进行严格推理的理论、技术和工具,它主要包括形式化规约技术和形式化验证技术[15].统计表明,传统的非形式化的软件工程技术对软件质量的保证具有一个难以逾越的顶点,而形式化方法的实践证明形式化方法是提高软件质量的重要途径.在从高层规范至最终实现的过程中,选用适当的、以形式化方法为基础的工具进行辅助设计和验证,对提高安全攸关系统的可信度有很大帮助.形式化规约技术使用具有严格数学定义语法和语义的语言刻画软件系统及其性质,可以尽早发现需求和设计中的错误、不一致、歧义和不完全.顺序系统的形式化规约技术侧重于对状态空间的描述,其主要思想利用集合、关系和函数等离散结构表达系统的状态,用前后置断言表达状态的迁移,例如Z[16]、VDM[17].并发系统的形式化规约技术侧重于对系统并发特性的描述,其主要思想是用序列、树、偏序等来表达系统的行为,例如CSP、CCS、Statecharts[18]、时序逻辑[12].RAISE语言和方法[19]则综合了这两种思路.数学上的抽象和组合概念是形式化规约技术的重要基础.形式化验证是在形式化规约的基础上建立软件系统及其性质的关系,即分析系统是否具有所期望性质的过程,主要分有两种途径:模型检验和定理证明.模型检验技术是通过搜索待验证软件系统模型的有穷状态空间来检验系统的行为是否具备预期性质的一种有穷状态系统自动验证技术[20,21].在模型检验中,系统用有穷状态模型建模;其性质规约则通常是时序逻辑或模态逻辑公式,也可以用自动机语言描述;通过有效的搜索来检验有穷状态模型是否满足规约,如果不满足,它还能给出使性质公式为假的系统行为轨迹.符号化模型检验技术大大提高了可有效应用模型检验技术的系统规模,使得模型检验在工业界逐步得到应用.模型检验已经成为形式化方法中系统验证的重要途径.模型检验应用面临的主要问题是状态爆炸问题.目前的解决思路有两类,一类途径是通过发现模型的状态空间的结构特点来缓解状态空间爆炸问题,主要的方法包括符号化模型检验、对称模型检验、偏序模型检验、On the fly模型检验等;另一类途径是通过抽象和分解把复杂系统的验证转化成模型检验可以处理的问题,主要的方法包括抽象方法、组合方法等.模型检验在硬件设计和通信协议的形式化验证上获得了巨大的成功.例如,利用模型检验技术,有效地发现了多处理器cache一致性协议中的一些错误,而这些错误在传统的模拟中往往未能发现.著名的基于模型检验的并发系统自动验证工具有SMV[22]、SPIN[23]等.定理证明技术是将软件系统和性质都用逻辑方法来规约,通过基于公理和推理规则组成的形式系统,以如同数学中定理证明的方法来证明软件系统是否具备所期望的关键性质.基于定理证明的形式化验证技术可以看作是以软件系统为公理获得其性质的证明过程.主要的计算机辅助定理证明工具有PVS[24]、HOL[25]等.近年来,定理证明的自动化程度得到明显的提高.模型检验技术和定理证明技术优势互补.模型检验技术的重要优势是它的自动化程度高,并且当系统不能具备所期望的性质时,能给出相应的反例路径;而它的缺点是软件系统的状态爆炸问题使得它的扩展性受到较大制约.定理证明技术则在它能够基于无穷域上的归纳法处理无穷状态空间,然而,它在自动化程度上远远不如模型检验,而且难于在证明失败后如同模型检验技术那样提供易于理解的可读反例.形式1935第 12A 期陈火旺:高可信软件工程技术化验证技术的一个趋势是将模型检验技术和定理证明技术有机的结合起来,这在软件验证上体现出明显的生命力,例如模型证明技术[26].形式化方法的一个重要优点是能以一种严格的方式保证软件可信性,并且其中的模型检验技术为自动化软件工程提供了新的途径.20世纪90年代以来,在国际上,形式化方法已成为软件开发中重要的可信软件技术之一.3 3 软件需求分析、设计和测试技术软件的可信性问题自软件开发以来久已存在.人们在软件工程的实践中从需求分析方法、设计和测试多个方面提出了一些方法来试图从开发的角度获得和评估软件的这些性质.例如,在需求分析中软件安全性分析技术[27],在软件设计中的软件容错技术[28],在软件测试中的软件可靠性测试技术[29].软件体系结构是指一组具有共同应用背景的软件系统在结构上的共性抽象.近年来,软件体系结构与构件技术成为开发可信软件的重要途径.例如,在安全攸关软件领域中,多版本冗余结构、控制/监视结构、计算/自测试结构是典型的容错软件体系结构.针对常见应用问题的典型设计,并加以分类总结,人们提出了设计模式的概念,与软件构件技术一起形成了面向对象的软件重用技术.采用典型、成熟的设计模式和经过检验的软件构件有利于提高软件的可信性.软件构件开发技术也为高可信软件的开发提供了有益的实践.软件测试是通过执行软件来判断软件是否具备所期望的性质,是可信软件开发中一个行之有效的、必不可少的、客观地评估软件可信性的方法.在高可信软件开发中,软件测试的开销往往大于50%.现有的软件动态测试方法可分为随机测试和选择性测试两大类.以数理统计理论为基础的软件随机测试方法,根据软件在使用中输入数据空间的概率分布,随机选取测试数据.选择性测试则根据程序的内在结构和软件功能规约,有目的地选择测试数据,主要方法有控制流测试,数据流测试,功能测试,以及针对软件错误的测试等等.目前,对于可信软件,软件测试技术面临重大挑战.例如,安全攸关软件不仅要求在其环境处于正常状态时保证系统的安全性,而且要求环境处于非正常状态时也能使系统安全地进入安全状态,因而往往难以获得充分的数据来测试软件应付危险情况的能力,不能满足可靠安全性测试的需求.软件工程中分析、设计和测试技术目前仍是在工程上保障软件高可信性的主要手段,但不能满足高可信软件开发的需要.从基础上看,这些技术需要与高可信软件的程序理论结合,提高技术的形式化程度.从系统性、有效性和适用性上看,它们远未形成高可信软件开发的系统化技术体系.3 4 软件过程技术软件开发是一个复杂的过程,通过对软件过程的管理和控制是提高软件质量的不可或缺的重要手段.因此,软件过程对高可信软件开发有着重要的影响.软件过程模型的研究是90年代软件工程的热点.它是软件生命周期理论研究的继续与发展,旨在发现与总结软件开发过程的客观规律,为软件生产过程的标准化和规范化打下基础.卡内基梅隆大学软件工程研究所提出的CMM[30]根据一个软件企业的软件开发过程与生产组织结构的特点来定性地刻画其软件生产的成熟程度,并将成熟程度与所能够生产的软件规模、所能够达到的软件质量以及软件生产的开销与质量的稳定性联系起来.国际上已经开始将软件过程模型与可信软件开发联系起来.例如,面向可靠性,净室软件工程法(Cleanroom software en gineering)[31]将软件开发过程置于统计质量控制之下.它可以用于开发有可靠性认证的高质量软件.其基本点是在增量式软件周期中,将形式化方法的规约、设计和验证与可靠性认证的统计测试有效地结合起来.该方法在软件过程中将可靠性作为工程化的跟踪目标.又如,面向安全性,有软件开发过程中错误发生机制与软件质量定量预测模型(FASGEP mod el)[32].但是,无论是对于软件可信性质的度量,还是在软件过程中进行工程化的跟踪,过程控制策略和技术手段现在都很缺乏.3 5 小结David Parnas在1985年文章中,指出了国防战略系统对软件技术提出的要求以及当时软件技术水平的限制[33].经过近20年的研究,一方面,软件工程技术取得重要的进展;另一方面,在系统的高可信方面,开销依然巨大,效果不令人满意.高可信软件工程虽然在一些局部上有突破,但未形成系统的、科学的工程方法和技术.4 形式化工程方法应该说,数十年的软件工程研究和实践围绕着高可信软件的开发有了初步的成果.本节探讨以形式化方法为基础的高可信软件工程技术的发展趋势和突破点.形式化方法将对软件可信性的获得和保证有着不可替代的作用.但是,至今,形式化方法在实际的高可信软件的开发中仍不多见,基本处于实验室的试验阶段,并且,其使用者多是专家型用户.软件开发,包括高可信软件的开发,仍以非形式化软件开发方法为主流.因此,如何以一种工程化的方法研究和应用形式化方法和技术是高可信软件工程的发展方向.需要充分地研究高可信软件的程序理论,以其为基础,寻求可集成化地处理多种软件可信性质需求的方法和技术.同时,这些方法和技术应当是可扩展的,抽象和分解这两种控制软件复杂性的重要手段需要得到有力的支持.因此,要为高可信软件工程技术提供一个统一的框架,同时支持对可信性质的分而治之.在此框架下,形式化方法流派间的有机集成和互操作是一个发展方向.!轻量级∀的形式化方法将是形式化方法工程化的趋势.需要为形式化提供较强的自动化工具支持,即工具具有形式化的基础,但其使用者无须具备很强的形式化知识.工具的人机交互应是自然的、可读的、易于理解的.这关系到,把软件工程中的主流需求分析、设计和测试技术与形式化技术充分的融合.例如,近年的模型检验技术、静态分析技术、形式化测试技术的发展证明了这一点.将形式化方法和非形式化实用软件开发方法在模型驱动1936 电 子 学 报2003年。

学校代码及名称A+10001 北京大学10003 清华大学10335 浙江大学91002 国防科技大学A10006 北京航空航天大学10013 北京邮电大学10213 哈尔滨工业大学10248 上海交通大学10284 南京大学10487 华中科技大学10614 电子科技大学A-10004 北京交通大学10007 北京理工大学10145 东北大学10183 吉林大学10247 同济大学10358 中国科学技术大学10486 武汉大学10533 中南大学10698 西安交通大学10699 西北工业大学10701 西安电子科技大学91037 解放军信息工程大学B+10002 中国人民大学10005 北京工业大学10008 北京科技大学10055 南开大学10056 天津大学10141 大连理工大学10217 哈尔滨工程大学10246 复旦大学10269 华东师范大学10286 东南大学10287 南京航空航天大学10288 南京理工大学10336 杭州电子科技大学10359 合肥工业大学10384 厦门大学10422 山东大学10532 湖南大学10558 中山大学10561 华南理工大学10610 四川大学10611 重庆大学10613 西南交通大学10617 重庆邮电大学91004 陆军工程大学B10027 北京师范大学10060 天津理工大学10108 山西大学10151 大连海事大学10186 长春理工大学10214 哈尔滨理工大学10216 燕山大学10251 华东理工大学10280 上海大学10285 苏州大学10290 中国矿业大学10294 河海大学10299 江苏大学10300 南京信息工程大学10337 浙江工业大学10357 安徽大学10423 中国海洋大学10491 中国地质大学10497 武汉理工大学10559 暨南大学10590 深圳大学10635 西南大学10730 兰州大学90059 火箭军工程大学B-10009 北方工业大学10019 中国农业大学10028 首都师范大学10058 天津工业大学10079 华北电力大学10112 太原理工大学10126 内蒙古大学10143 沈阳航空航天大学10255 东华大学10293 南京邮电大学10295 江南大学10353 浙江工商大学10386 福州大学10424 山东科技大学10427 济南大学10511 华中师范大学10593 广西大学10595 桂林电子科技大学10673 云南大学10697 西北大学10746 青海师范大学10755 新疆大学11414 中国石油大学91024 空军工程大学C+10010 北京化工大学10032 北京语言大学10033 中国传媒大学10059 中国民航大学10075 河北大学10080 河北工业大学10153 沈阳建筑大学10165 辽宁师范大学10252 上海理工大学10264 上海海洋大学10292 常州大学10338 浙江理工大学10345 浙江师范大学10351 温州大学10394 福建师范大学10403 南昌大学10459 郑州大学10488 武汉科技大学10534 湖南科技大学10602 广西师范大学10621 成都信息工程大学10657 贵州大学10710 长安大学11065 青岛大学11664 西安邮电大学C10011 北京工商大学10076 河北工程大学10107 石家庄铁道大学10110 中北大学10188 东北电力大学10190 长春工业大学10270 上海师范大学10360 安徽工业大学10414 江西师范大学10456 山东财经大学10460 河南理工大学10462 郑州轻工业学院10530 湘潭大学10564 华南农业大学10700 西安理工大学10702 西安工业大学10712 西北农林科技大学11075 三峡大学11117 扬州大学11258 大连大学11845 广东工业大学C-10052 中央民族大学10144 沈阳理工大学10212 黑龙江大学10254 上海海事大学10289 江苏科技大学10385 华侨大学10405 东华理工大学10407 江西理工大学10421 江西财经大学10463 河南工业大学10475 河南大学10476 河南师范大学10490 武汉工程大学10495 武汉纺织大学10500 湖北工业大学10589 海南大学10596 桂林理工大学10615 西南石油大学10618 重庆交通大学10623 西华大学10651 西南财经大学10705 西安石油大学11232 北京信息科技大学11535 湖南工业大学。

王怀民的报告国防科技大学计算机学院网络技术与信息安全研究所所长王怀民：董事长、各位专家大家好，今天我跟大家交流的题目是网络时代软件技术的演进与变革，我想谈两个话题，第一是网络时代的计算环境究竟发生了什么样的本质性变化，有哪些特点，这样一个变化软件技术应该如何应对，是演进还是要产生变革。

我们知道我们经历了个人计算机时代的形成发展，以及体会了它的好处，在这个过程当中我们又进了网络的时代，在时代的变化过程当中我们也在思考软件应该如何适应，软件技术过去给我们带来了什么，从做软件技术的角度讲人们有不同角度的分析，在软件界大家有一种讲法，说软件是填补计算机和应用空间的技术，它填补的技术是从两个方面来做的工作。

一个是从运行环境的角度上做，一个是从开发技术的角度上来做的，大家在软件技术领域经常是这样讲。

比如产生的操作系统，操作系统能够把我们的处理器资源、内存资源，（英文）资源可以有效的管理和组织起来，同时它也提供一个比较一致的用户使用的调用模式，这是我们今天所熟悉的操作系统所发挥的作用。

更进一步人们希望有一个良好的运行支撑环境，比如说我们有了ＯＯ的环境，更进一步说我们有了人机交互，ＧＯＹ以及刚才张院长提出更加自然，按照微软的说法，微软操作系统应该说把面向机器和面向人的运行环境都很好的组合在一起，这是一个方面。

在填补空间技术空间的另一个方面，我们如何给更好的开发技术，比如我们今天用的比较广泛的是面向对象开发技术，软件工程的这样一套技术，甚至是比如说在一些小型系统当中的形式化的自动生成软件的方法，这样一些开发技术有了这两头，一头我们往上垫，一头我们开发方法使得我们能够很好的把领域的问题映射到软件开发平台上来，我们就能够比较自如的开发应用，我们说软件从业人员应该做的事，两个，如何更好的运行环境，如何更好的开发环境。

我们在学校经常有这个感觉，计算机学院应用写的不如其它学院的好，比如电子学院的好，大家觉得很悲哀，我们怎么搞的不行了，其实从另一个方面也体会到是一种成就，计算机从业人员的成就，使得更多其他专业的人能够方便使用的计算机，有了更好的开发环境，有了更好的运行环境。