SPIN安装与模型验证实验报告

实验报告

实验题目：基于SPIN的LTL模型检测课程名：形式化方法

姓名：王燕霞

学号：2141

一、SPIN概述

SPIN是由贝尔实验室形式化方法与验证小组用ANSI C开发，可以在所有UNIX 操作系统版本使用，也可以在安装了Linux、Windows95以上版本等操作系统中使用，适合于分布式并发系统，尤其是协议一致性的辅助分析检测工具。SPIN 模型检验工具的基本思想是求两种自动机所接受语言的交集，若交集为空集，则安全特性得到验证，否则输出不满足安全特性的行为迹。

SPIN可以用于以下三种基础模型中：

1）作为一个模拟器，允许快速对建立的系统模型进行随意的、引导性的或交互的仿真。

2）可以作为一个详尽的分析器，严格的证明用户提出的正确性要求是否满足（使用偏序简约进行最优化检索）。

3）用于大型系统近似性证明，用SPIN可以对大型的协议系统进行有效的正确性分析，即使这个系统覆盖了最大限度的状态空间。

二、SPIN的安装

2.1安装Cygwin

Cygwin是一个在windows平台上运行的类UNIX模拟环境，我们可以通过这个软件在windows 系统上模拟简单的unix环境。

（1）首先从官网，下载Cygwin安装包，选择64位windows系统

（2）打开软件安装包setup-x86_64.exe，界面如下：

（3）选择install from Internet，下一步

（4）选择安装路径

（5）选择模拟的Unix环境在系统中的路径

（6）选择Use Internet Explorer Proxy Setting，根据自己的网络链接状态选择

（7）选择镜像，最好是选国内的，以.cn结尾或者含有.cn的，国外镜像下载速度只有几K，所以可以不用尝试。在这里我选择的是中科大的一个镜像

(8)选择要安装的包，Cygwin默认安装的东西很少，像gcc、make、X11、tcl/TK这些都没有，需要自己勾选，可以在Search中直接输入关键字进行查找。如果一次安装没有全都装上也不要紧，可以再次运行setup.exe，然后继续安装其他的包。

（9）点击下一步，等待安装完毕。

2.2在Cygwin中安装yacc和SPIN。

（1）第一步，编译YACC

先下载用编译yacc.exe：

将byacc.tar.Z放在一个空目录yacc中，解压：gunzip *.tar.Z ; tar -xf *.tar;然后用make 编译，若有错误再用下面命令编译：gcc -o yacc *.o将yacc.exe拷贝到cygwin/bin下（或Src*目录下）

（2）第二步，编译SPIN

在SPIN官网上下载spin642.tar.gz 放在一个空目录spin中，解压：gunzip *.tar.gz; tar -xf *.tar; 转到Src*目录下cd Src*，make -f make_unix ，最后将生成的spin.exe放到cygwin/bin 下。编译好以后的截图如下：

（3）这时候运行在Cygwin命令行中输入spin就会显示spin的版本，截图如下：

2.3安装SPIN 的图形界面工具ispin

（1）安装ISPIN的前提是Cygwin支持图形界面，也就是刚才我们在安装Cygwin的时候必修安装Tcl/TK和X11，安装好以后在windows开始菜单会出现一个Cygwin-X目录，如下图所示：

（2）从SPIN官网上下载ispin.tcl放到C:\cygwin64\bin目录下，把后缀去掉，重命名为ispin。（3）打开Cygwin-X目录下的XWin Server，在命令框中输入ispin就会出现ispin的界面。

（4）遇到的问题：

在这里不知道为什么，大多数同学都没有出现ispin界面错位的问题，但是我的ispin超出了界面，影响到了正常使用。后来在ispin.tcl文件中加了一条关于字体大小的全局声明就好了，经试验对于xspin方法也是一样的。

下面的改代码前后改代码后的界面对比：

三、利用SPIN进行模型检测

3.1互斥协议的模型检测

互斥协议指的是两个进程共享一个临界区（critical），任何时间只能有一个进程占用临界区。互斥协议的Promela语言的正确表述如下：

对该模型建立如下LTL检验条件：

下面我们用SPIN对该模型进行检验，打开mutex.pml，首先进行语法检验，syntax check，得到结果如下图所示，没有语法错误，提示有没有用到的ltl公式。

然后选择verification选项卡，进行模型验证，模型验证分成三块，safety、liveness、以及LTL never claims。刚开始我们先对程序进行安全性和可活动性验证，下面截图中用的是默认勾选的选项，第一个表示死锁，进程无法执行下去，第二个表示程序的断言冲突（在mutex 这个程序中不包含断言），第三个是允许循环，就是允许只有一个进程一直处于活动状态，而另一个不动。

运行结果是没有找到反例，所以描述的模型是没有死锁的。

选择检验条件e1 ，同样也没有找到反例。说明未来存在一种情况，只有一个用户占用临界区这个断言是正确的。

同样我们也可以选择其他的检验条件。如果条件不成立的话，在选择Simulate/Replay，模拟方式选择Guide with trail，意思就是重放检验的时候得到的路径。比如，当我们检验e6时，显然这个条件是不成立的，在下面的进程运行步骤中就能看到一个使断言不成立的运行步骤。