home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / ien / ien-211 < prev    next >
Encoding:
Text File  |  1988-12-01  |  23.7 KB  |  565 lines
  1.  
  2.  
  3. Internet Experiment Note: 211
  4.  
  5.  
  6.  
  7.         PROTOCOL SPECIFICATION AND VERIFICATION WORK AT USC/ISI
  8.                              Summary Report
  9.                               August 1982
  10.  
  11.                              Carl Sunshine
  12.  
  13.  
  14.  
  15.  
  16. 1.  INTRODUCTION
  17.  
  18. For the past three years, several projects at USC/ISI, particularly the
  19. Internet Concepts Project, have been studying formal protocol
  20. specification and verification.  This work is now coming to an end, and
  21. we would like to present here a summary of results obtained.  More
  22. complete information is available in a research report [1].  A complete
  23. list of references to earlier outputs is also included here.
  24.  
  25. Section 2 presents a brief outline of the major activites undertaken
  26. and their outputs.  Sections 3-5 summarize the results obtained in each
  27. major area.  Conclusions are discussed in Section 6.
  28.  
  29. 2.  MAJOR ACTIVITIES
  30.  
  31. Our work has been divided into three major areas: survey, in-depth
  32. studies, and standards activities.
  33.  
  34. As might be expected, the work began in the survey area in 1979,
  35. building on a study (jointly sponsored by ARPA and NBS) completed while
  36. the author was still at the Rand Corp [2].  Extensions of this work
  37. resulted in two journal publications [3,4].  A later and entirely new
  38. survey was completed in 1981 [5], and again the results were widely
  39. distributed in conferences, journals, and books [6,7,8,9,10].  As part
  40. of this later survey effort, major papers in the field were selected and
  41. collected into a reprint volume, published by Artech House [11].
  42.  
  43. We have also helped to organize a number of workshops bringing together
  44. researchers in the field to discuss current state of the art, problems,
  45. and promising future directions.  The first was sponsored by ARPA in
  46. 1979 [12,13].  The next was hosted by ISI in 1980 [14].  A major effort
  47. was made to broaden participation in 1981 with a workshop sponsored by
  48. IFIP WG 6.1 and organized jointly with the British National Physical
  49. Laboratory [32].  The success of this effort has led to a series of
  50. annual IFIP workshops on this topic, organized and hosted by us in 1982
  51. with a published proceedings [15].
  52.  
  53.  
  54.  
  55.  
  56. C. Sunshine                                                     [Page 1]
  57.  
  58. IEN 211                                                      August 1982
  59.  
  60.  
  61.  
  62. We have also edited or organized several special sections on formal
  63. modeling of protocols in journals [4,16,17].
  64.  
  65. Our in-depth studies have focused on the appplication of general
  66. software engineering techniques to protocols, and particularly on
  67. experiments with automated tools for verification.  The majority of our
  68. work has been done with AFFIRM, a system based on abstract data types
  69. with axiomatic specifications developed at ISI.  Experience with several
  70. protocols and with various aspects of the methodology (safety, liveness,
  71. multi-level specifications) have been reported in technical reports
  72. [18,19,20], a conference [21], a PhD thesis [22], and a journal [18].
  73.  
  74. To test other approaches, we have worked with three other automated
  75. verification systems more recently.  These were the Ina Jo system [Ina
  76. Jo is a registered trademark of the System Development Corp.] based on
  77. abstract machine notions, the Gypsy system based on a buffer history
  78. approach, and state deltas which employ symbolic execution.  Some
  79. preliminary results in these were reported in [23,24,25], while the
  80. major results are in [26,1].
  81.  
  82. Part of our work has involved participation in standards activities in
  83. order to promote wider use of the more rigorous specification methods we
  84. and others have been developing.  This work has included development of
  85. specification standards within ISO SC 16 (for use with Open Systems
  86. protocols and services), collaboration with the System Development Corp.
  87. in their development of new IP, TCP, and Telnet protocol specifications
  88. [27,28,29], and comments on the transport protocol being developed for
  89. the National Bureau of Standards by Bolt Beranek and Newman [30,31].
  90.  
  91. 3.  SURVEY WORK
  92.  
  93. Our early work in this area focused on clarifying the meaning of
  94. specification and verification in the context of communication
  95. protocols.  This included developing the now widely accepted notion that
  96. complete protocol specifications must include separate definitions of
  97. (1) the service to be provided to the protocol's users, (2) the
  98. mechanisms used within the protocol itself to accomplish those services,
  99. and (3) the services requried from the lower layer(s) used by the
  100. protocol [2,3,4].
  101.  
  102. Ideally, the protocol itself (item 2) should be specified in an abstract
  103. fashion so that its "design" may be verified (shown to provide the
  104. desired service), while still leaving as much freedom as possible for
  105. implementation.  Of course, this means that any implementation must also
  106. be shown to properly implement the abstract design (in the more
  107. conventional program verification sense).
  108.  
  109. Protcol specification methods have traditionally developed from either a
  110. state machine or program language point of view.  State machine models
  111.  
  112.  
  113. C. Sunshine                                                     [Page 2]
  114.  
  115. IEN 211                                                      August 1982
  116.  
  117.  
  118.  
  119. view protocols as accepting inputs and producing outputs based on an
  120. explicit current state which serves to summarize the relevant previous
  121. history of the system.  These models include basic finite state automata
  122. (FSA), their extension into abstract machines (with additional state
  123. variables, not necessarily bounded), abstract data types, and graph
  124. models such as Petri nets and their extensions or the UCLA graph model.
  125.  
  126. The simpler forms of these have a variety of powerful analysis tools
  127. that are avialable such as state exploration, derivation of invariants
  128. by linear algebra, or reduction methods.  Unfortunately, they also lack
  129. the expressive power to completely model protocols of real world
  130. complexity.  The extended methods are more successful as specification
  131. tools, but make the analysis problem more difficult.
  132.  
  133. Program language models view protocols as just another kind of algorithm
  134. that may be specified using a choice of several high level programming
  135. languages.  Verification is then possible by developing appropriate
  136. assertions that reflect desired properties of the protocol, and proving
  137. them by conventional assertion proof methods.  Since protocols involve
  138. interaction among several concurrent modules, techniques that can handle
  139. parallel execution are required.
  140.  
  141. Traditional program proof methods have focused more on safety properties
  142. (only good things can happen) than liveness (good things will eventually
  143. happen).  More recent work to incorporate temporal logic into these
  144. methods facilitates the direct expression and proof of liveness
  145. properties.
  146.  
  147. A third group of methods has developed in an effort to eliminate the
  148. appearance of explicit state information in specifications, and to focus
  149. more directly on the input/output behavior of the protocol.  Formal
  150. languages and sequencing expressions are methods to specify the allowed
  151. sequences of events directly.  Of course these have well known relations
  152. to FSA that recognize or generate the same language.  Buffer or event
  153. histories are another technique used in several systems to facilitate
  154. direct expression of I/O behavior.
  155.  
  156. Of these different approaches, state machine methods seem to be most
  157. widely used due to their wider understandability and the existence of
  158. automated tools for their manipulation.  Surprisingly useful results
  159. have been obtained from the simpler models such as FSA and Petri nets,
  160. with applications to such protocols as X.25, X.21, and local net token
  161. passing documented in the literature [4,11,15].
  162.  
  163. The greater expressive power of abstract machines makes them popular for
  164. more complete or complex protocol specifications.  Such methods have
  165. been proposed within ISO, CCITT, NBS, and DoD as favored approaches to
  166. specifying their protocols.
  167.  
  168.  
  169.  
  170. C. Sunshine                                                     [Page 3]
  171.  
  172. IEN 211                                                      August 1982
  173.  
  174.  
  175.  
  176. Other methods, particularly temporal logic and sequencing expressions,
  177. are receiving much attention in the research community for their ability
  178. to remedy particular shortcomings, but are still in earlier stages of
  179. development.
  180.  
  181. 4.  IN-DEPTH STUDIES
  182.  
  183. Our in-depth studies have focused on the application of existing
  184. automated verification systems to communication protocols.  Our main
  185. goal has been to assess the current state of the art in automated
  186. verification and determine the potential for more widespread use of
  187. these techniques in protocol development.
  188.  
  189. A common set of example protocols were emplyed with each system.  These
  190. were the well-known Alternating Bit protocol (in a form including
  191. arbitrary message loss and retransmission), and the "three-way
  192. handshake" connection establishment protocol from the DARPA TCP.  The
  193. former served to test capabilites of the systems to handle "data
  194. transfer" functions, while the latter served to test "control"
  195. functions.  Since these protocols are quite mature, our results were
  196. mainly methodological, identifying strengths and shortcomings of each
  197. system, rather than uncovering protocol bugs (although we did discover
  198. an obscure error in TCP).
  199.  
  200. Our major interest throughout this work has been on design verification
  201. rather than code or implementation verification.  Hence we have
  202. attempted to develop "abstract" specifications for the services and
  203. entities of a given protocol layer, and to prove that the combined
  204. operation of the entitities plus the lower layer service has certain
  205. properties, or meets some service specification.  We have been less
  206. interested in the (more traditional) problem of verifying that a
  207. specific program or code correctly implements a protocol entity.
  208.  
  209. Affirm
  210.  
  211. Our deepest study has been of the Affirm system.  Affirm includes a
  212. specification language based on the theory of abstract data types, a
  213. verification condition (VC) generator, and an interactive theorem prover
  214. for proving properties of specifications or of programs.  There is also
  215. a library of already specified types (e.g., queues, sets) and their
  216. properties that may be used in building new types.
  217.  
  218. Thanks in part to collaboration with the Program Verification Project at
  219. ISI (developers of Affirm), our experience with Affirm has been quite
  220. successful.  We were able to model abstract machines in Affirm easily,
  221. to perform multilevel proofs (that a protocol meets its service), and to
  222. prove some other significant properties of several protocols, including
  223. progress properties and finding an obscure bug in TCP [18,19,20].
  224.  
  225.  
  226.  
  227. C. Sunshine                                                     [Page 4]
  228.  
  229. IEN 211                                                      August 1982
  230.  
  231.  
  232.  
  233. Ina Jo
  234.  
  235. The other three systems were chosen to explore some particular features,
  236. and received less attention.  Ina Jo is specifically intended to model
  237. hierarchies of abstract machines, with mappings from higher to lower
  238. layers defined.  The system also includes a specification language, a VC
  239. generator, and an interactive theorem prover.
  240.  
  241. Abstract machine type protocol specifications were very easy to write in
  242. Ina Jo, although absence of data types and sometimes cryptic syntax were
  243. shortcomings.  But the hierarchical proofs we had hoped to perform
  244. proved impossible due to limitations in Ina Jo's ability to handle
  245. nondeterministic mappings between layers (needed to model protocols with
  246. message loss).  The theorem prover was also not as convenient or
  247. flexible, especially in the handling of lemmas, driving us to carry some
  248. proofs into the Affirm system where they could be developed more easily,
  249. and then using the results to continue in Ina Jo.
  250.  
  251. Gypsy
  252.  
  253. The primary feature of Gypsy that interested us was its reliance on
  254. buffer histories rather than state transitions for specifying process
  255. behavior.  The specification language focuses on the external or
  256. input/output behavior of processes, with constructs to refer to the
  257. history of messages read and written by each process in each buffer.
  258.  
  259. Gypsy's buffer history orientation proved to be a mixed blessing.  When
  260. properties to be specified directly concerned relations between
  261. sequences of messages, Gypsy's buffer history techniques were quite
  262. powerful and convenient.  The Alternating Bit protocol falls in this
  263. category, and was essentially proved by transitivity of subsequence
  264. relationships.
  265.  
  266. For the three-way handshake, designers clearly think in terms of the
  267. state of an entity when defining its behavior, and it was difficult to
  268. construct meaningful external specifications of the entities.
  269.  
  270. Instead the proof was essentially carried out at the code level where
  271. reference to internal state variables and a conventional abstract
  272. machine could be used.  In this case, the Gypsy methodology seemed to
  273. get in the way.
  274.  
  275. State Deltas
  276.  
  277. The Concurrent State Deltas system was an outgrowth of the Microcode
  278. Verification Project at ISI and was still in an early stage of
  279. development.  The basic unit of specification is a "state delta" stating
  280. that if a certain precondition is ever met, then eventually a given
  281. postcondition will become true.  A set of CSDs for several processors is
  282.  
  283.  
  284. C. Sunshine                                                     [Page 5]
  285.  
  286. IEN 211                                                      August 1982
  287.  
  288.  
  289.  
  290. symbolically executed from a given initial state to determine whether a
  291. desired final state will necessarily be reached.
  292.  
  293. Unlike the previous proof systems that are interactive, the symbolic
  294. execution is completely automatic and requires no user aid.  In
  295. practice, however, system resources are quickly exhausted for
  296. specifications of any complexity, and the user must provide some
  297. appropriate intermediate goals to force pruning of the proof tree.  Thus
  298. proofs of the simplest cases of the three way handshake (no loss or
  299. retransmission) were easiest with CSDs since they were completed totally
  300. automatically, but it was difficult to see how to extend these to more
  301. complex cases.
  302.  
  303. The CSD system is also the only one to include specific time bounds.  In
  304. simple examples (e.g., specifying that retransmission will not occur
  305. unless no reply will arrive) time bounds effectively simplified the
  306. proof, but including the time information makes the symbolic execution
  307. more complex and hence was not always practical.  In more general
  308. protocols, such simple time constraints cannot be assumed anyway.
  309.  
  310. 5.  STANDARDS
  311.  
  312. Protocol development is now underway in many forums, and each of these
  313. must select some method for the specification of protocols being
  314. developed.  Throughout this research period we have attempted
  315. "technology transfer" by participating in several of these outside
  316. efforts.
  317.  
  318. The System Development Corp. (SDC) has been under contract to the
  319. Defense Communications Engineering Center to produce more rigorous
  320. specifications of the DARPA IP, TCP, and Telnet protocols.  We
  321. participated in the development of their specification methodology which
  322. is based on abstract machine notions [27], and helped review the
  323. application of this methodology to specific protocol and service
  324. specifications [28,29].
  325.  
  326. Bolt Beranek and Newman (BBN) has been under contract to the National
  327. Bureau of Standards (NBS) to develop a protocol specification technique
  328. and several specific protocols for Federal standards.  We participated
  329. in the review of the general methodology, and its application to the
  330. transport layer protocols and services in particular [30,31].
  331.  
  332. The International Standards Organization (ISO) SC 16 has developed the
  333. now widely known Open Systems Interconnection Architecture, and is now
  334. in the process of specifying protocols and services for the various
  335. layers.  A subgroup on Formal Definition Techniques has been in
  336. operation within WG 1 for about two years, and we have participated in
  337. their development of guidelines to be used by the other groups actually
  338. developing protocols.  These include a specification language based on
  339.  
  340.  
  341. C. Sunshine                                                     [Page 6]
  342.  
  343. IEN 211                                                      August 1982
  344.  
  345.  
  346.  
  347. abstract machine notions much like those in use by BBN, SDC, and others.
  348. The linear form has Pascal language syntax in many places, while a
  349. graphical form based on the CCITT SDL language is likely to be adopted.
  350.  
  351. 6.  CONCLUSIONS
  352.  
  353. In the area of specification, it is clear that abstract machine models
  354. are realtively mature, and are in wide use by more ambitious
  355. specification projects.  In addition to their benefit in simply defining
  356. a protocol, there are also a number of automated tools that can check
  357. for correct syntax, completeness, and partially validate the
  358. interactions of such specifications, and produce partial
  359. implementations.  This technology appears to be ready for more
  360. widespread use, and indeed has already been applied in the work on DoD
  361. protocol standards mentioned above.
  362.  
  363. Shortcomings of abstract machine methods in the areas of insufficient
  364. abstraction and handling progress as well as safety are being tackled by
  365. several methods that are in earlier stages of development, such as
  366. sequencing expressions and temporal logic.  We expect this work will
  367. have to continue for several years before the results are ready for more
  368. widespread use.
  369.  
  370. In the area of verification, based on our experiments with four systems,
  371. we can report that none of the systems has all the features desired, and
  372. none of them is ready for routine and/or mechanical application to
  373. real-world protocols.  Affirm was by far the more polished system, but
  374. even there the proof process remained very tedious.
  375.  
  376. Surprisingly (to us at least), the major contribution of automated
  377. verification systems does NOT seem to be in reducing the amount of human
  378. ingenuity required to accomplish a proof.  Rather, they do seem to
  379. increase the certainty of correctness.  If the user has the ingenuity to
  380. formulate the problem in a tractable fashion, and the stamina to follow
  381. through all the tedium, the formally verified conclusion does seem to be
  382. far more reliably correct than with hand proofs.
  383.  
  384. Beyond user interfaces and robustness, which certainly need attention in
  385. all but Affirm, each system is lacking some key abilities such as
  386. composition of independent modules, handling progress properties,
  387. redoing portions of proofs, supporting hierarchical verification, or
  388. more automatic proof discovery.  Several years' work and a second
  389. generation of verification systems incorporating the best features of
  390. all will be necessary before formal verification of realistic protocols
  391. can be accomplished by other than expert researchers with very large
  392. investments of time.
  393.  
  394.  
  395.  
  396.  
  397. C. Sunshine                                                     [Page 7]
  398.  
  399. IEN 211                                                      August 1982
  400.  
  401.  
  402.  
  403. REFERENCES
  404.  
  405. [1] Sunshine, C., "Automated Protocol Verification", USC Information
  406. Sciences Inst., Research Report, September 1982.
  407.  
  408. [2] Sunshine, C., "Formal Methods for Communciation Protocol Specifica-
  409. tion and Verification," Rand Corp., N-1429-ARPA/NBS, November 1979.
  410.  
  411. [3] Sunshine, Carl A., "Formal Techniques for Protocol Specification and
  412. Verification", Computer 12, 9, September 1979.
  413.  
  414. [4] Bochmann, G., and C. Sunshine, "Formal Methods in Communication
  415. Protocol Design", IEEE Trans. on Communication, COM-28, 4, April 1980.
  416.  
  417. [5] Sunshine, C., "Formal Modeling of Communication Protocols", USC
  418. Information Sciences Inst., RR-81-89, March 1981.
  419.  
  420. [6] Sunshine, C., "Formal Modeling of Communication Protocols", in
  421. Proc. Conference on Communication in Distributed Data Processing
  422. Systems, Technical University Berlin, January 1981.
  423.  
  424. [7] Sunshine, C., "Formal Protocol Specification", State of the Art
  425. Report on Network Architectures, C. Solomonides, editor, Pergamon
  426. Infotech, 1982.
  427.  
  428. [8] Sunshine, C., "Local Network Protocols", Proceedings of the Local
  429. Networks and Distributed Office Systems Conference, London, England,
  430. Online Conferences Ltd., May 1981.
  431.  
  432. [9] Sunshine, C., "Protocol Verification", talk presented at Nordic
  433. Universities Networking Conference (Nordunet), Copenhagen, Denmark,
  434. June 1981.
  435.  
  436. [10] Sunshine, C., Formal Modeling of Communication Protocols", Computer
  437. Networks and Simulation II, S. Schoemaker, editor, North-Holland
  438. Publishing, September 1982.
  439.  
  440. [11] Sunshine, C., editor, "Communication Protocol Modeling", Artech
  441. House, Dedham, Massachusetts, 1981.
  442.  
  443. [12] Sunshine, C., "The Meaning of Protocol Specification and
  444. Verification", ARPA Protocol Verification Workshop, March 1979.
  445.  
  446. [13] Postel, J., "Issues in Protocol Verification", ARPA Protocol
  447. Verification Workshop, March 1979.
  448.  
  449. [14] Sunshine, C., "Problem Areas in Protocol Specification and
  450. Verification", ISI Internal Memo, July 1980.
  451.  
  452.  
  453. C. Sunshine                                                     [Page 8]
  454.  
  455. IEN 211                                                      August 1982
  456.  
  457.  
  458.  
  459. [15] Sunshine, C., editor, Proc. 2nd Int. Workshop on Protocol Specifi-
  460. cation, Testing, and Verification, North-Holland Publishing, May 1982.
  461.  
  462. [16]  Sunshine, C., editor, special issue on Protocol Specification,
  463. Testing, and Verification, to appear in Computer Networks, early 1983.
  464.  
  465. [17] Sunshine, C., editor, special issue on Protocol Specification,
  466. Testing, and Verification, to appear in IEEE Trans. on Communications,
  467. December 1982.
  468.  
  469. [18] Thompson, D., C. Sunshine, R. Erickson, S. Gerhart, D. Schwabe,
  470. "Specification and Verification of Communication Protocols in AFFIRM
  471. Using State Transition Models", USC Information Sciences Institute,
  472. RR-81-88, March 1981.  Also to appear in IEEE Transactions on Software
  473. Engneering, September 1982.
  474.  
  475. [19] Schwabe, D., "Formal Specification and Verification of a
  476. Connection-Establishment Protocol", USC Information Sciences Institute,
  477. RR-81-91, April 1981.
  478.  
  479. [20] Berthomieu, B., "Algebraic Specification of Communication
  480. Protocols", USC Information Sciences Institute, RR-81-98, December 1981.
  481.  
  482. [21] Schwabe, D., "Formal Specification and Verification of a Connection
  483. Establishment Protocol", Proc. 7th Data Communications Symp., Mexico
  484. City, Mexico, IEEE, October 1981.
  485.  
  486. [22] Schwabe, D., Formal Techniques for the Specification and
  487. Verification of Protocols, Report No. CSD-810401, UCLA, (PhD Thesis),
  488. April 1981.
  489.  
  490. [23] Sunshine, C., "The Restaurant Example Revisited," USC Information
  491. Sciences Institute, Affirm Memo 52, September 1981.
  492.  
  493. [24] Sunshine, C., "Experience with Four Automated Verification
  494. Systems", Proc. 2nd Int. Workshop on Protocol Specification, Testing,
  495. and Verification, C. Sunshine, editor, North-Holland Publishing,
  496. May 1982.
  497.  
  498. [25] Overman, W., and S. Crocker, "Verification of Concurrent Systems:
  499. Function and Timing", Proc. 2nd Int. Workshop on Protocol Specification,
  500. Testing, and Verification, C. Sunshine, editor, North-Holland
  501. Publishing, May 1982.
  502.  
  503. [26] Overman, W., "Verification of Concurrent Systems: Function and
  504. Timing", PhD thesis, UCLA, 1981.
  505.  
  506.  
  507. C. Sunshine                                                     [Page 9]
  508.  
  509. IEN 211                                                      August 1982
  510.  
  511.  
  512.  
  513. [27] Simon, G.A., "DCEC Protocols Standardization Program/ Protocol
  514. Specification Report," System Development Corp., TM-7038/204/00,
  515. July 1981.
  516.  
  517. [28] Bernstein, M., "DCEC Protocols Standardization Program: Proposed
  518. DoD Internet Protocol Standard", Systems Development Corp.,
  519. TM-7038/205/01, December 1981.
  520.  
  521. [29] Bernstein, M., "DCEC Protocols Standardization Program: Proposed
  522. DoD Transmission Control Protocol Standard", Systems Development Corp.,
  523. TM-7038/207/01, December 1981.
  524.  
  525. [30] Sunshine, C., "Comments on the NBS Transport Protocol Proposal",
  526. USC Information Sciences Inst., IEN-195, August 1981.
  527.  
  528. [31] Sunshine, C., "Comments on 'Formal Service Specification of the
  529. Transport Protocol Services'" (April 1982 draft by Bolt Beranek and
  530. Newman for the National Bureau of Standards), USC/ISI memo, June 1982.
  531.  
  532. [32] Sunshine, C., "Protocol Workshop Report", Computer Communication
  533. Review, Special Interest Group on Data Communication, ACM, July#1981.
  534. Also in Computer Networks, V.5, N.4, July 1981.
  535.  
  536.  
  537.  
  538.  
  539.  
  540.  
  541.  
  542.  
  543.  
  544.  
  545.  
  546.  
  547.  
  548.  
  549.  
  550.  
  551.  
  552.  
  553.  
  554.  
  555.  
  556.  
  557.  
  558.  
  559.  
  560.  
  561.  
  562.  
  563.  
  564. C. Sunshine                                                    [Page 10]
  565.