形状图理论的定理证明

资源描述

《形状图理论的定理证明》由会员分享，可在线阅读，更多相关《形状图理论的定理证明（21页珍藏版）》请在金锄头文库上搜索。

1、书书书第卷第期年月计算机学报收稿日期：；在线出版日期：本课题得到国家“八六三”高技术研究发展计划项目基金（）、国家自然科学基金（，）资助张昱，女，生，博士，副教授，中国计算机学会（）高级会员，主要研究方向为程序设计语言的理论和实现技术、程序验证、确定性并行编程模型与运行时系统：陈意云，男，年生，教授，博士生导师，中国计算机学会（）高级会员，主要研究领

2、域为程序设计语言的理论和实现技术、程序验证、软件安全等李兆鹏，男，年生，博士，副研究员，中国计算机学会（）会员，主要研究方向为程序语言、程序验证、出具证明的编译器、自动定理证明形状图理论的定理证明张昱陈意云李兆鹏（中国科学技术大学计算机科学与技术学院合肥）（中国科学技术大学苏州研究院软件安全实验室江苏苏州）摘要验证操作易变数据结构的指针

3、程序仍面临很多挑战数据结构中严重的指针别名显著地复杂化对操作这些结构的程序的推理为分析和验证操作易变数据结构的指针程序，文中提出了形状图逻辑形状图是描述程序中静态声明的堆指针变量和动态分配的结构体中指针域变量的指向的一种有向图，能准确表达指针的有效性和指针之间的相等性，可用于判断两个访问表达式是否是别名形状图逻辑

4、是逻辑的一种扩展，是一种直接将形状图作为程序中指针断言集的程序逻辑该文研究形状图的等价理论和蕴含理论以及它们的判定方法和应用首先，把形状图及其等价规则和蕴含规则分别类比为代数项及其等式规则和重写规则，像研究代数规范的理论那样来研究形状图理论该文定义了形状图的语法理论和语义理论，定义了形状图重写系统及其终止性、局部

5、合流性和合流性，然后得到基于形状图重写的形状图等价判定和蕴含判定的方法其次，提出循环不变形状图和递归函数前后形状图的自动推断方法借助形状图理论的判定方法，该文把一个基于抽象解释的推断循环不变式的一般方法改编成推断循环不变形状图的方法由于计算终止的递归函数总有非递归的出口，可以先通过非递归路径得到函数的后形状图的初值

6、，然后再在递归路径上迭代求解从而，可以像推断循环不变形状图那样来推断递归函数的前后形状图第三，参照框架，提出形状图理论和整数理论组合的一种判定方法对易变数据结构，除了关心数据结构各节点是否连成预定的形状外，往往还关心数据在这些节点间的排列等特性，它们不能脱离易变数据结构的形状特征而单独验证为此，所提出的组合判定方法针对这

7、类程序的验证条件的特点，利用程序分析阶段得到的形状图对验证条件的前件中的符号断言按形状图的节点分组；然后运用整数理论为各节点推导出尽可能多的性质；最后才交由定理证明器去自动验证这种方式有效地避免验证条件证明过程的不终止基于形状图逻辑以及文中的工作，我们所开发的程序验证系统原型减轻了自动定理证明器的负担，并且能验证易

8、变数据结构上较为复杂的程序，如有序循环双向链表、二叉排序树、伸展树、树堆、二叉平衡树和树的插入和删除函数关键词形状图逻辑；形状分析；程序验证；自动定理证明；循环不变式的推断中图法分类号犇犗犐号犜犺犲狅狉犲犿犘狉狅狏犻狀犵犳狅狉犪犜犺犲狅狉狔狅犳犛犺犪狆犲犌狉犪狆犺狊（犛犮犺狅狅犾狅犳犆狅犿狆狌狋犲狉犛犮犻犲狀犮犲犪狀犱犜犲犮犺

9、狀狅犾狅犵狔，犝狀犻狏犲狉狊犻狋狔狅犳犛犮犻犲狀犮犲犪狀犱犜犲犮犺狀狅犾狅犵狔狅犳犆犺犻狀犪，犎犲犳犲犻）（犛狅犳狋狑犪狉犲犛犲犮狌狉犻狋狔犔犪犫狅狉犪狋狅狉狔，犛狌狕犺狅狌犐狀狊狋犻狋狌狋犲犳狅狉犃犱狏犪狀犮犲犱犛狋狌犱狔，犝狀犻狏犲狉狊犻狋狔狅犳犛犮犻犲狀犮犲犪狀犱犜犲犮犺狀狅犾狅犵狔狅犳犆犺犻狀犪，犛狌狕犺狅狌，犑犻犪狀犵狊狌）犃犫

10、狊狋狉犪犮狋，，，，，，，，，，，，，，，，，，，，，，，；；，，，，，，，犓犲狔狑狅狉犱狊；；；；引言形式验证（包括抽象解释、模型检测和演绎验证等途径）是提高软件可信程度的重要方法，并在工业界已经逐步得到应用，尤其是抽象解释和模型检测例如，空客公司在军用运输机以及和客机的开发上，已经用形式验证取代了部分安全攸关嵌入式软件

11、的测试和单元测试相比，单元证明降低了投入，主要是因为它方便了维护演绎验证在工业界的应用虽有限但也在拓展，达索航空公司在健壮性的形式验证方面，已有约的断言是用演绎验证方式证明的在演绎验证方法中，有关自动程序验证的大部分研究按这样的途径开展：程序员提供函数前后条件和循环不变式，系统对程序采用某种正向或逆向期张昱等：形状图理论的定

12、理证明的演算来产生验证条件（即把对程序满足某些性质的证明转化为对一些验证条件的证明），然后用自动定理证明器来证明验证条件，如、和有些研究依靠符号计算及其过程中的定理证明来避免验证条件的生成，如和无论用哪种策略，演绎验证方法都使用严谨的方式对软件系统进行数学推理，并且都借助定理证明软件，如定理证明器、定理证明辅助工具、（）求

13、解器基于演绎推理的自动形式验证方法对自动定理证明器的能力有较高期待首先，定理证明器在程序验证过程中频繁使用大到验证条件的证明和循环不变式的推断，小到下标变量的别名判断和数组边界检查，都需要或可以使用定理证明器其次，需要能够应对各种领域专用逻辑的定理证明应用程序的代码中可能涉及多种数据类型，操作系统的代码依赖于硬件特性，为

14、完成对这些程序的验证，需要定理证明器能够覆盖这些领域专用逻辑的定理证明第三，需要定理证明器能处理各种理论的组合例如面向数组类型的数组逻辑，它由下标逻辑和元素逻辑组成对于操作数组的程序的验证，定理证明器要能证明这两种逻辑的相应理论（可能还包括等式理论和未解释函数理论）组合后形成的组合理论上的定理组合理论的问题复杂性在于：即使

15、两个理论分别可判定，其组合理论未必可判定数组理论就是这样的例子本文研究操作易变数据结构（包括单双向链表、循环单双向链表和二叉链表示的二叉树）的指针程序的自动验证中的一些定理证明问题这类程序的验证非常困难首先，难以给出表达程序性质的函数前后条件，尤其是循环不变式因为它们涉及所操作的数据结构的结构性质（常使用带量词的命题和可达性谓词

16、来表达）以及在数据结构中各节点内的数据的性质，而后者的描述可能紧密依赖于数据结构的结构性质，例如平衡二叉树节点的平衡因子和树节点的值其次，难以证明这类程序的验证条件，因为在验证条件中经常出现对数据结构所有节点的某种全称量化这导致不能使用像框架这样仅适用于无量词理论的传统的理论组合虽然通过使用匹配技术能够处理量化公式，但也

17、难以适应复杂的量化公式除了要用量词刻画性质以及涉及的理论组合之外，验证条件的证明可能还要用到数据结构的归纳理论例如，对于用根节点的中序前驱（其左子树中最右下的节点）代替根节点的、删除二叉排序树根节点的函数，若要证明结果仍然是二叉排序树，则需要用到二叉排序树的两个性质：左子树中任何节点的值一定小于右子树中各节点的值，左子树中最右

18、下节点的值大于左子树中其他节点的任何值它们都是二叉排序树的归纳性质，但是基于演绎推理的自动定理证明器不可能从二叉排序树的归纳定义推导出这些性质，因而无法证明依赖这些性质的验证条件为验证操作易变数据结构的指针程序，我们提出了形状图逻辑形状图是描述程序所操作的静态声明的指针型变量（简称声明指针）和动态分配的结构体中指针型域

19、变量（简称域指针）的指向的一种有向图它准确表达了指针的有效性（指针有效是说该指针指向已分配且尚未释放的内存块）和指针的相等性，因而可作为指针程序中指针有效性和相等性的断言形状图逻辑就是一种直接把形状图作为程序中指针断言集的程序逻辑它是逻辑的一种扩展，为指针操作语句设计了专门的推理规则，这些规则用图形方式描述指针操作语句引

20、起的形状图上被关注部分的变化利用形状图还可以方便地消除访问路径别名，使易变数据结构上数据性质的验证仍可用逻辑的规则进行推理本文补足文献所缺少的部分理论和算法文献主要围绕程序逻辑层面，提出把形状图作为指针断言，并在此基础上设计了推理指针程序的形状图逻辑和检查形状合法性的形状系统本文围绕作为指针断言的形状图，研究形状图的

21、等价理论和蕴涵理论以及它们的判定方法和应用本文的贡献有如下点：（）提出形状图理论的一种判定方法本文把形状图及其等价规则和蕴涵规则分别类比为代数项及其等式规则和重写规则，像研究代数规范的理论那样来研究形状图理论本文类似地定义形状图的语法理论和语义理论，定义形状图重写系统及其终止性、局部合流性和合流性，最后得到基于形状图重写的

22、形状图等价判定和蕴涵判定的方法（）提出循环不变形状图和递归函数前后形状计算机学报年（），：本文用“单双向链表”表示非循环的单双向链表，用“ （循环）单双向链表”表示循环和或非循环的单双向链表图的自动推断算法借助形状图理论的判定方法，本文把一个通过迭代推断循环不变式的一般方法改编成一个推断循环不变形状图的方法；进一步设计该方法的一个变

23、种来迭代推断递归函数的前后形状图（）提出形状图理论和整数理论组合的一种判定方法对易变数据结构，除了关心数据结构各节点是否连成预定的形状外，往往还关心数据在这些节点间的排列特性，它们不能脱离易变数据结构的结构特点而单独验证于是需要研究形状图理论和整数上线性算术理论（假定节点数据是整型）组合的判定问题本文针对验证条件的特点，利

24、用程序分析阶段得到的形状图，参照框架，提出形状图理论和整数上线性算术理论组合的一种判定方法本文第节简要回顾文献提出的形状图、形状图变换规则和形状图逻辑；第节介绍形状图理论的判定方法；第节介绍循环不变形状图的推断和递归函数前后形状图的推断；第节介绍形状图理论和整数理论组合的判定方法；第节是验证实例；第节是和相关研究工作的比较；第节是

25、总结形状图和形状图逻辑形状图形状图是描述程序中静态声明指针和动态分配的结构体中域指针的指向关系的一种有向图形状图的顶点（也称节点）有种，其图形化语法形式见图其中声明节点和结构节点分别表示静态声明指针和动态分配的结构体节点和悬空节点的用意稍后会提到图形状图的各种节点浓缩节点是若干个结构节点和它们之间的有向边的浓缩表示，

26、其灰色矩形下侧的表达式和断言分别表示被浓缩的结构节点的个数以及对的取值范围的约束若灰色矩形下无和，称为无约束浓缩节点，它表示被浓缩的结构节点个数任意，可以是个谓词节点代表满足指定谓词的若干节点和它们之间的有向边，其矩形节点下侧标有谓词名，还可能有与浓缩节点含义一致的表达式和断言指向谓词节点的有向边以及该节点下侧的和是该节点

27、所代表的谓词的变元，例如图给出了几种用形状图定义的数据结构，以单链表为例，图中谓词节点的变元和左侧的符号谓词（，）的变元是一致的图形状谓词定义的一些例子形状图中的有向边表示声明指针和域指针的指向，指向同一个节点（悬空节点除外）的指针相等有向边及其连接的节点满足如下语法约束：（）声明节点只有唯一的出边，没有入边，出边的标记就是声明指针

28、名（）结构节点和浓缩节点有入边和出边，其中出边的条数与结构节点所代表的结构体的域指针个数一致，各出边的标记分别是各域指针名（）节点、悬空节点和谓词节点有入边，没有出边节点和悬空节点分别用来表示指向它们的有向边代表指针和悬空指针形状图的定义：（）节点和有向边满足上述语法约束，各声明节点出边标记相异，且边被视为无向时则连通的图形是

29、形状图；（）若形状图犌，犌，，犌狀的声明节点出边标记集两两相交都为空，则由逻辑合取符号连接的犌犌犌狀也是形状图期张昱等：形状图理论的定理证明其中，不含符号的形状图犌被称为形状子图；（）若形状图犌，犌，，犌狀的声明节点出边标记集都相同，则逻辑析取符号连接的犌犌犌狀也是形状图从文献有关形状图的语义知道，一个不含析取符号并且没有浓缩节点和谓词节点的形状图是程

30、序状态中指针型数据的图形表示，不含析取符号的一般形状图犌则是程序状态集的图形表示犌犌中的犌和犌各代表程序状态的不同部分犌犌中的犌和犌则代表不同的程序状态集若无特别说明，符号犌仅表示不含符号的形状图图给出基于形状图定义的单链表（域指针是下文或的简称，本文不区分这个名称）、双向链表和二叉链表示的二叉树（系统还支持的循环单链表和循环双向链表的

31、定义见文献）在图中，定义式最左边的（，）等符号表示是为了便于在文中引用可以看出，把（，）的个定义中的和部分略去，再用符号连接它们，就得到（）的定义若用符号谓词表示，图的二叉树定义相当于（）！（）（）一个形状图的某形状子图中用点划线方框标明并满足下面条件的部分称为窗口，窗口描述形状子图上被关注的那部分，形状图的其余部分称为窗口的上下文（）形状

32、图的各节点处于窗口内或上下文中，不得与窗口的方框边界相交（）窗口内各节点之间的边都位于窗口中（）表达窗口中节点与上下文中节点联系的、穿越方框边界的边属于窗口，这些边的另一份副本在上下文中窗口犠和上下文犌的匹配就是检查穿越犠边界的边和犌中的副本边能否重合，重合后得到的形状图用犌犠表示在形状图变换规则中出现的窗口有如下的缩写约定：对

33、窗口中的某节点而言，若要求从窗口外指向该节点至少要有一条边（如图的狆），则可能还有的、指向该节点的其他边（可以是条）用一条标记为狆犽的边统一表示窗口用来定义形状图的等价规则和蕴涵规则（见文献的节）及形状图逻辑的推理规则（见文献的节）图（循环）单链表的等价规则的个例子形状图的等价和蕴涵规则等价规则是保持形状图语义等价的变换规则图列出了在

34、文献的节中定义的（循环）单链表的部分等价规则第节还会列举一些等价规则除了等价规则外，形状图还有蕴涵规则，蕴涵规则是保持形状图语义蕴涵的变换规则文献中节定义的形状图蕴涵规则分成三部分（）从等价规则犠犠犠可得犠犠和犠犠两条蕴涵规则例如，从图（）的等价规则可以得到两条蕴涵规则（）若等价规则犠犠的副条件是（（））（（）），则有蕴涵规则犠犠和犠犠，其副条件分别

35、是（（））和（（））例如，从图的每条等价规则都可得到两条蕴涵规则图对浓缩节点的约束数据进行变换的部分等价规则（）将等价规则中有约束浓缩节点改成无约束浓缩节点而得到蕴涵规则例如，图中蕴涵规则计算机学报年（）和（）分别从等价规则（）和（）得到蕴涵方向的选择（称为定向）取决于规则的左右两边谁蕴涵谁以浓缩节点所代表的结构节点的个数狀来直观解释，（

36、）和（）的定向分别基于狀狀和狀狀图从等价规则得到的蕴涵规则形状图逻辑的推理规则在形状图逻辑中，有关指针操作语句的推理规则都是相应语句操作语义的图形表示因为推理规则体现语句执行前后形状图的变化，而形状图是程序状态的图形表示，因此形状图的变化自然就是相应语句引起的程序状态变化这里以指针赋值语句狌狏的部分推理规则为例，介绍形状图逻

37、辑中指针操作语句的推理规则其中狌、狏代表从声明指针名出发、经若干条域指针边组成的访问路径，如狇或狆图是狌指向节点、狏指向（循环）单链表结构节点时的推理规则（狏指向浓缩或谓词节点的规则类似）从赋值前形状图犌到赋值后形状图犌的变化就是让狌也指向狏原来指向的节点图花括号中的不是形状图，而只是其中被所关注的若干个窗口若图中的个窗口自左向右依次用犠、犠、犠和

38、犠表示，则对任意能够使犌犠，犠成为形状图的上下文犌，有推理规则犌犠，犠狌狏犌犠，犠其中犌犠，犠上的窗口犠和犠无重迭部分因此，严格说图只是规则的窗口而不是规则，简单起见仍称为规则图指针赋值语句的一条规则需要注意的是，由于狌、狏代表访问路径，为便于描述推理规则，图采用节中窗口概念的一种扩展表示：将标记狌和狏等放在边的下方，以表示狌和狏等是访问路径，而不是边

39、的标记（边的标记放在边的上方）；它们要求在应用规则到某形状图时，形状图上应有相应的访问路径例如，使用图的规则时，犌犠，犠要有从某声明节点到达犠中节点的访问路径，访问路径上各边的标记顺次连接构成狌图是狌指向（循环）单链表结构节点、狏指向节点时的推理规则（狏指向浓缩或谓词节点的规则也类似）若赋值前只有狌指向结构节点，则报告内存泄漏图指针赋值语句的另

40、一条规则图是两个表示单链表的形状图假定指向的单链表至少有一个表元，程序片段；；（！）；；的循环不变形状图就是图（）当！为真进入循环时，利用图（）的规则，把指向的浓期张昱等：形状图理论的定理证明缩节点展开成两种情况，其一与！矛盾被略去，另一种情况就是图（）的形状图把语句当作语句序列；；；，按图和图的规则逐步修改图（），其中是初值为的虚拟局部

41、指针变量引入主要是为了避免为某些特殊的指针赋值情况设计复杂的专用规则，见文献的节对也继续用类似的方法修改形状图，再把得到的形状图用类似图（）的规则，把原先指向的结构节点逆向折叠进左边的浓缩节点，得到图（）图形状图的两个例子形状图理论的判定方法形状图的等价推理规则集由文献中节的形状图等价规则（不包括那些推导形状图析取犌犌的规则，

42、例如本文图（））和任何等价推理系统都有的自反、对称和传递规则组成该规则集可用来证明形状图之间的等价性若等价形状图的集合犈是封闭于可证明的，即?犌犌蕴涵犌犌?，则把?叫做形状图的一个语法等价理论类似地可以定义形状图相应的语义等价理论，即?犌犌蕴涵犌犌?由文献中节关于等价规则的性质定理，不难证明?犌犌当且仅当?犌犌类似地根据形状图的蕴涵规则，可以定义形

43、状图的语法蕴涵理论和语义蕴涵理论及证明?犌犌当且仅当?犌犌本节介绍形状图的重写系统和这两种理论的判定方法形状图的等价重写系统形状图的等价重写系统可比照代数项的重写系统来讨论它用于形状分析和验证过程中对形状图进行等价化简形状图等价规则限制为单向后得到的蕴涵规则就是一条形状图重写规则一组形状图重写规则构成一个形状图重写系

44、统不能用该系统的规则再进行归约的形状图称为最简形状图不存在无穷归约序列的系统称为具有终止性的系统可以参照项重写系统继续定义系统的临界对（）、局部合流性和合流性仿照完备化过程，可以把文献中节的等价规则集变换成一个与之等价并且终止与合流的形状图重写系统?下面先以一个简单的项重写系统为例来熟悉项重写系统的一些概念，然后说明

45、项重写和形状图重写之间的主要异同例如，代数等式狓狓，狓（狓），（狓狔）狕狓（狔狕）是属于包含、加和一元减的自然数等式系统中的等式，把它们从左到右定向，得到条重写规则狓狓，狓（狓），（狓狔）狕狓（狔狕）项狓（狔（狔））的子项狔（狔）与第条规则的左部匹配，因此狓（狔（狔））可用第条规则重写成狓，再依据第条规则重写为狓不难证明这条规则构成的重写系统是终止的要证明合流性，需要考察临界对

46、第条规则左部的子项狓狔和该规则左部（狓狔）狕（加撇号以便区别）合一，得到临界对（狓狔）（狕狕），（狓（狔狕））狕该临界对中的两个项都能归约到狓（狔（狕狕））可以类似地计算该重写系统的其它临界对并证明每一临界对中的两个项都能归约到同一个项，所以该系统具有局部合流性再由终止性可得该系统具有合流性在上述项重写系统中，规则的左部和右部都是项，被重写的也是项而

47、形状图系统与项重写系统相比，最大的区别是：规则的左部和右部都是窗口，被重写的是形状图产生该区别的根源在于形状图是二维的基于同样的原因，合一和匹配的描述也有区别但是两个系统的本质概念和方法是一致的下面先给出节点相同和形状图相同的定义定义节点狀和狀若满足下面两个条件，则称狀和狀相同：（）狀和狀是同类节点，并且若都是声明节点、结构节点或浓缩节点

48、，则有同样的出边及其标记；若都是谓词节点，则谓词名相同（）若狀和狀是同类浓缩节点或谓词节点，且分别带与和与，则必须满足（）并且（）其中，无约束浓缩计算机学报年节点在此都被视为带犿与犿的浓缩节点下面讨论判定方法时也作如此假设定义形状子图犌和犌若满足下面两个条件，则称犌和犌相同（）犌和犌的节点一一对应（）犌和犌的对应节点都是相同节点，并且若它们有出边，则标记相同的

49、出边所指向的节点是对应节点定义形状图犌和犌若满足下面的条件，则称犌和犌相同犌和犌的形状子图一一对应并且相同在从形状图的等价规则构造重写系统时，可以忽略如图那样仅替换浓缩节点的和的那些等价规则，因为定义已把替换前后的浓缩节点定义为相同在完备化过程中，文献中节的（循环）单链表、（循环）双向链表和二叉树的等价规则按照节点数减少的方向定为重写规则

50、，例如图的等价规则（）和（）定向为从右向左的重写规则规则（）和（）其实是同一条规则，只要把其中一条规则中边上的标记和对调一下就可看出，这里写成两条图等价规则的一些例子是为了便于下面理解和讨论临界对对那些两边节点数相等的各种等价规则，可按下面的方式之一定向：（）对于个结构节点和等于的浓缩节点之间的等价规则，定向为向浓缩节点的重写，例如图（）定向为

51、从左向右按这个方向定向是便于若干个相邻的结构节点归约成浓缩节点（）对于出自链表定义的等价规则，定向为向谓词节点的重写，例如图的规则（）和（）定向为从右向左形状图的归约一定会终止，因为每次归约都会使节点数减少或保持不变，而节点数保持不变的重写情况受上面两条的限定，因此归约一定会终止?的合流性可以参照项重写系统合流性的证明方法来证明首

52、先考虑临界对，例如，由图的等价规则（）和（）得到两条重写规则犚和犚犚和犚的左部（对应图等价规则（）和（）的右部）经两种方式合一，得到个临界对，分别是图的（）和（）与图的（）和（），它们分别都能化简到相同的窗口其余的临界对也都是由于规则的窗口中有（循环）单链表、（循环）双向链表或二叉树的浓缩节点而产生的，例如对应图（）和（）的相应重写规则也会产生个临界对很容易检查它们都

53、可归约到同样的窗口，因而证明?是局部合流的再根据?的局部合流性和终止性可以证明?是合流的图临界对的两个例子基于形状图等价重写系统以及图这样的规则，参照代数项上的证明方法，不难证明下面的定理定理形状图犌和犌等价，即犌犌，当且仅当它们化简后的最简形状图犌和犌相同犌，犌，犿犌，犌，狀的判定方法抽象地说，判定犌，犌，犿犌，犌，狀可以先用节的等价重写系统把两边所有

54、的形状图分别化简，然后比较两边的各个最简形状图是否都能在对方找到相同的形状图但是节的期张昱等：形状图理论的定理证明等价重写系统并未考虑个数不同的形状图之间的等价性，为此需要利用文献中节里的犠犠犠等价规则（如图）展开形状图，以期建立个数不同的形状图之间的等价性结合应用场合的特点，本文讨论的等价式中各形状图的声明变量集都相同，等价式

55、的判定方法如下：图从二叉树定义得到的等价规则（）若犌，和犌，的声明变量集不同则该等价式不成立否则继续下面步骤（）将上式中所有的形状图，用节介绍的形状图重写系统把它们归约到最简形状图仍用原来的符号犌，犻（犻犿）或犌，犼（犼狀）代表各形状图的最简形状图（）若某个犌，犻（犻犿）的某条尽可能长的且不经过浓缩节点的访问路径是某个犌，犼（犼狀）的某条不经过浓缩节点

56、的访问路径的真前缀，并且若犌，犻中的这条访问路径指向的节点可以用犠犠犠的等价规则展开，则将其展开反之亦然直到不存在这样的路径或者虽存在但不能展开为止为防止滥用犠犠犠这类等价规则，需要从访问路径的比较上加以限制例如，若犌，犻中有不能再延长的二叉树访问路径狆，犌，犼中有访问路径狆，且在犌，犻中狆指向谓词节点，则可以根据图的二叉树等价规则将犌，犻展开，其中等

57、价规则中的是占位符，可以通配访问路径狆中的该规则由图的二叉树定义得到文献中节里的所有的犠犠犠都像图这样，右边犠或犠中指向谓词节点或浓缩节点的访问路径比犠的多一个结构体的指针域，因此不会出现等价式左右两边的形状图不断交替展开而不终止的情况经过这样的展开，原等价式变换成犌，犌，犿犌，犌，狀（）对每个犌，犻（犻犿），若存在某个犌，犼（犼狀），使得犌，犻和犌

58、，犼相同，并且反之亦然，则犌，犌，犿犌，犌，狀，否则该式不成立显然，若上述方法中涉及的由整型线性表达式之间的关系式所构成的断言都可判定，则犌，犌，犿犌，犌，狀可判定犌，犌，犿犌，犌，狀的判定方法该判定方法用于程序分析和验证过程中对形状图蕴涵关系的判定，例如第节的循环不变形状图和递归函数前后形状图的推断算法需要用到该方法先定义节点相容和形状图相容定义节点

59、狀和狀若满足下面的条件，则狀相容于狀（与定义的区别仅在条件（））（）狀和狀是同类节点并且若都是声明节点、结构节点或浓缩节点，则有同样的出边及其标记；若都是谓词节点，则谓词名相同（）若狀和狀是同类浓缩节点或谓词节点，且分别带与和与，则必须满足（）定义形状子图犌和犌若满足下面个条件，则称犌相容于犌（）犌的节点集犖到犌的节点集犖有一对一的函数犳，使得犖犳（犖）若非空，则其中只有浓缩节

60、点并且每个浓缩节点的（）可满足，即这些浓缩节点可以有等于的情况（）对任何狀犖，狀相容于犳（狀）（）对任何狀犖，若狀和犳（狀）的某标记相同的出边分别指向节点狀和狀，则狀经过犿个（犿）属于犖犳（犖）的浓缩节点后所到达的狀和狀满足犳（狀）狀对于图的犌和犌，犌的那个浓缩节点经犳函数映射到犌最右边的那个浓缩节点因为犌左边两个浓缩节点的犿和犽都可以等于，所以犌相容于犌图帮助理解定义的两个形状图定

61、义形状图犌和犌若满足下面的条件，则称犌相容于犌犌和犌的形状子图一一对应并且犌的每个形状子图相容于犌中对应的形状子图在证明形状图之间的蕴涵时，需要考虑在用等计算机学报年价重写系统化简形状图后，适当地使用形状图的蕴涵规则所使用的蕴涵规则是节中第（）类蕴涵规则，即由犠犠犠得到的犠犠和犠犠；而对于第（）和（）类蕴涵规则，由于它们都是针对浓缩节点的和的规则，其效果已

62、体现在节点相容的定义中，因而不必作为重写规则犌，犌，犿犌，犌，狀的判定方法可通过略微修改节的等价式判断方法中的（）和（）两点即可得到：（）若某个犌，犼（犼狀）的某条尽可能长的且不经过浓缩节点的访问路径是某个犌，犻（犻犿）的某条不经过浓缩节点的访问路径或其真前缀，但不是指向同类节点，则尝试使用上面提到的蕴涵规则对犌，犻进行重写例如，若图规则右部两个窗口

63、之一和左部窗口分别出现在犌，犻和犌，犼中的上述位置，则使用相应蕴涵规则重写犌，犻，把窗口中内容归约成谓词节点（）对每个犌，犻（犻犿），若存在某个犌，犼（犼狀），使得犌，犻相容于犌，犼，则犌，犌，犿犌，犌，狀，否则该蕴涵式不成立循环不变形状图和递归函数前后形状图的推断本节应用第节的形状图理论判定方法来推断循环不变形状图该推断方法的一个变种可用来推断递归函数的前

64、后形状图形状图是指针有效性和指针相等性断言的集合的图形表示，循环不变形状图就是循环不变式中有关指针断言的那部分不变式，函数前后形状图就是函数前后条件中有关指针的那部分断言对易变数据结构的处理，循环语句通常完成下面功能之一：（）寻找数据结构中的操作位置或依次对各节点上数据进行操作这时，除了某些声明指针的指向在节点间移动外，形

65、状图没有其他变化（）循环体的每次迭代都在对数据结构进行节点插入或删除循环体执行过程中虽然破坏了数据结构的形状，但每次到达循环体结束点时，形状得到恢复，仅节点个数发生变化（）循环体的每次迭代都在对数据结构某些节点的边的指向进行调整，并且有可能出现这样的情况：每次迭代结束时形状并未得到恢复，但在整个循环执行结束时形状得到恢复例如

66、文献中例使用的双向链表倒置算法对于这类循环，在循环体的每条执行路径上，声明指针在形状图上的移动引起的形状图变化主要体现在浓缩节点所代表的节点个数的变化上循环不变形状图推断算法的框架根据基于抽象解释的循环不变式推断框架，循环不变形状图的推断算法框架如图为表达简单起见，本节用字母?表示可以出现形状图析取的形状图对于循环

67、（犅）犛（）计算循环前条件?狆狉犲犻（）根据形状图逻辑的规则计算?犻，使得?犻犅犛?犻（）应用抽象规则计算?犻，使得?犻 ?犻（）若?犻 ?犻，则?犻是循环不变形状图；否则，犻犻，转（）图循环不变形状图推断的算法框架下面对图的算法框架做一些解释：（）算法第（）步根据形状图逻辑的规则计算?犻，?犻犅代表形状图?犻和符号断言犅的合取若碰到引起内存泄漏的操作、悬空指针或指针脱引

68、用（）操作，则无规则可用，报告错误（）算法第（）步的抽象是指：对形状图上随循环迭代次数变化而变化的浓缩节点（指其代表的结构节点数随迭代次数变化而变化），把其代表结构节点数的表达式换成能概括多次（甚至全部）迭代情况的表达式应用的抽象规则是采用文献中第节的蕴涵规则（）算法第（）步?犻 ?犻的证明是采用节的判定方法以节的那段单链表代码（假定至少有一

69、个表元）的循环不变形状图（图（））的推断为例各程序点的形状图见图，图中犼是形状分析系统引入的虚拟变量第次迭代后犌犌不成立，但第次迭代后能证明犌犌犌，因此犌犌是循环不变形状图由于犌犌，因此犌犌可简化为犌由于没有程序变量可以替代犌中的虚拟变量犼，则略去犼，得到结果就是图（）算法终止的讨论图算法终止取决于下面点：（）算法第（）步的抽象能够成功（）算法第（）步的蕴涵式的证

70、明因得到结果而终止或因形状检查发现错误而终止期张昱等：形状图理论的定理证明图推断循环不变式的迭代过程（）若形状检查没有发现错误，算法第（）步的蕴涵式最终会成立该算法终止的理由概述如下：（）本文为循环体犛的每条执行路径都安排累计该路径执行次数的虚拟变量选择一种合适的虚拟变量命名方式，能应对出现并列和嵌套循环的情况以及循环体中出现

71、并列和嵌套条件语句的情况在增加虚拟变量时，还要把表达虚拟变量之间关系的等式或不等式加到相关形状图中通过增设虚拟变量，结合下面（）有关浓缩节点的表达式为线性的讨论，算法第（）步的抽象就能够成功，即可以把浓缩节点所概括的节点数抽象为用含相应虚拟变量的线性表达式来表示（）从第节知道，形状图蕴涵关系判定方法的终止性依赖于判断浓缩节点之

72、间蕴涵与否的（）的证明的终止性下面是相关的分析对于循环体犛的任意一条执行路径，对于除第次迭代计算以外的其他各次迭代计算的结果形状图，若与上次迭代计算的结果形状图相比，某浓缩节点所代表的节点数发生变化，则再次迭代计算引起的变化与本次迭代计算的变化相同若循环前某浓缩节点代表犪狓犫个节点，第次迭代时，个数变化是犱，随后各次迭代的个数变化

73、是犮，则该路径执行狔（狔）次结束时，该浓缩节点代表的节点数是（犪狓犫）（犮狔犱），由于（犪狓犫）在循环执行过程中不变，因此在图算法中证明形状图之间的蕴涵时可当成常量这样，在每次迭代计算过程中，浓缩节点所代表节点的个数本质上可用该路径的虚拟变量的线性表达式来表示，这就保证了该浓缩节点的表达式维持为线性类似的分析可知中的整型表达式也是线性这就保

74、证（）的证明会终止图例子的迭代过程体现了这里所说的对浓缩节点的抽象另一方面，在有狆狆这样指针赋值的情况下，除第次迭代计算外，若一次迭代计算的结果形状图中出现无声明节点指向的结构节点，但又不能折叠成（或并入相邻）浓缩节点则表明该结构节点的出边的指向不符合数据结构定义的要求，先前关于循环语句的种用法中不会出现这样的情况因此，若经抽象后，

75、相邻个声明指针所指向的节点之间的结构和浓缩节点的个数大于（简称节点个数约束），则在循环体结束点的形状检查会报告错误并终止迭代例如，对于各节点都有指针域和的双向非空链表，用循环依次将各节点的域置为且域的指向不变代码如下：狆；（狆！）狆狆；狆；这相当于废弃域，用来构成一个单链表图（）是循环入口的形状图，图（）是经过次迭代的形状图本算法无法把已

76、经遍历过的结构节点折叠为浓缩节点，因为双向链表没有相应的规则形状检查会因两个相邻声明节点超出节点个数约束而报告错误计算机学报年图循环不变形状图推断过程报告错误的例子（）由于声明指针的个数有限，再加上（）提到的节点个数约束，在循环体结束点能形成的不等价形状图有限若未见报告程序错误，则一定存在犻，使得?犻 ?犻成立递归函数前后形状图的

77、推断对于非递归函数，可以从函数前形状图自动推断函数后形状图但该方法难以用到有指针型形参且返回值是指针的递归函数，因为推断递归函数前后形状图时要用到该函数的前后形状图若仅有指针型的形参，或仅有指针型的返回值，根据形状系统对函数调用点和返回点的形状约束，函数的递归性并没有给形状分析带来困难倘若形参和返回值都是指针型，则虽有

78、形状系统的约束，在函数返回点也不能确定实参指针和返回指针之间的关系，因而不能确定函数后形状图关注实参指针是因为它的值在被调用函数中虽不变，但其指向的节点在数据结构中的位置可能会变为此，函数的前形状图增设虚拟变量来表示实参指针，它与形参指针指向同一个节点，并据此来推断函数后形状图可以像推断循环不变形状图那样迭代推断函数后形

79、状图因为计算会终止的递归函数总有非递归的出口，可以先通过非递归路径得到函数后形状图的初值，然后再在递归路径上迭代求解对于直接递归函数，若函数体中的循环语句里面没有递归调用（通常如此），则函数前后形状图的推断方法概述如下：（）通过程序分析，确定函数体中非递归执行路径和递归执行路径的语句序列这里所说的执行路径把无递归调用的循环

80、语句看成一个语句，把两个分支都有（或都无）递归调用的条件语句也看成一个语句，以减少要考虑的路径数为叙述方便，假定非递归和递归的执行路径各一条，语句序列分别是犛狀狅狀和犛狉犲犮（）从函数前形状图?犲狀狋狉狔和犛狀狅狀通过形状图逻辑的规则得到?，使得?犲狀狋狉狔犛狀狅狀?令犻（）根据形状图逻辑的规则计算?犻，使得?犲狀狋狉狔犛狉犲犮?犻其中?犲狀狋狉狔和?犻作为犛狉

81、犲犮中出现的递归函数调用的前后形状图（）应用抽象规则计算?犻，使得?犻 ?犻（）若?犻 ?犻，则?犻是函数后形状图；否则，犻犻，转（）除了推断递归函数的函数前后条件需先分析函数的非递归和递归的执行路径外，本算法与图算法没有本质上的区别，把本算法的第（）到（）步与图算法的第（）到（）步比较就可以看出这一点形状图理论和整数理论组合的判定方法在程序验证器原型中

82、，验证条件生成器所产生的验证条件的一般形式是：（犌，犙，）（犌，犿犙，犿）（犌，犙，）（犌，狀犙，狀）其中犙代表符号断言的合取，并且其中没有指针相等性断言和有效性断言验证条件的证明是形状图理论和整数线性算术理论的组合的判定问题首先，形状图之间蕴涵的证明要根据形状图理论其次，犙中像狆犱狇犱这样的断言，需要根据形状图来判断狆犱和狇犱分别是属于哪个节点的数据注意，

83、在形状图中，浓缩节点和谓词节点可能附带和这表明形状图理论内部涉及线性整数算术理论它与本节讨论的理论组合的判定问题没有联系，因为系统原型限定和只依赖整型声明变量，不依赖于节点的数据因为和是决定该浓缩节点或谓词节点所代表的链表（段）的长度、或者所代表的二叉树片段的高度的表达式和断言，通常在实际编程中不会把决定某种数据结构的长度或高

84、度的信息存放在该数据结构节点的域中本节讨论组合理论的两种证明方式易变数据结构上被关注性质的描述通常关注易变数据结构个层次的性质：（）各个节点是否连接成预定的形状该性质的验证在形状分析阶段完成，程序员只要像声明类型那样声明形状即可这仅是形状图理论上的问题期张昱等：形状图理论的定理证明（）与形状有关的性质例如链表的长度、树的高

85、度、二叉树的两边是否平衡和节点之间的可达性等这些性质很容易归纳定义，虽然循环链表的长度的归纳定义会略显复杂（）与各节点上数据排列有关的性质当数据需按序排列时，一个数据存放到哪个节点依赖于对数据结构上节点的定序线性链表上节点之间的定序比较简单，二叉树上节点之间有多种定序方式这样，数据是否有序的比较必定涉及数据所属节点在数据结

86、构上的位置在定义上述性质时，比较简单的方式是用以指针为参数（可能还有其他参数）的归纳谓词另一种方式是先定义节点之间的可达关系，然后基于此再使用量词来定义所需的性质用这两种方式描述性质都比较有利于对操作易变数据结构的递归程序的验证本文的系统原型针对形状图上浓缩节点的特点，还提供使用量词来概括数据性质的方式，以方便操作易变数

87、据结构的循环程序的验证例如有序单链表可定义为（狆）犿：? ? ?（狆（）犿犻：犿狆（）犻犱狆（）犻犱）其中类型由犱；给出，其中狆（）犻代表狆，共犻个“ ”在该定义中，量词的约束变元出现在访问路径的上角标中这种直接基于编程语言中访问路径语法的定义显得比较直观符号断言语言为便于下面的讨论，将系统原型所使用的断言语言的抽象语法描述在图几点说明如下：犻

88、犱犐犱犲狀狋犻犳犻犲狉（程序中的标识符集）狋狀犛犻犱犲狀狋犻犳犻犲狉（程序中结构体类型的名字集）狆犱狆狉犲犱犻犮犪狋犲犻犱（狆狆，，狆狆犽）犪狆狆狋犻犱狋犻狀狋狋狀狆狋狋犺犲狅狉犲犿犪犪狋犺犲狅狉犲犿犪犪（犫狅狅犾犲狓狆是布尔表达式，其产生式略去）犪犫狅狅犾犲狓狆犻犱：犱犪犻犱：犱犪（犪）（犻狀狋犲狓狆是整型表达式，其产生式略去）犱 ?犻狀狋犲狓狆犻狀

89、狋犲狓狆犾狏犾狏（犻犱）犻狀狋犲狓狆（左值犾狏是各类型犲狓狆的一种选择）图符号断言语言的抽象语法（）图前一部分是自定义谓词以及这些谓词之间性质定理的语法，后一部分是断言的语法谓词应用可出现在布尔表达式中，因而可出现在断言中（）程序员用图的文法编写的断言中出现的变量，若不是程序变量，则称之为逻辑变量（）量词约束变元的论域只能是整数域或它

90、的某个区间，因而禁止使用指针型约束变元在需要由存在量词来约束指针型变元的地方，可以用指针型逻辑变量来代替下面用有序单链表来解释为什么需要提供性质定理有序单链表的归纳定义如下：（狆）狆狆狆犱狆犱（狆）在一个子句中，若出现以狆为前缀的访问路径，则默认有断言狆！的定义从表尾向表头方向归纳但是，在遍历有序单链表时，例如图单链表插入函数中的

91、循环代码（暂且不关心图中的断言），其遍历方向是从表头向表尾，因此还需要用下述表段谓词和性质定理（狆，狇）狆狇狇！狆犱狆犱（狆，狇）和（狆，狇）狇犱狇犱（狆，狇）这个性质定理保证已扫描过的表段再加入下一个被扫描的节点，结果仍然是表段和两个谓词之间的如下性质定理也是验证时不可缺的：（狆，狇）（狇）（狆）上述个性质定理都需要程序员提供，因为它们的证明

92、需要基于表段的长度进行归纳，基于演绎推理的自动定理证明器难以发现这样的性质谓词出现在函数的前后断言中，而谓词出现在循环不变式中后者的定义只要能支持函数前后条件的证明就足矣，没有必要选择最一般的定义，即把被验证函数中不会出现的情况也囊括在内，以免给验证增添不必要的麻烦在断言文法及其类型系统的基础上，还要限制断言中的整型

93、表达式必须是线性表达式计算机学报年；犱；；犿（，）犻：犿（（）犻犱（）犻犱）是为记住实参指针的值而引入的逻辑变量（，）；；狆；犼；狆（）；狆犱；狆；（）狆；（狆犱犱）狆；狆；；；犼；！犻：犼（（）犻犱（）犻犱）犱犱犱狆犱犼犻：犿犼（（）犻犱（）犻犱）犻：犼（（）犻犱（）犻犱）犱狆犱犼（（！）（犱狆犱））；；犼犼；狆；狆；；（，）犿犻：犿（（）犻犱（

94、）犻犱）犱犱（，）犿犻：犿（（）犻犱（）犻犱）（，）犿犻：犿（（）犻犱（）犻犱）图单链表的插入函数验证条件的证明方法对于验证条件（犌，犙，）（犌，犿犙，犿）（犌，犙，）（犌，狀犙，狀），在形状分析阶段已经证明了犌，犌，犿犌，犌，狀，即对每个犌，犻（犻犿），存在犌，犼（犼狀），使得犌，犻犌，犼现在仅需要证明：对每个犌，犻犙，犻，存在犌，犼犙，犼（其中犌，犻犌，犼已经证明），使得犌，犻犙，犻犙，犼可把犌，犻看成犙，犻犙，犼的证

95、明环境，写成犌，犻犙，犻犙，犼实际证明时，还有程序员提供的谓词定义和性质定理可用，用字母犜表示，因此下面仅关注犌，犜犙犙的证明方法犌，犜犙犙的证明有两种方式：第种是常规的方式，把形状图理论和整数理论组合的判定转换为整数理论上的判定它通过引入一些未解释函数，把犌转换成符号断言犘，然后把?（犘犜犙犙）交给具体把形状图转换为符号断言的方法见文献这种方式的缺点是，

96、在推理犙中涉及节点数据的断言时，指针符号断言犘不能像形状图犌那样提供对形状的全局把握，从而某些验证条件用证不出举例说明如下：例单链表的插入函数，代码和断言见图该例的循环不变形状图是根据节的算法自动推断的为可读起见，断言都出现在注释中图是语句之前程序点形状图犌，犌，犌，图语句前形状图的一种情况犌，（分别对应只有新插入节点、插在表头、插在表

97、中和插在表尾种情况）中的犌，其中是为表示实参指针而增设的虚拟变量，对应的犙，是下述符号断言，其中有序性用全称量化断言表示：犻：犼（（）犻犱（）犻犱）犱狆犱狆犱犱犼犻：犿犼（（）犻犱（）犻犱）犌，转换成的符号断言如下：（）犼狆狆（）犿犼（，）犼犿犼由犌，转换得到的断言是一些有关有效指针相等、指针等于和链表长度的断言，它们是形状图所包含信息的符号表示其他

98、信息，例如狆（）犼可以从这些断言推导显然，这些断言和犙，的合取能蕴涵函数后条件中的第种情况（即图中的最后一行，记为犙，）把这些符号断言转换成能接受的形式的转换方法见文献期张昱等：形状图理论的定理证明用证明不了这样的蕴涵原因是在符号断言中，难以发现犙，中个断言的前后衔接次序若有图的形状图，通过把这个断言分别标注到相关节点上，则很容易发现它们合

99、并后就是犙，中的全称断言采用第种方式的另一个问题是，若与某个归纳谓词定义相对应的某条展开规则对验证来说是需要的，则容易引起不停地用该展开规则去展开断言中出现的谓词应用，导致证明不终止第种证明方式是把形状图直接用于犌，犜犙犙的证明参照框架，本文提出的犌，犜犙犙的证明方法概述为如下步：（）将犙（形式为犙犙犿）中所有与节点相关的犙犼（犼犿）都标注在犌中相关

100、的节点上相关的节点是指断言中的指针型访问路径（包括整型访问路径的最长指针型前缀）所到达的节点例如，例中犙，的断言犱狆犱标注在图中和狆指向的节点上，断言狆犱犱标注在图中狆和指向的节点上全称断言经常标注在某个浓缩节点上若在一个全称断言中，约束变元的取值集合使得该断言与多个节点相关，则把该断言同时标注在这些节点上例中犙，的全称断言犻：犿犼（（）犻

101、犱（）犻犱）标注在图中指向的节点上，断言犻：犼（（）犻犱（）犻犱）标注在图中和指向的两个节点上对于有两个指针变元的谓词应用，情况与全称断言的类似（）把能推导出的性质继续标注在犌的相关节点上，一直到犌的节点都不会再增加新的性质为止新性质的相关节点若都不在犌中，则无须标注这类新性质，这有利于保证推导过程的终止对于标注有全称断言的浓缩节点，注意

102、它与相邻节点之间是否可以利用（（犻：犿狀犘（犻））犘（狀））犻：犿狀犘（犻）等等价性来使得全称断言的约束变元的取值范围扩大（）对犙（形式为犙犙犽）中的每个犙犼（犼犽），检查犙犙犼是否成立若犙犼是节点相关的断言不论是谓词应用、全称断言还是整数断言，若犙犼从相关节点的断言以及犙中与节点无关的断言可推导，则犙犙犼成立，否则不成立节点数据之间的关系可能通过与节点无

103、关的断言来传递，因此这里强调包括犙中与节点无关的断言例如，若狆犱犿且狆犱狀且犿狀，则狆犱狆犱若犙犼是节点无关的断言若犙不能从犙推导，则犙犙犼不成立若对每个犙犼（犼犽），犙犙犼都可证，则犌，犜犙犙得证可以证明，若整数域上断言的证明都可终止，则该证明过程终止并且可靠这个方法专用于面向操作易变数据结构的程序的验证与框架不同的是，这里没有交错使用两个理论不断推出新性

104、质并进行传播的过程，而是在形状分析阶段先用形状图理论完成形状图蕴涵关系的证明这里只是利用形状图来把符号断言分组，一方面便于推导更多对验证有用的性质，另一方面防止出现无止尽地推导另一个不同是，框架限定被组合的理论为无量词的一阶理论，而这里允许量词断言出现在操作易变数据结构的程序的规范中实例分析基于形状图逻辑所实现的程序

105、验证器原型（可从：下载）的流程分成下面个阶段（）预处理阶段该阶段为源代码生成抽象语法树并像编译器那样完成通常的静态检查；（）形状分析阶段生成各程序点的形状图，包括推断循环不变形状图和递归函数的前后形状图；（）程序验证阶段该阶段通过正向演算生成验证条件，并用证明它们程序员在编程时，需要提供有关节点数据的函数前后条件和循环不变式程序员

106、可以定义一些归纳谓词，用以描述递归数据结构的数据特点，以方便写函数前后条件和循环不变式程序员需要提供这些谓词之间的、与程序有关的归纳性质，供自动定理证明器使用因为基于演绎推理的证明器推导不出这类性质该原型可以验证易变数据结构上较为复杂的程序，如有序循环双向链表、二叉排序树、伸展树、树堆（）、二叉平衡树和树的插入和删除函数有关这

107、些例子的统计数据见表其中的验证时间是在，和内存的机器上实测获得这些程序大计算机学报年多包括插入和删除函数，以及被它们调用的函数操作二叉平衡树的程序的函数最多，因为除了插入和删除函数外，还有左旋、右旋、左平衡和右平衡等函数表有关形状图和验证条件的统计数据数据结构与程序功能函数个递归函数个验证条件个循环个验证时间有序单链表：插入、倒置

108、、合并有序双向链表：倒置有序循环双向链表：插入二叉排序树：递归和非递归插入、删除树：插入二叉平衡树：插入、删除树堆：插入、删除伸展树：插入、删除表各例的循环不变形状图都是用本文方法自动推断的其中有序双向链表的倒置函数虽只有两个循环，但验证时间明显高于其他链表程序这是因为在用循环代码倒置双向链表过程中，链表被分成正向和逆向两部分，需要多

109、次迭代才能得到循环不变形状图，并且循环不变形状图是种情况的析取表各例的递归函数的前后形状图也都是用本文方法自动推断的二叉排序树插入函数的前后形状图分别在图的（）和（）中，其中函数后形状图分成插入前实参指向非空表和空表两种情况从此例可以看出形状图上出现对应形参指针狆的实参指针狆的必要性其他二叉树的插入函数的后形状图也都这样图二叉

110、排序树插入函数的前后形状图表中二叉排序树的验证时间远低于列在其后的种二叉树，这是因为二叉排序树仅需要验证有序性，而其他几种二叉树还需要验证平衡性或类似平衡性的性质伸展树的代码没有递归，函数个数和验证条件也不算多，但验证时间远高于其他二叉树这是因为其函数的循环不变形状图是多种情况的析取，形状分析阶段和程序验证阶段的耗时都

111、大大增加下面再介绍个规模不大但能帮助理解本文的例子例二叉排序树的递归插入函数，代码和断言见图，程序断言中的狔和狕是整型逻辑变量本例引入的谓词定义如下：（）（狆）狆（狆）（狆）（狆，狆）（狆，狆）（）（犿，狆）狆犿狆犱（犿，狆）（犿，狆）（）（犿，狆）狆犿狆犱（犿，狆）（犿，狆）其中的定义见图在函数前后条件中分别有狔（狔，狆）和（狔，狆），它们是说：若狔大于被插入的数据

112、并大于参数树上的所有数据，则狔大于结果树上的所有数据狕的含义与狔类似；；犱；；（狆）狔（狔，狆）狕（狕，狆）（狆，）（狆）狆（）；狆；狆；狆；（狆）狆（狆，）；（狆）狆（狆，）；狆；（狆）（狔，狆）（狕，狆）图二叉排序树的插入函数引入的性质定理有：（）狓狔（狔，狆）（狓，狆）（）狓狔（狔，狆）（狓，狆）在函数出口点产生的验证条件包括下述蕴涵式，它表示图中第个递归调用后的

113、断言蕴涵函数后条件：（狆）（狆，狆）狔狆（狔，狆）狕狆（狕，狆）期张昱等：形状图理论的定理证明狔狕狆（狆）（狔，狆）（狕，狆）（狆，狆）（狆）（狔，狆）（狕，狆）其中蕴含式的前件中的前三行断言是从调用点前延续到调用点后，后两行断言是从函数后条件得到在递归调用结束后，能得到第行（狆，狆）的原因是：在递归调用点前，有狆与（狆，狆），因此狆可与被调用的递归函数的前、

114、后条件中的逻辑变量狔匹配图（）两种情况分别都属于该蕴涵式的证明环境按照第节所提出的直接把形状图用于证明犌，犜犙犙的方法，把该蕴涵式前件的断言分别对图（）两种情况的形状图标注如下：（）根节点：（狆，狆），（狆，狆），狔狆，狕狆，狆（）左子节点：（狆），（狆，狆），（狔，），（狕，狆）（）右子节点：（狆），（狆，狆），（狔，狆），（狕，狆）再把利用谓词定义和性质定

115、理能推导出的断言增加到这些节点上：（）根节点：（狆），（狔，狆），（狕，狆）；（）左子节点：无增加；（）右子节点：无增加该蕴涵式在这两种情况下都得证，因为其后件的断言都已经标注在根节点上了在未能得出待证断言有效或不可满足时，总试图继续推导出更多的性质一种情况是它不断地把归纳谓词展开，导致证明过程不终止针对操作易变数据结构的程序的验证，直接把

116、形状图用于验证条件的证明可以有效地阻止这种不终止从例可以看出，在生成验证条件的演算过程中，符号断言中的谓词断言的展开和形状图上谓词节点的展开本质上是同步的从例也可以看出，全称断言的展开（指从狓：犿狀（狓）（犿狀）变换成（犿）狓：犿狀（狓）（犿狀）等情况）和形状图上浓缩节点的展开也是同步的由此可知，在证明验证条件时，在把断言按节点分组和推导新性质

117、的过程中，若谓词展开式中与节点有关的断言在形状图上没有可挂靠的节点，则该谓词展开也不会给证明带来什么帮助，因而不必展开本文并没有把第节所提出的形状图理论和整数理论组合的证明方法实现到中，而是在验证器原型中根据该方法的思想对验证条件进行预处理后再交给，扩大了可证的范围，并减少了不终止的情况相关工作比较分离逻辑是验证堆操作程

118、序（操作易变数据结构的指针操作程序是其重要部分）的最流行的手工或半自动推理的程序逻辑除了分离逻辑外，还存在一些其它逻辑，如匹配逻辑，也是用于手工或半自动的推理分离逻辑引入一种专用的分离符号（），用它把不能混淆到一起推理并且不能被忽略的断言分离开来分离逻辑的优点和缺点都源自其引入的分离概念分离的好处之一是避免了访问路径别名

119、给程序验证带来的困难；其缺点是分离切断了不同堆块之间的信息联系，给需要全局信息才能推断的程序性质的验证带来困难例如，分离逻辑难以发现对某堆块的一个指针域的赋值引起另一个堆块的泄漏对于堆操作程序的验证，通常允许用户定义的归纳谓词在分离逻辑的环境下，必须另行设计归纳谓词的展开或折叠策略，否则因归纳谓词的展开没有控制而导致验证

120、条件的证明可能不终止因此，分离逻辑的证明辅助工具经常是启发式且不完备的最近也出现了一些小的判定片断其中文献提出了一种有效、可靠和完备的自动定理证明器，用于检查带表段谓词的分离逻辑公式之间蕴涵的有效性，但它只能用于操作单链表的程序文献提出分离逻辑一个较小的可判定片段与其他可判定的一阶理论的组合理论的判定方法形状图逻辑

121、的最大特点是，形状图既是机器状态中有关堆部分的抽象表示，又是指针相等性断言和有效性断言等的图形表示，它总揽了分离性和整体性，至少带来下面的好处：（）形状图逻辑无须使用分离合取算符，避免了引入分离合取算符给定理证明带来的复杂性在形状图上，关联到不同节点的断言，就是分离逻辑中用分离合取算符隔开的断言（）形状图提供了全局信息用形状图

122、逻辑很容易发现对某堆块的一个指针域的赋值引起另一个堆块的泄漏形状图可用来指导验证条件证明过程中与易变数据结构有关的归纳性质的展开，以避免证明过程的不终止计算机学报年分离逻辑优于形状图逻辑的重要一点是它适用于汇编语言级的程序推理使用分离逻辑，但验证条件的证明策略类似本文方法的是等人的论文他们设计了一个蕴涵检查过程，该

123、过程使用展开和折叠推理，能够处理可能是归纳定义的良基谓词其中的创新点是他们找到了一种在有用户定义归纳谓词情况下，保证过程可靠和终止的充分条件该过程把验证条件简化到标准的逻辑理论该过程能够处理的易变数据结构超越了树用符号堆也是把握程序状态中的指针信息以避免使用分离逻辑，从而可自动推理的办法等人使用节点集合和声明变量集

124、合，还有代表有向边集、节点到值的映射和声明变量到值的映射的若干函数来描述程序状态该文的内存印迹（）由符号堆和公式组成，它们分别对应到本文的形状图犌和数据结构所需满足的除了形状以外的性质犙是分离逻辑的一种方言，本质上是堆上无量词一阶逻辑，并用多个类型的归纳定义来增强，这些类型是为其下有树结构的存储单元定义的它用一个可靠且终止的

125、过程，来证明用命令式语言编写的树结构上很多递归算法的功能完全正确性等人使用集合论，把翻译成带递归的经典逻辑，并提出一种自然证明技术来证明验证条件这种技术提供在手工证明中常用的证明策略来帮助验证，并把这些策略自动部署到代码中等人为利用框架，把自然证明策略翻译成嵌在标注中的幽灵代码，促成获得采用可判定理论的自然证明经过这些

126、努力，他们的工具能够验证多种常见的、包括用递归或迭代方式实现的、操作易变数据结构的程序本文与和等方法的主要区别有点首先，有关易变数据结构的形状的验证，本文是基于形状图蕴涵理论，直接在形状图上而不是在符号断言上验证其次，有关归纳谓词的展开策略，他们采用由程序员提供证明策略的方式，而本文所设计的方法是利用已经建立的形状图来指导归纳

127、谓词的展开和折迭最后，他们的方法必须由程序员提供完整的循环不变式，而我们的方法自动推断有关形状部分的循环不变式研究全自动推理的逻辑的目标是研发快速、可靠和完备的判定过程为达到该目标，这些逻辑的表达力通常受到严重的限制对于堆操作程序的验证逻辑来说，使用可达性谓词是一种避开分离逻辑的常用简便方式，但表达能力上受到较大限制具体例

128、子有在一阶逻辑上扩展可达性的若干逻辑、、及组合树逻辑和整数逻辑的逻辑提供一种带受限的可达性谓词和量化的推理这种逻辑有完全自动、可靠、完备和终止的判定过程虽然这是一个高效的判定过程，但是在描述归纳数据结构性质时表达力上非常有限也是一种这样的逻辑，它能够应对某些数据结构的性质，并且通过组合可判定的树理论和算术理论，容许可判定

129、的片断然而它在表达力上极其有限这些逻辑都不足以描述诸如平衡二叉树的平衡性和堆中的一组键值在通过一段程序后没有改变等复杂性质在有关指针性质的循环不变式推断上，等人提出了一种用分离逻辑推断单链表操作程序的循环不变式的方法他们使用符号执行机制，并且给出一组重写规则来交互地计算不动点所实现的原型仅完成了计算表长、求各节点数

130、据的和、以及链表的删除、倒置、合并和拆分这几种简单的单链表操作函数的循环不变式的推断等人提出了一种类似的基于分离逻辑的形状分析方法和文献一样，它使用了专为单链表的展开和折叠而设计的单链表谓词，也需要关于易变数据结构形状的先验知识，并且也使用符号执行机制但是它的单链表谓词和文献的不同，与文献相比，它还能计算循环单链表操作函

131、数的循环不变式，例如循环单链表的删除函数和过滤器函数等人提出了一种基于分离逻辑的过程间形状分析，它执行归纳的递归综合，以自动推断有类似树骨架的任意递归形状不变式其主要特点是从循环体的固定迭代次数的符号执行中抽取循环不变式，但是只能用于树骨架的形状对于单链表、循环单链表和二叉树，等人不仅能推断有关形状的循环不变式，而且能推

132、断有关相邻节点数值数据的循环不变式，推进了他们先前的工作，也使得他们的结果优于其他人的结果他们也采用符号执行机制，对循环体进行迭代计算，其特点是使用专门设计的最小上界算子和加宽算子来保证收敛到不动点本文和文献相比，两者循环不变式的推断算法都是基于文献我们的特点是采用本文的形状图蕴涵理论，在形状图上直接推断循环不变形状图，

133、文献的特点是还能推断有关相邻节点数值数据的循环不变式在保证收敛到不动点上，我们期张昱等：形状图理论的定理证明采用形状图上的蕴涵规则，并且用该文的形状系统来保证算法的终止就推断有关形状的循环不变式而言，文献能推断操作单链表、循环单链表和二叉查找树的代码的循环不变式，而我们还能推断操作双向链表、循环双向链表和伸展树的代码的循环

134、不变形状图从第节及表可知，本文推断循环不变形状图的能力远胜于上面几项工作这是由于本文的推断得到形状系统的支持也正是由于形状系统的支持，本文还能推断递归函数的前后形状图据我们所知，尚未有这方面论文的发表图逻辑或形状逻辑一般是指推导图（或有向图、形状图）性质的空间逻辑其中图是用符号公式来描述而符号公式的语法由简单文法来定义，要推导

135、的图上的性质也用符号公式来表示，推导规则也还是基于符号公式的超边替换文法（）是一个实例它用超图为堆状态建模，把双向的图规则用于超图的变换但是该文法只是作为动态数据结构建模的一种直观的形式方法，超图和规则等还是用符号公式来表示的本文所用的形状图逻辑与它们有根本的区别：形状图直接作为逻辑公式，出现在程序逻辑的推理规则中，并且

136、还可以和符号公式一起演算从规范语言的综述和工业界的使用看，迄今为止尚无像本文这样采用形状图或采用其他非符号方式来表达程序的部分性质，并与表达程序其余性质的符号断言一起作为程序的规范并一起演算的总结随着面临越来越复杂系统的定理证明，逻辑系统也面临逻辑公式复杂、推理规则复杂和自动定理证明困难等问题为降低难度，从本文的经验看，把

137、其中适合于用图形表示的领域专用逻辑图形化，形成符号逻辑和图形逻辑的组合，是一条可以尝试的途径下一步将考虑怎样在目前基础上设计实用性大大提高的形状图逻辑和形状系统首先，充实基本形状集，并分成单态基本形状和多态基本形状单态基本形状的特点是，易变数据结构中各节点的类型相同，各节点所含指针数相同并且它们指向的类型都是节点本身的类

138、型本文谈及的单链表等种形状都属于单态基本形状多态基本形状的特点是，易变数据结构中各节点的类型相同，各节点所含指针数可以不同但它们指向的类型都是节点本身的类型节点的多态性依靠节点类型中的共用体域来体现例如编译器中常用的抽象语法树就可以设计成多态基本形状其次，规定复杂形状的构造方式，并相应地修改形状系统中的形状推断规则和形

139、状检查规则复杂形状至少有嵌套形状、含内部附加指针的形状和含外来附加指针的形状这样三类，它们在构造方式上的特点分别是：各节点都有指向同种内嵌形状的指针（例如双向链表的节点都有指针指向各自的单链表）、各节点都有指向本形状节点的附加指针（例如带父节点指针的二叉树）、来自形状外部的附加指针（例如队列可以看成带一个这种附加指针的单

140、链表，附加指针指向链表的最后一个节点）用基本形状集加上复杂形状的几种构造方式，可以控制住易变数据结构的复杂性，并满足大部分应用对易变数据结构的需求，同时也使得扩展形状图逻辑来自动验证操作复杂易变数据结构的程序成为可能致谢感谢刘刚、张志天、宋艳辉、孟建超、韩亚慧和郝韛等研究生，他们为实现系统原型做出了贡献！参考文献，，，：，，（）：，

141、，，：，，：，，：，，，，：，，，，，：，，：，，：计算机学报年，：，，：：，：，，：，，：，，，：，，，，（）：，：，：，：，，：，：，，，：，，（）：（）（张志天，李兆鹏，陈意云，刘刚一个程序验证器的设计和实现计算机研究与发展，，（）：）：，，：，，：，，：，，，，：，，，：，，，：，，：，，，：，，，，：，

142、，，，：，，，，：，，，（）：，，，，：，，，，，，，：，，，，：，，，：，，：，：，，：，，，，，：，，，，：，，，，期张昱等：形状图理论的定理证明，，，，，，，：，，，，：，，，，，：，，，，，：，，：，，，：，，，，，（）：犣犎犃犖犌犢狌，，，，，犆犎犈犖犢犻犢狌狀，，，，，犔犐犣犺犪狅犘犲狀犵，，，，，犅犪犮犽犵狉狅狌狀犱（），，，，，，，，，，：，，，，，，，，，，，犃犛犺犪狆犲犌狉犪狆犺犔狅犵犻犮犪狀犱犪犛犺犪狆犲犛狔狊狋犲犿犑狅狌狉狀犪犾狅犳犆狅犿狆狌狋犲狉犛犮犻犲狀犮犲犪狀犱犜犲犮犺狀狅犾狅犵狔，（），，（），，计算机学报年

展开阅读全文