我想证明我的一些程序的正确性,但我不知道从哪里开始。假设我有以下程序,我怎样才能证明其正确性或缺乏正确性。我怎样才能从下面的源码中找到并将它们插入到一个定理证明器中。 Coq或ACL2或几乎任何东西。
下面的代码只计算它从标准输入中读取的字节数。它有2个版本,一个是逐字节计数,另一个是无符号整数大小的块。我知道它不便携或漂亮,这只是一个可以让我开始的例子。有一些帮助。
代码有效,我知道它是正确的,我知道如何为它编写单元测试,但我不知道如何证明它。
#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
unsigned count_bytes1(unsigned char * bytes, unsigned len) {
unsigned count=0;
unsigned i;
for (i=0;i<len;i++) {
count+=bytes[i];
}
return count;
}
unsigned count_word(unsigned word) {
unsigned tmp = word;
if (sizeof(unsigned)==4) {
tmp = (0x00FF00FFU&tmp) + (( (0xFF00FF00U)&tmp)>>8);
tmp = (0x0000FFFFU&tmp) + (( (0xFFFF0000U)&tmp)>>16);
return tmp;
}
if (sizeof(unsigned)==8) {
tmp = (0x00FF00FF00FF00FFU&tmp) + (( (0xFF00FF00FF00FF00U)&tmp)>>8);
tmp = (0x0000FFFF0000FFFFU&tmp) + (( (0xFFFF0000FFFF0000U)&tmp)>>16);
tmp = (0x00000000FFFFFFFFU&tmp) + (( (0xFFFFFFFF00000000U)&tmp)>>32);
return tmp;
}
return tmp;
}
unsigned count_bytes2(unsigned char * bytes, unsigned len) {
unsigned count=0;
unsigned i;
for (i=0;i<len;) {
if ((unsigned long long)(bytes+i) % sizeof(unsigned) ==0) {
unsigned * words = (unsigned *) (bytes + i);
while (len-i >= sizeof(unsigned)) {
count += count_word (*words);
words++;
i+=sizeof(unsigned);
}
}
if (i<len) {
count+=bytes[i];
i++;
}
}
return count;
}
int main () {
unsigned char * bytes;
unsigned len=8192;
bytes=(unsigned char *)malloc(len);
len = read (0,bytes,len);
printf ("%u %u\n",count_bytes1(bytes,len),count_bytes2(bytes,len));
return 0;
}
答案 0 :(得分:5)
首先,确定你想要为你的功能证明什么。例如,使用ACSL规范语言编写函数的合约:
/*@ ensures \result >= x && \result >= y;
ensures \result == x || \result == y;
*/
int max (int x, int y);
然后,您可以证明您的实现符合规范,例如使用Frama-C的WP plug-in。
WP插件将生成证明义务,其验证将确保实现在规范方面是正确的。你可以在Comq 8.4+中证明这些,如果它让你感到愉快(但几乎没有人真正做到这一点,并没有首先应用可用的全自动SMT证明,如Alt-Ergo)。
PS:您似乎正在尝试证明一个C函数与另一个C函数等效,即使用简单的C函数作为优化函数的规范。证明一个相对于另一个的等价性是本文所遵循的方法:
JoséBacelarAlmeida,Manuel Barbosa,Jorge Sousa Pinto和BárbaraVieira。 验证加密软件与参考实现的正确性。在FMICS'09,LNCS第5825卷,第37-52页,2009年。