Langage de spécification : EBPA ∗ 0,1 - Application des propriétés spécifiables par les automat

6.3 Application des propriétés spécifiables par les automates d’édition

6.3.1 Langage de spécification : EBPA ∗ 0,1

Dans cette section, nous présentons la syntaxe et la sémantique de l’algèbre de processus EBPA∗_0,1 (Extended Basic Process Algebra). Il s’agit d’une extension du langage BPA∗_0,1 que nous avons décrit précédemment. Ce langage nous permet également d’uniformiser la spécification des programmes et des propriétés en les représentant par des processus. Nous définissons également la notion d’équivalence entre processus selon les traces d’exécution, dans le contexte particulier des propriétés spécifiables par les automates d’édition.

Syntaxe de EBPA∗_0,1

Soit a une action atomique qui appartient à un ensemble fini d’actions Σ et P, Q deux

processus. La syntaxe de EBPA∗_0,1est définie par la grammaire BNF suivante :

P, Q ::= 0 | 1 | a | a+ _{| a}− _{| P + Q | P.Q | P}∗_Q

– a spécifie l’exécution de l’action a ;

– a−_{spécifie la suspension de l’exécution de l’action}_{a ;}

– a+ _{spécifie l’insertion (l’exécution) des actions précédemment suspendues suivies de}

l’exécution de l’actiona.

Les autres composantes de la syntaxe de EBPA∗_0,1sont identiques à celles présentées dans la syntaxe BPA∗_0,1. Nous désignons également parP l’ensemble de tous les processus.

TABLE 6.5 – Sémantique opérationnelle de EBPA∗_0,1.

(Ra₎ 2 a, τ −→ 1, τa (R 1_{) 2} 1 ↓ (Ra+ ) 2 a+, τ −→ 1, ετ.a (R a− ) 2 a−, τ −→ 1, τ.aε (R∗ r↓)_(PP ↓∗_{Q) ↓} (R.↓) P ↓_{(P.Q) ↓}Q ↓ (R. l) P, τ σ −→ 1, τ′ Q, τ′ −→ Qσ′ ′, τ′′ P.Q, τ −→ Qσ.σ′ ′_{, τ}′′ (R . r) P, τ −→ Pσ ′, τ′ P.Q, τ −→ Pσ ′_{.Q, τ}′ (Rl+↓) _{(P + Q) ↓}P ↓ (R+r↓) _{(P + Q) ↓}Q ↓ (R_l+) P, τ σ −→ P′_{, τ}′ P + Q, τ −→ Pσ ′, τ′ (R + r) Q, τ −→ Qσ ′_{, τ}′ P + Q, τ −→ Qσ ′, τ′ (R∗ l) P, τ σ −→ P′, τ′ P∗Q, τ −→ Pσ ′.(P∗Q), τ′ (R ∗ r) Q, τ σ −→ Q′, τ′ P∗Q, τ −→ Qσ ′, τ′

Sémantique de EBPA∗_0,1

La sémantique opérationnelle de EBPA∗_0,1 est définie par la relation de transition

→∈ (P × Σ∗_{) × Σ}∗_{× (P × Σ}∗_{) décrite dans la table} _6.5_{. Il s’agit d’une extension de la sé-}

mantique opérationnelle présentée dans la table6.1. Comme particularité, elle comporte des règles spécifiant l’insertion et la suppression d’actions. Aussi, au lieu d’exécuter des actions atomiques, cette algèbre permet l’exécution de séquences d’actions d’une manière atomique. Cet aspect nous permet de traduire l’insertion de séquences d’actions. De plus, on retrouve la notion d’historique qui est intégrée au niveau des règles. Par exemple, si l’on considère l’exé- cution suivante :P, τ −→ Pσ ′_{, τ}′_{, cela spécifie le fait qu’un processus}_{P ayant un historique}

d’actionsτ , lorsqu’il exécute la séquence d’actions σ, évolue et devient un processus P′_ayant

un historiqueτ′_{. Plus précisément,}_{τ est une séquence d’actions qui désigne l’historique des}

actions supprimées maintenu par chaque processus.

Principalement, la gestion de l’historiqueτ est effectuée selon les trois règles suivantes :

1. Lorsque le processus accepte une action a (Règle Ra_{), le contenu de la séquence} _τ reste inchangé. Par conséquent, la règleRa_{ne modifie jamais l’historique des actions} supprimées et l’actiona est émise.

2. Lorsque le processus suspend l’exécution d’une action a (Règle Ra−

), le contenu de la séquence τ est mis à jour, en concaténant l’action a à la valeur courante de τ . Par

conséquent, la nouvelle valeur deτ est τ.a. Dans ce cas, aucune action n’est exécutée

par le processus (l’actionε est émise).

3. Lorsque le processus reconnaît une exécution valide (satisfaisant la propriété de sécu- rité) se terminant par l’actiona (Règle Ra+

), le contenu de la séquenceτ est mis à jour,

en lui affectant la séquence vide (ε) comme nouvelle valeur. Dans ce cas, la séquence τ suivie de l’action a est exécutée par le processus d’une manière atomique.

On rappelle que la fonctiono a pour rôle de déterminer si un processus termine immédia-

tement son exécution ou pas. La fonctiono est similaire à la définition donnée dans 6.2sauf qu’elle considère l’ensemble d’actions atomiques{a, a+_{, a}−_{} comme le montre la table} _6.6_.

Afin de mieux visualiser le mécanisme d’exécution des processus selon la sémantique opérationnelle de EBPA∗_0,1, nous présentons dans la table 6.7un exemple illustrant l’évolution du processusab−_c+_{jusqu’à sa terminaison. Nous supposons toujours que l’historique initial}

d’un processus est vide. D’abord, à partir du processusab−_c+_{, on applique la règle}_R. l pour obtenir les deux processusa et b−_c+_{. Ensuite, le processus}_{a exécute (accepte) l’action a selon}

TABLE 6.6 – Définition de la fonctiono dans EBPA∗_0,1 o(0) = 0 o(1) = 1 o(a) = 0 o(a+_{) = 0} o(a−_{) = 0} o(P∗_{Q) = o(Q)}

o(P.Q) = o(P ) × o(Q) o(P + Q) = Max(o(P ), o(Q))

TABLE6.7 – Exécution du processusa.b−_.c+_{dans EBPA}∗ 0,1. (Ra− ) 2 (Ra+ ) 2 (Ra₎ 2 _(R. l) b −_{, ε} ε −→ 1, b c+, b−→ 1, εbc (R. l) a, ε a −→ 1, ε b−_c+_{, ε} ε.bc −→ 1, ε ab−c+, ε−→ 1, εa.bc

la règle(Ra_{) et termine son exécution (il évolue vers le processus 1), en laissant l’historique} inchangé. Du processusb−_c+_{, on applique encore une fois la règle}_R.

lpour obtenir les deux processusb−_et_c+_{. Le processus}_b−_{suspend l’action}_{b en émettant l’action vide ε, termine son}

exécution et sauvegarde l’action supprimée (b) dans l’historique, selon la règle (Ra−

). Enfin, du processusc+_{, on applique la règle}_(Ra+

) ce qui a pour effet de terminer son exécution ; cette règle consiste à insérer la séquencebc d’une manière atomique (il s’agit de l’action b

sauvegardée dans l’historique concaténée à l’actionc qui a déclenché l’insertion) et à vider

Équivalence des traces dans EBPA∗_0,1

Dans l’algèbre EBPA∗_0,1, les processus sont capables d’exécuter des séquences d’une ma- nière atomique et de manipuler des historiques d’actions. Par conséquent, nous étendons la définitions de la relation։ pour qu’elle puisse inclure ces nouveaux aspects comme suit :

2 P, τ ։ǫ P, τ P, τ ։σ P′, τ′ P′, τ′ −→ Pσ′ ′′, τ′′ P, τ σ.σ ′ ։ P′′, τ′′

Aussi, nous adaptons la définition6.2.1de la relation “Plus restrictif” au langage EBPA∗_0,1 comme suit :

Définition 6.3.1 (Plus restrictif,⊑τ1,τ2). SoientP et Q deux processus et soient τ1,τ2 deux sé- quences appartenant àΣ∗ _{qui représentent leurs historiques respectifs. On dit que}_{P ⊑}

τ1,τ2 Q si pour toute séquence σ ∈ Σ∗ _{telle que :} _{P, τ}

1 σ ։ P′_{, τ}′ 1, il existe un processus Q′ et un historiqueτ′ 2tels que : (1) Q, τ2 σ ։Q′_{, τ}′ 2, (2) o(P′_{) = 1,} (3) o(Q′_{) = 1 .}

Dans cette définition, nous avons posé des conditions supplémentaires sur les processus, afin que la comparaison porte sur les séquences réellement exécutées. Cette situation est principalement due au fait que l’algèbre EBPA∗_0,1 impose un contexte d’édition d’actions (suppression, insertion). Autrement dit, nous ne pouvons considérer les séquences émises par un processus sans qu’il n’ait terminé son exécution.

Afin de mieux éclairer ce point, considérons l’exemple du processus spécifiant le programme (abc) et du processus spécifiant la propriété (ab−_c+_{). En considérant leurs histo-}

riques initiaux comme étant vides, nous constatons ce qui suit :

– Le processus spécifiant le programme (abc) est capable d’émettre (exécuter) les pré- fixes suivants :{a, ab, abc}.

– Le processus spécifiant la propriété(ab−_c+_{) est capable d’émettre uniquement les sé-}

quences{a, abc}.

– Le programme devrait satisfaire la propriété puisqu’il génère la séquence abc. Néan-

moins, ce programme engendre une trace (ab) qui n’appartient pas aux traces de la

propriété. Par conséquent, ceci contredit la définition6.2.1.

Cependant, en imposant les conditions(2) et (3) de la définition 6.3.1, seule la séquence

abc est considérée concernant le processus spécifiant le programme. Par conséquent, nous ob-

tenons(abc) ⊑ (ab−_c+_{). Ainsi, nous pouvons dire que le processus (abc) satisfait la propriété}

(ab−_c+_).

La notationP ⊑τ,τ′ Q est une abréviation de P, τ ⊑ Q, τ′.

Dans le reste de ce chapitre, la notation P ⊑ Q est utilisée au lieu de P ⊑ε,ε Q (qui signifie que les historiques initiaux des processusP et Q sont vides).

On dit que deux processusP et Q sont équivalents selon les traces et on écrit : P ∼ Q si P ⊑ Q et Q ⊑ P .

Voici quelques exemples de comparaison entre processus : – (abc) ⊑ (ab−_c+_{) mais ¬((ab}−_c+_{) ⊑ (abc)) .}

– (a + abc) ∼ (ab−_c+_{) .}

– ¬((ab−_c+_{d) ⊑ (abc}−_d+_{)) puisque ab}−_c+_{d, ε} abc_։ _{d, ε mais il n’existe aucun processus}

Q ni aucun historique τ tels que abc−_d+_{, ε}abc_։_{Q, τ .}

– ¬((abc−_d+_{) ⊑ (ab}−_c+_{d)) puisque (abc}−_d+_{), ε} _։ab _c−_d+_{, ε mais il n’existe aucun pro-}

cessusQ ni aucun historique τ tels que (ab−_c+_{d), ε}_։ab _{Q, τ .}

Dans le document Réécriture de programmes pour une application effective des politiques de sécurité (Page 151-156)