[发明专利]一种基于形式化验证的网络可达性求解方法

说明书

本发明公开了一种基于形式化验证的网络可达性求解方法，该方法对网络可达性问题进行抽象建模，通过语义等价性基于集合进行具体建模和精化，并通过逻辑等价性转换实现网络可达性求解方法，形式化验证能够确保该方法可正确有效地求解网络模型的可达性问题。本发明借助形式验证工具，通过数学推理确保了可达性求解方法的正确性和逻辑完备性。相比于传统的用例覆盖测试方案，本发明基于形式化验证方法保证了网络可达性方法的正确性和有效性。

技术领域

本发明涉及形式化方法领域，尤其涉及一种基于形式化验证的网络可达性求解方法。

背景技术

随着大数据和云端技术的发展，互联网企业向用户提供了众多云服务，个人用户和企业用户能够在云服务器上构建私有云，对网络中的配置实现自主化配置。而在这种虚拟私有云的环境下，用户对其部署的网络服务具有较高的安全性需求，自主化设计的网络配置和规则需要满足用户的实际需求，以防存在用户设置黑名单内的主机能够访问部署的网络的情况等。

网络可达性是指在某个网络上，主机A能够到达主机B，当且仅当存在一条物理路径，可以找到一种数据包(如，IP，TCP，UDP等)从A发出，能满足网络中所有途径主机的安全组、访问控制列表(Access Control List)等所有规则限制类实体对于IP或端口或协议的限制，并到达主机B。对网络可达性求解结果的分析，能够清晰地表示出当前用户配置的网络下的访问权限情况，以助于用户了解相应的配置是否符合需求，确保网络的配置的安全性。

本发明的目的为使用形式化验证的方法对网络可达性求解算法进行正确性验证。

当前网络可达性检测领域存在的问题如下：

(1)常见的网络可达性检验使用网络测试等传统方法。但这些测试方法通常采用枚举的方式，能够检测出的错误有限，耗费的资源较多和时间较长，也难以对错误的配置进行精确的分类和总结，难以切实保证实际的配置安全性需求。

(2)随着近年来形式化验证延展性和建模能力的进一步提高，越来越多的研究学者将形式化技术运用到了网络领域中。通过使用形式化验证方法对不同网络层进行抽象的建模，以完备严格的数学证明手段和验证工具来确保网络配置的正确性，能够较好地解决枚举测试网络的缺陷。然而，形式化验证在网络领域的应用仍处于起步阶段，在应用范围、验证算法时间复杂度、求解器性能等方面具有局限性。具体包括：

(a)目前，形式化方法在解决网络领域问题上仍缺乏广泛的应用，很多网络领域的配置模型或冲突检测趋向于解决某一种类型的配置问题，如路由选择中的错误配置和某些特定协议和规则的校验；

(b)验证算法具有较高的时间复杂度，有待优化；

(c)求解器的功能具有局限性，即使某一种求解器在某种问题上的解决方案可行，但在其他问题上可能无法有很好的解决方案。

(3)网络本身的复杂性和多样性对网络可达性求解提出了性能和扩展性要求。当前网络通常具有复杂的网络结构，包含众多具备不同属性的实体对象，各实体之间具有多层嵌套和复杂的连通关系；不同网络环境下的组成部分、协议和路由规则都有所不同，而多种规则限制类实体能够生成对数据包的包头字段生成不同限制条件。在用形式化方法对网络结构进行验证前，需要考虑网络中涵盖的所有对象特征以完成网络模型的构建。有效的网络模型能够化简网络验证的复杂性，提供更高效的网络验证手段。

针对上述问题，本发明需要同时兼顾网络结构建模和验证算法两个方面，得到经过形式化验证的高效可达性求解算法，确保在当前包含多种实体、协议、规则的网络模型下正确可靠地进行可达性求解。同时，用户通过将返回结果与其预期结果进行对比，也可对当前网络环境配置的正确性进行一些判断——若两点可达，则返回满足可达条件的数据包和从起点到终点的路径，用以确保网络环境下的配置安全。

发明内容

本发明的目的在于针对现有技术的不足，提出了一种基于形式化验证的网络可达性求解方法。