Luận văn Mô hình hóa và kiểm chứng các chương trình phần mềm hướng khía cạnh

phương pháp dựa trên phân tích một ứng dụng EAOP bằng phương pháp hình thức Event-B. Ý tưởng xuất phát từ sự tương đồng giữa cấu trúc sự kiện Event-B và EAOP. Đầu tiên, chúng ta xác định các thành phần ứng dụng trong EAOP chuyển đổi sang mô hình Event-B. Tiếp theo, chúng tôi đưa mô hình hóa tiếp cận thực tế bằng cách sử dụng nền tảng Rodin để kiểm chứng thuộc tính chương trình có còn bảo tồn một số tính chất sau khi thực hiện đan chương trình, các ràng buộc khác dựa trên công cụ chứng minh tự động. Ưu điểm của cách tiếp cận 10 này là chương trình bao gồm các khía cạnh, biến và các ràng buộc khác được mô hình hóa dễ dàng bằng những đặc tả logic trong Event–B như bất biến và sự kiện. Do đó, tính đúng đắn của hệ thống có thể được chứng minh bằng phương pháp hình thức. Điều đó rất quan trọng cho các nhà phát triển phần mềm phát hiện được các vấn đề ở thời gian thiết kế. Hơn nữa, cách tiếp cận gần với thực tế mà chúng tôi có thể triển khai một công cụ theo ý tưởng chính để chuyển đổi mô hình EAOP từ Event–B sang công cụ Rodin tự động. Cuối cùng, phương pháp đề xuất được minh họa chi tiết với một chương trình ATM. 1.3. Đóng góp của luận văn Đóng góp của luận văn liên quan việc mô hình hóa và kiểm chứng EAOP sử dụng phương pháp hình thức Event-B. Phương pháp mà chúng tôi đề xuất dựa trên việc dịch một chương trình EAOP thành các máy của Event-B, tận dụng các cơ chế làm mịn để kiểm chứng những ràng buộc trong chương trình trong mỗi khía cạnh. Với mong muốn kiểm tra chương trình có còn bảo toàn một số định nghĩa thuộc tính sau khi đan chương trình. Luận văn cũng minh họa phương pháp mô hình hóa và kiểm chứng trong một chương trình ATM. 1.4. Cấu trúc luận văn Các phần còn lại của luận văn có cấu trúc như sau: Chương 2: EAOP và Event-B Giới thiệu khái quát những kiến thức cơ bản về AOP. Sau đó, giới thiệu khái quát cơ bản về mô hình kiến trúc EAOP. Trình bày những kiến thức tổng quan về phương pháp hình thức Event-B, mô tả cấu trúc, các thành phần của Event-B. Trình bày công cụ kiểm chứng tự động Rodin. Chương 3: Mô hình hóa và kiểm chứng các phần mềm hướng khía cạnh 11 Trình bày các định nghĩa được ánh xạ của phương pháp hình thức Event-B, các luật chuyển đổi giữa mô hình chương trình phần mềm hướng khía cạnh dựa sự kiện sang mô hình Event-B. Kiểm chứng hệ thống. Chương 4: Áp dụng bài toán Áp dụng phương pháp đã trình bày ở trên để mô hình hóa và kiểm chứng bài toán máy ATM. Kết luận Kết luận tổng thể các kết quả đạt được trong luận văn và hướng phát triển của luận văn. 12 CHƯƠNG 2. EAOP VÀ EVENT-B 2.1. Các đặc điểm của lập trình hướng khía cạnh Lập trình hướng khía cạnh (Khía cạnh Oriented Programming – AOP) [13] là phương pháp lập trình phát triển trên tư duy tách biệt các mối quan tâm khác nhau thành các mô đun khác. AOP là một mô hình lập trình mới mẻ ngăn cách mối quan tâm ở cấp thực hiện. Trong quan điểm phát triển phần mềm, AOP cho phép các nhà phát triển áp dụng khía cạnh mà thay đổi hành vi các lớp hoặc đối tượng độc lập của bất kỳ hệ thống phân cấp thừa kế. Các phát triển sau đó có thể áp dụng những khía cạnh hoặc trong thời gian chạy hoặc thời gian biên dịch. Ở đây, chúng tôi sẽ mô tả yếu tố chính của AOP: a. Điểm nối (join point) Điểm nối có thể là bất kỳ điểm nào có thể xác định được khi thực hiện chương trình [13]. Có thể là lời gọi hàm đến một phương thức hoặc một lệnh gán cho một biến của đối tượng. Trong khía cạnh mọi thứ đều xoay quanh điểm nối. Điểm nối được phân loại như sau:  Điểm nối tại các phương thức.  Điểm nối tại hàm khởi tạo (contructor).  Điểm nối tại điểm truy cập các thuộc tính.  Điểm nối tại điểm điều khiển ngoại lệ: được biểu diễn trong khối điều khiển ngoại lệ.  Điểm nối tại các hành vi. b. Hướng cắt (pointcut) Hướng cắt là cấu trúc chương trình mà nó chọn các điểm nối và ngữ cảnh tại các điểm nối đó [13]. Ta có thể khai báo hướng cắt trong một khía cạnh, một lớp hoặc 13 một giao diện. Giống như phương thức, có thể dùng định danh truy cập (public, private) để giới hạn quyền truy cập đến hướng cắt. Các hướng cắt có thể có tên hoặc không tên. Các hướng cắt không tên cũng giống như các lớp không tên, được định nghĩa tại nơi sử dụng. Các hướng cắt được đặt tên thì có thể được tham chiếu từ nhiều nơi khác. Bảng ánh xạ giữa các điểm nối được chọn cho các hướng cắt: Loại điểm nối Cú pháp hướng cắt Thực hiện phương thức execution(MethodSignature) Gọi phương thức call(MethodSignature) Thực hiện hàm khởi tạo execution(ConstructorSignature) Gọi hàm khởi tạo call(ConstructorSignature) Khởi tạo lớp staticinitialization(TypeSignature) Đọc thuộc tính get(FieldSignature) Ghi thuộc tính set(FieldSignature) Thực hiện điều khiển ngoại lệ execution handler (TypeSignature) Khởi tạo đối tượng initialization(ConstructorSignature) Tiền khởi tạo đối tượng preinitialization(ConstructorSignature) Thực hiện advice adviceexecution () c. Mã hành vi (advice) Mã hành vi [13] là mã được thực hiện tại một điểm nối mà được chọn bởi hướng cắt. Hay nói cách khác, nếu có hướng cắt là khai báo tên phương thức, thì mã hành 14 vi là phần thân của phương thức đó. Hướng cắt và mã hành vi sẽ hình thành nên các luật đan kết các quan hệ đan xen. Mã hành vi được chia thành 3 loại:  Before: được thực hiện trước điểm nối.  After: được thực hiện sau điểm nối.  Around: bao quanh sự thực hiện điểm nối, mã hành vi này có thể thực hiện vòng, thực hiện tiếp của mã nguồn ban đầu hoặc thực hiện thay đổi ngữ cảnh (tham số của hàm, ...). d. Khía cạnh (khía cạnh) Khía cạnh là phần tử trung tâm của aspectJ, giống như lớp trong Java. Khía cạnh chứa mã thể hiện các luật đan kết cho các concern [13]. Điểm nối, hướng cắt, mã hành vi được kết hợp trong khía cạnh. Tuy có gần giống các đặc điểm của lớp trong Java như: chứa thuộc tính, phương thức, có thể khai báo trừu tượng, có thể kế thừa nhưng, khía cạnh có một số khác biệt cơ bản sau:  Khía cạnh không thể khởi tạo trực tiếp.  Khía cạnh không thể kế thừa từ một khía cạnh cụ thể (không phải trừu tượng).  Khía cạnh có thể được đánh dấu là có quyền bằng định danh privileged. Nhờ đó nó có thể truy cập đến các thành viên của lớp mà chúng cắt ngang. e. Thực thi cắt ngang (crosscutting) Thực thi cắt ngang trong AspectJ, là quá trình biên dịch thực thi các quy tắc đan các mô đun cắt ngang vào mô đun chính [13]. Thực thi cắt ngang có 2 loại:  Thực thi cắt ngang động (dynamic crosscutting): là việc đan các mã hành vi mới vào quá trình thực thi một chương trình. Trình biên dịch sẽ dựa vào tập 15 các quy tắc đan để xác định điểm đan để chèn thêm hoặc thay thế luồng thực thi của chương trình bằng mô đun cắt ngang. Từ đó, làm thay đổi hành vi của hệ thống.  Thực thi cắt ngang tĩnh (static crosscutting) là quá trình đan một sửa đổi vào cấu trúc tĩnh của lớp, giao diện, hay các khía cạnh của hệ thống. Chức năng chính của thực thi cắt ngang tĩnh là hỗ trợ cho thực thi cắt ngang động. f. Đan mã khía cạnh AspectJ cho phép đan xen mã khía cạnh với các chương trình Java ở ba mức khác nhau mức mã nguồn, mã bytecode và tại thời điểm nạp chương trình khi chương trình gốc chuẩn bị được thực hiện [18]. Đan ở mức mã nguồn (source code weaving), aspectJ sẽ nạp các mã khía cạnh và Java ở mức mã nguồn (.aj và .java), sau đó thực hiện biên dịch để sinh ra mã đã được đan xen bytecode, dạng .class. Đan xen ở mức mã bytecode (byte code weaving), aspectJ sẽ dịch lại và sinh mã dạng .class từ các các mã khía cạnh và Java đã được biên dịch ở dạng (.class). Đan xen tại thời điểm nạp chương trình (load time weaving), các mã của khía cạnh và Java dạng .class được cung cấp cho máy ảo Java (JVM). Khi JVM nạp chương trình để chạy, bộ nạp lớp của aspectJ sẽ thực hiện đan xen và chạy chương trình. Với việc đan xen ở mức mã bytecode và tại thời điểm nạp chương trình thì phương pháp này có thể được sử dụng mà không yêu cầu phải có mã nguồn. Khi thay đổi đặc tả thì mới phải phải sinh và biên dịch lại mã khía cạnh [18]. 2.1.1. Quản lý các concerns hệ thống Concern là các yêu cầu cụ thể hay mối quan tâm đặc trưng được xác định để thỏa mãn mục tiêu chung của hệ thống. Hệ thống phần mềm là sự gắn kết của tập các concern. Ví dụ, hệ thống ngân hàng bao gồm các concern: quản lý khách hàng, quản lý tài khoản, giao dịch nội ngân hàng, giao dịch ATM, chăm sóc khách hàng, lưu giữ 16 các thực thể trong hệ thống, xác nhận truy cập dịch vụ,... Ngoài ra một phần mềm còn phải đảm bảo khả năng dễ hiểu, dễ bảo hành, dễ duy trì, và dễ phát triển [13]. Concern được chia làm 2 loại:  Concern thành phần: thể hiện các chức năng nội tại của mô đun.  Concern đan xen: thể hiện các quan hệ ràng buộc giữa các mô đun trong hệ thống. Các concern được phục vụ cho một vài mô đun. Ví dụ, logging tác động tới tất cả các mô đun trong hệ thống, authencication tác động tới mô đun có yêu cầu kiểm soát truy cập. Việc xác định được các concern trong hệ thống, chúng ta sẽ tập trung vào các concern một cách độc lập và sẽ giảm độ phức tạp của hệ thống. Các concern đan xen nhau giữa các mô đun, các kỹ thuật thi công hiện tại sẽ trộn chúng vào một mô đun. Hình 1 [13] sẽ minh họa: Với mô hình biển diễn nhiều chiều của các concern được ánh xạ trên các ngôn ngữ một chiều như sau. Hình 1: Mô hình ánh xạ từ các concern hệ thống sang các phương pháp lập trình truyền thống Trong thiết kế phần mềm cách tốt nhất để đơn giản hóa các hệ thống phức tạp là xác định các concern rồi mô đun hóa chúng. OOP được thiết kế để phục vụ việc mô đun hóa các concern cơ bản, nhưng khi gặp concern mức hệ thống thì OOP không đáp ứng được yêu cầu. Hình 2 [13] minh họa ví dụ thiết kế dùng phương pháp truyền 17 thống. Ngay cả khi bạn có một bản thiết kế tốt của logging mô đun như: cung cấp các API trừu tượng (Abstract API), giấu các định dạng log mesage ... Các mô đun còn lại vẫn cần phải nhúng các đoạn mã để gọi các logging API. Hình 2: Các mô đun yêu cầu logging đều phải nhúng các đoạn mã để gọi logging API Đây chính là vấn đề sẽ được giải quyết bằng AOP, sử dụng AOP các mô đun khác không cần chứa đoạn mã gọi logging API. Hình 3 [13] chỉ ra cách thức thực hiện mô đun logging dùng AOP có cùng chức năng với cách sử dụng OOP, như được ghi trên hình vẽ, cách thực hiện logging bây giờ chỉ tồn tại trong logging mô đun và logging khía cạnh. Các mô đun khác không chứa bất kỳ đoạn mã nào gọi đến logging API. Như vậy các yêu cầu đan xen giữa các logging mô đun và các mô đun khác được thực hiện duy nhất trong một mô đun hay logging khía cạnh. Với phương pháp mô đun hóa này bất cứ sự thay đổi yêu cầu nào về logging chỉ ảnh hưởng duy nhất đến logging khía cạnh. 18 Hình 3: Giải quyết các concern hệ thống bằng phương pháp AOP 2.1.2. Phương pháp luận của AOP Hình 4 [13] mô tả việc phát triển các hệ thống sử dụng AOP: xác định concern, thực hiện chúng, kết hợp lại để thành hệ thống cuối cùng. Cụ thể:  Phân tích bài toán theo hướng khía cạnh (Aspectual decomposition): chúng ta phân tách các yêu cầu nhằm xác định các concern lõi và concern đan xen. Các concern lõi được tách ra khỏi các concern đan xen.  Xây dựng các chức năng (Concern implementation): thực thi các concern một cách độc lập.  Kết hợp các khía cạnh lại để tạo nên hệ thống hoàn chỉnh (Aspectual Recomposotion): chỉ ra các quy luật kết hợp bằng cách tạo ra các khía cạnh còn được gọi là quá trình đan mã, sử dụng các thông tin trong khía cạnh để cấu thành hệ thống đích. 19 Hình 4: Các giai đoạn phát triển sử dụng phương pháp AOP 2.1.3. Ưu điểm của AOP Những ưu điểm của phương pháp AOP như sau:  Tách biệt chức năng hơn của các mô đun độc lập.  Tính năng mô đun hóa cao hơn.  Phát triển hệ thống dễ dàng hơn.  Kết nối được với các thiết kế trong tương lai.  Tăng khả năng sử dụng lại mã.  Giảm thời gian thi công hệ thống.  Giảm giá thành hệ thống. 2.1.4. Nhược điểm của AOP Mặc dù phương pháp AOP có nhiều ưu điểm, song phương pháp AOP vẫn còn có những nhược điểm là:  AOP không là cứu cánh cho các nhà thiết kế cẩu thả.  AOP phá vỡ tính đóng gói. 20 2.2. Lập trình hướng khía cạnh dựa sự kiện Nghiên cứu của luận văn về lập trình hướng khía cạnh dựa sự kiện (Event-based Aspect-Oriented Programming - EAOP) [3] có những mục tiêu chính: Nghiên cứu về các thức mô tả các định nghĩa về khía cạnh. Cụ thể hơn, mô hình của chúng tôi có những đặc điểm sau đây. Khía cạnh được thể hiện bằng các sự kiện sinh ra trong quá trình thực hiện chương trình cơ bản. Đan khía cạnh được thực hiện trên bộ giám sát thực thi, cho phép phát hiện các dãy sự kiện. Để giữ cho mô hình đơn giản và trực quan, chúng ta hãy xem xét một mô hình tuần tự cho các sự kiện đồng bộ: Đầu tiên, ngay sau khi một sự kiện được sinh ra, nó xử lý bởi tất cả các khía cạnh. Thứ hai, xử lý các chương trình cơ bản và các khía cạnh tiến hành lần lượt: Chương trình cơ bản và bộ giám sát thực thi là hai đối trình. Một khía cạnh được xác định bởi hai ngôn ngữ khác nhau: - Ngôn ngữ thực thi cắt ngang, cho phép xác định về điểm, trong đó khía cạnh có thể điều chỉnh các chương trình cơ bản. - Ngôn ngữ hành vi (gọi là "advice" trong aspectJ), cho phép điều chỉnh việc thực hiện các chương trình cơ bản. Ví dụ, khía cạnh bảo mật có thể xác định một thực thi cắt ngang phát hiện dãy bao gồm "yêu cầu" theo sau là "phân bổ dịch vụ" mà gây ra một hành động (ví dụ, một chứng thực). Hình 5: Kiến trúc của EAOP 21 Để xác định khía cạnh, mô hình của chúng tôi cung cấp các toán tử cho các thành phần khía cạnh rõ ràng. Các toán tử này có thể loại trừ những xung đột gây ra bởi khía cạnh tương tranh với nhau tại crosscuts. Ví dụ, khía cạnh bảo mật đã đề cập trước đó và một khía cạnh quản lý trong phân bổ dịch vụ, trong trường hợp này, các khía cạnh bảo mật cần phải được ưu tiên. Hơn nữa, mô hình của chúng tôi cho phép việc ứng dụng các khía cạnh trên các khía cạnh khác. Ví dụ, một khía cạnh logging áp dụng khía cạnh bảo mật có thể tạo ra một bản ghi log cho các quản trị viên hệ thống. EAOP chú ý đến các sự kiện phát sinh ra trong quá trình thực hiện chương trình một cách độc lập với bất kỳ ngôn ngữ lập trình cụ thể nào. Tính năng chính của mô hình là khía cạnh có thể xác định một hành động cho một dãy các sự kiện thay vì những điểm đơn lẻ như được mô tả trong mô hình AOP. Nó có những đặc điểm chính sau:  Khía cạnh: được xác định theo các sự kiện sinh ra trong quá trình thực hiện chương trình.  Thực thi cắt ngang: xâu chuỗi các sự kiện, có thể bao gồm các trạng thái điều chỉnh, chúng được xác định bởi mô hình sự kiện được kết hợp trong quá trình thực hiện chương trình.  Một khi thực thi cắt ngang được liên kết hoàn chỉnh thì một hành động liên quan được thực hiện. 2.2.1 Công cụ EAOP: Kiến trúc và thực hiện Công cụ lập trình hướng khía cạnh dựa sự kiện bao gồm 5 thành phần (như hình 5 [3] mô tả): bộ tiền xử lý trước, bộ giám sát thực thi và ba thư viện (sự kiện, khía cạnh, và thành phần của khía cạnh). a. Bộ tiền xử lý trước 22 Bộ tiền xử lý trước mã nguồn Java của chương trình cơ bản (cũng như các khía cạnh nếu muốn định nghĩa các khía cạnh của khía cạnh) để tạo ra các sự kiện và gọi phương thức nhập vào của bộ giám sát thực thi (ví dụ về công cụ thực thi ở hình 6 [3]). Công cụ này dựa trên các kỹ thuật cổ điển. Đầu tiên, một phương thức foo được đóng gói đổi tên thành foo_original. Việc chuyển đổi phương thức foo mà thân của nó tạo ra một phương thức gọi sự kiện, gọi bộ giám sát thực thi, sau đó gọi phương thức foo_original, tạo ra một phương thức trả về sự kiện, gọi bộ giám sát thực thi trở lại lời gọi. Hình 6: Ví dụ đơn giản hóa việc thực hiện trong chương trình cơ bản Các hàm tạo được đóng gói tương tự. Tuy nhiên, nó không thể tạo ra một sự kiện ở giai đoạn đầu của một cấu trúc bởi vì lệnh đầu tiên của nó phải là một lời gọi đến super. Vì lý do này hàm tạo được chuyển đổi thành hàm tạo mặc định (tạo cấu trúc đối tượng) và các phương thức khởi tạo cung cấp các lệnh phát sinh sự kiện. Công cụ này được thực hiện bởi phương tiện chuyển đổi của chương trình Java: Recoder [REC]. Recoder đơn giản hoá các công thức chuyển đổi và đảm bảo rằng các biến đổi tạo ra mã Java hợp lệ (tức là, kết quả có thể được biên dịch). Để 23 điều khiển bộ kiểm tra, công cụ của chúng tôi bao gồm một nền tảng cho việc áp dụng có chọn lọc các chuyển đổi các phương thức, các lớp, và khía cạnh. Điều này đạt được việc thực thi được một cách hiệu quả, hợp lý nếu số lượng các điểm thực thi không phải là quá lớn. Bên cạnh cơ chế này chúng ta quan tâm đến phép định nghĩa ngôn ngữ khía cạnh và xem xét tính hiệu quả dự trữ cho công việc trong tương lai. b. Bộ giám sát thực thi Bộ giám sát thực thi các sự kiện phát sinh ra trong quá trình thực thi các chương trình cơ bản. Nơi truyền các sự kiện tương ứng với thời điểm thực thi hiện thời với tất cả các khía cạnh. Với kiến trúc của chúng tôi là một chuỗi: Đầu tiên, khi chương trình cơ bản tạo ra một sự kiện và gọi bộ giám sát thực thi, chương trình cơ bản tạm thời ngừng thực thi. Với mỗi một khía cạnh có khả năng phản ứng lại với các sự kiện hiện tại, bộ giám sát thực thi số các lưu lượng giám sát chương trình cơ bản mà tiếp tục thực hiện chương trình cơ bản. Thứ hai, màn hình thực thi truyền các sự kiện hiện tại đến khía cạnh và đợi cho các khía cạnh hoàn thành xử lý trước khi truyền sự kiện này sang một khía cạnh khác. Do đó, chúng tôi loại bỏ bất kỳ khả năng tương tranh giữa các bộ giám sát thực thi các khía cạnh giữa các khía cạnh với nhau. (Nếu không, ngữ nghĩa của các hệ thống dựa trên sự kiện trở nên rất phức tạp.). c. Sự kiện Sự kiện là đối tượng biểu diễn cho điểm thực hiện chương trình Java. Phiên bản hiện tại của công cụ chúng tôi hỗ trợ bốn loại sự kiện: gọi phương thức và kết thúc sự kiện cũng như gọi hàm tạo và trả về các sự kiện. Bốn loại là đủ cho các thử nghiệm hiện tại, nhưng loại mới sẽ được bổ sung khi cần thiết (ví dụ, các sự kiện biểu diễn cho cơ sở dữ liệu hoặc vào trong lệnh rẽ nhánh else). Nền tảng hiện tại đã được chuẩn bị cho các sự kiện như: pha kiểm tra, ví dụ, có thể làm rõ ràng những 24 dòng điều khiển chương trình và thư viện sự kiện mở rộng một cách dễ dàng. Sự kiện mô tả bản chất của các điểm thực hiện mà còn ngữ cảnh động của chúng. Ví dụ, một sự kiện gọi phương thức có chứa bộ nhận, tên phương thức, giá trị đối số, độ sâu của việc thực hiện trong ngăn xếp và xác định mã hiện đang được thực hiện (trong đó phân biệt các chương trình cơ bản với khía cạnh). Nó cũng chứa giá trị logic skip được sử dụng để chỉ ra một gói không phải gọi phương thức gốc (như hình 6 [3] mô tả). Điều này cho phép khía cạnh "thay thế" một phương thức bằng một cách khác, một trường của đối tượng sự kiện (được thiết lập bởi các khía cạnh) định nghĩa các giá trị trả về. d. Khía cạnh Một khía cạnh có thể được xem như là chuyển đổi sự kiện. Trong thực tế, một khía cạnh là một chương trình Java, nó tạo ra sự kiện bằng tham số và thực hiện một số tính toán (có thể thay đổi sự kiện), và chờ cho sự kiện tiếp theo. Ví dụ, khía cạnh bảo mật có thể mã hóa các đối số chứa trong những sự kiện gọi phương thức mà nó nhận được. Các gói của chương trình cơ bản có trách nhiệm trích xuất các giá trị thay đổi của các đối số sự kiện trước khi gọi một phương thức gốc. Giá trị trả về của một lời gọi có thể được lọc bởi một khía cạnh tương tự. Một khía cạnh được định nghĩa bởi sự phân lớp con của lớp Khía cạnh trừu tượng và định nghĩa phương thức definition. Phương thức này không áp đặt các ràng buộc về cấu trúc của mã và sử dụng các phương thức nextEvent để có được các sự kiện. Sau đó, phương thức cuối cùng này là ngăn chặn và chờ đợi bộ giám sát thực thi "khởi động dậy" cùng các khía cạnh với các sự kiện. Hiện thời, điều này được thực hiện bởi luồng Java và thư viện các đối trình đảm bảo điều độ, tại mỗi thời điểm, chỉ có chương trình cơ bản hoặc bộ giám sát thực thi hoặc một khía cạnh đang hoạt động. e. Các thành phần khía cạnh 25 Nếu sự kiện được truyền tuần tự cho tất cả các khía cạnh, bộ giám sát thực thi sẽ tương đương là biến lặp qua dãy của khía cạnh. Các thành phần Khía cạnh quan trọng mở rộng được đưa ra. Có thể hạn chế sự truyền của các sự kiện đến các khía cạnh nhất định, quyết định này là động: bộ giám sát thực thi một cây nhị phân trong đó khía cạnh là lá và các nút bộ lặp là các toán tử thành phần khía cạnh. Bộ giám sát các sự kiện liên tục đến mọi khía cạnh bằng cách thực hiện duyệt cây theo chiều sâu của cây khía cạnh. Hình 7: Cây khía cạnh và sự kiện truyền Công cụ của chúng tôi hiện thời đề xuất bốn toán tử nhị phân của khía cạnh:  Seq truyền các sự kiện hiện tại (nút gốc cha) cho con trái trước và sau đó sang con phải.  Any truyền sự kiện tới 2 con của mình trong một trật tự tùy ý.  Fst truyền sự kiện tới con trái, và nếu như con trái không phát hiện crosscut, sự kiện này được chuyển đến con phải. Mọi khía cạnh và mỗi toán tử thành phần duy trì một trường logic là isCrosscutting để truyền thông tin này. Toán tử logic được quản lý một cách rõ ràng bởi các lập trình viên trong tất cả các khía cạnh.  Cond truyền sự kiện đến con trái, và nếu như con trái phát hiện crosscut, sự kiện này được chuyển đến con phải của nó. 26 Xem xét ví dụ cây khía cạnh trong hình 7 [3], gồm có hai khía cạnh. Trong thời gian thực hiện chương trình cơ bản, một evt1 sự kiện được phát sinh (bước 1), Sau đó, bộ giám sát thực thi sự kiện này đến khía cạnh 1 (bước 2) và cuối cùng là đến khía cạnh 2 (bước 5). Khi khía cạnh 2 chặn lời gọi đến nextEvent, bộ điều khiển chuyển trở lại chương trình cơ bản. Tổ hợp mới có thể được phát triển là cần thiết bởi sự phân lớp con của lớp biểu diễn cho các nút cây nhị phân BinaryKhía cạnhS. Cây khía cạnh có thể được tái cấu trúc động (đặc biệt là khi một khía cạnh tạo ra một trường hợp mới của một khía cạnh và chèn nó vào cây hiện tại của các khía cạnh). Sự tồn tại của các nút khác nhau cũng rất hữu ích để thực hiện các quy tắc cho việc tái cơ cấu động của cây khía cạnh (ví dụ, Any là toán tử thay thế, Seq là kết hợp). f. Khía cạnh của khía cạnh Công cụ EAOP cho phép áp dụng các ứng dụng của khía cạnh cho các khía cạnh khác. Ở cấp độ thực hiện, vấn đề chính trong trường hợp này bao gồm trong việc quản lý các lời gọi đệ quy để bộ giám sát thực thi. Khi một khía cạnh được gọi bởi bộ giám sát thực thi với các sự kiện hiện tại, nó thực thi mã của nó cho đến (chặn) gọi tới nextEvent. Việc thực hiện các mã này có thể phát ra các sự kiện được truyền đến bộ giám sát thực thi. Xem xét lại ví dụ thể hiện trong hình 7 [3]: khía cạnh 1 được cung cấp. Do đó, trong quá trình thực hiện, một evt2 sự kiện được phát sinh và chuyển qua bộ giám sát thực thi (Bước 3), trong đó truyền đến các khía cạnh đã sẵn sàng sử dụng nó, ở đây chỉ có khía cạnh 2 (bước 4). Khi khía cạnh 2 chặn nextEvent điều khiển lại khía cạnh 1, nó khôi phục lại thực hiện được mô tả trong phần trước. Trong thời gian thực thi một khía cạnh, nó không phải là sẵn sàng đón nhận một sự kiện (tức là, nó không bị chặn nextEvent nhưng đợi sự trả về của các phương thức trace của bộ giám sát thực thi). Trạng thái này được thực hiện bằng cách sử dụng giá trị logic isRunning, trong đó với mỗi khía cạnh được quản lý bởi nền tảng 27 của chúng tôi. Bằng cách này, bộ giám sát thực thi không truyền sự kiện đến các khía cạnh mà có cờ isRunning là đúng. Điều này đảm bảo rằng sẽ không có vòng lặp không xác định (ví dụ, một khía cạnh gọi chính nó, hoặc hai khía cạnh gọi nhau). Điều này không có nghĩa rằng một khía cạnh không thể áp dụng cho chính nó nhưng nó đòi hỏi tạo ra các trường hợp khác nhau. Cuối cùng, bộ giám sát tuần tự hóa ứng dụng các khía cạnh và đảm bảo rằng chính xác một luồng (chương trình cơ bản, bộ giám sát thực thi hay khía cạnh) được kích hoạt tại từng thời điểm, chương trình cơ bản có thể gồm nhiều luồng. Trong trường hợp này, phương pháp trace của màn hình phải được đồng bộ hóa sychronized. Cuối cùng, bộ giám sát thực thi được gọi lại để đối phó với các khía cạnh của khía cạnh. Để kết luận mô tả này, lưu ý rằng công cụ của chúng tôi không thực sự cung cấp một ngôn ngữ chuyên dụng cho các định nghĩa của crosscuts [16] (crosscuts và hành động đều được định nghĩa là mã Java). Tuy nhiên, phương pháp nextEvent và các toán tử thành phần khía cạnh có thể được xem như là nền tảng cơ bản cho ngôn ngữ này. 2.3. Event-B Event-B [2] là một phương pháp hình thức để mô hình hóa và phân tích hệ thống phân cấp. Event-B sử dụng chủ yếu các ký hiệu toán học, logic mệnh đề, lý thuyết và tập hợp, ngôn ngữ thay thế tổng quát và logic vị từ bậc một (first order logic). Event-B bao gồm các ký pháp, phương pháp và công cụ hỗ trợ quá trình phát triển phần mềm bằng cách làm mịn (refinement). Quá trình làm mịn bằng cách xây dựng máy trừu tượng sau đó làm mịn dần cho đến khi nhận được một máy thực thi, tương tự như mã nguồn của chương trình [19]. 2.3.1 Máy và ngữ cảnh Các mô hình Event-B [2] được mô tả bởi 2 cấu trúc cơ bản là máy (machines) và ngữ cảnh (context) được mô tả ở hình 8 [2]. Trong đó, máy dùng để mô tả phân 28 động của mô hình bao gồm biến, bất biến, định lý, và các sự kiện tương tác với môi trường. Ngữ cảnh mô tả phần tĩnh của mô hình, chứa các tập hợp, hằng, tiên đề và định lý [19]. Hình 8: Cấu trúc máy và ngữ cảnh Một mô hình có thể chỉ gồm có máy hoặc ngữ cảnh hoặc sự kết hợp giữa máy và ngữ cảnh. Một máy có thể không hoặc tham chiếu một vài ngữ cảnh. Các máy và ngữ cảnh của mô hình được làm mịn bằng cách bổ sung các hằng, biến, bất biến, định lý, sự kiên. Mối quan hệ giữa các thành phần của máy và ngữ cảnh được minh họa hình 9 [2]. Hình 9: Mối quan hệ giữa các thành phần máy và ngữ cảnh Sau đây, cấu trúc về máy được mô tả chi tiết ở hình 10 [2] là: 29 Hình 10: Cấu trúc máy chi tiết Trong đó, hình 10 [2] minh họa những mệnh đề được mô tả trên về máy như sau:  Refines: gồm các máy mà máy hiện tại tinh chỉnh từ các máy đó.  Sees: là một danh sách các ngữ cảnh mà máy tham chiếu tới.  Variables: là một danh sách các biến khác nhau được sử dụng trong máy, các biến không được trùng tên. Tuy nhiên, không giống như trong ngữ cảnh một số biến có thể trùng tên với các biến trong máy trừu tượng.  Invariants: là một danh sách các biểu thức logic toán học khác nhau, được gọi là các vị từ mà các biến phải thỏa mãn. Mỗi invariants sẽ được gán một nhãn.  Theorems: có thể được khai báo trong phần Invariants của máy. Tương tự như trong ngữ cảnh nó là các biểu thức logic toán học nhưng ở trong máy nó không cần phải chứng minh mà được thể hiện bằng sự kiện.  Events: gồm danh sách các sự kiện của máy. Một sự kiện tạo ra một hành động làm thay đổi giá trị của các biến. Mô tả về cấu trúc ngữ cảnh chi tiết ở hình 11[2] là: 30 Hình 11: Cấu trúc ngữ cảnh chi tiết Trong đó, hình 11[2] minh họa những mệnh đề về ngữ cảnh được mô tả như sau:  Extends: chỉ ra một danh sách các ngữ cảnh mà ngữ cảnh hiện tại mở rộng.  Sets: chỉ một tập hợp các mô tả trừu tượng và liệt kê các loại, kiểu.  Constants: là một danh sách các hằng số được đưa vào ngữ cảnh. Hằng số, ngữ cảnh mà extends từ nó phải có định danh khác nhau.  Axioms: là một danh sách các vị từ (gọi là tiên đề) của các hằng số trong các biểu thức logic. Các axioms sẽ được sử dụng làm giả thuyết trong các mệnh đề chứng minh Pos (Proof obligations).  Theorems: là một danh sách các biểu thức logic gọi là định lý và cần chứng minh trong ngữ cảnh. 2.3.2. Sự kiện Mô hình hệ thống Event-B được bắt đầu từ các sự kiện trừu tượng quan sát được có thể xảy ra trong hệ thống, từ đó đặc tả các trạng thái và hành vi của hệ thống ở mức trừu tượng cao hơn. Một sự kiện evt tác động lên (một danh sách) biến trạng thái v, với điều kiện G (x, v) và hành động A (x, v, v') được mô tả như sau [19]: 31 evt = any x where G (x, v) then A (x, v, v’) 2.3.3. Phân rã và kết hợp Một trong những đặc trưng quan trọng nhất của Event-B [2] đó là khả năng bổ sung các sự kiện mới trong quá trình làm mịn, tuy nhiên khi bổ sung các sự kiện sẽ làm tăng độ phức tạp của tiến trình làm mịn do phải xử lý nhiều sự kiện và nhiều biến trạng thái. Ý tưởng chính của sự phân rã là phân chia mô hình M thành các mô hình con M1Mn, các mô hình con này dễ dàng được làm mịn hơn so với mô hình ban đầu [19]. 2.3.4. Công cụ Event-B là phương pháp hình thức phù hợp hơn để phát triển các hệ thống phân phối và phản ứng. Việc phát triển phần mềm trong Event-B bắt đầu bằng cách cụ thể hóa những yêu cầu của cả hệ thống và sau đó lọc chúng qua các bước để mô tả hệ thống một cách chi tiết mà có thể dịch ra thành code. Sự thống nhất của mô hình và mối quan hệ giữa một mô hình trừu tượng và các bộ lọc của chúng được chỉ ra bằng các bằng chứng. Công cụ hỗ trợ cũng được cung cấp cụ thể hóa Event-B và kiểm chứng. Giao diện Rodin GUI [1] minh họa hình 12. Hình 12: Rodin GUI 32 Rodin là bộ công cụ mã nguồn mở dựa trên nền tảng Eclipse để mô hình và kiểm chứng tự động trong Event-B. Trong luận văn này chúng tôi sử dụng bộ công cụ Rodin để mô hình, làm mịn, sinh và chứng minh tự động các mệnh đề cần chứng minh để đảm bảo tính đúng đắn của mô hình. Kiến trúc và công cụ được minh họa hình 13. Trong đó, Event-B UI cung cấp cho người dùng giao diện để chỉnh sửa mô hình Event-B. Event-B Core gồm có 3 thành phần: kiểm tra tĩnh (kiểm tra cú pháp trong mô hình Event-B), máy kiểm chứng (nơi thực hiện các kiểm chứng đơn giản làm cho dễ dàng tự động hóa), và máy quản lý kiểm chứng (quản lý kiểm chứng và chứng cứ liên quan). Các Rodin Core bao gồm 2 thành phần: kho Rodin (quản lý kiên trì dữ liệu) và người xây dựng Rodin (công việc lập lịch tùy thuộc vào những thay đổi trong kho Rodin). Event-B UI Event-B Core Rodin Core Event-B Library Eclipse platform Hình 13: Mô hình kiến trúc Rodin 33 CHƯƠNG 3: MÔ HÌNH HÓA VÀ KIỂM CHỨNG CÁC PHẦN MỀM LẬP TRÌNH HƯỚNG KHÍA CẠNH 3.1. Trình bày EAOP trong Event-B Trong phần này, giới thiệu phương pháp để mô hình hóa và kiểm chứng ứng dụng lập trình hướng khía cạnh dựa sự kiện. Đầu tiên, giới thiệu các định nghĩa mới của các thành phần ứng dụng. Dựa trên các định nghĩa mới, chúng tôi chi tiết hóa các ứng dụng và tính chất trong ngôn ngữ hướng sự kiện Event-B. Cuối cùng, chúng tôi kiểm chứng các thuộc tính dựa trên các mệnh đề cần chứng minh. EAOP là lập trình hướng khía cạnh hệ thống dựa trên các sự kiện thực hiện. Nếu chương trình ban đầu phát ra một sự kiện hoặc dãy các sự kiện, các thành phần kiểm tra thực hiện các khía cạnh liên quan. Sau đây, một số định nghĩa: Định nghĩa 3.1 (chương trình cơ bản). Một chương trình cơ bản gồm 4-tuple BP=, trong đó E là tập các sự kiện, A là dãy các hành động, V là tập các thuộc tính của chương trình, C là tập các thuộc tính ràng buộc. Chúng ta xem chương trình cơ bản như một chương trình hướng sự kiên, chỉ đơn giản bao gồm các sự kiện, hành động, các biến, và những ràng buộc. Những ràng buộc này được xem như là thuộc tính mong muốn của các ứng dụng bởi vì nó phải thỏa mãn một số các điều kiện. Định nghĩa 3.2 (thực thi cắt ngang). Một thực thi cắt ngang, được xác định bởi CCE, định nghĩa một dãy của sự kiện biểu diễn những điểm xác định trong việc thực thi chương trình cơ bản. Một khía cạnh trong mô hình EAOP bao gồm biến mới và một thực thi cắt ngang nơi đan mã vào chương trình cơ bản. Định nghĩa 3.3 (khía cạnh). Một khía cạnh trong mô hình EAOP gồm có A= trong đó S là tập các mã hành vi liên kết với thực thi cắt ngang CC và Vr trạng thái biến mới. 34 Ví dụ: Một ứng dụng EAOP có chứa một khía cạnh thì chuyển một file mã nguồn đến máy chủ bất cứ khi nào nó được điều chỉnh trong phiên làm việc. Chương trình được thực hiện với A=<{}, {login → do_login, modify → commit_svn, logout → do_logout}>, trong đó login, modify và logout là 3 sự kiện, do_login, commit_svn và do_logout là 3 mã hành vi tương ứng. 3.2. Mô hình hóa hệ thống EAOP sử dụng Event-B Dựa trên các định nghĩa ở phần 3.1, phần này trình bày các quy luật chuyển đổi một ứng dụng lập trình hướng khía cạnh hệ thống hướng sự kiện sang Event-B. Luật 1: Chương trình cơ bản P = thì được chuyển đổi sang một máy M trừu tượng Event-B sao cho e  E là ánh xạ sự kiện của máy M, hành động của chương trình cơ bản được mô hình hóa thân của sự kiện Event-B, các biến của chương trình được chuyển đổi thành biến của máy M, và những ràng buộc của chương trình thì được mô tả bởi mệnh đề bất biến Event-B. Luật 2: Khía cạnh được thực hiện khi một dãy sự kiện phát ra bởi chương trình cơ bản. Chúng tôi mô hình hóa khía cạnh sử dụng cơ chế làm mịn trong Event- B. Nói cụ thể hơn, mỗi khía cạnh được chuyển đổi thành một máy cụ thể, mà có thể làm mịn máy trừu tượng (đại diện cho một chương trình cơ bản). Luật 3: Những mã hành vi được kết hợp với sự kiện trong một khía cạnh thì được chuyển đổi sang các hành động tương ứng của những sự kiện Event-B. 3.3. Kiểm chứng các thuộc tính hệ thống Sau khi đặc tả các ứng dụng trong Event-B, chúng tôi khai thác mệnh đề cần kiểm chứng để kiểm chứng các ràng buộc bên trong. Bởi vì một khía cạnh có thể thay đổi các biến trong một chương trình cơ bản, nên nó có thể vi phạm ràng buộc trong chương trình cơ bản. Vì thế chúng tôi cần phải đảm bảo rằng đan của khía cạnh không làm thay đổi ràng buộc này. 35 Giả thuyết 1: Với những luật chuyển đổi được đề xuất ở phần 3.2 một khía cạnh bảo toàn những ràng buộc trong chương trình cơ bản. Chứng minh: Cho P = là chương trình cơ bản và a = <v, e →s> là một khía cạnh, trong đó v là một biến mới, e  E, và s là một mã hành vi. Cho v là một biến, bắt buộc thỏa mãn các ràng buộc c(v), được điều chỉnh bởi khía cạnh (cho v’ là v sau khi mở rộng khía cạnh). Chúng ta cần chứng minh rằng, c(v’) vẫn bảo toàn. Theo luật 1, e được chuyển đổi thành ev của máy M, cho g(ev) là điều kiện kích hoạt của sự kiện Event-B, biến v được chuyển đổi trong Event-B thành biến vb. Chúng ta có bất biến I trong Event-B biểu hiện những ràng buộc của chương trình cơ bản (i). Theo luật 2, chúng ta làm mịn máy M’ chứa một sự kiện mịn ev_r với điều kiện kích hoạt g(ev_r) (ii). Theo luật 3, được kết hợp giữa mã hành vi của sự kiện ev_r, được chuyển đổi sang hành động của sự kiện, gán giá trị biến vb thành vb’ (có nghĩa là A(vb,vb’)) (iii). INV mệnh đề cần chứng minh làm mịn máy M’ được khái quát như sau. g(ev_r)  I(vb) ⊢ I(vb’) (1) Nếu công thức (1) là đúng cùng với các biến đổi (i), (ii), (iii), chúng ta có thể kết luận rằng c(v') vẫn bảo toàn. 36 CHƯƠNG 4: PHƯƠNG PHÁP THỰC NGHIỆM Áp dụng các các lý thuyết đã trình bày về mô hình hóa và kiểm chứng các phần mềm hướng khía cạnh đã ở trên. Kết quả của quá trình kiểm tra chương trình có còn bảo toàn một số tính chất sau khi đan chương trình, bảo tồn hệ thống ban đầu không? Trong phần này, phương pháp thực hiện kiểm chứng chúng tôi được thực hiện như sau: Đầu tiên, việc chuyển đổi các yêu cầu của người dùng vào trong một hệ thống phần mềm bao giờ cũng rất khó khăn, có nhiều phương pháp tiếp cận như lập trình hướng đối tượng. Ta có một chương trình lập trình hướng đối tượng đã giải quyết được một số vấn đề nhưng chưa có một phương pháp nào thỏa mãn việc giải quyết các yêu cầu đan xen ở mức hệ thống một chương trình. Sau khi đan xen các yêu cầu này được mô tả bằng crosscutting concern vào chương trình ta được mô hình AOP. Mở rộng các phương pháp AOP bằng cách đan các sự kiện vào chương trình ta được mô hình EAOP. Trong mô hình EAOP đặt ra có một số ràng buộc phải thỏa mãn. Các ràng buộc cần phải kiểm tra xem có thỏa mãn hay không? Từ đây đưa ra các định nghĩa, tập luận nhằm kiểm chứng những ràng buộc này có thỏa mãn hay không? Đến thời điểm toàn bộ mô hình bài toán các ràng buộc đều được mô tả bằng phương pháp thủ công nhưng mong muốn của tôi là làm sao đặc tả các ràng buộc và kiểm tra nó một cách tự động, nên tôi sử dụng Event-B và ngôn ngữ Event-B để đặc tả cho các ràng buộc đó. Sau khi tiến hành đặc tả Event–B xong đưa những đặc tả này vào công cụ Rodin để kiểm tra và chứng minh. 37 Hình 14: Phương pháp mô hình hóa và kiểm chứng các chương trình hướng khía cạnh Áp dụng phương pháp mô hình hóa và kiểm chứng các chương trình hướng khía cạnh dựa sự kiện với máy ATM. Chương trình được thiết kế để xử lý giao dịch thẻ tín dụng của người dùng với máy ATM có 3 sự kiện: withdraw, deposit và transfer khi người dùng thực hiện các chức năng rút tiền gửi, gửi tiền gửi hoặc chuyển tiền gửi từ tài khoản ngân hàng của người dùng. Các tài khoản ngân hàng của người sử dụng cần phải đáp ứng yêu cầu số dư (balance) trong tài khoản luôn lớn hơn hoặc bằng không, số tiền muốn rút luôn lớn hơn hoặc bằng không. Đầu tiên, ta có một chương trình java ứng dụng mô tả máy ATM gồm 3 file: Transaction.java, Exchange.java, updatetr.ja. Trong đó: Class transaction mô tả chức năng gửi tiền, rút tiền trên máy ATM được mô tả như hình 15: 38 Hình 15: Lớp Transaction Lớp exchange mô tả chức năng chuyển tiền trên máy ATM được minh họa như hình 16: Hình 16: Lớp Exchange Khía cạnh updatetr mô tả crosscut của chương trình máy ATM được mô tả như hình 17: 39 Hình 17: Khía cạnh updatetr Trong chương trình java mô tả máy ATM trên tại lớp Exchange vì một lý do nào đó người lập trình quên không kiểm tra điều kiện rút tiền là amount < balance mã vẫn thực hiện rút tiền làm cho số dư tài khoản nhỏ hơn không nếu trường hợp rút tiền nhiều hơn số dư trong tài khoản amount>balance dẫn đến đặc tả còn thiếu mà vẫn áp dụng EAOP vào bài toán. Tuân theo các luật, tiến hành mô hình hệ thống hướng sự kiện Event-B. Rồi kiểm chứng trên công cụ Rodin thì kết quả không chứng minh được vì điều kiện kích hoạt sự kiện transfer thiếu mệnh đề grd3: amt<banlance.Sự kiện transfer được minh họa trong hình 18 như sau: Hình 18: Sự kiện chuyển tiền gửi trên máy ATM 40 Kết quả thực hiện soạn thảo trên công cụ Rodin, sinh và kiểm chứng tự động các mệnh đề cần chứng minh thể hiện sự kiện transfer không kiểm chứng được minh họa hình 19. Hình 19: Kết quả minh chứng Tiến hành sửa đổi lớp Exchange của chương trình java mô tả máy ATM như sau: Hình 20: Lớp Exchange đã được sửa đổi Áp dụng EAOP vào bài toán, chúng ta có chương trình cơ bản P = < E, A, V, C> như sau: E = {withdraw, deposit, transfer}, V = { bal, amount}, trong đó balance (balance: là số tiền cân bằng trong tài khoản) và amount (số lượng) mà người dùng 41 muốn rút tiền hoặc gửi tiền, C ={ balance > 0, amount > 0} là trạng thái yêu cầu bắt buộc, A = { withdraw_act, deposit_act}. Tuân theo luật 1, chúng ta đạt được mô hình hệ thống hướng sự kiện Event-B như minh họa hình 21 (inv2 và inv3 không những xác định 2 biến mà còn chắc chắn các ràng buộc của chương trình luôn luôn thỏa mãn). Có 3 sự kiện trong máy tương ứng với 3 sự kiện của chương trình cơ bản là withdraw, deposit và transfer. MACHINE M VARIABLES balance amount targetAccount sourceAccount INVARIANTS inv1 : balance ∈ ℕ inv2 : amount ∈ ℕ inv3 : balance ≥ 0 inv4 : amount ≥ 0 inv5 : sourceAccount ∈ ℕ inv6 : targetAccount ∈ ℕ EVENTS INITIALISATION ≙ STATUS ordinary BEGIN act1 : balance ≔ 0 act2 : amount≔0 act3 : targetAccount≔0 act4 : sourceAccount≔0 END withdraw ≙ STATUS ordinary WHEN grd1 : amount < balance THEN act1 : balance≔ balance−amount END deposit ≙ 42 STATUS ordinary ANY amt WHERE grd1 : amt ∈ ℕ THEN act1 : balance≔balance+ amt END transfer ≙ STATUS ordinary ANY amt accountNo WHERE grd1 : amt∈ℕ grd2 : accountNo ∈ℕ grd3 : amt≤balance THEN act1 : balance ≔ balance−amt act2 : targetAccount≔accountNo END END Hình 21: Event-B đặc tả của chương trình cơ bản Chúng ta tạo một khía cạnh để rút tiền gửi nhưng phải mất phí và trả phí cho người dụng rút tiền lần đầu tiên. Chúng tôi cần thêm 3 biến mới là fee, bonus, và bFirst để định lại các giá trị tương ứng. Trong trường hợp làm mịn sự kiện withdraw_c, mã hành vi bổ sung balance được chuyển đổi thành act1. Sử dụng ProB [6], một công cụ kiểm tra mô hình Event-B, chúng tôi tìm ra một ví dụ khi chứng minh biến balance ∈ ℕ. Điều này có nghĩa là vi phạm ràng buộc của chương trình cơ bản. Để làm cho mô hình chính xác, chúng tôi bổ sung điều kiện kích hoạt của sự kiện withdraw_c bằng cách thêm vào một mệnh đề nữa grd3: bonus > fee chỉ ra rằng bonus lớn hơn fee khía cạnh cần kiểm tra điều kiện này trong mã hành vi. Sự kiện 43 mở rộng withdraw_c rút tiền trên máy ATM được đặc tả Event-B của khía cạnh mô tả hình 22 như sau: withdraw_c ≙ extended STATUS ordinary REFINES withdraw WHEN grd1 : amount < balance grd2 : bFirst=TRUE grd3 : bonus>fee THEN act1 : balance≔balance−amount−fee+bonus END Hình 22: Đặc tả Event-B của khía cạnh Hình 23 minh họa kết quả thực hiện soạn thảo trên công cụ Rodin, sinh và kiểm chứng tự động các mệnh đề cần chứng minh. Hình 23: Kết quả thực hiện Hình 24 minh họa kết quả của quá trình mô hình hóa và kiểm chứng tự động được thể hiện qua bảng Statistics, cho thấy toàn bộ các ràng buộc được chứng minh đảm bảo đã đặt ra. 44 Hình 24: Kết quả bảng Statistics 45 KẾT LUẬN Những đóng góp chính của kết quả luận văn trong việc “Mô hình hóa và kiểm chứng các chương trình phần mềm hướng khía cạnh”, kết quả cụ thể như sau:  Luận văn đã trình bày những kiến thức cơ sở liên quan đến việc bài toán kiểm chứng phần mềm cụ thể là: Lập trình hướng khía cạnh (Aspect Oriented Programming – AOP), lập trình hướng khía cạnh dựa sự kiện (Event-based Aspect Oriented Programming – EAOP) và Event-B.  Luận văn đã trình bày về công cụ hỗ trợ Rodin, công cụ hỗ trợ cho phương pháp hình thức Event-B.  Luận văn đã trình bày các quy luật mô hình hóa một ứng dụng lập trình hướng cạnh hệ thống hướng sự kiện dùng Event-B.  Luận văn đã trình bày mô hình hóa cách tiếp cận thực tế bằng sử dụng công cụ Rodin để kiểm chứng thuộc tính chương trình có còn bảo tồn một số thuộc tính sau khi thực hiện đan chương trình, các ràng buộc khác dựa trên công cụ chứng minh tự động. Ưu điểm của cách tiếp cận này là chương trình bao gồm các khía cạnh, biến và các ràng buộc được mô hình hóa dễ dàng bằng đặc tả logic trong Event–B như invariants và events. Do đó, tính đúng đắn của hệ thống có thể được chứng minh bằng phương pháp hình thức. Hơn nữa, cách tiếp cận của luận văn là gần với thực tế, có thể triển khai công cụ theo ý tưởng chính để chuyển đổi mô hình EAOP từ Event–B sang công cụ Rodin là tự động.  Luận văn cũng minh họa phương pháp mô hình hóa và kiểm chứng trong một chương trình ATM. Lập trình hướng khía cạnh dựa sự kiện là một phương pháp tiếp cận mở rộng cho lập trình hướng khía cạnh. Lập trình hướng khía cạnh dựa sự kiện kết hợp ưu điểm 46 của cả hai lập trình hướng khía cạnh và kiến trúc dựa trên sự kiện. Đề xuất phương pháp, chuyển đổi một chương trình lập trình hướng khía cạnh dựa sự kiện sang ngôn ngữ đặc tả Event-B. Sử dụng Event-B để sinh các mệnh đề cần chứng minh để kiểm tra lại những ứng dụng ràng buộc ảnh hưởng bởi khía cạnh. Do thời gian nghiên cứu cũng như lượng kiến thức có được, nên còn một số vấn đề mà luận văn phải tiếp tục hoàn thiện và phát triển trong thời gian tới như:  Tiếp tục phát triển cần phải mở rộng cùng với crosscuts phức tạp hơn vào mô hình lập trình hướng khía cạnh dựa sự kiện.  Phát triển các thử nghiệm cần được tiến hành để đánh giá chính xác những lợi ích và hạn chế của phương pháp tiếp cận. 47 TÀI LIỆU THAM KHẢO [1]. Event-B and the Rodin platform. 2012. [2]. J.R. Abrial. Modeling in Event-B: System and software engineering. Cambridge University Press, New York, NY, USA 1st edition, 2010. [3]. R. Douence and M. Sudholt. A model and a tool for event-based aspect-oriented programming (eaop). Technical Report TR 02/11/INFO. Ecole des Mines de Nantes, 2002. [4]. L. Guan, X. Li, and H. Hu. A petri net-based approach for supporting khía cạnh oriented modeling. In Theoretical Apects of Software Engineering, 2008, pages 83-90, June 2008. [5]. Holzer, L. Ziarek, K. Jayaram, and P. Eugster. Putting events in context: Khía cạnhs for event-based distributed programming. In Proceedings of the Tenth International Conference on Aspects-oriented Software Development, AOSD '11, pages 241-252, New York, NY, USA, 2011. ACM. [6]. O. Ligot, J. Bendisposto, and M. Leuschel. Debugging event-b models using the prob disprover plug-in. Proceedings AFADL'07, Juni 2007. [7]. T. N. Thuan and N. V. Ha. Using b to verify the weaving of aspects. In Software Engineering Conference, 2007. APSEC 2007. 14th Asia-Pacifc, pages 199-205, Dec 2007. [8]. N. Ubayashi and T. Tamai. Khía cạnh-oriented programming with model checking. In Proceedings of the 1st international conference on Aspect-oriented software development, AOSD '02, pages 148-154, New York, NY, USA, 2002. ACM. [9]. D.-X. Xu, O. El-Ariss, W.-F. Xu, and L.-Z. Wang. Aspect-oriented modeling and verification with fnite state machines. J. Comput. Sci. Technol., 24(5):949- 961, Sept. 2009. [10]. J. Zhang, Y. Chen, and G. Liu. Modeling Aspect-oriented programming with uml profile. In Education Technology and Computer Science, 2009. ETCS '09. First International Workshop on, volume 2, pages 242-245, March 2009. [11]. Anh-Hoang Truong, Phuc Dinh Nguyen, Tuyen Luu, Checking implementations of UML 2.0 sequence diagrams. 48 [12]. Joseph D. Gradecki, Nicholas Lesiecki, Mastering AspectJ Aspects-Oriented Programming in Java - Wiley, 1 edition (March 7, 2003). [13]. Ramnivas Landdad. AspectJ in Action practical aspect-oriented programming. Manning publishing -2004. [14]. Visser W, et.al, Model Checking Programs, 15th IEEE International Conference on Automated Software Engineering, 2000 [15]. R. Douence, P.Fradet, and M. Sudholt. A framework for the detection and resolution of aspect interactions. In Proc. of the ACM SIGPLAN/SIGSOFT Conf. on Generative Programming and Component Engineering (GPCE), October 2002. [16]. R. Douence, O. Motelet, and M. Sudholt. A formal definition of crosscuts. In Proc. of the 3rd Int. Conf. on Metalevel Architectures and Separation of Crosscutting Concerns, volume 2192 of LNCS. Springer Verlag, September 2001 [17]. Trịnh Thanh Bình, Trương Anh Hoàng, Nguyễn Việt Hà, Kiểm chứng giao thức tương tác giữa các thành phần trong chương trình đa luồng sử dụng lập trình hướng khía cạnh, Chuyên san Các công trình nghiên cứu, phát triển và ứng dụng CNTT-TT, Tạp chí Công nghệ thông tin & Truyền thông, T. V-1, S. 4 (24), 36-45, 2010. [18]. Trịnh Thanh Bình, Trương Ninh Thuận, Nguyễn Việt Hà, Kiểm chứng sự tuân thủ về ràng buộc thời gian trong các ứng dụng phần mềm, Tạp chí Tin học và Điều khiển học, T. 26, S. 2, 173-184, 2010. [19]. Trịnh Thanh Bình (2011). Kiểm chứng các thành phần Java tương tranh. Luận án tiến sỹ, Trường Đại học Công Nghệ, Đại học Quốc Gia Hà Nội, tr. 6,7. 49 PHỤ LỤC Chương trình đặc tả Event-B của chương trình cơ bản máy ATM. MACHINE M VARIABLES balance amount targetAccount sourceAccount INVARIANTS inv1 : balance ∈ ℕ inv2 : amount ∈ ℕ inv3 : balance ≥ 0 inv4 : amount ≥ 0 inv5 : sourceAccount ∈ ℕ inv6 : targetAccount ∈ ℕ EVENTS INITIALISATION ≙ STATUS ordinary BEGIN act1 : balance ≔ 0 act2 : amount≔0 act3 : targetAccount≔0 act4 : sourceAccount≔0 END withdraw ≙ STATUS ordinary WHEN grd1 : amount < balance THEN act1 : balance≔ balance−amount END deposit ≙ STATUS ordinary ANY 50 amt WHERE grd1 : amt ∈ ℕ THEN act1 : balance≔balance+ amt END transfer ≙ STATUS ordinary ANY amt accountNo WHERE grd1 : amt∈ℕ grd2 : accountNo ∈ℕ grd3 : amt≤balance THEN act1 : balance ≔ balance−amt act2 : targetAccount≔accountNo END END Chương trình đặc tả Event-B của khía cạnh trên máy ATM. MACHINE M1 REFINES M VARIABLES balance amount targetAccount sourceAccount fee bonus bFirst INVARIANTS inv1 : fee ∈ ℕ inv2 : bonus ∈ ℕ inv3 : bFirst∈ BOOL EVENTS 51 INITIALISATION ≙ extended STATUS ordinary BEGIN act1 : balance ≔ 0 act2 : amount≔0 act3 : targetAccount≔0 act4 : sourceAccount≔0 act5 : fee ≔ 0 act6 : bonus ≔ 0 END withdraw ≙ extended STATUS ordinary REFINES withdraw WHEN grd1 : amount < balance THEN act1 : balance≔ balance−amount END deposit ≙ extended STATUS ordinary REFINES deposit ANY amt WHERE grd1 : amt ∈ ℕ THEN act1 : balance≔balance+ amt END transfer ≙ 52 extended STATUS ordinary REFINES transfer ANY amt accountNo WHERE grd1 : amt∈ℕ grd2 : accountNo ∈ℕ grd3 : amt≤balance THEN act1 : balance ≔ balance−amt act2 : targetAccount≔accountNo END withdraw_c ≙ extended STATUS ordinary REFINES withdraw WHEN grd1 : amount < balance grd2 : bFirst=TRUE grd3 : bonus>fee THEN act2 : balance≔balance−amount−fee+bonus END END