CoqによるMsgPackの証明

2011/09/25 ProofSummit2011 #ProofSummit Coqによる MsgPackシリアライザの証明と実装 mzp / みずぴー 111 9 25

自己紹介 @mzp / みずぴー名古屋のSE Coq / proof-general派 ProofCafeに参加してます 211 9 25

ProofCafe 開催日: 第4土曜日開催場所: どえりゃあカフェ@名古屋アダムッチさんのCPDTをみんなで読む ‣ そろそろ別のことやるかもたまにイベント開催 311 9 25

2011/09/25 ProofSummit2011 だいたいこんな感じ11 9 25

MsgPackを証明した動機ネットワーク通信がしたい楽をしたいので、既存のライブラリを活用したい要件 ‣ ある程度の実績がある ‣ 非同期の呼び出しができる ‣ いろんな言語のライブラリが充実してる 511 9 25

MsgPackがよさそうオブジェクトのシリアライザ + RPC ✓ 高速かつ省サイズ(らしい) ✓ 非同期呼び出しもサポート ✓ いろんな言語のライブラリがある 611 9 25

MsgPackライブラリ一覧 711 9 25

MsgPackライブラリ一覧 OCaml版がないじゃん → 作ろう 711 9 25

バグがこわい作るのはいいけどバグがこわい省サイズ化のため仕様が複雑 ✗ 実装を間違えてないかな? ✗ テストの網羅性が十分かな? ✗ この変更しても大丈夫かな? 811 9 25

証明すればよくね? 証明すれば... ✓ 全入力に対して正しさが保証される ✓ 人間が網羅性を考えなくてもOK ✓ 変更しても大丈夫かを考えなくても OK 証明したほうが楽!! 911 9 25

証明した(シリアライザだけ) シリアライザ部分のみ多言語間のデータやり取りには使える RPCは今後の課題 MsgPack = シリアライザ + RPC + RPC-IDL ↑ ここだけ 1011 9 25

公式レポジトリに入ってます(ｷﾘｯ msgpack/ocaml/proofというディレクトリがあるよ ↑ これ 1111 9 25

証明の流れ11 9 25

Coq使いました証明にはCoqを使いました ✓ 証明したコードをOCamlに変換できる ✓ 日本語の文書も豊富 ✓ Twitterでいろんな人に訊ける 1311 9 25

開発の流れ 1411 9 25

証明のアウトライン 1.8/16/32/64bits整数を作る 2.オブジェクトと変換ルールを定義する 3.シリアライズ関数、デシリアライズ関数を定義する 4.OCamlに変換する 1511 9 25

8/16/32/64ビット整数 MsgPackはビットレベルの操作を多用するのでnatだと不便標準ライブラリのasciiを組合せて、マルチバイトの整数を定義する 1711 9 25

natとの変換 asciiのままだと証明が面倒 natとasciiの相互変換関数を作る 1811 9 25

巨大なnatが扱えない 5000以上のnatを使おうとするとオーバーフローする 16ビットすら扱えない (><) 1911 9 25

オーバーフローする理由 Coqのnat := ペアノ数再帰的に定義されている値が大きすぎると、ネストが深くなりすぎる 2011 9 25

オーバーフローの回避巨大な自然数が登場しないようにする simplダメ、ゼッタイ累乗に関する補題を使う累乗に関する補題 n m (n+m) 2 ⇥2 =2 n 0  n ならば 0  2 n m n  m ならば 2  2 2111 9 25

オブジェクトの定義 2311 9 25

変換ルールの定義 2411 9 25

↓これを証明する 2511 9 25

健全性の証明これを証明するときに定義の誤りが見付かる(ことが多い) Serialized obj1 xsに関する帰納法で証明する 2611 9 25

変換ルールは実行不可変換前後の関係を定義してるだけ実行できるように関数を定義する 2811 9 25

serialize関数 OCamlっぽい!! 2911 9 25

deserialize関数 ↑失敗するかも 3011 9 25

関数が変換ルールを満すことを示す serialize/deserialize関数が変換ルールと矛盾しない 3111 9 25

OCamlへの変換 Coq 8.3からCoqの型とOCamlの型が対応づくようになった ‣ 例: natとint, optionとoption 3311 9 25

まがまがしいコード 3411 9 25

3511 9 25

速度を測ってみたやっぱり速度が気になる比較対象はRuby版MsgPack 0.4.6 ‣ 拡張ライブラリを使っているので、ほぼC 言語版と速度が同じ長さnの配列のシリアライズ速度・デシリアライズ速度を比較 ‣ n = 100,1000,10000 3611 9 25

シリアライズ Ruby OCaml 100 1000 10000 0 2.5 5.0 7.5 10.0 12.5 15.011 9 25

デシリアライズ Ruby OCaml 100 1000 10000 0 5 10 15 20 3811 9 25

2011/09/25 ProofSummit2011 結論:ボロ負け11 9 25

まとめ MsgPack for OCamlを作りましたバグが怖いのでCoqで証明しました ‣ 健全性を証明しました ‣ マルチバイトの扱いで苦労しました性能はオリジナルの1/10 4011 9 25

今後の課題性能の向上やっぱり性能は大事最適化してもエンバグしてないことが保証できるし AsciiのExtraction方法を変更すれば性能を上げれるはず ‣ Erlangっぽくバイナリ列を操作する Bitstringライブラリがよさそう 4111 9 25

今後の課題 RPCのサポートネットワーク通信の形式化が必要 π計算/ applpiによって定義できる? IDL処理系はMsgPack側で用意されるらしいので、プラグインを作ればOK 4211 9 25

http://d.hatena.ne.jp	1950
http://paper.li	103
http://twitter.com	6
http://a0.twimg.com	6
http://us-w1.rockmelt.com	4
http://strawberryj.am	3
http://www.slideshare.net	2
http://translate.googleusercontent.com	2
http://webcache.googleusercontent.com	1
http://cc.bingj.com	1
http://twicli.neocat.jp	1

CoqによるMsgPackの証明

by Hiroki Mizuno on Sep 25, 2011

Accessibility

Categories

Tags

Upload Details

Usage Rights

11 Embeds 2,079

Statistics

CoqによるMsgPackの証明 — Presentation Transcript