Experiments in Model-Checking Optimistic Replication Algorithms

This paper describes a series of model-checking experiments to verify optimistic replication algorithms based on Operational Transformation (OT) approach used for supporting collaborative edition. We formally define, using tool UPPAAL, the behavior and the main consistency requirement (i.e. convergence property) of the collaborative editing systems, as well as the abstract behavior of the environment where these systems are supposed to operate. Due to data replication and the unpredictable nature of user interactions, such systems have infinitely many states. So, we show how to exploit some features of the UPPAAL specification language to attenuate the severe state explosion problem. Two models are proposed. The first one, called concrete model, is very close to the system implementation but runs up against a severe explosion of states. The second model, called symbolic model, aims to overcome the limitation of the concrete model by delaying the effective selection and execution of editing operations until the construction of symbolic execution traces of all sites is completed. Experimental results have shown that the symbolic model allows a significant gain in both space and time. Using the symbolic model, we have been able to show that if the number of sites exceeds 2 then the convergence property is not satisfied for all OT algorithms considered here. A counterexample is provided for every algorithm. Key-words: Operational transformation algorithms, Copies convergence, Model-checking, on-the-fly approach. ∗ Laboratoire VeriForm, École Polytechnique de Montréal, Canada ([email protected]). † LORIA & Univ. Nancy 2, UMR 7503 ([email protected]). Expériences du Model-Checking des Algorithmes de Réplication Optimiste Résumé : Ce papier présente une série d’expériences pour vérifier des algorithmes de réplication optimiste basés sur l’approche des transformées opérationnelles qui est utilisée pour supporter l’édition collaborative. Moyennant l’outil UPPAAL, nous décrivons formellement le comportement, la propriété principale de consistance (i.e. propriété de convergence) des systèmes d’édition collaborative, ainsi qu’une abstraction du comportement de l’environnement où ces systèmes doivent opérer. Ces systèmes comportent un nombre infini d’états à cause de leur caractère interactif et de la réplication de données. Aussi, nous montrons comment exploiter les spécificités de ces systèmes ainsi que celles de l’outil UPPAAL pour atténuer la forte explosion d’états de tels systèmes. Deux modèles, appelés respectivement modèle concret et modèle symbolique sont proposés. Le modèle concret est très proche de l’implémentation du système, mais se heurte à une forte explosion d’états. Pour atténuer cette explosion d’états, deux réductions sont proposées au modèle concret. La première réduction consiste à sélectionner dans les différents sites, dès le début et de façon synchrone, toutes les signatures des opérations à exécuter. La seconde réduction vise à synchroniser, certaines exécutions d’opérations, si cela n’altère pas la propriété de convergence. Ces deux réductions ont permis de réduire, de façon significative, la taille de l’espace d’états mais ne sont pas suffisantes pour vérifier certains algorithmes de transformation considérés ici. Le modèle symbolique vise à pallier cette limitation en retardant la sélection effective et l’exécution des opérations jusqu’à la fin de la construction des traces d’exécution de tous les sites (les traces symboliques). Pour plus d’abstractions, ces étapes sont encapsulées dans une fonction et exécutées de façon atomique lors d’une transition d’état. Cette fonction est arrêtée aussitôt que la violation de la propriété de convergence est déterminée. Les deux réductions proposées pour le modèle concret sont aussi appliquées sur les opérations symboliques. Les résultats expérimentaux ont montré que le modèle symbolique permet un gain significative en temps et en espace. En utilisant le modèle symbolique, nous avons pu montrer que si le nombre de sites est plus grand que 2 alors la propriété de convergence n’est pas satisfaite pour tous les algorithmes de transformation considérés. Un contrexemple est fourni pour chaque algorithme. Mots-clés : Algorithmes de transformation, Convergence des copies, Modelchecking,vérification à la volée. Experiments in Model-Checking Optimistic Replication Algorithms 3