【乐鱼官网】耶鲁大学邵中:操作系统发展拐点已到,我们需要的是“反黑客入侵”的CertiKOS|CCF-GAIR2017

发布时间:2021-09-13    来源:乐鱼体育app nbsp;   浏览:85294次
本文摘要:例如,右图是2009年操作系统大会上首次检查的操作系统的核心。

例如,右图是2009年操作系统大会上首次检查的操作系统的核心。虽然有7500行代码,但是仅仅7500行的c语言代码就花费了11人的年份工作,其中500行以上的c语言代码没有被检查,工作量非常大。另一个问题是,用户在平时写c语言代码时,有多明确的概念?c语言也不是特别好的语言,如果用它来写操作系统的最下面的东西的话,c语言代码、编码、c语言代码和编码杂交体的共存可能不会频繁出现,依赖性很强,如果这些代码连接起来构成简单的系统的话除了这个问题之外,所有的操作系统,特别是在现在的新多核心CPU平台上,使用Concurrency(发行)的版本有几个,检查也是非常不可能的。

因此,目前的系统能够完成的程度和理想状态还有相当大的Gap,IoT、自动驾驶平台等系统并不容易,所以Gap不会越来越大。3.我们要实现的系统是解决上述挑战。

我们使用的技术是CertifiedAbstractionLayers。CertifiedAbstractionLayers这一技术不仅作为现有的系统,而且作为新技术开发新系统,目的是使Gap更小。

我该怎么办?我们没有模块,每个小模块都想象成代码,每个软件模块在写作时总是构建一些新功能,所以有了M1,每个被检查的模块都被称为CertifiedAbstractionLayers,其中没有模拟关系如果这些代码是用c语言写的,已经检查出符合这些规范,可以用编译器编译后分解代码,这些代码也几乎检查出来。因为这个编译器能够确保分解的代码和原始代码完全一致。通过模块化构成大系统。

我们的课题是2、3年前实现的,特别反对中断,可以在车上使用,以免车内部件相互影响。最近我们做的是发行的核心,可以用多核运营,每个核心都可以完成Linux系统。因此,我们可以证明的不仅是功能性,还可以证明杀死,所有普通意义上黑客可以反击的模块都被删除。整个证书通过Coqproof、Assistant展开,该工具在2014年获得了ACMTSoftwareSystem奖。

在明确的应用中,CertiKOS可以用于机器人和智能系统,也可以用于无人机,其优点是操作系统的核心中没有黑客攻击的模块。4.接下来,如果要制作这样可靠的操作系统的明确技术,就不说明。我用一个相对较小的操作系统向你展示一个例子。如果在发送系统中,没有一些Spin-lock-Module,也不会反对一些Queue,很可能没有一些Scheduling,Moduledule,Inter-Process指南和KeyboardDriver等。

这是一种操作系统如何从底部搭配的方法。其中使用的最重要的技术是CertifiedAbstractionLayers,将所有程序的模块分成一个模块,称为Certifiedobjects,Object个模块对外能做什么。此外,代码和模块遵循的规范完全一致。这种做法是使每个模块具有抽象状态(Abstractstate)和模块可以实现的基本类型的操作者(Primitives)。

因此,每次写软件模块,都会在抽象层实现,不会用于内层。检查该模块时,必须在上面写上规范。检查的目标是确保构建c代码和写作的一般模块的关系。

例如,上图显示了c语言代码中定义的Queue,这是它使用的内层,这个c语言代码实际上是用它制作双向链表,构筑队列,中间有State,上面有head和tail,之后有可能写c语言代码。为了确保这个代码错误,必须确保与其他规范完全一致。

事实上,这是我们写程序最少的方法。你们平时写程序的时候,头上有自己想构筑的东西,所以简单的系统只是乘坐一层抽象层。

构建简单的无人驾驶汽车,必须有很多抽象层。现在我们关注的是最下层的操作系统的安全性。抽象化规范这样写的话,从队列中夺取下一个要素非常简单,为了确保c代码和函数的规范不一致,我从队列中取代要素,c语言要跑好几步,但可以确保两者完全一致。这样的证明书对Simulation的Proof(模拟检查)作出反应,确保你写的代码和形式规范之间没有Gap,黑客不能反击系统。

有了这个名为DeepSpecification的形式规范,可以确保程序中仔细观察的不道德在规范中表现出来。有了它,我们需要确保所有想要证明的专业人士(属性)都可以在照规范提取,然后进行一些操作系统的核心检查。如上图的右图所示,如果核心代码是这样的话,大部分代码都不包括存储管理、线程管理、过程管理和上层的Trap。

再次取出内存管理的模块,将其分成层次,层次是指确保所有层次都依赖于下层,检查所有模块并成为一个。该方式也适用于检测线程管理模块、工艺管理模块、虚拟世界内存模块等。有了这些模块,我们可以建立一个CertifiedSequencial。如果您想使用虚拟模块,例如虚拟模块,那么您只需要在硬件末端反对虚拟模块,并反映硬件的功能。

乐鱼官网

上升到过程管理,可以从那个地方检查虚拟化模块来构筑Hypervisor。这个检查后,可以得到Certified的Hypervisor,Boot可以得到Linux,而且是多个版本的Linux。有了这个,我们可以明确多行代码之间的一切关系。

例如,前面提到的3000行代码可以变成37层的抽象层,这些抽象层是逻辑抽象层,因此确实构筑的速度和功能与本来相同,使用这些抽象层可以顺利理解中间的各种关系,确保有什么错误。在此基础上,我们还可以使用它来构建一些关键。

据说将来所有的自动驾驶汽车使用的芯片都应该是MPSOC,这些核心的CPU给予了很多实时的问题,所有的人都说并发程序是现在只写程序的挑战,如果这个问题不解决问题的话,下一个自动驾驶汽车和无人机整体会有相当大的局限性。因此,我们现在也进行多核核检查。多核心的检查与刚才使用的技术相似,我们使用串行系统的检查方法应用于多核心,使多核心的机器看起来像串行型,只是使其他CPU成为环境。每个模块不仅要确保符合规范,还要确保其他过程在展开时经常出现问题,黑客不能反击。

我们在检查所发行的操作系统的工作中,即使大家使用了十几年的操作系统教科书的很多例子,一旦与发行的代码有关,很多都会转嫁责任,即使老师说了很多话,学生也会看到很多,但是我们去检查的时候,还是找不到角落的case在此基础上,我们还进行了Devicedriver的检查。这只是很有趣。实际上,我们实现操作系统检查的目标不仅仅是检查一个特定的操作系统,而是检查一种平台。这个平台可能不仅仅是几个CPU。

例如,汽车上没有很多Device,也有很多ECU。因此,汽车操作系统不仅在Box操作,而且非常简单。在这样的Device中,也可以用一定程度的手段打开抽象层。在这方面的工作也做了很多。

例如,在Device提升Driver的最下层和硬件认识的地方建立了很多抽象层。另外,我们还可以检查Security,在规范水平上确保两条线之间相互影响,即使黑客控制其中一个部件,也不能破坏剩下的部件。

这在汽车上是最重要的,因为汽车上有很多部件。如果黑客通过某个部件的操作系统进入汽车,很可能会反击其他部件或整个主机。总的来说,我们现在专注于像CertiKOS这样非常简单的操作系统,但是在其上构筑RealTime的功能,朝着反对多核、非常安全的操作系统的方向进行,这个技术也更加成熟。

实际上,这方面的工作以前大部分是在宇宙领域开展的。目前,更多业内人士指出,过去宇宙领域的许多拒绝逐渐转移到自动驾驶汽车上。5.最后想说的是,关于操作系统,中国以前做的工作大部分只停留在应用层和系统水平的更高层,最核心的部分没有投身太多。

现在,智能城市、块链、自动驾驶汽车等新的应用已经出现,原来的操作系统已经不仅仅是这些新的应用。但是,为了马上进入市场,很多都是稍微变更为设备,但是没有很多问题。因此,操作系统已经到了拐点。此时,如果有确保安全性的操作系统,经常出现新的平台,我相信很多行业都会亲吻这个平台。

*本文的照片由邵中演说PPT原创文章截取,允许禁止发表。下一篇文章发表了注意事项。


本文关键词:乐鱼体育app,乐鱼官网

本文来源:乐鱼体育app-www.mauspfeil.net