安全操作系统内核验证.pdf

安全操作系统内核验证 形式化方法和人工智能 Verifiable algorithms are preferable to heuristics. Devices that use heuristics to create the illusion of intelligence present a risk we should not accept. 形式化方法和人工智能 Towards Verified Artificial Intelligence Invited keynote at SETTA’17 操作系统内核验证 — 研究动机 应用程序 操作系统 硬件 底层操作系统的安全性和可靠性对整个计 算机系统的安全性至关重要！ 操作系统验证：主要挑战 • C和汇编代码 • 并发内核 • 抢占式执行 • 硬件中断 • 驱动和I/O … 抢占和中断所产生的复杂并发导致 操作系统验证变得尤其困难！ 并发内核验证的挑战 • 并发程序的验证相当困难 • 并发程序间非确定的交错执行 (Non-deterministic interleaving) 我们的工作 • 首次提出了一个用于抢占式操作系统内核的验证框架 • 支持并发内核精化关系的验证 • 支持嵌套中断和抢占 • 实用操作系统内核的验证 • μC/OS-II • SpaceOS 主要创新 我们的工作 首次支持对抢占式并发内核的验证 操作系统正确性 • 操作系统为应用层程序员提供了一层抽象 • 一个抽象编程模型 和服务，隐藏了底层细节 • 操作系统正确性 ： 底层内核实现代码和高层抽象之间的一致性 • 操作系统验证是个精化验证问题 操作系统正确性：抽象层划分 应用程序 高层语言 C + 抽象APIs 底层语言 C + 内嵌汇编 系统API 的高层抽象 系统API 的底