研究文章

超越隔离：操作系统验证是正确应用程序的基础

作者:

马蒂亚斯布伦,

雷托阿赫尔曼,

泰姬（Tej）查杰德,

乔恩豪厄尔,

格尔德齐薇格、和

安德莉亚拉图阿达作者信息和声明

HOTOS’23：第19届操作系统热点研讨会会议记录

2023年6月

页158-165

https://doi.org/10.1145/3593856.3595899

出版:2023年6月22日出版历史

获取访问权限

摘要

经过验证的系统软件通常必须假设操作系统及其提供的服务（如网络和文件系统）的正确性。即使存在经过验证的操作系统和文件系统，这些组件的规范也不会与应用程序结合，从而产生经过充分验证的高性能软件堆栈。

在这篇立场文件中，我们提出了我们的愿景，即拥有一个经过验证的操作系统和经过验证的应用程序，所有这些都具有良好的多核性能。我们已经通过验证页表的正确性来探索了验证的一部分，但更大的目标是为一个雄心勃勃的项目制定愿景，该项目支持从高级规范到硬件的验证应用程序。

工具书类

[1]

Amani，S.、Hixon，A.、Chen，Z.、Rizkallah，C.、Chubb，P.、O'Connor，L.、Beeren，J.、Nagashima，Y.、Lim，J.，Sewell，T.、Tuong，J..、Keller，G.、Murray，T.，Klein，G.和Heiser，G.Cogent:验证高保证文件系统的实施。SIGPLAN不是。512016年3月4日，第175-188页。

数字图书馆

[2]

R.H.Arpaci-Dusseau和A.C.Arpaci-Dosseau。操作系统：三个简单的部分。Arpaci-Dusseau Books，2018年。

[3]

Athalye，A.、Belay，A.、Kaashoek，M.F.、Morris，R.和Zeldovich，N.公证人：安全交易批准装置。在第27届ACM操作系统原理研讨会会议记录（SOSP 2019）（2019年10月，加拿大安大略省亨斯维尔）。

数字图书馆

[4]

Baumann，A.、Barham，P.、Dagand，P.-E.、Harris，T.、Isaacs，R.、Peter，S.、Roscoe，T.，Schüpbach，A.和Singhania，A.。多核：可扩展多核系统的新操作系统架构。在ACM SIGOPS第22届操作系统原理研讨会会议记录（美国纽约州纽约市，2009年），SOSP'09，计算机协会，第29-44页。

[5]

Beringer，L.、Petcher，A.、Ye，K.Q.和Appel，A.W.验证了openssl hmac的正确性和安全性。在第24届USENIX安全研讨会会议记录（美国，2015年），SEC'15，USENIX协会，第207--221页。

[6]

Bhardwaj，A.、Kulkarni，C.、Achermann，R.、Calciu，I.、Kashyap，S.、Stutsman，R.，Tai，A.和Zellweger，G.Nros：操作系统中的有效复制和共享。在2021年7月14日至16日，第15届USENIX操作系统设计与实现研讨会，OSDI 2021（2021），A.D.Brown和J.R.Lorch，编辑，USENIX协会，第295-312页。

[7]

Bond，B.、Hawblitzel，C.、Kapritsos，M.、Leino，R.、Lorch，J.、Parno，B.、Rane，A.、Setty，S.和Thompson，L.Vale：验证高性能密码汇编代码。在USENIX安全研讨会会议记录（2017年8月），USENIX。

[8]

Bornholt，J.、Joshi，R.、Astrauskas，V.、Cully，B.、Kragl，B.、Markle，S.、Sauri，K.、Schleit，D.、Slatton，G.、Tasiran，S.、Geffen，J.V.和Warfield，A.使用轻量级形式化方法验证amazonS3中的键值存储节点。在SOSP’21:ACM SIGOPS第28届操作系统原理研讨会，虚拟活动/德国科布伦茨，2021年10月26-29日（2021年），R.van Renesse和N.Zeldovich，编辑，ACM，第836--850页。

数字图书馆

[9]

Calciu，I.、Sen，S.、Balakrishnan，M.和Aguilera，M.K.《NUMA架构的黑盒并发数据结构》。在ACM编程语言和操作系统（ASPLOS）架构支持会议记录(2017).

数字图书馆

[10]

Chajed，T.、Tassarotti，J.、Theng，M.、Kaashoek，M.F.和Zeldovich，N.使用顺序推理验证DaisyNFS并发和防撞文件系统。在第16届USENIX操作系统设计与实现研讨会（OSDI’22）会议记录（2022年7月）。

[11]

Chen，H.、Ziegler，D.、Chajed，T.、Chlipala，A.、Kaashoek，M.F.和Zeldovich，N.使用崩溃灰逻辑来验证fscq文件系统。在第25届操作系统原理研讨会会议记录（美国纽约州纽约市，2015年），SOSP’15，计算机协会，第18-37页。

[12]

Clements，A.T.、Kaashoek，M.F.、Zeldovich，N.、Morris，R.T.和Kohler，E.可伸缩交换性规则：为多核处理器设计可伸缩软件。ACM事务处理。计算。系统。32，4（2015年1月）。

[13]

Costanzo，D.、Shao，Z.和Gu，R.C和汇编程序信息流安全的端到端验证。在第37届ACM SIGPLAN编程语言设计与实现会议记录，PLDI 2016，美国加利福尼亚州圣巴巴拉，2016年6月13-17日（2016），C.Krintz和E.D.Berger，编辑，ACM，第648-664页。

数字图书馆

[14]

德雷珀，U.Futexes很棘手。Futexes are Tricky，Red Hat Inc，日本4(2005).

[15]

Fonseca，P.、Zhang，K.、Wang，X.和Krishnamurthy，A.关于正式验证的分布式系统正确性的实证研究。在第十二届欧洲计算机系统会议记录，EuroSys 2017，贝尔格莱德，塞尔维亚，2017年4月23-26日（2017年），G.Alonso、R.Bianchini和M.Vukolic编辑，ACM，第328-343页。

数字图书馆

[16]

Ghemawat，S.、Gobioff，H.和Leung，S.-T.谷歌文件系统。在第十九届ACM操作系统原理研讨会会议记录（美国纽约州纽约市，2003年），SOSP'03，计算机协会，第29-43页。

数字图书馆

[17]

Gu，R.，Shao，Z.，Chen，H.，Wu，X.N.，Kim，J.，Sjöberg，V.和Costanzo，D.Certikos：构建认证并发操作系统内核的可扩展架构。在第12届USENIX操作系统设计与实现研讨会，OSDI 2016，美国佐治亚州萨凡纳，2016年11月2日-4日（2016），K.Keeton和T.Roscoe，编辑，USENIX协会，第653-669页。

[18]

Hance，T.、Lattuada，A.、Hawblitzel，C.、Howell，J.、Johnson，R.和Parno，B.存储系统都是分布式系统（所以要这样验证它们！）。在第十四届USENIX操作系统设计与实现研讨会，OSDI 2020，虚拟活动，2020年11月4-6日（2020），USENIX协会，第99-115页。

[19]

Hance，T.、Zhou，Y.、Lattuada，A.、Achermann，R.、Conway，A.、Stutsman，R.，Zellweger，G.、Hawblitzel，C.、Howell，J.和Parno，B.共享状态机：复杂并发系统的自动模块化推理。在USENIX操作系统设计与实现（OSDI）研讨会论文集[待发表]（2023年7月）。

[20]

Hawblitzel，C.、Howell，J.、Kapritsos，M.、Lorch，J.R.、Parno，B.、Roberts，M.L.、Setty，S.和Zill，B.IronFleet：证明实际分布式系统正确。在第25届操作系统原理研讨会论文集（美国纽约州纽约市，2015年），SOSP’15，ACM，第1-17页。

[21]

Jung，R.、Swasey，D.、Sieczkowski，F.、Svendsen，K.、Turon，A.、Birkedal，L.和Dreyer，D.Iris：作为并行推理正交基础的单元体和不变量。在2015年1月15日至17日在印度孟买举行的第42届ACM SIGPLAN-SIGACT编程语言原则研讨会会议记录（2015），S.K.Rajamani和D.Walker，编辑，ACM，第637-650页。

数字图书馆

[22]

A.坎蒂。灵活操作系统内部：Anykernel和Rump内核的设计和实现。阿尔托大学博士论文，2012年。

[23]

Klein，G.、Elphinstone，K.、Heiser，G.，Andronick，J.、Cock，D.、Derrin，P.、Elkaduwe，D.、Engelhardt，K.，Kolanski，R.、Norrish，M.、Sewell，T.、Tuch，H.和Winwood，S.sel4:操作系统内核的形式验证。在2009年10月11-14日，美国蒙大拿州Big Sky，2009年SOSP，第22届ACM操作系统原理研讨会论文集（2009），J.N.Matthews和T.E.Anderson，编辑，ACM，第207--220页。

数字图书馆

[24]

Lattuada，A.、Hance，T.、Cho，C.、Brun，M.、Subasinghe，I.、Zhou，Y.、Howell，J.、Parno，B.和Hawblitzel，C.Verus：使用线性重影类型验证锈蚀程序。程序。ACM计划。语言7，OOPSLA1（2023），286--315。

数字图书馆

[25]

Li，J.、Lattuada，A.、Zhou，Y.、Cameron，J.和Howell，J.，Parno，B.以及Hawblitzel，C.大型系统验证的线性类型。程序。ACM计划。语言6，OOPSLA1（2022），1--28。

数字图书馆

[26]

Li，S.、Li，X.、Gu，R.、Nieh，J.和Hui，J.Z.正式验证了商品多处理器虚拟机监控程序的内存保护。在2021年8月11日至13日，第30届USENIX安全研讨会（2021年），M.Bailey和R.Greenstadt编辑，USENIX协会，第3953-3970页。

[27]

Li，S.、Li，X.、Gu，R.、Nieh，J.和Hui，J.Z。一个安全且经过正式验证的Linux KVM虚拟机监控程序。在第42届IEEE安全与隐私研讨会，SP 2021，美国加利福尼亚州旧金山，2021年5月24-27日（2021年），IEEE，第1782-1799页。

[28]

Lorch，J.R.、Chen，Y.、Kapritsos，M.、Parno，B.、Qadeer，S.、Sharma，U.、Wilcox，J.R和Zhao，X.Armada：高性能并发程序的低工作量验证。在第41届ACM SIGPLAN编程语言设计与实现会议记录（美国纽约州纽约市，2020年），PLDI 2020，计算机协会，第197-210页。

[29]

Matsakis，N.D.和Klock，II，F.S.生锈语言。在2014 ACM SIGAda高完整性语言技术年度会议记录（美国纽约州纽约市，2014年），HILT’14，ACM，第103-104页。

[30]

Murray，T.C.、Matichuk，D.、Brassil，M.、Gammie，P.、Bourke，T.、Seefried，S.、Lewis，C.、Gao，X.和Klein，G.sel4：从一般目的到信息流强制执行的证明。在2013年IEEE安全与隐私研讨会，2013年5月19日至22日，美国加利福尼亚州伯克利，SP 2013（2013），IEEE计算机学会，第415--429页。

数字图书馆

[31]

Nelson，L.、Bornholt，J.、Gu，R.、Baumann，A.、Torlak，E.和Wang，X.使用serval对系统代码进行自动验证的缩放符号评估。在SOSP（标准操作程序）（2019年），ACM，第225-242页。

[32]

Nelson，L.、Sigurbjarnarson，H.、Zhang，K.、Johnson，D.、Bornholt，J.、Torlak，E.和Wang，X.超内核：操作系统内核的按钮验证。在第26届操作系统原理研讨会论文集，中国上海，2017年10月28日至31日（2017），ACM，第252--269页。

数字图书馆

[33]

尼基塔·科瓦尔（Nikita Koval）、德米特里·哈兰斯基（Dmitry Khalanskiy）和丹·阿利斯塔（Dan Alistarh）。一个经过正式验证的科特林协同程序公平同步框架。CoRR公司(2021).

[34]

Pirelli，S.、Valentukonytï，A.、Argyraki，K.和Candea，G.网络函数二进制的自动验证。在第19届USENIX网络系统设计与实现研讨会（NSDI 22）（华盛顿州伦顿，2022年4月），USENIX协会，第585--600页。

[35]

Tao，R.、Yao，J.、Li，X.、Li、S.、Nieh，J.和Gu，R.对arm relaxed内存硬件上的多处理器虚拟机监控程序进行形式验证。在SOSP'21:ACM SIGOPS第28届操作系统原理研讨会，虚拟活动/德国科布伦茨，2021年10月26日至29日（2021年），R.van Renesse和N.Zeldovich，编辑，ACM，第866--881页。

数字图书馆

[36]

Wentzlaff，D.和Agarwal，A.分解操作系统（fos）：多核可扩展操作系统的案例。SIGOPS操作。系统。版本43，2（2009年4月），76-85。

数字图书馆

[37]

Yang，J.和Hawblitzel，C.安全到最后一条指令：类型安全操作系统的自动验证。在2010年6月5日至10日，加拿大安大略省多伦多市，2010年ACM SIGPLAN编程语言设计与实现会议记录，PLDI 2010（2010），B.G.Zorn和A.Aiken，编辑，ACM，第99-110页。

数字图书馆

引用人

刘杰郝X阿帕西·杜塞奥AArpaci-Dusseau R公司查杰德·T(2024)卷影文件系统：通过稳健的替代执行从文件系统运行时错误中恢复第16届ACM存储和文件系统热点研讨会会议记录10.1145/3655038.3665942(15-22)在线发布日期：2024年7月8日
https://dl.acm.org/doi/10.1145/3655038.3665942

建议

超越验证：利用formal进行调试
DAC’09：第46届设计自动化年会会议记录

商业形式模型检查器的最新进展使形式属性验证与总体验证计划中基于传统测试台的方法相结合。这导致了重要的验证。。。
阅读更多
超越安全：定制的基于SAT的模型检查
DAC’05：第42届年度设计自动化会议记录

近年来，安全性能的模型检查在很大程度上领先于非安全性能。为了弥合这一差距，我们提出了专用的基于SAT的模型检查算法，以检查超出安全范围的属性。以前的有界模型检查（BMC）。。。
阅读更多
超属性Beyond的软件验证k个-安全
计算机辅助验证
摘要
时间超属性是关联多个执行跟踪的系统属性。对于（有限状态）硬件，时间超属性由模型检查算法支持，并且存在用于一般时间逻辑的工具，如HyperLTL。对于（…）。。。 $^{}^{}$ $^{}^{}$
阅读更多

评论

信息和贡献者

问询处

发布于

封面图片ACM会议

HOTOS’23：第19届操作系统热点研讨会会议记录

2023年6月

247页

国际标准图书编号：9798400701955

内政部：10.1145/3593856

版权所有©2023 ACM。

如果复制品不是为了盈利或商业利益而制作或分发的，并且复制品的第一页载有本通知和完整引文，则允许免费制作本作品的全部或部分数字或硬拷贝以供个人或课堂使用。必须尊重作者以外的其他人对本作品组成部分的版权。允许用信用证进行摘要。要以其他方式复制或重新发布，在服务器上发布或重新发布到列表，需要事先获得特定许可和/或付费。向请求权限[电子邮件保护].

赞助商

SIGOPS:ACM操作系统特别兴趣小组

出版商

计算机协会

美国纽约州纽约市

出版历史

出版：2023年6月22日

权限

请求对此文章的权限。

检查更新

限定符

研究文章

会议

HOTOS’23

赞助商：

SIGOPS公司

HOTOS’23：第19届操作系统热点专题研讨会

2023年6月22日至24日

RI，普罗维登斯，美国

即将召开的会议

HOTOS’25年

赞助商：
小丑

操作系统热点专题研讨会

2025年5月14日至16日

班夫或路易斯湖，AB公司，加拿大

贡献者

其他指标

查看文章指标

文献计量学和引文

文献计量学

文章指标

1
引文总数
查看引文
191
总下载次数

下载次数（过去12个月）156
下载次数（最近6周）12

其他指标

查看作者指标

引文

引用人

刘杰郝X阿尔帕奇·杜索AArpaci-Dusseau R公司查杰德·T(2024)卷影文件系统：通过稳健的替代执行从文件系统运行时错误中恢复第16届ACM存储和文件系统热点研讨会会议记录10.1145/3655038.3665942(15-22)在线发布日期：2024年7月8日
https://dl.acm.org/doi/10.1145/3655038.3665942

视图选项

获取访问权限

登录选项

检查您是否可以通过登录凭据或您的机构访问本文。

完全访问权限

获取此出版物

查看选项

PDF格式

以PDF文件查看或下载。

电子阅读器

使用联机查看电子阅读器.

电子阅读器

媒体

数字

其他

桌子