研究文章 在上共享 超越隔离:操作系统验证是正确应用程序的基础作者:马蒂亚斯 布伦,雷托 阿赫尔曼,泰姬(Tej) 查杰德,乔恩 豪厄尔,格尔德 齐薇格、和安德莉亚 拉图阿达作者信息和声明HOTOS’23:第19届操作系统热点研讨会会议记录2023年6月页158-165https://doi.org/10.1145/3593856.3595899出版:2023年6月22日 出版历史 获取引文提醒新增引文提醒!此警报已成功添加,将发送到:每当您选择的记录被引用时,都会通知您。新引文提醒!拜托登录到您的帐户 获取访问权限目录HOTOS’23:第19届操作系统热点研讨会会议记录超越隔离:操作系统验证是正确应用程序的基础页158-165以前的文章内核扩展验证无法支持上一个下一篇文章向安全内核驱动程序接口发展的操作系统内核下一步摘要工具书类信息和贡献者文献计量学和引文获取访问权限工具书类媒体桌子分享摘要经过验证的系统软件通常必须假设操作系统及其提供的服务(如网络和文件系统)的正确性。即使存在经过验证的操作系统和文件系统,这些组件的规范也不会与应用程序结合,从而产生经过充分验证的高性能软件堆栈。在这篇立场文件中,我们提出了我们的愿景,即拥有一个经过验证的操作系统和经过验证的应用程序,所有这些都具有良好的多核性能。我们已经通过验证页表的正确性来探索了验证的一部分,但更大的目标是为一个雄心勃勃的项目制定愿景,该项目支持从高级规范到硬件的验证应用程序。工具书类[1]Amani,S.、Hixon,A.、Chen,Z.、Rizkallah,C.、Chubb,P.、O'Connor,L.、Beeren,J.、Nagashima,Y.、Lim,J.,Sewell,T.、Tuong,J..、Keller,G.、Murray,T.,Klein,G.和Heiser,G.Cogent:验证高保证文件系统的实施。SIGPLAN不是。512016年3月4日,第175-188页。数字图书馆谷歌学者[2]R.H.Arpaci-Dusseau和A.C.Arpaci-Dosseau。操作系统:三个简单的部分。Arpaci-Dusseau Books,2018年。谷歌学者[3]Athalye,A.、Belay,A.、Kaashoek,M.F.、Morris,R.和Zeldovich,N.公证人:安全交易批准装置。在第27届ACM操作系统原理研讨会会议记录(SOSP 2019)(2019年10月,加拿大安大略省亨斯维尔)。数字图书馆谷歌学者[4]Baumann,A.、Barham,P.、Dagand,P.-E.、Harris,T.、Isaacs,R.、Peter,S.、Roscoe,T.,Schüpbach,A.和Singhania,A.。多核:可扩展多核系统的新操作系统架构。在ACM SIGOPS第22届操作系统原理研讨会会议记录(美国纽约州纽约市,2009年),SOSP'09,计算机协会,第29-44页。谷歌学者[5]Beringer,L.、Petcher,A.、Ye,K.Q.和Appel,A.W.验证了openssl hmac的正确性和安全性。在第24届USENIX安全研讨会会议记录(美国,2015年),SEC'15,USENIX协会,第207--221页。谷歌学者[6]Bhardwaj,A.、Kulkarni,C.、Achermann,R.、Calciu,I.、Kashyap,S.、Stutsman,R.,Tai,A.和Zellweger,G.Nros:操作系统中的有效复制和共享。在2021年7月14日至16日,第15届USENIX操作系统设计与实现研讨会,OSDI 2021(2021),A.D.Brown和J.R.Lorch,编辑,USENIX协会,第295-312页。谷歌学者[7]Bond,B.、Hawblitzel,C.、Kapritsos,M.、Leino,R.、Lorch,J.、Parno,B.、Rane,A.、Setty,S.和Thompson,L.Vale:验证高性能密码汇编代码。在USENIX安全研讨会会议记录(2017年8月),USENIX。谷歌学者[8]Bornholt,J.、Joshi,R.、Astrauskas,V.、Cully,B.、Kragl,B.、Markle,S.、Sauri,K.、Schleit,D.、Slatton,G.、Tasiran,S.、Geffen,J.V.和Warfield,A.使用轻量级形式化方法验证amazonS3中的键值存储节点。在SOSP’21:ACM SIGOPS第28届操作系统原理研讨会,虚拟活动/德国科布伦茨,2021年10月26-29日(2021年),R.van Renesse和N.Zeldovich,编辑,ACM,第836--850页。数字图书馆谷歌学者[9]Calciu,I.、Sen,S.、Balakrishnan,M.和Aguilera,M.K.《NUMA架构的黑盒并发数据结构》。在ACM编程语言和操作系统(ASPLOS)架构支持会议记录(2017).数字图书馆谷歌学者[10]Chajed,T.、Tassarotti,J.、Theng,M.、Kaashoek,M.F.和Zeldovich,N.使用顺序推理验证DaisyNFS并发和防撞文件系统。在第16届USENIX操作系统设计与实现研讨会(OSDI’22)会议记录(2022年7月)。谷歌学者[11]Chen,H.、Ziegler,D.、Chajed,T.、Chlipala,A.、Kaashoek,M.F.和Zeldovich,N.使用崩溃灰逻辑来验证fscq文件系统。在第25届操作系统原理研讨会会议记录(美国纽约州纽约市,2015年),SOSP’15,计算机协会,第18-37页。谷歌学者[12]Clements,A.T.、Kaashoek,M.F.、Zeldovich,N.、Morris,R.T.和Kohler,E.可伸缩交换性规则:为多核处理器设计可伸缩软件。ACM事务处理。计算。系统。32,4(2015年1月)。谷歌学者[13]Costanzo,D.、Shao,Z.和Gu,R.C和汇编程序信息流安全的端到端验证。在第37届ACM SIGPLAN编程语言设计与实现会议记录,PLDI 2016,美国加利福尼亚州圣巴巴拉,2016年6月13-17日(2016),C.Krintz和E.D.Berger,编辑,ACM,第648-664页。数字图书馆谷歌学者[14]德雷珀,U.Futexes很棘手。Futexes are Tricky,Red Hat Inc,日本4(2005).谷歌学者[15]Fonseca,P.、Zhang,K.、Wang,X.和Krishnamurthy,A.关于正式验证的分布式系统正确性的实证研究。在第十二届欧洲计算机系统会议记录,EuroSys 2017,贝尔格莱德,塞尔维亚,2017年4月23-26日(2017年),G.Alonso、R.Bianchini和M.Vukolic编辑,ACM,第328-343页。数字图书馆谷歌学者[16]Ghemawat,S.、Gobioff,H.和Leung,S.-T.谷歌文件系统。在第十九届ACM操作系统原理研讨会会议记录(美国纽约州纽约市,2003年),SOSP'03,计算机协会,第29-43页。数字图书馆谷歌学者[17]Gu,R.,Shao,Z.,Chen,H.,Wu,X.N.,Kim,J.,Sjöberg,V.和Costanzo,D.Certikos:构建认证并发操作系统内核的可扩展架构。在第12届USENIX操作系统设计与实现研讨会,OSDI 2016,美国佐治亚州萨凡纳,2016年11月2日-4日(2016),K.Keeton和T.Roscoe,编辑,USENIX协会,第653-669页。谷歌学者[18]Hance,T.、Lattuada,A.、Hawblitzel,C.、Howell,J.、Johnson,R.和Parno,B.存储系统都是分布式系统(所以要这样验证它们!)。在第十四届USENIX操作系统设计与实现研讨会,OSDI 2020,虚拟活动,2020年11月4-6日(2020),USENIX协会,第99-115页。谷歌学者[19]Hance,T.、Zhou,Y.、Lattuada,A.、Achermann,R.、Conway,A.、Stutsman,R.,Zellweger,G.、Hawblitzel,C.、Howell,J.和Parno,B.共享状态机:复杂并发系统的自动模块化推理。在USENIX操作系统设计与实现(OSDI)研讨会论文集[待发表](2023年7月)。谷歌学者[20]Hawblitzel,C.、Howell,J.、Kapritsos,M.、Lorch,J.R.、Parno,B.、Roberts,M.L.、Setty,S.和Zill,B.IronFleet:证明实际分布式系统正确。在第25届操作系统原理研讨会论文集(美国纽约州纽约市,2015年),SOSP’15,ACM,第1-17页。谷歌学者[21]Jung,R.、Swasey,D.、Sieczkowski,F.、Svendsen,K.、Turon,A.、Birkedal,L.和Dreyer,D.Iris:作为并行推理正交基础的单元体和不变量。在2015年1月15日至17日在印度孟买举行的第42届ACM SIGPLAN-SIGACT编程语言原则研讨会会议记录(2015),S.K.Rajamani和D.Walker,编辑,ACM,第637-650页。数字图书馆谷歌学者[22]A.坎蒂。灵活操作系统内部:Anykernel和Rump内核的设计和实现。阿尔托大学博士论文,2012年。谷歌学者[23]Klein,G.、Elphinstone,K.、Heiser,G.,Andronick,J.、Cock,D.、Derrin,P.、Elkaduwe,D.、Engelhardt,K.,Kolanski,R.、Norrish,M.、Sewell,T.、Tuch,H.和Winwood,S.sel4:操作系统内核的形式验证。在2009年10月11-14日,美国蒙大拿州Big Sky,2009年SOSP,第22届ACM操作系统原理研讨会论文集(2009),J.N.Matthews和T.E.Anderson,编辑,ACM,第207--220页。数字图书馆谷歌学者[24]Lattuada,A.、Hance,T.、Cho,C.、Brun,M.、Subasinghe,I.、Zhou,Y.、Howell,J.、Parno,B.和Hawblitzel,C.Verus:使用线性重影类型验证锈蚀程序。程序。ACM计划。语言7,OOPSLA1(2023),286--315。数字图书馆谷歌学者[25]Li,J.、Lattuada,A.、Zhou,Y.、Cameron,J.和Howell,J.,Parno,B.以及Hawblitzel,C.大型系统验证的线性类型。程序。ACM计划。语言6,OOPSLA1(2022),1--28。数字图书馆谷歌学者[26]Li,S.、Li,X.、Gu,R.、Nieh,J.和Hui,J.Z.正式验证了商品多处理器虚拟机监控程序的内存保护。在2021年8月11日至13日,第30届USENIX安全研讨会(2021年),M.Bailey和R.Greenstadt编辑,USENIX协会,第3953-3970页。谷歌学者[27]Li,S.、Li,X.、Gu,R.、Nieh,J.和Hui,J.Z。一个安全且经过正式验证的Linux KVM虚拟机监控程序。在第42届IEEE安全与隐私研讨会,SP 2021,美国加利福尼亚州旧金山,2021年5月24-27日(2021年),IEEE,第1782-1799页。交叉参考谷歌学者[28]Lorch,J.R.、Chen,Y.、Kapritsos,M.、Parno,B.、Qadeer,S.、Sharma,U.、Wilcox,J.R和Zhao,X.Armada:高性能并发程序的低工作量验证。在第41届ACM SIGPLAN编程语言设计与实现会议记录(美国纽约州纽约市,2020年),PLDI 2020,计算机协会,第197-210页。谷歌学者[29]Matsakis,N.D.和Klock,II,F.S.生锈语言。在2014 ACM SIGAda高完整性语言技术年度会议记录(美国纽约州纽约市,2014年),HILT’14,ACM,第103-104页。谷歌学者[30]Murray,T.C.、Matichuk,D.、Brassil,M.、Gammie,P.、Bourke,T.、Seefried,S.、Lewis,C.、Gao,X.和Klein,G.sel4:从一般目的到信息流强制执行的证明。在2013年IEEE安全与隐私研讨会,2013年5月19日至22日,美国加利福尼亚州伯克利,SP 2013(2013),IEEE计算机学会,第415--429页。数字图书馆谷歌学者[31]Nelson,L.、Bornholt,J.、Gu,R.、Baumann,A.、Torlak,E.和Wang,X.使用serval对系统代码进行自动验证的缩放符号评估。在SOSP(标准操作程序)(2019年),ACM,第225-242页。谷歌学者[32]Nelson,L.、Sigurbjarnarson,H.、Zhang,K.、Johnson,D.、Bornholt,J.、Torlak,E.和Wang,X.超内核:操作系统内核的按钮验证。在第26届操作系统原理研讨会论文集,中国上海,2017年10月28日至31日(2017),ACM,第252--269页。数字图书馆谷歌学者[33]尼基塔·科瓦尔(Nikita Koval)、德米特里·哈兰斯基(Dmitry Khalanskiy)和丹·阿利斯塔(Dan Alistarh)。一个经过正式验证的科特林协同程序公平同步框架。CoRR公司(2021).谷歌学者[34]Pirelli,S.、Valentukonytï,A.、Argyraki,K.和Candea,G.网络函数二进制的自动验证。在第19届USENIX网络系统设计与实现研讨会(NSDI 22)(华盛顿州伦顿,2022年4月),USENIX协会,第585--600页。谷歌学者[35]Tao,R.、Yao,J.、Li,X.、Li、S.、Nieh,J.和Gu,R.对arm relaxed内存硬件上的多处理器虚拟机监控程序进行形式验证。在SOSP'21:ACM SIGOPS第28届操作系统原理研讨会,虚拟活动/德国科布伦茨,2021年10月26日至29日(2021年),R.van Renesse和N.Zeldovich,编辑,ACM,第866--881页。数字图书馆谷歌学者[36]Wentzlaff,D.和Agarwal,A.分解操作系统(fos):多核可扩展操作系统的案例。SIGOPS操作。系统。版本43,2(2009年4月),76-85。数字图书馆谷歌学者[37]Yang,J.和Hawblitzel,C.安全到最后一条指令:类型安全操作系统的自动验证。在2010年6月5日至10日,加拿大安大略省多伦多市,2010年ACM SIGPLAN编程语言设计与实现会议记录,PLDI 2010(2010),B.G.Zorn和A.Aiken,编辑,ACM,第99-110页。数字图书馆谷歌学者 引用人查看全部刘杰郝X阿帕西·杜塞奥AArpaci-Dusseau R公司查杰德·T(2024)卷影文件系统:通过稳健的替代执行从文件系统运行时错误中恢复第16届ACM存储和文件系统热点研讨会会议记录10.1145/3655038.3665942(15-22)在线发布日期:2024年7月8日https://dl.acm.org/doi/10.1145/3655038.3665942 建议 超越验证:利用formal进行调试DAC’09:第46届设计自动化年会会议记录 商业形式模型检查器的最新进展使形式属性验证与总体验证计划中基于传统测试台的方法相结合。这导致了重要的验证。。。阅读更多超越安全:定制的基于SAT的模型检查DAC’05:第42届年度设计自动化会议记录 近年来,安全性能的模型检查在很大程度上领先于非安全性能。为了弥合这一差距,我们提出了专用的基于SAT的模型检查算法,以检查超出安全范围的属性。以前的有界模型检查(BMC)。。。阅读更多超属性Beyond的软件验证k个-安全计算机辅助验证摘要时间超属性是关联多个执行跟踪的系统属性。对于(有限状态)硬件,时间超属性由模型检查算法支持,并且存在用于一般时间逻辑的工具,如HyperLTL。对于(…)。。。阅读更多 评论 Please enable JavaScript to view thecomments powered by Disqus. 信息和贡献者问询处发布于 HOTOS’23:第19届操作系统热点研讨会会议记录2023年6月247页国际标准图书编号:9798400701955内政部:10.1145/3593856总主席:麦尔特·施瓦茨科普夫,课程主席:安德鲁·鲍曼,Natacha Crooks公司 版权所有©2023 ACM。如果复制品不是为了盈利或商业利益而制作或分发的,并且复制品的第一页载有本通知和完整引文,则允许免费制作本作品的全部或部分数字或硬拷贝以供个人或课堂使用。必须尊重作者以外的其他人对本作品组成部分的版权。允许用信用证进行摘要。要以其他方式复制或重新发布,在服务器上发布或重新发布到列表,需要事先获得特定许可和/或付费。向请求权限[电子邮件保护].赞助商SIGOPS:ACM操作系统特别兴趣小组出版商计算机协会美国纽约州纽约市出版历史出版:2023年6月22日权限请求对此文章的权限。请求权限检查更新限定符研究文章会议HOTOS’23赞助商:SIGOPS公司HOTOS’23:第19届操作系统热点专题研讨会2023年6月22日至24日RI,普罗维登斯,美国 即将召开的会议 HOTOS’25年 赞助商: 小丑 操作系统热点专题研讨会 2025年5月14日至16日 班夫或路易斯湖,AB公司,加拿大 贡献者 其他指标查看文章指标文献计量学和引文文献计量学 文章指标 1引文总数查看引文191总下载次数下载次数(过去12个月)156下载次数(最近6周)12 其他指标查看作者指标引文 引用人查看全部刘杰郝X阿尔帕奇·杜索AArpaci-Dusseau R公司查杰德·T(2024)卷影文件系统:通过稳健的替代执行从文件系统运行时错误中恢复第16届ACM存储和文件系统热点研讨会会议记录10.1145/3655038.3665942(15-22)在线发布日期:2024年7月8日https://dl.acm.org/doi/10.1145/3655038.3665942 视图选项获取访问权限 登录选项检查您是否可以通过登录凭据或您的机构访问本文。登录完全访问权限获取此出版物 查看选项 PDF格式以PDF文件查看或下载。PDF格式 电子阅读器使用联机查看电子阅读器.电子阅读器媒体数字其他桌子分享分享共享此出版物链接复制链接已复制!复制失败。在社交媒体上分享Linkedin公司重新编辑电子邮件附属公司马蒂亚斯 布伦瑞士苏黎世苏黎世ETHhttps://orcid.org/0009-0004-5349-4347查看个人资料雷托 阿赫尔曼加拿大温哥华不列颠哥伦比亚大学https://orcid.org/0000-0003-3263-7236查看个人资料泰姬(Tej) 查杰德VMware Research,美国帕洛阿尔托https://orcid.org/0000-0002-9889-4828查看个人资料乔恩 豪厄尔VMware Research,美国西雅图https://orcid.org/0000-0002-1781-2473查看个人资料格尔德 齐薇格VMware Research,美国帕洛阿尔托https://orcid.org/0000-0002-1197-595X查看个人资料安德莉亚 拉图阿达VMware Research,瑞士苏黎世https://orcid.org/0000-0002-9303-452X查看个人资料