形式化验证操作系统
形式化验证操作系统
形式化验证操作系统在当今数字化的时代,操作系统作为计算机系统的核心,其稳定性、安全性和可靠性至关重要。
为了确保操作系统能够正确无误地运行,满足各种复杂的需求,形式化验证这一技术逐渐崭露头角。
那么,什么是形式化验证呢?简单来说,形式化验证就是使用严格的数学方法和逻辑推理,来证明一个系统(在这里就是操作系统)是否满足特定的性质和要求。
这可不是像我们平常测试软件那样,通过运行一些案例看看会不会出错。
形式化验证是从根本上、理论上证明系统的正确性。
想象一下,操作系统就像是一个巨大的、复杂的机器,里面有成千上万的零部件在协同工作。
每个零部件都有自己的功能和职责,它们之间的交互和协作必须精确无误,否则整个机器就可能会出现故障。
传统的测试方法可能会漏掉一些隐藏很深的问题,而形式化验证则试图把这个巨大的机器完全拆解,从每一个螺丝钉、每一个齿轮的角度去检查,确保它们的设计和工作方式都是正确的。
形式化验证操作系统的过程可以说是一项极其艰巨的任务。
首先,需要对操作系统的各种功能和行为进行精确的数学建模。
这就要求我们对操作系统的内部结构、工作原理有着非常深入的理解。
比如说,进程调度、内存管理、文件系统等这些核心模块,都要被转化为数学公式和逻辑表达式。
这可不是一件容易的事情,因为操作系统的复杂性超乎想象。
一旦完成了建模,接下来就是运用各种形式化验证的工具和技术来进行推理和证明。
这些工具通常基于复杂的数学理论和算法,能够自动地检查模型是否满足我们设定的性质和要求。
如果在验证过程中发现了问题,那就需要回过头去重新审视模型,找出错误的根源,并进行修正。
形式化验证的好处是显而易见的。
它可以帮助我们发现那些在传统测试中难以发现的微妙错误和潜在的漏洞。
比如说,一些边界情况、并发情况下的竞争条件等等。
通过在设计阶段就发现并解决这些问题,可以大大提高操作系统的质量和可靠性,减少后期出现故障和安全漏洞的风险。
然而,形式化验证也并非一帆风顺。
计算机系统验证课件
机遇
随着新技术和新方法的不断发展,系统级验 证将迎来更多的发展机遇和挑战。同时,随 着人们对系统安全和可靠性的要求不断提高
,系统级验证的需求也将不断增长。
THANKS
感谢您的观看
计算机系统验证课件
目录
CONTENTS
• 计算机系统验证概述 • 形式验证 • 模拟验证 • 测试验证 • 验证工具介绍 • 计算机系统验证的未来发展
01
计算机系统验证概 述
验证的定义与重要性
验证的定义
验证是确保计算机系统满足其规格、 需求和预期行为的过程。
验证的重要性
验证对于确保系统的正确性、可靠性 和安全性至关重要,可以减少错误、 漏洞和缺陷,降低维护成本和风险。
模拟验证的案例与实践
案例一
网络协议的模拟验证:通过对网络协议的数学建模,利用 模拟验证技术对协议的正确性和性能进行测试和验证。
案例二
航空交通控制系统的模拟验证:通过建立航空交通控制系统的仿 真模型,模拟实际运行环境,对控制系统的性能和安全性进行测
试和验证。
实践经验总结
模拟验证在计算机系统验证中具有广泛的应用价值,通过实践经 验总结,可以不断完善和优化模拟验证的方法和技术,提高计算
模拟验证的方法与技术
模拟验证的方法
模拟验证的方法包括基于模型的模拟验证和 基于仿真的模拟验证。基于模型的模拟验证 通过建立数学模型来描述系统的行为,而基 于仿真的模拟验证通过建立仿真模型来模拟 系统的实际运行环境。
模拟验证的技术
模拟验证的技术包括离散事件仿真和连续时 间仿真。离散事件仿真适用于描述离散状态 变化的系统,而连续时间仿真适用于描述连 续动态变化的系统。
形式验证是对计算机系统的一种检查方法,通过数学模型和 形式化描述来验证系统的正确性和安全性。
认识形式化验证
认识形式化验证 软件开发中⼀般使⽤“测试”来找bug,这种⽅法只能找到bug,不能证明程序没有bug。
形式化验证是⽤逻辑来验证程序的可靠性,就是把⼀段程序⽤逻辑的⽅法证明⼀遍,证明它能得到预期的结果,没有bug。
⼀般这类研究主要应⽤于昂贵的航天器材的操作系统、危险的医疗设备的程序之中。
因为航天器材、医疗设备牵扯到⼈的⽣命,如果操作系统出现错误,那么很危险,⼜不能⽤测试⼀遍⼀遍的测,所以⽤形式化验证来做。
⽐如美国航天局NASA就会雇佣⼤批形式化验证的专家来验证他们操作系统的正确性。
学习这个⽅向,最好有⽐较好的逻辑知识(数理逻辑、拉姆达验算),最好⽐较了解程序(⽐如操作系统的设计、编译器的设计等)。
这个⽅向是⽐较犀利的研究⽅向,但不⼤容易出论⽂,需要长时间积累才能发⼀篇好论⽂。
这个⽅向只是科研⽅向,不适合找⼯作,如果你读完硕⼠打算找⼯作⽽不做研究,这个⽅向不适合。
因为企业没⼈⽤形式化验证来验证程序。
Formal Verification(形式验证) 在计算机硬件(特别是集成电路)和软件系统的设计过程中,形式验证的含义是根据某个或某些形式规范或属性,使⽤数学的⽅法证明其正确性或⾮正确性。
形式验证是⼀个系统性的过程,将使⽤数学推理来验证设计意图(指标)在实现(RTL)中是否得以贯彻。
形式验证可以克服所有3种仿真挑战,由于形式验证能够从算法上穷尽检查所有随时间可能变化的输进值。
形式验证形式验证的出现 由于仿真对于超⼤规模设计来说太耗费时间,形式验证就出现了。
当确认设计的功能仿真是正确的以后,设计实现的每⼀个步骤的结果都可以与上个步骤的结果做形式⽐较,也就是等价检查,如果⼀致就说明设计合理,不必进⾏仿真了。
形式验证主要是进⾏逻辑形式和功能的⼀致性⽐较,是靠⼯具⾃⼰来完成,⽆需开发测试向量。
⽽且由于实现的每个步骤之间逻辑结构变化都不是很⼤,所有逻辑的形式⽐较会⾮常快。
这⽐仿真的时间要少很多。
⼀般要做形式验证的步骤有:RTL和RTL。
形式化验证:从混成系统到CPS
卜 磊南京大学形式化验证:从混成系统到CPS关键词:形式化验证 混成系统 CPS混成系统是一种嵌入在物理环境下的实时系统,一般由离散组件和连续组件连接组成,组件之间的行为由计算模型控制。
经典混成系统一般分为离散层和连续层,其构成体现了计算机科学和控制理论的交叉。
在连续层,通过系统变量对时间的微分方程来描述系统的实际控制操作模型以及系统中参数的演变规律。
而在离散层,则通过状态机、佩特里网等高抽象层次模型来描述系统的逻辑控制转换过程。
在两层之间通过一定的接口和规则将连续层的信号与离散层的控制模式进行关联和转换。
大多数复杂实时控制系统,都包含连续变化的物理层与离散变化的决策控制层之间的交互过程,因此混成系统在工业控制和国防等领域大量存在,特别是安全系统,如交通运输、航空航天、医疗卫生、工业控制等。
随着在人们生活中的应用越来越广,重要性越来越高,人们对相应系统的质量特别是可信性的需求快速提升,系统失效所带来的灾难也越来越大。
在交通运输方面,车载导航系统的小小失误就可能造成交通事故,而飞机导航系统的失误则可能导致机毁人亡。
在国防领域,对软件系统的错误已经进入零容忍度阶段。
因此,如何对混成系统进行有效的可信性保障成为一个亟待解决的问题。
一般而言,测试、仿真[2,3]等技术是研究和保障软件质量的主要方法。
这些方法主要以运行系统为发现问题的主要手段。
由于人力无法穷尽地遍历系统所有可能的运行输入和场景,也就不足以保证检测的完备性,这可能会给系统后期运行留下安全隐患。
因此,在对系统错误零容忍的安全攸关的系统领域,采用可证明系统模型正确性的形式化验证理论和技术[4,5]来对系统模型进行安全性验证就显得极为重要,这也成为了相关领域近期的主要关注点。
混成系统形式化验证形式化方法形式化方法(formal method)混成系统实时嵌入式系统,特别是复杂的实时控制系统,广泛存在着这样一类子系统:它们行为中的离散化逻辑控制与连续性的时间行为相互依赖,相互影响,彼此互为依存,息息相关。
形式化验证在软件系统安全性分析中的应用研究
形式化验证在软件系统安全性分析中的应用研究随着现代社会科技的不断发展, 软件系统的应用范围越来越广, 也越来越重要。
然而软件系统中存在的安全问题也不断增加,这是造成财产损失,政治事件等重大问题的原因之一。
软件系统的安全性保护变得越来越重要, 为了保障软件系统的安全性,需要采取有效的安全分析方法。
其中,形式化验证在软件系统安全性分析中的应用引起了人们的广泛关注。
一、形式化验证的概念形式化验证,是利用形式系统的形式化理论,对被验证的对象进行严格的形式化证明或推理的过程,通过科学的方法证明一个特定的模型是否符合其描述的特定规范, 并评估其正确性的方法。
这种方法可以明确地指出潜在的错误和缺陷, 可以有效地提高系统可靠性和安全性。
二、形式化验证在软件系统中的应用形式化验证在软件系统中的应用,主要是针对可配置软件,实时系统,分布式系统,网络安全等一系列复杂系统中软件复杂度高、交互设计模糊不清等问题。
形式化验证在软件系统中具有多种优点,包括精准性高、可重用性强、再现性好、自动化测试能力强等。
三、形式化验证的优点1. 精准性高: 形式化验证通过机器执行的方式可以对软件系统进行全面而细致的分析,可以准确地找出软件系统的缺陷和错误,提高软件的安全性和可靠性。
2. 可重用性强: 形式化验证所生成的模型及证明可以多次重复使用,可以避免重复设计和测试的过程,大大提高了工作效率。
3. 再现性好: 在形式化验证中使用的数学方法具有良好的可重复性,可以通过执行机器这个部分来得到非常一致的结果,这也是形式化验证成为可靠系统的优点之一。
4. 自动化测试能力强: 形式化验证可以使用计算机执行大部分的工作,可以在比手工测试更短的时间内自动化检查更多的属性,并提供更好的准确度和可预测性。
四、形式化验证在软件系统安全性分析中的实际应用形式化验证在软件系统安全性分析中的应用方案比较广泛,其中比较具有代表性的有以下几种:1. 从源代码到最终系统: 通过检查源代码可以找出其中静态缺陷,但静态分析的结果可能会忽略一些与实现相关的微小错误。
形式化验证操作系统
形式化验证操作系统第一点:形式化验证操作系统的必要性和挑战形式化验证是一种利用数学方法来验证软件系统正确性的技术。
在操作系统领域,形式化验证可以帮助我们确保操作系统的稳定性和安全性,避免系统出现崩溃、漏洞等问题。
随着信息技术的快速发展,操作系统在人们生活中的地位越来越重要,其安全性和稳定性也变得越来越受到关注。
因此,对操作系统进行形式化验证成为了计算机科学领域的一个重要研究方向。
然而,形式化验证操作系统面临着诸多挑战。
首先,操作系统的复杂性非常高,其中包含了大量的模块和相互依赖的关系。
这使得对操作系统进行形式化验证的难度大大增加。
其次,形式化验证需要对操作系统的所有可能执行路径进行覆盖,以确保系统的正确性。
然而,操作系统的执行路径数量非常庞大,人工很难对其进行完全分析和验证。
此外,操作系统的运行环境非常复杂,很难通过形式化方法来描述和验证系统与环境之间的交互。
第二点:形式化验证操作系统的方法和工具尽管形式化验证操作系统面临诸多挑战,但研究人员还是提出了一些方法和工具来帮助我们进行形式化验证。
其中,最为常见的方法是使用定理证明和模型检查技术。
定理证明是一种利用数学推理来证明系统性质的方法。
在操作系统领域,定理证明可以用来验证操作系统的正确性和安全性。
通过定理证明,我们可以证明操作系统中的某个性质在所有可能的情况下都成立。
然而,定理证明的方法往往需要深入了解操作系统的内部实现和数学理论,对研究人员的专业素质要求较高。
模型检查是一种利用自动化工具来验证系统性质的方法。
在操作系统领域,模型检查可以用来验证操作系统的正确性和安全性。
通过模型检查,我们可以自动地检查操作系统模型中的所有可能执行路径,以确保系统的正确性。
模型检查的方法较为简单,易于上手,但可能无法覆盖到操作系统的所有可能性。
综上所述,形式化验证操作系统是一种非常重要的方法,可以帮助我们确保操作系统的稳定性和安全性。
尽管形式化验证操作系统面临诸多挑战,但通过定理证明和模型检查等方法和工具,我们仍然可以对操作系统进行较为有效的验证。
操作系统汇编级形式化设计和验证方法
E ・ ma i l : j O S @i s c a s . a c . c n h t t p : / / ww w. j o s . o r g . c n
Te l : + 8 6 . 1 0 . 6 2 5 6 2 5 6 3
; Ri : l -
钱 振 江1 , 2 , 3 ,黄 皓 ,宋 方 敏
M e t h o d o f Fo r ma l De s i g n a n d V e r i ic f a t i o n o f OS o n As s e mb l y La y e r
Q I AN Z h e n . J i a n g , , HUA NG Ha o , S ONG F a n g . Mi n
B a o / J o u ma l o f S o f t w a r e i 2 0 1 6 , 2 7 ( i 2 ) : 3 i 本 3 - - 3 1 5 7 ( i n C  ̄e s e ) , h t t p : , w w w j o s o r g . c 1 0 0 0 ; 9 8 2 5 / 4 8 5 1 . h t m
( 南京大学 计算机 科学与 技术系, 江 苏 南京 2 1 0 0 2 3 )
i - , F
Hale Waihona Puke ( 常熟理工 学院 计 算机科 学与工程 学院, 江 苏 苏州 2 1 5 5 0 0 )
( Ki n g ’ S Co l l e g e L o n d o n , Lo n d o n WC 2 R 2 LS , UK)
英文弓 I 用格式: Q i n u Z J , 丑 u _ a n g H , S o n g F M, Me t h O d o f f o r ma l d e s i g n髓d v e r i f i c a t i o n o f o s o n a s s e m b l y I 曩 y e r . R u a n J i a n X u e
控制电路的形式化验证
控制电路的形式化验证大家好,今天来聊聊“控制电路的形式化验证”这个话题,说实话,听起来有点高大上、深奥得让人直冒冷汗,对吧?但其实呢,放轻松,这不过是一个让我们在设计电路时,确保它能够“乖乖”地按预期运行的工具罢了。
大家都知道,电路设计就像给自己的“电子宠物”编程,你希望它乖巧、听话,不会突然掉链子、乱跑一气。
那问题来了,怎么确保它不会发生意外呢?形式化验证就是那个“电子宠物培训师”,帮你查漏补缺,防止意外发生。
我得先给大家科普一下,什么叫做“形式化验证”吧。
这个“形式化”可不是让电路穿上西装、打上领带,做个高大上的样子。
而是通过一些严格的数学方法、逻辑推理来证明电路设计在理论上是没问题的。
通俗点说,它就是用一种“严谨、死磕”的态度,来保证你的电路就算在最糟糕的情况下也能正常工作。
试想一下,如果你家的电路设计不经过形式化验证,万一有个小小的bug,它可能就成了“定时炸弹”,一不小心就会烧掉一堆元器件,甚至连你的家电都可能因此受到牵连,结果就是—“这锅可不小啊!”然后呢,咱们再聊聊它为什么重要。
电路设计的复杂程度就像人类的思维一样,永远不会是线性的,可能会涉及到大量的状态切换、复杂的逻辑判断。
你知道的,电流和电压这种东西就像是“高压电”,一旦出错,后果不堪设想。
有些小小的疏忽,最后都可能导致大问题。
所以呢,形式化验证就像是“验尸官”,它能提前“推理”出电路可能出现的问题,绝对不是简单的“走过场”。
你设计的每一个模块、每一个细节都能通过它的严格审查,给你“打个保票”,确保万无一失。
形式化验证可不是那种拿来敷衍了事的工具,它可是有真本事的。
我们设计电路时,常常会碰到这种情况:一个小小的bug,自己检查半天也找不出来,就像是掉进了无底洞,怎么也找不到出口。
但形式化验证,它不是那种“看了半天也没结果”的空口说白话,而是能通过系统性的算法和数学模型,从根本上找出你设计上的每一个漏洞。
这就像一个超级侦探,能够在你设计上每个环节“细细筛查”,不放过一丝一毫的错误。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
形式化验证seL4操作系统王俊超摘要:完全的形式化验证是确保系统不会出现编程和设计错误的唯一方法。
本文假设编译器,汇编代码和硬件层都是正确的,在此基础之上介绍了对seL4内核从抽象规约层到C语言实现层的形式化机器验证。
目前为止,seL4是第一个经过形式化验证并证明功能正确性的完整的通用的操作系统内核。
这里所指的功能性是说实现总是严格的满足上一抽象层内核行为的规约。
本文证明了seL4操作系统在任何情况下都不会崩溃以及执行不安全的操作,更重要的是,可以精确的推断出seL4在所有情况下的行为。
关键词:seL4;形式化验证;操作系统1.引言操作系统的可靠性和安全性几乎与计算机系统等价,因为内核可以在处理器的最高权限上工作,可以随意的访问硬件。
因此,操作系统内核实现出现的任何一个微小的错误都会导致整个计算机系统的崩溃。
为了保证操作系统的安全性,传统的一些做法有减少高权限的代码的数量,从而避免bug出现在较高的权限层内。
那么,如果代码的数量较少,便可以通过形式化的机器验证方法来证明内核的实现满足规约,并且在实现时不会有程序员由于编码引入的实现漏洞。
本文通过机器检验的形式化证明验证了seL4的功能正确性,目前,seL4所能达到的功能如下:能够在现实生活中使用,并且其性能与当前性能最好的微内核相当;其行为在抽象层进行了精确的规约;其形式化设计用来证明一些需要的属性比如中断等的安全性;其实现满足规约;访问控制机制能够保证高强度的安全性。
目前,seL4是第一个被完全形式化验证其功能正确性的操作系统内核,所以,它是一个前所未有的具有高度安全性和可靠性的底层系统级平台。
在本文所描述的功能正确性要比模型检验、静态分析以及采用类型安全编程语言实现的内核要强的多。
本文不仅对内核的规约层面进行了分析,同时也对于内核的精细的行为进行了规约和验证。
此外,本文还创立了一套融合了传统操作系统研发技术和形式化方法技术,用来快速实现内核设计与实现的方法学,经过实践证明,利用这套方法学开发出的操作系统不仅在安全性上有着充分的保障,在性能上也不会受到影响。
2.研究现状UCLA Secure Unix和Provably Secure Operating System (PSOS)在十九世纪七十年代末第一次尝试着来验证操作系统内核。
本文借鉴了UCLA的功能正确性的验证思路。
UCLA项目完成了90%的规约和20%的验证,最终得出了不变式的推理占据了证明的大部分时间,在本文的项目中这一点也得到了证实。
PSOS主要关注于内核设计的形式化验证,然而,却从来没有完成过大量的实现证明。
他们的设计方法学被Ford Aerospace的Kernelized Secure Operating System (KSOS) 、Secure Ada Target(SAT)以及Logical Coprocessor Kernel (LOCK)所采用。
第一个实际的完整的证明是由KIT实现的。
然而,其实现针对的对象是一个高度理想化的操作系统内核,并不能在实际的机器上运行。
Bevier和Smith随后将Mach的内核进行了形式化,但是并没有提供其实现的证明。
其他的一些关于操作系统内核的形式化建模和证明都没有在实现层进行验证,包括EROS内核,基于FLASK的SELinux内核等。
VFiasco项目和气候的Robin项目尝试验证C++的内核实现。
他们能够创建大量的基于C++实际代码的模型,然而在形式化验证方面并没有做太多的工作。
Heitmeyer et al声称验证和标准化了一个名为LOC的嵌入式操作系统,然而,实际上他们的工作并未达到C代码层面的验证,与功能性验证差距较远。
比较新的一个项目是Verisoft,他们尝试验证操作系统的内核和从硬件到应用程序的完整的软件栈。
这里面包含了类似于Pascal语言的已经验证过的编译器,这个编译器并不做任何优化处理。
虽然这个项目目前还没有完成,但是,却证实了功能性验证软件栈的目标是可以实现的。
同时,他们也证明了形式化验证汇编一级的代码是可以实现的。
不幸的是,他们的工作是基于VAMP硬件平台,该硬件平台并不被广泛使用。
本文提到的seL4操作系统针对的是ARM6平台,目的是实现一个可用的真实的内核。
其他用于提高操作系统可靠性的形式化技术包括静态分析,模型检验和形态分析。
静态分析在最好的情况下仅仅能检测出类中内存的泄露。
模型检验能够验证实际的C代码中的某些安全特性比如系统调用等。
然而,这些自动验证技术远远不能满足功能正确性的需求。
采用类型安全的语言比如SPIN和Singularity能够增强可靠性,然而,如果用这些语言来实现原系统的运行状态。
虽然类型安全是一个比较不错的性质,但是还是不够强烈,因为内核仍然会出现异常比如null指针的问题。
在本文中,验证了seL4代码的类型安全性。
3.实现原理3.1 seL4简介seL4是一个第三代的基于L4的操作系统内核。
L4是一组基于微内核构架的操作系统内核,澳大利亚研究组织NICTA创造了一个新的L4版本,称为Secure Embedded L4(简写seL4),宣布在世界上率先开发出第一个正规机器检测证明(formal machine-checked proof)通用操作系统。
seL4微内核设计针对实时应用,可潜在应用于强调安全和关键性任务的领域内,如军用和医疗行业。
形式证明在较小的内核中已经实现,但这次是首次在执行复杂任务的操作系统内核中实现。
研究发现常用的攻击方法对seL4无效,如恶意程序经常采用的缓存溢出漏洞。
Open Kernel Labs首席科学家和NICTA的ERTOS Group负责人Gernot Heiser教授表示实现许多人认为不可能实现的任务是令人兴奋的。
他表示暂时还没有产品开发计划。
3.2 seL4设计通过高效的管理和使用硬件资源,可以带来直接的性能提升,因此,操作系统开发者倾向于自底向上的内核开发方法。
与此不同的是,形式化方法更倾向采用一种自顶向下的设计方法。
这种开发方法的源头是一个高度抽象的模型。
本文基于上述的两种开发方法,并做了一个折中,用面向过程的Haskell语言实现了一个内核原型。
Figure 1详细了描述了该方法。
上图中整个大的矩形是形式化验证使用的所有模型。
双箭头代表了实现或者证明。
中间是实现的Haskell原型。
该原型需要设计和实现相关的算法来得到底层的硬件细节。
为了运行这一原型代码,本文使用了从QEMU中抽取出来的虚拟化平台。
因此,所有的仿真操作能够完整的表现出来操作系统的各种行为。
虽然Haskell代码是一个可执行的接近于最终实现的代码,但是,并不是最终的C代码。
因此,我们人工的用C语言重新对内核进行了实现。
首先,Haskell的运行环境包含了大量的难以验证的代码。
第二,Haskell的代码依赖于内存回收机制,这种机制使其难以在实际应用环境中使用。
此外,使用C可以在底层的实现中进行优化。
虽然可以直接从Haskell代码编译成C代码,但是,这样会使得系统的性能受到影响。
3.3 seL4的形式化验证本文所采用的形式化验证方法是交互式机器协助定理证明,使用的定理证明工具是Isabelle/HOL。
交互式定理证明需要人的参与,由人来创建和引导整个定理的证明。
然而,这种方法的好处是不受限于特定的属性或者有穷的状态空间,而不像静态分析和模型检验那样。
本文所论证的是最强意义上的功能正确性。
本文采取了一种精炼证明策略,能够确保高层抽象和系统底层的一致性,从而确保了Hoare逻辑在抽象层的属性在底层依然适用。
Figure 2中显示的是用于seL4验证的规约层次。
最顶层的是抽象规约层。
该层是对系统的完整的主要的行为进行了规约,包含了足够的细节来体现系统的外在特性,比如系统如何调用二进制的参数以及系统调用的结果。
然而,在这一层次中并没有具体到这些特性都是如何实现的。
接下来的一层是执行规约层。
这一层次的规约由Haskell的原型产生。
本层包含了所有的数据结构的描述和实现细节。
最底层的是seL4的详细的C代码的实现层。
这里要求C代码必须有明确的语义。
本文所依赖的项目的一大贡献就是产生了大量的精确的C语言的语义。
验证永远不可能时完备的,因此,在证明之前需要进行适当的假设。
本文只限于C代码的实现。
4.总结本文形式化的验证了seL4操作系统内核,证明了完整的、严格的、形式化的验证一个通用操作系统内核是完全可以实现的。
该内核是一个目前可用的内核,可以运行在ARM6或者X86硬件平台上。
5.参考文献[1] G. Klein, J. Andronick, K. Elphinstone, G. Heiser, D. Cock, P. Derrin, D. Elkaduwe, K. Engelhardt, R. Kolanski, M. Norrish, T. Sewell, H. Tuch, S. Winwood. seL4: Formal Verification of an OS Kernel. CACM 53(6), pages 107-115, ACM 2010.[2] E. Alkassar, M. Hillebrand, D. Leinenbach,N. Schirmer, A. Starostin, and A. Tsyban. Balancing the load | leveraging a semantics stack forsystems verication. JAR, 42[3] E. Alkassar, N. Schirmer, and A. Starostin. Formal pervasive verication of a paging mechanism. In C. R. Ramakrishnan and J. Rehof, editors, Tools and Alg. for the Construction and Analysis of Systems(TACAS), volume 4963 of LNCS, pages 109[4] J. Alves-Foss, P. W. Oman, C. Taylor, and S. Harrison.The MILS architecture for high-assurance embedded systems. Int. J. Emb. Syst., 2:239[5] M. Archer, E. Leonard, and M. Pradella. Analyzing security-enhanced Linux policy specications. In POLICY '03: Proc. 4th IEEE Int. WS on Policies for Distributed Systems and Networks, pages 158[6] T. Ball and S. K. Rajamani. SLIC: A specication language for interface checking. TechnicalReport MSR-TR-2001-21, Microsoft Research, 2001.[7] B. N. Bershad, S. Savage, P. Pardyak, E. G. Sirer,M. E. Fiuczynski, D. Becker, C. Chambers, and S. Eggers. Extensibility, safety and performance in the SPIN operating system. In 15th SOSP, Dec1995.。