，比如右图是在2009年操作系统大会上，第一个被检验的操作系统内核。有7500行代码，但是光7500讫的C语言代码就花上了11个人年为其工作，其中还有500讫的编撰代码1000多行的C语言代码没被检验，可以显现出工作量十分大。另外一个问题是，用户平时写出C语言代码的时候，到底对它有多明晰的概念？C语言也不是尤其好的语言，一旦要用它来写出操作系统最底端的东西，有可能就不会经常出现C语言代码、编撰代码以及C语言代码和编撰代码杂交体共存的情况，依赖性很强，一旦这些代码连在一起构成一个简单的系统，要确保其不错误真是是不有可能已完成的任务。

除了这个问题以外，所有的操作系统，特别是在是现在新的多核的CPU平台上，还有用Concurrency（所发）的，往往有好几个版本，要检验它也十分无以。所以，现在的系统能做的程度与理想状态还有一个相当大的Gap，像IoT、自动驾驶平台这类系统不会显得更加简单，所以Gap不会越拉越大。3.我们要做到的这个系统就是要解决问题以上所有这些挑战，我们所使用的技术是Certified Abstraction Layers。

Certified Abstraction Layers这个技术不只是用作现有的系统，而且还作为一种新的技术来研发新的系统，目的就是要让Gap显得更加小。怎么做呢？我们不会有一个个模块，每一个小的模块想象成一个代码，每个软件模块写出的时候总会构建一些新的功能，所以有了M1，每一个被检验的模块就叫Certified Abstraction Layers，这中间不会有一个仿真的关系，如果都是在一个抽象化层上创建的话，就可以把它们并成一块。

如果这些代码是运用C语言写出的，早已被检验符合这些规范的话，可以把它用编译器编译器以后分解编撰代码，这些编撰代码也是几乎被检验的，因为这个编译器能确保分解的代码和原代码之间是完全一致的。这样就能构成一个大的系统，用模块化的方式将其构成一个大的系统。我们这个课题在2、3年前做到的，特了反对中断，用在车上可以确保车里面的部件相互不不受影响。

最近我们做到的是所发的内核，可以在多核上运营，每个核上都可以跑完一个Linux系统。所以我们能证明的不只是功能性，还可以证明它会“杀”，所有普通意义上黑客能反击的模块都会被去除。整个证明都是通过Coq Proof Assistant来展开，该工具在2014年还取得了（ACM Software System Award）奖项。在明确应用于上，CertiKOS可以用在机器人及智能系统上，也可以运用在无人机上，益处就是能确保操作系统内核里没任何可被黑客攻击的模块。

4.接下来不会讲解如果要创建这样一个被检验可靠的操作系统的一些明确技术。我用较为小的一个操作系统来给你们看一个例子，如果说是在所发系统上，不会有一些Spin-lock Module，上面不会反对一些Thread Queue，很有可能上面不会特一些Scheduling Module、Inter-Process Communication和Keyboard Driver等，这是一个操作系统怎么从底层往上搭起的方式。其中中用的最主要的技术是Certified Abstraction Layers，就是说把所有的程序的模块分为一块块，称作Certified Objects，一个Object就代表每一个模块对外能做到什么事情。

而且，代码和模块遵循的规范是完全一致的，这样的作法就是让每个模块都有一个抽象化状态（Abstract State）和模块能做到的基类型操作者（Primitives）。所以，你每次写出任何一个软件模块的时候，都会在一个抽象化层上做到，不会用于一些内层。如果你要检验这个模块，就要在上面写出它的规范，你要检验的目标就是要确保构建C代码和写出的一般化模块之间的关系。比如说上图表明的是C语言代码中定义的Queue，这是它用的内层，这个C语言代码事实上是拿它来做到双向链表，用作构建一个队列，中间还有一个State，上面还有一个head和tail，这样做到了之后你有可能用其写出一些C语言代码。

如果要确保这个代码会错误，你就得确保其与它上面的规范是完全一致的。事实上这是我们所有写出程序用的最少的办法，因为你们平时写出每一行程序的时候，脑袋里都有一个自己想构建的东西，所以简单的系统只不过都是在搭乘一层层的抽象化层。

建构一个简单的无人驾驶的汽车，也必须有很多抽象化层，只不过是现在我们注目的是在最底层的操作系统的安全性。如果抽象化规范写这样，从队列上夺下一个元素就非常简单，你要确保C代码和函数的规范是不具备一致性的，我从队列里替换成一个元素，C语言就要跑完好几步，但是你能确保两者之间是完全一致的。

这样的证明就回应你做到了一个Simulation Proof（仿真检验），能确保你写出的代码和形式规范之间没任何Gap，那么黑客就无法反击系统。有了这套取名为Deep Specification的形式规范，就可以确保你在程序里仔细观察到的不道德都能在规范中表达出来。有了它以后，我们需要确保所有想证明的Property（属性）都可以在规范上萃取出来，之后可以做到一些操作系统的内核检验。

如上图右图，如果内核代码是这样的，很有可能大部分代码不会还包括内存管理、线程管理、进程管理，还有上层的Trap。如果再行把内存管理的模块拿出来，把它分好层，所谓分层就是确保每一层都只倚赖底层，把每一个模块都检验了进而并成一个。这个方式也合适用来检验线程管理模块、进程管理模块、虚拟世界内存模块等。

有了这些模块，我们就可以搭起一个Certified Sequencial kernel。如果你又要在上面特Hypervisor的功能，比如说虚拟化的模块，那么你只必须做到的就是在硬件末端有一个反对虚拟化的模块，把硬件的功能反映出来。往上再行提高到进程管理，从那个地方就可以开始来检验虚拟化模块用来构建Hypervisor。

这个检验以后，就可以获得一个Certified Hypervisor，在上面就可以Boot Linux，而且是多个版本的Linux。有了这个以后，我们就能把多行代码之间每一块的关系都搞得十分明了，比如此前提及的3000行代码就可以转变成37层的抽象化层，这些抽象化层都是逻辑上的抽象化层，所以它确实构建的速度和功能跟原本是一样的，用这些抽象化层可以把中间各种各样的关系理顺，确保会出有任何的错误。在这个基础上，我们还可以拿它来构建一些所发的Kernel。

大家都告诉，未来所有的自动驾驶汽车上用的芯片更加多的应当是MPSOC，这些多核的CPU带给了很多实时的问题，所有的人都告诉并发程序是现在写出程序仅次于的挑战，如果这个问题不解决问题，接下来整个自动驾驶汽车、无人机都会有相当大的局限性。所以我们现在也做到多核内核的检验。

多核内核的检验跟刚才用的技术是类似于的，我们做到的是需要让你把用在串行系统上的检验方法运用到了多核上，我们把多核的机器显得如串型一样，只不过把其他的CPU变为了它的环境。每一个模块不仅需要确保符合规范，即使有其他所发的进程展开的时候，也会经常出现任何问题，黑客无法展开反击。我们在检验所发操作系统的工作中找到，哪怕是大家用了十几年的操作系统的教科书里的很多例子，一旦牵涉到到所发的代码，很多都推卸责任，即使老师谈了很多，学生也看了很多，但我们拿它去检验时，还是不会找到一些边角的case没考虑到，所以我们在检验过程中寻找了很多Bug，这些Bug不会变为网络安全隐患。在这个基础上，我们还做到了一些Device Driver的检验，这个只不过是很有意思的。

事实上，我们做到操作系统检验的目标不是只检验一个特定操作系统，而是要检验一类平台，这个平台有可能不只是几个CPU，比如汽车上不会有很多的Device，有很多ECU。所以汽车操作系统不只是非常简单的Linux就在一个Box上运营。

在这样的Device上也可以用某种程度的手段辟抽象化层，这方面的工作我们也做到了很多，比如在一个Device Driver的最底层与硬件认识的地方创建起大量的抽象化层。此外，我们还可以拿它来检验一些Security，需要在规范的层面上确保任何两个线程之间会相互影响，也就是说，即使一个黑客掌控了其中一个部件，也无法毁坏只剩的部件。这在汽车上是十分最重要的，因为汽车上有很多部件，如果黑客通过某个部件的操作系统白入了汽车，很可能会利用其反击其他部件或者整个主机。

总的来说，虽然我们目前专心在CertiKOS这样一个非常简单的操作系统上，但也在大大谋求突破，比如在其上构建Real Time的功能，朝着做到一个反对多核且十分安全性的操作系统的方向行进，这套技术也早已显得更加成熟期。事实上，这方面的工作以前大部分是在航天领域展开。现在，更加多的业内人士指出，以往对于航天领域的诸多拒绝都会渐渐移往到自动驾驶汽车上。

5.最后想要说道的是，对于操作系统，中国以往做到的工作大部分还只是逗留在应用层或系统级别更上的一层，而最核心的部分却没过于多投身于。如今，新的应用于如智慧城市、区块链以及自动驾驶汽车等都早已冒头，原本的那些操作系统早已不几乎限于于这些新的应用于。但为了能立刻推向市场，很多都是略为改为一下之后配备到设备上，只不过里面不存在很多问题。所以操作系统早已到了一个拐点，这时候如果有一个能确保安全性的操作系统、经常出现一个新的平台，我坚信很多行业都会亲吻这个平台。

*文中图片由(公众号：)截自邵中演说PPT原创文章，予以许可禁令刊登。下文闻刊登须知。

本文来源：云开平台app最新版本入口-www.wysbl.com