Giả sử tôi muốn xây dựng một hệ điều hành dựa trên hạt nhân bản địa rất nhỏ hoạt động như một trình thông dịch / thời gian chạy mã được quản lý và một hạt nhân phía trên lớn hơn được biên dịch sang ngôn ngữ máy không bản địa (mã byte Java, CIL, v.v.). Ví dụ về các hệ điều hành tương tự sẽ là Singularity và Cosmos .
Những cạm bẫy và thách thức phát triển nào tồn tại khi viết một HĐH với loại cơ sở hạ tầng này trái ngược với một giải pháp hoàn toàn tự nhiên?
Câu trả lời:
Tùy thuộc vào ngôn ngữ, có thể có nhiều thách thức phát triển:
Con trỏ: Nếu một ngôn ngữ không có con trỏ, nó sẽ là một thách thức để thực hiện các nhiệm vụ tương đối dễ dàng. Ví dụ: bạn có thể sử dụng các con trỏ để ghi vào bộ nhớ VGA để in ra màn hình. Tuy nhiên, trong một ngôn ngữ được quản lý, bạn sẽ cần một số loại "phích cắm" (từ C / C ++) để làm điều tương tự.
Lắp ráp: Một hệ điều hành luôn cần một số lắp ráp. Các ngôn ngữ như C #, Java, v.v. không hoạt động tốt với nó, không giống như C / C ++. Trong C hoặc C ++, bạn cũng có thể có lắp ráp nội tuyến rất, rất hữu ích cho nhiều tác vụ. Có NHIỀU trường hợp cần điều này (ví dụ trong x86): tải GDT, tải IDT, bật phân trang, thiết lập IRQ, v.v.
Control: Nếu bạn đang sử dụng một cái gì đó giống như Cosmos, bạn không gặp toàn quyền kiểm soát. Cosmos là một hạt nhân siêu nhỏ và về cơ bản là "bootstraps" "kernel" của bạn. Bạn có thể thực hiện một cái gì đó như Cosmos từ đầu nếu bạn thực sự muốn, tuy nhiên, điều đó có thể mất nhiều thời gian.
Chi phí chung: Với các ngôn ngữ được quản lý, có RẤT NHIỀU chi phí so với C hoặc thậm chí C ++. Những thứ như Cosmos cần phải thực hiện rất nhiều thứ trước khi ngay cả kernel thế giới C # hello có thể chạy được. Trong C, bạn đã sẵn sàng để đi, không cần thiết lập thực sự. Trong C ++, chỉ có một vài điều cần được triển khai để sử dụng một số tính năng của C ++.
Cấu trúc: Trong C / C ++ có cấu trúc mà nhiều ngôn ngữ được quản lý không có, và như vậy, bạn sẽ cần phải thực hiện một số cách để có một cái gì đó giống như một struct. Ví dụ, nếu bạn muốn tải một IDT (Interrupt Descriptor Table), trong C / C ++, bạn có thể tạo một cấu trúc (với một thuộc tính đóng gói), và tải nó bằng cách sử dụng x86 hướng dẫn ASM lidt . Trong một ngôn ngữ được quản lý, điều này khó hơn nhiều để làm ...
Ngôn ngữ được quản lý, theo cú pháp, dễ dàng hơn, tuy nhiên, đối với nhiều thứ liên quan đến hệ điều hành nhiều lần không phù hợp lắm. Điều đó không có nghĩa là chúng không thể được sử dụng, tuy nhiên, những thứ như C / C ++ thường được khuyên dùng.
Tôi đã nghe nó tuyên bố (bởi một nhà nghiên cứu làm việc về kỹ thuật vi hạt nhân cạnh tranh ) rằng rất ít thông tin về cách đánh giá bảo mật của các hệ thống có thể mở rộng thông qua mã được quản lý.
Vấn đề là các loại lỗi có thể gây ra lỗ hổng bảo mật rất khác so với các nhà nghiên cứu bảo mật đã từng sử dụng. Trong một vi nhân truyền thống, tất cả các trình điều khiển và các phần con khác của hạt nhân được cách ly với nhau bằng cách chạy chúng trong các không gian địa chỉ khác nhau. Trong một hạt nhân mà việc cách ly được thực hiện thông qua kiểm tra loại mã được quản lý, bạn sẽ tránh được các chi phí khổng lồ của việc chuyển đổi không gian địa chỉ mỗi khi bạn cần sử dụng dịch vụ phụ, nhưng việc đánh giá cơ chế cách ly là khó khăn hơn.
Bất kỳ phần cụ thể nào của kernel (giả sử trình điều khiển thiết bị) được viết bằng ngôn ngữ được quản lý là an toàn nếu và chỉ khi trình kiểm tra loại nói trình điều khiển an toàn và trình kiểm tra loại không có lỗi. Vì vậy, trình kiểm tra loại là một phần của lõi kernel. Trong thực tế, dường như các trình kiểm tra loại lớn hơn và phức tạp hơn đáng kể so với các lõi vi nhân truyền thống. Điều đó có nghĩa là bề mặt tấn công có khả năng lớn hơn.
Tôi không biết liệu các kỹ thuật phân lập vi nhân truyền thống hay các kỹ thuật phân lập dựa trên mã được quản lý có thực sự đáng tin cậy hơn hay ít hơn. Có một vấn đề bootstrapping ở đây: cho đến khi các kỹ thuật cách ly mã được quản lý được sử dụng rộng rãi, chúng ta sẽ không biết mức độ thường xuyên của chúng không an toàn. Nhưng không biết chúng không an toàn đến mức nào, rất khó để triển khai chúng trong các tình huống quan trọng về bảo mật.