|
10
|
1 # OSの信頼性
|
|
|
2 様々なアプリケーションはOSの上で動作するのが当たり前になってきた。
|
|
|
3 アプリケーションの信頼性を向上させるのはもとより、 土台となるOS自体の信頼性は高く保証されていなければならない。
|
|
|
4 OSそのものも巨大なプログラムであるため、 テストコードを用いた方法で信頼性を確保する事が可能である。
|
|
|
5 しかし並列並行処理などに起因する動かしてみないと発見できないバグなどが存在するため、 テストで完全にバグを発見するのは困難である。
|
|
|
6 また、OSを構成する処理も巨大であるため、 これら全てをテスト仕切るのも困難である。
|
|
|
7 テスト以外の方法でOSの信頼性を高めたい。
|
|
|
8
|
|
|
9 数学的な背景に基づく形式手法を用いてOSの信頼性を向上させることを検討する。
|
|
|
10 OSを構成する要素をモデル検査してデッドロックなどを検知する方法や、 定理証明支援系を利用した証明ベースでの信頼性の確保などの手法が考えられる。
|
|
|
11 形式手法で信頼性を確保するには、 まずOSの処理を証明などがしやすい形に変換して実装し直す必要がある。
|
|
|
12 これに適した形として、 状態遷移モデルが挙げられる。
|
|
|
13 OSの内部処理の状態を明確にし、 状態遷移モデルに落とし込むことでモデル検査などを通して信頼性を向上させたい。
|
|
|
14 既存のOSはそのままに処理を状態遷移モデルに落とし込む為には、 まず既存のOSの処理中の状態遷移を分析する必要がある。
|
|
|
15 分析の結果を定理証明支援系などによって証明を行うか、 仕様記述言語を用いて再実装することで仕様の整合性を検証する事が可能である。
|
|
|
16 しかしこれらの方法では、 実際に動くOSと検証用の実装が別の物となってしまうために、 C言語などの実装の段階で発生するバグを取り除くことができない。
|
|
|
17 実装のソースコードと検証用のソースコードは近いセマンティクスでプログラミングする必要がある。
|
|
|
18
|
|
|
19 実装用の言語と証明用の言語の両方に適した言語としてContinuation Based C(CbC)がある。
|
|
11
|
20 CbCはCと互換性のあるCの下位言語であり、 状態遷移をベースとした記述に適したプログラミング言語である。
|
|
|
21 Cとの互換性のために、 CbCのプログラムをコンパイルすることで動作可能なバイナリに変換が可能である。
|
|
15
|
22 またCbCの基本文法は簡潔であるため、 Agdaなどの定理証明支援系との相互変換や、 CbC自体でのモデル検査が可能であると考えられる。
|
|
12
|
23 すなわちCbCを用いて状態遷移を基本とした単位でプログラミングをすると、 形式手法で証明が可能かつ実際に動作するコードを記述できる。
|
|
10
|
24
|
|
11
|
25 現在小さなunixであるxv6 kernelをCbCを用いて再実装している。
|
|
|
26 再実装の為には、 既存のxv6 kernelの処理の状態遷移を分析し、継続を用いたプログラムに変換していく必要がある。
|
|
|
27 本論文ではこの書き換えに伴って得られたxv6 kernelの継続を分析し、 現在のCbCによる書き換えについて述べる。
|
|
|
28
|
|
12
|
29 # xv6 kernel
|
|
11
|
30
|
|
12
|
31 xv6とはマサチューセッツ工科大学でv6 OSを元に開発された教育用のUNIX OSである。
|
|
|
32 xv6はANSI Cで実装されており、 x86アーキテクチャ上で動作する。
|
|
|
33 Raspberry Pi上での動作を目的としたARMアーキテクチャのバージョンも存在する。
|
|
|
34 本論文では最終的にRaspberry Pi上での動作を目指しているために、 ARMアーキテクチャ上で動作するxv6を扱う。
|
|
|
35
|
|
|
36 xv6は小規模なOSだがファイルシステム、 プロセス、システムコールなどのUNIXの基本的な機能を持つ。
|
|
|
37 またユーザー空間とカーネル空間が分離されており、 シェルやlsなどのユーザーコマンドも存在する。
|
|
|
38
|
|
|
39 本論文ではxv6のファイルシステム関連の内部処理と、システムコール実行時に実行される処理について分析を行う。
|
|
17
|
40 xv6 kernelのファイルシステムは階層構造で表現されており、 最も低レベルなものにディスク階層、 抽象度が最も高いレベルのものにファイル記述子がある。
|
|
13
|
41
|
|
|
42
|
|
|
43 # Continuation Based C
|
|
|
44
|
|
|
45 Continuation Based C(CbC)とはC言語の下位言語であり、 関数呼び出しではなく継続を導入したプログラミング言語である。
|
|
17
|
46 CbCでは通常の関数呼び出しの他に、 関数呼び出し時のスタックの操作を行わず、次のコードブロックに`jmp`命令で移動する継続が導入されている。
|
|
13
|
47 この継続はSchemeなどの環境を持つ継続とは異なり、 スタックを持たず環境を保存しない継続である為に軽量である事から軽量継続と呼べる。
|
|
17
|
48 またCbCではこの軽量継続を用いた再帰呼び出しを利用することで`for`文などのループ文を廃し、 関数型プログラミングに近いスタイルでプログラミングが可能となる。
|
|
13
|
49 現在CbCはGCC及びLLVM/clang上にそれぞれ実装されている。
|
|
14
|
50
|
|
|
51
|
|
17
|
52 CbCでは関数の代わりにCodeGearという単位でプログラミングを行う。
|
|
|
53 CodeGearは通常のCの関数宣言の返り値の型の代わりに`__code`で宣言を行う。
|
|
|
54
|
|
15
|
55 CbCで階乗を求める例題をCode \ref{src:cbc_example}に示す。
|
|
17
|
56 例題ではCodeGearとして`factorial`を宣言している。
|
|
|
57 `factorial`はCodeGearの引数として`struct F`型の変数`arg`を受け取り、`arg`のメンバー変数によって`factorial`の再帰呼び出しを行う。
|
|
18
|
58 `arg`の様なCodeGearの引数のことを`DataGear`と呼ぶ。
|
|
17
|
59 CodeGearの呼び出しは`goto`文によって行われる。
|
|
14
|
60
|
|
|
61
|
|
18
|
62 ``` src:cbc_example, CbCで階乗を求める処理
|
|
15
|
63 __code factorial(struct F arg) {
|
|
|
64 if (arg.n<0) {
|
|
|
65 exit(1);
|
|
|
66 }
|
|
|
67 if (arg.n==0) {
|
|
|
68 goto arg.next(arg);
|
|
|
69 } else {
|
|
|
70 arg.r *= arg.n;
|
|
|
71 arg.n--;
|
|
|
72 goto factorial(arg);
|
|
14
|
73 }
|
|
|
74 }
|
|
15
|
75 ```
|
|
14
|
76
|
|
17
|
77 CodeGearは関数呼び出し時のスタックを持たない為、一度あるCodeGearに遷移してしまうと元の処理に戻ってくることができない。
|
|
|
78 しかしCodeGearを呼び出す直前のスタックは保存されるため、 部分的にCbCを適用する場合はCodeGearを呼び出す`void`型などの関数を経由することで呼び出しが可能となる。
|
|
|
79
|
|
|
80 この他にCbCからCへ復帰する為のAPIとして、 環境付きgotoという機能がある。
|
|
|
81 これはGCCでは内部コードを生成、 LLVM/clangでは`setjmp`と`longjmp`を使うことでCodeGearの次の継続対象として呼び出し元の関数を設定することが可能となる。
|
|
|
82 したがってプログラマから見ると、通常のCの関数呼び出しの返り値をCodeGearから取得する事が可能となる。
|
|
|
83
|
|
20
|
84 # CbCを用いたOSの実装
|
|
|
85
|
|
|
86 軽量継続を持つCbCを利用して、 証明可能なOSを実装したい。
|
|
|
87 その為には証明に使用される定理証明支援系や、 モデル検査機での表現に適した状態遷移単位での記述が求められる。
|
|
|
88 CbCで使用するCodeGearは、 状態遷移モデルにおける状態そのものとして捉えることが可能である。
|
|
|
89 これらの状態をまとめる構造体として、 CbCの`context`を導入した。
|
|
18
|
90
|
|
|
91
|
|
|
92
|
|
15
|
93 # xv6のファイルシステムの一部の分析
|
|
|
94
|
|
|
95 xv6のファイルシステムに関する定義ファイルはfs.c中に記述されている。
|
|
|
96 この中に出てくる関数に着目し、 この関数をさらにCodeGearに変換していくことで状態遷移単位での記述を試みた。
|
|
|
97
|
|
|
98 まず関数内でif文などの分岐を持たない基本単位であるBasic Blockに着目した。
|
|
|
99 CbCのCodeGearの粒度はCの関数とアセンブラの中間であるといえるので、 BasicBlockをCodeGearに置き換える事が可能である。
|
|
17
|
100 したがって特定の関数内の処理のBasicBlockを分析し、 BasicBlockに対応したCodeGearへ変換することで状態遷移系への変換を行った。
|
|
15
|
101
|
|
|
102
|
