在高層次上，操作系統(tǒng)和虛擬機(jī)管理程序的任務(wù)是管理計(jì)算機(jī)系統(tǒng)的資源，以保證可以構(gòu)建安全的基礎(chǔ)。有關(guān)機(jī)密性、完整性和可用性的應(yīng)用程序。

軟件堆棧的這些最低層在安全性方面的主要作用是提供安全域的隔離和可能違反隔離的所有操作的中介。在理想情況下，操作系統(tǒng)將任何單個(gè)進(jìn)程與所有其他進(jìn)程隔離開來。例如，外圍進(jìn)程應(yīng)該無法訪問分配給主進(jìn)程的內(nèi)存，了解與該主進(jìn)程相關(guān)的活動(dòng)的任何信息，除了進(jìn)程選擇顯示或阻止進(jìn)程無限期使用其分配的資源（如CPU時(shí)間）的那些。某些操作系統(tǒng)甚至可能調(diào)節(jié)信息流，以便在沒有適當(dāng)許可的情況下永遠(yuǎn)不會(huì)將絕密數(shù)據(jù)泄漏到進(jìn)程，或者分類數(shù)據(jù)不能由沒有適當(dāng)權(quán)限級(jí)別的進(jìn)程修改。

深入挖掘，我們可以區(qū)分控制平面和數(shù)據(jù)平面操作，我們看到操作系統(tǒng)中的隔離涉及兩者。在內(nèi)存隔離中，操作系統(tǒng)在配置MMU（內(nèi)存管理單元）時(shí)在控制平面上運(yùn)行，然后負(fù)責(zé)隔離，操作系統(tǒng)不會(huì)過多參與。在大多數(shù)其他交互中，例如，在對(duì)非特權(quán)安全域提供的系統(tǒng)調(diào)用參數(shù)進(jìn)行操作時(shí)，操作系統(tǒng)在兩個(gè)平面上運(yùn)行。平面之間缺乏分離很容易導(dǎo)致漏洞，例如，當(dāng)操作系統(tǒng)決定在另一個(gè)域中重用以前屬于一個(gè)安全域（由MMU強(qiáng)制實(shí)施訪問隔離）的內(nèi)存頁時(shí)，沒有正確覆蓋（可能敏感）數(shù)據(jù)。

設(shè)計(jì)操作系統(tǒng)的方法有很多種。無花果。1說明了四種極端設(shè)計(jì)選擇。在圖內(nèi)。1（a），操作系統(tǒng)和應(yīng)用程序在單個(gè)安全域中運(yùn)行，并且沒有任何隔離。早期的操作系統(tǒng)是這樣工作的，但今天的許多嵌入式系統(tǒng)也是如此。在這種情況下，系統(tǒng)中的不同組件之間幾乎沒有隔離，應(yīng)用程序可能會(huì)損壞文件系統(tǒng)（FS）的活動(dòng)，網(wǎng)絡(luò)堆棧、驅(qū)動(dòng)程序或系統(tǒng)的任何其他組件。

圖1（b）顯示了大多數(shù)現(xiàn)代通用操作系統(tǒng)的配置，其中大多數(shù)操作系統(tǒng)駐留在單個(gè)安全域中，與應(yīng)用程序嚴(yán)格隔離，而每個(gè)應(yīng)用程序也與所有其他應(yīng)用程序隔離。例如，這是Windows，Linux，OSX和原始UNIX的許多后代的結(jié)構(gòu)。由于操作系統(tǒng)的幾乎每個(gè)組件都在單個(gè)安全域中運(yùn)行，因此該模型非常有效，因?yàn)檫@些組件僅通過函數(shù)調(diào)用和共享進(jìn)行交互記憶。只要每個(gè)組件都是良性的，該模型也是安全的。但是，如果攻擊者設(shè)法破壞單個(gè)組件（例如驅(qū)動(dòng)程序），則所有安全性都將無效。通常，設(shè)備驅(qū)動(dòng)程序和其他操作系統(tǒng)擴(kuò)展（例如，Linux內(nèi)核模塊）是系統(tǒng)安全性的重要考慮因素。通常由第三方編寫，并且比核心操作系統(tǒng)代碼更有缺陷，在操作系統(tǒng)的單個(gè)安全域中運(yùn)行的擴(kuò)展可能會(huì)完全損害系統(tǒng)的安全性。

有趣的是，內(nèi)核和此類系統(tǒng)中其他安全域之間的邊界通常有點(diǎn)模糊，因?yàn)椴僮飨到y(tǒng)可以繞過內(nèi)核進(jìn)行高速網(wǎng)絡(luò)，或者將非性能關(guān)鍵型操作系統(tǒng)組件實(shí)現(xiàn)為用戶進(jìn)程。示例包括UNIX操作系統(tǒng)中的用戶空間文件系統(tǒng)（FUSE）和Windows中的用戶模式驅(qū)動(dòng)程序框架（UMDF）。即便如此，大多數(shù)操作系統(tǒng)功能仍然形成單個(gè)整體式安全域。

圖1（c）顯示了多服務(wù)器操作系統(tǒng)中構(gòu)成操作系統(tǒng)的所有組件在單獨(dú)進(jìn)程中的極端分解。該配置的效率可能低于以前的模型，因?yàn)椴僮飨到y(tǒng)不同組件之間的所有交互都涉及進(jìn)程間通信（工控機(jī)）。此外，操作系統(tǒng)作為分布式系統(tǒng)運(yùn)行，任何曾經(jīng)構(gòu)建過分布式系統(tǒng)的人都知道問題可能會(huì)變得多么復(fù)雜。但是，多服務(wù)器系統(tǒng)的優(yōu)點(diǎn)是，例如，受感染的驅(qū)動(dòng)程序不能輕易危害系統(tǒng)的其余部分。此外，雖然從概念的角度來看，多服務(wù)器看起來像一個(gè)分布式系統(tǒng)，但真正的分布式系統(tǒng)的很多復(fù)雜性是由于不負(fù)責(zé)任的通信，這在多服務(wù)器系統(tǒng)中是不存在的。普遍的觀點(diǎn)是，基于微內(nèi)核的多服務(wù)器設(shè)計(jì)比單片和單域設(shè)計(jì)具有安全性和可靠性優(yōu)勢(shì)，但會(huì)產(chǎn)生更高的開銷-安全價(jià)格。

最后，圖1（d）顯示的情況乍一看與圖相似。1（a）：在多路復(fù)用底層資源的最小內(nèi)核之上，應(yīng)用程序與最小的“庫操作系統(tǒng)”（libOS）一起運(yùn)行。libOS包含的代碼通常是操作系統(tǒng)的一部分，但直接包含在應(yīng)用程序中。此配置允許應(yīng)用程序完全根據(jù)其需求定制操作系統(tǒng)，并省略它們無論如何都不打算使用的所有功能。庫操作系統(tǒng)最早是在1990年代提出的（例如，在麻省理工學(xué)院的Exokernel和劍橋的Nemesis項(xiàng)目中）。在相對(duì)默默無聞的幾年之后，它們?cè)俅巫兊昧餍衅饋怼绕涫窃谔摂M化環(huán)境中，它們通常被稱為Unikernels。在安全性方面，Unikernels很難與基于微內(nèi)核的多服務(wù)器系統(tǒng)相提并論。一方面，它們沒有操作系統(tǒng)組件的極端分離。另一方面，它們?cè)试S（庫）操作系統(tǒng)代碼更小、更簡(jiǎn)單——它只需要滿足這一個(gè)應(yīng)用程序的需求。此外，該庫不能妥協(xié)隔離：它是此應(yīng)用程序可信計(jì)算基礎(chǔ)的一部分，而不是其他庫。

關(guān)于哪種設(shè)計(jì)更好的爭(zhēng)論可以追溯到安德魯·1992年，Tanenbaum和LinusTorvalds。到那時(shí)，MINIX，一個(gè)由Tanenbaum開發(fā)的小型類UNIX操作系統(tǒng)，已經(jīng)存在了五年左右，并且作為教育操作系統(tǒng)在世界范圍內(nèi)獲得了牽引力-特別是因?yàn)樨悹枌?shí)驗(yàn)室的原始UNIX作為商業(yè)產(chǎn)品出售，并帶有限制性許可證，禁止用戶修改它。MINIX的用戶之一是Torvalds，當(dāng)時(shí)是一名芬蘭學(xué)生，他在Usenet的comp.os.minix新聞組中宣布了新的操作系統(tǒng)內(nèi)核。1992年1月，Tanenbaum批評(píng)該設(shè)計(jì)缺乏可移植性，并瞄準(zhǔn)了Linux的整體設(shè)計(jì)，聲稱Linux從一開始就已經(jīng)過時(shí)了。Torvalds回應(yīng)了他自己對(duì)MINIX的批評(píng)。這場(chǎng)激烈的交流包含了越來越復(fù)雜的論點(diǎn)，其中許多論點(diǎn)今天仍然存在，以至于誰贏得了辯論的問題仍然沒有答案。

圖1：操作系統(tǒng)的極端設(shè)計(jì)選擇：（a）單域（有時(shí)用于嵌入式系統(tǒng)），（b）單片操作系統(tǒng)（Linux、Windows和許多其他操作系統(tǒng)），（c）基于微內(nèi)核的多服務(wù)器操作系統(tǒng)（例如，Minix-3）和（d）單內(nèi)核/庫操作系統(tǒng)

也就是說，Linux已經(jīng)變得非常流行，很少有人會(huì)認(rèn)為它已經(jīng)過時(shí)了。同樣明顯的是，來自多服務(wù)器系統(tǒng)（如MINIX）的想法已被納入現(xiàn)有的操作系統(tǒng)和基于虛擬機(jī)管理程序的系統(tǒng)中。有趣的是，在撰寫本文時(shí)，甚至MINIX本身也在數(shù)億個(gè)英特爾處理器中作為微型操作系統(tǒng)運(yùn)行在稱為管理引擎的獨(dú)立微處理器上。此外，現(xiàn)在現(xiàn)代系統(tǒng)中的CPU越來越復(fù)雜。片上系統(tǒng)（SoC），硬件本身開始看起來像一個(gè)分布式系統(tǒng)，一些研究人員明確主張?jiān)O(shè)計(jì)操作系統(tǒng)。因此，重點(diǎn)是消息傳遞，而不是用于通信的內(nèi)存共享。

一般來說，虛擬化環(huán)境的情況與操作系統(tǒng)的情況相當(dāng)。我們已經(jīng)看到，在一種極端情況下，帶有應(yīng)用程序和精簡(jiǎn)操作系統(tǒng)的整個(gè)虛擬機(jī)可以形成一個(gè)域。更常見的情況是，在虛擬機(jī)中有一個(gè)最低級(jí)別的虛擬機(jī)管理程序，支持一個(gè)或多個(gè)操作系統(tǒng)，如Linux或Windows。換句話說，這些虛擬機(jī)管理程序?yàn)槊總€(gè)操作系統(tǒng)提供了一種在專用硬件上運(yùn)行的錯(cuò)覺。在光譜的另一端，我們發(fā)現(xiàn)整個(gè)系統(tǒng)分解為單獨(dú)的、相對(duì)較小的虛擬機(jī)。事實(shí)上，一些操作系統(tǒng)，如QubesOS，通過允許單個(gè)用戶進(jìn)程在自己的虛擬機(jī)中隔離，完全集成了虛擬化和操作系統(tǒng)的概念。最后，正如我們已經(jīng)看到的，Unikernels在虛擬機(jī)管理程序之上的虛擬化環(huán)境中很受歡迎。

順便說一句，虛擬機(jī)的缺點(diǎn)之一是每個(gè)操作系統(tǒng)映像都使用存儲(chǔ)并添加冗余，因?yàn)槊總€(gè)系統(tǒng)都會(huì)認(rèn)為自己是硬件山中的王者，而實(shí)際上它是共享的資源。此外，虛擬機(jī)中的每個(gè)操作系統(tǒng)都需要單獨(dú)的維護(hù)：更新、配置、測(cè)試等。因此，一種流行的替代方案是在操作系統(tǒng)級(jí)別進(jìn)行虛擬化。在這種方法中，多個(gè)環(huán)境（稱為容器）在單個(gè)共享操作系統(tǒng)上運(yùn)行。容器盡可能彼此隔離，并具有自己的內(nèi)核命名空間、資源限制等，但最終共享底層操作系統(tǒng)內(nèi)核，通常是二進(jìn)制文件和庫。與虛擬機(jī)相比，容器更輕量級(jí)。但是，如果我們暫時(shí)忽略管理方面，虛擬機(jī)通常被認(rèn)為比容器更安全，因?yàn)樗鼈兎浅?yán)格地劃分資源，并且僅將虛擬機(jī)管理程序共享為之間的薄層。硬件和軟件。另一方面，有些人認(rèn)為容器比虛擬機(jī)更安全，因?yàn)樗鼈兎浅］p量級(jí)，我們可以將應(yīng)用程序分解為“微服務(wù)”，在容器中具有明確定義的接口。此外，需要保護(hù)安全的東西更少，總體上減少了攻擊面。容器（或“操作系統(tǒng)級(jí)虛擬化”）的早期工作可以在chroot調(diào)用中找到，該調(diào)用于1979年首次添加到版本7Unix。2000年，F(xiàn)reeBSD發(fā)布了Jails，它在操作系統(tǒng)虛擬化方面走得更遠(yuǎn)。今天，我們有許多容器實(shí)現(xiàn)。一個(gè)流行的是Docker。

最后一類操作系統(tǒng)明確針對(duì)小型和資源受限的設(shè)備，例如物聯(lián)網(wǎng)（IoT）中的設(shè)備。雖然每個(gè)人對(duì)物聯(lián)網(wǎng)的含義以及要考慮的設(shè)備范圍從智能手機(jī)到智能灰塵都有不同的看法，但有一個(gè)共識(shí)，即大多數(shù)資源受限的設(shè)備應(yīng)該是其中的一部分。對(duì)于此類設(shè)備，即使精簡(jiǎn)的通用操作系統(tǒng)也可能過于龐大，并且操作系統(tǒng)預(yù)計(jì)只能運(yùn)行幾千字節(jié)。舉一個(gè)極端的例子，流行的物聯(lián)網(wǎng)操作系統(tǒng)（如RIOT）的大小可能小于10KB，并且可以在從8位微控制器到通用32位CPU的系統(tǒng)上運(yùn)行，帶或不帶內(nèi)存管理單元（MMU）等高級(jí)功能。我們要求Windows和Linux等操作系統(tǒng)提供的豐富功能和應(yīng)用程序隔離在這些操作系統(tǒng)中可能不存在，但可能支持實(shí)時(shí)計(jì)劃或低功耗等功能網(wǎng)絡(luò)在許多嵌入式系統(tǒng)中都很重要。

由于我們對(duì)操作系統(tǒng)提供的安全保證感興趣，因此我們將假設(shè)存在多個(gè)安全域。在下一節(jié)中，我們將從既定的安全原則的角度闡述不同設(shè)計(jì)的優(yōu)缺點(diǎn)。我們的重點(diǎn)將放在設(shè)計(jì)的安全性以及我們可以阻止攻擊的方式上，但在觀察到在這個(gè)級(jí)別上還有更多安全之前。特別是，系統(tǒng)的管理和維護(hù)性（在更新、擴(kuò)展、配置等方面）起著重要作用。