作者 | RT-Thread
責編 | 伍杏玲
【CSDN 編者按】Android/ target=_blank class=infotextkey>安卓系統(tǒng)是宏內(nèi)核,而最近熱議的華為鴻蒙操作系統(tǒng)是微內(nèi)核。什么是微內(nèi)核?微內(nèi)核是如何發(fā)展?其優(yōu)缺點是什么呢?一起來看看吧。
背景龐大的 UNIX 家族
計算機技術(shù)在二戰(zhàn)后快速發(fā)展,構(gòu)成計算機的主要基本單元從電子管發(fā)展到分立晶體管,再到后來的大規(guī)模集成電路。隨著計算機技術(shù)發(fā)展,計算機性能越來越強勁,硬件越來越復(fù)雜,人們發(fā)現(xiàn)很難去直接管理計算機了,于是人們開始設(shè)計軟件用于管理越來越復(fù)雜的計算機系統(tǒng),這些軟件稱作系統(tǒng)級軟件。
從最開始的批處理系統(tǒng),多道程序系統(tǒng),分時系統(tǒng)到上世紀 60 年代開始出現(xiàn)通用操作系統(tǒng),計算機系統(tǒng)層出不窮,直到上世紀 70 年代才出現(xiàn)被大家廣泛接受廣泛使用的通用操作系統(tǒng)。其中最經(jīng)典的當然就是 UNIX 系統(tǒng)了。
UNIX 系統(tǒng),1971 年誕生于大名鼎鼎的貝爾實驗室的一臺 PDP-11/24 機器上,其后經(jīng)過不斷發(fā)展與傳播,在 80 年代取得了巨大成功,UNIX 被移植到眾多的處理器架構(gòu),并在眾多行業(yè)得到廣泛使用,甚至成為行業(yè)標準影響至今。
UNIX 以及類 UNIX 系統(tǒng)如 linux 都是典型的宏內(nèi)核設(shè)計,也就是把所有系統(tǒng)服務(wù)都放到內(nèi)核里,因為系統(tǒng)服務(wù)代碼之間存在大量數(shù)據(jù)交換和大量的服務(wù)請求,而在同一個代碼段內(nèi)進行函數(shù)調(diào)用(C 語言)或跳轉(zhuǎn)(匯編或者機器碼時代)是最直接、最高效的方法,在同一片地址空間也方便數(shù)據(jù)交換,所以這樣的宏內(nèi)核設(shè)計是很自然的。
但是隨著 UNIX 內(nèi)核功能的拓展(文件系統(tǒng)、TCP/IP網(wǎng)絡(luò)協(xié)議棧、進程管理、內(nèi)存管理、驅(qū)動程序等),UNIX 內(nèi)核代碼也相應(yīng)增加了很多,進而在可維護性、穩(wěn)定性、安全性方面面臨一些挑戰(zhàn)。為了試圖解決這些挑戰(zhàn),人們開始嘗試使用微內(nèi)核的思想來設(shè)計系統(tǒng)內(nèi)核。
什么是微內(nèi)核?
微內(nèi)核設(shè)計的基本思想是簡化內(nèi)核功能,在內(nèi)核之外的用戶態(tài)盡可能多地實現(xiàn)系統(tǒng)服務(wù),同時加入相互之間的安全保護。內(nèi)核只提供最基礎(chǔ)的服務(wù),比如多進程調(diào)度、多進程通信(IPC)等。其中進程通信是作為連接應(yīng)用與用戶態(tài)系統(tǒng)服務(wù)的橋梁。
宏內(nèi)核與微內(nèi)核的對比示意圖
宏內(nèi)核系統(tǒng)相關(guān)的服務(wù)基本都是放于內(nèi)核態(tài)內(nèi)核中,例如文件系統(tǒng)、設(shè)備驅(qū)動、虛擬內(nèi)存管理、網(wǎng)絡(luò)協(xié)議棧等;而微內(nèi)核則把更多的系統(tǒng)服務(wù)(例如文件系統(tǒng)、POSIX 服務(wù)、網(wǎng)絡(luò)協(xié)議棧甚至外設(shè)驅(qū)動)放到用戶態(tài)應(yīng)用,形成一個個服務(wù),等待其他應(yīng)用的請求。而后來,為了在宏內(nèi)核與微內(nèi)核之間揚長避短,也發(fā)展出了中間的混合內(nèi)核的形態(tài),部分服務(wù)也會放置于內(nèi)核中。
微內(nèi)核的發(fā)展歷史
微內(nèi)核這個概念從提出開始就在不斷地發(fā)展、完善進步之中,到目前為止可以分為三代。
第一代微內(nèi)核:從無到有
第一代微內(nèi)核的主要代表是 mach,該系統(tǒng)由美國卡耐基梅隆大學的 Avie Tevanian 和 Richard Rashid 主導(dǎo)開發(fā)。在 Mach 剛剛開始設(shè)計時,UNIX 的發(fā)展正如日中天,所以Mach在設(shè)計時的一大目標就是兼容 UNIX,但是與 UNIX 不同的是 Mach 嘗試使用微內(nèi)核架構(gòu)去設(shè)計。Mach 以 IPC 是作為所有系統(tǒng)服務(wù)與內(nèi)核交換數(shù)據(jù)的基礎(chǔ)機制,充分運用 IPC、虛擬內(nèi)存、多進程等特性將冗余的系統(tǒng)服務(wù)移出內(nèi)核作為進程運行。
1986年,經(jīng)過兩年的開發(fā),第一版的 Mach 發(fā)布后的第二年,Mach 就發(fā)布了第2版,不過由于時間倉促,加之沒有足夠的人手與資金,所以此時 Mach 內(nèi)核并不提供完全的系統(tǒng)服務(wù)。
為了支撐系統(tǒng)上層運行,這一版的內(nèi)核包含了大量 4.3 版本的 BSD 系統(tǒng)(UNIX的一個分支)代碼提供系統(tǒng)服務(wù),并且 BSD 系統(tǒng)服務(wù)運行在內(nèi)核狀態(tài),這導(dǎo)致 Mach 內(nèi)核的代碼體積甚至大于常規(guī) UNIX 內(nèi)核。
第一版和第二版的 Mach 主要做了如下工作:
1. 驗證了微內(nèi)核的可行性;
2. 在多處理器計算機上進行移植驗證了微內(nèi)核在多處理器計算機上的運行;
3. 最后為了提高 IPC 的效率,Mach 使用共享內(nèi)存機制來完成 IPC。
而 Mach 的共享內(nèi)存機制是在虛擬內(nèi)存技術(shù)的支持下實現(xiàn)的,只有需要對內(nèi)存進行寫入時才進行復(fù)制。這么一處理比每次都復(fù)制一遍內(nèi)存節(jié)省了內(nèi)存使用同時又加快了 IPC 機制的處理時間,這個改進稱為寫時復(fù)制,并且在如今的通用操作系統(tǒng)如 Linux 中常常用到。
經(jīng)過測試,Mach 2.5的效率最多比 UNIX 少 25%,但是考慮到 Mach 帶來的可靠性、可拓展性、安全性,這個效率損失尚可以接受。
當然此時 Mach 內(nèi)核還不算完全的微內(nèi)核。而考慮到微內(nèi)核可以更高效地利用多處理器計算機的處理器核心資源,人們期待著等 Mach 把系統(tǒng)服務(wù)都搬到內(nèi)核之外后可以把運行效率損失降下來。
同時 Mach 在微內(nèi)核方面小小的嘗試迅速吸引了大批公司與組織的注意,開放軟件基金會(Open Software Foundation,OSF)宣布下一代系統(tǒng) OSF/1 將基于 Mach 的內(nèi)核, NeXTSTEP 也將使用 Mach2.5, 甚至 IBM 也打算利用 Mach 構(gòu)建 Workplace OS。蘋果公司這個時候也出手了,蘋果公司也從此基于 Mach2.5 打造其操作系統(tǒng)內(nèi)核 XNU,XNU的構(gòu)成如下圖所示,Mach 作為內(nèi)核的內(nèi)環(huán),外環(huán)右側(cè)是蘋果的驅(qū)動框架(I/O Kit),外環(huán)左側(cè)是 BSD 的系統(tǒng)服務(wù)代碼提供 UNIX 兼容的服務(wù)層,這三者共同協(xié)作向上層提供完整的系統(tǒng)服務(wù)。XNU 廣泛地使用在蘋果公司的 OSX、IOS等系統(tǒng)中。
這個時候由于 UNIX 系統(tǒng)廣泛使用帶來的商業(yè)利益,此時 BSD 系統(tǒng)開發(fā)者與 UNIX 的擁有者 AT&T 陷入了法律大戰(zhàn),Mach 使用的 BSD 相關(guān)代碼有了法律風險。
提升性能的期望和規(guī)避法律風險的需求推動著 Mach 3.0 的開發(fā),Mach 3.0 的開發(fā)目標主要是為了替換 BSD 系統(tǒng)服務(wù),同時盡量多地將系統(tǒng)服務(wù)放到內(nèi)核之外去運行,成為名副其實的微內(nèi)核設(shè)計。
經(jīng)過眾多開發(fā)者 3 年的努力,Mach 3.0 于 1990 年發(fā)布,但是由于在系統(tǒng)服務(wù)之間完全使用 IPC 通信,而不是向宏內(nèi)核那樣直接進行函數(shù)調(diào)用,即便是多處理器機器上運行也性能損失慘重,Mach 3.0 最多比 UNIX 損失 67% 運行效率,這導(dǎo)致 Mach 3.0 以及其所代表的第一代微內(nèi)核設(shè)計被看衰。此后斷斷續(xù)續(xù)有在 Mach 的基礎(chǔ)上對性能進行提升的嘗試,但是均不太理想,至此 Mach 成為了微內(nèi)核第一代先驅(qū)者。
第二代微內(nèi)核:解決性能問題
第二代微內(nèi)核的主要代表是 L3 和 L4,以及 QNX 系統(tǒng)使用的 Neutrino 內(nèi)核。前面第一代的微內(nèi)核 Mach 由于效率問題雖然失敗了,但是微內(nèi)核的理念并沒有被放棄,德國的計算機科學家 Jochen Liedtke 認為 Mach 的 IPC 效率低下的原因就是因為 IPC 部分不夠精簡,于是他開發(fā)了 L3 和 L4 微內(nèi)核,對 IPC 部分進行了很徹底的精簡:
1. 內(nèi)核的 IPC 機制只是單純地傳遞信息,諸如安全權(quán)限檢查這類的代碼都省略掉,省略掉的功能全部由用戶進程自己處理。如此一來 IP C功能部分的代碼執(zhí)行時間大大縮短;
2. IPC 不使用內(nèi)存?zhèn)鬟f消息,而使用寄存器傳遞消息,同時限制 IPC 每次傳遞的信息長度,這樣省去了對內(nèi)存的訪問時間。L4 微內(nèi)核的 IPC 速度經(jīng)過測試要比 Mach 快 20 倍,這個令人驚訝的優(yōu)化效果吸引了眾多的目光,使微內(nèi)核的研究重新火熱起來。后面 L4 內(nèi)核又發(fā)展出了很多相關(guān)系統(tǒng),比如 Pistachio、L4/MIPS 與 Fiasco 等等,這些內(nèi)核組成了 L4 的大家族。
第二代微內(nèi)核的代表除了有 L4 內(nèi)核,也還有其他微內(nèi)核比如 Exokernel、Rambler 等,不過商業(yè)上最成功的則是目前黑莓公司旗下的 QNX 系統(tǒng)所使用的 Neutrino 內(nèi)核(QNX,1980年誕生,最初以 QUICK UNIX 為名,后改為 QNX;2004 年 QNX 被 Harman 國際收購;2010 年 Harman 國際下被黑莓收購,QNX 成為黑莓旗下的資產(chǎn)),QNX 主要為高可靠領(lǐng)域提供解決方案,比如交通、能源、醫(yī)療、航天航空等。
第三代微內(nèi)核:主要重視安全問題等
在前面兩代的基礎(chǔ)上,第三代微內(nèi)核蓬勃發(fā)展,許許多多微內(nèi)核都被開發(fā)出來,主要代表有:seL4、Fiasco.OC、NOVA 等。
本來第一代微內(nèi)核的設(shè)計隔離了使內(nèi)核安全性降低的系統(tǒng)服務(wù),讓系統(tǒng)服務(wù)漏洞不會影響內(nèi)核,進而提高了內(nèi)核安全性,可以說是關(guān)上了破壞系統(tǒng)的門, 但是第二代系統(tǒng)卻又給攻擊者開了個窗戶。
由于第二代微內(nèi)核在內(nèi)核中省去了關(guān)于安全性檢查等步驟,把所有關(guān)于安全檢查功能的實現(xiàn)都交給系統(tǒng)服務(wù)自己去實現(xiàn),這導(dǎo)致系統(tǒng)服務(wù)的通信接口直接暴露給用戶態(tài),任何進程都可能無限制地請求系統(tǒng)服務(wù),系統(tǒng)服務(wù)不得不花費額外的代價來區(qū)分請求是否合法,容易造成拒絕服務(wù)攻擊。
比如正常的文件服務(wù)應(yīng)該是從虛擬文件系統(tǒng)服務(wù)->文件系統(tǒng)服務(wù)->磁盤驅(qū)動服務(wù)這個流程來完成的,但是如果攻擊者如果繞過虛擬文件系統(tǒng)服務(wù),直接無限制地請求攻擊者本身沒有權(quán)限訪問的文件系統(tǒng)服務(wù),使文件系統(tǒng)服務(wù)長期處于滿載狀態(tài),讓其他進程無法通過正常的虛擬文件系統(tǒng)得到文件系統(tǒng)服務(wù)。為了增強安全性,且不過分影響性能,人們開始研發(fā)第三代微內(nèi)核。
seL4 是在第二代內(nèi)核 L4 的基礎(chǔ)上發(fā)展而來的。seL4 不僅僅繼承了 L4 內(nèi)核家族的高性能特性,還具備基于端點(enndpoint)的 IPC 機制。
這種 IPC 機制最大的特點是使用了能力空間的概念,進程在使用 IPC 請求系統(tǒng)服務(wù)時必須具備相對應(yīng)的能力,進程持有不可偽造的令牌來表示擁有請求某種服務(wù)的能力。令牌可以被復(fù)制,可以被轉(zhuǎn)移,還可以通過 IPC 進行傳輸。令牌其實是一個指向存在于內(nèi)核空間內(nèi)核對象的指針,所以普通進程并不能修改自身以及其他進程的權(quán)限分配,但是內(nèi)核可以對令牌指定的權(quán)限進行控制,從而保證了用戶態(tài)不能繞過能力空間這個機制對系統(tǒng)服務(wù)造成濫用。
seL4 還是第一個完全通過形式化驗證的內(nèi)核,通俗說形式化驗證就是在數(shù)學軟件的幫助下使用數(shù)學語言自動化地推導(dǎo)檢查系統(tǒng)的每一個運行狀態(tài)。seL4 形式化驗證相關(guān)論文。
其他的微內(nèi)核系統(tǒng):Fuchsia、Minix
Fuchsia 是 google 開發(fā)的一款全新操作系統(tǒng),試圖覆蓋手機、平板甚至筆記本等一系列領(lǐng)域。Google 為該系統(tǒng)配備了 Vulkan 圖形接口、3D 桌面渲染 Scenic、Flutter 應(yīng)用開發(fā)框架,還有一個稱為 zircon 的微內(nèi)核。
zircon 內(nèi)核是從高通平臺的一個 Bootloader 項目:Little Kernel發(fā)展而來。zircon內(nèi)核屬于微內(nèi)核設(shè)計,只提供 IPC、進程管理、地址空間管理功能。zircon 區(qū)別于以進程或者以文件為核心的設(shè)計,zircon 是以內(nèi)存為核心來設(shè)計的,內(nèi)存在 zircon 中是以對象的方式存在,可以通過 channel 通信機制傳遞虛擬內(nèi)存對象(Virtual memory object)的句柄,進程拿到句柄后可以把這塊內(nèi)存映射到自己的空間。
Minix 系統(tǒng)則由荷蘭阿姆斯特丹的 Vrije 大學的 Andrew S.Tanenbaum 教授所開發(fā)。
該系統(tǒng)最大的特點是可以故障隔離,自動重啟失敗的服務(wù)。
Minix 使用分層設(shè)計,最底層的微內(nèi)核提供中斷處理、進程管理、進程通信等服務(wù),這一層運行在內(nèi)核態(tài);中間層提供輪回服務(wù)(Reincarnation Server)、文件服務(wù)、進程管理、X 圖形服務(wù)以及驅(qū)動等,這一層運行在用戶態(tài),最上層為用戶進程。
其中輪回服務(wù)負責在中間層的服務(wù)出現(xiàn)崩潰時重啟這些服務(wù),從而保證服務(wù)的自我修復(fù)。Minix 由于其自我修復(fù)特性被英特爾管理引擎(ME)所選用,該管理引擎主要負責管理英特爾芯片的內(nèi)部模塊。
微內(nèi)核的優(yōu)缺點
一、優(yōu)點
- 系統(tǒng)服務(wù)模塊化,可移植性高;
- 內(nèi)核安全性提高(模塊內(nèi)部的 Bug 不影響內(nèi)核穩(wěn)定,將黑客利用軟件漏洞造成的破壞限制在單個模塊內(nèi)部);
- 可以多套系統(tǒng)服務(wù)共存,相當于同時運行多種操作系統(tǒng);
- 穩(wěn)定統(tǒng)一的接口(可以獨立維護私有驅(qū)動以及服務(wù),不需要跟內(nèi)核源碼綁定);
- 在商業(yè)上,微內(nèi)核可以避免代碼受到一些開源協(xié)議的影響,比如 GPL 協(xié)議;
- 內(nèi)核精簡,可以進行形式化驗證,利用數(shù)學證明內(nèi)核的安全性;
- 數(shù)學可證明的實時性;
- 非常適合多處理器系統(tǒng)設(shè)計,在多處理器核心計算機上,互相依賴的系統(tǒng)服務(wù)可以同時運行;
二、缺點
- 通過進程通信的方式交換數(shù)據(jù)或者調(diào)用系統(tǒng)服務(wù),而不是使用系統(tǒng)調(diào)用,造成額外的操作系統(tǒng)開銷;
- 使用一些頻繁使用的系統(tǒng)服務(wù)時,比如網(wǎng)絡(luò)收發(fā)數(shù)據(jù),造成的進程上下文切換對操作系統(tǒng)來說也是一個負擔;
- 由于系統(tǒng)服務(wù)高度模塊化,系統(tǒng)服務(wù)之間存在大量的內(nèi)存復(fù)制;
- 對互相之間存在復(fù)雜調(diào)用關(guān)系的系統(tǒng)服務(wù),難以設(shè)計通信接口;
- 系統(tǒng)服務(wù)與內(nèi)核在地址空間上分離,造成代碼局部性差,降低了 cache 命中率。
