xv6の構成要素の継続の分析

• 清水 隆博
  • 琉球大学大学院理工学研究科情報工学専攻
• 河野 真治
  • 琉球大学工学部

研究目的

• アプリケーションの信頼性を向上させるたい
  • その為には土台となる OS 自体の信頼性を高く保証したい
• OSそのものも巨大なプログラムである
  • テストコードを用いた方法で信頼性を確保する事が可能
• しかし並列並行処理などに起因するバグや、そもそもOSを構成する処理が巨大
  • テストで完全にバグを発見するのは困難
  • テスト以外の方法でOSの信頼性を高めたい

OSの信頼性

• OSそのもの動作も保証されるべき
• アプリケーションが行いたい処理の他に、 メモリやCPUの資源管理などが存在する
  • アプリケーション側からするとOSの機能
• 本来行いたい処理
  • ノーマルレベルと呼ぶ
• 資源管理など
  • メタレベルと呼ぶ
  • この別け方はOSの実装でも存在する
• ノーマル、メタレベルの計算の両方を保証しないといけない

テスト以外で信頼性を高める方法

• モデル検査
  • 実際に想定されるパターンを全て動かして検証する
  • デッドロック発生の検知
    • JavaPathFinderなど
• 定理証明支援系
  • 論理学的なモデルに変更して証明する
    • Agda
    • Coq
• OSをこれらの方法で信頼性を高めたい

OSの信頼性を高めるためには

• 既存のOSのソースコードをそのまま使うのは困難
• モデル検査の場合
  • OS自体をモデル検査する機能をOSに組み込む必要がある
• 定理証明系の場合
  • Agda/CoqでOSを再実装する必要がある
  • それらのコードはそのままコンパイルする事ができない
• ノーマルレベル/メタレベルを切り分けるのも困難
• 動きつつ証明可能なOSを目指したい
  • これらを同時に達成出来るプログラミング言語でOSを実装する必要がある

Continuation Based C

• ノーマルレベル/メタレベルの実装に適している言語
  • 通称CbC
• C言語の下位言語であり、 いくつかのCコンパイラ上で実装している
  • gcc
  • llvm/clang
• C言語の構文は使用可能だが、 関数呼び出しの他に軽量継続を持つ
  • 関数呼び出し時のスタックの操作を行わずjmp命令で次の処理に移動する
  • schemaなどと違い環境を持たず継続するために軽量継続と呼ぶ

CbCとCodeGear

• 軽量継続で表現する単位をCodeGearと呼ぶ
• CodeGearはCの関数とアセンブラの中間の様に使える
• CodeGearは返り値の型の代わりに__codeで宣言する

• cbcで書き直したxv6のreadシステムコールの例

CbCの呼び出し

• CbCはgoto文で呼び出す
• cbcで書き直したシステムコールディスパッチの例
  • 受け取ったシステムコール番号に対応するCodeGearに継続する

• 呼び出し元には返ってこない

CbCを用いたOSの再実装

• CbCのCodeGearは状態遷移単位での記述に向いている
• 状態遷移を基本としたモデルに変換し、HoareLogicなどの形式手法を用いて信頼性を高めたい
• CbCは比較的文法が簡易
  • Agda/Coqなどの定理証明からCbCへのコード変換が可能であると考えている
• CbCや定理証明系を用いてアプリケーションとOSを再実装したい
  • 最初の段階として既存のOSをCbCで再実装する

xv6

• マサチューセッツ工科大学で開発されたv6OSをもとにしたOS
  • x86向けにANSI Cで実装されている
• 比較的小さなUNIX
  • 基本的な機能は実装されている
  • システムコール、 ファイルシステム、 プロセス処理...
• Raspberry Pi上で動作を目指したARM用のバージョンも存在する
  • やっぱりRaspberryPiで動かしたい
  • 今回は ARMのバージョンをCbCで再実装する

test

• aa
• aa