專訪耶魯大學邵中：一個“沒有BUG”的反黑客操作系統，如何為自動駕駛保駕護航？ | CCF-GAIR 2017

雷鋒網按：現為耶魯大學計算機系教授及系主任的邵中如今正帶領研究小組為其“反黑客攻擊”操作系統CertiKOS而工作。

CertiKOS具有極高的安全性和可靠性，采用了模塊分層驗證法（Modular Layered Verification Methods），擁有并發性，可同時在多個CPU內核上多線程運行。此外，該系統整合了形式化驗證，對無論是智能家電還是物聯網設備亦或是自動駕駛汽車都能起到防黑客攻擊的保護作用。

2017年7月9日，中國計算機學會（CCF）主辦、雷鋒網與香港中文大學（深圳）承辦的第二屆全球人工智能與機器人峰會（CCF-GAIR 2017）的智能駕駛論壇上，邵中教授發表了題為《CertiKOS: A Breakthrough toward Hacker-Resistant Operating Systems》的主題演講，詳述了如何打造一款“反黑客攻擊”操作系統。

演講結束后，邵中接受了雷鋒網專訪，以下為對話實錄，雷鋒網做了不改變原意的編輯。

雷鋒網：你們的目標是要用CertiKOS替代掉Windows、Mac OS或者Linux這樣的現有操作系統嗎？

邵中：也不是說代替，操作系統是一個很大的概念，比如說Windows系統、Mac OS系統或者Linux，它往往是幾百萬行代碼，它把上頭的對應用端做的各種各樣的庫都當成是操作系統的一部分。

但是，另外還有一個概念叫操作系統內核，那個內核一般就比較小了，可以做個幾萬行或者小于十萬行。你說的那些操作系統都有一個不同的內核，那個內核目前是不安全的，我們就想取代那個內核，上頭還可以跑這些不同的操作系統。

雷鋒網：也就是說，CertiKOS要與已有的操作系統的上層部分進行配合，那適配性問題如何解決？

邵中：所以現在就有如虛擬機和Hypervisor這樣的東西存在。其實虛擬化是計算機最近幾年來最大的一個突破，像云端都是用虛擬化實現的，人們可以在一個云上面執行諸多程序。其實就是把一個機器虛擬化成了多個機器。比如說很多國內公司有很多終端設備，并不是每個終端都連著一個主機，它其實就幾臺主機放在那，然后把它分成了10-20個虛擬化的東西。

我們的內核跟現有操作系統的上層部分結合時也是這種虛擬的形式，在汽車上也是虛擬形式，因為它不可能每一個東西都做。

雷鋒網：“反黑客攻擊”操作系統普及后，黑客會受到什么影響？失業？

邵中：不會，他會去黑沒用我們CertiKOS系統的那些地方，因為即使安裝了我們的系統，上層的代碼還是有被黑的可能，只是不能黑到最底層。

因為你開著車希望的是它即使地圖壞了、導航儀壞了還可以開，但它絕對不能讓被黑到把引擎、閘的控制權都交出，那是很糟糕的。

從上世紀60年代開始，我們就對寫軟件的人提出要求，不能只寫個軟件然后發表賣錢就走了，你需要對你的軟件負責，不能有bug。只是因為最近幾十年來，因為商業化的原因，人們開始不在乎軟件是否有bug，才會導致現在那么多的軟件對安全性的要求那么低。

但是我們做這個行業、這個技術就是為了改變軟件行業的現狀，只不過，原來人家就覺得，這么多東西還要證明，這對我要求太高了。對一個計算機游戲人家可能不在乎，但是，對關鍵軟件確實是這樣。

雷鋒網：目前您做這個項目最大的困難，要跨越的技術難題主要是什么？

邵中：非常多，做操作系統有意思的是，它里頭描繪的各種各樣的情景，跟我們描繪生活當中各種各樣的情景是一樣的。操作系統無非是要管理各種各樣的資源、各種各樣的空間，一旦有兩個不同的東西要互相共享資源又要增值的時候，你就要找到有一種好的處理方式。

我把一個操作系統寫好了，我就可以像管理一堆機器人或者管理一個虛擬世界的最主宰的東西，就像上帝一樣，搭一個安全操作系統就有點像我給你這么一個平臺，給你這么多的資源，你一定得把它管理好，不能有不公平，因為一旦有不公平，就變成黑客攻擊的地方。

所以，其實我們里頭做的各個模塊的管理、用到的一些技術是非常有哲理的。它們來自程序設計語言、形式化語義領域最近30年做的很多突破性研究工作。

雷鋒網：現在這個項目進展到了一個什么階段？

邵中：已經有幾個非常好的里程碑，在去年11月份，我們做的并發操作系統是最難的一個課題，已經克服了很多困難，接下去就是致力于擴充它，讓其更好地落地到實際應用場景。

應用場景有很多，自動駕駛汽車、物聯網設備現在就可以用上去。只不過，要去做這些事情我們就得成立創業公司來進行，但是我們并不覺得現在就要放棄做學術研究，因為我自己本人還是想把這個生態圈打造得更大，然后再去進入某一個行業。

雷鋒網：您可能對哪些機構或者企業比較有興趣？

邵中：我在中國的交流還不是很多，我希望多跟中國做汽車行業、智慧城市、物聯網、區塊鏈等方面的企業接觸，如果他們對安全問題感興趣，可以多交流。

雷鋒網：目前，很多做自動駕駛的企業其實對網絡安全還沒有太多的考慮和研究，那么您覺得未來可能會出現的對自動駕駛汽車系統進行攻擊的漏洞和缺陷是什么？

邵中：所有都可能會被侵入，但是我們要做到的并不是保護每一塊，因為那個工作量太大了。我們要保護的是最底層的一層，因為即使有某個機器被攻擊了，它也不會把整個汽車上的最關鍵的部分都弄壞。

比如車上有30個機器，中間有2-3個是管著主控的，我們做這種安全系統要達到的最主要的目標就是要保證，即使另外27個機器都被攻擊成功了，另外那3個還可以正常運行。

雷鋒網：現在在傳統汽車或者自動駕駛汽車上有沒有一些應用？

邵中：我們現在做的大部分都還是在學術實驗室范圍內。

因為自動駕駛汽車即使在大部分的公司里頭也無非是一個Demo，雖然說有幾個已經在路上跑了，但大部分是不考慮網絡安全的。所以，這是一個非常新的領域，這次回來的一個原因也是希望能夠跟現在在做其他部分的廠家能夠有更多的接觸。

圍繞著自動駕駛汽車和無人機的創業公司太多了，但是設備重視網絡安全的還是不多。因為網絡安全的門檻比較高，沒有幾個人是真正能夠放下心來去鉆操作系統軟件的實現，這也是為什么操作系統是核心軟件，為什么那么難，為什么中國到現在還沒有自主開發的操作系統。

雷鋒網：對CertiKOS的期待是什么？

邵中：我們準備開源，所以大家都可以在上面建立應用，就像當初Linux從1990開始一步步滾雪球滾到現在這么大，我們也希望我們的安全操作系統也能一步步壯大并最后變成一個比較成熟的、安全的、被驗證的、沒有bug的、黑客不能攻擊的操作系統。到那一步就需要慢慢吸引更多企業和機構加入到生態圈中推動其發展。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。