SJTU-report/Report-mid.md

# 中期

标题：信息系统安全领域课题研究之操作系统安全方向

## 研究背景与研究意义

### 1. 选题背景（100字以上）

操作系统作为计算设备的核心枢纽，承担着硬件资源管理、应用支撑与安全保障等基础职能，其安全性直接关系到信息系统的整体可靠性与抗攻击能力。近年来，随着云计算、物联网、人工智能等新兴技术的高速发展，内核漏洞利用、内存越界访问、权限滥用等安全威胁愈加突出。尤其在国产化替代与自主可控的背景下，如何在保障生态兼容性的同时构建更高等级的安全机制，已成为亟待解决的关键问题。

### 2. 研究目的（100字以上）

本研究旨在结合操作系统安全理论与实际开发实践，探索基于 Rust 语言的内核安全机制创新与生态适配方案。在实践中，先通过复现 rCore 完成对内核结构与启动流程的理解，再转向 zCore 体验 Linux 兼容层的运行模式，最终在 rCore tutorial 第六章的文件系统中实现 MAC（Mandatory Access Control，强制访问控制）机制。通过这一过程，验证 Rust 内核在内存安全、访问控制和国产化适配方面的可行性，为构建高安全等级的国产操作系统提供参考。

### 3. 研究意义（100字以上）

在信息技术应用创新（信创）战略的推动下，我国操作系统正从“替代可用”迈向“自主高性能、全栈可控”的发展阶段。非 Linux 技术路线的安全内核设计，不仅有助于摆脱对单一生态的依赖，更有利于在源头上减少内存安全类漏洞。本研究通过在 Rust 内核中引入 MAC 安全机制，并验证其在兼容生态下的运行可行性，补充了现有国产系统在安全策略设计上的实践案例，对构建自主可控、安全可依赖的数字基础设施具有参考价值。

### 4. 研究边界（50字以上）

本研究聚焦于通用型与国产化操作系统的安全机制，重点探讨基于 Rust 内核的内存安全优化、访问控制设计与生态适配问题。不涉及硬件物理安全、应用层业务防护及非操作系统类安全技术，亦不包含专用嵌入式或实时系统的安全方案。

## 国内外研究现状及理论基础 

### 1.  国外研究现状（100字以上）

2025 年 openSUSE  Tumbleweed 及 Leap  16 将默认 MAC 机制从 AppArmor 切换为 SELinux，因其提供更精细的标签策略（Type Enforcement）与多级安全模型，但策略复杂度显著增加。策略管理工具链待完善。

### 2.  国内研究现状（100字以上）

vivo 开源的蓝河操作系统内核（BlueOS Kernel）是全球首款面向嵌入式/移动设备的全栈 Rust 内核，通过编译期所有权检查消除内存漏洞（如缓冲区溢出），最小内存占用仅 13KB，使用 ARM 架构，RISC-V 指令集。目前该技术处于领先位置，有着全栈覆盖、轻量化设计的技术特点。

[zCore](https://github.com/rcore-os/zCore?tab=readme-ov-file)是使用rust对[zircon](https://fuchsia.dev/fuchsia-src/concepts/kernel?hl=zh-tw)的重写，实现了对Linux生态的兼容。

### 3.  国内外研究综述（100字以上）

<!-- 国内外研究在内存安全与国产化生态方向呈现差异化竞争，但共性短板集中于形式化验证深度不足、生态碎片化及高安全场景适配滞后。未来需强化“理论验证-产业落地-生态协同”的全链条创新。 -->

操作系统和核心要点在于生态。只有以大量用户为基础构建的完整生态才能决定系统的安全性能否得到关注，从而能够及时发现和预测问题，维持系统的长期安全性并适应新的安全策略。

<!-- Linux作为开源项目，拥有完整的生态和优秀的安全策略管理，但以移除俄罗斯贡献者名单事件为例，Linux系统有被政治化利用的趋势，这违背了？？？，因此，参考国内的技术政治和管理政治情况，国内的自主生态系统或将拥有适当的必要性。 -->

Linux 作为开源项目，拥有相对完善的生态体系与成熟的安全策略管理能力。然而，以移除俄罗斯贡献者名单事件为例，其社区治理与技术决策出现被政治化利用的趋势，这在一定程度上违背了开源精神中“技术中立、开放协作”的核心理念。鉴于国内技术与管理领域的政治环境特点，构建自主可控的本土操作系统生态体系不仅是保障安全与稳定发展的战略选择，也在全球技术格局中具有一定的必要性与现实意义。

国内部分操作系统在发展过程中更注重用户界面、交互体验及市场推广等表现层面的建设，而对底层架构的自主设计与核心技术积累投入不足。例如，以鸿蒙系统为例，其在分布式体验与跨终端适配方面取得了一定成果，但内核层面仍以修改后的 Linux 内核或 LiteOS 为基础，缺乏从零构建的完整内核体系。这种“上层创新—底层依赖”的模式在短期内有助于快速占领市场，但在长期竞争中可能导致核心安全能力与技术演进受制于外部生态。同时，由于缺乏统一的技术标准与接口规范，国产操作系统生态呈现碎片化局面，应用适配与安全策略迁移成本居高不下，制约了整体安全体系的成熟与可持续发展。

<!-- 总体来看，国外研究在访问控制模型的精细化与高安全场景适配方面积累深厚，而国内研究在内存安全的底层防护与国产化技术栈构建方面展现优势。差异化竞争的同时，双方均存在共性短板：形式化验证覆盖度与深度不足、生态碎片化导致跨平台安全策略迁移困难、高安全场景下的性能与兼容性折中问题未得到充分解决。未来的发展应围绕“理论验证—产业落地—生态协同”构建闭环，推动安全机制与操作系统生态的深度融合，从而在保障系统安全性的同时保持功能与性能的持续演进。 -->


## 研究的主要内容及框架

### 1. 研究的主要内容（100字以上）

1. **内存安全机制的革新**  
   借鉴 rCore 等 Rust 实现的操作系统内核设计思想，引入编译期所有权与借用检查机制，结合内存隔离与安全分区技术，提升多进程、多租户环境下的内存访问安全性。

2. **访问控制框架融合创新**  
   尝试将传统 DAC、MAC 与基于能力（Capability-Based）的访问控制模型进行融合。

3. **国产化生态兼容与落地**  
   在 rCore 实验平台上进行国产硬件适配（RISC-V），尝试实现linux syscall或使用用户态 Linux 内核兼容Linux生态。

4. **机密计算与高安全场景适配**  
   研究将可信执行环境（TEE）与全同态加密等机密计算技术集成到操作系统内核中，为金融、国防等高安全场景提供敏感数据的隔离与保护能力。


### 2. 研究的主要方法（50字以上） 

采用“理论分析—原型构建—实证评估”的递进研究路径：  

- 对现有操作系统安全机制进行文献调研与理论建模；  
- 基于 rCore 平台实现内存安全、访问控制及国产化兼容等原型功能；  
- 通过功能性测试、安全性评估与性能基准对原型进行验证与改进。

### 3. 研究的逻辑框架（技术路线）（50字以上） 

本研究以 rCore 平台为基础，依次完成内存安全机制设计、访问控制模型融合、国产化生态适配与机密计算集成，形成可验证的内核原型；在此过程中结合安全性分析与性能优化，最终形成适配国产化生态的高安全操作系统技术路线。

### 4. 研究的过程计划（参照开题报告中关于“研究进度与时间安排”的具体内容进行细化） 

- 7月 - 8月：对现有操作系统安全机制进行文献调研
- 8月 - 9月：rCore、zCore试验
- 8月 - 9月：对rCore安全性增添可行性进行调研

### 5. 研究的创新价值点（50字以上）

本研究在内存安全、访问控制与机密计算三方面形成多层次融合创新：  
通过 Rust 编译期机制与内核安全分区提升内存防护能力；  
在访问控制中实现 DAC、MAC 与 Capability 的有机融合；  
面向国产化生态实现软硬件一体化安全适配，为高安全场景提供可落地的操作系统安全方案。

## 课题研究的实施情况（具体的研究情况记录）

### 1. 准备阶段（2025年 月 日 - 2025年 月 日）  
围绕操作系统安全主题，梳理国内外主要研究方向及其技术痛点，最终确定以 Rust 内核为平台，聚焦内存安全强化、访问控制策略优化、国产化生态兼容性验证三方面展开实践研究。

### 2. 实践阶段（2025年 月 日 - 2025年 月 日）  
先复现 rCore 以掌握内核结构与启动流程，再转向 zCore 体验 Linux 兼容机制，最后在 rCore tutorial 第六章文件系统中实现简化版 MAC 机制，并进行功能验证与性能初测。

### 3. 课题研究现阶段计划完成情况  
已完成 Rust 内核安全机制的初步实验与功能验证，收集了 MAC 策略在文件访问中的性能数据，并对兼容层的可行性进行了测试评估。

## 课题研究下一阶段任务计划

### 1. 下阶段研究内容与目标  
扩展 MAC 策略适用范围，构建更细粒度的权限模型；收集运行日志与性能数据，形成可对比的安全与性能分析结果。

### 2. 确保下阶段研究计划按时完成的主要措施  
制定分阶段目标，按日跟踪进度，每周回顾并调整计划，确保功能扩展与数据收集按时推进。