Linux内核

摘要： 近些年,伴随着科学技术的不断发展,计算机信息技术以及网络通信技术得到了前所未有的发展,Linux嵌入式系统因其源码开放、软件丰富、内核高效稳定,已经在各个领域内得到了大量应用。同时,国内的芯片设计技术也在不断发展追赶中,华为海思、全志、瑞芯微等芯片设计企业推出了很多优秀的芯片。在本文中,笔者将会基于全志的A40i平台对Linux系统内核做出简单分析,对Linux嵌入式系统驱动移植的各类场景做出初步的分析与探讨,借此希望可以有效推动Linux内核的嵌入式系统驱动的提升与发展。

摘要： 在当今这个恶意软件泛滥和黑客日益猖獗的时代,软件运行环境面临比以往任何时候都要多的挑战。软件代码被逆向篡改,敏感数据被广泛访问等威胁无处不在。软件运行产生的数据能够被广泛读取,敏感数据得不到保护。构建一个可信空间运行应用程序以保护代码和数据成为一个迫切需求。应用程序运行是将操作系统内核作为可信基来调度硬件和系统服务,但是可信内核应用程序无法确定,大部分情况都是运行在不可信内核基础之上,因此如何基于不可信操作系统内核保护应用程序的安全成为安全领域热点问题之一。本文提出了一种基于不可信linux内核构建软件可信域的方法,包括了内核层可信基构建和软件代码加密保护、进程运行控制流保护、文件I/O保护这三个信任链的构建。通过这个方法构建软件运行可信域实现应用程序运行空间隔离、算力共享、业务开放三大可信运行环境关键属性,确保应用程序可信安全运行。

摘要： 及时获取并应用安全漏洞修复补丁对保障服务器用户的安全至关重要.但是,学者和机构研究发现开源软件维护者经常悄无声息地修复安全漏洞,比如维护者88%的情况在发布软件新版本时才在发行说明中告知用户修复了安全漏洞,并且只有9%的漏洞修复补丁明确给出对应的CVE(common vulnerabilities and exposures)标号,只有3%的修复会及时主动通知安全监控服务提供者.这导致在很多情况下,安全工程师不能通过补丁的代码和描述信息直接区分漏洞修复、Bug修复、功能性补丁.造成漏洞修复补丁不能被用户及时识别和应用,同时用户从大量的补丁提交中识别漏洞修复补丁代价很高.以代表性Linux内核为例,给出一种自动识别漏洞修复补丁的方法,该方法为补丁的代码和描述部分分别定义特征,构建机器学习模型,训练学习可区分安全漏洞补丁的分类器.实验表明,该方法可以取得91.3%的精确率、92%的准确率、87.53%的召回率,并将误报率降低到5.2%,性能提升明显.

摘要： EtherCAT是工业以太网总线的代表应用,现已在嵌入式、FPGA等多个平台下开发应用,但在X86架构上的实时应用较少。基于X86的硬件平台,使用实时补丁与EtherCAT协议框架,设计性能稳定的EtherCAT主站。提出内核模块的设计方法,以及隔离CPU,设置CPU频率的运行方式,进行实时性能的优化。在200μs的高速通信周期下,最大抖动从ms级优化到50μs以内,抖动均值从80μs优化到1μs以内。满足高性能实时运动控制与高速数据采集的要求。

摘要： 本文介绍了海思Hi3559AV100处理器运行Ubuntu Linux系统的适配过程,适配过程可分为内核适配,根文件系统适配,系统固化三个步骤。在Hi3559AV100平台中适配Ubuntu系统,可以利用Ubuntu成熟的软件生态提升系统配置的灵活性,满足更多应用场景的需求。

摘要： 英特尔开发的数据面开发套件DPDK,通过对网络应用高性能的实现,逐渐获得业界的认可。本文从Linux内核原生网络协议栈处理过程中存在的瓶颈入手,分析DPDK的架构、组件设计构成,通过DPDK提供的库函数,并结合DPDK的特性,基于DPDK的二层转发l2fwd程序,通过网卡端口建立多个Tx/Rx Queue并将其绑定在不同CPU逻辑核上实现对数据报文的处理。通过实验结果比对,相较于Linux内核原生数据转发实现方式,具有高性能的包转发能力。

摘要： 本文基于eBPF技术提供的跟踪和分析、可观测性和监控、服务网格、企业安全等关键技术,与大数据、人工智能、分布式治理技术一起极大地提升了云原生环境下的性能优化和自动化运维,为操作系统内核与云原生环境之间架起技术纽带。

摘要： 随着基础软件国产化的浪潮,麒麟操作系统已经应用于各个行业.本文基于Qt提供的强大的C++API框架,开发运行于国产麒麟OS(Operating System)上的内核驱动程序学习系统,弥补了麒麟OS环境下缺乏驱动程序学习软件的不足.主要研究内核中几百个驱动程序的执行流程,Linux内核驱动程序的一般体系结构、内核驱动程序的详细分类、驱动程序配置与调试技术以及应用程序、内核、硬件、驱动程序之间的关系等驱动程序学习机理.在实现过程中系统基于模块化设计思想,采用分层实现软件架构.具体实现网络请求、远程文件下载与上传、内核驱动程序一般架构、驱动程序详细分类、驱动程序学习机理、视频学习、具体驱动程序、系统设置(包括计算机系统信息和系统升级检测两个子模块)等8大模块.最后采用交叉编译方式,使其部署到X86、ARM、MIPS三种不同的架构平台的计算机上.

摘要： Linux内核提供了灵活的内核配置项机制,便于针对不同的应用场景进行个性化定制.但内核配置项的数量巨大且增长快速,配置项的默认值在不同内核版本中经常改变,即使专业的内核团队设置配置项也面临很多挑战.针对上述问题,提出基于多标签的内核配置图,该图包含内核配置项间的依赖关系、功能标签、性能标签、安全标签和配置项使能率.此外,该图提供了可视化功能,更加直观、高效、人性化.该内核配置图在内核配置项异常值检测、内核启动优化、内核裁剪、内核安全增强、内核性能优化、内核配置项智能问答等场景均可应用.且将内核配置图应用到检索场景,实现了面向内核配置项的检索框架KCIR(kernel config information retrieval),该框架基于内核配置图对查询语句和内核配置项描述文本进行了扩展,实验评估表明KCIR和传统检索框架相比,检索效果有显著提升,验证了内核配置图在实际应用中的有效性和实用性.

摘要： 近些年各个领域的数据都出现爆炸性的增长,而市面上为用户提供的存储服务也越来越多,但大多数存在存储容量受限,增加容量时价格昂贵,灾备空间有限等问题.文章研究了Linux的一个内核模块Network Block Device(NBD),并利用NBD来实现远程存储设备在本地服务器上的弹性挂载,从而实现本地服务的弹性扩容.

摘要： 针对容错操作系统的可靠性评测问题,提出一种向Linux内核注入"单个位"故障的方法.基于x86体系结构中的软件中断机制,首先利用可加载内核模块机制在时钟中断中设置一个探测点,然后将用户态的故障数据传输到内核空间,最后利用一种C/S结构的故障注入模型,分别向Linux内核的arch、fs、kernel和mm四个子系统注入故障(瞬时型、间歇型和永久型)6700余次.实验结果表明,与arch和fs子系统相比,kernel和mm子系统对故障的敏感度较高,平均检测故障覆盖率达到38.23％;与数据段相比,内核代码段对故障的敏感度较高,平均检测故障覆盖率达到73.49％,该方法提高了容错型操作系统可靠性评测的速度和准确度.

摘要： 针对容错操作系统的可靠性评测问题,提出一种向Linux内核注入"单个位"故障的方法.基于x86体系结构中的软件中断机制,首先利用可加载内核模块机制在时钟中断中设置一个探测点,然后将用户态的故障数据传输到内核空间,最后利用一种C/S结构的故障注入模型,分别向Linux内核的arch、fs、kernel和mm四个子系统注入故障(瞬时型、间歇型和永久型)6700余次.实验结果表明,与arch和fs子系统相比,kernel和mm子系统对故障的敏感度较高,平均检测故障覆盖率达到38.23％;与数据段相比,内核代码段对故障的敏感度较高,平均检测故障覆盖率达到73.49％,该方法提高了容错型操作系统可靠性评测的速度和准确度.

摘要： 针对容错操作系统的可靠性评测问题,提出一种向Linux内核注入"单个位"故障的方法.基于x86体系结构中的软件中断机制,首先利用可加载内核模块机制在时钟中断中设置一个探测点,然后将用户态的故障数据传输到内核空间,最后利用一种C/S结构的故障注入模型,分别向Linux内核的arch、fs、kernel和mm四个子系统注入故障(瞬时型、间歇型和永久型)6700余次.实验结果表明,与arch和fs子系统相比,kernel和mm子系统对故障的敏感度较高,平均检测故障覆盖率达到38.23％;与数据段相比,内核代码段对故障的敏感度较高,平均检测故障覆盖率达到73.49％,该方法提高了容错型操作系统可靠性评测的速度和准确度.

摘要： 针对容错操作系统的可靠性评测问题,提出一种向Linux内核注入"单个位"故障的方法.基于x86体系结构中的软件中断机制,首先利用可加载内核模块机制在时钟中断中设置一个探测点,然后将用户态的故障数据传输到内核空间,最后利用一种C/S结构的故障注入模型,分别向Linux内核的arch、fs、kernel和mm四个子系统注入故障(瞬时型、间歇型和永久型)6700余次.实验结果表明,与arch和fs子系统相比,kernel和mm子系统对故障的敏感度较高,平均检测故障覆盖率达到38.23％;与数据段相比,内核代码段对故障的敏感度较高,平均检测故障覆盖率达到73.49％,该方法提高了容错型操作系统可靠性评测的速度和准确度.

摘要： 整数溢出是缓冲区溢出的一种,它可以被利用来导致用户权限的提升等安全问题.Linux内核是Linux系统和Android系统安全保障的基础,因此,研究对Linux内核中整数溢出漏洞的检测具有重要的意义.现有的整数溢出检测工具主要分为两种:静态分析和动态分析.本文介绍了静态分析工具KINT和动态分析平台S2E,并结合了静态分析快速和动态分析准确的优点来进行检测.本文对Linux内核3.4版本中的net模块进行了检测,并成功的检测出了CVE中的整数溢出漏洞.

摘要： 整数溢出是缓冲区溢出的一种,它可以被利用来导致用户权限的提升等安全问题.Linux内核是Linux系统和Android系统安全保障的基础,因此,研究对Linux内核中整数溢出漏洞的检测具有重要的意义.现有的整数溢出检测工具主要分为两种:静态分析和动态分析.本文介绍了静态分析工具KINT和动态分析平台S2E,并结合了静态分析快速和动态分析准确的优点来进行检测.本文对Linux内核3.4版本中的net模块进行了检测,并成功的检测出了CVE中的整数溢出漏洞.

摘要： 整数溢出是缓冲区溢出的一种,它可以被利用来导致用户权限的提升等安全问题.Linux内核是Linux系统和Android系统安全保障的基础,因此,研究对Linux内核中整数溢出漏洞的检测具有重要的意义.现有的整数溢出检测工具主要分为两种:静态分析和动态分析.本文介绍了静态分析工具KINT和动态分析平台S2E,并结合了静态分析快速和动态分析准确的优点来进行检测.本文对Linux内核3.4版本中的net模块进行了检测,并成功的检测出了CVE中的整数溢出漏洞.

摘要： 整数溢出是缓冲区溢出的一种,它可以被利用来导致用户权限的提升等安全问题.Linux内核是Linux系统和Android系统安全保障的基础,因此,研究对Linux内核中整数溢出漏洞的检测具有重要的意义.现有的整数溢出检测工具主要分为两种:静态分析和动态分析.本文介绍了静态分析工具KINT和动态分析平台S2E,并结合了静态分析快速和动态分析准确的优点来进行检测.本文对Linux内核3.4版本中的net模块进行了检测,并成功的检测出了CVE中的整数溢出漏洞.

摘要： 目前,通过对make-1和-j参数的设置提高make的编译速度的研究工作很少,已有的工作是利用经验值,缺乏理论依据.为此提出了一种基于OS噪声的确定make-l和-j参数方法,解决上述问题.实验表明,通过该方法确定参数值已经接近最优值.

摘要： 目前,通过对make-1和-j参数的设置提高make的编译速度的研究工作很少,已有的工作是利用经验值,缺乏理论依据.为此提出了一种基于OS噪声的确定make-l和-j参数方法,解决上述问题.实验表明,通过该方法确定参数值已经接近最优值.

摘要： 本发明涉及启动Linux系统内核的方法以及双Linux内核处理装置，使用一个额外的经过简化的Linux内核来代替引导程序执行辅助功能。本发明的启动方法包括以下步骤：启动引导程序；使用引导程序进行初始化操作；检测一启动辅助功能的请求，以装载并启动一用于执行辅助功能的第一内核，以及若未检测到启动该辅助功能的请求，则启动一用于执行一主功能的第二内核，其中辅助功能相对主功能耗费更少的系统资源。

摘要： 本发明提供一种Linux内核可热插拨内核模块运行时升级方法，属于计算机操作系统领域，本发明通过添加一个系统调用，用于更新指定的内核模块，本方法所说的系统调用实现了一个正在运行着的内核模块，在不卸载及重新装载的前提下，更新其代码，用此内核模块新的版本替换旧的版本，并且，最关键的是：在此过程中，此内核模块仍能正常使用，即不中断其提供的服务。

摘要： 本发明公开了一种获取Linux内核中数据结构偏移的方法和装置。本方法为：对于给定的包含目标Linux内核文件的N个Linux源代码版本，对每一版本的所有函数进行静态源代码分析，获取所有包含指定结构体S的指定域f的引用并且不是显式声明为内联函数的函数，并计算每一所述函数关于所述指定结构体S和所述指定域f的特征，生成一函数列表；然后依据函数声明求取N个函数列表的交集，生成跨版本的通用函数列表；然后将复杂性最低的稳定函数的部分特征作为引用向量；利用所述引用向量对目标内核文件进行分析，获得引用向量对应的函数的汇编代码中对于初始结构体S的所有域引用；依据所述引用向量中的特征获得对应的域引用确定偏移量。

摘要： 本发明实施例提供了一种基于Linux内核态的以太网OAM告警方法及装置，方法包括：调用Linux内核态以太网OAM接口函数，将以太网OAM链路信息预置到设定类型的告警报文中，并随链路状态变化更新告警报文；调用Linux内核态预置SNMP断电通告报文；当根据链路状态变化判断设备发生中断时，在Linux内核中确定中断类型，发送与所述中断类型相应的告警报文内容，并发送预置的SNMP断电告警报文。本发明实施例提供的一种基于Linux内核态的以太网OAM告警方法及装置，断电告警流程与用户态以太网OAM应用程序完全隔离，故而可以采用较小的电容放电回路即可实现，从而无需采用实时操作系统以及复杂的专用电路，降低了数据通信产品单位成本。

摘要： 本说明书一个或多个实施例提供一种Linux内核调度器的重建方法，在系统处于停机模式下，对内核调度器的调度数据以及各个调度实体的状态数据进行重建，具体而言，先确定纳入内核调度器的所有调度实体，对每一调度实体执行出队操作，并清空每一调度实体对应的状态数据。对所有的调度实体执行出队操作后，对出队后的每一调度实体执行入队操作，并根据内核调度器的调度策略，重新为该调度实体构建并初始化对应的状态数据，最后根据重新为各个调度实体构建的状态数据，以及调度策略，重新构建调度数据。重建完成后，退出停机模式，以使内核调度器继续对调度实体的调度。

摘要： 本发明提供一种Linux内核态与用户态的数据交互方法及装置，其中，该方法包括：接收第一目标程序的读操作；读操作，用于读取第一虚拟地址的数据；响应于读操作，从第一虚拟地址对应的环形缓冲队列中的目标物理地址读取数据；其中，目标物理地址的数据，是基于第二目标程序对第二虚拟地址的写操作写入的；第二虚拟地址与目标物理地址对应；在第一目标程序来自内核态的情况下，第二目标程序来自用户态；在第一目标程序来自用户态的情况下，第二目标程序来自内核态。本发明提供的Linux内核态与用户态的数据交互方法及装置，以共享内存为数据载体，以环形队列完成交互控制，能实现零拷贝、高效易用的、真正的内核态与用户态间的数据交互。

摘要： 本发明提供一种基于Linux内核的协议栈数据传输方法及装置，属于计算机技术领域。所述协议栈数据传输方法，包括：在内核监听到协议栈向驱动芯片控制器发送第一数据的情况下，内核向中间服务模块发送第一通知；中间服务模块接收所述第一数据并转发所述第一数据到驱动芯片控制器；其中，所述第一通知携带有第一数据。本发明通过设计中间服务模块实现了Linux系统下的协议栈与底层驱动芯片控制器之间的数据传输，减少了系统与芯片之间的兼容问题，同时降低了兼容成本。

摘要： 本发明涉及一种面向容器的Linux内核虚拟化系统，至少包括：虚拟内核构建模块，其被配置为提供虚拟内核定制模板，以允许用户编辑与定制容器虚拟内核，并基于编辑后的虚拟内核定制模板生成可加载内核模块形式的虚拟内核；虚拟内核实例模块，其被配置为对Linux内核进行重构与隔离，响应对应的容器的内核请求，使虚拟内核实例运行在独立的地址空间。本发明提出的面向容器的Linux内核虚拟化系统，基于可加载模块技术，该系统在Linux内核内为每个容器提供了可定制、高性能、强安全的虚拟内核,本发明通过将Linux内核进行虚拟化，为容器提供独立的虚拟内核，支持在运行时Linux系统中为容器定制虚拟内核，不仅能够保证容器的高性能，同时极大地增强了容器的安全性。

摘要： 本发明公开了一种linux内核漏洞权限提升检测阻断方法和系统，所述方法包括如下步骤：在linux内核挂载sys_execve函数，并安装入口探针函数和出口探针函数；建立用户态进程，所述用户态进程进入内核态，并调用所述内核态中挂载的sys_execve函数；在调用所述sys_execve函数后，执行所述出口探针函数，并记录当前进程的权限集；当前进程生成子进程，执行所述出口探针函数，记录所述子进程的权限集，根据父子进程的权限集判断进程漏洞；判断子进程权限集和当前进程作为父进程的权限集的权限，若判断存在权限提升，则阻断该子进程的生成。

摘要： 本发明提供了基于linux内核块设备加密功能的Elasticsearch加密搜索方法，其对来自用户终端的原始数据进行标识打包后，得到目标文件包，并将其发送到linux内核块设备；利用linux内核块设备的dm‑crypt加密模块根据相应的加密策略，将原始数据加密形成加密数据，以及将加密数据写入到硬盘空间中；当外界终端需要对硬盘空间进行数据访问时，利用linux内核块设备的密钥环进行认证，成功后，将加密数据的数据副本进行解密，再反馈回外界终端；上述方法将对数据的加密和解密都限定在linux内核块设备的内核层上实施，使得数据的加密和解密对于应用层而言是透明的，并且不会对应用层的运行产生任何影响，有效避免应用层发生运行卡顿，并且还提高数据加密和解密的安全性和高效性。