星绽OS登顶SOSP：框内核，Linux内存安全顽疾的硬核新解

近日，被誉为全球计算机系统领域“奥运会”的顶级学术会议SOSP 2025公布了奖项评选结果，来自我国的“星绽”（Asterinas）开源操作系统在高可扩展内存管理方面的研究论文斩获了今年的最佳论文奖（Best Paper Award）。

始于1967年的SOSP，与OSDI并列操作系统和系统软件领域两大顶会。在一个所有人都认为“经典操作系统问题已趋于饱和”的时代，为什么一篇关于“内存管理”的论文能摘得仅设三席的桂冠？

答案是，这篇名为《CortenMM: Efficient Memory Management with Strong Correctness Guarantees》的论文，不仅解决了一个技术点，更是对其背后所依赖的全新操作系统架构——“框内核”（Framekernel）——的一次重磅验证。

这场胜利标志着，星绽OS在破解操作系统领域长达几十年的“性能与安全兼顾”这一核心难题上，探索出了一条获得国际学术界认可的全新路径。本文将从技术架构视角，深入解析星绽OS如何破解这一经典困境。

传统OS架构的“两难困境”

几十年来，操作系统的设计者们始终在一个“跷跷板”的两端挣扎：安全与性能。

性能的一端是宏内核（Monolithic Kernel），以Linux和Windows为代表。它们将所有OS服务（如进程管理、文件系统、驱动程序）都放在内核态运行。这样做性能极高，但“安全差”是其与生俱来的顽疾。由于内核代码量庞大（动辄上千万行）且主要由C/C++等内存不安全的语言编写，导致系统频繁暴露于安全漏洞中。据统计，约70%的高危安全漏洞由内存安全问题引起。2024年7月，CrowdStrike驱动的一个内存越界访问问题，就导致了全球数百万台Windows电脑蓝屏。

安全的一端是微内核（Microkernel），如seL4和Zircon。它们追求极致安全，在最高权限级别（内核态）只保留最少的代码（如IPC、线程调度），而将驱动、文件系统等服务移至用户态。这大幅降低了内核出错的可能，但“性能差”成了新的代价。用户态服务间的频繁跨进程通信（IPC）带来了难以忽视的性能开销。

为了修补宏内核的短板，业界尝试了沙箱（如gVisor，但有额外性能开销）和漏洞挖掘（如KASAN，但只能缓解无法根治）等路线。但这个“安全与性能难以兼顾”的核心挑战，始终是横亘在系统开发者面前的一道鸿沟。

星绽OS的解法：“框内核”新架构

Rust语言的崛起，让星绽OS设计团队敏锐察觉到了突破上述技术困境的契机。他们并没有选择修补，而是大胆地另辟蹊径，首创了全新的“框内核”（Framekernel）架构。其核心目标非常明确：实现“宏内核的性能 + 微内核的安全”。

“框内核”架构的精髓在于，它巧妙地利用了Rust语言的安全特性，在内核内部进行了“安全隔离”。它将整个操作系统内核（注意：所有代码仍运行在内核态，这是性能的保证）划分为两个紧密协作的部分：

1. 特权的“OS框架”

• 职责：这是整个内核中唯一允许包含非内存安全代码（如`unsafe` Rust或C代码）的地方。

• 作用：它的工作不是实现复杂功能，而是充当一个“安全封装层”，负责将底层的、与硬件交互的、潜在不安全的操作（如操作寄存器、MMU），抽象并封装为高层次的、内存安全的API。

• 关键：这部分代码被设计得尽可能小。

2. 去特权的“OS服务”

• 职责：实现操作系统绝大多数的复杂功能，如文件系统、网络协议栈、进程管理等。

• 作用：这部分代码只能调用“OS框架”提供的内存安全API来进行开发，而不能直接触碰`unsafe`代码。

• 关键：这部分代码量非常大，但它在Rust编译器的强制约束下，实现了原生安全（Safe Rust）。

通过这种设计，星绽OS获得了两大收益：

安全的一端，它将潜在的内存安全问题，严格限制在了那个极小的“OS框架”中，即最小化了可能引发内存安全问题的“关键代码”（TCB，可信计算基座）。星绽OS的代码演进趋势图清晰地显示，其“关键代码”（TCB，图中黄线）仅占“非关键代码”（non-TCB，图中蓝线）的约30%，且随着功能（蓝线）的超线性增长，TCB（黄线）仅呈线性增长，这意味着“关键代码”的比例将进一步降低，系统也愈加安全可信。

性能的一端，由于“OS服务”和“OS框架”都在内核态运行，它们之间的调用是高效的函数调用，这完全避免了微内核跨进程通信的性能瓶颈，可与宏内核的高效性能持平。

CortenMM：SOSP最佳论文的“实战胜利”

如果说“框内核”是星绽OS的“理论体系”，那么斩获SOSP最佳论文的CortenMM，就是这个体系在“OS框架”层的一次关键“实战胜利”。

内存管理是操作系统中最复杂、最易出错的模块之一。研究团队发现，传统操作系统（如Linux）的内存管理为了兼容性，普遍采用“软件—硬件”两级抽象设计。但在现代CPU（x86、ARM、RISC-V）的内存管理单元（MMU）设计已趋于统一的今天，这个“软件抽象层”已不再必需。它反而带来了显著的同步开销（性能瓶颈）和潜在的并发漏洞（安全风险）。

基于“框内核”的设计思想，星绽的CortenMM创新成果摒弃了独立的软件抽象层，实现了一种“单层抽象”的全新系统架构，使应用程序能直接与经过硬件强化的接口进行交互。

这一简化设计带来的成果是惊人的，也完美诠释了“框内核”的优势：

1. 极致的性能释放：通过消除软件层的额外同步开销，CortenMM在真实应用场景下，性能最高可达Linux的26倍。

2. 可被证明的安全：这更是获奖的关键。团队创新性地引入了统一的事务化接口（Transactional Interface），并结合Rust语言自身的安全特性，再利用先进的形式化验证工具（Verus）进行严格的数学推演。最终，他们成功地从数学上证明了CortenMM核心并发代码的正确性，从根本上杜绝了复杂的并发漏洞。

正如星绽OS发起人田洪亮博士所言，评审专家们之所以给出高分，是因为在一个被认为“已无文章可做”的经典领域看到了全新的、效果显著的创新点。CortenMM的获奖，雄辩地证明了“框内核”架构在兼顾安全与性能上的卓越能力。

一个“幸运”的Moonshot：技术理想主义的胜利

CortenMM和“框内核”架构的成功，并非凭空而来。它源自一个“看起来很不可能的事情”——挑战Linux。

星绽OS发起人田洪亮博士坦言，中国的“系统人”都“不服气”：天天使用的操作系统、编译器等底层软件，几乎都由西方发明和主导，为什么中国人不行？而如今，中国在技术人才密度上已经达到了可以发起挑战的节点。发起星绽OS项目，就是这样一个“有点像moon shot（登月计划）”的尝试。

这个“Moonshot”的实现，离不开田洪亮口中的两份“幸运”：

第一份幸运，来源于蚂蚁集团的创新土壤和宽松氛围。集团支持团队自研星绽OS，并没有施加直接的商业压力。蚂蚁作为关键金融基础设施，安全可信和用户数据保护是刚需，坚实的技术地基不可或缺。这使得团队可以心无旁骛地去探索真正有价值、能从根本上解决安全问题的技术路线。

第二份幸运，是遇见了许多志同道合的伙伴。从0到1研发操作系统内核，工作量巨大。星绽OS从发起之初，就是由中关村实验室、蚂蚁集团、北京大学、南方科技大学等产学研机构联合发起的。这种合作并非传统“企业出钱、高校干活”的模式，而是各方基于对“框内核”技术路线的共同认可和“做中国人主导的OS内核”的共同愿景，积极投入人才协助开发。

“后发优势”与“长期主义”

挑战Linux当然不能只靠情怀。事实上，星绽OS团队还看到了技术上的“代际机遇”，那就是Rust语言。

“Rust语言是系统编程的未来，这是操作系统人的共识。”田洪亮博士认为，Rust之于操作系统，就像电气化之于汽车。传统C语言OS积累的千万行代码“资产”，在内存安全这个时代命题下，也成了“包袱”。

Linux和Windows当然也看到了Rust的趋势，并在尝试引入Rust。但它们面临一个巨大的“历史包袱”：在一个庞大的C代码库中“嫁接”Rust，不仅技术上极其复杂，在社区文化上也阻力重重。

而星绽OS的“后发优势”在于，它从2022年启动原型开发时，就选择了从0到1“All in Rust”。这是一个如同“电气化之于燃油车”的代际机遇。星绽OS得以用“Rust原生”（Rust-native）的思维方式，去重新思考和设计操作系统的架构。“框内核”架构，就是这种“Rust原生思维”的产物，它将Rust的类型系统和安全边界，在架构层面用到了极致。

研发操作系统内核是一场马拉松，需要长期投入。星绽OS团队对此有着清晰的“长期主义”路线图：

• 第一阶段（上云期）： 2026年在云计算和机密计算等数据中心场景率先应用，到2028年，在信息安全攸关场景部分代替Linux，目标实现“百万核心”的部署。

• 第二阶段（泛在期）： 2029年到2030年，拓展到智能系统、车载、具身智能等对人身安全要求更高的场景，目标实现“百万设备”的泛在安装。

作为一个仍在迅速迭代的新生内核，目前的星绽OS远未达到Linux的功能丰富度和成熟度。但其展现的技术方向和潜力已经过验证：

• 性能对齐：在业界公认的LMbench基准测试上，星绽OS的平均性能已达到Linux的1.05倍。这足以证明，星绽OS并未因提升安全性而牺牲性能。

• 生态兼容：它不是一个“学术玩具”。星绽OS从设计之初就对标Linux内核，目前已支持x86和RISC-V架构，支持超过220个Linux系统调用，可以运行Nginx、Redis等常见的服务器应用。

• 开源开放：星绽OS完全开源免费（GitHub已斩获逾3700颗Star），并登上HackerNews和LWN.net等国外主流技术社区头条。

结语：从“可审计”的白盒开始

星绽OS此次SOSP的胜利，不仅在于刷新了性能曲线，更在于把操作系统内核这个“不可验证”的黑盒，变成了一个“可审计”的白盒。星绽OS的未来之花，将由此绽放。

当安全与性能终于可以在同一内核握手，“框内核”这一源自中国的OS架构创新，便为全球产业界提供了向下一代可信计算平台迁移的“开源样本”。对于开发者而言，一个更安全、更高效、更通用的OS内核选项，正在拉开序幕。