CHERIBSD：FreeBSD 硬件内存安全革命已从论文走进现实

技术深度解析

CHERIBSD 绝非一次简单的移植。它要求从引导加载器开始，向上贯穿 C 库、编译器（LLVM/Clang）以及每一个系统调用接口，对 FreeBSD 进行全面改造。其核心机制是 CHERI 能力：一个 128 位或 256 位的对象，用以取代传统的指针。一个能力不仅包含地址，还包含边界（基址和长度）、权限（读/写/执行/加载能力/存储能力），以及一个存储在内存中与数据并行的不可伪造的标签位。标签位是关键——它无法由软件设置，只能由硬件在能力从有效根能力正确派生时设置。这意味着攻击者无法通过覆写内存来伪造指针；任何通过存储指令设置标签位的尝试都会将其清除，硬件将在后续任何使用时触发陷阱。

架构层次：
- 内核： FreeBSD 内核被重写，所有内核空间指针（包括虚拟内存子系统、文件系统缓冲区缓存和设备驱动中的指针）均使用能力。内核自身的堆分配器（uma）被修改为返回带边界的能力。
- 用户空间： C 库（libc）和动态链接器（rtld）已适配。每次 malloc() 返回的能力，其边界与请求的大小精确匹配。栈通过守卫能力得到保护。信号处理器和线程库被重新设计，以在上下文切换中保持能力的完整性。
- 编译器： LLVM 的 CHERI 后端生成的代码使用能力指令（例如 CIncOffset、CSetBounds、CLoad、CStore）而非普通的加载/存储。编译器还会插入能力来源检查——确保从一个分配派生的指针不能用于访问另一个分配，即使地址重叠。

性能权衡： 开销不可忽视。每次内存访问现在都需要在硬件中检查边界和权限，加上更大的能力尺寸（16 或 32 字节，而传统指针为 8 字节）会增加缓存压力。剑桥大学 CHERI 团队的基准测试数据显示：

| 基准测试 | 原生 FreeBSD (x86) | CHERIBSD (Morello) | 开销 |
|---|---|---|---|
| SPEC CPU 2006 (几何平均) | 1.00x | 1.12x – 1.35x | 12–35% |
| nginx 静态文件服务 | 100,000 req/s | 72,000 req/s | 28% |
| SQLite 内存查询 | 50,000 qps | 38,000 qps | 24% |
| malloc/free 微基准测试 | 10M ops/s | 5.8M ops/s | 42% |

数据要点： 开销真实存在但并非灾难性——根据工作负载不同，在 12-42% 之间。内存密集型和指针密集型工作负载（malloc、数据库）受影响更大。对于安全关键的嵌入式系统（路由器、物联网网关），当吞吐量次于完整性时，这种权衡是可以接受的。对于通用计算，在没有硬件优化的情况下，这仍然是一个难以推广的选择。

值得关注的 GitHub 仓库：
- `ctsrd/cheribsd`（207 星）：主要的操作系统移植版本。代码库是 FreeBSD-CURRENT 的一个分支，带有大量 CHERI 补丁。最近的提交显示正在持续进行 PCIe 设备驱动支持和网络栈加固的工作。
- `CTSRD-CHERI/cheri-c-programming`（48 星）：一个教程仓库，演示如何编写 CHERI 感知的 C 代码，包括如何使用能力 API 调用，如 `cheri_bounds_set` 和 `cheri_perms_set`。
- `CTSRD-CHERI/llvm-project`（112 星）：经过 CHERI 修改的 LLVM/Clang 工具链。包含 CHERI-RISC-V 和 Morello 后端。

关键参与者与案例研究

CHERI 生态系统由一个规模不大但影响力颇高的联盟推动：

- 剑桥大学计算机实验室（Prof. Robert Watson、Dr. Jonathan Woodruff、Dr. Peter Sewell）：最初的架构师。Watson 领导 CHERIBSD 的开发。他们的研究论文（例如《CHERI: A Hybrid Capability-System Architecture for Scalable Software Compartmentalization》）是奠基性文献。
- SRI International（Dr. John Rushby、Dr. Ben Laurie）：能力模型的共同发明者。SRI 在形式化验证方面的专长对于证明 CHERI 的安全属性至关重要。
- Arm Holdings：Morello 的创造者。Arm 的投资具有战略意义——他们将 CHERI 视为服务器和基础设施芯片的潜在差异化因素。Morello 是一个原型，但 Arm 尚未承诺商业量产。
- 微软：主要资助者和早期采用者。微软研究院已将 Windows 移植到 CHERI（Project CHERI-Windows），并发表了关于对 NT 内核进行分区隔离的论文。他们是企业界最积极的倡导者，引用内部数据称 70% 的 CVE 本可通过 CHERI 避免。
- 谷歌：态度更为谨慎。Android 的内存安全工作侧重于采用 Rust 和硬件标记内存（ARMv9 上的 MTE），后者是一种更轻量级的替代方案。谷歌尚未公开承诺采用 CHERI。

与竞争方案的比较：

| 方案 | 粒度 | 所需硬件 | 性能开销 | 成熟度 |
|---|---|---|---|---|
| CHERI (CHERIBSD) | 每指针，细粒度 | 定制处理器（Morello、CHERI-RISC-V） | 12-42% | 原型/研究阶段 |
| Arm MTE (Memory Tagging Extension) | 每 16 字节，粗粒度 | ARMv9 处理器 | 1-5% | 已量产（部分芯片） |
| Rust 语言 | 编译时，静态 | 无 | 0%（编译时） | 生产就绪 |
| 软件地址消毒剂 (ASan) | 运行时，软件 | 无 | 2-3 倍 | 开发/测试工具 |

编辑点评： CHERI 在安全承诺上远超 MTE 和 Rust，因为它从硬件层面防御了所有内存安全漏洞类别，包括那些 Rust 的所有权模型无法覆盖的（例如，通过不安全的代码块或 C 互操作引入的漏洞）。然而，其硬件依赖性和性能开销使其在短期内难以进入消费级市场。最可能的早期采用场景是：高安全性的网络设备、航空航天系统、以及需要满足严格合规标准（如 ISO 26262 ASIL-D 或 DO-178C DAL-A）的嵌入式控制器。