軟件和硬件技術(shù)的進(jìn)步現(xiàn)在使得在安全的軍事系統(tǒng)中同時(shí)使用嵌入式和桌面操作系統(tǒng)成為可能。Robert 研究了安全分離內(nèi)核和嵌入式軟件虛擬機(jī)管理程序等促成因素，然后解釋了桌面操作系統(tǒng)在安全軍事系統(tǒng)中的使用。

隨著英特爾繼續(xù)將其處理器技術(shù)引入嵌入式世界，嵌入式應(yīng)用程序與更傳統(tǒng)的桌面應(yīng)用程序正在發(fā)生有趣的融合。對于軍事應(yīng)用，臺(tái)式機(jī)系統(tǒng)和嵌入式系統(tǒng)傳統(tǒng)上是獨(dú)立的系統(tǒng)，通過安全網(wǎng)絡(luò)連接（見圖1）。但是，現(xiàn)在希望整合多個(gè)硬件平臺(tái)，以減小尺寸、重量和功耗（SWaP），同時(shí)保持分立系統(tǒng)傳統(tǒng)上提供的安全性。

圖1：傳統(tǒng)系統(tǒng)具有物理上獨(dú)立的硬件來維護(hù)安全性和性能。

通過結(jié)合新的軟件和硬件技術(shù)，這種整合現(xiàn)已成為現(xiàn)實(shí)，而不必犧牲性能或安全性。該軟件技術(shù)是利用英特爾多核虛擬化硬件技術(shù)的安全分離內(nèi)核和嵌入式虛擬機(jī)管理程序。該軟件平臺(tái)成為現(xiàn)代硬件功能的真正推動(dòng)者;但是，在檢查該技術(shù)的應(yīng)用之前，檢查軟件的兩個(gè)組成部分是有益的。

軟件組件 1：安全分離內(nèi)核

分離內(nèi)核是一個(gè)小型的輕量級操作系統(tǒng)，是與處理器的最低級別的連接。它提供的分離與傳統(tǒng)的時(shí)間和空間分區(qū)操作系統(tǒng)沒有什么不同（請參閱側(cè)欄 1），但它通過在設(shè)備管理和分區(qū)間通信等領(lǐng)域?qū)嵤╊A(yù)定義的安全策略來添加安全功能。此外，分離內(nèi)核本身不提供傳統(tǒng)的操作系統(tǒng)功能，如磁盤或網(wǎng)絡(luò)訪問，但它確實(shí)管理調(diào)度和內(nèi)存功能。刪除許多高級操作系統(tǒng)功能的優(yōu)點(diǎn)是，分離內(nèi)核可以保持小巧高效，提供實(shí)時(shí)應(yīng)用程序性能和使用內(nèi)存而不是物理網(wǎng)絡(luò)連接的安全、高速分區(qū)間通信。

在安全領(lǐng)域，這種小型分離內(nèi)核是高保證系統(tǒng)的基石，使用多個(gè)獨(dú)立安全級別 （MILS） 架構(gòu)提供安全策略實(shí)施和嚴(yán)格分區(qū)。這允許安全工程師構(gòu)建需要采用最高級別的通用標(biāo)準(zhǔn)（當(dāng)前為 EAL 7）的系統(tǒng)，并在同一物理硬件上運(yùn)行需要不同安全級別的應(yīng)用程序。許多分離內(nèi)核是通過刪除操作系統(tǒng)功能和添加安全功能從分區(qū)操作系統(tǒng)派生的。但是，為了達(dá)到最高級別的評估，還必須通過使用形式方法分析來證明軟件的安全性。分離內(nèi)核是在同一硬件平臺(tái)上安全共存多個(gè)應(yīng)用程序的基本推動(dòng)因素。而且，當(dāng)與嵌入式虛擬機(jī)管理程序結(jié)合使用時(shí)，可以實(shí)現(xiàn)桌面和嵌入式系統(tǒng)的結(jié)合。

軟件組件 2：嵌入式虛擬機(jī)管理程序

軟件虛擬機(jī)管理程序是一個(gè)軟件層，允許不同的來賓操作系統(tǒng)駐留在單個(gè)硬件平臺(tái)上。該技術(shù)通常用于企業(yè)或數(shù)據(jù)中心領(lǐng)域，以允許 IT 部門跨基于服務(wù)器的操作系統(tǒng)的多個(gè)版本運(yùn)行其所有必需的應(yīng)用程序。在嵌入式世界中，虛擬機(jī)管理程序的使用并不常見。在專用嵌入式系統(tǒng)上運(yùn)行多個(gè)不同版本的操作系統(tǒng)的要求并不那么重要。在實(shí)時(shí)性能是關(guān)鍵層的系統(tǒng)中運(yùn)行額外軟件層的性能一直存在疑問。當(dāng)虛擬機(jī)管理程序和分離內(nèi)核結(jié)合在一起時(shí)，將桌面和嵌入式系統(tǒng)結(jié)合在一起的能力成為現(xiàn)實(shí)（參見圖 2）。

圖2：分離內(nèi)核和虛擬機(jī)管理程序的組合允許在同一物理硬件上安全地運(yùn)行多個(gè)操作系統(tǒng)。

硬件：安全軍事系統(tǒng)中的桌面操作系統(tǒng)

隨著英特爾處理器的使用，傳統(tǒng)的臺(tái)式機(jī)操作系統(tǒng)也被用于許多軍事系統(tǒng)。但是，當(dāng)需要多個(gè)安全級別時(shí)，這可能會(huì)停止使用不安全的桌面操作系統(tǒng)。通過引入安全分離內(nèi)核和虛擬機(jī)管理程序，傳統(tǒng)的桌面操作系統(tǒng)和應(yīng)用程序可以在其自己的未分類分區(qū)中運(yùn)行，從而允許已知用戶界面和應(yīng)用程序的功能，而不會(huì)影響系統(tǒng)其余部分的安全性。進(jìn)入桌面分區(qū)的任何內(nèi)容都不能破壞安全分離內(nèi)核，因此將包含在系統(tǒng)的未分類部分中。

這種軟件分區(qū)和虛擬化還有助于整合硬件和減少SWaP，這在許多軍事場景中特別令人感興趣。通過在自己的分區(qū)中運(yùn)行單獨(dú)的系統(tǒng)，并允許在這些分區(qū)中運(yùn)行不同的操作系統(tǒng)和應(yīng)用程序，可以將物理上獨(dú)立的系統(tǒng)真正整合到單個(gè)物理硬件中。

使用英特爾多核虛擬化處理器允許將 Windows 或 Linux 臺(tái)式機(jī)系統(tǒng)與更傳統(tǒng)的實(shí)時(shí)操作系統(tǒng) （RTOS） 合并，并允許應(yīng)用程序具有相同的性能和功能，就好像它們?nèi)栽谧约旱膶Ｓ糜布脚_(tái)上運(yùn)行一樣。

關(guān)于這種方法，另一個(gè)非常引人注目的功能是虛擬網(wǎng)絡(luò)。在這里，來賓操作系統(tǒng)和應(yīng)用程序可以與其他來賓操作系統(tǒng)和應(yīng)用程序“虛擬”通信，即使它們駐留在單獨(dú)的分區(qū)中也是如此。虛擬網(wǎng)絡(luò)將應(yīng)用程序視為真正的網(wǎng)絡(luò)端口，因此這些應(yīng)用程序可以像兩個(gè)物理上獨(dú)立的網(wǎng)絡(luò)設(shè)備一樣進(jìn)行通信，即使通信是內(nèi)部的。安全分離內(nèi)核還可以對此虛擬網(wǎng)絡(luò)強(qiáng)制實(shí)施安全策略，并指示哪些分區(qū)可以相互通信以及通信方向（參見圖 3）。

圖3：使用分離內(nèi)核和虛擬機(jī)管理程序允許桌面操作系統(tǒng)和 RTOS 駐留在同一個(gè)硬件平臺(tái)上。

這提供了一個(gè)安全的分區(qū)環(huán)境，能夠在同一硬件上運(yùn)行彼此分離的多個(gè)來賓操作系統(tǒng)和應(yīng)用程序。為了在保持實(shí)時(shí)確定性和安全性的同時(shí)實(shí)現(xiàn)接近本機(jī)的性能，分離內(nèi)核和虛擬機(jī)監(jiān)控程序可以利用對執(zhí)行和內(nèi)存的硬件虛擬化支持。在LynxSecure分離內(nèi)核和虛擬機(jī)管理程序上進(jìn)行的獨(dú)立研究表明，與在同一硬件上運(yùn)行同一Linux的本機(jī)實(shí)現(xiàn)的相同應(yīng)用程序相比，在虛擬化Linux操作系統(tǒng)上運(yùn)行基準(zhǔn)應(yīng)用程序產(chǎn)生的性能下降不到5%。

如果嵌入式虛擬機(jī)管理程序使用英特爾的虛擬化技術(shù)，則可以提供臺(tái)式機(jī)系統(tǒng)遷移的另一個(gè)好處。這允許Microsoft Windows在完全虛擬化模式下運(yùn)行，無需更改Windows即可在虛擬機(jī)監(jiān)控程序上運(yùn)行，并且軟件分離內(nèi)核和硬件虛擬化的組合給Windows留下了整個(gè)系統(tǒng)的印象，同時(shí)在自己的安全分區(qū)中運(yùn)行。如果不需要對 Windows 或其應(yīng)用程序進(jìn)行任何更改，這將加快從獨(dú)立系統(tǒng)到安全虛擬化系統(tǒng)的開發(fā)或移植活動(dòng)。

在英特爾虛擬化硬件上運(yùn)行的 MILS 解決方案的一個(gè)示例是 LynuxWorks 的 LynxSecure。它是一個(gè)安全的分離內(nèi)核和嵌入式虛擬機(jī)管理程序，以獨(dú)特的方式提供來賓操作系統(tǒng)的準(zhǔn)虛擬化和完全虛擬化，并保持實(shí)時(shí)性能和 MILS 安全性，可以評估到最高的通用標(biāo)準(zhǔn)級別。它利用多核英特爾組件，即使在運(yùn)行多個(gè)來賓操作系統(tǒng)時(shí)也能實(shí)現(xiàn)高性能。Microsoft Windows可以與Linux和RTOS在同一系統(tǒng)上運(yùn)行，每個(gè)系統(tǒng)都有自己的安全分區(qū)，并以不同的安全分類運(yùn)行應(yīng)用程序。對于下一代軍用嵌入式系統(tǒng)，LynxSecure和英特爾硬件的結(jié)合使系統(tǒng)和應(yīng)用程序具有最大的靈活性，同時(shí)保持了最高級別的安全性。

審核編輯：郭婷