將傳統(tǒng)桌面操作系統(tǒng)和嵌入式RTOS結合在軍用嵌入式系統(tǒng)中

軟件和硬件技術的進步現(xiàn)在使得在安全的軍事系統(tǒng)中同時使用嵌入式和桌面操作系統(tǒng)成為可能。Robert 研究了安全分離內核和嵌入式軟件虛擬機管理程序等促成因素，然后解釋了桌面操作系統(tǒng)在安全軍事系統(tǒng)中的使用。

隨著英特爾繼續(xù)將其處理器技術引入嵌入式世界，嵌入式應用程序與更傳統(tǒng)的桌面應用程序正在發(fā)生有趣的融合。對于軍事應用，臺式機系統(tǒng)和嵌入式系統(tǒng)傳統(tǒng)上是獨立的系統(tǒng)，通過安全網絡連接（見圖1）。但是，現(xiàn)在希望整合多個硬件平臺，以減小尺寸、重量和功耗（SWaP），同時保持分立系統(tǒng)傳統(tǒng)上提供的安全性。

圖1：傳統(tǒng)系統(tǒng)具有物理上獨立的硬件來維護安全性和性能。

通過結合新的軟件和硬件技術，這種整合現(xiàn)已成為現(xiàn)實，而不必犧牲性能或安全性。該軟件技術是利用英特爾多核虛擬化硬件技術的安全分離內核和嵌入式虛擬機管理程序。該軟件平臺成為現(xiàn)代硬件功能的真正推動者;但是，在檢查該技術的應用之前，檢查軟件的兩個組成部分是有益的。

軟件組件 1：安全分離內核

分離內核是一個小型的輕量級操作系統(tǒng)，是與處理器的最低級別的連接。它提供的分離與傳統(tǒng)的時間和空間分區(qū)操作系統(tǒng)沒有什么不同（請參閱側欄 1），但它通過在設備管理和分區(qū)間通信等領域實施預定義的安全策略來添加安全功能。此外，分離內核本身不提供傳統(tǒng)的操作系統(tǒng)功能，如磁盤或網絡訪問，但它確實管理調度和內存功能。刪除許多高級操作系統(tǒng)功能的優(yōu)點是，分離內核可以保持小巧高效，提供實時應用程序性能和使用內存而不是物理網絡連接的安全、高速分區(qū)間通信。

在安全領域，這種小型分離內核是高保證系統(tǒng)的基石，使用多個獨立安全級別 （MILS） 架構提供安全策略實施和嚴格分區(qū)。這允許安全工程師構建需要采用最高級別的通用標準（當前為 EAL 7）的系統(tǒng)，并在同一物理硬件上運行需要不同安全級別的應用程序。許多分離內核是通過刪除操作系統(tǒng)功能和添加安全功能從分區(qū)操作系統(tǒng)派生的。但是，為了達到最高級別的評估，還必須通過使用形式方法分析來證明軟件的安全性。分離內核是在同一硬件平臺上安全共存多個應用程序的基本推動因素。而且，當與嵌入式虛擬機管理程序結合使用時，可以實現(xiàn)桌面和嵌入式系統(tǒng)的結合。

軟件組件 2：嵌入式虛擬機管理程序

軟件虛擬機管理程序是一個軟件層，允許不同的來賓操作系統(tǒng)駐留在單個硬件平臺上。該技術通常用于企業(yè)或數(shù)據(jù)中心領域，以允許 IT 部門跨基于服務器的操作系統(tǒng)的多個版本運行其所有必需的應用程序。在嵌入式世界中，虛擬機管理程序的使用并不常見。在專用嵌入式系統(tǒng)上運行多個不同版本的操作系統(tǒng)的要求并不那么重要。在實時性能是關鍵層的系統(tǒng)中運行額外軟件層的性能一直存在疑問。當虛擬機管理程序和分離內核結合在一起時，將桌面和嵌入式系統(tǒng)結合在一起的能力成為現(xiàn)實（參見圖 2）。

圖2：分離內核和虛擬機管理程序的組合允許在同一物理硬件上安全地運行多個操作系統(tǒng)。

硬件：安全軍事系統(tǒng)中的桌面操作系統(tǒng)

隨著英特爾處理器的使用，傳統(tǒng)的臺式機操作系統(tǒng)也被用于許多軍事系統(tǒng)。但是，當需要多個安全級別時，這可能會停止使用不安全的桌面操作系統(tǒng)。通過引入安全分離內核和虛擬機管理程序，傳統(tǒng)的桌面操作系統(tǒng)和應用程序可以在其自己的未分類分區(qū)中運行，從而允許已知用戶界面和應用程序的功能，而不會影響系統(tǒng)其余部分的安全性。進入桌面分區(qū)的任何內容都不能破壞安全分離內核，因此將包含在系統(tǒng)的未分類部分中。

這種軟件分區(qū)和虛擬化還有助于整合硬件和減少SWaP，這在許多軍事場景中特別令人感興趣。通過在自己的分區(qū)中運行單獨的系統(tǒng)，并允許在這些分區(qū)中運行不同的操作系統(tǒng)和應用程序，可以將物理上獨立的系統(tǒng)真正整合到單個物理硬件中。

使用英特爾多核虛擬化處理器允許將 Windows 或 Linux 臺式機系統(tǒng)與更傳統(tǒng)的實時操作系統(tǒng) （RTOS） 合并，并允許應用程序具有相同的性能和功能，就好像它們仍在自己的專用硬件平臺上運行一樣。

關于這種方法，另一個非常引人注目的功能是虛擬網絡。在這里，來賓操作系統(tǒng)和應用程序可以與其他來賓操作系統(tǒng)和應用程序“虛擬”通信，即使它們駐留在單獨的分區(qū)中也是如此。虛擬網絡將應用程序視為真正的網絡端口，因此這些應用程序可以像兩個物理上獨立的網絡設備一樣進行通信，即使通信是內部的。安全分離內核還可以對此虛擬網絡強制實施安全策略，并指示哪些分區(qū)可以相互通信以及通信方向（參見圖 3）。

圖3：使用分離內核和虛擬機管理程序允許桌面操作系統(tǒng)和 RTOS 駐留在同一個硬件平臺上。

這提供了一個安全的分區(qū)環(huán)境，能夠在同一硬件上運行彼此分離的多個來賓操作系統(tǒng)和應用程序。為了在保持實時確定性和安全性的同時實現(xiàn)接近本機的性能，分離內核和虛擬機監(jiān)控程序可以利用對執(zhí)行和內存的硬件虛擬化支持。在LynxSecure分離內核和虛擬機管理程序上進行的獨立研究表明，與在同一硬件上運行同一Linux的本機實現(xiàn)的相同應用程序相比，在虛擬化Linux操作系統(tǒng)上運行基準應用程序產生的性能下降不到5%。

如果嵌入式虛擬機管理程序使用英特爾的虛擬化技術，則可以提供臺式機系統(tǒng)遷移的另一個好處。這允許Microsoft Windows在完全虛擬化模式下運行，無需更改Windows即可在虛擬機監(jiān)控程序上運行，并且軟件分離內核和硬件虛擬化的組合給Windows留下了整個系統(tǒng)的印象，同時在自己的安全分區(qū)中運行。如果不需要對 Windows 或其應用程序進行任何更改，這將加快從獨立系統(tǒng)到安全虛擬化系統(tǒng)的開發(fā)或移植活動。

在英特爾虛擬化硬件上運行的 MILS 解決方案的一個示例是 LynuxWorks 的 LynxSecure。它是一個安全的分離內核和嵌入式虛擬機管理程序，以獨特的方式提供來賓操作系統(tǒng)的準虛擬化和完全虛擬化，并保持實時性能和 MILS 安全性，可以評估到最高的通用標準級別。它利用多核英特爾組件，即使在運行多個來賓操作系統(tǒng)時也能實現(xiàn)高性能。Microsoft Windows可以與Linux和RTOS在同一系統(tǒng)上運行，每個系統(tǒng)都有自己的安全分區(qū)，并以不同的安全分類運行應用程序。對于下一代軍用嵌入式系統(tǒng)，LynxSecure和英特爾硬件的結合使系統(tǒng)和應用程序具有最大的靈活性，同時保持了最高級別的安全性。

審核編輯：郭婷