汽車電子電器架構(gòu)正從分布式到域集中式架構(gòu)到中央集中式架構(gòu)轉(zhuǎn)變，支撐架構(gòu)轉(zhuǎn)變的重要因素之 一是算力平臺。隨著算力平臺的能力增強，通過虛擬化技術(shù)，將不同功能安全等級的系統(tǒng)部署到同一個 硬件平臺上是一個趨勢，虛擬化技術(shù)按照虛擬化層次可以分為硬件虛擬化和操作系統(tǒng)虛擬化兩類。硬件虛擬化可細(xì)分為 Type1 和 Type2 兩類，Type1 類型的虛擬機，直接運行在裸硬件上，比如 XEN ；TYPE2 類型的虛擬機，駐留在 OS 的內(nèi)核，比如 KVM。在汽車領(lǐng)域，由于對功能安全等級及實時性有較高要求， 一般均使用 TYPE1 虛擬機管理器（Hypervisor），Hypervisor 之上直接運行多個客戶操作系統(tǒng) (GuestOS),實現(xiàn)對資源的隔離和調(diào)度。操作系統(tǒng)虛擬化一般指容器技術(shù)，通過內(nèi)核提供的 Namespace 和 Cgroup 等資源隔離和配額管理機制實現(xiàn)對多系統(tǒng)運行能力的支持，在這種虛擬化機制下，操作系統(tǒng)內(nèi)核被每個容 器共享。目前容器化場景在汽車中還沒看到實際應(yīng)用，下文所述虛擬化安全主要指虛擬機管理器 Hyper- visor 的安全。

隨著虛擬化技術(shù)在汽車上的商用化加快部署，虛擬化安全性正日益得到產(chǎn)業(yè)的關(guān)注。這些安全性包括：虛擬機管理器和虛擬機之間的信任鏈問題。利用虛擬化技術(shù)在一個可信物理平臺上創(chuàng)建出多個虛擬機，并將從硬件可信根開始構(gòu)建的信任鏈傳遞到每一個虛擬機，從而在一個可信物理平臺上構(gòu)建多個虛擬的可信計算平臺，有些解決方案缺乏虛擬機管理器到虛擬機之間的信任鏈驗證。

虛擬機間的攻擊：惡意入侵者可以通過利用虛擬機管理程序中的漏洞，通過同一物理主機上存在的另一個虛擬機來獲得對虛擬機的控制，從而破壞目標(biāo)虛擬機。

虛擬機資源掠奪：系統(tǒng)或應(yīng)用程序中存在的漏洞會導(dǎo)致整個系統(tǒng)的異常行為，他們利用系統(tǒng)資源， 導(dǎo)致同一主機上的其他虛擬機出現(xiàn)饑餓或故障。

虛擬機逃逸：利用虛擬機軟件或者虛擬機中運行的軟件的漏洞進(jìn)行攻擊，以達(dá)到攻擊或控制虛擬機宿主操作系統(tǒng)的目的。

虛擬機回滾：虛擬機可以回退到以前的狀態(tài)，有害病毒 / 蠕蟲可能將受感染的虛擬機回滾到以前的狀態(tài)，在回滾時，虛擬機會將其重新暴露給安全漏洞。

Hypervisor 自身漏洞：導(dǎo)致虛擬機信息被竊取或篡改。

為了提高 Hypervisor 的安全性，建立相應(yīng)的安全性目標(biāo)很重要，相關(guān)要求目標(biāo)如下表所示：

表3.4-1 Hypervisor的安全性目標(biāo)

安全目標(biāo)

要求

隔離性

vCPU 調(diào)度隔離安全、內(nèi)存隔離、網(wǎng)絡(luò)隔離、存儲隔離

物理資源可被唯一指定分配給虛擬處理器，資源包括：SOC 的某個或某幾個 CPU 核、 SOC 的一段連續(xù)或不連續(xù)的內(nèi)存、SOC 的外設(shè)寄存器（如串口、USB）、SOC 的中斷資源（可直接綁定到 vCPU 核某個 Guest OS 上，通過 Hypervisor 透傳）

Hypervisor 完整性

為了實現(xiàn)整體系統(tǒng)完整性，建立并維護(hù) Hypervisor 組件的完整性。

平臺完整性

Hypervisor 的完整性取決于它所依賴的硬件和軟件的完整性，需要利用加密芯片（如TPM）等硬件和固件機制來保護(hù)和檢測底層平臺的完整性。如果平臺完整性受到損害，Hypervisor 和客戶機將無法運行。

Audit

支持安全審計功能，可捕獲和保護(hù)系統(tǒng)上發(fā)生的事件，以便安全復(fù)盤。

Hypervisor 的安全性能力可以從三個維度進(jìn)行提升。

一是需要建立安全邊界，這個邊界由 Hypervi-sor 嚴(yán)格定義并且實施。Hypervisor 安全邊界的保密性、完整性和可用性需要得到保證。邊界能防御一系列攻擊，包括側(cè)向通道信息泄漏、拒絕服務(wù)和特權(quán)提升。虛擬機監(jiān)控程序安全邊界還提供網(wǎng)絡(luò)流量、虛擬設(shè)備、存儲、計算資源和所有其他虛擬機資源的隔離能力。

圖3.4-20 虛擬機監(jiān)控程序安全邊界

安全邊界的保密性可以通過傳統(tǒng)的密碼學(xué)方法來實施，完整性通過可信度量機制來保障，可信報告機制實現(xiàn)不同虛擬環(huán)境的可信互通，監(jiān)控機制動態(tài)度量實體的行為，發(fā)現(xiàn)和排除非預(yù)期的互相干擾。虛擬技術(shù)提供的隔離機制將實體運行空間分開。整體虛擬化安全架構(gòu)如下圖。

圖3.4-21 虛擬化安全架構(gòu)