隨著多核和支持虛擬機(jī)管理程序的移動(dòng) SoC 的出現(xiàn)，1 類(lèi) PDA 和軟件定義無(wú)線電 （SDR） 等軍用移動(dòng)設(shè)備現(xiàn)在可以跟上最新的商業(yè)移動(dòng)軟件計(jì)劃（如 Google Android）的步伐，同時(shí)降低成本并滿(mǎn)足最嚴(yán)格的安全要求。除了硬件進(jìn)步之外，軟件技術(shù)和體系結(jié)構(gòu)還實(shí)現(xiàn)了這一目標(biāo)，這些技術(shù)和體系結(jié)構(gòu)包括使用多個(gè)獨(dú)立安全級(jí)別 （MILS） 分離內(nèi)核及其高保證分區(qū)策略的分層虛擬化方法。

處理分類(lèi)數(shù)據(jù)的通信設(shè)備通常采用標(biāo)準(zhǔn)的紅黑分離，其中紅側(cè)處理器負(fù)責(zé)加密功能，黑側(cè)處理器負(fù)責(zé)通信堆棧和驅(qū)動(dòng)程序。在出口上，源自紅色端的機(jī)密信息被加密，并通過(guò)某種互連發(fā)送到黑端進(jìn)行傳輸。在入口時(shí)，黑側(cè)驅(qū)動(dòng)程序接收的信息通過(guò)互連進(jìn)行解密和任何其他紅側(cè)處理，例如防護(hù)和身份驗(yàn)證。此常規(guī)體系結(jié)構(gòu)如圖 1 所示。

圖1：通信設(shè)備紅黑架構(gòu)

請(qǐng)注意，邏輯紅側(cè)加密組件可能包括附加的專(zhuān)用硬件設(shè)備，例如 FPGA，用于加密算法執(zhí)行、密鑰存儲(chǔ)和物理冗余。

在 Type-1 認(rèn)證期間，在加密邊界內(nèi)運(yùn)行的任何軟件都受到國(guó)家安全局 （NSA） 的嚴(yán)格審查。這自然對(duì)紅邊軟件提出了嚴(yán)格的保證要求和復(fù)雜性限制。

軟件定義無(wú)線電

現(xiàn)在，讓我們以軟件定義無(wú)線電（SDR）為例，更詳細(xì)地看一下紅黑架構(gòu)。更具體地說(shuō)，讓我們考慮采用軟件通信架構(gòu)（SCA）的設(shè)備，SCA是用于開(kāi)發(fā)SDR的開(kāi)放框架。SCA 提供標(biāo)準(zhǔn)化的 API，用于管理波形和其他無(wú)線電相關(guān)資源。SCA 位于符合 SCA 的操作系統(tǒng)之上。在 SDR 中，SCA 可用于紅色和黑色兩側(cè)。黑色面通常包括管理無(wú)線電通信所需的組件，包括波形本身。因此，實(shí)時(shí)操作系統(tǒng)（RTOS）通常是必不可少的。

紅色的一面可能較少使用 SCA 的功能。至少將包括 SCA 標(biāo)準(zhǔn)化的消息傳遞和組件管理功能。然而，值得注意的是紅方在管理明文方面的作用。人機(jī)界面（HCI）組件，如鍵盤(pán)驅(qū)動(dòng)程序、語(yǔ)音編解碼器和觸摸屏管理軟件，將包含在紅邊處理中。例如，手持無(wú)線電操作員可能會(huì)說(shuō)出語(yǔ)音數(shù)據(jù)，這些數(shù)據(jù)必須由紅邊收集以進(jìn)行加密處理，然后才能發(fā)送到黑邊進(jìn)行傳輸。

與任何 Type-1 通信設(shè)備一樣，最小化紅色邊的認(rèn)證相關(guān)軟件內(nèi)容是 SDR 開(kāi)發(fā)人員和認(rèn)證機(jī)構(gòu)的戰(zhàn)略目標(biāo)。由于其實(shí)時(shí)和安全關(guān)鍵要求，可信的RTOS是自然而然的選擇。圖 2 顯示了主要的紅側(cè)和黑側(cè) SDR 組件的示例架構(gòu)。

圖2：SDR 紅黑架構(gòu)示例

進(jìn)入安卓

雖然模擬語(yǔ)音無(wú)線電具有相對(duì)簡(jiǎn)單的HCI，但智能手機(jī)和多用途數(shù)字語(yǔ)音/數(shù)據(jù)無(wú)線電只是可能包含更復(fù)雜的HCI的兩個(gè)設(shè)備示例。Android已迅速成為消費(fèi)電子產(chǎn)品中最受歡迎的HCI框架之一。然而，Android是基于Linux構(gòu)建的，Linux是一個(gè)整體式操作系統(tǒng)，不符合高保證認(rèn)證要求，不適合低延遲、硬實(shí)時(shí)任務(wù)。

為了將Android整合到軍事通信設(shè)備的紅邊HCI中，而不將其整個(gè)數(shù)百萬(wàn)行的源代碼庫(kù)帶入加密邊界，一個(gè)明顯的選擇是合并第二個(gè)專(zhuān)用于Android的應(yīng)用處理器。然而，增加第二個(gè)處理器會(huì)增加占用空間、功耗、生產(chǎn)成本和系統(tǒng)復(fù)雜性。這在資源受限的設(shè)備（例如電池供電的無(wú)線電）中尤其成問(wèn)題。

當(dāng)它們使用輔助紅側(cè)處理器合并時(shí)，通用操作系統(tǒng)通常僅用于非機(jī)密通信。分類(lèi)通信需要自定義 HCI 接口，以實(shí)現(xiàn)敏感數(shù)據(jù)和命令的完整性和可用性的高度保證。

當(dāng)然，圣杯是在不犧牲實(shí)時(shí)性能、危及安全性或增加認(rèn)證開(kāi)銷(xiāo)的情況下將 Android 整合到原始的紅色處理器中。此外，我們希望將 Android 用于分類(lèi)和非分類(lèi)界面，使作戰(zhàn)人員能夠充分實(shí)現(xiàn) Android 豐富的生產(chǎn)力優(yōu)勢(shì)。使用一種特殊形式的系統(tǒng)虛擬化（稱(chēng)為多獨(dú)立安全級(jí)別 （MILS） 虛擬化）可以實(shí)現(xiàn)此目標(biāo)。MILS 虛擬化需要一個(gè) MILS 分離內(nèi)核。

MILS 分離內(nèi)核

MILS 是一種基于高保證組件概念以及這些組件之間嚴(yán)格隔離和控制信息流的安全架構(gòu)。在最低級(jí)別，MILS 策略由分離內(nèi)核強(qiáng)制執(zhí)行，分離內(nèi)核是一種專(zhuān)用 RTOS，旨在滿(mǎn)足最高級(jí)別的保證，同時(shí)為托管通用和安全關(guān)鍵型應(yīng)用程序提供強(qiáng)大的環(huán)境。

軟件安全保證的評(píng)估是使用信息技術(shù)安全產(chǎn)品評(píng)估的國(guó)際標(biāo)準(zhǔn)：通用標(biāo)準(zhǔn)（ISO/IEC 15408）進(jìn)行的。通用標(biāo)準(zhǔn)評(píng)估保證級(jí)別 （EAL） 范圍為 1 到 7。大多數(shù)通用產(chǎn)品（如 Windows、Linux、VMware、Web 服務(wù)器、防火墻等）都經(jīng)過(guò) 4 級(jí)或更低級(jí)別的認(rèn)證。6+ 級(jí)對(duì)應(yīng)于高保證。2008年，Green Hills Software的INTEGRITY分離內(nèi)核成為第一個(gè)獲得高保證通用標(biāo)準(zhǔn)認(rèn)證的軟件技術(shù)。此級(jí)別的保證必備條件包括許多嚴(yán)格的開(kāi)發(fā)過(guò)程控制、安全策略的正式數(shù)學(xué)證明以及具有完全源代碼訪問(wèn)權(quán)限的 NSA 滲透測(cè)試。相同的RTOS技術(shù)廣泛用于NSA Type-1認(rèn)證的通信設(shè)備。

EAL6+代表了美國(guó)政府將“高穩(wěn)健性”映射到通用準(zhǔn)則。高健壯性是通信設(shè)備在高威脅環(huán)境中管理高價(jià)值信息時(shí)建議的安全級(jí)別。如果信息值或威脅環(huán)境較低，則中等健壯性 （EAL 4） 解決方案可能就足夠了。

MILS 虛擬化

如前所述，MILS 分離內(nèi)核的強(qiáng)大之處在于它能夠?qū)崿F(xiàn)安全關(guān)鍵型應(yīng)用程序與通用應(yīng)用程序的共存。在某些情況下，這些通用子系統(tǒng)是完整的“來(lái)賓”操作系統(tǒng)，在 MILS 分離內(nèi)核控制的虛擬機(jī)中運(yùn)行。與傳統(tǒng)的虛擬機(jī)管理程序不同，分離內(nèi)核可以托管本機(jī)應(yīng)用程序和來(lái)賓。分離內(nèi)核嚴(yán)格的資源調(diào)度和保護(hù)機(jī)制確保虛擬機(jī)及其組成應(yīng)用程序不會(huì)影響關(guān)鍵應(yīng)用程序的執(zhí)行。

分離內(nèi)核是唯一在處理器最高特權(quán)模式下運(yùn)行的軟件。系統(tǒng)虛擬化的機(jī)制取決于處理器的特定硬件功能。現(xiàn)代嵌入式處理器越來(lái)越多地采用硬件虛擬化加速技術(shù)，使虛擬機(jī)管理盡可能簡(jiǎn)單高效。

分離內(nèi)核可以根據(jù)需要在 Android HCI 和其他紅側(cè)應(yīng)用程序之間提供嚴(yán)格控制的進(jìn)程間通信 （IPC） 路徑。例如，源自 Android 網(wǎng)絡(luò)子系統(tǒng)的互聯(lián)網(wǎng)協(xié)議數(shù)據(jù)可以通過(guò) IPC 管道傳輸?shù)郊用茏酉到y(tǒng)進(jìn)行加密和傳輸。MILS 虛擬化概念在 SDR 示例中的應(yīng)用如圖 3 所示。

圖3：MILS 虛擬化 SDR 架構(gòu)

然而，使用Android管理機(jī)密通信的困難仍然存在。例如，考慮使用Android觸摸屏小部件的作戰(zhàn)人員輸入敏感命令“立即將所有加密密鑰歸零”。任務(wù)成功與否可能取決于命令信息是否通過(guò) Android 正確傳遞到加密組件。然而，Android的低保證使得無(wú)法做出必要的完整性和可用性保證。

同樣，MILS 虛擬化提供了一個(gè)解決方案。在 MILS 虛擬化架構(gòu)中，物理圖形設(shè)備由運(yùn)行在 MILS 分離內(nèi)核上的受信任應(yīng)用程序獨(dú)占控制;Android 只能訪問(wèn)虛擬化設(shè)備。因此，當(dāng)通過(guò) Android 和虛擬化界面輸入命令時(shí)，受信任的應(yīng)用程序可以檢查該命令。只有當(dāng)作戰(zhàn)人員確信 Android 忠實(shí)地傳達(dá)了他/她的意圖時(shí)，才會(huì)發(fā)出命令。此驗(yàn)證階段提供了從作戰(zhàn)人員到高保證組件的 MILS 強(qiáng)制實(shí)施的可信路徑;Android完全脫離了循環(huán)。

多域 MILS 虛擬化

一些軍事通信設(shè)備（如無(wú)線電、智能手機(jī)和網(wǎng)絡(luò)接口卡）必須管理不同機(jī)密級(jí)別的信息。默認(rèn)策略要求不同級(jí)別的信息保持物理隔離。通常，這是通過(guò)以下兩種方式之一完成的。一種方法是要求冷重啟，其中可寫(xiě)硬件資源歸零，以便在安全級(jí)別之間安全地切換設(shè)備。這種做法不僅對(duì)用戶(hù)不友好，而且重新啟動(dòng)可能會(huì)延遲通信并影響任務(wù)效率。第二種方法是為每個(gè)安全級(jí)別包含一個(gè)獨(dú)立的紅側(cè)處理器，并且只需要人機(jī)接口設(shè)備（例如，顯示器或鍵盤(pán)）的安全開(kāi)關(guān)。同樣，額外的處理元件將增加器件的占地面積、生產(chǎn)成本和系統(tǒng)復(fù)雜性。

MILS 虛擬化也解決了多域問(wèn)題。任何所需子系統(tǒng)的單獨(dú)實(shí)例（包括虛擬機(jī)和 SCA 框架）都可以由 MILS 分離內(nèi)核嚴(yán)格隔離和調(diào)度。此外，分離內(nèi)核托管本機(jī)應(yīng)用程序的能力可以解決共享人機(jī)接口設(shè)備問(wèn)題：受信任的多級(jí)安全 （MLS） HCI 應(yīng)用程序可以直接在分離內(nèi)核上運(yùn)行，根據(jù) MLS 組件直接捕獲的用戶(hù)派生焦點(diǎn)輸入多路復(fù)用多域 I/O。SDR 的多域 MILS 虛擬化架構(gòu)如圖 4 所示。

圖4：多域 MILS 虛擬化

雖然圖 3 和圖 4 中描述的架構(gòu)可以使用單核處理器實(shí)現(xiàn)，但多核嵌入式處理器的出現(xiàn)可以使它們更加實(shí)用。如這些示例所示，復(fù)雜的紅側(cè)處理包括許多組件，其中許多組件可以在多核感知分離內(nèi)核的監(jiān)督下在多個(gè)內(nèi)核上并發(fā)執(zhí)行。這種額外的馬力可為虛擬機(jī)提供良好的性能，同時(shí)確保關(guān)鍵應(yīng)用程序的實(shí)時(shí)行為。

軍事“機(jī)器人”

最新的多媒體軟件包（如 Android）的豐富功能現(xiàn)在可以集成到要求最苛刻的實(shí)時(shí)、安全的軍事通信設(shè)備中，而不會(huì)增加硬件占用空間、成本或認(rèn)證負(fù)擔(dān)。關(guān)鍵創(chuàng)新是 MILS 虛擬化，它利用資源管理功能、本機(jī)應(yīng)用程序環(huán)境和可信分離內(nèi)核的保證譜系以及現(xiàn)代虛擬機(jī)管理程序技術(shù)來(lái)有效地整合通用和關(guān)鍵子系統(tǒng)。

審核編輯：郭婷