隨著多核和支持虛擬機管理程序的移動 SoC 的出現(xiàn)，1 類 PDA 和軟件定義無線電 （SDR） 等軍用移動設(shè)備現(xiàn)在可以跟上最新的商業(yè)移動軟件計劃（如 Google Android）的步伐，同時降低成本并滿足最嚴格的安全要求。除了硬件進步之外，軟件技術(shù)和體系結(jié)構(gòu)還實現(xiàn)了這一目標，這些技術(shù)和體系結(jié)構(gòu)包括使用多個獨立安全級別 （MILS） 分離內(nèi)核及其高保證分區(qū)策略的分層虛擬化方法。

處理分類數(shù)據(jù)的通信設(shè)備通常采用標準的紅黑分離，其中紅側(cè)處理器負責加密功能，黑側(cè)處理器負責通信堆棧和驅(qū)動程序。在出口上，源自紅色端的機密信息被加密，并通過某種互連發(fā)送到黑端進行傳輸。在入口時，黑側(cè)驅(qū)動程序接收的信息通過互連進行解密和任何其他紅側(cè)處理，例如防護和身份驗證。此常規(guī)體系結(jié)構(gòu)如圖 1 所示。

圖1：通信設(shè)備紅黑架構(gòu)

請注意，邏輯紅側(cè)加密組件可能包括附加的專用硬件設(shè)備，例如 FPGA，用于加密算法執(zhí)行、密鑰存儲和物理冗余。

在 Type-1 認證期間，在加密邊界內(nèi)運行的任何軟件都受到國家安全局 （NSA） 的嚴格審查。這自然對紅邊軟件提出了嚴格的保證要求和復(fù)雜性限制。

軟件定義無線電

現(xiàn)在，讓我們以軟件定義無線電（SDR）為例，更詳細地看一下紅黑架構(gòu)。更具體地說，讓我們考慮采用軟件通信架構(gòu)（SCA）的設(shè)備，SCA是用于開發(fā)SDR的開放框架。SCA 提供標準化的 API，用于管理波形和其他無線電相關(guān)資源。SCA 位于符合 SCA 的操作系統(tǒng)之上。在 SDR 中，SCA 可用于紅色和黑色兩側(cè)。黑色面通常包括管理無線電通信所需的組件，包括波形本身。因此，實時操作系統(tǒng)（RTOS）通常是必不可少的。

紅色的一面可能較少使用 SCA 的功能。至少將包括 SCA 標準化的消息傳遞和組件管理功能。然而，值得注意的是紅方在管理明文方面的作用。人機界面（HCI）組件，如鍵盤驅(qū)動程序、語音編解碼器和觸摸屏管理軟件，將包含在紅邊處理中。例如，手持無線電操作員可能會說出語音數(shù)據(jù)，這些數(shù)據(jù)必須由紅邊收集以進行加密處理，然后才能發(fā)送到黑邊進行傳輸。

與任何 Type-1 通信設(shè)備一樣，最小化紅色邊的認證相關(guān)軟件內(nèi)容是 SDR 開發(fā)人員和認證機構(gòu)的戰(zhàn)略目標。由于其實時和安全關(guān)鍵要求，可信的RTOS是自然而然的選擇。圖 2 顯示了主要的紅側(cè)和黑側(cè) SDR 組件的示例架構(gòu)。

圖2：SDR 紅黑架構(gòu)示例

進入安卓

雖然模擬語音無線電具有相對簡單的HCI，但智能手機和多用途數(shù)字語音/數(shù)據(jù)無線電只是可能包含更復(fù)雜的HCI的兩個設(shè)備示例。Android已迅速成為消費電子產(chǎn)品中最受歡迎的HCI框架之一。然而，Android是基于Linux構(gòu)建的，Linux是一個整體式操作系統(tǒng)，不符合高保證認證要求，不適合低延遲、硬實時任務(wù)。

為了將Android整合到軍事通信設(shè)備的紅邊HCI中，而不將其整個數(shù)百萬行的源代碼庫帶入加密邊界，一個明顯的選擇是合并第二個專用于Android的應(yīng)用處理器。然而，增加第二個處理器會增加占用空間、功耗、生產(chǎn)成本和系統(tǒng)復(fù)雜性。這在資源受限的設(shè)備（例如電池供電的無線電）中尤其成問題。

當它們使用輔助紅側(cè)處理器合并時，通用操作系統(tǒng)通常僅用于非機密通信。分類通信需要自定義 HCI 接口，以實現(xiàn)敏感數(shù)據(jù)和命令的完整性和可用性的高度保證。

當然，圣杯是在不犧牲實時性能、危及安全性或增加認證開銷的情況下將 Android 整合到原始的紅色處理器中。此外，我們希望將 Android 用于分類和非分類界面，使作戰(zhàn)人員能夠充分實現(xiàn) Android 豐富的生產(chǎn)力優(yōu)勢。使用一種特殊形式的系統(tǒng)虛擬化（稱為多獨立安全級別 （MILS） 虛擬化）可以實現(xiàn)此目標。MILS 虛擬化需要一個 MILS 分離內(nèi)核。

MILS 分離內(nèi)核

MILS 是一種基于高保證組件概念以及這些組件之間嚴格隔離和控制信息流的安全架構(gòu)。在最低級別，MILS 策略由分離內(nèi)核強制執(zhí)行，分離內(nèi)核是一種專用 RTOS，旨在滿足最高級別的保證，同時為托管通用和安全關(guān)鍵型應(yīng)用程序提供強大的環(huán)境。

軟件安全保證的評估是使用信息技術(shù)安全產(chǎn)品評估的國際標準：通用標準（ISO/IEC 15408）進行的。通用標準評估保證級別 （EAL） 范圍為 1 到 7。大多數(shù)通用產(chǎn)品（如 Windows、Linux、VMware、Web 服務(wù)器、防火墻等）都經(jīng)過 4 級或更低級別的認證。6+ 級對應(yīng)于高保證。2008年，Green Hills Software的INTEGRITY分離內(nèi)核成為第一個獲得高保證通用標準認證的軟件技術(shù)。此級別的保證必備條件包括許多嚴格的開發(fā)過程控制、安全策略的正式數(shù)學證明以及具有完全源代碼訪問權(quán)限的 NSA 滲透測試。相同的RTOS技術(shù)廣泛用于NSA Type-1認證的通信設(shè)備。

EAL6+代表了美國政府將“高穩(wěn)健性”映射到通用準則。高健壯性是通信設(shè)備在高威脅環(huán)境中管理高價值信息時建議的安全級別。如果信息值或威脅環(huán)境較低，則中等健壯性 （EAL 4） 解決方案可能就足夠了。

MILS 虛擬化

如前所述，MILS 分離內(nèi)核的強大之處在于它能夠?qū)崿F(xiàn)安全關(guān)鍵型應(yīng)用程序與通用應(yīng)用程序的共存。在某些情況下，這些通用子系統(tǒng)是完整的“來賓”操作系統(tǒng)，在 MILS 分離內(nèi)核控制的虛擬機中運行。與傳統(tǒng)的虛擬機管理程序不同，分離內(nèi)核可以托管本機應(yīng)用程序和來賓。分離內(nèi)核嚴格的資源調(diào)度和保護機制確保虛擬機及其組成應(yīng)用程序不會影響關(guān)鍵應(yīng)用程序的執(zhí)行。

分離內(nèi)核是唯一在處理器最高特權(quán)模式下運行的軟件。系統(tǒng)虛擬化的機制取決于處理器的特定硬件功能?，F(xiàn)代嵌入式處理器越來越多地采用硬件虛擬化加速技術(shù)，使虛擬機管理盡可能簡單高效。

分離內(nèi)核可以根據(jù)需要在 Android HCI 和其他紅側(cè)應(yīng)用程序之間提供嚴格控制的進程間通信 （IPC） 路徑。例如，源自 Android 網(wǎng)絡(luò)子系統(tǒng)的互聯(lián)網(wǎng)協(xié)議數(shù)據(jù)可以通過 IPC 管道傳輸?shù)郊用茏酉到y(tǒng)進行加密和傳輸。MILS 虛擬化概念在 SDR 示例中的應(yīng)用如圖 3 所示。

圖3：MILS 虛擬化 SDR 架構(gòu)

然而，使用Android管理機密通信的困難仍然存在。例如，考慮使用Android觸摸屏小部件的作戰(zhàn)人員輸入敏感命令“立即將所有加密密鑰歸零”。任務(wù)成功與否可能取決于命令信息是否通過 Android 正確傳遞到加密組件。然而，Android的低保證使得無法做出必要的完整性和可用性保證。

同樣，MILS 虛擬化提供了一個解決方案。在 MILS 虛擬化架構(gòu)中，物理圖形設(shè)備由運行在 MILS 分離內(nèi)核上的受信任應(yīng)用程序獨占控制;Android 只能訪問虛擬化設(shè)備。因此，當通過 Android 和虛擬化界面輸入命令時，受信任的應(yīng)用程序可以檢查該命令。只有當作戰(zhàn)人員確信 Android 忠實地傳達了他/她的意圖時，才會發(fā)出命令。此驗證階段提供了從作戰(zhàn)人員到高保證組件的 MILS 強制實施的可信路徑;Android完全脫離了循環(huán)。

多域 MILS 虛擬化

一些軍事通信設(shè)備（如無線電、智能手機和網(wǎng)絡(luò)接口卡）必須管理不同機密級別的信息。默認策略要求不同級別的信息保持物理隔離。通常，這是通過以下兩種方式之一完成的。一種方法是要求冷重啟，其中可寫硬件資源歸零，以便在安全級別之間安全地切換設(shè)備。這種做法不僅對用戶不友好，而且重新啟動可能會延遲通信并影響任務(wù)效率。第二種方法是為每個安全級別包含一個獨立的紅側(cè)處理器，并且只需要人機接口設(shè)備（例如，顯示器或鍵盤）的安全開關(guān)。同樣，額外的處理元件將增加器件的占地面積、生產(chǎn)成本和系統(tǒng)復(fù)雜性。

MILS 虛擬化也解決了多域問題。任何所需子系統(tǒng)的單獨實例（包括虛擬機和 SCA 框架）都可以由 MILS 分離內(nèi)核嚴格隔離和調(diào)度。此外，分離內(nèi)核托管本機應(yīng)用程序的能力可以解決共享人機接口設(shè)備問題：受信任的多級安全 （MLS） HCI 應(yīng)用程序可以直接在分離內(nèi)核上運行，根據(jù) MLS 組件直接捕獲的用戶派生焦點輸入多路復(fù)用多域 I/O。SDR 的多域 MILS 虛擬化架構(gòu)如圖 4 所示。

圖4：多域 MILS 虛擬化

雖然圖 3 和圖 4 中描述的架構(gòu)可以使用單核處理器實現(xiàn)，但多核嵌入式處理器的出現(xiàn)可以使它們更加實用。如這些示例所示，復(fù)雜的紅側(cè)處理包括許多組件，其中許多組件可以在多核感知分離內(nèi)核的監(jiān)督下在多個內(nèi)核上并發(fā)執(zhí)行。這種額外的馬力可為虛擬機提供良好的性能，同時確保關(guān)鍵應(yīng)用程序的實時行為。

軍事“機器人”

最新的多媒體軟件包（如 Android）的豐富功能現(xiàn)在可以集成到要求最苛刻的實時、安全的軍事通信設(shè)備中，而不會增加硬件占用空間、成本或認證負擔。關(guān)鍵創(chuàng)新是 MILS 虛擬化，它利用資源管理功能、本機應(yīng)用程序環(huán)境和可信分離內(nèi)核的保證譜系以及現(xiàn)代虛擬機管理程序技術(shù)來有效地整合通用和關(guān)鍵子系統(tǒng)。

審核編輯：郭婷