汽車信息娛樂系統(tǒng)中多虛擬機(jī)狀態(tài)下的網(wǎng)絡(luò)架構(gòu)策略

王華捷， 朱麗敏， 王維莉

（上汽大眾汽車有限公司， 上海 201906）

作為汽車信息娛樂系統(tǒng)的對外連接接口，網(wǎng)絡(luò)架構(gòu)方案是非常重要的技術(shù)架構(gòu)，采用何種網(wǎng)絡(luò)結(jié)構(gòu)決定了信息娛樂系統(tǒng)的效能與信息安全。

1 主流多虛擬機(jī)網(wǎng)絡(luò)架構(gòu)方案

利用NAT （Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換） 構(gòu)建的虛擬網(wǎng)絡(luò)結(jié)構(gòu)是當(dāng)前主流多虛擬機(jī)網(wǎng)絡(luò)架構(gòu)，多個虛擬系統(tǒng)可以在NAT網(wǎng)絡(luò)中通過宿主地址轉(zhuǎn)發(fā)來完成網(wǎng)絡(luò)架構(gòu)搭建。

NAT模式中，Hypervisor系統(tǒng)是真正的宿主系統(tǒng)，同時虛擬系統(tǒng)的虛擬網(wǎng)卡與Hypervisor的真實網(wǎng)卡并不在同一個網(wǎng)絡(luò)中。圖1為常見多虛擬機(jī)信息娛樂系統(tǒng)通信模式。

圖1 常見多虛擬機(jī)信息娛樂系統(tǒng)通信模式

圖1中揭示了常見的多虛擬機(jī)實際狀態(tài)，其中Hypervisor構(gòu)建了基礎(chǔ)的網(wǎng)絡(luò)端口訪問，提供了虛擬的以太網(wǎng)訪問。

對于安全的客戶端系統(tǒng)及非安全的客戶端系統(tǒng)，現(xiàn)有策略是由Hypervisor提供相同的網(wǎng)絡(luò)節(jié)點，如虛擬網(wǎng)0和虛擬網(wǎng)1，同時接入到實際的以太網(wǎng)，并以通信模組進(jìn)行聯(lián)網(wǎng)。

這種方案的優(yōu)勢為：組網(wǎng)簡潔明了，可以便捷地使Hypervisor完成網(wǎng)絡(luò)配置。由于在同一個內(nèi)網(wǎng)，對外網(wǎng)不可見，從通信模組側(cè)看到的只有Hypervisor層，也保持了內(nèi)網(wǎng)對外的純凈與安全。但同時，劣勢也是明顯的，非安全的客戶端系統(tǒng)并不能阻止被惡意應(yīng)用組件的破壞，從而導(dǎo)致虛擬網(wǎng)1被強(qiáng)行占用進(jìn)而破壞底層的Hypervisor層。

2 新型多虛擬機(jī)網(wǎng)絡(luò)架構(gòu)方案

與此相比，為了繼承泛用的網(wǎng)絡(luò)架構(gòu)方案中的優(yōu)點并解決其中的問題點，需要提出新型網(wǎng)絡(luò)結(jié)構(gòu)。

從新型網(wǎng)絡(luò)結(jié)構(gòu)出發(fā)，除了要求更高的可靠性，也需要考慮從內(nèi)到外的訪問安全。

基于這兩點要求，對新型網(wǎng)絡(luò)架構(gòu)方案進(jìn)行了思考與驗證。對于非安全的客戶端系統(tǒng)需要通過嚴(yán)格限定的聯(lián)網(wǎng)秩序進(jìn)行保證，這樣就需要安全的客戶系統(tǒng)進(jìn)行加固，同時將非安全的客戶系統(tǒng)進(jìn)行導(dǎo)流工作。圖2為安全加固后的多虛擬機(jī)信息娛樂系統(tǒng)通信模式。

如圖2所示，在新方案中，采用安全客戶端系統(tǒng)進(jìn)行轉(zhuǎn)發(fā)來自非安全客戶端系統(tǒng)網(wǎng)絡(luò)訪問的形式，保障對網(wǎng)絡(luò)訪問的有效過濾。

對于非法的惡意應(yīng)用組件訪問可以由安全客戶端系統(tǒng)進(jìn)行警示，從而及時通知Hypervisor層關(guān)閉虛擬網(wǎng)1端口，從而防止進(jìn)一步對硬件系統(tǒng)的破壞。

圖2 安全加固后的多虛擬機(jī)信息娛樂系統(tǒng)通信模式

假設(shè)非安全的客戶端系統(tǒng)為國內(nèi)乘用車常用的Android開源系統(tǒng)，Android通過代理服務(wù)將授權(quán)應(yīng)用通過80端口及http協(xié)議將應(yīng)用數(shù)據(jù)及回話內(nèi)容轉(zhuǎn)發(fā)至安全系統(tǒng)中的Gateway組件。

所有的TLS （Transport Layer Security，安全傳輸層協(xié)議） 節(jié)點將在安全系統(tǒng)中構(gòu)建，服務(wù)方證書及設(shè)備證書也由安全系統(tǒng)負(fù)責(zé)組織維護(hù)，當(dāng)發(fā)現(xiàn)有來自Android的網(wǎng)絡(luò)訪問則通過代理中設(shè)置的協(xié)議集參數(shù)進(jìn)行授權(quán)轉(zhuǎn)發(fā)。

采用這種方式避免了Android系統(tǒng)中的替身應(yīng)用攻擊，以訪問超級域名如aliyun.com等手段繞開白名單保護(hù)。在利用代理服務(wù)方式訪問后，替身應(yīng)用將無法偽裝正常應(yīng)用建立應(yīng)有的TLS連接。

事實上，國內(nèi)乘用車系統(tǒng)多會利用Android系統(tǒng)的開放性以快速組建各自車聯(lián)網(wǎng)服務(wù)生態(tài)，但對于Android系統(tǒng)的安全性并未采用較好的網(wǎng)絡(luò)信息安全防護(hù)手段。

3 結(jié)語

隨著電子技術(shù)的發(fā)展，越來越多的先進(jìn)技術(shù)也應(yīng)用到信息娛樂系統(tǒng)中，多虛擬機(jī)構(gòu)成的軟硬件分離系統(tǒng)已經(jīng)被廣泛采用，由于系統(tǒng)復(fù)雜性導(dǎo)致的聯(lián)網(wǎng)架構(gòu)復(fù)雜性也同步增加。本文結(jié)合實車信息娛樂系統(tǒng)的優(yōu)化設(shè)計，為后續(xù)多系統(tǒng)設(shè)計中網(wǎng)絡(luò)安全架構(gòu)的應(yīng)用積累了豐富的經(jīng)驗。