Google cam kết thúc đẩy công bằng chủng tộc cho Cộng đồng người da đen. Xem cách thực hiện.

Trang này được dịch bởi Cloud Translation API.

Tổng quan về Khung ảo hóa Android (AVF)

Android Virtualization Framework (AVF) cung cấp môi trường thực thi an toàn và riêng tư để thực thi mã. AVF lý tưởng cho các trường hợp sử dụng hướng đến bảo mật yêu cầu đảm bảo cách ly mạnh mẽ hơn, thậm chí đã được xác minh chính thức, so với những trường hợp do hộp cát ứng dụng của Android cung cấp. Android cung cấp triển khai tham chiếu cho tất cả các thành phần cần thiết để triển khai AVF. Hiện tại, AVF chỉ được hỗ trợ trên các thiết bị ARM64. Hình 1 cho thấy cấu trúc của AVF:

kiến trúc AVF

Hình 1. Cấu trúc AVF

Dưới đây là định nghĩa cho các thuật ngữ quan trọng nhất từ hình 1:

apexd và zipfuse

Gắn kết an toàn các APEX và APK được nhập từ máy chủ.

authfs

Hệ thống tệp cầu chì để bảo mật chia sẻ nhiều tệp giữa Android và pVM (máy chủ và khách).

chất kết dính

Phương tiện chính của liên lạc giữa các VM.

chéo

Một màn hình máy ảo được viết bằng gỉ. crosvm phân bổ bộ nhớ VM, tạo các luồng CPU ảo và triển khai phần phụ trợ của thiết bị ảo.

Hình ảnh hạt nhân chung (GKI)

Hình ảnh khởi động được Google chứng nhận có chứa nhân GKI được tạo từ cây nguồn Hạt nhân chung (ACK) của Android và phù hợp để flash vào phân vùng khởi động của thiết bị Android. Để biết thêm thông tin, hãy xem phần tổng quan về Kernel .

siêu giám sát

Công nghệ ảo hóa được sử dụng bởi AVF, còn được gọi là pKVM . Trình ảo hóa duy trì tính toàn vẹn của mã được thực thi và tính bảo mật của tài sản của pVM, ngay cả khi Android hoặc bất kỳ pVM nào khác bị xâm phạm.

API Java

Các API Java của VirtualizationService, chỉ có trên các thiết bị có hỗ trợ AVF. Các API này là tùy chọn và không phải là một phần của thebootclasspath .

Microdroid

Hệ điều hành Android mini do Google cung cấp chạy trong pVM.

Trình quản lý Microdroid

Quản lý vòng đời pVM, bên trong pVM và đĩa cá thể.

API gốc

Một tập hợp con của Android Native Developers Kit (NDK).

máy ảo dựa trên hạt nhân được bảo vệ (pKVM)

Xem Hypervisor .

Phần sụn pVM ( pvmfw )

Mã đầu tiên chạy trên pVM, pvmfw xác minh tải trọng và lấy được bí mật trên mỗi VM.

máy ảo được bảo vệ (pVM)

Một môi trường thực thi biệt lập không tin tưởng lẫn nhau ("khách") chạy cùng với hệ điều hành Android chính ("máy chủ"). pVM được quản lý bởi pKVM.

So với các môi trường thực thi đáng tin cậy (TEE) hiện có, các pVM cung cấp một môi trường phong phú hơn, bao gồm một bản phân phối mini-Android có tên Microdroid . pVM có thể được sử dụng linh hoạt và cung cấp một bộ API tiêu chuẩn có sẵn trên tất cả các thiết bị hỗ trợ chúng.

Dịch vụ ảo hóa

Dịch vụ Android quản lý vòng đời của pVM.

Cái gì tiếp theo?

Nếu bạn muốn hiểu rõ hơn về sự cần thiết của AVF, hãy tham khảo Tại sao lại là AVF? .
Để đọc về cách AVF có thể được sử dụng để biên dịch biệt lập, hãy tham khảo Các trường hợp sử dụng .
Nếu bạn muốn giải thích sâu hơn về kiến trúc triển khai tham chiếu AVF, hãy tham khảo Kiến trúc AVF .
Nếu bạn muốn tìm hiểu về Microdroid, hãy tham khảo Microdroid .
Nếu bạn quan tâm đến cách AVF xử lý bảo mật, hãy tham khảo Bảo mật .
Để hiểu vai trò của dịch vụ ảo hóa, hãy tham khảo VirtualizationService .