汽车信息娱乐系统中多虚拟机状态下的网络架构策略

王华捷， 朱丽敏， 王维莉

（上汽大众汽车有限公司， 上海 201906）

作为汽车信息娱乐系统的对外连接接口，网络架构方案是非常重要的技术架构，采用何种网络结构决定了信息娱乐系统的效能与信息安全。

1 主流多虚拟机网络架构方案

利用NAT （Network Address Translation，网络地址转换） 构建的虚拟网络结构是当前主流多虚拟机网络架构，多个虚拟系统可以在NAT网络中通过宿主地址转发来完成网络架构搭建。

NAT模式中，Hypervisor系统是真正的宿主系统，同时虚拟系统的虚拟网卡与Hypervisor的真实网卡并不在同一个网络中。图1为常见多虚拟机信息娱乐系统通信模式。

图1 常见多虚拟机信息娱乐系统通信模式

图1中揭示了常见的多虚拟机实际状态，其中Hypervisor构建了基础的网络端口访问，提供了虚拟的以太网访问。

对于安全的客户端系统及非安全的客户端系统，现有策略是由Hypervisor提供相同的网络节点，如虚拟网0和虚拟网1，同时接入到实际的以太网，并以通信模组进行联网。

这种方案的优势为：组网简洁明了，可以便捷地使Hypervisor完成网络配置。由于在同一个内网，对外网不可见，从通信模组侧看到的只有Hypervisor层，也保持了内网对外的纯净与安全。但同时，劣势也是明显的，非安全的客户端系统并不能阻止被恶意应用组件的破坏，从而导致虚拟网1被强行占用进而破坏底层的Hypervisor层。

2 新型多虚拟机网络架构方案

与此相比，为了继承泛用的网络架构方案中的优点并解决其中的问题点，需要提出新型网络结构。

从新型网络结构出发，除了要求更高的可靠性，也需要考虑从内到外的访问安全。

基于这两点要求，对新型网络架构方案进行了思考与验证。对于非安全的客户端系统需要通过严格限定的联网秩序进行保证，这样就需要安全的客户系统进行加固，同时将非安全的客户系统进行导流工作。图2为安全加固后的多虚拟机信息娱乐系统通信模式。

如图2所示，在新方案中，采用安全客户端系统进行转发来自非安全客户端系统网络访问的形式，保障对网络访问的有效过滤。

对于非法的恶意应用组件访问可以由安全客户端系统进行警示，从而及时通知Hypervisor层关闭虚拟网1端口，从而防止进一步对硬件系统的破坏。

图2 安全加固后的多虚拟机信息娱乐系统通信模式

假设非安全的客户端系统为国内乘用车常用的Android开源系统，Android通过代理服务将授权应用通过80端口及http协议将应用数据及回话内容转发至安全系统中的Gateway组件。

所有的TLS （Transport Layer Security，安全传输层协议） 节点将在安全系统中构建，服务方证书及设备证书也由安全系统负责组织维护，当发现有来自Android的网络访问则通过代理中设置的协议集参数进行授权转发。

采用这种方式避免了Android系统中的替身应用攻击，以访问超级域名如aliyun.com等手段绕开白名单保护。在利用代理服务方式访问后，替身应用将无法伪装正常应用建立应有的TLS连接。

事实上，国内乘用车系统多会利用Android系统的开放性以快速组建各自车联网服务生态，但对于Android系统的安全性并未采用较好的网络信息安全防护手段。

3 结语

随着电子技术的发展，越来越多的先进技术也应用到信息娱乐系统中，多虚拟机构成的软硬件分离系统已经被广泛采用，由于系统复杂性导致的联网架构复杂性也同步增加。本文结合实车信息娱乐系统的优化设计，为后续多系统设计中网络安全架构的应用积累了丰富的经验。