通过安全可靠的虚拟化延长军用软件的预期寿命

　　在经济紧张的情况下，许多公司在代码重用、规范或设计级别使用软件寿命延长方法来降低费用，但这些方法都有局限性。然而，新的安全可靠虚拟化 （SSV） 正在挫败这些挑战，并提供世界上最好的功能。

　　理想的寿命延长技术是将整个子系统从原始平台保留下来，并原封不动地插入到新平台中。现在，通过一种称为安全可靠虚拟化（SSV）的新兴技术，这种方法成为可能。SSV现在在下一代系统的规划和开发中受到青睐，其中安全和安保与经济性和及时性同样重要。

　　SSV 和传统子系统

　　SSV作为一种遗留重用方法并不是对未来技术的幻想，而是得到了已经在使用的COTS技术的支持。采用SSV的一个例子是空中客车公司选择SYSGO的PikeOS用于其A350 XWB飞机。在新的空中客车架构的众多要求中，包括能够在本机分区中开发可认证的安全软件，同时与POSIX分区中的遗留软件子系统轻松共存。

　　因此，SSV提供了从各种遗留平台（甚至包括现成的开源子系统）中挑选的软件子系统的能力。由于在使用经典虚拟化技术时，实时行为有时会出现问题，因此 SSV 建立在经过验证的虚拟化理念之上，例如使用半虚拟化来调整托管操作系统以与托管操作系统的虚拟机管理程序层进行交互。但是，SSV在提供确定性行为和资源分区方面走得更远，以便开发具有可预测实时响应的嵌入式应用程序，并为认证独立级别的安全和可靠操作提供基础。更具体地说，SSV 集成了分离内核模型，该模型包含一个低级调度程序，该调度程序保证了整体系统的抢占能力，同时仍然允许分区中的不同调度策略按原始设计运行。

　　因此，根据SSV的定义，子系统可以具有不同级别的安全性和安全性，而不会发生冲突或风险。SSV 实时操作系统基于符合 MILS 标准的微内核，可监督每个硬件访问。SSV 体系结构的一个独特功能是能够根据需求子集对所有资源进行分类。不同的操作系统、运行时环境 （RTE） 和 API 能够在受保护的软件分区中同时运行。这是通过使用准确、可管理的通信通道来实现的，这些通信通道允许安全关键和非关键应用程序在单个硬件环境中共存。

　　重用旧代码

　　SSV 是通过隔离单独的分区将原本过时的软件集成到现代高容量嵌入式系统中的终极解决方案。这种方法的优点是能够重新应用现有的遗留代码，而不必经历昂贵、耗时且容易出错的重新开发阶段。已建立的软件能够在新的硬件平台上运行，该平台与其他较新的软件组件（如现代Linux操作系统）混合在一起。独立系统的模块化和独立性使这种和平共处与合作得以发生。

　　隔离和封装不同的软件包可实现资源分区和时间分区：对所有可用和临时资源进行静态分配。每个应用程序都获得对已分配资源的保证访问权限，但对其他分区的资源没有任何访问权限。严格的分离强制保证一个分区中的故障不会影响其他分区，从而确保安全可靠的操作。

　　例如，SSV允许PikeOS在单个CPU平台上运行基于Linux的子系统和具有自己专有操作系统的安全关键应用程序。所有分区都在用户模式下运行，不会影响稳定的内核模式。在此环境中可以使用许多操作系统或 RTE 个性。其中包括基于 POSIX、Ada 和 Linux 的那些，使开发人员能够将遗留代码干净地采用到下一代系统中。

　　已经定义和实现了许多技术来支持代码重用，以降低开发成本并有望将风险降至最低。直观地说，传统虚拟化提供了一个非常有效的概念，可以将旧软件与新软件混合在一起，但对于许多嵌入式应用程序来说，特别是当涉及实时行为时，则不足。此外，当安全和安保是强制性要求时，基于SSV概念的创新技术至关重要。

　　审核编辑：郭婷