ตั้งแต่วันที่ 27 มีนาคม 2025 เป็นต้นไป เราขอแนะนำให้ใช้ android-latest-release แทน aosp-main เพื่อสร้างและมีส่วนร่วมใน AOSP โปรดดูข้อมูลเพิ่มเติมที่หัวข้อการเปลี่ยนแปลงใน AOSP

หน้านี้ได้รับการแปลโดย Cloud Translation API

เหตุผลที่ควรใช้ AVF

อุปกรณ์คอมพิวเตอร์เคลื่อนที่มีการจัดการข้อมูลที่มีความละเอียดอ่อนเกี่ยวกับบุคคลในปริมาณที่มากขึ้นเรื่อยๆ การมีข้อมูลที่ละเอียดอ่อนดังกล่าวและการเชื่อมต่อกับโลกภายนอกอย่างต่อเนื่องส่งผลให้ผู้ไม่ประสงค์ดีที่ต้องการแสวงหาประโยชน์จากช่องโหว่เพื่อบรรลุเป้าหมายของตนมีการลงทุนมากขึ้น

ระบบปฏิบัติการจะจัดเตรียมการแยกแยะระดับนามธรรมที่แยกกระบวนการที่ไม่เกี่ยวข้องออกจากกันด้วยความช่วยเหลือจากหน่วยการจัดการหน่วยความจำ (MMU) ของฮาร์ดแวร์ มีเพียงคอมโพเนนต์ที่เป็นส่วนหนึ่งของฐานคอมพิวเตอร์ที่เชื่อถือได้ (TCB) เท่านั้นที่อนุญาตให้โปรแกรม MMU เหล่านี้ได้โดยตรง

โมเดลนี้เป็นรากฐานของวิธีใช้ความเป็นส่วนตัวและการรักษาความปลอดภัยนับตั้งแต่การเปิดตัวระบบปฏิบัติการที่คล้าย Unix อย่างไรก็ตาม ข้อกำหนดนี้ทำให้เกิดปัญหาเนื่องจาก TCB ในปัจจุบันมีขนาดใหญ่เกินไป ซึ่งรวมถึงไดรเวอร์อุปกรณ์และบัสส่วนใหญ่ ตัวจัดตารางเวลาที่ซับซ้อน ระบบไฟล์ สแต็กเครือข่ายและโปรโตคอล แคช โปรแกรมแยกวิเคราะห์และโหลดไฟล์ที่เรียกใช้งานได้ รวมถึงซ็อกเก็ต การตรวจสอบว่าทุกซอกทุกมุมของระบบที่ซับซ้อนนี้ปลอดภัยนั้นเป็นเรื่องยากมาก

ลินุกซ์เคอร์เนลมีโค้ดมากกว่า 20 ล้านบรรทัด และอัตราการเปลี่ยนแปลงและการเขียนใหม่นั้นน่าทึ่ง การเติบโตนี้ช่วย Android และระบบนิเวศของเราเป็นอย่างมาก อย่างไรก็ตาม TCB ที่ใหญ่ทำให้ตรวจสอบได้ว่าไม่มีช่องโหว่ที่ใช้ประโยชน์ได้

ผู้ให้บริการฮาร์ดแวร์ได้พัฒนาโซลูชันต่างๆ เช่น TrustZone ของ Arm ซึ่งช่วยให้โปรเซสเซอร์ทำงานในโหมดที่ปลอดภัยและติดแท็กธุรกรรมหน่วยความจำเป็น "ปลอดภัย" หรือ "ไม่ปลอดภัย" ในระบบดังกล่าว ข้อมูลที่ละเอียดอ่อนจะจัดเก็บอยู่ในและพร้อมให้บริการโดยตรงในโลกที่ปลอดภัยเท่านั้น ซึ่งให้บริการแก่โลกที่ไม่ปลอดภัยตามคําขอ

ข้อจํากัดหลักของโซลูชันประเภทนี้คือโดเมนมีความละเอียดไม่มากพอ นั่นคือมีเพียง "ปลอดภัย" และ "ไม่ปลอดภัย" เมื่อมีการเปิดตัว Use Case เพิ่มเติมที่ต้องมีการแยกออกจากระบบปฏิบัติการ พื้นผิวการโจมตีก็จะเพิ่มขึ้นและช่องโหว่มีแนวโน้มที่จะนำไปสู่การประนีประนอมทั้งอุปกรณ์

ข้อจํากัดอีกประการหนึ่งของโซลูชันในปัจจุบันคือโซลูชันเหล่านี้ออกแบบมาสําหรับโลกที่ค่อนข้างคงที่ ซึ่งมีการระบุและจัดสรรทรัพยากร Use Case ทั้งหมดไว้ล่วงหน้า โซลูชันเหล่านี้ไม่เหมาะสําหรับกรณีการใช้งานแบบไดนามิกซึ่งมีการกําหนดทรัพยากรตามคําขอ

นอกจากนี้ API ที่ใช้นอกระบบปฏิบัติการ Android ยังมีความกระจัดกระจายและจํากัดความสามารถของเราในการใช้งานกรณีการใช้งานในวงกว้างของ Android รวมถึงพื้นฐานต่างๆ เช่น Keymint และ Gatekeeper

Android 13 เปิดตัวการจำลองเสมือนที่ปลอดภัยเป็น Android Virtualization Framework (AVF) เพื่อจัดการข้อจำกัดเหล่านี้และช่วยให้ Android เป็นรากฐานที่แข็งแกร่งสำหรับกรณีการใช้งานรุ่นถัดไป

เป้าหมายหลักของ AVF คือการสร้างสภาพแวดล้อมการเรียกใช้ที่ปลอดภัยและเป็นส่วนตัวสําหรับ Use Case รุ่นถัดไป