一文带你全面了解Android 虚拟化框架（AVF）

探索Android虚拟化框架（AVF）：为移动设备打造坚不可摧的盾牌

在这个数字化时代，移动设备的安全性变得尤为重要。随着个人和企业数据越来越多地在移动设备上处理和存储，保护这些设备免受恶意软件和攻击者的威胁成为了一个重要议题。Android虚拟化框架（AVF）正是为了应对这一挑战而生。今天，我们将深入探讨AVF如何通过其先进的安全模型，为移动设备提供坚不可摧的保护。

AVF安全模型概览

AVF提供了一个安全且私密的执行环境，用于执行代码。它适用于需要比传统Android应用沙盒更高安全保障的场景，甚至可以提供经过正式验证的隔离保证。
AVF的架构包括多个组件，如apexd、zipfuse、authfs、binder、crosvm、通用内核映像（GKI）、Hypervisor、Java API、Microdroid、Microdroid 管理器、原生API、pKVM、pVM 固件（pvmfw）和受保护的虚拟机（pVM）。

• apexd 和 zipfuse：安全地装载从主机导入的APEX和APK文件。
• authfs：一个融合文件系统，用于在Android和pVM之间安全地共享文件。
• binder：虚拟机间通信的主要方式。
• crosvm：一个用Rust编写的虚拟机监视器，负责分配虚拟机内存、创建虚拟CPU线程和实现虚拟设备的后端。
• 通用内核映像 (GKI)：一个经过Google认证的启动映像，基于Android通用内核（ACK）构建。
• Hypervisor：AVF使用的虚拟化技术，也称为pKVM，即使主机Android或任何其他pVM遭到入侵，也能保持代码的完整性和pVM资源的机密性。
• Java API：VirtualizationService Java API，提供对AVF功能的访问。
• Microdroid：在pVM中运行的迷你版Android OS，提供更丰富的环境。
• Microdroid 管理器：管理pVM的生命周期和实例磁盘。
• 原生API：Android原生开发者套件（NDK）的子集。
• pKVM：基于内核的受保护虚拟机，由Hypervisor管理。
• pVM 固件 (pvmfw)：在pVM上运行的第一个代码，负责验证载荷并推导每个虚拟机的Secret。
• 受保护的虚拟机 (pVM)：一种与主Android操作系统并行运行的隔离执行环境，由pKVM管理。
  目前，AVF仅支持ARM64设备，Google提供了实现AVF所需的所有组件的参考实现。与现有的可信执行环境（TEE）相比，pVM提供了一个更丰富的环境，并且可以动态使用。它还提供了一组标准API，供所有支持它的设备使用。
  VirtualizationService是一个Android服务，负责管理pVM的生命周期。
  AVF的设计重点在于安全性，提供了隔离的执行环境，以防止潜在的安全威胁。
  综上所述，AVF是一个为Android设备提供的高级虚拟化框架，它通过创建隔离的执行环境来增强安全性和私密性，特别适合于需要高安全保障的应用场景。AVF的架构设计考虑了安全性、私密性和灵活性，使其成为Android平台上一个强大的工具。
  

深入Android虚拟化框架（AVF）架构

Android虚拟化框架（AVF）的架构设计是其提