基于Android平臺(tái)的車載信息娛樂系統(tǒng)架構(gòu)研究

　　引言

　　車載電子行業(yè)有著巨大的市場(chǎng)潛力，因?yàn)檐囍鱾兤谕麑⒂迷谑謾C(jī)上面的某些應(yīng)用軟件直接運(yùn)行在自己的私家車上。但同時(shí)也面臨諸多挑戰(zhàn)，車載電子廠商需要滿足不同汽車型號(hào)的要求，而且即便是同一品牌的不同車型往往也需要不同的定制。如今的車主們都希望能夠像使用智能手機(jī)一樣隨心所欲地安裝或者刪除應(yīng)用軟件。要將手機(jī)上使用的軟件移植到車載電子系統(tǒng)中，開發(fā)者必須面對(duì)一個(gè)嚴(yán)峻的挑戰(zhàn)，即第三方應(yīng)用程序必須在一個(gè)隔離的環(huán)境中運(yùn)行，以此來(lái)阻止對(duì)其他車載功能模塊的干擾，以及可能使車主信息泄露等威脅。同時(shí)，第三方應(yīng)用軟件必須跟車載其他系統(tǒng)有效地結(jié)合起來(lái)，以便給用戶帶來(lái)更加完美的用戶體驗(yàn)。最后，第三方軟件開發(fā)者必須針對(duì)車載系統(tǒng)的共同特征，開發(fā)一套公用平臺(tái)，以方便不同的汽車制造商進(jìn)行移植，而且可以使同一個(gè)應(yīng)用程序無(wú)縫隙地在不同的品牌的轎車上使用。

　　本文是對(duì)谷歌Android系統(tǒng)應(yīng)用的一種創(chuàng)新擴(kuò)展，它可以對(duì)第三方應(yīng)用程序進(jìn)行隔離，并使可信任的第三方應(yīng)用程序有訪問汽車功能軟件層的權(quán)限，加強(qiáng)了對(duì)汽車安全的防范。

　　1 背景知識(shí)

　　人們直觀上感覺汽車內(nèi)部的消費(fèi)電子似乎只是提供同智能手機(jī)、PDA以及MP3類似的功能，但是由于其在使用時(shí)不可避免地要與汽車其他功能模塊接觸，所以車載娛樂電子比其他消費(fèi)電子要更加復(fù)雜。一般情況下，汽車上面的大多數(shù)應(yīng)用軟件都是廠商在汽車生產(chǎn)的時(shí)候已經(jīng)固化好，它們一般會(huì)隨著汽車的報(bào)廢而報(bào)廢，所以其生命周期一般是手機(jī)或者M(jìn)P3的5～10倍。這就要求車載電子設(shè)計(jì)公司支持對(duì)其出廠后的應(yīng)用程序進(jìn)行長(zhǎng)期升級(jí)。但由于電子產(chǎn)品更新?lián)Q代很快，僅靠軟件升級(jí)很大程度上提高了成本。

　　GENIVI聯(lián)盟去年同一些汽車巨頭、芯片設(shè)計(jì)巨頭、軟件開發(fā)公司等召開了一次大會(huì)，主要討論的是怎樣為車載電子產(chǎn)品建立一個(gè)標(biāo)準(zhǔn)公開的開發(fā)平臺(tái)。GENIVI提出開發(fā)一個(gè)可擴(kuò)展的架構(gòu)，可能會(huì)應(yīng)用到下一代車載電子上面，它需要在以下方面進(jìn)行努力：

　?、偻ㄟ^從開源社區(qū)以及專業(yè)軟件開發(fā)聯(lián)盟獲取無(wú)縫隙的軟件補(bǔ)丁以及插件，使其可以增加更多的內(nèi)容和特點(diǎn)，并始終要考慮系統(tǒng)的安全性以及可靠性。

　?、谠黾榆囍骱统丝偷那猩硐硎埽⑶冶M量使其性價(jià)比更高，努力降低設(shè)備成本。

　　GENIVI的軟件架構(gòu)利用英特爾的Moblin平臺(tái)作為框架，通過增加或者刪除組件來(lái)滿足特定汽車需求和使用。支持用戶自定義安裝應(yīng)用程序正在討論，同時(shí)，許多可供選擇的平臺(tái)正在磋商中，谷歌的Android系統(tǒng)便是其中之一。

　　要強(qiáng)調(diào)的是，目前被GENIVI和Moblin重點(diǎn)強(qiáng)調(diào)支持的汽車電子硬件設(shè)備(CAN總線上網(wǎng)絡(luò)特定的設(shè)備)，當(dāng)前在Android上卻未能實(shí)現(xiàn)。但由于Android對(duì)開源的大力支持，允許用戶對(duì)終端程序安裝并卸載，目前Moblin對(duì)這些功能尚未許可。

　　2 谷歌Android

　　2007年底，在谷歌主持召開的開放手機(jī)聯(lián)盟大會(huì)上，一個(gè)完全免費(fèi)開放的手機(jī)平臺(tái)誕生了，其目標(biāo)是要延伸到更為廣泛的硬件設(shè)備當(dāng)中。谷歌Android基本的特點(diǎn)是其開放性，免費(fèi)的SDK源碼開發(fā)者可以很容易下載得到，Google的號(hào)召力以及Android的開源性迅速促使開發(fā)者社區(qū)的形成。

　　Android是一個(gè)主要為手機(jī)設(shè)備提供的開發(fā)平臺(tái)，它包含一個(gè)系統(tǒng)內(nèi)核、中間層和底層驅(qū)動(dòng)以及一些綁定的應(yīng)用程序。整個(gè)項(xiàng)目有Apache許可證版本2授權(quán)，因此移動(dòng)運(yùn)營(yíng)商、軟件企業(yè)、任何開發(fā)人員可以添加或刪除功能。按照2.0范例協(xié)議，即使不是內(nèi)容提供商，共享應(yīng)用程序都是可能的。該平臺(tái)允許一些二次開發(fā)商根據(jù)自己的需要添加新的功能或者應(yīng)用，所以可以很容易開發(fā)出豐富的端對(duì)端應(yīng)用程序。

　　2.1 結(jié)構(gòu)概述

　　Android系統(tǒng)架構(gòu)由5部分組成：Linux內(nèi)核、庫(kù)函數(shù)、Android運(yùn)行態(tài)、應(yīng)用程序框架、應(yīng)用程序。

　　在線性架構(gòu)的底層是Linux內(nèi)核，基本上是Linux2.6.27版本。通過Linux內(nèi)核為Android更新補(bǔ)丁，內(nèi)核負(fù)責(zé)管理系統(tǒng)服務(wù)程序以及驅(qū)動(dòng)模塊、內(nèi)存管理、任務(wù)調(diào)度。根文件系統(tǒng)使用rootfs，而數(shù)據(jù)及文件使用YAFFS，它是專門為NAND和NOR存儲(chǔ)器設(shè)計(jì)驅(qū)動(dòng)的文件系統(tǒng)。

　　應(yīng)用程序框架和Android運(yùn)行時(shí)態(tài)主要通過C/C++庫(kù)，這部分庫(kù)包括標(biāo)準(zhǔn)的C庫(kù)、多媒體庫(kù)、圖形界面庫(kù)、瀏覽器、字體庫(kù)以及數(shù)據(jù)庫(kù)。

　　Android運(yùn)行態(tài)包括核心庫(kù)以及Java Dalvik虛擬機(jī)，Dalvik是一種允許在有限的內(nèi)存上運(yùn)行多進(jìn)程的虛擬機(jī)，每一個(gè)程序運(yùn)行在一個(gè)獨(dú)立的Linux進(jìn)程里。

　　應(yīng)用程序框架由許多類、接口、包組成。它的目的是提供一種簡(jiǎn)單、連續(xù)的方式去管理圖形化用戶接口，訪問資源內(nèi)存，收到通知，或者處理來(lái)電，主要的組成部分有可視系統(tǒng)、activity類管理、共享管理、資源管理、通知管理、電話管理。

　　2.2 安全性

　　Android內(nèi)部進(jìn)程通信以及安全性主要指在安裝第三方應(yīng)用的情況下，盡可能保證系統(tǒng)的穩(wěn)定性。底層的許可機(jī)制是由Linux內(nèi)核以及文件系統(tǒng)提供的，基本上可以滿足基于Linux內(nèi)核的其他系統(tǒng)。由于Android設(shè)備針對(duì)的是單用戶，因此多用戶服務(wù)的設(shè)備靠分配唯一的標(biāo)識(shí)才能應(yīng)用。

　　此外，Android是靜態(tài)的安全許可系統(tǒng)，它在程序安裝時(shí)被強(qiáng)制使用。

　　2.3 進(jìn)程間的通信

　　Android有兩種進(jìn)程間通信的模型：intent和code綁定。intent類框架提供上層的進(jìn)程間通信，這是最好的方式，可以動(dòng)態(tài)地利用SDK包進(jìn)行開發(fā)，并與上層應(yīng)用程式綁定。intent類包含了幾個(gè)用來(lái)描述調(diào)用者真正意圖的域，調(diào)用者發(fā)送intent給Android的intent解析器，And-roid系統(tǒng)將通過intent過濾器從所有的應(yīng)用程序中選擇最適合處理該intent的activity類。intent域包含了期望的處理方式、類以及數(shù)據(jù)字符、數(shù)據(jù)的MIME類型。

　　intent能夠被用來(lái)觸發(fā)activities，發(fā)送數(shù)據(jù)給廣播并啟動(dòng)相應(yīng)的服務(wù)。安全性方面的限制主要通過Android系統(tǒng)提供的權(quán)限框架類來(lái)實(shí)現(xiàn)。

　　每個(gè)程序運(yùn)行在自身的進(jìn)程里，但開發(fā)者能夠?qū)懸粋€(gè)服務(wù)運(yùn)行在不同的進(jìn)程中，一些對(duì)象在進(jìn)程間傳遞也是允許的。在Android平臺(tái)上，一個(gè)進(jìn)程通常不能進(jìn)入其他進(jìn)程內(nèi)存。因此，兩個(gè)進(jìn)程間如果相互通信，需要把他們的對(duì)象分解成操作系統(tǒng)可以識(shí)別的基礎(chǔ)類型，并且通過進(jìn)程的邊界來(lái)控制對(duì)象。附帶SDK的AIDL工具自動(dòng)生成控制代碼段，AIDL是用來(lái)生成在兩個(gè)進(jìn)程之間通信代碼的一種接口描述語(yǔ)言。AIDL IPC機(jī)制就是使用代理類在客戶端和實(shí)現(xiàn)端傳遞參數(shù)。

　　3 Android應(yīng)用在車載電子的一種架構(gòu)

　　Android擴(kuò)展了汽車的總體結(jié)構(gòu)，基本架構(gòu)如圖1所示，自定義的Android平臺(tái)應(yīng)用在汽車功能模塊和支持組件的一邊。這種擴(kuò)展的目的是提供一種允許可信任的應(yīng)用程序訪問汽車功能模塊(車輛制動(dòng)、轉(zhuǎn)向或電力傳動(dòng)分配)的安全機(jī)制，而不可信任的程序被隔離并且不可以訪問。應(yīng)用程序之間的這種強(qiáng)制性的安全策略是源于可靠性要求的IVI系統(tǒng)。通過汽車管理類可信任應(yīng)用程序有機(jī)會(huì)訪問一些特性(CAN總線)，但處理不當(dāng)也可能危及車輛安全(例如通過連續(xù)發(fā)送無(wú)效的數(shù)據(jù)幀使得CAN總線帶寬飽和)。這種方案的主要特點(diǎn)是使上層邏輯去耦合，那樣就可以方便上層應(yīng)用獲取并處理來(lái)自底層數(shù)據(jù)。

　　3.1 汽車管理模塊

　　從上圖可知，汽車管理模塊可以看成是負(fù)責(zé)車載應(yīng)用程序與Android底層交互的一個(gè)中間類庫(kù)，只有通過它，車載應(yīng)用程序才可以獲取相應(yīng)底層數(shù)據(jù)。

　　它有兩個(gè)接口：一個(gè)是對(duì)應(yīng)于應(yīng)用程序而另一個(gè)是對(duì)應(yīng)平臺(tái)的組件，它是在Android SDK上面開發(fā)的并且擁有平臺(tái)認(rèn)證的一款應(yīng)用程序。因?yàn)檫@個(gè)管理類不屬于平臺(tái)本身，所以用戶在沒有專業(yè)人員幫助時(shí)不能自行更新。

　　3.2 與應(yīng)用程序之間的交互

　　Android是基于不透明的IPC之間的通信模型。應(yīng)用程序?qū)⑵涔δ芙唤o操作系統(tǒng)，在運(yùn)行時(shí)，其他的應(yīng)用程序可以獲得他們的功能。基本上，平臺(tái)提供了后期管理和維護(hù)代碼的能力，這種模型也可以用于在第三方應(yīng)用程序和汽車管理類之間的交互。

　　汽車管理類處理汽車功能模塊通過屬性android.permission.car.speed.read和android.permission.car.speed.write。對(duì)于每一個(gè)屬性(例如汽車總線發(fā)送實(shí)時(shí)速度)，Android提供兩種權(quán)限，創(chuàng)建并且指派給管理類。

　　利用預(yù)先定義的安全級(jí)別，它可以指定不同安全級(jí)別擁有以下的權(quán)限：

　　①所有的。任何人可以訪問應(yīng)用程序

　　②通常情況。訪問是有權(quán)限決定的，但是一些應(yīng)用程序的權(quán)限沒有具體指出權(quán)限人;在程序安裝后，權(quán)限會(huì)被手動(dòng)設(shè)置。

　?、畚ｋU(xiǎn)。訪問時(shí)有權(quán)限限制的，用戶在安裝時(shí)必須有詳盡的安全許可。

　?、芎灻?。訪問是有權(quán)限限制的，只要應(yīng)用程序獲得平臺(tái)的認(rèn)證，那么權(quán)限就會(huì)自動(dòng)同意。

　　平臺(tái)認(rèn)證就是車載設(shè)計(jì)商在開發(fā)設(shè)計(jì)過程中使用的簽署平臺(tái)。它也用于簽署汽車管理類。如果一個(gè)第三方申請(qǐng)了此證書，它就具有完整的控制汽車擴(kuò)展(事實(shí)上汽車管理類只是一個(gè)簽署應(yīng)用平臺(tái)證書的應(yīng)用程序)。通過以下屬性定義的汽車功能，能夠通過高級(jí)別的AIDL接口去訪問：

　　這種讀/寫的方式允許通過輸入/輸出來(lái)訪問屬性的值。通過增加或者刪除監(jiān)聽器的方法來(lái)允許注冊(cè)或者取消相關(guān)的回調(diào)函數(shù)，該通知的屬性值是可以改變的。汽車管理類繼承了此接口。個(gè)人的電話是要被Android權(quán)限相關(guān)的屬性核實(shí)的，如果來(lái)電者是被允許執(zhí)行的，那么汽車管理類進(jìn)程會(huì)自動(dòng)處理，否則就會(huì)拋出一個(gè)異常。

　　在開發(fā)應(yīng)用時(shí)，開發(fā)者需要知道其屬性名稱以及數(shù)據(jù)的類型才能夠開發(fā)第三方應(yīng)用程序。而且所有的交互發(fā)生在先前的AIDL接口。這就意味著，多虧Android系統(tǒng)的架構(gòu)，開發(fā)者并不需要了解整個(gè)SDK而是只要知道AIDL文件定義的電話屬性和AIDL文件描述的回調(diào)函數(shù)。而且，如果不同的IVI來(lái)自不同的生產(chǎn)商，但有著相同的屬性功能，那么第三方應(yīng)用程序使用這樣的屬性能夠無(wú)縫隙地運(yùn)行在IVI上。

　　為了證實(shí)以上架構(gòu)的實(shí)用性，開發(fā)了一塊實(shí)現(xiàn)完整功能的工作模塊，由自定義的Android發(fā)布版的概念驗(yàn)證組成。該模塊已經(jīng)通過Andr-oid模擬器的測(cè)試，基于ARM處理器，自定制模式的典型功能和IVI上面的用戶界面，并在有英特爾Atom處理器的上網(wǎng)本上運(yùn)行。

　　結(jié)語(yǔ)

　　本文概述了車載電子系統(tǒng)的相關(guān)知識(shí)，并介紹了Google Android系統(tǒng)背景知識(shí);設(shè)計(jì)了一個(gè)基于Android架構(gòu)的車載電子可擴(kuò)展平臺(tái)，以適應(yīng)個(gè)性化汽車發(fā)展的需要。下一步的工作是引導(dǎo)該系統(tǒng)運(yùn)行在自定義硬件上，并獲取實(shí)時(shí)的汽車數(shù)據(jù)。

linux操作系統(tǒng)文章專題：linux操作系統(tǒng)詳解（linux不再難懂）