引言

車載電子行業有著巨大的市場潛力，因為車主們期望將用在手機上面的某些應用軟件直接運行在自己的私家車上。但同時也面臨諸多挑戰，車載電子廠商需要滿足不同汽車型號的要求，而且即便是同一品牌的不同車型往往也需要不同的定制。如今的車主們都希望能夠像使用智能手機一樣隨心所欲地安裝或者刪除應用軟件。要將手機上使用的軟件移植到車載電子系統中，開發者必須面對一個嚴峻的挑戰，即第三方應用程序必須在一個隔離的環境中運行，以此來阻止對其他車載功能模塊的干擾，以及可能使車主信息泄露等威脅。同時，第三方應用軟件必須跟車載其他系統有效地結合起來，以便給用戶帶來更加完美的用戶體驗。最后，第三方軟件開發者必須針對車載系統的共同特征，開發一套公用平臺，以方便不同的汽車制造商進行移植，而且可以使同一個應用程序無縫隙地在不同的品牌的轎車上使用。

本文是對谷歌Android系統應用的一種創新擴展，它可以對第三方應用程序進行隔離，并使可信任的第三方應用程序有訪問汽車功能軟件層的權限，加強了對汽車安全的防范。

1 背景知識

人們直觀上感覺汽車內部的消費電子似乎只是提供同智能手機、PDA以及MP3類似的功能，但是由于其在使用時不可避免地要與汽車其他功能模塊接觸，所以車載娛樂電子比其他消費電子要更加復雜。一般情況下，汽車上面的大多數應用軟件都是廠商在汽車生產的時候已經固化好，它們一般會隨著汽車的報廢而報廢，所以其生命周期一般是手機或者MP3的5～10倍。這就要求車載電子設計公司支持對其出廠后的應用程序進行長期升級。但由于電子產品更新換代很快，僅靠軟件升級很大程度上提高了成本。

GENIVI聯盟去年同一些汽車巨頭、芯片設計巨頭、軟件開發公司等召開了一次大會，主要討論的是怎樣為車載電子產品建立一個標準公開的開發平臺。GENIVI提出開發一個可擴展的架構，可能會應用到下一代車載電子上面，它需要在以下方面進行努力：

①通過從開源社區以及專業軟件開發聯盟獲取無縫隙的軟件補丁以及插件，使其可以增加更多的內容和特點，并始終要考慮系統的安全性以及可靠性。

②增加車主和乘客的切身享受，并且盡量使其性價比更高，努力降低設備成本。

GENIVI的軟件架構利用英特爾的Moblin平臺作為框架，通過增加或者刪除組件來滿足特定汽車需求和使用。支持用戶自定義安裝應用程序正在討論，同時，許多可供選擇的平臺正在磋商中，谷歌的Android系統便是其中之一。

要強調的是，目前被GENIVI和Moblin重點強調支持的汽車電子硬件設備(CAN總線上網絡特定的設備)，當前在Android上卻未能實現。但由于Android對開源的大力支持，允許用戶對終端程序安裝并卸載，目前Moblin對這些功能尚未許可。

2 谷歌Android

2007年底，在谷歌主持召開的開放手機聯盟大會上，一個完全免費開放的手機平臺誕生了，其目標是要延伸到更為廣泛的硬件設備當中。谷歌Android基本的特點是其開放性，免費的SDK源碼開發者可以很容易下載得到，Google的號召力以及Android的開源性迅速促使開發者社區的形成。

Android是一個主要為手機設備提供的開發平臺，它包含一個系統內核、中間層和底層驅動以及一些綁定的應用程序。整個項目有Apache許可證版本2授權，因此移動運營商、軟件企業、任何開發人員可以添加或刪除功能。按照2．0范例協議，即使不是內容提供商，共享應用程序都是可能的。該平臺允許一些二次開發商根據自己的需要添加新的功能或者應用，所以可以很容易開發出豐富的端對端應用程序。

2．1 結構概述

Android系統架構由5部分組成：Linux內核、庫函數、Android運行態、應用程序框架、應用程序。

在線性架構的底層是Linux內核，基本上是Linux2．6．27版本。通過Linux內核為Android更新補丁，內核負責管理系統服務程序以及驅動模塊、內存管理、任務調度。根文件系統使用rootfs，而數據及文件使用YAFFS，它是專門為NAND和NOR存儲器設計驅動的文件系統。

應用程序框架和Android運行時態主要通過C／C++庫，這部分庫包括標準的C庫、多媒體庫、圖形界面庫、瀏覽器、字體庫以及數據庫。

Android運行態包括核心庫以及Java Dalvik虛擬機，Dalvik是一種允許在有限的內存上運行多進程的虛擬機，每一個程序運行在一個獨立的Linux進程里。

應用程序框架由許多類、接口、包組成。它的目的是提供一種簡單、連續的方式去管理圖形化用戶接口，訪問資源內存，收到通知，或者處理來電，主要的組成部分有可視系統、activity類管理、共享管理、資源管理、通知管理、電話管理。

2．2 安全性

Android內部進程通信以及安全性主要指在安裝第三方應用的情況下，盡可能保證系統的穩定性。底層的許可機制是由Linux內核以及文件系統提供的，基本上可以滿足基于Linux內核的其他系統。由于Android設備針對的是單用戶，因此多用戶服務的設備靠分配唯一的標識才能應用。

此外，Android是靜態的安全許可系統，它在程序安裝時被強制使用。

2．3 進程間的通信

Android有兩種進程間通信的模型：intent和code綁定。intent類框架提供上層的進程間通信，這是最好的方式，可以動態地利用SDK包進行開發，并與上層應用程式綁定。intent類包含了幾個用來描述調用者真正意圖的域，調用者發送intent給Android的intent解析器，And-roid系統將通過intent過濾器從所有的應用程序中選擇最適合處理該intent的activity類。intent域包含了期望的處理方式、類以及數據字符、數據的MIME類型。
intent能夠被用來觸發activities，發送數據給廣播并啟動相應的服務。安全性方面的限制主要通過Android系統提供的權限框架類來實現。