近日，理想汽車發(fā)布了《理想星環(huán) OS 技術(shù)架構(gòu)白皮書 v1.0》，本文將其核心的技術(shù)內(nèi)容做了梳理呈現(xiàn)，包括：通信中間件、智能車控OS、智能駕駛OS、虛擬化引擎、信息安全。

#01

1.1 系統(tǒng)說明

星環(huán) OS 通信總線（VBS ，Vehicle Bus System）是專為智能汽車領(lǐng)域打造的高效數(shù)據(jù)交互通信平臺。該平臺依托標(biāo)準(zhǔn)化的通信協(xié)議、模塊化架構(gòu)以及卓越的實時數(shù)據(jù)傳輸能力，為整車電子電氣系統(tǒng)構(gòu)建起一條實時且可靠的信息高速公路。憑借這一平臺，智能駕駛、動力控制、信息娛樂、主動安全等關(guān)鍵服務(wù)得以實現(xiàn)無縫協(xié)同，為智能汽車的高效運行與功能拓展提供堅實保障。通信中間件的系統(tǒng)架構(gòu)如下圖所示：

1.2 核心技術(shù)特性

1.2.1 支持全域統(tǒng)一部署

新一代電子電氣架構(gòu)給車載通信中間件帶來兩大技術(shù)難題：一方面，智能駕駛系統(tǒng)要求海量傳感器數(shù)據(jù)能在毫秒級內(nèi)確定性傳輸；另一方面，車控域芯片算力與存儲空間有限，卻需部署管理數(shù)百個通信主題（topic）。當(dāng)前行業(yè)內(nèi)的通信中間件僅能在限定域場景下解決部分問題，導(dǎo)致車載場景全域系統(tǒng)部署時通信協(xié)議割裂，工程化管理與維護成本很高。星環(huán) OS 通信中間件基于車載場景實現(xiàn)定制化的 DDS 通信協(xié)議，實現(xiàn)面向 MCU 的輕量化設(shè)計，構(gòu)建起真正全域統(tǒng)一的通信基座，核心特點如下：

• VBS Pro 版本： 運用無鎖化設(shè)計與自適應(yīng)序列化 / 反序列化等技術(shù)，實現(xiàn)跨進程零拷貝數(shù)據(jù)傳輸，提升數(shù)據(jù)傳輸效率；通過發(fā)送端消息過濾與定頻消息去重等機制，有效減少無效數(shù)據(jù)傳輸。

• VBS Lite 版本： 借助自定義通信協(xié)議、傳輸通道智能合并、邏輯通信端點等技術(shù)創(chuàng)新，降低對系統(tǒng)內(nèi)存占用，滿足了各類資源受限MCU 部署場景需求。

• 通用特性：VBS Pro 版本與 VBS Lite 版本均采用統(tǒng)一的跨域數(shù)據(jù)傳輸協(xié)議，這使得全域通信無需進行復(fù)雜的多協(xié)議間交互 ，簡化了通信流程，提升了系統(tǒng)整體的兼容性與易用性。

1.2.2 多傳輸協(xié)議自適應(yīng)

在車載汽車領(lǐng)域，業(yè)務(wù)功能部署存在無序性，而且底層介質(zhì)協(xié)議呈現(xiàn)多樣化，涉及以太網(wǎng)、CAN、共享內(nèi)存等多種介質(zhì)。在傳統(tǒng)方案中，針對每種傳輸介質(zhì)都需要定制獨立的協(xié)議棧，應(yīng)用程序也必須分別適配不同的協(xié)議棧，這無疑大幅增加了開發(fā)的復(fù)雜性與成本。為了解決上述難題，星環(huán) OS 通信中間件設(shè)計實現(xiàn)了多傳輸協(xié)議自適應(yīng)方案，支撐業(yè)務(wù)使用統(tǒng)一接口層，底層可在跨芯片、芯片內(nèi)異構(gòu)核之間、 核內(nèi)多進程之間等不同場景下，自適應(yīng)匹配到底層以太網(wǎng)、CAN、共享內(nèi)存等傳輸介質(zhì)上，從而有效簡化開發(fā)流程，具體如下圖所示：

1.2.3 可靠性機制增強

星環(huán) OS 通信中間件不僅支持 E2E 校驗、丟包重傳、按序到達以及網(wǎng)絡(luò)擁塞控制等基礎(chǔ)傳輸可靠性保障機制，還實現(xiàn)了多路冗余傳輸方案、共享內(nèi)存異常無感恢復(fù)等可靠性增強方案，確保關(guān)鍵指令（如主動安全相關(guān)指令）能夠可靠到達，同時實現(xiàn)傳輸?shù)脱舆t，以適應(yīng)嚴(yán)苛的車規(guī)級環(huán)境。其中多路冗余傳輸方案的原理如下圖所示：

1.2.4 多層級安全防護

星環(huán) OS 通信中間件基于車載場景進行安全防護增強，實現(xiàn)三級安全防護，如下所示：

• 設(shè)備級：采用一機一密 PKI 身份認證機制，確保非法設(shè)備無法探測到授權(quán)設(shè)備所提供的服務(wù)，從源頭上阻止非授權(quán)設(shè)備接入網(wǎng)絡(luò)，保障設(shè)備層面的安全。

• 應(yīng)用級：通過對通信實體應(yīng)用進行權(quán)限控制，只有經(jīng)過簽名的可信應(yīng)用之間才能建立通信，有效防止非可信應(yīng)用干擾或竊取通信數(shù)據(jù)，保障通信過程的安全性與可靠性。

• 數(shù)據(jù)級：運用會話級數(shù)據(jù)加密技術(shù)，即使報文被中間人截獲，由于缺乏有效的解密密鑰，也無法獲取原文內(nèi)容，全方位保障數(shù)據(jù)在傳輸過程中的保密性。

  
  

#02

2.1 系統(tǒng)說明

智能車控 OS（VCOS: Vehicle Control Operating System）是面向車輛控制的操作系統(tǒng)，支撐智能汽車高安全、高實時的核心車控業(yè)務(wù)部署。系統(tǒng)通過硬實時調(diào)度架構(gòu)確保動力控制、底盤控制等關(guān)鍵任務(wù)精準(zhǔn)響應(yīng)，實現(xiàn)感知與決策系統(tǒng)的高效協(xié)同，構(gòu)建從硬件到軟件的全鏈路安全防護體系。智能車控 OS 在實時性、確定性和功能安全等維度顯著領(lǐng)先業(yè)內(nèi)系統(tǒng)，并配備覆蓋開發(fā)調(diào)試、仿真驗證的可視化工具鏈，有效提升車企在智能控制系統(tǒng)開發(fā)、測試及迭代的效率。智能車控 OS 的系統(tǒng)架構(gòu)如下圖所示：

2.2 核心技術(shù)特性

2.2.1 全方位軟硬解耦

智能車控系統(tǒng)硬件選型的復(fù)雜性曾是制約快速迭代的瓶頸，為應(yīng)對這一挑戰(zhàn)，智能車控 OS 采用了徹底的軟硬件解耦策略。內(nèi)部設(shè)計實現(xiàn)了一個邏輯清晰、交互間接的芯片抽象層，通過多維度抽象建模（覆蓋 CPU、驅(qū)動、編譯等），有效屏蔽了底層硬件差異，為上層系統(tǒng)提供了一致且穩(wěn)定的視圖。這種“隔離”設(shè)計使得適配新硬件時，把原本需要的絕大部分修改提取到抽象層內(nèi)部，并借助自動化代碼生成工具，適配工作量被大幅削減。這使得車企能夠?qū)⑦^去長達數(shù)月的芯片適配周期縮短至 4 周，顯著提升了芯片選擇靈活性，為供應(yīng)鏈的韌性提供了堅實保障，架構(gòu)原理圖如下：

2.2.2 尋優(yōu)算法保障硬實時

在復(fù)雜的跨域分布式場景中，會出現(xiàn)各種端到端實時性不達標(biāo)的狀況。智能車控OS 在傳統(tǒng)硬實時內(nèi)核上進行了進一步強化，并借助一體化工具鏈和全局尋優(yōu)算法支撐，進一步提升跨系統(tǒng)交互的端到端實時性，其核心能力如下：

• 硬實時內(nèi)核：實現(xiàn)了微秒級中斷處理和任務(wù)切換，保證極低且可預(yù)測的中斷延遲與切換開銷；基于搶占式優(yōu)先級調(diào)度策略，最大限度減少任務(wù)阻塞與不確定性。

• 一體化工具鏈：提供端到端時序分析與驗證功能，協(xié)助開發(fā)者在設(shè)計階段分析復(fù)雜系統(tǒng)的實時性表現(xiàn)；基于全局尋優(yōu)算法生成最優(yōu)系統(tǒng)配置 ，并確保系統(tǒng)可以按照優(yōu)化后系統(tǒng)配置執(zhí)行，將“事后調(diào)試”轉(zhuǎn)化為“設(shè)計階段保障”。

  
  

2.2.3 全鏈路壓縮通信時延

完成一次遠端服務(wù)訪問過程中，協(xié)議傳輸層和系統(tǒng)任務(wù)調(diào)度層的各個環(huán)節(jié)處理都會影響到最終用戶接口的訪問時延。因此智能車控 OS 內(nèi)部基于自研確定性網(wǎng)絡(luò)、輕量化協(xié)議棧、協(xié)議棧多核部署等關(guān)鍵技術(shù)，大幅縮短了遠端訪問時延。在跨域控制器傳感器資源共享的部分典型場景下，端到端訪問時延減少 90%，實現(xiàn)與本地設(shè)備基本一致的訪問效果 ，優(yōu)化效果如下：

2.2.4 多維度存儲資源優(yōu)化

傳統(tǒng) OS 通過一些零散功能點做存儲資源優(yōu)化，沒有形成全流程閉環(huán)的優(yōu)化邏輯，難以持續(xù)迭代優(yōu)化。智能車控 OS 通過建立資源消耗模型，借助智能車控 OS 的資源分析工具，并結(jié)合資源池化等諸多優(yōu)化機制，形成全流程可持續(xù)的優(yōu)化方案，將 OS的資源開銷相比行業(yè)領(lǐng)先方案優(yōu)化 30%，具體方案與效果如下圖所示：

2.2.5 輕量級安全隔離

傳統(tǒng)操作系統(tǒng)常采用內(nèi)核級縱向隔離，不僅資源開銷大，且高度依賴特定硬件功能，例如復(fù)雜的 MMU 配置等。智能車控 OS 創(chuàng)新地在解耦底層硬件特殊功能的依賴基礎(chǔ)上，構(gòu)建了一套輕量級軟件解耦框架。該框架實現(xiàn)了核與核、系統(tǒng)軟件間、以及應(yīng)用層級間的三種縱向隔離機制，充分滿足車載業(yè)務(wù)在功能隔離與獨立復(fù)位方面的核心需求，通過最大化的輕量化設(shè)計，實現(xiàn)隔離安全性與資源效率間的最佳平衡，具體原理和效果如下圖所示：

#03

3.1 系統(tǒng)說明

智能駕駛 OS 是為智能駕駛場景打造的專用操作系統(tǒng)。系統(tǒng)內(nèi)部對底層圖像處理、AI 推理加速、視頻編解碼等專用硬件能力進行高效封裝，在最大化釋放底層硬件性能的同時，向上層應(yīng)用提供一套簡潔易用的接口，助力上層系統(tǒng)聚焦于業(yè)務(wù)與算法的實現(xiàn)，快速實現(xiàn)產(chǎn)品的迭代演進。同時，智能駕駛 OS 系統(tǒng)在異構(gòu)圖調(diào)度確定性、軟硬協(xié)同的故障診斷與恢復(fù)機制等方面采用了諸多創(chuàng)新性設(shè)計，為智能駕駛場景提供了卓越的實時性、確定性和安全性保障。智能駕駛 OS 還同步提供了配套開發(fā)的仿真、調(diào)試和可觀測性等完整工具鏈，顯著提升開發(fā)者在開發(fā)、測試及維護階段的工作效率。

智能駕駛 OS 的系統(tǒng)架構(gòu)如下圖所示：

3.2 核心技術(shù)特性

3.2.1 低時延圖像預(yù)處理

圖像預(yù)處理為智能駕駛端側(cè)系統(tǒng)提供核心輸入信息，其重要性不言而喻。 由于預(yù)處理產(chǎn)生的圖像質(zhì)量、時延及穩(wěn)定性直接決定了整個智駕系統(tǒng)的性能表現(xiàn)，因此該處理系統(tǒng)構(gòu)成了智駕 OS 內(nèi)部的關(guān)鍵功能。為了確保最優(yōu)效果，智能駕駛 OS 的圖像預(yù)處理子系統(tǒng)會基于用戶配置的多路圖像組，動態(tài)地規(guī)劃圖像傳感器到專用處理硬件（IP）的計算流水線，從而保障最低的端到端處理時延。其工作原理如下圖所示：

3.2.2 基于車端優(yōu)化 AI 推理

智能汽車中 AI 模型推理的應(yīng)用日益增多，遍及車控、智駕等多個領(lǐng)域，導(dǎo)致模型數(shù)量不斷增長。然而，不同領(lǐng)域業(yè)務(wù)對 AI 推理在資源占用、實時性、確定性和安全性方面的要求差異巨大，這使得 AI 算力推理加速變得異常復(fù)雜。為了應(yīng)對這些挑戰(zhàn)，智能駕駛 OS 開發(fā)的 AI 推理子系統(tǒng)通過多層級 AI 計算資源預(yù)編排以及多種內(nèi)置調(diào)度模式（例如：子模型調(diào)度、優(yōu)先級調(diào)度、時空資源調(diào)度等）相結(jié)合的方式，能夠根據(jù)具體場景靈活選擇策略，有效滿足端側(cè) AI 推理的需求。其架構(gòu)原理如下圖所示：

3.2.3 端到端確定性調(diào)度能力

作為智能駕駛系統(tǒng)的關(guān)鍵底座之一，智駕 OS 致力于實現(xiàn)兩大核心目標(biāo)： 極致的性能表現(xiàn)與關(guān)鍵鏈路執(zhí)行的嚴(yán)格確定性。后者不僅體現(xiàn)在極低的時延抖動，更要求執(zhí)行過程確定且可回放，這是最大限度保障行車安全與生命安全的基礎(chǔ)。為實現(xiàn)這一確定性，智駕 OS 會構(gòu)建覆蓋從傳感器輸入到控制器輸出全過程的異構(gòu)計算任務(wù)圖，并將任務(wù)精確映射、分配至底層硬件單元，有效管理資源競爭，最終確保端到端調(diào)度的可預(yù)測性。核心原理的簡化架構(gòu)如下：

3.2.4 定制化的智駕 Linux 內(nèi)核

在智能駕駛領(lǐng)域，定制化 Linux 內(nèi)核具有關(guān)鍵作用。由于智能駕駛系統(tǒng)對實時性、可靠性、安全性及特定硬件支持的要求極高，標(biāo)準(zhǔn)通用 Linux 內(nèi)核通常難以滿足這些需求，因此需要進行深度定制和功能增強，以構(gòu)建適用于智能駕駛場景的系統(tǒng)內(nèi)核。

定制化智駕 Linux 內(nèi)核主要采用以下核心技術(shù)方案：

• 實時性和性能提升：采用定制化內(nèi)核混合搶占模型，提升智能駕駛場景的調(diào)度實時性；支持可編程調(diào)度算法擴展，滿足車載多樣化業(yè)務(wù)需求，全方位優(yōu)化性能表現(xiàn)。

• 極致資源利用與管控：采用用戶無感知的智能內(nèi)存分級卸載器有效減少內(nèi)存占用，配合動態(tài)大頁技術(shù)和優(yōu)化的頁面回收算法，顯著提升內(nèi)存管理效率。

• 高可靠的健康管理：采用實時高效的健康診斷框架，為智能駕駛業(yè)務(wù)提供實時功能安全(FHTI)保障，包括軟硬件故障的精確定位能力、故障嚴(yán)重等級和功能狀態(tài)診斷評估以及保障系統(tǒng)可用性的多級故障處理機制。

#04

4.1 系統(tǒng)說明

星環(huán) OS 虛擬化引擎（LiVisor）是用于構(gòu)建車端 AI 計算中心的虛擬化底座，它通過對 CPU、內(nèi)存、NPU 以及 I/O 外設(shè)進行資源池化管理與安全隔離，在集中式硬件平臺上支持車端智能駕駛、智能車控等多域業(yè)務(wù)的并發(fā)運行與協(xié)同。在底層充分結(jié)合硬件特性進行軟硬聯(lián)合定制化設(shè)計，滿足不同客戶機對冷熱啟動、跨域通信、高速外設(shè)訪問等特性的高性能需求。

4.2 核心技術(shù)特性

4.2.1 系統(tǒng)級安全隔離

傳統(tǒng)虛擬化技術(shù)主要針對云端場景設(shè)計，而車載業(yè)務(wù)屬于安全關(guān)鍵系統(tǒng)（Safety- Critical），對隔離性要求更為嚴(yán)格。為此，星環(huán) OS 的虛擬化引擎 LiVisor 采用靜態(tài)分區(qū)技術(shù)，確保 CPU、內(nèi)存、中斷及獨占外設(shè)等資源具備更強的隔離性。

• CPU 隔離，以物理CPU(PCPU)為粒度做隔離，靜態(tài)部署邏輯 CPU(VCPU)到物理 CPU(PCPU)上，避免 CPU 資源爭搶，保障實時性。

• 內(nèi)存隔離，建立全局靜態(tài)可配內(nèi)存資源池，基于 CPU 的 Stage 2 MMU 特性實現(xiàn)虛擬機內(nèi)存空間硬隔離，消除內(nèi)存越界訪問風(fēng)險。

• 中斷隔離，虛擬化系統(tǒng)中斷控制器，按虛擬機粒度劃分中斷與路由策略，杜絕中斷風(fēng)暴跨虛擬機傳播。

• 獨占類外設(shè)隔離，結(jié)合 CPU 的 Stage 2 MMU 特性及白名單機制對虛擬機獨占設(shè)備啟用直通模式，實現(xiàn)獨占類外設(shè) I/O 空間硬件級隔離。

4.2.2 高效資源共享

針對車載域融合場景中 UFS、以太網(wǎng)控制器等非硬件虛擬化設(shè)備的共享需求，傳統(tǒng) virtio 半虛擬化方案會導(dǎo)致 30%~40%的 I/O 性能損耗。星環(huán) OS 虛擬化引擎重構(gòu) v host 控制面框架，推出基于 virtio 的增強技術(shù) VM Exit-Less。通過消除虛擬機上下文切換（VM-Exit），顯著減少數(shù)據(jù)傳輸時延 ，極大提升設(shè)備虛擬化吞吐性能。

4.2.3 高速跨域互通

傳統(tǒng)基于網(wǎng)絡(luò)的虛擬化通信手段不僅通信時延較高，還會額外消耗網(wǎng)絡(luò)帶寬資源。星環(huán) OS 虛擬化引擎采用了共享內(nèi)存機制，實現(xiàn)了跨 VM 間的零拷貝通信，確保各類跨 VM 通信場景的實時性，其架構(gòu)原理如下圖所示：

4.2.4 性能損耗更低

傳統(tǒng)虛擬化方案因高中斷延遲、頻繁缺頁異常、TLB Miss 高及 vCPU 上下文切換開銷大等痛點問題，導(dǎo)致虛擬機性能與實時性嚴(yán)重下降。星環(huán) OS 虛擬化引擎通過以下核心技術(shù)構(gòu)建完整實時虛擬化方案。

• vCPU 綁定，將 vCPU 和 pCPU 一對一靜態(tài)綁定， 減少 CPU 的頻繁切換帶來的上下文切換損耗。

• 大頁預(yù)映射，對虛擬機物理內(nèi)存進行預(yù)映射，消除運行時缺頁現(xiàn)象。利用內(nèi)存大頁，減少 Stage 2 內(nèi)存頁表、降低 TLB Miss，提升虛擬機訪存性能；

• 中斷直通，控制面-數(shù)據(jù)面相結(jié)合，實現(xiàn)關(guān)鍵中斷高效處理：

• 控制面：Guest OS 對 vGIC 的每次讀寫都會陷入到 Hypervisor 內(nèi)的vGIC 模塊，保障安全。

• 數(shù)據(jù)面：設(shè)備中斷直通目的 VM，無需經(jīng)過 Hypervisor 繞行轉(zhuǎn)發(fā)，保障性能。

  
  

4.2.5 冷熱啟動加速

車載系統(tǒng)的啟動速度與休眠喚醒效率，直接決定用戶對“上車即用”體驗的滿意度。 LiVisor 通過定制化 VM 級并行啟動、細粒度 VM 級休眠喚醒及全域休眠喚醒技術(shù)，確保用戶在上下車、臨時離車等場景中始終感受無縫銜接的流暢交互。

LiVisor 支持三級漸進式低功耗策略，功耗控制粒度從外設(shè)級覆蓋至系統(tǒng)級：

• 外設(shè)級休眠：客戶虛擬機動態(tài)掛起（Runtime Suspend）非必要外設(shè)， 降低局部功耗。

• 虛擬機級休眠：客戶虛擬機按整體業(yè)務(wù)掛起休眠，包括該虛擬機使用的 CPU以及獨占外設(shè)。

• 系統(tǒng)級休眠：系統(tǒng)級掛起休眠，非 AON 電源域軟硬件資源均進入低功耗狀態(tài)。

  
  

#05

5.1 系統(tǒng)說明

星環(huán)操作系統(tǒng)的信息安全體系是面向智能網(wǎng)聯(lián)汽車構(gòu)建的一整套多層級安全防護機制，涵蓋數(shù)據(jù)加密與保護、系統(tǒng)完整性保護、身份認證與權(quán)限管理和可信執(zhí)行環(huán)境等關(guān)鍵能力，旨在保障車輛關(guān)鍵功能穩(wěn)定運行和用戶隱私不泄露。核心功能架構(gòu)如下圖所示：

5.2 核心技術(shù)特性

5.2.1 數(shù)據(jù)加密與保護

數(shù)據(jù)加密與保護功能旨在防止未經(jīng)授權(quán)的訪問與篡改，確保數(shù)據(jù)在存儲和傳輸過程中的機密性、完整性與可用性，降低數(shù)據(jù)泄露風(fēng)險。智能汽車涉及大量的用戶隱私數(shù)據(jù)，星環(huán) OS 實現(xiàn)了覆蓋全場景的數(shù)據(jù)加密能力，以保護用戶隱私數(shù)據(jù)。

數(shù)據(jù)加密的基礎(chǔ)是密碼學(xué)算法。星環(huán) OS 實現(xiàn)了多種密碼學(xué)算法，涵蓋了各類對稱加解密算法、非對稱簽名驗簽算法、密鑰交換算法和哈希算法等，并且通過軟硬結(jié)合實現(xiàn)提高了算法性能，相較于純軟件實現(xiàn)性能提高了 4 倍?；谶@些高性能算法實現(xiàn)了端到端加密，確保數(shù)據(jù)傳輸過程中不泄露；同時實現(xiàn)了對應(yīng)用透明的存儲加密，在保護數(shù)據(jù)的同時降低應(yīng)用接入成本。通過覆蓋全場景的數(shù)據(jù)加密能力，星環(huán) OS 實現(xiàn)了對關(guān)鍵數(shù)據(jù)的全程保護，最大程度避免用戶隱私泄露。

5.2.2 系統(tǒng)完整性保護

系統(tǒng)完整性確保運行的軟件都是經(jīng)過認證的合法軟件，防止系統(tǒng)被非法篡改后進入不可控狀態(tài)。

系統(tǒng)啟動流程中的每一步，都包含對下一級啟動對象的合法性校驗，如此一環(huán)扣一環(huán)構(gòu)成啟動的信任鏈。只有正確通過簽名校驗的鏡像文件才可被加載并運行，包括啟動引導(dǎo)程序、內(nèi)核、固件等鏡像文件。啟動鏈條的第一級來源于硬件的啟動可信根。

在啟動過程的任何階段，如果簽名校驗失敗，則啟動流程會被終止。對于尺寸較大無法一次性校驗的磁盤分區(qū)，星環(huán) OS 在文件系統(tǒng)層面實現(xiàn)了分區(qū)粒度的完整性保護，實時發(fā)現(xiàn)非法篡改行為，維護系統(tǒng)環(huán)境的可信狀態(tài)。

為防止攻擊者刷入存在已知漏洞的低版本系統(tǒng)，利用防篡改存儲實現(xiàn)版本防回退機制，確保設(shè)備僅能運行最新的安全固件，從而有效阻止通過舊版本系統(tǒng)實施的攻擊行為。

5.2.3 身份認證與權(quán)限管控

身份認證與權(quán)限管控的目標(biāo)是讓正確的應(yīng)用，訪問正確的資源。智能汽車包含了大量敏感資源，如控制車輛運動的接口，用戶的隱私數(shù)據(jù)等，一旦這些資源被濫用，都會對用戶的行車安全和隱私安全造成威脅。星環(huán) OS 實現(xiàn)了應(yīng)用級的應(yīng)用身份認證和權(quán)限管控能力，確保應(yīng)用和資源之間的正確訪問關(guān)系，以應(yīng)對權(quán)限濫用帶來的安全風(fēng)險。

5.2.4 可信執(zhí)行環(huán)境

可信執(zhí)行環(huán)境（TEE）是一個保護敏感數(shù)據(jù)和代碼的硬件安全世界，它為應(yīng)用程序提供一個隔離的執(zhí)行環(huán)境，確保它們在運行時免受外部攻擊的影響。星環(huán) OS 充分利用了硬件的安全能力，基于可信執(zhí)行環(huán)境實現(xiàn)了系統(tǒng)的安全信任根，將整個系統(tǒng)的安全水平提升至硬件芯片級別。

可信執(zhí)行環(huán)境技術(shù)將系統(tǒng)的工作狀態(tài)分為安全世界和非安全世界，TEE 安全系統(tǒng)是運行在安全世界中的軟件核心。它驅(qū)動了硬件安全能力實現(xiàn)了物理內(nèi)存隔離，保護系統(tǒng)中最核心的敏感數(shù)據(jù)和代碼。即使非安全世界中的系統(tǒng)（如 Linux）被攻破，攻擊者也無法竊取、篡改可信執(zhí)行環(huán)境中的數(shù)據(jù)和代碼。TEE 安全系統(tǒng)負責(zé)管理每臺設(shè)備唯一的硬件根密鑰，該密鑰僅在安全世界中可訪問，無法被導(dǎo)出或復(fù)制?；谶@把密鑰，TEE 安全系統(tǒng)派生出一系列用于數(shù)據(jù)加密和簽名的密鑰或證書，保證密鑰無法被竊取。