1.  安全啟動(dòng)

(1) 安全啟動(dòng)機(jī)制

安全啟動(dòng)（Secure Boot）是指為安全應(yīng)用而建立的可信平臺(tái)啟動(dòng)流程，需要設(shè)備持有可信根（Root of Trust），然后建立一條可信鏈（Chain of Trust）, 再將信任傳遞到系統(tǒng)的各個(gè)模塊，確保整個(gè)系統(tǒng)的可信。它以固定的順序啟動(dòng)系統(tǒng)，使用證書(shū)鏈機(jī)制和 RSA 加密認(rèn)證的方法，來(lái)驗(yàn)證啟動(dòng)序列中涉及的軟件的來(lái)源的真實(shí)性，因此可防止任何未經(jīng)授權(quán)或惡意修改的軟件在設(shè)備上運(yùn)行。

安全啟動(dòng)在系統(tǒng)出廠前對(duì)系統(tǒng)的鏡像文件進(jìn)行簽名認(rèn)證，并將公鑰的哈希值寫入芯片的一次性可編程模塊?；诓煌募?jì)算得到的哈希值不同，采用安全啟動(dòng)方案的設(shè)備每次啟動(dòng)時(shí)都會(huì)先校驗(yàn)系統(tǒng)的哈希值，即和芯片內(nèi)寫入的哈希值進(jìn)行比較，然后對(duì)簽名鏡像進(jìn)行多級(jí)校驗(yàn)，實(shí)現(xiàn)從系統(tǒng)芯片到系統(tǒng)軟件的鏈?zhǔn)叫ｒ?yàn)過(guò)程，很好地避免系統(tǒng)因沒(méi)有得到客戶簽名認(rèn)證而造成的非授權(quán)操作，保護(hù)系統(tǒng)中原有的系統(tǒng)軟件和應(yīng)用軟件。

(2) 安全啟動(dòng)過(guò)程

安全啟動(dòng)過(guò)程如下圖 4.2-3 所示：

圖4.2-3 安全啟動(dòng)過(guò)程

① 安全啟動(dòng)是利用私鑰對(duì)編譯好的引導(dǎo)程序和鏡像文件二進(jìn)制文件的哈希值進(jìn)行簽名，然后將已簽名的固件燒錄到芯片中。

② 系統(tǒng)啟動(dòng)過(guò)程中安全可信的根源是被固化在芯片只讀設(shè)備（例如 ROM）中的只讀固件。設(shè)備上電后，芯片會(huì)加載該固件進(jìn)行一級(jí)引導(dǎo)，加載并啟動(dòng)存儲(chǔ)設(shè)備（例如外置 FLASH 器件）的引導(dǎo)程序進(jìn)行二級(jí)引導(dǎo)。在執(zhí)行引導(dǎo)程序前，固件會(huì)利用固件內(nèi)置的證書(shū)加載并鑒權(quán)該引導(dǎo)程序，以確保其包含的是已授權(quán)軟件。

③ 在特定系統(tǒng)中可能存在多級(jí)引導(dǎo)，上一級(jí)引導(dǎo)程序會(huì)使用該級(jí)引導(dǎo)程序綁定的證書(shū)文件校驗(yàn)下一級(jí)引導(dǎo)程序，并確定該引導(dǎo)程序的完整性和合法性。

④ 在完成各級(jí)引導(dǎo)程序鏈的校驗(yàn)后，最后一級(jí)引導(dǎo)程序會(huì)對(duì)存儲(chǔ)設(shè)備的完整系統(tǒng)鏡像進(jìn)行校驗(yàn)，并在校驗(yàn)通過(guò)后加載系統(tǒng)。

從上電復(fù)位開(kāi)始的整個(gè)啟動(dòng)過(guò)程中，下一級(jí)的安全基于上一級(jí)的驗(yàn)證，譬如：只有在一級(jí)引導(dǎo)程序 成功鑒權(quán)二級(jí)引導(dǎo)程序后，控制權(quán)才能轉(zhuǎn)移給二級(jí)引導(dǎo)程序。最終依賴于芯片內(nèi)置的存儲(chǔ)和安全硬件， 逐級(jí)地驗(yàn)證構(gòu)成了整個(gè)系統(tǒng)的信任鏈。信任鏈中的某一個(gè)環(huán)節(jié)被破壞，都會(huì)導(dǎo)致整個(gè)系統(tǒng)不安全。以上 流程要求被驗(yàn)證的鏡像的證書(shū)鏈?zhǔn)潜徽_構(gòu)建的，只有當(dāng)證書(shū)鏈、鏡像代碼簽名均無(wú)誤，驗(yàn)證才會(huì)得到正確的結(jié)果，才可以確定該鏡像的來(lái)源是可靠真實(shí)的。

2.  入侵檢測(cè)系統(tǒng)（IDS）

(1) IDS 概述

入侵檢測(cè)系統(tǒng)（intrusion detection system，簡(jiǎn)稱 “IDS”）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，IDS 是一種積極主動(dòng)的安全防護(hù)技術(shù)。

IDS  依照一定的安全策略，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果、以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。

入侵檢測(cè)技術(shù)是當(dāng)前車輛環(huán)境下用來(lái)發(fā)現(xiàn)攻擊的主要方法，可發(fā)現(xiàn)系統(tǒng)已經(jīng)發(fā)生的或潛在的安全威 脅，通過(guò)對(duì)系統(tǒng)的活動(dòng)、用戶行為等進(jìn)行監(jiān)控，檢測(cè)非法的外部入侵、越權(quán)訪問(wèn)、以及內(nèi)部用戶的非法活動(dòng)， 并且記錄與上報(bào)所檢測(cè)發(fā)現(xiàn)的入侵事件至云端的車輛安全運(yùn)營(yíng)中心（VSOC），進(jìn)行安全預(yù)警、分析與響應(yīng)。

(2) IDS 分類

① 基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS），作為主機(jī)系統(tǒng)的監(jiān)視器和分析器，它并不作用于外部接口， 而是專注于系統(tǒng)內(nèi)部，監(jiān)視系統(tǒng)全部或部分的動(dòng)態(tài)的行為以及整個(gè)計(jì)算機(jī)系統(tǒng)的狀態(tài)。通過(guò)監(jiān)視與分析 主機(jī)的審計(jì)記錄和日志文件來(lái)檢測(cè)入侵，日志中包含發(fā)生在系統(tǒng)上的不尋?；顒?dòng)的證據(jù)，這些證據(jù)可以 指出有人正在入侵或者已經(jīng)成功入侵了系統(tǒng)，通過(guò)查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并 啟動(dòng)相應(yīng)的應(yīng)急措施。

② 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS），主要用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)等外部接口，采集數(shù)據(jù)并加以分析現(xiàn)象，對(duì)收集漏洞信息、造成拒絕訪問(wèn)及獲取超出合法范圍的系統(tǒng)控制權(quán)等危害系統(tǒng)安全的行為，給出響應(yīng)對(duì)策。

由于篇幅限制，此處僅對(duì) NIDS 進(jìn)行展開(kāi)的技術(shù)解讀，下文中 IDS 等同于 NIDS。

(3) IDS 適用范圍

IDS 系統(tǒng)從攻擊來(lái)源角度可適用于檢測(cè)以下攻擊來(lái)源。

① 車輛外部接口攻擊來(lái)源：控制通道、配置通道、數(shù)據(jù)通道；4G/5G 網(wǎng)絡(luò)、WIFI、藍(lán)牙、USB、攝像頭等。

② 車輛內(nèi)部接口攻擊來(lái)源：以太網(wǎng)、CAN。

從攻擊行為角度可適用于檢測(cè)以下攻擊行為：

① 重放：攻擊者重復(fù)發(fā)送網(wǎng)絡(luò)中其他設(shè)備正常傳輸?shù)膱?bào)文，根據(jù)不同場(chǎng)合可以達(dá)到不同效果。當(dāng)重放報(bào)文是控制指令時(shí)，可以令設(shè)備運(yùn)行異常，當(dāng)重放報(bào)文是認(rèn)證指令時(shí)，可以使得重放來(lái)源獲取認(rèn)證，導(dǎo)致攻擊者權(quán)限提升。

② DoS 攻擊（Denial of Service）：拒絕服務(wù)攻擊，造成 DoS 的攻擊行為被稱為 DoS 攻擊，其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。

③ 篡改：攻擊者在正常報(bào)文的傳輸過(guò)程中，對(duì)報(bào)文進(jìn)行修改；或?qū)ξ募M(jìn)行替換、修改。

(4) IDS 實(shí)施過(guò)程

IDS 系統(tǒng)框圖如下圖 4.2-4 所示：

圖 4.2-4 IDSS系統(tǒng)框圖

① 事件采集：各個(gè) ECU 獲取被監(jiān)控系統(tǒng)或網(wǎng)絡(luò)的信息，作為原始數(shù)據(jù)，用以進(jìn)行入侵檢測(cè)和分析。數(shù)據(jù)來(lái)源通常包括網(wǎng)絡(luò)流程信息和各種日志數(shù)據(jù)。

② 事件分析：通過(guò)采集的事件數(shù)據(jù)，對(duì)入侵直接進(jìn)行分析。針對(duì)不同環(huán)境的需求，對(duì)事件進(jìn)行不同程度的分析。例如，異常行為的區(qū)分，入侵行為的認(rèn)定，攻擊原因和趨勢(shì)分析，以及攻擊場(chǎng)景構(gòu)建等。常見(jiàn)的入侵行為定義包括以下行為，如下表 4.2-1 所示：

表 4.2-1 常見(jiàn)入侵行為定義

① 事件上報(bào)：各個(gè) ECU 統(tǒng)一將事件信息發(fā)給 TBOX，由 TBOX 統(tǒng)一上報(bào)給車輛安全運(yùn)營(yíng)平臺(tái)。

② 事件響應(yīng)：車輛安全運(yùn)營(yíng)平臺(tái)針對(duì)事件分析的結(jié)果，對(duì)異常、威脅及入侵進(jìn)行響應(yīng)?？梢酝ㄟ^(guò)定義事件的響應(yīng)級(jí)別來(lái)決定采取的措施，針對(duì)不同程度的威脅，采取不同程度的響應(yīng)，例如中斷服務(wù)、改變權(quán)限、報(bào)警等。安全響應(yīng)的措施（或指令）并可以通過(guò)遠(yuǎn)程軟件刷寫平臺(tái)，即 OTA，下發(fā)到車端  IDS，啟動(dòng)相應(yīng)的安全防護(hù)。