背景描述

車聯(lián)網(wǎng)時(shí)代，汽車通過(guò)基礎(chǔ)軟件系統(tǒng)可與智能終端、互聯(lián)網(wǎng)等進(jìn)行連接，實(shí)現(xiàn)娛樂(lè)、導(dǎo)航、交通信息等服務(wù)?；A(chǔ)軟件系統(tǒng)?；?Linux、QNX 等操作系統(tǒng)內(nèi)核開發(fā)，由于操作系統(tǒng)內(nèi)核代碼龐大且存在不同程度的安全漏洞，操作系統(tǒng)內(nèi)核自身的安全脆弱性將直接導(dǎo)致應(yīng)用系統(tǒng)的面臨被惡意入侵、控制的風(fēng)險(xiǎn)。車載基礎(chǔ)軟件系統(tǒng)需要通過(guò) Wi-Fi、藍(lán)牙、移動(dòng)通信（4G/5G 等 )、V2X 等無(wú)線通信手段與人、其它車輛、交通專網(wǎng)、互聯(lián)網(wǎng)等進(jìn)行連接。上述無(wú)線通信方式自身可能就存在網(wǎng)絡(luò)加密、認(rèn)證等方面的安全問(wèn)題，因而也會(huì)繼承上述通信網(wǎng)絡(luò)所面臨的安全風(fēng)險(xiǎn)。針對(duì)這些問(wèn)題，可以通過(guò)從操作系統(tǒng)內(nèi)核層面采用由系統(tǒng)加固、主動(dòng)防御、防火墻、入侵檢測(cè)與防護(hù)系統(tǒng)（IDPS）、硬件安全加密服務(wù)等構(gòu)成綜合解決方案。

實(shí)現(xiàn)概要

基礎(chǔ)軟件系統(tǒng)的信息安全架構(gòu)可以參考下圖，從硬件、操作系統(tǒng)內(nèi)核、基礎(chǔ)中間件和服務(wù)，再到應(yīng)用服務(wù)框架和應(yīng)用，不同的層次采用不同的信息安全技術(shù)提供系統(tǒng)保障。

圖7.1-1 基礎(chǔ)軟件系統(tǒng)的信息安全架構(gòu)在操作系統(tǒng)內(nèi)核層面，可采用系統(tǒng)加固、安全啟動(dòng)，動(dòng)態(tài)主動(dòng)防御等技術(shù)來(lái)提高系統(tǒng)的安全水平。亦可采用防火墻、入侵檢測(cè)系統(tǒng)（IDS）、網(wǎng)絡(luò)分割等技術(shù)來(lái)應(yīng)對(duì)來(lái)自網(wǎng)絡(luò)的攻擊。操作系統(tǒng)內(nèi)核功能安全模塊描述：

1. 系統(tǒng)加固遵循最小化原則：移除不必要的服務(wù)程序，關(guān)閉不需要的端口和服務(wù)；移除開發(fā)、編譯、調(diào)測(cè)類、網(wǎng)絡(luò)嗅探類的服務(wù)和工具；去除安裝、顯示和調(diào)整系統(tǒng)安全策略的服務(wù)和工具；檢查不應(yīng)存在任何后門和隱藏接口。系統(tǒng)定期執(zhí)行漏洞掃描，對(duì)發(fā)現(xiàn)的安全漏洞及時(shí)處理。

2. 現(xiàn)有的安全技術(shù)已經(jīng)解決了大多數(shù)的信息安全威脅，是重要的系統(tǒng)防御手段，但是這些技術(shù)大多屬于被動(dòng)防御，不能解決越來(lái)越多的未知威脅。中興操作系統(tǒng)內(nèi)核實(shí)施 “主動(dòng)防御”  策略，利用底層基礎(chǔ)軟件（操作系統(tǒng)、工具鏈）對(duì)整個(gè)系統(tǒng)引入動(dòng)態(tài)、隨機(jī)、多樣的安全基因。使整個(gè)系統(tǒng)具有天然抵抗各種 “病毒”（包括未知威脅）的能力。

圖7.1-2 主動(dòng)防御技術(shù)路線主動(dòng)防御技術(shù)改變攻擊過(guò)程所依賴的系統(tǒng)規(guī)律，通過(guò)編譯器產(chǎn)生具有隨機(jī)、多樣性特征的多變體，使攻擊路徑呈現(xiàn)為隨機(jī)、多樣的特征。具體采用了全局符號(hào)（全局變量、函數(shù)等）布局隨機(jī)變化技術(shù)、關(guān)鍵數(shù)據(jù)結(jié)構(gòu)布局隨機(jī)變化技術(shù)、程序的地址空間（代碼段、數(shù)據(jù)段等）隨機(jī)變化技術(shù)，將單一空間下未知的安全問(wèn)題轉(zhuǎn)換為多維空間下確定的概率問(wèn)題，顯著提高了系統(tǒng)的安全性。

1. 防火墻可以提供針對(duì)特定端口或 IP 的訪問(wèn)控制實(shí)現(xiàn)防 DDos 攻擊功能，實(shí)現(xiàn)對(duì)報(bào)文的安全過(guò)濾， 攔截非法數(shù)據(jù)，避免其進(jìn)入安全區(qū)域。防火墻的相關(guān)數(shù)據(jù)（如攔截?cái)?shù)據(jù)流量、防火墻故障狀態(tài)和防火墻規(guī)則數(shù)量等）也可以存儲(chǔ)在相應(yīng)的安全區(qū)域，并及時(shí)上報(bào)或轉(zhuǎn)發(fā)其它模塊處理。

2. IDS 是計(jì)算機(jī)的監(jiān)視系統(tǒng)，它通過(guò)實(shí)時(shí)監(jiān)視系統(tǒng)，一旦發(fā)現(xiàn)異常情況就發(fā)出警告。IETF 將一個(gè)入侵檢測(cè)系統(tǒng)分為四個(gè)組件：

3. 事件產(chǎn)生器（Event generators），它的目的是從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。

4. 事件分析器（Event analyzers），它經(jīng)過(guò)分析得到數(shù)據(jù)，并產(chǎn)生分析結(jié)果。

5. 響應(yīng)單元（Response units ），它是對(duì)分析結(jié)果作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng)，也可以只是簡(jiǎn)單的報(bào)警。

6. 事件數(shù)據(jù)庫(kù)（Event databases ）事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件。

實(shí)現(xiàn)詳細(xì)（入侵檢測(cè)）

車載網(wǎng)絡(luò)防火墻位于整車架構(gòu)最外圍，如 OBD 口或遠(yuǎn)程通信的入口。可以在網(wǎng)絡(luò)層通過(guò)數(shù)據(jù)包過(guò)濾， 基于目標(biāo)地址及源地址對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾，也可以采用基于傳輸層會(huì)話控制能力的狀態(tài)檢測(cè)，建立狀態(tài) 連接表，來(lái)跟蹤每一個(gè)進(jìn)出網(wǎng)絡(luò)的會(huì)話狀態(tài)信息，監(jiān)控了數(shù)據(jù)包是否符合會(huì)話所處的狀態(tài)。針對(duì) TCP， 防火墻會(huì)對(duì) TCP 頭信息進(jìn)行解析，用于確認(rèn)是首次連接或已經(jīng)建立通信，因此不僅能減少數(shù)據(jù)包穿過(guò)防火墻的時(shí)間，同時(shí)可以有效檢測(cè)出 DoS 攻擊。入侵檢測(cè)系統(tǒng)根據(jù)入侵檢測(cè)的行為分為兩種模式：異常檢測(cè)和誤用檢測(cè)。前者先要建立一個(gè)系統(tǒng)訪問(wèn)正常行為的模型，凡是訪問(wèn)者不符合這個(gè)模型的行為將被斷定為入侵；后者則相反，先要將所有可能發(fā)生的不利的不可接受的行為歸納建立一個(gè)模型，凡是訪問(wèn)者符合這個(gè)模型的行為將被斷定為入侵。這兩種模式的安全策略是完全不同的，而且，它們各有長(zhǎng)處和短處：異常檢測(cè)的漏報(bào)率很低，但是不符合正常行為模式的行為并不見得就是惡意攻擊，因此這種策略誤報(bào)率較高；誤用檢測(cè)由于直接匹配比對(duì)異常的不可接受的行為模式，因此誤報(bào)率較低。但惡意行為千變?nèi)f化，可能沒(méi)有被收集在行為模式庫(kù)中，因此漏報(bào)率就很高。這就要求用戶必須根據(jù)本系統(tǒng)的特點(diǎn)和安全要求來(lái)制定策略，選擇行為檢測(cè)模式。在通常情況下，用戶都采取兩種模式相結(jié)合的策略。入侵檢測(cè)系統(tǒng)根據(jù)信息來(lái)源可分為基于主機(jī) IDS 與基于 CAN 和以太網(wǎng)的 IDS?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)作為基礎(chǔ)軟件系統(tǒng)的監(jiān)視器和分析器，它并不作用于外部接口，而是專注于系統(tǒng)內(nèi)部，監(jiān)視系統(tǒng)全 部或部分的動(dòng)態(tài)行為以及整個(gè)計(jì)算機(jī)系統(tǒng)的狀態(tài)，包括對(duì)系統(tǒng)配置文件、系統(tǒng)日志、進(jìn)程、系統(tǒng)調(diào)用、文件系統(tǒng)的監(jiān)控及異常發(fā)現(xiàn)和告警?；?CAN 總線和以太網(wǎng)的入侵檢測(cè)可以通過(guò)車內(nèi)接口，實(shí)時(shí)采集 CAN 總線和以太網(wǎng)的通信數(shù)據(jù)，并根據(jù)策略分析是否有異常流量的數(shù)據(jù)包，并及時(shí)上傳到相關(guān)控制器和云端。操作系統(tǒng)內(nèi)核通常也會(huì)支持硬件安全芯片的驅(qū)動(dòng)，為安全啟動(dòng)、安全通信以及中間件服務(wù)提供加密服務(wù)支撐。在安全啟動(dòng)中，為了保證啟動(dòng)的固件和軟件版本沒(méi)有受到篡改，需要對(duì)相應(yīng)的版本進(jìn)行驗(yàn)證， 為了保證啟動(dòng)的時(shí)間要求，就必須依賴安全芯片提供硬件加解密計(jì)算能力。在安全通信中，更是需要實(shí) 時(shí)對(duì)大量數(shù)據(jù)進(jìn)行加解密計(jì)算，只有安全芯片提供的硬件安全加密服務(wù)能力才能夠滿足車載系統(tǒng)信息安 全日益增長(zhǎng)的數(shù)據(jù)加密需求。