運行級別分層使得應用和 Kernel 運行隔離，避免應用對內(nèi)核的非法訪問。以 Linux+X86 為例，X86 支持4 個運行級別 RING0~RING3，操作系統(tǒng)（內(nèi)核）代碼運行在最高運行級別 RING0 上，可以使用特權指令控制中斷及修改頁表等，應用程序的代碼運行在最低運行級別 RING3  上，訪問內(nèi)核功能需要通過系統(tǒng)調用， 將 CPU 的運行級別從 RING3 切換到 RING0，并跳轉到系統(tǒng)調用對應的內(nèi)核代碼位置執(zhí)行，完成相關操作后再從 RING0 返回 RING3。這種 CPU 的硬件特性保證了應用間物理地址空間的隔離、用戶空間和內(nèi)核空間的隔離，是應用軟件安全防護的硬件基礎。

主動防御指改變防御方被動局面，通過基礎軟件（編譯器、操作系統(tǒng)）實現(xiàn)動態(tài)、主動地防御；攻擊者往往利用代碼符號的規(guī)律進行漏洞挖掘和系統(tǒng)突破，針對攻擊方式，主動防御主要研究程序地址布局 隨機化、全局符號布局隨機化、關鍵數(shù)據(jù)結構布局隨機化技術，打破攻擊者所依賴的規(guī)律。對象訪問控制為上層應用訪問資源提供安全機制，定義了所有的進程對系統(tǒng)的其他部分（文件、文件夾、設備、socket、端口和其它進程等）進行操作的權限或許可。

TEE 是可信執(zhí)行環(huán)境，是一項硬件特性，當前主流的 X86 或 ARM CPU 均支持該特性，它能夠從硬件層面來保護執(zhí)行在 TEE 中的應用和數(shù)據(jù)安全。對于安全高度敏感的應用，可以把應用安全敏感功能邏輯拆分到 TEE 中執(zhí)行，敏感數(shù)據(jù)存儲到 TEE 中，從硬件層面來防護應用軟件的信息安全。

在框架層面，需要建立應用簽名驗證、權限管理及應用沙箱機制。應用簽名主要解決應用的來源合法性問題，利用密碼算法，采用證書對應用進行簽名，框架層在應用安裝時對證書進行驗證，證書合格的 應用將被允許安裝，框架可以根據(jù)證書的類型賦予應用不同權限的能力。權限管理解決應用權限授予問題， 包括檢查權限、請求權限和處理權限三部分。應用權限由用戶確認，只有用戶認可才會被授予，應用默認沒有任何權限；應用對外開放的服務需要按照規(guī)范發(fā)布，第三方應用只有明確聲明并授權才能獲取另外 一個應用的服務訪問能力。應用沙箱是為執(zhí)行中的程序提供隔離環(huán)境的一種安全機制，它將各應用與關 鍵系統(tǒng)組件、數(shù)據(jù)以及其他應用隔離開來，當一個應用受到惡意軟件的破壞時，應用沙箱會自動將其阻止， 確保設備和信息的安全，應用沙箱實現(xiàn)依賴 Kernel 提供的對象訪問控制能力。

應用加固能有效防止應用被反編譯、嵌入病毒、非法扣費等，有效確保應用程序邏輯安全和代碼安全。

圖3.4-5 應用安全加固

對 Dex 文件進行加密，防止被逆向工具進行反編譯和破解，完全不對程序的可執(zhí)行代碼進行修改， 且不影響程序的正常執(zhí)行；對 so 文件進行加殼保護，增加 so 文件被破解和分析的難度，防止用戶 C/ C++ 層代碼邏輯泄露，保護 C/C++ 層的代碼安全；對圖片、音頻、漢化文件等關鍵資源文件進行加密保護；使用雙進程反調試技術對應用進行保護，全面對抗動態(tài)調試工具，防止非法操作者通過調試器對應 用進行動態(tài)分析，保護應用程序安全；內(nèi)存保護主要防止使用 gdb 和 ida 等工具 dump 有效的內(nèi)存鏡像， 通過加密 Dex 文件中關鍵部分，使得內(nèi)存中存在的 Dex 并不完整，防止通過 Dump 工具對內(nèi)存進行竊取并還原 Dex 文件；通過進程檢測、底層 Hook 等技術，有效對抗各類脫殼工具的攻擊，防止對內(nèi)存關鍵指針的 dump；針對指定 API 進行保護，提升加固后應用執(zhí)行效率，防止 apktool，jeb，baksmali 等進行反編譯得到源碼。

應用軟件的加固技術經(jīng)歷了幾代的發(fā)展演變，在防逆向脫殼的難度上也越來越大，安全性也越來越高。加固技術的發(fā)展經(jīng)歷了如下幾個階段：Dex 動態(tài)加載技術、Dex 類抽取技術、自定義 VMP 技術、Java2C 技術。

圖3.4-6 Java2C技術流程圖

應用軟件安全防護是個系統(tǒng)性的工程，需要硬件、Kernel、框架及應用的綜合作用，尤其是 Kernel 和框架，是應用信息安全的基礎，在保障自身免受漏洞和缺陷攻擊的前提下，應提供盡可能豐富的安全手段， 保護應用及其數(shù)據(jù)的安全，而且，這個過程對應用盡可能透明和無感。對于應用本身，除了保證本身的 實現(xiàn)邏輯及代碼安全性符合要求，還需要對應用做加固處理，保護源代碼和程序邏輯的安全。

系統(tǒng)安全防護

基礎軟件系統(tǒng)安全包括了車用操作系統(tǒng)內(nèi)核、中間件軟件如 AutoSAR CP、AutoSAR AP 等基礎軟件的整體安全。車聯(lián)網(wǎng)時代，汽車通過基礎軟件系統(tǒng)可與智能終端、互聯(lián)網(wǎng)等進行連接，實現(xiàn)娛樂、導航、交通信息等服務?；A軟件系統(tǒng)常基于 Linux、QNX 等操作系統(tǒng)內(nèi)核開發(fā)，由于操作系統(tǒng)內(nèi)核代碼龐大且存在不同程度的安全漏洞，操作系統(tǒng)內(nèi)核自身的安全脆弱性將直接導致應用系統(tǒng)面臨被惡意入侵、控制的風險。

除此之外，用戶的智能終端也存在被入侵、控制的風險，一旦智能終端被植入惡意代碼，用戶在使 用智能終端與基礎軟件系統(tǒng)互連時，智能終端里的惡意軟件就會利用基礎軟件系統(tǒng)可能存在的安全漏洞， 實施惡意代碼植入、攻擊或傳播，從而導致基礎軟件系統(tǒng)異常甚至接管控制汽車。

基礎軟件系統(tǒng)通常面臨的安全威脅有非授權訪問、暴力破解、溢出攻擊、惡意軟件、資源壟斷、殘余信息利用、數(shù)據(jù)傳輸竊聽和重放攻擊。

1、非授權訪問

非授權用戶或進程訪問基礎軟件系統(tǒng)的安全功能數(shù)據(jù)和用戶數(shù)據(jù)，并對安全功能數(shù)據(jù)和用戶數(shù)據(jù)進行惡意操作。

2、暴力破解

運用各種軟件工具和安全漏洞，破解合法用戶的口令或避開口令驗證過程，然后冒充合法用戶潛入基礎軟件系統(tǒng)，奪取基礎軟件系統(tǒng)控制權的攻擊形式。

3、溢出攻擊

利用堆棧生長方向和數(shù)據(jù)存儲方向相反的特點，用后存入的數(shù)據(jù)覆蓋先前壓棧的數(shù)據(jù)直至覆蓋函數(shù)的返回地址，函數(shù)執(zhí)行完返回時改變程序的正常執(zhí)行流程，從而達到攻擊目的的行為。

4、惡意軟件

惡意軟件可能通過偽裝成授權應用或進程訪問用戶數(shù)據(jù)和基礎軟件系統(tǒng)敏感資源。

5、資源壟斷

惡意進程 / 線程繞過操作系統(tǒng)內(nèi)核調度機制，長時間持續(xù)占用 CPU 資源，導致其他用戶 / 主體無法獲取 CPU 資源，破壞操作系統(tǒng)內(nèi)核的可用性。

6、殘余信息利用

惡意進程可能利用操作系統(tǒng)內(nèi)核對于殘留信息的處理缺陷，在執(zhí)行過程中對未刪除的殘留信息進行利用，以獲取敏感信息或濫用操作系統(tǒng)內(nèi)核的安全功能。

7、數(shù)據(jù)傳輸竊聽

惡意用戶或進程可能監(jiān)聽基礎軟件系統(tǒng)與遠程可信實體間傳遞的用戶數(shù)據(jù)。

8、重放攻擊

非授權用戶利用所截獲地授權用戶信息，重新提交給基礎軟件系統(tǒng)，以假冒授權用戶訪問基礎軟件系統(tǒng)的功能和數(shù)據(jù)。