用戶身份鑒別目前主要是通過車鑰匙、人臉、密碼等方式，對用戶的使用過程是有感知的。未來身份鑒別的方向應(yīng)是讓用戶更少的感知身份識別，減少鑰匙、密碼這類的操作和輸入，通過快速的生物識別方式識別用戶合法性和配置映射，用戶從接近車輛到進入車輛后車輛加載用戶配置無需用戶參與。對于設(shè) 備（如車載 ECU、路側(cè) RSU 等）的接入認(rèn)證，一項正在研究的技術(shù)是基于其獨特的、唯一的物理指紋特征進行身份驗證。

機器鑒權(quán)目前在設(shè)備上的鑒權(quán)主要依賴于證書、密鑰和訪問仲裁，例如：在通訊中一般會依賴 TLS、SecOC 等通訊協(xié)議的認(rèn)證、校驗流程；進程權(quán)限、訪問權(quán)限則由訪問控制模塊進行鑒權(quán)；在證書和密鑰更新方向沒有統(tǒng)一的方法，PKI 等系統(tǒng)的全自動化更新證書、密鑰也沒有統(tǒng)一規(guī)范的方案。未來應(yīng)在機器鑒權(quán)方向重點做自動化更新鑒權(quán)證書和密鑰的方案，并統(tǒng)一規(guī)范。

訪問控制

訪問控制是操作系統(tǒng)安全控制保護中重要的一環(huán)，在身份鑒別的基礎(chǔ)上，根據(jù)身份對提出的資源訪問請求加以控制，其模型如下圖所示。

圖3.4-12 訪問控制模型

• 主體：即訪問操作的執(zhí)行者，一般指進程。

• 客體：即主體需要訪問的資源，一般指文件、設(shè)備、服務(wù)等系統(tǒng)資源，在訪問操作后，客體的內(nèi)容可能被改變。

• 操作：訪問中主體對客體的操作，如文件的讀、寫、執(zhí)行；設(shè)備使用；服務(wù)訪問等。

• 訪問控制規(guī)則：規(guī)定了主體可以對哪些客體執(zhí)行什么訪問操作、客體由哪些主體執(zhí)行什么訪問操作。訪問控制即是在主體對客體進行訪問操作前，根據(jù)訪問規(guī)則對主體的權(quán)限進行檢查，確定主體有權(quán)執(zhí)行后續(xù)的訪問操作，并阻止主體的越權(quán)訪問。目前常用的訪問控制可分為自主訪問控制和強制訪問控制兩大類。自主訪問控制讓客體的所有者來定義訪問控制規(guī)則，管理員理論上不需要對訪問控制規(guī)則進行維護。強制訪問控制將主體和客體劃分成不同的安全級別和類型，對每一類主體進行規(guī)則制定，規(guī)定其有權(quán)訪問哪些級別或類型的客體，并拒絕所有非授權(quán)的訪問。強制訪問控制的規(guī)則（策略）通常由管理員制定，主體和客體的所有者無權(quán)修改規(guī)則。

下面以 Linux 系統(tǒng)為例對自主訪問控制（DAC）和強制訪問控制（MAC）進行說明。

1、Linux 系統(tǒng) DAC

DAC 提供了基于 owner、group、other 角色的訪問權(quán)限控制能力，基于角色可以控制對文件的讀、寫、執(zhí)行權(quán)限。Linux 系統(tǒng)對其每一個用戶都賦予一個用戶 ID（UID）；并可以設(shè)定用戶組，每個用戶組可以賦予一個用戶組   ID（GID），一個用戶可以歸類于多個不同的用戶組。操作系統(tǒng)中的進程由用戶執(zhí)行，所以每一個進程都屬于一個用戶，也可以屬于該用戶對應(yīng)的用戶組，于是操作系統(tǒng)可以獲得該進程的   UID 和 GID。通過 UID 和 GID，操作系統(tǒng)即可識別進程（訪問控制主體）的身份和類型。

Linux 系統(tǒng)中的文件（或文件夾）屬于其創(chuàng)建用戶，也可以設(shè)定屬于某一個用戶組。DAC 權(quán)限系統(tǒng)依此將文件（訪問控制客體）的操作者分成三種類型：即文件的所有者（user）、文件的所屬組的用戶（group）和其他用戶（other，其他用戶，為不屬于 user 和 group 用戶的所有用戶）。對于文件的訪問操作，DAC 系統(tǒng)將其分為讀、寫、運行三種類型，對于每一個文件，都規(guī)定好 user 用戶可以執(zhí)行什么操作、group 用戶可以執(zhí)行什么操作，以及 other 用戶可以執(zhí)行什么操作。而文件所屬的用戶，則可以自由更改文件的訪問操作權(quán)限，例如對一個文件增加 group 用戶的寫權(quán)限，取消 other 用戶的讀權(quán)限等等。

這樣在操作系統(tǒng)運行時，既可通過 UID 和 GID 來確定一個進程的身份，也可以根據(jù)文件的權(quán)限設(shè)定確定該進程對于一個文件來說屬于哪種用戶（user、group 還是 other），進而確定該進程是否可以對該文件執(zhí)行所請求的操作。

可以看出，DAC 權(quán)限的控制策略非常簡潔，所以其 DAC 檢查的系統(tǒng)開銷非常小。但是它的問題是其對客體類型和訪問操作的劃分粒度過大，操作系統(tǒng)中的各類資源，如設(shè)備、服務(wù)、套接字等，都統(tǒng)一劃歸為文件，而訪問操作類型也只劃分為讀、寫、運行三大類，這樣很難實現(xiàn)精細(xì)管理。另一方面，Linux 系統(tǒng)中還存在 root 用戶，該用戶相當(dāng)于管理員，有所有文件的一切操作權(quán)限，并可修改任意文件的歸屬和訪問權(quán)限，這為訪問控制管理帶來了極大的風(fēng)險，當(dāng)攻擊者獲取了 root 權(quán)限，DAC 權(quán)限系統(tǒng)即被攻破。DAC 權(quán)限系統(tǒng)的廣泛的應(yīng)用于車載系統(tǒng)之中，它既用于嵌入式 Linux 系統(tǒng)，也用于基于 Linux 的Android 系統(tǒng)，很多其他操作系統(tǒng)中也有類似于 Linux 的 DAC 權(quán)限系統(tǒng)。

2、Linux MAC

隨著芯片性能的提高，車載系統(tǒng)已經(jīng)可以提供更多的硬件性能和系統(tǒng)開銷，這樣，為了彌補 DAC 權(quán)限系統(tǒng)的缺點，強制訪問控制系統(tǒng)也被引入車載系統(tǒng)。MAC 提供了對系統(tǒng)資源訪問的更高安全能力，此安全機制是限制了用戶 (Subject) 對自己所創(chuàng)建的對象（Object）所擁有的 “控制級別” 。與 DAC 不一樣， 在 MAC 中，對所有的文件系統(tǒng) Objects 增加了額外的 Labels 或 Categories。在 Subjects( 用戶或進程 ) 與 Objects 交互之前，它們必須對這些 Categories 或 Labels 進行合適的訪問 ( 即先要進行權(quán)限判斷 )。對訪問的控制徹底化，對所有的文件、目錄、端口的訪問，都是基于策略設(shè)定的。這些策略是由管理員設(shè)定的、一般用戶是無權(quán)更改的。

強制訪問控制系統(tǒng)的代表為 SELinux，它支持多種安全策略模型，支持策略的靈活改變，使用類型增強（TE）、基于角色的訪問控制（RBAC）和多級安全技術(shù)（MLS）保證系統(tǒng)安全。SELinux 最初由美國國家安全局（NSA）實現(xiàn)的強制訪問系統(tǒng)，其可以作為安全子系統(tǒng)運行在 Linux、Android 或其他類似操作系統(tǒng)中。

SELinux 中的訪問控制主體也是操作系統(tǒng)的進程，但與 DAC 權(quán)限系統(tǒng)不同的是，SELinux 根據(jù)進程本身進行主體類型劃分，而不是簡單的將進程歸類于啟動它的用戶。SELinux 對每一個進程根據(jù)其執(zhí)行文件進行類型標(biāo)記，基本上每一個可執(zhí)行文件的訪問控制主體類型都不同，而多個不同的主體類型也可以標(biāo)記歸類于一個大類（類似與 DAC 中的組）。比如在采用 SELinux 的 Android 系統(tǒng)中，每一個可執(zhí)行程序或守護進程都被標(biāo)記成一個獨立的類型，這些進程同時也可以標(biāo)記歸類于 coredomain（核心域）、ap- pdomain( 應(yīng)用域 )，或根據(jù)其網(wǎng)絡(luò)功能標(biāo)記為 netdomain（網(wǎng)絡(luò)域）、根據(jù)其應(yīng)用簽名標(biāo)記為 platform_ app（平臺應(yīng)用）等等。

對于操作系統(tǒng)中的資源，SELinux 進行了細(xì)致類型劃分，訪問控制的客體被劃分為文件、文件夾、服務(wù)、系統(tǒng)參數(shù)、設(shè)備等等，操作系統(tǒng)的每一個文件、每一個服務(wù)都被歸類于一個客體類型，或者可以單獨為該項資源定義一個客體類型（另外進程類型作為訪問控制的主體的同時，也可以作為訪問控制的客體）。與訪問控制的主體一樣，多個客體類型也可以被歸類于某一個大類。

而對于訪問控制的操作，SELinux 首先明確操作目標(biāo)的類型，而后再根據(jù)操作目標(biāo)劃分出所有可行的操作。比如如果操作目標(biāo)是文件，那么操作類型可以是讀、寫、執(zhí)行等等；但如果目標(biāo)是文件夾，那么操作類型可以是讀、寫、查找等等，但無法是執(zhí)行。這樣訪問操作的類型可以涵蓋操作系統(tǒng)中所有資源的操作子類，使精細(xì)化管理成為可能。

在明確了訪問控制的主體、客體、與操作類型之后，就可以制訂訪問控制的策略（規(guī)則）。SELinux 的訪問控制策略規(guī)定了哪些主體可以對哪些客體的什么操作目標(biāo)進行什么樣的操作。比如，可以規(guī)定主 體 kernel 允許對客體 app_data_file 的操作目標(biāo) file 進行讀操作（策略條目為：allow kernel app_data_ file:file read）。操作系統(tǒng)中每一項允許主體對客體的操作，都需要有相應(yīng)的 SELinux 訪問策略條目規(guī)定， 否則就不符合訪問控制策略。在 SELinux 開啟的操作系統(tǒng)運行中，違背訪問控制策略操作會被操作系統(tǒng)拒絕執(zhí)行。

在車載系統(tǒng)中，SELinux 的訪問控制策略一般需要在操作系統(tǒng)編譯之前制訂好，與操作系統(tǒng)源碼一同編譯，且與操作系統(tǒng)的鏡像一起下載至車載設(shè)備中。正常情況下，車載系統(tǒng)運行時，SELinux 的訪問控制策略無法被改變。這樣，即使攻擊者獲取了操作系統(tǒng)的超級用戶身份，其操作權(quán)限仍舊被限制在 SELinux 訪問控制策略規(guī)定的范圍內(nèi)，大大提高了操作系統(tǒng)的安全性。

總的來說，以 SELinux 為代表的強制訪問控制系統(tǒng)，與 Linux DAC 為代表的自主訪問控制系統(tǒng)相比， 其安全性大大提高；但需要更多的維護成本來精細(xì)化定義訪問控制策略，同時也犧牲了系統(tǒng)的自由度， 并需要比 DAC 系統(tǒng)更多的系統(tǒng)資源。在實際的車載系統(tǒng)中，由于車載芯片功能的增強，以及人們安全意識的提高，強制訪問控制系統(tǒng)與自主訪問控制系統(tǒng)常常共同存在于操作系統(tǒng)中，共同執(zhí)行系統(tǒng)的訪問控 制規(guī)則，維護系統(tǒng)安全。

DAC 和MAC 訪問控制技術(shù)各有其優(yōu)缺點，在實際的Linux 系統(tǒng)中往往同時被部署，在系統(tǒng)執(zhí)行控制時， 一般先檢測 DAC 規(guī)則，如果能通過，就繼續(xù)執(zhí)行 MAC 機制，只有在 DAC/MAC 檢測同時通過的前提下， 主體才被允許執(zhí)行訪問客體的操作。

圖3.4-13 訪問控制流程

鑒于目前國內(nèi)自主研發(fā)操作系統(tǒng)逐步崛起，業(yè)內(nèi)建議設(shè)計統(tǒng)一的簡易操作系統(tǒng)權(quán)限管理系統(tǒng)，且對 應(yīng)用層用 Hook 的模式提供仲裁接口，以便基礎(chǔ)軟件平臺的信息安全模塊處理仲裁。根據(jù)目前的使用場景， 操作系統(tǒng)的權(quán)限仲裁接口應(yīng)滿足以下的功能：

• 提供用戶空間的應(yīng)用層 API 接口，以供用戶空間的仲裁進程處理仲裁邏輯。

• Hook 收到訪問請求后，應(yīng)將請求內(nèi)容傳給仲裁進程注冊的回調(diào)函數(shù)進行仲裁。

• 仲裁回調(diào)應(yīng)分為文件類、網(wǎng)絡(luò)類等。

• 仲裁范圍應(yīng)可控制進程 - 文件、進程 - 網(wǎng)絡(luò)、進程 - 進程等。

安全監(jiān)測

智能網(wǎng)聯(lián)汽車安全監(jiān)測是為車聯(lián)網(wǎng)中車輛、終端設(shè)備、云端平臺等構(gòu)建以主動防御為核心的，以數(shù)據(jù)為驅(qū)動的車聯(lián)網(wǎng)安全監(jiān)測平臺，以應(yīng)對復(fù)雜的 “人 - 車 - 路 - 云” 系統(tǒng)協(xié)同下的車聯(lián)網(wǎng)環(huán)境，通過各類數(shù)據(jù)的關(guān)聯(lián)分析，利用人工智能等先進技術(shù)感知正在攻擊或已經(jīng)發(fā)生攻擊的安全事件，實施主動防御機制， 實現(xiàn)事件快速感知定位，同時做到快速響應(yīng)安全事件，降低攻擊帶來的直接和間接損失，保護未來出行 的健康發(fā)展。

智能網(wǎng)聯(lián)汽車安全監(jiān)測應(yīng)由車載安全探針（又稱入侵檢測與防御系統(tǒng)      IDPS）和車輛安全運營中心（VSOC）兩部分組成，以車聯(lián)網(wǎng)安全監(jiān)測系統(tǒng)形式對車輛網(wǎng)絡(luò)安全威脅進行監(jiān)測和防御，有效的實現(xiàn)外 防和內(nèi)控，保障車聯(lián)網(wǎng)生態(tài)下的全面信息安全。其中車載安全探針（IDPS）負(fù)責(zé)采集安全數(shù)據(jù)，可本地 化分析和執(zhí)行預(yù)置安全策略，并與車聯(lián)網(wǎng)安全監(jiān)測平臺進行深度關(guān)聯(lián)。安全服務(wù)人員利用采集的安全數(shù) 據(jù)結(jié)合云端情報對事件進一步研判，若決定啟動應(yīng)急處置流程，可通過 OTA 形式更新策略下發(fā)給車端探針， 優(yōu)化采集、分析與安全策略，形成閉環(huán)。