背景描述

車聯(lián)網(wǎng)時代，汽車通過基礎(chǔ)軟件系統(tǒng)可與智能終端、互聯(lián)網(wǎng)等進(jìn)行連接，實(shí)現(xiàn)娛樂、導(dǎo)航、交通信息等服務(wù)?；A(chǔ)軟件系統(tǒng)?；?Linux、QNX 等操作系統(tǒng)內(nèi)核開發(fā)，由于操作系統(tǒng)內(nèi)核代碼龐大且存在不同程度的安全漏洞，操作系統(tǒng)內(nèi)核自身的安全脆弱性將直接導(dǎo)致應(yīng)用系統(tǒng)的面臨被惡意入侵、控制的風(fēng)險(xiǎn)。車載基礎(chǔ)軟件系統(tǒng)需要通過 Wi-Fi、藍(lán)牙、移動通信（4G/5G 等 )、V2X 等無線通信手段與人、其它車輛、交通專網(wǎng)、互聯(lián)網(wǎng)等進(jìn)行連接。上述無線通信方式自身可能就存在網(wǎng)絡(luò)加密、認(rèn)證等方面的安全問題，因而也會繼承上述通信網(wǎng)絡(luò)所面臨的安全風(fēng)險(xiǎn)。針對這些問題，可以通過從操作系統(tǒng)內(nèi)核層面采用由系統(tǒng)加固、主動防御、防火墻、入侵檢測與防護(hù)系統(tǒng)（IDPS）、硬件安全加密服務(wù)等構(gòu)成綜合解決方案。

實(shí)現(xiàn)概要

基礎(chǔ)軟件系統(tǒng)的信息安全架構(gòu)可以參考下圖，從硬件、操作系統(tǒng)內(nèi)核、基礎(chǔ)中間件和服務(wù)，再到應(yīng)用服務(wù)框架和應(yīng)用，不同的層次采用不同的信息安全技術(shù)提供系統(tǒng)保障。

圖7.1-1 基礎(chǔ)軟件系統(tǒng)的信息安全架構(gòu)在操作系統(tǒng)內(nèi)核層面，可采用系統(tǒng)加固、安全啟動，動態(tài)主動防御等技術(shù)來提高系統(tǒng)的安全水平。亦可采用防火墻、入侵檢測系統(tǒng)（IDS）、網(wǎng)絡(luò)分割等技術(shù)來應(yīng)對來自網(wǎng)絡(luò)的攻擊。操作系統(tǒng)內(nèi)核功能安全模塊描述：

1. 系統(tǒng)加固遵循最小化原則：移除不必要的服務(wù)程序，關(guān)閉不需要的端口和服務(wù)；移除開發(fā)、編譯、調(diào)測類、網(wǎng)絡(luò)嗅探類的服務(wù)和工具；去除安裝、顯示和調(diào)整系統(tǒng)安全策略的服務(wù)和工具；檢查不應(yīng)存在任何后門和隱藏接口。系統(tǒng)定期執(zhí)行漏洞掃描，對發(fā)現(xiàn)的安全漏洞及時處理。

2. 現(xiàn)有的安全技術(shù)已經(jīng)解決了大多數(shù)的信息安全威脅，是重要的系統(tǒng)防御手段，但是這些技術(shù)大多屬于被動防御，不能解決越來越多的未知威脅。中興操作系統(tǒng)內(nèi)核實(shí)施 “主動防御”  策略，利用底層基礎(chǔ)軟件（操作系統(tǒng)、工具鏈）對整個系統(tǒng)引入動態(tài)、隨機(jī)、多樣的安全基因。使整個系統(tǒng)具有天然抵抗各種 “病毒”（包括未知威脅）的能力。

圖7.1-2 主動防御技術(shù)路線主動防御技術(shù)改變攻擊過程所依賴的系統(tǒng)規(guī)律，通過編譯器產(chǎn)生具有隨機(jī)、多樣性特征的多變體，使攻擊路徑呈現(xiàn)為隨機(jī)、多樣的特征。具體采用了全局符號（全局變量、函數(shù)等）布局隨機(jī)變化技術(shù)、關(guān)鍵數(shù)據(jù)結(jié)構(gòu)布局隨機(jī)變化技術(shù)、程序的地址空間（代碼段、數(shù)據(jù)段等）隨機(jī)變化技術(shù)，將單一空間下未知的安全問題轉(zhuǎn)換為多維空間下確定的概率問題，顯著提高了系統(tǒng)的安全性。

1. 防火墻可以提供針對特定端口或 IP 的訪問控制實(shí)現(xiàn)防 DDos 攻擊功能，實(shí)現(xiàn)對報(bào)文的安全過濾， 攔截非法數(shù)據(jù)，避免其進(jìn)入安全區(qū)域。防火墻的相關(guān)數(shù)據(jù)（如攔截?cái)?shù)據(jù)流量、防火墻故障狀態(tài)和防火墻規(guī)則數(shù)量等）也可以存儲在相應(yīng)的安全區(qū)域，并及時上報(bào)或轉(zhuǎn)發(fā)其它模塊處理。

2. IDS 是計(jì)算機(jī)的監(jiān)視系統(tǒng)，它通過實(shí)時監(jiān)視系統(tǒng)，一旦發(fā)現(xiàn)異常情況就發(fā)出警告。IETF 將一個入侵檢測系統(tǒng)分為四個組件：

3. 事件產(chǎn)生器（Event generators），它的目的是從整個計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。

4. 事件分析器（Event analyzers），它經(jīng)過分析得到數(shù)據(jù)，并產(chǎn)生分析結(jié)果。

5. 響應(yīng)單元（Response units ），它是對分析結(jié)果作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng)，也可以只是簡單的報(bào)警。

6. 事件數(shù)據(jù)庫（Event databases ）事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。

實(shí)現(xiàn)詳細(xì)（入侵檢測）

車載網(wǎng)絡(luò)防火墻位于整車架構(gòu)最外圍，如 OBD 口或遠(yuǎn)程通信的入口?？梢栽诰W(wǎng)絡(luò)層通過數(shù)據(jù)包過濾， 基于目標(biāo)地址及源地址對數(shù)據(jù)包進(jìn)行過濾，也可以采用基于傳輸層會話控制能力的狀態(tài)檢測，建立狀態(tài) 連接表，來跟蹤每一個進(jìn)出網(wǎng)絡(luò)的會話狀態(tài)信息，監(jiān)控了數(shù)據(jù)包是否符合會話所處的狀態(tài)。針對 TCP， 防火墻會對 TCP 頭信息進(jìn)行解析，用于確認(rèn)是首次連接或已經(jīng)建立通信，因此不僅能減少數(shù)據(jù)包穿過防火墻的時間，同時可以有效檢測出 DoS 攻擊。入侵檢測系統(tǒng)根據(jù)入侵檢測的行為分為兩種模式：異常檢測和誤用檢測。前者先要建立一個系統(tǒng)訪問正常行為的模型，凡是訪問者不符合這個模型的行為將被斷定為入侵；后者則相反，先要將所有可能發(fā)生的不利的不可接受的行為歸納建立一個模型，凡是訪問者符合這個模型的行為將被斷定為入侵。這兩種模式的安全策略是完全不同的，而且，它們各有長處和短處：異常檢測的漏報(bào)率很低，但是不符合正常行為模式的行為并不見得就是惡意攻擊，因此這種策略誤報(bào)率較高；誤用檢測由于直接匹配比對異常的不可接受的行為模式，因此誤報(bào)率較低。但惡意行為千變?nèi)f化，可能沒有被收集在行為模式庫中，因此漏報(bào)率就很高。這就要求用戶必須根據(jù)本系統(tǒng)的特點(diǎn)和安全要求來制定策略，選擇行為檢測模式。在通常情況下，用戶都采取兩種模式相結(jié)合的策略。入侵檢測系統(tǒng)根據(jù)信息來源可分為基于主機(jī) IDS 與基于 CAN 和以太網(wǎng)的 IDS?；谥鳈C(jī)的入侵檢測系統(tǒng)作為基礎(chǔ)軟件系統(tǒng)的監(jiān)視器和分析器，它并不作用于外部接口，而是專注于系統(tǒng)內(nèi)部，監(jiān)視系統(tǒng)全 部或部分的動態(tài)行為以及整個計(jì)算機(jī)系統(tǒng)的狀態(tài)，包括對系統(tǒng)配置文件、系統(tǒng)日志、進(jìn)程、系統(tǒng)調(diào)用、文件系統(tǒng)的監(jiān)控及異常發(fā)現(xiàn)和告警?；?CAN 總線和以太網(wǎng)的入侵檢測可以通過車內(nèi)接口，實(shí)時采集 CAN 總線和以太網(wǎng)的通信數(shù)據(jù)，并根據(jù)策略分析是否有異常流量的數(shù)據(jù)包，并及時上傳到相關(guān)控制器和云端。操作系統(tǒng)內(nèi)核通常也會支持硬件安全芯片的驅(qū)動，為安全啟動、安全通信以及中間件服務(wù)提供加密服務(wù)支撐。在安全啟動中，為了保證啟動的固件和軟件版本沒有受到篡改，需要對相應(yīng)的版本進(jìn)行驗(yàn)證， 為了保證啟動的時間要求，就必須依賴安全芯片提供硬件加解密計(jì)算能力。在安全通信中，更是需要實(shí) 時對大量數(shù)據(jù)進(jìn)行加解密計(jì)算，只有安全芯片提供的硬件安全加密服務(wù)能力才能夠滿足車載系統(tǒng)信息安 全日益增長的數(shù)據(jù)加密需求。