運(yùn)行級(jí)別分層使得應(yīng)用和 Kernel 運(yùn)行隔離，避免應(yīng)用對(duì)內(nèi)核的非法訪問。以 Linux+X86 為例，X86 支持4 個(gè)運(yùn)行級(jí)別 RING0~RING3，操作系統(tǒng)（內(nèi)核）代碼運(yùn)行在最高運(yùn)行級(jí)別 RING0 上，可以使用特權(quán)指令控制中斷及修改頁表等，應(yīng)用程序的代碼運(yùn)行在最低運(yùn)行級(jí)別 RING3  上，訪問內(nèi)核功能需要通過系統(tǒng)調(diào)用， 將 CPU 的運(yùn)行級(jí)別從 RING3 切換到 RING0，并跳轉(zhuǎn)到系統(tǒng)調(diào)用對(duì)應(yīng)的內(nèi)核代碼位置執(zhí)行，完成相關(guān)操作后再從 RING0 返回 RING3。這種 CPU 的硬件特性保證了應(yīng)用間物理地址空間的隔離、用戶空間和內(nèi)核空間的隔離，是應(yīng)用軟件安全防護(hù)的硬件基礎(chǔ)。

主動(dòng)防御指改變防御方被動(dòng)局面，通過基礎(chǔ)軟件（編譯器、操作系統(tǒng)）實(shí)現(xiàn)動(dòng)態(tài)、主動(dòng)地防御；攻擊者往往利用代碼符號(hào)的規(guī)律進(jìn)行漏洞挖掘和系統(tǒng)突破，針對(duì)攻擊方式，主動(dòng)防御主要研究程序地址布局 隨機(jī)化、全局符號(hào)布局隨機(jī)化、關(guān)鍵數(shù)據(jù)結(jié)構(gòu)布局隨機(jī)化技術(shù)，打破攻擊者所依賴的規(guī)律。對(duì)象訪問控制為上層應(yīng)用訪問資源提供安全機(jī)制，定義了所有的進(jìn)程對(duì)系統(tǒng)的其他部分（文件、文件夾、設(shè)備、socket、端口和其它進(jìn)程等）進(jìn)行操作的權(quán)限或許可。

TEE 是可信執(zhí)行環(huán)境，是一項(xiàng)硬件特性，當(dāng)前主流的 X86 或 ARM CPU 均支持該特性，它能夠從硬件層面來保護(hù)執(zhí)行在 TEE 中的應(yīng)用和數(shù)據(jù)安全。對(duì)于安全高度敏感的應(yīng)用，可以把應(yīng)用安全敏感功能邏輯拆分到 TEE 中執(zhí)行，敏感數(shù)據(jù)存儲(chǔ)到 TEE 中，從硬件層面來防護(hù)應(yīng)用軟件的信息安全。

在框架層面，需要建立應(yīng)用簽名驗(yàn)證、權(quán)限管理及應(yīng)用沙箱機(jī)制。應(yīng)用簽名主要解決應(yīng)用的來源合法性問題，利用密碼算法，采用證書對(duì)應(yīng)用進(jìn)行簽名，框架層在應(yīng)用安裝時(shí)對(duì)證書進(jìn)行驗(yàn)證，證書合格的 應(yīng)用將被允許安裝，框架可以根據(jù)證書的類型賦予應(yīng)用不同權(quán)限的能力。權(quán)限管理解決應(yīng)用權(quán)限授予問題， 包括檢查權(quán)限、請(qǐng)求權(quán)限和處理權(quán)限三部分。應(yīng)用權(quán)限由用戶確認(rèn)，只有用戶認(rèn)可才會(huì)被授予，應(yīng)用默認(rèn)沒有任何權(quán)限；應(yīng)用對(duì)外開放的服務(wù)需要按照規(guī)范發(fā)布，第三方應(yīng)用只有明確聲明并授權(quán)才能獲取另外 一個(gè)應(yīng)用的服務(wù)訪問能力。應(yīng)用沙箱是為執(zhí)行中的程序提供隔離環(huán)境的一種安全機(jī)制，它將各應(yīng)用與關(guān) 鍵系統(tǒng)組件、數(shù)據(jù)以及其他應(yīng)用隔離開來，當(dāng)一個(gè)應(yīng)用受到惡意軟件的破壞時(shí)，應(yīng)用沙箱會(huì)自動(dòng)將其阻止， 確保設(shè)備和信息的安全，應(yīng)用沙箱實(shí)現(xiàn)依賴 Kernel 提供的對(duì)象訪問控制能力。

應(yīng)用加固能有效防止應(yīng)用被反編譯、嵌入病毒、非法扣費(fèi)等，有效確保應(yīng)用程序邏輯安全和代碼安全。

圖3.4-5 應(yīng)用安全加固

對(duì) Dex 文件進(jìn)行加密，防止被逆向工具進(jìn)行反編譯和破解，完全不對(duì)程序的可執(zhí)行代碼進(jìn)行修改， 且不影響程序的正常執(zhí)行；對(duì) so 文件進(jìn)行加殼保護(hù)，增加 so 文件被破解和分析的難度，防止用戶 C/ C++ 層代碼邏輯泄露，保護(hù) C/C++ 層的代碼安全；對(duì)圖片、音頻、漢化文件等關(guān)鍵資源文件進(jìn)行加密保護(hù)；使用雙進(jìn)程反調(diào)試技術(shù)對(duì)應(yīng)用進(jìn)行保護(hù)，全面對(duì)抗動(dòng)態(tài)調(diào)試工具，防止非法操作者通過調(diào)試器對(duì)應(yīng) 用進(jìn)行動(dòng)態(tài)分析，保護(hù)應(yīng)用程序安全；內(nèi)存保護(hù)主要防止使用 gdb 和 ida 等工具 dump 有效的內(nèi)存鏡像， 通過加密 Dex 文件中關(guān)鍵部分，使得內(nèi)存中存在的 Dex 并不完整，防止通過 Dump 工具對(duì)內(nèi)存進(jìn)行竊取并還原 Dex 文件；通過進(jìn)程檢測(cè)、底層 Hook 等技術(shù)，有效對(duì)抗各類脫殼工具的攻擊，防止對(duì)內(nèi)存關(guān)鍵指針的 dump；針對(duì)指定 API 進(jìn)行保護(hù)，提升加固后應(yīng)用執(zhí)行效率，防止 apktool，jeb，baksmali 等進(jìn)行反編譯得到源碼。

應(yīng)用軟件的加固技術(shù)經(jīng)歷了幾代的發(fā)展演變，在防逆向脫殼的難度上也越來越大，安全性也越來越高。加固技術(shù)的發(fā)展經(jīng)歷了如下幾個(gè)階段：Dex 動(dòng)態(tài)加載技術(shù)、Dex 類抽取技術(shù)、自定義 VMP 技術(shù)、Java2C 技術(shù)。

圖3.4-6 Java2C技術(shù)流程圖

應(yīng)用軟件安全防護(hù)是個(gè)系統(tǒng)性的工程，需要硬件、Kernel、框架及應(yīng)用的綜合作用，尤其是 Kernel 和框架，是應(yīng)用信息安全的基礎(chǔ)，在保障自身免受漏洞和缺陷攻擊的前提下，應(yīng)提供盡可能豐富的安全手段， 保護(hù)應(yīng)用及其數(shù)據(jù)的安全，而且，這個(gè)過程對(duì)應(yīng)用盡可能透明和無感。對(duì)于應(yīng)用本身，除了保證本身的 實(shí)現(xiàn)邏輯及代碼安全性符合要求，還需要對(duì)應(yīng)用做加固處理，保護(hù)源代碼和程序邏輯的安全。

系統(tǒng)安全防護(hù)

基礎(chǔ)軟件系統(tǒng)安全包括了車用操作系統(tǒng)內(nèi)核、中間件軟件如 AutoSAR CP、AutoSAR AP 等基礎(chǔ)軟件的整體安全。車聯(lián)網(wǎng)時(shí)代，汽車通過基礎(chǔ)軟件系統(tǒng)可與智能終端、互聯(lián)網(wǎng)等進(jìn)行連接，實(shí)現(xiàn)娛樂、導(dǎo)航、交通信息等服務(wù)?；A(chǔ)軟件系統(tǒng)?；?Linux、QNX 等操作系統(tǒng)內(nèi)核開發(fā)，由于操作系統(tǒng)內(nèi)核代碼龐大且存在不同程度的安全漏洞，操作系統(tǒng)內(nèi)核自身的安全脆弱性將直接導(dǎo)致應(yīng)用系統(tǒng)面臨被惡意入侵、控制的風(fēng)險(xiǎn)。

除此之外，用戶的智能終端也存在被入侵、控制的風(fēng)險(xiǎn)，一旦智能終端被植入惡意代碼，用戶在使 用智能終端與基礎(chǔ)軟件系統(tǒng)互連時(shí)，智能終端里的惡意軟件就會(huì)利用基礎(chǔ)軟件系統(tǒng)可能存在的安全漏洞， 實(shí)施惡意代碼植入、攻擊或傳播，從而導(dǎo)致基礎(chǔ)軟件系統(tǒng)異常甚至接管控制汽車。

基礎(chǔ)軟件系統(tǒng)通常面臨的安全威脅有非授權(quán)訪問、暴力破解、溢出攻擊、惡意軟件、資源壟斷、殘余信息利用、數(shù)據(jù)傳輸竊聽和重放攻擊。

1、非授權(quán)訪問

非授權(quán)用戶或進(jìn)程訪問基礎(chǔ)軟件系統(tǒng)的安全功能數(shù)據(jù)和用戶數(shù)據(jù)，并對(duì)安全功能數(shù)據(jù)和用戶數(shù)據(jù)進(jìn)行惡意操作。

2、暴力破解

運(yùn)用各種軟件工具和安全漏洞，破解合法用戶的口令或避開口令驗(yàn)證過程，然后冒充合法用戶潛入基礎(chǔ)軟件系統(tǒng)，奪取基礎(chǔ)軟件系統(tǒng)控制權(quán)的攻擊形式。

3、溢出攻擊

利用堆棧生長方向和數(shù)據(jù)存儲(chǔ)方向相反的特點(diǎn)，用后存入的數(shù)據(jù)覆蓋先前壓棧的數(shù)據(jù)直至覆蓋函數(shù)的返回地址，函數(shù)執(zhí)行完返回時(shí)改變程序的正常執(zhí)行流程，從而達(dá)到攻擊目的的行為。

4、惡意軟件

惡意軟件可能通過偽裝成授權(quán)應(yīng)用或進(jìn)程訪問用戶數(shù)據(jù)和基礎(chǔ)軟件系統(tǒng)敏感資源。

5、資源壟斷

惡意進(jìn)程 / 線程繞過操作系統(tǒng)內(nèi)核調(diào)度機(jī)制，長時(shí)間持續(xù)占用 CPU 資源，導(dǎo)致其他用戶 / 主體無法獲取 CPU 資源，破壞操作系統(tǒng)內(nèi)核的可用性。

6、殘余信息利用

惡意進(jìn)程可能利用操作系統(tǒng)內(nèi)核對(duì)于殘留信息的處理缺陷，在執(zhí)行過程中對(duì)未刪除的殘留信息進(jìn)行利用，以獲取敏感信息或?yàn)E用操作系統(tǒng)內(nèi)核的安全功能。

7、數(shù)據(jù)傳輸竊聽

惡意用戶或進(jìn)程可能監(jiān)聽基礎(chǔ)軟件系統(tǒng)與遠(yuǎn)程可信實(shí)體間傳遞的用戶數(shù)據(jù)。

8、重放攻擊

非授權(quán)用戶利用所截獲地授權(quán)用戶信息，重新提交給基礎(chǔ)軟件系統(tǒng)，以假冒授權(quán)用戶訪問基礎(chǔ)軟件系統(tǒng)的功能和數(shù)據(jù)。