圖3.4-7 分層的安全系統(tǒng)架構(gòu)

在最底層的硬件層，提供安全芯片作為系統(tǒng)的信任錨。安全芯片通常采用 HSM（Hardware Security Module），配備獨(dú)立的 CPU 核和針對(duì)特定算法的硬件加速器（如 AES-128、SHA-256 等）。HSM 通常還擁有單獨(dú)的存儲(chǔ)區(qū)，包括 RAM 和 NVM，HSM 的存儲(chǔ)區(qū)在正常運(yùn)行狀態(tài)下應(yīng)只允許 HSM 核讀寫，主核不能讀寫。這樣就可以把算法密鑰等重要數(shù)據(jù)存儲(chǔ)在 HSM 存儲(chǔ)區(qū)，與主核進(jìn)行隔離，進(jìn)一步加強(qiáng)安全性。此外 HSM 模塊還會(huì)帶有真隨機(jī)數(shù)生成器等加密算法常用外設(shè)。

TEE 是一種具有運(yùn)算和儲(chǔ)存功能，能提供安全性和完整性保護(hù)的獨(dú)立處理環(huán)境。其基本思想是：在硬件中為敏感數(shù)據(jù)單獨(dú)分配一塊隔離的內(nèi)存，所有敏感數(shù)據(jù)的計(jì)算均在這塊內(nèi)存中進(jìn)行，并且除了經(jīng)過(guò) 授權(quán)的接口外，硬件中的其他部分不能訪問(wèn)這塊隔離內(nèi)存中的信息。以此來(lái)實(shí)現(xiàn)敏感數(shù)據(jù)的隱私計(jì)算。具體實(shí)現(xiàn)參考 3.4.10 TEE 可信執(zhí)行環(huán)境。

在硬件層之上的操作系統(tǒng)內(nèi)核層面，操作系統(tǒng)內(nèi)核應(yīng)為用戶態(tài)應(yīng)用程序的存儲(chǔ)訪問(wèn)提供隔離措施， 以保證每個(gè)存儲(chǔ)訪問(wèn)相互隔離。操作系統(tǒng)內(nèi)核應(yīng)提供措施來(lái)約束每個(gè)進(jìn)程在執(zhí)行過(guò)程中不會(huì)使用超過(guò)其 預(yù)先分配的資源，應(yīng)對(duì)操作系統(tǒng)內(nèi)核的地址空間進(jìn)行保護(hù)，并為應(yīng)用程序提供訪問(wèn)操作系統(tǒng)內(nèi)核地址空 間的安全接口，以支持安全相關(guān)的進(jìn)程間通訊。在操作系統(tǒng)內(nèi)核空間出現(xiàn)異常時(shí)，如非法系統(tǒng)調(diào)用、堆棧溢出、指針異常訪問(wèn)、內(nèi)存越界、死循環(huán)、死鎖、超時(shí)等，操作系統(tǒng)內(nèi)核應(yīng)立即調(diào)用內(nèi)核異常處理程序，并上報(bào)對(duì)應(yīng)的故障代碼。操作系統(tǒng)內(nèi)核應(yīng)盡可能地監(jiān)控每個(gè)用戶態(tài)進(jìn)程的資源消耗，如 CPU、內(nèi)存等。提供棧溢出診斷機(jī)制，以探測(cè)已經(jīng)發(fā)生的棧溢出錯(cuò)誤并調(diào)用內(nèi)核異常處理程序。對(duì)于內(nèi)核服務(wù)接口，操作 系統(tǒng)內(nèi)核應(yīng)向用戶態(tài)軟件模塊提供安全的服務(wù)接口（如 I/O 操作、信號(hào)處理等），不正確地調(diào)用這些服務(wù)接口不應(yīng)導(dǎo)致內(nèi)核崩潰。當(dāng)出現(xiàn)不正確的操作系統(tǒng)內(nèi)核服務(wù)接口調(diào)用（例如，傳遞非法地址、無(wú)效參數(shù)、非法的上下文等）時(shí)，操作系統(tǒng)內(nèi)核服務(wù)接口不應(yīng)執(zhí)行對(duì)應(yīng)的服務(wù)，并且立即返回錯(cuò)誤代碼。

安全啟動(dòng) (Secure Boot) 就是在基礎(chǔ)軟件系統(tǒng)啟動(dòng)過(guò)程中，前一個(gè)系統(tǒng)驗(yàn)證后一個(gè)系統(tǒng)的數(shù)字簽名， 驗(yàn)證通過(guò)后，運(yùn)行后一個(gè)系統(tǒng)。在可信計(jì)算體系中，建立信任需要先擁有可信根（Root of Trust），然后建立一條可信鏈（chain of Trust）, 再將信任傳遞到系統(tǒng)的各個(gè)模塊，之后就能建立整個(gè)系統(tǒng)的可信。安全啟動(dòng)的原理就是硬件信任錨 + 信任鏈。而 HSM 在安全啟動(dòng)中就充當(dāng)了硬件信任錨的角色，具體安全啟動(dòng)流程可參見 3.4.5 安全可信啟動(dòng)章節(jié)。

基礎(chǔ)軟件系統(tǒng)本身應(yīng)當(dāng)執(zhí)行系統(tǒng)加固，以減少遭受外部攻擊的可能性，具體說(shuō)來(lái)基礎(chǔ)軟件系統(tǒng)應(yīng)遵 循最小化原則：移除不必要的服務(wù)程序，關(guān)閉不需要的端口和服務(wù)；移除開發(fā)、編譯、調(diào)測(cè)類、網(wǎng)絡(luò)嗅探類的服務(wù)和工具；去除安裝、顯示和調(diào)整系統(tǒng)安全策略的服務(wù)和工具；檢查不應(yīng)存在任何后門和隱藏接口?；A(chǔ)軟件系統(tǒng)應(yīng)執(zhí)行漏洞掃描，不應(yīng)存在由權(quán)威漏洞平臺(tái) 6 個(gè)月前公布且未經(jīng)處置的高危及以上的安全漏洞。

主動(dòng)防御是利用操作系統(tǒng)內(nèi)核與工具鏈對(duì)整個(gè)基礎(chǔ)軟件系統(tǒng)引入動(dòng)態(tài)、隨機(jī)、多樣的安全基因。使整個(gè)基礎(chǔ)軟件系統(tǒng)在沒有外界輔助手段支撐的情況下仍具有發(fā)現(xiàn)和抵抗各種 “病毒”（包括未知威脅）的能力。具體說(shuō)來(lái)就是針對(duì) “系統(tǒng)探測(cè)” - “漏洞挖掘” - “系統(tǒng)突破” - “系統(tǒng)控制” 的攻擊鏈，主動(dòng)防御能在不同的攻擊步驟上通過(guò)隨機(jī)化（運(yùn)行地址隨機(jī)化、全局符號(hào)隨機(jī)化、數(shù)據(jù)結(jié)構(gòu)隨機(jī)化）、異構(gòu)發(fā)布等手段，改變攻擊過(guò)程所依賴的系統(tǒng)規(guī)律，通過(guò)編譯器產(chǎn)生具有隨機(jī)、多樣性特征的多變體，使被攻擊路徑呈現(xiàn)為隨機(jī)、多樣的特征，提高攻擊、破解基礎(chǔ)軟件系統(tǒng)的難度。

基于硬件和操作系統(tǒng)內(nèi)核的安全支撐，基礎(chǔ)軟件系統(tǒng)還能提供防火墻和入侵檢測(cè)來(lái)應(yīng)對(duì)外部網(wǎng)絡(luò)攻 擊。防火墻可以隔離內(nèi)外部網(wǎng)絡(luò)，入侵檢測(cè)可以及時(shí)阻止基礎(chǔ)軟件系統(tǒng)內(nèi)部異常的通信。為了進(jìn)一步提 高內(nèi)部網(wǎng)絡(luò)的安全，還可以按風(fēng)險(xiǎn)、業(yè)務(wù)將內(nèi)部網(wǎng)絡(luò)分割成互相隔離的部分。針對(duì)車內(nèi)常見的 CAN 通信， 采用 SecOC 來(lái)保證通信的可靠性。

防火墻可以提供針對(duì)特定端口或 IP 的訪問(wèn)控制實(shí)現(xiàn)防 DDos 攻擊功能，實(shí)現(xiàn)對(duì)報(bào)文的安全過(guò)濾，攔截非法數(shù)據(jù)，避免其進(jìn)入安全區(qū)域。防火墻的相關(guān)數(shù)據(jù)（如攔截?cái)?shù)據(jù)流量、防火墻故障狀態(tài)和防火墻規(guī)則數(shù)量等）也可以存儲(chǔ)在相應(yīng)的安全區(qū)域，并及時(shí)上報(bào)或轉(zhuǎn)發(fā)其它模塊處理。

入侵檢測(cè) (IDS) 實(shí)時(shí)監(jiān)視系統(tǒng)，一旦發(fā)現(xiàn)異常情況就發(fā)出警告。根據(jù)信息來(lái)源可分為基于主機(jī)  IDS、基于 CAN 和以太網(wǎng)的 IDS。基于主機(jī)的入侵檢測(cè)系統(tǒng)作為基礎(chǔ)軟件系統(tǒng)的監(jiān)視器和分析器，它并不作用于外部接口，而是專注于系統(tǒng)內(nèi)部，監(jiān)視系統(tǒng)全部或部分的動(dòng)態(tài)行為以及整個(gè)計(jì)算機(jī)系統(tǒng)的狀態(tài)，包括 對(duì)系統(tǒng)配置文件、系統(tǒng)日志、進(jìn)程、系統(tǒng)調(diào)用、文件系統(tǒng)的監(jiān)控及異常發(fā)現(xiàn)和告警能力。基于 CAN 總線和以太網(wǎng)的入侵檢測(cè)可以通過(guò)車內(nèi)接口，實(shí)時(shí)采集 CAN 總線和以太網(wǎng)的通信數(shù)據(jù)，并根據(jù)策略分析是否有異常流量的數(shù)據(jù)包，并及時(shí)上傳到相關(guān)控制器和云端。根據(jù)檢測(cè)方法又可分為異常入侵檢測(cè)和誤用入侵 檢測(cè)，前者先要建立一個(gè)系統(tǒng)訪問(wèn)正常行為的模型，凡是訪問(wèn)者不符合這個(gè)模型的行為將被斷定為入侵；后者則相反，先要將所有可能發(fā)生的不利的、不可接受的行為歸納建立一個(gè)模型，凡是訪問(wèn)者符合這個(gè)模型的行為將被斷定為入侵。

為了提高網(wǎng)絡(luò)通信的安全性，還可以采用網(wǎng)絡(luò)分割來(lái)防御車內(nèi)網(wǎng)絡(luò)攻擊。將關(guān)鍵安全網(wǎng)絡(luò)和非關(guān)鍵安全的網(wǎng)絡(luò)或者是能與外部鏈接的網(wǎng)絡(luò)隔離，通過(guò)受限制在不同的網(wǎng)絡(luò)中，網(wǎng)絡(luò)間的通信限制通過(guò)防火墻或者安全網(wǎng)關(guān)，單獨(dú)允許一個(gè)可選擇的信任幀列表從低信任的廣播到高信任的網(wǎng)絡(luò)，使攻擊者實(shí)現(xiàn)攻擊難度大大增加。

目前在車內(nèi)應(yīng)用最廣的 CAN 通訊設(shè)計(jì)之初沒有考慮信息安全。其明文傳輸、報(bào)文廣播傳輸、極少網(wǎng)絡(luò)分段等特性帶來(lái)了很大的安全風(fēng)險(xiǎn)。為了給 CAN 通訊增加一定的安全性，響應(yīng)汽車行業(yè)對(duì)數(shù)據(jù)加密和驗(yàn)證的需求，AUTOSAR 組織補(bǔ)充了全稱為 Secure onboard Communication（SecOC）的組件，為車載通訊總線引入了一套通信加密和驗(yàn)證的標(biāo)準(zhǔn)，增加了加解密運(yùn)算、密鑰管理、新鮮值管理和分發(fā)等一系列的功能和新要求（相關(guān)技術(shù)的詳細(xì)介紹可參考 4.1.1 節(jié)）。SecOC 模塊在 PDU 級(jí)別上為關(guān)鍵數(shù)據(jù)提供有效可行的身份驗(yàn)證機(jī)制。認(rèn)證機(jī)制與當(dāng)前的  AUTOSAR  通信系統(tǒng)無(wú)縫集成，同時(shí)對(duì)資源消耗的影響應(yīng)盡可能小，以便可為舊系統(tǒng)提供附加保護(hù)。

基礎(chǔ)軟件系統(tǒng)安全是一個(gè)綜合課題，需要在不同層次、不同維度對(duì)基礎(chǔ)軟件系統(tǒng)面臨的威脅進(jìn)行分析， 結(jié)合對(duì)安全資產(chǎn)、攻擊者角度、攻擊路徑、造成的危害綜合評(píng)判，采用不同的安全技術(shù)對(duì)基礎(chǔ)軟件系統(tǒng)進(jìn)行保護(hù)，并且隨著新的漏洞發(fā)現(xiàn)和攻擊技術(shù)的出現(xiàn)，及時(shí)更新基礎(chǔ)軟件系統(tǒng)的防護(hù)能力。

安全可信啟動(dòng)

目前主流的嵌入式設(shè)備都采用可編程片上系統(tǒng) (System on a Chip，SOC) 作為其嵌入式系統(tǒng)。在SOC 啟動(dòng)過(guò)程中存在一定的安全風(fēng)險(xiǎn)，惡意軟件有可能會(huì)修改引導(dǎo)加載程序等固件。比如，使 SOC 受到Rootkit 攻擊。Rootkit 等惡意軟件通過(guò)修改系統(tǒng)的啟動(dòng)過(guò)程，安裝到系統(tǒng)內(nèi)以達(dá)到持久駐留系統(tǒng)的目的， SOC 一旦受到 Rootkit 等惡意代碼感染，即使重新安裝系統(tǒng)也無(wú)法清除。因此有必要對(duì) SOC 進(jìn)行安全保護(hù)，防止在啟動(dòng)過(guò)程中固件被惡意篡改。

圖3.4-8 安全可信啟動(dòng)

由于操作系統(tǒng)啟動(dòng)時(shí)需要有多個(gè)啟動(dòng)鏡像，因此在安全啟動(dòng)過(guò)程中通過(guò)建立信任鏈。每個(gè)固件在加載運(yùn)行前都經(jīng)過(guò)數(shù)字簽名的驗(yàn)證，只有當(dāng)前階段對(duì)后續(xù)待啟動(dòng)的模塊進(jìn)行驗(yàn)證通過(guò)后，才會(huì)加載和執(zhí)行后續(xù)的模塊。