面向服務(wù)架構(gòu)的汽車信息安全設(shè)計(jì)研究

朱亭諾，劉 聰

（1.阿爾特汽車技術(shù)股份有限公司，北京 100076；2.上海禾騁科技有限公司，上海 201805）

隨著智能網(wǎng)聯(lián)汽車架構(gòu)的升級迭代，整車電氣架構(gòu)從分布式架構(gòu)逐步進(jìn)化為域集中式架構(gòu)，未來將轉(zhuǎn)化為云集中式架構(gòu)，同時(shí)高帶寬的通信需求也使得以太網(wǎng)在汽車電子電氣架構(gòu)中的比重逐漸增多。SOA（Service Oriented Architecture，面向服務(wù)架構(gòu)）為架構(gòu)從傳統(tǒng)分布式到先進(jìn)架構(gòu)形式的轉(zhuǎn)變提供了指導(dǎo)，在汽車行業(yè)逐步得到應(yīng)用。在SOA應(yīng)用場景下，車端與后臺、車端與云端以及車內(nèi)存在大量的數(shù)據(jù)交互，存在信息安全風(fēng)險(xiǎn)點(diǎn)，因此進(jìn)行SOA應(yīng)用場景下的信息安全設(shè)計(jì)是十分必要的。

1 SOA架構(gòu)介紹及優(yōu)勢

1.1 SOA介紹

SOA是一種面向服務(wù)的功能架構(gòu)設(shè)計(jì)理念，在這種設(shè)計(jì)理念下，實(shí)際功能系統(tǒng)被拆解成合適大小且獨(dú)立部署的功能模塊，可以實(shí)現(xiàn)大量數(shù)據(jù)動態(tài)交互，提高效率，降低負(fù)載。SOA被認(rèn)為是可以為汽車行業(yè)提供更多靈活性，更好硬件抽象能力，實(shí)現(xiàn)功能快速迭代的關(guān)鍵方法。

目前，汽車行業(yè)成熟的全域SOA架構(gòu)還未實(shí)現(xiàn)完全落地，但許多主機(jī)廠及技術(shù)開發(fā)商已經(jīng)開始著手搭建整車SOA架構(gòu)平臺，隨著智能座艙和智能駕駛以及車載以太網(wǎng)的廣泛應(yīng)用，SOA架構(gòu)將逐步深入到汽車架構(gòu)開發(fā)中。

1.2 SOA應(yīng)用優(yōu)勢

基于SOA的電子電氣架構(gòu)有如下優(yōu)勢。

1）節(jié)約成本、提高效率。軟件在汽車開發(fā)中占據(jù)的比例越來越高，車載SOA軟件架構(gòu)遵循服務(wù)設(shè)計(jì)原則，實(shí)現(xiàn)軟件定義汽車，可以減少軟件開發(fā)的復(fù)雜度。

2）易于集成及擴(kuò)展。中間層在系統(tǒng)啟動時(shí)建立通信路徑，并且調(diào)用底層軟件的服務(wù)來定義數(shù)據(jù)的序列化，從而實(shí)現(xiàn)軟件的局部升級，提高失效的安全性。在一個(gè)服務(wù)失效時(shí)，另一個(gè)相同的或匹配的服務(wù)可以進(jìn)行替代，在分布式的系統(tǒng)中，同一個(gè)服務(wù)的多個(gè)控制器不需要同時(shí)更新。

3）服務(wù)間松耦合、無狀態(tài)、無依賴。每個(gè)服務(wù)模塊都是互相獨(dú)立、可單獨(dú)運(yùn)行的執(zhí)行單元，服務(wù)之間通過標(biāo)準(zhǔn)化的接口進(jìn)行交互調(diào)用，每個(gè)服務(wù)可以單獨(dú)進(jìn)行安裝和升級。

4）服務(wù)內(nèi)高內(nèi)聚、可復(fù)用。通過服務(wù)發(fā)現(xiàn)可以在控制器運(yùn)行時(shí)獲取服務(wù)的位置。在整車生命周期內(nèi)，可以調(diào)整服務(wù)所在的位置；基于合理的服務(wù)劃分，可以實(shí)現(xiàn)靈活的功能分配。

2 SOA架構(gòu)面臨的信息安全風(fēng)險(xiǎn)分析

2.1 信息安全風(fēng)險(xiǎn)點(diǎn)分析

在SOA架構(gòu)應(yīng)用場景下，車內(nèi)電子電氣架構(gòu)與云端架構(gòu)越來越融合，未來架構(gòu)趨勢向集中式架構(gòu)發(fā)展，愈來愈多的汽車數(shù)據(jù)會在云端進(jìn)行計(jì)算，以及實(shí)現(xiàn)部分功能分配。不斷提升速率的通信數(shù)據(jù)，大量新的網(wǎng)絡(luò)協(xié)議，以及第三方集成的服務(wù)組件都對信息安全提出了新的要求和挑戰(zhàn)。

汽車外部接口眾多，面臨的信息安全風(fēng)險(xiǎn)也很高。惡意攻擊者可以通過攻擊車輛薄弱的外部接口，比如車載藍(lán)牙、診斷接口或后端服務(wù)器，從而控制車內(nèi)控制器，導(dǎo)致數(shù)據(jù)被非法獲取?；蛘吖粽咄ㄟ^不安全的網(wǎng)絡(luò)接口，通過SQL（Structured Query Language，結(jié)構(gòu)化查詢語言數(shù)據(jù)庫）注入導(dǎo)致非法查詢數(shù)據(jù)庫資源，對車輛信息如車輛行駛軌跡、車輛位置或者車主信息如身份證號、姓名、手機(jī)號等個(gè)人敏感信息進(jìn)行竊取，或者進(jìn)一步通過XSS跨站攻擊入侵遠(yuǎn)程后臺，通過中間件遠(yuǎn)程命令執(zhí)行導(dǎo)致服務(wù)被遠(yuǎn)程入侵。圖1為整車風(fēng)險(xiǎn)概念圖。

圖1 整車風(fēng)險(xiǎn)概念圖

2.2 信息安全風(fēng)險(xiǎn)挑戰(zhàn)總結(jié)

整車面臨的新的信息安全風(fēng)險(xiǎn)挑戰(zhàn)主要有以下幾方面。

2.2.1 系統(tǒng)漏洞

與SOA服務(wù)一起，Autosar AP（Autosar Adaptive Platform，汽車開放系統(tǒng)架構(gòu)自適應(yīng)平臺）運(yùn)行平臺的內(nèi)核和操作系統(tǒng)一并集成到汽車中，隨之而來的是新的網(wǎng)絡(luò)威脅。如安卓系統(tǒng)，AP操作系統(tǒng)的漏洞也有可能被攻擊者利用，威脅整車系統(tǒng)安全。黑客可能利用操作系統(tǒng)的系統(tǒng)權(quán)限及資源訪問機(jī)制的缺陷越權(quán)處理數(shù)據(jù)，篡改偽造車內(nèi)數(shù)據(jù)，威脅車輛及人身安全。

SOA 架構(gòu)中運(yùn)用的SOME/IP 協(xié)議（Scalable service-Oriented Middleware over Internet Protocol，基于網(wǎng)絡(luò)互連協(xié)議的可擴(kuò)展面向服務(wù)的中間件）、DoIP（Diagnostic communication over Internet Protocol，通過網(wǎng)絡(luò)協(xié)議進(jìn)行診斷通信）協(xié)議以及基于TCP協(xié)議（Transmission Control Protocol，傳輸層通信協(xié)議）的運(yùn)程服務(wù)調(diào)用過程，隨著服務(wù)請求的擴(kuò)展，在大流量數(shù)據(jù)的壓力下，任何潛在的系統(tǒng)漏洞都會導(dǎo)致存在拒絕服務(wù)的風(fēng)險(xiǎn)。

2.2.2 網(wǎng)絡(luò)入侵

由于所有客戶端都可以根據(jù)需求實(shí)現(xiàn)訂閱服務(wù)，因此在整車系統(tǒng)訪問時(shí)，源目標(biāo)地址IP（Internet Protocol，網(wǎng)絡(luò)互連協(xié)議）是非永久靜態(tài)的，對于傳統(tǒng)防火墻來說，簡單的網(wǎng)絡(luò)層、傳輸層的數(shù)據(jù)過濾包和規(guī)則無法實(shí)現(xiàn)非法數(shù)據(jù)包的過濾。動態(tài)IP地址過濾只可能基于更高屬性的協(xié)議規(guī)范，如SOME/IP來進(jìn)行設(shè)計(jì)。動態(tài)的仿冒IP地址及非法的數(shù)據(jù)包對于靜態(tài)數(shù)據(jù)包的過濾規(guī)則是無法適用的。

如果大量非法IP地址及數(shù)據(jù)包進(jìn)入車內(nèi)總線，惡意地訪問網(wǎng)絡(luò)，造成網(wǎng)絡(luò)負(fù)載激增后觸發(fā)安全事件，總線遭受到DOS（Denial Of Service，拒絕服務(wù)）攻擊會導(dǎo)致車內(nèi)網(wǎng)絡(luò)無法提供服務(wù)，引發(fā)車輛功能的降級甚至喪失。

2.2.3 外部服務(wù)

第三方云服務(wù)以及第三方硬件的接入都存在未知的攻擊點(diǎn)。應(yīng)用軟件為實(shí)現(xiàn)服務(wù)的自由組合，通過調(diào)用接口獲得所需要的數(shù)據(jù)?？刂破髋cSOA服務(wù)架構(gòu)平臺通過數(shù)據(jù)的交互，實(shí)現(xiàn)服務(wù)發(fā)現(xiàn)、服務(wù)進(jìn)程調(diào)用、服務(wù)跨域的調(diào)用以及組合服務(wù)和基礎(chǔ)服務(wù)。

在開放的平臺架構(gòu)下，應(yīng)用軟件的可信度是降低的，且信任度是呈現(xiàn)動態(tài)變化的。如果駕駛員無條件信任第三方的軟件應(yīng)用，可能會導(dǎo)致非授權(quán)的應(yīng)用被執(zhí)行，導(dǎo)致惡意軟件感染網(wǎng)絡(luò)。

2.2.4 非法監(jiān)聽

開放的環(huán)境為非法的數(shù)據(jù)監(jiān)聽提供了便利，攻擊者通過監(jiān)聽或截獲程序的應(yīng)用數(shù)據(jù)，可能導(dǎo)致用戶身份、車輛數(shù)據(jù)等重要數(shù)據(jù)的泄露。

3 SOA架構(gòu)下的信息安全設(shè)計(jì)框架

設(shè)計(jì)汽車SOA平臺安全保護(hù)框架用于保障開放生態(tài)環(huán)境下的車端平臺和云端平臺的安全以及應(yīng)用軟件的安全。汽車的信息安全設(shè)計(jì)，首先會對整車系統(tǒng)進(jìn)行威脅分析和風(fēng)險(xiǎn)評估來識別應(yīng)該受保護(hù)的資產(chǎn)，以及分析系統(tǒng)潛在的風(fēng)險(xiǎn)，然后制定相應(yīng)的信息安全目標(biāo)和處置策略，輸出系統(tǒng)信息安全需求。威脅分析與風(fēng)險(xiǎn)評估的活動貫穿整個(gè)信息安全開發(fā)周期，為信息安全的開發(fā)與管理提供了基礎(chǔ)保障。

針對于SOA架構(gòu)開放環(huán)境的特點(diǎn)，在資產(chǎn)識別的過程中不僅要分析當(dāng)前功能邏輯設(shè)計(jì)已經(jīng)完成的功能需求，還要充分考慮到SOA服務(wù)場景的創(chuàng)新假設(shè)。從原始的需求分析開始，依據(jù)整車基礎(chǔ)能力，考慮應(yīng)用場景的創(chuàng)新方向，構(gòu)思用戶使用場景和系統(tǒng)資源分配能力，從而得到較全面的事前預(yù)測需求。

SOA安全架構(gòu)設(shè)計(jì)的核心構(gòu)想是基于零信任架構(gòu)概念。零信任的思想是不信任對系統(tǒng)內(nèi)外的系統(tǒng)、數(shù)據(jù)以及應(yīng)用程序等資源的訪問控制。這種需要持續(xù)驗(yàn)證訪問身份和信任等級的機(jī)制正適合車載SOA開放平臺下可信度低的架構(gòu)?；诹阈湃蔚募軜?gòu)，信息安全防護(hù)的核心方法主要采取零信任控制策略、微隔離等手段。依托的信息安全基礎(chǔ)有：通信保護(hù)、身份認(rèn)證、安全存儲以及密碼模塊的應(yīng)用等。如圖2所示。

圖2 零信任架構(gòu)

3.1 身份認(rèn)證

零信任架構(gòu)的前提是身份認(rèn)證。車上進(jìn)行身份認(rèn)證最常用的手段有口令密碼驗(yàn)證、對稱密鑰，如消息驗(yàn)證碼的驗(yàn)證、公鑰簽名進(jìn)行驗(yàn)證等，需要結(jié)合系統(tǒng)資源運(yùn)行環(huán)境選取合適的認(rèn)證手段?？刂撇呗缘臎Q策也要基于身份管理系統(tǒng)的驗(yàn)證。傳統(tǒng)網(wǎng)絡(luò)通常在系統(tǒng)邊界處進(jìn)行認(rèn)證和控制，一般認(rèn)為外部網(wǎng)絡(luò)為不可信，內(nèi)部網(wǎng)絡(luò)為可信，而零信任架構(gòu)在任何用戶或進(jìn)程每一次發(fā)起連接、調(diào)用服務(wù)時(shí)，在通過控制策略認(rèn)證前，都認(rèn)為是不可信的。

3.2 控制策略

將車內(nèi)的功能業(yè)務(wù)、網(wǎng)絡(luò)、應(yīng)用進(jìn)程進(jìn)行最小化授權(quán)，結(jié)合威脅分析和風(fēng)險(xiǎn)評估的安全要求制定整車資源訪問控制策略，如允許對服務(wù)進(jìn)行跨域調(diào)用，或禁止未授權(quán)的應(yīng)用運(yùn)行。應(yīng)為每個(gè)業(yè)務(wù)主體分配合理的信任度等級，并將信任度等級與控制策略進(jìn)行匹配，做到模塊化的管理。持續(xù)性的信任等級的驗(yàn)證可以保證系統(tǒng)訪問的合理性。用戶的是否可信基于身份管理系統(tǒng)的身份驗(yàn)證，而信任等級需要考慮訪問資源的重要性、歷史訪問請求的策略，并且為信任度增加信任因子的權(quán)重系數(shù)，進(jìn)行動態(tài)分析并實(shí)時(shí)做出調(diào)整。零信任架構(gòu)對一次性的身份認(rèn)證認(rèn)為是不安全的，無法保證身份持續(xù)的合法性，即便是采用安全度較高的認(rèn)證方式，也要進(jìn)行持續(xù)性的安全評估，根據(jù)評估結(jié)果進(jìn)行動態(tài)化的計(jì)算和判斷。

3.3 策略建模

策略建模的主要思想是：事前預(yù)測、事中預(yù)防、事后響應(yīng)。事前預(yù)測基于威脅分析與風(fēng)險(xiǎn)評估的分析結(jié)果以及服務(wù)場景假設(shè)的動態(tài)預(yù)測，根據(jù)事前預(yù)測的需求，在終端或后臺部署響應(yīng)的信息安全防護(hù)措施，在發(fā)生信息安全事件后，及時(shí)進(jìn)行報(bào)警提醒并且快速響應(yīng)，執(zhí)行信息安全防護(hù)策略，對攻擊進(jìn)行阻斷，并觸發(fā)修復(fù)。

3.4 微隔離

微隔離，即顆粒度更小的網(wǎng)絡(luò)隔離技術(shù)。區(qū)別于傳統(tǒng)的防火墻的單點(diǎn)邊界隔離，微隔離的核心要求是應(yīng)對數(shù)據(jù)流量的隔離，能夠體現(xiàn)在云計(jì)算環(huán)境中的需求。在車輛網(wǎng)的架構(gòu)平臺上，由于要服務(wù)的自由組合，IP地址不再是靜態(tài)配置的參數(shù)，而變成了動態(tài)分配的變量，因此傳統(tǒng)防火墻已經(jīng)不能滿足數(shù)據(jù)或網(wǎng)絡(luò)的過濾要求。

車上的微隔離技術(shù)思想是實(shí)現(xiàn)最小化的業(yè)務(wù)單元區(qū)分。應(yīng)用網(wǎng)絡(luò)隔離思想將整車架構(gòu)按照邏輯業(yè)務(wù)劃分不同的網(wǎng)絡(luò)以實(shí)現(xiàn)網(wǎng)絡(luò)層的隔離、業(yè)務(wù)層的隔離、服務(wù)層的隔離以及系統(tǒng)層的隔離。網(wǎng)絡(luò)層隔離基于IPSec（Internet Protocol Security，互聯(lián)網(wǎng)安全協(xié)議）、TLS等安全協(xié)議的支持，實(shí)現(xiàn)車內(nèi)車外局域網(wǎng)的隔離。業(yè)務(wù)層隔離采用認(rèn)證及強(qiáng)制訪問控制等機(jī)制實(shí)現(xiàn)API接口（Application Programming Interface，應(yīng)用程序接口）及重要參數(shù)的隔離。服務(wù)層隔離采用Cgroup（Control Groups，源自控制群組）或Namespace（命名空間）等手段實(shí)現(xiàn)服務(wù)的分組分類與分區(qū)，將敏感數(shù)據(jù)及應(yīng)用軟件訪問服務(wù)進(jìn)行加密和隔離。系統(tǒng)資源隔離是將RAM（Random Access Memory，隨機(jī)存儲寄存器）、時(shí)鐘等系統(tǒng)資源存儲在安全區(qū)域，如TEE（Trusted Execution Environment，可信執(zhí)行環(huán)境）等，實(shí)現(xiàn)安全隔離環(huán)境運(yùn)行。

4 總結(jié)

此文對SOA架構(gòu)下面臨的車載信息安全風(fēng)險(xiǎn)做了簡要的分析與概括，結(jié)合SOA架構(gòu)的特點(diǎn)，車載信息安全的防護(hù)主要采取零信任架構(gòu)的設(shè)計(jì)理念，基于基礎(chǔ)信息安全防護(hù)技術(shù)實(shí)現(xiàn)對整車安全資產(chǎn)的保護(hù)。對于汽車行業(yè)不斷涌現(xiàn)的新技術(shù)，對汽車信息安全潛在的風(fēng)險(xiǎn)應(yīng)進(jìn)行持續(xù)性的分析與管理，將有助于減少用戶、主機(jī)廠所面臨的潛在風(fēng)險(xiǎn)。