车载软件架构 —— 信息安全与基础软件

我是穿拖鞋的汉子，魔都中坚持长期主义的汽车电子工程师。

老规矩，分享一段喜欢的文字，避免自己成为高知识低文化的工程师：

“

没有人关注你。也无需有人关注你。你必须承认自己的价值，你不能站在他人的角度来反对自己。人生在世，最怕的就是把别人的眼光当成自己生活的唯一标准。到最后，既没有活成别人喜欢的样子，也没有活成自己想要的样子。我们只有接纳真实的自己，不自卑、不自傲，才能拥有更强大的内心；只有找到自己的核心价值，才能活出自己的精彩人生。

”

本文主要讲述如下内容，接着上一篇的介绍内容，继续聊AUTOSAR OS相关内容：

-> 1、车载信息安全

-> 2、死锁和优先级反转

-> 3、优先级天花板协议

一、车载信息安全

汽车基础软件信息安全作为一个汽车行业的新兴技术领域，其技术标准目前仍尚处于规划阶段。因为跟安全强烈绑定，其重要性不言而喻。国家层面也出了很多规定。

当前国内在该相关领域的标准组织包括全国信息安全标准化技术委员会、全国汽车标准化技术委员会和中国汽车工程学会，相关部门印发了《车联网网络安全和数据安全标准体系建设指南》，对于车联网网络安全的标准体系建设也形成了相关指导意见。

国际方面则主要有AUTOSAR、ISO/SAE 21434工作组、联合国UN/WP29工作组、美国高速公路交通安全管理局（NHTSA）等相关组织。信息安全标准组织如下图：

国内在这方面的相关组织和协会的侧重点有所不同。信安标委现已发布多项有关操作系统信息安全的标准：

-> 《信息安全技术操作系统安全评估准则》;

-> 《信息安全技术操作系统安全技术要求》

-> 《移动通信智能终端操作系统安全技术要求》

-> 《信息安全技术移动智能终端操作系统安全技术要求和测试评价方法》;

-> 《信息安全技术移动智能终端操作系统安全技术要求和测试评价方法》;

-> 《信息安全技术信息技术产品安全可控评价指标第3部分：操作系统》等。

对操作系统的安全技术要求分为5个保护级：

-> 用户自主保护级;

-> 系统审;

-> 计保护级;

-> 安全标记保护级;

-> 结构化保护级;

-> 访问验证保护级.

要求的内容逐渐由弱到强，包括自主访问控制、强制访问控制、数据标记、数据流控制、身份鉴别、用户数据保密性、安全审计、用户数据完整性、可信路径等。其主要针对的是传统（或通用）操作系统，其中的技术要求并不是都能适合汽车领域的情况。

车载安全技术要求包括安全功能要求和安全保障要求两部分，其中安全功能要求包括：

-> 对访问方身份鉴别；

-> 设置机制对访问控制；

-> 有策略可以对安全审计；

-> 通过手段保证数据安全；

-> 对于存储介质进行管理；

-> 应用软件安全层级管理；

-> 用户策略管理；

-> 软件运行安全保护；

-> 版本升级能力；

-> 超时锁定或注销能力；

-> 设定机制运行监控；

-> 可靠时钟；

-> 可靠时钟；

-> 可靠时钟；

-> 可用性等（还提出了有关网络安全保护、资源利用（系统配置安全）；

-> 可信操作；

-> 内核安全；

-> 调用保护；

-> 入侵防范；

-> 恶意代码防范、内核代码安全等要求）。

安全保障要求包括对开发、指导性文档、生命周期支持、测试、脆弱性评定等。

在《车控操作系统架构研究报告》、《车控操作系统总体技术要求研究报告》、《车载操作系统架构研究报告》、《车载操作系统总体技术要求研究报告》等研究报告中，对车控、车载操作系统的信息安全要求均提出了标准化要求。

车控操作系统的信息安全要求主要包括可信执行环境、密码应用支撑、访问控制与身份鉴别、车内总线安全通信、安全外部通信、安全可信启动、系统安全、应用安全、数据安全、安全监控与防御、面向业务的安全支撑机制与功能等。鉴于车载操作系统内核功能的复杂性，要求车载操作系统应构建完整的信息安全防护机制，降低内核漏洞对系统安全的危险，强化内核的安全防护能力。系统应具备多域隔离、一致性检查、安全启动、安全存储、安全输入、加密文件系统等技术，应具备系统镜像完整性及合法性验证机制、系统镜像回退功能。汽标委目前已启动了《智能网联汽车车控操作系统技术要求》、《智能网联汽车车载操作系统技术要求》标准的研制工作，其中均包含信息安全方面的要求。

基础软件中的信息安全在整个车载软件中处于重中之重的地位。

AUTOSAR（是 Automotive Open System Architecture 的简称）组织于2003年7月联合建立，旨在为汽车电气/电子构架开发一套开放的行业标准。AUTOSAR 的标准体系分为基础标准（Foundation）、经典平台（classic platform）、自适应平台（adaptive platform）和符合性测试（Acceptance Tests）等四个部分。在 AUTOSAR 经典平台中，以硬件安全模块为基础，提供了密码服务方面的层次架构，使得AUTOSAR经典平台的服务分为四个方面：

1、系统；

2、存储；

3、密码；

4、通信。

同其他服务一样，密码服务分为三个层次：密码服务管理、密码硬件抽象和密码驱动程序。

基于密码服务，AUTOSAR 经典平台提供了安全通信组件SecOC，在协议数据单元层面为关键数据提供可行、具有资源有效特性的真实性机制。SecOC 与 AUTOSAR 的通信系统中的PDU Router协同，以处理安全相关协议数据单元的内容。

AUTOSAR 标准也提出了一系列的信息安全要求，包括入侵检测管理系统（IDSM）、消息签名的加密验证、端到端安全、证书管理、应用程序安全相关机制等。

补充：

《道路车辆信息安全工程》中对汽车软件开发的信息安全过程提出了要求，相关要求适用于汽车基础软件开发。

UN/WP.29于2021年发布了有关汽车网络安全、软件升级的2项法规R155、R156，均涉及对汽车基础软件的相关内容，包括防止非特权用户越级访问权限、软件更新、代码安全、密码安全、软件错误或漏洞等。

对于对于密码、诊断、车辆内部通信安全、事件日志、网络端口/协议/服务、外部通信、路由变更、软件更新等方面内容，都需要相应的规范进行定义。同样下属内容也是需要：安全检测、网络和协议保护、软件信息安全、云端信息安全、密码技术、访问控制等提出了要求。

搁笔分享完毕！

愿你我相信时间的力量

做一个长期主义者！

车载软件架构 —— 闲聊几句AUTOSAR OS（九）

车载软件架构 —— 闲聊几句AUTOSAR OS（八）

车载软件架构 —— 闲聊几句AUTOSAR OS（七）

电子电气架构 —— OEM关于DTC具体实现相关见解

电子电气架构——车载DoIP通信汇总

车载软件架构 —— 闲聊几句AUTOSAR OS（六）