08.HarmonyOS+for+Car智能汽车网络安全与隐私保护实践.pdf

1、HarmonyOS助力智能汽车网络安全增强与隐私保护实践分级安全系统理论是HarmonyOS安全核心思想主体主体高等级客体客体高等级主体主体低等级客体客体低等级可读可写可读可写不可写不可读泄密窃密BLP BLP 模型核心规则模型核心规则不上读不上读-主体不可读安全级别高于它的客体（数据）不下写不下写-主体不可写安全级别低于它的客体（数据）主体主体高等级客体客体高等级主体主体低等级客体客体低等级可读可写可读可写不可写不可读BibaBiba模型核心规则模型核心规则不下读不下读-主体不能读取安全级别低于它的客体（数据）不上写不上写-主体不能写入安全级别高于它的客体（数据）1973年，D.E.Bell

2、 和 L.J.LaPadula 将军事领域的访问控制规则形式化为Bell&LaPadula模型，简称BLP模型。BLP模型从数学角度证明了可以保证信息隐私性，但是没有解决数据完整性的问题。就此，Ken Biba在1977年推出了Biba模型。正确的人正确的人（数据的主体数据的主体信任等级信任等级）正确的设备正确的设备（数据的载体数据的载体环境属性等级）正确使用正确使用数据数据（数据的客体数据的客体隐私敏感等级）人工驾驶域控座舱座舱TBox自动驾驶域控网关车控ECU1车控ECU2车控ECUn智能汽车以太CAN智能汽车电子电气架构车内设备安全等级划分漏洞防利用高安芯片TEE形式化微内核应用沙箱强制

3、访问控制密钥安全存储安全算法引擎一车一授权安全启动漏洞防利用TEE应用沙箱强制访问控制密钥安全存储安全算法引擎安全启动漏洞防利用TEE密钥安全存储安全算法引擎安全启动密钥安全存储安全算法引擎安全启动密钥软件存储安全算法软件实现软件包校验SL1SL1SL2SL2SL3SL3SL4SL4SL5SL5座舱座舱TBoxTBox/网关网关人工驾驶人工驾驶/自动驾驶自动驾驶ECUECUECUECU人工驾驶域控座舱座舱TBox自动驾驶域控网关车控ECU1车控ECU2车控ECUn智能汽车以太CANSL5SL5SL5/4SL5/4SL4/3SL4/3SL4/3SL4/3SL2/1SL2/1SL2/1SL2/1S

4、L2/1SL2/1SL4/3SL4/3智能汽车面临的网络安全与隐私保护挑战数量众多的车控ECU安全能力薄弱，又需要提供对外的诊断接口，怎么利用强安全部件提供保护？座舱作为发送车控指令的入口部件，如何保证座舱软件的完整性，防止非法版本降级？座舱同时提供娱乐功能和仪表功能，如何进行充分隔离？座舱支持第三方应用安装，如何保证应用的合法性，阻止恶意应用？座舱是隐私中心，如何保护车主隐私？蜂窝网络USB WIFI 蓝牙诊断鸿蒙座舱代理ECU完成UDS 27认证，强帮弱，保护车控座舱座舱对外网关对外网关内部网关内部网关ECU1ECU1ECU2ECU2ECUnECUn诊断仪诊断仪12345诊断仪诊断仪ECU

5、ECU请求请求SeedSeed发送发送SeedSeed发送发送KeyKeyUDS 27UDS 27认证认证依据加密算依据加密算法计算法计算KeyKey依据加密算依据加密算法计算法计算KeyKey，校验校验KeyKey解锁解锁智能汽车智能汽车SL5SL5SL1SL1SL1SL1SL1SL1鸿蒙座舱升级支持一车一授权，实现密码学强度的防软件降级=OEMOEM升级云升级云+刷写校验启动校验座舱座舱软件包安装授权其他来源其他来源OEMOEM PKIPKI软件包安装授权软件包安装授权合法软件包带漏洞软件包合法软件包带漏洞软件包合法软件包+软件包安装授权合法软件包+鸿蒙座舱支持娱乐域与仪表域VM级隔离，保

6、护仪表安全鸿蒙座舱鸿蒙座舱鸿蒙座舱娱乐域内核FWK&ServiceVMMTrusted VMsATF&BootloaderTEE OSTEE（可信执行环境）HKIP LibMicrovisorATF Monitor微内核iTrustee FWKTEE ServiceiTrustee APITAs安全启动链漏洞防利用安全芯片管理框架微内核TAAPP芯片安全硬件信任根内存页权限加密引擎防物理攻击系统风险检测Inline加密VM管理(Libuvmm)升级安全TrustZoneTZPC虚拟化扩展IC仪表完整性保护分布式访问