CN108573153B

CN108573153B - 一种车载操作系统及其使用方法

Info

Publication number: CN108573153B
Application number: CN201710145003.8A
Authority: CN
Inventors: 赵庆友; 张里阳; 于珊珊; 申利飞; 万淑珍
Original assignee: China Standard Software Co Ltd
Current assignee: China Standard Software Co Ltd
Priority date: 2017-03-13
Filing date: 2017-03-13
Publication date: 2022-03-18
Anticipated expiration: 2037-03-13
Also published as: CN108573153A

Abstract

本发明涉及车载操作系统及其实现方法，所述系统包括用户空间和内核空间，所述用户空间包括应用程序模块、白名单管理模块、配置管理模块以及审计日志生成模块，所述内核空间包括系统调用层、自主访问控制模块，强制访问控制模块，可信度量模块、应用程序装载模块以及策略缓存管理模块，所述白名单管理模块与应用程序模块以及配置管理模块连接，所述可信度量模块用于对应用程序文件进行可信度量，使内核空间判断是否可以继续装载应用程序。本发明实现了对系统启动过程的引导程序和引导文件的度量，增强了系统资源的安全性。

Description

一种车载操作系统及其使用方法

技术领域

本发明涉及计算机技术领域，具体涉及车载操作系统及其使用方法。

背景技术

车载操作系统是用户和车载硬件的接口，同时也是车载硬件和上层软件的接口。车机操作系统的功能包括管理车载系统的硬件、软件及数据资源，控制应用程序运行，改善人机界面，为上层软件提供支持，让车机系统的资源，以及接收到数据、信号、音频、视频最大限度地发挥作用，提供各种形式的用户界面(UI)，使驾驶员有一个好的驾驶环境，并有效的提供辅助驾驶、半自动驾驶、甚至自动驾驶。

随着物联网、移动互联网、无人驾驶等技术的快速发展，车载信息系统的智能化、网络化程度不断加深。但与此同时，黑客入侵车载信息系统的风险也在增加，车载信息系统面临严峻、复杂的信息安全挑战。

目前常见的车载操作系统有Android操作系统及QNX操作系统。

Android是一种基于Linux内核的自由及开放源代码的操作系统，主要使用于移动设备，如智能手机和平板电脑，由Google公司和开放手机联盟领导及开发。它现在已经成为了最流行的终端用户操作系统。许多车机的OEM厂商选择Android版本为基础进行VOS的开发。主要是4.4版本对RAM做了很大的优化，可以在512MBRAM的车机上流畅运行。

Android最大的优势在于庞大的手机应用开发群体，为其OS开发了很多应用，可以方便的移植到车机中。

QNX是一种商用的遵从POSIX规范的类Unix实时操作系统，也是加拿大一家知名的嵌入式系统开发商。目标市场主要是面向嵌入式系统。QNX的应用范围极广，包含了：控制保时捷跑车的音乐和媒体功能、核电站和美国陆军无人驾驶Crusher坦克的控制系统，还有RIM公司的BlackBerryPlayBook平板电脑等。

在汽车领域，QNX是最大的操作系统供应商。据不完全资料显示，QNX在车用市场占有率达到75％，目前全球有超过230种车型使用QNX系统。

Android操作系统的实时性和稳定性较差，安全性方面存在不足，这是其成为VOS最大的障碍。QNX系统属于商用系统，价格昂贵，开发环境相对封闭，开发者相对较少。

发明内容

为解决现有技术的不足，本发明提供了一种车载操作系统，包括用户空间和内核空间，所述用户空间包括应用程序模块、白名单管理模块、配置管理模块以及审计日志生成模块，所述内核空间包括系统调用层、自主访问控制模块、强制访问控制模块、可信度量模块、应用程序装载模块以及策略缓存管理模块，其中，

所述白名单管理模块与应用程序模块以及配置管理模块连接，所述配置管理模块以及审计日志生成模块通过系统调用层与内核空间连接；

所述系统调用层还与自主访问控制模块连接，所述自主访问控制模块与强制访问控制模块连接，所述强制访问控制模块与可信度量模块连接，所述策略缓存管理模块与应用程序装载模块及可信度量模块连接；其中，所述自主访问控制模块用于对应用程序的自主访问权限进行检查及过滤，所述强制访问控制模块用于对应用程序的强制访问权限进行检查及过滤，所述可信度量模块用于在将应用程序装载到用户空间之前，对应用程序文件进行可信度量，生成可信度量值，以与标准度量值进行比较，使内核空间判断是否可以继续装载应用程序。

其中，所述白名单管理模块用于装载白名单及生成白名单。

其中，所述配置管理模块用于根据白名单是否开启以决定是否使可信度量模块开启文件完整性度量功能。

其中，所述可信度量模块包括：

文件完整性保护模块，与强制访问控制模块连接，用于对应用程序进行文件完整性度量；

安全审计模块，与文件完整性保护模块连接，用于根据文件完整性保护模块的工作结果，判断是否通过系统调用层使审计日志生成模块生成审计日志。

其中，所述文件完整性保护模块包括下述组成部分：文件的度量算法、策略模块的加载功能、策略的决策功能、白名单审计事件以及可信文件子系统。

其中，所述策略缓存管理模块包括白名单列表，白名单列表中储存有标准度量值，以便与可信度量模块的可信度量值比较，从而返回应用程序装载模块度量结果。

本发明另外提供了一种车载操作系统的使用方法，包括如下步骤：

S1：根据应用程序装载白名单及生成白名单；

S2：判断白名单是否开启，若开启，则执行步骤S4-S5；若不开启，则直接执行应用程序装载；

S3：对应用程序的自主访问及强制访问权限进行检查及过滤，包括：

在车载操作系统启动中加载强访模块seeotheruids，以阻止不同用户看到其他用户的进程；

在车载操作系统启动中加载强访模块bsdextended，以控制用户对其他用户所有的文件的访问权限；

在车载操作系统启动中加载强访模块biba，并配置文件系统的多标签功能支持，针对敏感文件信息定义安全标签，防止未授权用户的访问；

S4：当白名单开启时，所述可信度量模块在将应用程序装载之前，对应用程序开启文件完整性度量，生成可信度量值；

S5：将可信度量值与标准度量值对比，返回度量结果，并根据度量结果决定是否装载应用程序。

其中，还包括S6：根据步骤S4的结果决定是否通过系统调用层生成审计日志。

本发明中，所谓的“CTMM(TrustedMeasurementModule)”，是指可信度量模块。

本发明中，所谓的“VOS”，是指车载操作系统。

本发明中，所谓的“白名单”，是指经系统管理员认证为可信的可执行文件、库文件、内核模块等的清单数据库。

本发明中，所谓的“自主访问控制(DAC：DiscretionaryAccessControl)”，是指对象(应用程序、文件或进程等)的拥有者可以任意的修改或授予此对象相应的权限。

本发明中，所谓的“强制访问控制(MAC:MandatoryAccessControl)”，是指每个用户及文件都被赋予一定的安全级别，只有系统管理员才可确定用户和组的访问权限，用户不能改变自身或任何客体的安全级别。系统通过比较用户和访问文件的安全级别，决定用户是否可以访问该文件。

本发明提供的车载操作系统及其使用方法，实现了对车载操作系统启动过程的引导程序和引导文件的度量，增强了车载操作系统资源的安全性。

附图说明

图1：本发明提供的车载操作系统的框架示意图。

附图标记说明

1 用户空间

11 应用程序模块

12 白名单管理模块

13 配置管理模块

14 审计日志生成模块

2 内核空间

21 系统调用层

22 可信度量模块

221 文件完整性保护模块

222 安全审计模块

23 应用程序装载模块

24 策略缓存管理模块

25 自主访问控制模块

26 强制访问控制模块。

具体实施方式

为了对本发明的技术方案及有益效果有更进一步的了解，下面配合附图详细说明本发明的技术方案及其产生的有益效果。

图1为本发明提供的车载操作系统的框架示意图，如图1所示，本发明提供了一种车载操作系统，包括用户空间1和内核空间2，用户空间1主要实现车载操作系统的白名单管理功能及配置管理功能，内核空间2主要负责进行文件的可信度量并返回及执行可信度量结果。

因此，本发明提供的车载操作系统，在应用程序装载到用户空间1之前，内核空间2会对应用程序的文件进行可信度量，度量实际硬盘中的文件内容。

所述内核空间2包括系统调用层21、自主访问控制模块25、强制访问控制模块26、可信度量模块22、应用程序装载模块23以及策略缓存管理模块24；其中，所述系统调用层21与自主访问控制模块25连接，所述自主访问控制模块25与强制访问控制模块26连接，所述强制访问控制模块26与可信度量模块22连接，所述策略缓存管理模块24与应用程序装载模块23及可信度量模块22连接；其中，所述自主访问控制模块25用于对应用程序的自主访问权限进行检查及过滤，所述强制访问控制模块26用于对应用程序的强制访问权限进行检查及过滤，所述可信度量模块22用于在将应用程序装载到内核空间2之前，对应用程序文件进行可信度量，生成可信度量值，以与标准度量值进行比较，使内核空间2判断是否可以继续装载应用程序。

具体的，所述可信度量模块22包括：

文件完整性保护模块221，与强制访问控制模块26连接，用于在车载操作系统运行时，对应用程序进行文件完整性度量，保持可执行文件的完整性，阻止被篡改文件的运行；文件完整性保护模块221的文件完整性保护功能涉及下列组成部分：文件的度量算法、策略模块的加载功能、策略的决策功能、白名单审计事件以及可信文件子系统；

安全审计模块222，与文件完整性保护模块221连接，用于根据文件完整性保护模块221的工作结果，判断是否通过系统调用层21使审计日志生成模块14生成审计日志。

所述策略缓存管理模块24包括白名单列表，白名单列表中储存有标准度量值，以便与可信度量模块22的可信度量值比较，从而返回应用程序装载模块23度量结果。

较优的，所述强制访问控制模块26可实现的功能包括：

在车载操作系统启动中加载强访模块seeotheruids(控制其他用户的进程是否可见的模块)，以阻止不同用户看到其他用户的进程；

在车载操作系统启动中加载强访模块bsdextended(扩展模块)，以控制用户对其他用户所有的文件的访问权限；

在车载操作系统启动中加载强访模块biba(完整性模块)，并配置文件系统的多标签功能支持，对需要保护的文件或文件夹、进程等设置适当的标签。

为了启用强制访问控制功能，在引导配置“/boot/loader.conf”中添加如下三行：

mac_seeotheruids_load＝"YES"

mac_bsdextended_load＝"YES"

mac_biba_load＝"YES"

针对BIBA强访策略，配置系统文件标签“/etc/policy.contexts”，针对敏感文件信息定义适当的安全标签，防止未授权用户的访问。

所述用户空间1通过内核空间2内的系统调用层21实现与内核空间2的通信，所述用户空间1包括应用程序模块11、白名单管理模块12、配置管理模块13以及审计日志生成模块14，其中，

所述白名单管理模块12与应用程序模块11以及配置管理模块13连接，用于装载白名单及生成白名单；白名单管理模块12可以增加白名单维护命令工具，以便管理员扫描白名单，更新度量值，启用或停止可信度量等操作；

所述配置管理模块13以及审计日志生成模块14通过系统调用层21与内核空间2连接，所述配置管理模块13用于根据白名单是否开启以决定是否使可信度量模块22开启文件完整性度量功能；所述审计日志生成模块14用于根据安全审计模块222的审计内容生成审计日志。

本发明提供的车载操作系统，在文件的保护中主要针对可执行文件，并且，在对可执行文件的度量中，内核空间2的工作不依赖于文件系统，只依赖于用户的配置，并且，内核空间2对可执行文件的完整性保护起到了控制作用，完整性被篡改的可执行文件在内核空间2的可信访问控制中将会被发现，并被阻止运行。

请继续参阅图1所示，本发明提供的车载操作系统，整理工作流程如下：

S1：白名单管理模块12根据应用程序装载白名单及生成白名单；

S2：配置管理模块13判断生成的白名单是否开启，若开启，则执行步骤S4；若不开启，则直接进行应用程序装载；

S3：自主访问控制模块25及强制访问控制模块26分别对应用程序的自主访问及强制访问权限进行检查及过滤；

S4：文件完整性保护模块221对应用程序开启文件完整性度量；

S5：可信度量模块22将步骤S4对文件度量得到的可信度量值，与策略缓存模块24内的白名单列表的标准度量值对比，返回应用程序装载模块23度量结果，应用程序装载模块23根据度量结果判断是否继续装载应用程序；

S6：安全审计模块222根据步骤S4的结果决定是否通过系统调用层21生成审计日志，若文件完整性保护模块221检测到文件被篡改，则安全审计模块222通过系统调用层21使审计日志生成模块14生成审计日志。

本发明提供的车载操作系统及其使用方法，在具体实施时，本发明提供了下述的一个实施例：

1、白名单设置

登陆系统，打开终端，在终端中输入命令ctmm_set_stat–e1，可开启CTMM功能；

在终端中输入：ctmm_set_stat–e0，可关闭CTMM功能；

在终端中输入：ctmm_get_stat，获取CTMM开启状态。

2、白名单扫描

(1)登陆系统，打开终端,在终端中输入：ctmm_label–help，可显示ctmm_label命令的帮助信息。

(2)在终端中执行ctmm_label,默认不带参数的ctmm_label命令扫描/bin、/sbin、/usr/bin、/usr/sbin、/etc、/usr/local/bin、/usr/local/sbin、/usr/local/etc目录下的可执行应用程序、脚本和模块添加进白名单文件，白名单文件存在于/etc/ctmm/ctmm.policy。

(3)在终端中执行ctmm_label–d/home/test–a，即将/home/test目录下的可执行应用程序、脚本和模块追加到白名单文件中。

3、白名单加载

在终端中执行命令：ctmm_load–p-f/etc/ctmm/ctmm.policy，可将/etc/ctmm/ctmm.policy中白名单列表加载进内核进行管控，在白名单以及度量值相同的应用程序可正确执行，否则执行失败。

在终端中执行命令：ctmm_load–p–f/home/test/ctmm.policy，将指定的白名单列表加载进内核进行管控。

4、强访控制

(1)创建测试文件file1：

#echo“testfile”&gt；file1；

(2)文件的默认标签为biba/high，执行命令getfmacfile1可验证:

#getfmacfile1；

#file1:biba/high

(3)此时用户对文件有访问权限:

#catfile1；

#testfile

(4)重新配置文件标签为biba/low，执行命令：

#setfmacbiba/lowfile1；

(5)用户现在对文件不再有访问权限:

#catfile1；

#cat:file:Permissiondenied

由以上过程，可知通过合理配置文件的安全标签，可限制进程主体对其的访问权限。

本发明的所能实现的有益效果是：

1、实现了对车载操作系统启动过程的引导程序和引导文件的度量；对可执行文件和动态库启用可信度量，启用强制访问控制策略BIBA控制。这样恶意程序如果没有被加入到白名单中将被认可为不可信，它将没有执行权限。并且程序对车载操作系统资源的访问权限将被限制在许可范围之内，超出正常功能所需的权限将被禁止。从而增强了车载操作系统资源的安全性。

2、在车载操作系统白名单以及访问策略进行合适的配置情况下，增强了车载操作系统的安全性、可靠性，允许管理员通过可信管理模块定义内核白名单，保证指定的文件不被破坏，按用户配置的保护范围，保护车载操作系统中的可执行文件。

3、车载操作系统结合操作系统安全与可信计算技术，实现了强制访问控制、系统可信引导、应用程序完整性检查、加密文件系统等安全机制，能够全面保护车载操作系统自身及车载应用的安全性。

虽然本发明已利用上述较佳实施例进行说明，然其并非用以限定本发明的保护范围，任何本领域技术人员在不脱离本发明的精神和范围之内，相对上述实施例进行各种变动与修改仍属本发明所保护的范围，因此本发明的保护范围以权利要求书所界定的为准。

Claims

1.一种车载操作系统，其特征在于：包括用户空间和内核空间，所述用户空间包括应用程序模块、白名单管理模块、配置管理模块以及审计日志生成模块，所述内核空间包括系统调用层、自主访问控制模块、强制访问控制模块、可信度量模块、应用程序装载模块以及策略缓存管理模块，其中，

所述白名单管理模块与应用程序模块以及配置管理模块连接，所述配置管理模块以及审计日志生成模块分别和系统调用层连接；

所述系统调用层还与自主访问控制模块连接，所述自主访问控制模块与强制访问控制模块连接，所述强制访问控制模块与可信度量模块连接，所述策略缓存管理模块与应用程序装载模块及可信度量模块连接；其中，所述白名单管理模块用于装载白名单及生成白名单，所述自主访问控制模块用于对应用程序的自主访问权限进行检查及过滤，所述强制访问控制模块用于对应用程序的强制访问权限进行检查及过滤，所述策略缓存管理模块包括白名单列表，白名单列表中储存有标准度量值，所述配置管理模块用于根据白名单是否开启以决定是否使可信度量模块开启文件完整性度量功能，当白名单开启时，所述可信度量模块用于在将应用程序装载之前，对应用程序文件进行可信度量，生成可信度量值，将可信度量值与白名单列表中储存的标准度量值进行比较，从而返回应用程序装载模块度量结果，使内核空间判断是否可以继续装载应用程序；

所述强制访问控制模块实现的功能包括：

在车载操作系统启动中加载强访模块biba，并配置文件系统的多标签功能支持，针对敏感文件信息定义安全标签，防止未授权用户的访问。

2.如权利要求1所述的车载操作系统，其特征在于：所述可信度量模块包括：

3.如权利要求2所述的车载操作系统，其特征在于：所述文件完整性保护模块包括下述组成部分：文件的度量算法、策略模块的加载功能、策略的决策功能、白名单审计事件以及可信文件子系统。

4.一种如权利要求1-3任一项所述的车载操作系统的使用方法，其特征在于，包括如下步骤：

S1：根据应用程序装载白名单及生成白名单；

5.如权利要求4所述的车载操作系统的使用方法，其特征在于，还包括S6：根据步骤S4的结果决定是否通过系统调用层生成审计日志。