CN112783518B

CN112783518B - 一种基于ipfs的车载应用容器化隔离的框架系统及实现方法

Info

Publication number: CN112783518B
Application number: CN202110102036.0A
Authority: CN
Inventors: 刘文哲; 佘堃; 潘映林
Original assignee: University of Electronic Science and Technology of China
Current assignee: University of Electronic Science and Technology of China
Priority date: 2021-01-26
Filing date: 2021-01-26
Publication date: 2023-04-18
Anticipated expiration: 2041-01-26
Also published as: CN112783518A

Abstract

一种基于IPFS的车载应用容器化隔离的框架系统及实现方法，属于车联网安全、信息安全等技术领域，解决现有车联网中车辆智能终端的应用软件与车载系统的运行和部署存在潜在信息安全问题。本发明包括用于车载应用安装、并部署在汽车的车机系统的唯一的容器平台，用于车载应用程序的安全监控和软件审查的去中心监控管理平台，和实现容器平台和去中心监控管理平台通信的IPFS协议。本发明用于车载应用容器化隔离。

Description

一种基于IPFS的车载应用容器化隔离的框架系统及实现方法

技术领域

一种基于IPFS的车载应用容器化隔离的框架系统及实现方法，用于车载应用容器化隔离，属于车联网安全、信息安全等技术领域。

背景技术

容器化是软件开发的一种方法，通过该方法可将应用程序或服务、其依赖项及其配置(抽象化为部署清单文件)一起打包为容器映像。容器化应用程序可以作为一个单元运行，并可以作为容器映像实例部署到主机操作系统(OS)。

在车联网逐步发展的过程中，来自网络以及其他途径的车机系统入侵和网络攻击，导致车机系统和应用软件的安全性得不到保障。2015年，克莱斯勒的Jeep车型被国外的安全专家入侵，利用Linux系统漏洞，远程控制汽车的多媒体系统，进而攻击V850控制器，并对其固件进行修改，获取远程向CAN总线发送指令的权限，达到远程控制动力系统和刹车系统的目的，可在用户不知情的情况下降低汽车的行驶速度、关闭汽车引擎、突然制动或者让制动失灵。并且在车机系统与应用程序固件升级过程中，攻击者可能利用固件校验、签名漏洞，刷入篡改固件，例如2015年，查理·米勒和克里斯·瓦拉塞克攻击JeepCherokee车联网系统时，就利用了瑞萨V850ES芯片固件更新没有签名的漏洞，刷入自制固件，进而控制汽车控制。因此需要通过安全可控容器化技术管理车机系统的上层应用，进行应用的运行与更新，保证车机安全。

发明内容

针对上述研究的问题，本发明的目的在于提供一种基于IPFS的车载应用容器化隔离的框架系统及实现方法，解决现有车联网中车辆智能终端的应用软件与车载系统的运行和部署存在潜在信息安全问题。

为了达到上述目的，本发明采用如下技术方案：

一种基于IPFS的车载应用容器化隔离的框架系统，包括用于车载应用安装、并部署在汽车的车机系统的唯一的容器平台，用于车载应用程序的安全监控和软件审查的去中心监控管理平台，和实现容器平台和去中心监控管理平台通信的IPFS协议。

进一步，所述容器平台包括多个容器，每个容器独立运行一个车载应用。

进一步，所述容器平台的系统架构分为应用层、服务层和基础设施层。

进一步，所述应用层包括第一应用市场模块、应用容器化管理模块、应用监控模块；

第一应用市场模块：用于提供车载应用的下载、更新、卸载功能，其中，下载与更新功能通过IPFS协议传输车载应用安装包；

应用容器化管理模块：用于对车机系统的车载应用进行容器化隔离，提供启动车载应用、挂起车载应用、结束车载应用功能以及对各车载应用通往外部网络的请求报文提供加密处理；

对车机系统的车载应用进行容器化隔离是指先对第一应用市场模块下载到车机系统的车载应用安装包解压，提取解压后的安装包中的描述文件，提取描述文件后，通过IPFS协议下载描述文件中指定的容器镜像文件，再调用容器底层驱动的容器创建的API接口实例化容器镜像文件为一个全新容器，实例化后的容器中包含能够运行车载应用的操作系统环境，接着部署车载应用到容器实例中，将容器内车载应用的虚拟网络端口映射到车机系统的真实网络端口，并运行车载应用，实现容器隔离功能，保护车机系统的安全性，其中，安装包包括车载应用和描述文件，描述文件包括车载应用的安全等级、容器等级和依赖环境信息；

对各车载应用通往外部网络的请求报文提供加密处理是指先将各车载应用对IPFS协议的请求报文利用非对称加密算法、使用接收方公钥加密，接收方收到请求报文后采用自有的私钥解密，实现请求报文加密；

应用监控模块：用于监控车载应用的运行状态、检测车载应用的安全状态并进行车载应用权限动态调节，即通过容器底层驱动的容器运行状态API接口实时采集各容器内的车载应用运行状态数据，并根据运行状态数据和第三方杀毒软件的检测结果，与车载应用的历史运行数据相比，若各类数据中存在实时运行状态数据与历史运行状态数据的各指标中超出临界值的指标数量超出50％，定性为异常车载应用，提高车载应用的安全等级，调整车载应用权限，实现动态调节，否则不作调整，其中，运行状态数据包括应用运行时长、CPU调用情况、文件访问记录、进程间通信记录、网络通信数据；

服务层包括日志管理、权限管理、安全管理；

日志管理：用于统计容器平台中应用层服务的运行状态与异常报错，用于服务端对容器平台中应用层的BUG排查与修复工作，以及应用监控模块的车载应用运行状态日志管理；

权限管理：用于对各个车载应用的容器内权限安全管理，避免权限泄漏与车载应用越级访问，同时确保应用层服务访问非法资源；

安全管理：用于为容器平台中应用层服务提供安全检测和病毒查杀服务，负责具体的车载应用运行期安全检测；

基础设施层包括容器池和共享资源；

容器池：用于为容器平台中服务层提供镜像实例化服务，构建容器只需从容器池中获取一个实例即可；

共享资源：用于为容器平台中服务层的服务提供包括共享文件、网络通道、第三方服务。

进一步，所述容器平台部署在运行Linux操作系统的车载系统上，容器平台通过具备的远程更新功能，定期更新完善应用监控模块、第一应用市场模块、应用容器化管理模块以及扩展新模块。

进一步，所述监控管理平台的系统架构分为应用层、服务层和基础设施层。

进一步，所述应用层包括安全网关模块、大数据监控模块、第二应用市场模块；

安全网关模块：用于对容器平台与监控管理平台的通信进行安全检测，每次通信都要经过网关筛查请求报文，即通过白名单机制确保请求报文真实无误，过滤无效的伪造请求报文，利用限流器避免高并发同时请求访问监控管理平台，并对请求报文进行安全加密，采用非对称加密算法，对流入的请求报文使用私钥解密，对于流出的请求报文使用接收方的公钥解密；

大数据监控模块：用于采集并处理所有车机系统的车载应用运行状态数据，利用监控管理平台的服务层的ARMA模型对实时上报的车载应用的运行状态数据、检测每个车载应用的运行状态数据是否符合车载应用历史运行状态趋势，结合杀毒软件检测结果分析检测每个车载应用的潜在安全风险，并提供风险管理策略，包括提高异常风险车载应用的安全等级，降低车载应用权限策略，给各车机系统的容器平台发布车载应用安全等级调整指令；

第二应用市场模块：用于对开发者提交的车载应用进行安全审查与安全等级认证，审查方式采用黑盒测试模拟真实场景，检测车载应用在病毒查杀、网络渗透、漏洞检测、资源占用情况下的综合安全性，并依据安全等级给车载应用定级和认证，以及提供容器镜像下载与更新功能，制定多个安全等级标准，每个安全等级能够使用的车载应用权限均有区别，安全等级需求逐级增强，权限逐级收紧；

服务层包括利用大数据技术构建的ARMA模型和安全检测服务；

ARMA模型：用于根据所有容器平台的车载应用历史运行状态数据建立ARMA模型，建立后的ARMA模型分析车载应用当前运行状态数据与ARMA模型的预测运行趋势的匹配程度，并设置临界值，将超出临界值的车载应用运行状态数据标识为异常车载应用状态，并给监控管理平台中的应用层服务提供分析结果与策略；

安全检测服务：用于为监控管理平台中的应用层服务提供对车载应用的各项安全指标进行检测，包括病毒查杀、网络渗透、漏洞排查、木马、后门检测；

基础设施层包括大数据离线计算、大数据实时计算和大数据存储三个部分共同为监控管理平台中的服务层提供计算和存储支持。

进一步，所述安全等级由应用分级算法智能预分级和人工二次审核相结合的方式进行分级，划分为无风险、低风险、中风险、高风险等级；

应用分级算法采用多个指标得分加权求和的算法进行智能预分级，其中，指标包括车载应用病毒查杀结果、CPU和内存占用情况、网络渗透测试情况、敏感权限访问情况，每个指标范围为0-10分，且每项指标设置临界值，越接近临界值得分越高，通过每个指标的得分加权求和得到总分数，总分数与安全等级存在映射关系，得分越高安全等级越高，最终给出无风险、低风险、中风险或高风险安全等级，其中，无风险和低风险安全等级的车载应用再通过人工二次审核进行排查，确保车载应用的安全等级符合实际需要；

其中，各安全等级授予的车载应用权限与环境依赖库的区别为：

无风险等级：应用分级算法总得分10分为无风险等级，此等级的车载应用无需容器隔离，直接与车机系统的软硬件相关联，以提高应用的运行效率；

低风险等级：应用分级算法总得分8-9分为低风险等级，此等级的车载应用允许使用共享资源、提供网络通信能力、提供对内通信端口、可配置第三方依赖库文件；

中风险等级：应用分级算法总得分5-7分为中风险等级，此等级的车载应用不允许使用共享资源、提供网络通信能力、不提供对内通信端口、仅可使用容器内置依赖库文件；

高风险等级：应用分级算法总得分低于5分为高风险等级，此等级的车载应用不允许使用共享资源、不提供网络通信能力、不提供对内通信端口、仅可使用容器内置依赖库文件。

一种基于IPFS的车载应用容器化隔离的实现方法，如下步骤：

步骤1.监控管理平台的第二应用市场模块对车载应用进行审核与安全等级评级，若审核通过，对该车载应用发放描述文件，描述文件包括车载应用的安全等级、容器等级和依赖环境信息，将描述文件打包进车载应用安装包内，并通过非对称加密的方式用监控管理平台的私钥对车载应用安装包进行签名认证，若审核未通过，修正该车载应用，并再提交车载应用进行检测；

步骤2.针对车机系统的容器平台的第一应用市场模块的下载和更新请求，基于IPFS协议通过去中心化的监控管理平台的分布式节点的安全网关模块传输车载应用安装包至车机系统的容器平台；

步骤3.容器平台的第一应用市场模块对下载的车载应用安装包进行应用安全性检测和完整性检查，再根据监控管理平台的公钥解密车载应用安装包；

步骤4.容器平台的应用容器化管理模块解析车载应用安装包中的描述文件，根据描述文件中的依赖环境和容器等级，通过IPFS协议下载描述文件中指定的容器镜像文件，并通过容器底层驱动的容器创建的API接口进行实例化一个全新容器，实例化后的容器中包含能够运行车载应用的操作系统环境，接着部署车载应用到容器实例中，构建完毕将启动该车载应用；

步骤5.通过容器平台的应用监控模块，通过实时监控，检测分析各车载应用的运行状态数据进行车载应用权限动态调节，结合第三方杀毒软件排查潜在的安全风险，并对风险车载应用进行更高层次车载应用隔离并上报监控管理平台的大数据监控模块，其中，运行状态数据包括应用运行时长、CPU调用情况、文件访问记录、进程间通信记录、网络通信数据；

步骤6.大数据监控模块通过采集所有车机系统的各个车载应用的运行状态数据，通过历史车载应用运行状态数据建立ARMA模型，通过ARMA模型检查当前车载应用运行数据是否匹配历史数据趋势，针对匹配异常的车载应用进行动态调控，更新车载应用的描述文件，提升安全等级为高风险，并通知所有容器平台进行高层次容器隔离。

进一步，步骤5中的实时监控的具体方法为：通过容器提供的内部通信端口，在本地采集各容器内的车载应用运行状态数据，并根据运行状态数据和第三方杀毒软件的检测结果，与车载应用的历史运行状态数据相比，若各类数据中存在实时运行状态数据与历史运行状态数据的各指标中超出临界值的指标数量超出50％，定性为异常车载应用，对分析结果上报监控管理平台再次分析处理，对于判定为风险的车载应用的应用程序，提升该车载应用的安全等级为高风险并重置其容器，切断该车载应用的网络通信权限并隔离与其他容器共享的共享资源。

本发明同现有技术相比，其有益效果表现在：

本发明能够保证用户在行车途中便捷的使用车载应用，也能提高车载智能终端的应用软件环境安全，避免车载智能终端遭遇漏洞、病毒木马等外部恶性攻击，具体为：

一、本发明采用了IPFS是去中心化的分布式文件系统，基于IPFS协议，能够提高网络传输性能与安全性，IPFS是基于内容寻址的存储模式，相同的文件都不会重复存储，它会把过剩的资源挤压下来，包括存储空间都释放出来，数据存储成本就会降低；若采用P2P的方式下载，带宽使用成本可以节省近60％；

二、本发明中采用容器化技术，车载系统所运行的操作系统无需单独定制，容器平台可以根据应用特性构建更适用的运行环境，大幅提高软件的兼容能力；

三、本发明中的用户通过容器平台安装的车载应用是经过安全等级审核并且是经过监控管理平台私钥签名认证，应用依赖的容器镜像也是经过监控管理平台发布的，能够适应与兼容绝大多数操作系统与车载应用；

四、本发明中的应用软件在车载系统上依赖的底层环境是经过容器化隔离的，最大程度的避免了应用软件直接接触宿主机植入病毒木马等系统破坏行为，容器平台对应用的网络流量数据实时加密与混淆，避免网络中间人等风险；

五、本发明在应用运行期间能够定期进行安全检测，确保车载应用的安全等级动态调整，以便及时更新应用软件的运行时环境，调整功能是无需人工参与的，全程采取机器学习构建的安全模型实时检测，安全模型还具备自我学习能力；

六、本发明的监控管理平台通过监控车载应用的运行状态，且具备远程调控车机系统的应用安全等级与应用权限的能力，因此能够及时的应对大规模网络攻击，提供更具针对性的防范策略，确保车机系统的主机安全。

附图说明

图1为本发明的系统架构示意图；

图2为本发明的系统模块示意图；

图3是本发明实施例的应用程序审核流程图

图4是本发明实施例的应用程序运维流程图。

具体实施方式

下面将结合附图及具体实施方式对本发明作进一步的描述。

为了使本发明的目的、技术方案和优点更加清楚，下面结合实施方式对本发明作进一步阐述。

如图1所示，是本发明实施例的系统架构图，整个系统的通信由IPFS服务总线支撑，系统内的节点间通过IPFS协议栈进行安全可靠的网络通信，运行在总线上的节点有监控管理平台和容器平台。

监控管理平台内部包括安全网关模块、大数据监控模块、第二应用市场模块。

容器平台内部包括第一应用市场模块、应用容器化管理模块、应用监控模块，其中应用容器化管理模块通过容器编排技术，对车载应用采用容器技术进行隔离。每台汽车的车机系统包括一套容器平台，每个容器平台包括多个应用容器(简称容器)，每个容器只运行一个车载应用，协助应用监控模块进行更精细化的监控与管理。

如图2所示，是本发明实施例的系统模块图，整个系统采用去中心化的架构，分为容器平台和监控管理平台。

容器平台的系统架构分为应用层、服务层、基础设施层。

应用层有三个模块：第一应用市场模块、应用容器化管理模块、应用监控模块。

a)第一应用市场模块包括对车载应用的各项操作，如车载应用的下载、更新、卸载操作，利用监控管理平台的公钥对传输到容器平台的车载应用安装包进行解密并通过病毒检测安全性、验证MD5完整性。

b)应用容器化管理模块负责对解密并验证后的车载应用进行容器化构建操作并进行车载应用的运维操作，如运行、挂起、结束操作，构建操作首先解析车载应用安装包的描述文件，根据获取的描述文件的车载应用安全等级和容器等级，构建相应等级的容器，将车载应用转移至容器内并运行。

c)应用监控模块负责监控各个容器内的应用，对车载应用的运行状态、病毒查杀结果进行记录，在应用监控模块中根据车载应用的CPU调用记录、磁盘访问记录、网络流量记录、进程通信记录分析当前车载应用的运行是否存在异常情况，对运行异常的车载应用进行挂起操作并提高车载应用的安全等级，重构车载应用的容器，并上报异常记录给服务端监控管理平台。

服务层包括日志管理、权限管理、安全管理。

a)日志管理负责统计容器平台中应用层服务的运行状态与异常报错，主要为了方便服务端对容器平台中应用层的BUG排查与修复工作，以及监控模块的应用运行状态日志管理。

b)权限管理负责对各个车载应用程序的容器内权限安全管理，避免权限泄漏与车载应用越级访问，同时确保上层服务访问非法资源。

c)安全管理负责为容器平台中应用层服务提供安全检测和病毒查杀服务，负责具体的车载应用运行期安全检测，如病毒、木马、漏洞、网络攻击等安全问题。

基础设施层包括容器池和共享资源。

a)容器池为应用容器化管理模块提供镜像实例化服务，容器池相比单独构建容器更加高效，构建容器只需从容器池中获取一个实例即可，减少了构建容器的时间，用完容器无需销毁，清理车载应用数据后即可退还给容器池。

b)共享资源包括共享文件、网络通道、第三方服务等。

监控管理平台的系统架构分为应用层、服务层、基础设施层。

应用层包括安全网关模块、大数据监控模块、第二应用市场模块。

a)安全网关模块负责对监控管理平台与容器平台之间发送的数据包进行验证和过滤，将网络恶意攻击与未认证的通信屏蔽，确保请求消息安全可靠。

b)大数据监控模块负责采集所有容器平台的车载应用运行状态数据，通过车载应用历史运行状态数据构建ARMA模型，用来匹配当前车载应用运行状态数据是否存在异常情况，对存在异常的车载应用进行动态等级调控，首先提高其车载应用安全等级至高风险等级，并发布新的安全等级调控指令给所有容器平台，容器平台收到通知后会重置车载应用的容器并更新车载应用权限。当车载应用的风险解决后，会每过一段时间下降一级安全等级，直至恢复到最初的安全等级，恢复后将通知所有容器平台恢复原始容器环境。

c)第二应用市场模块负责对开发者上传的车载应用进行审核，审核包括对车载应用安全检测、安全等级评估。安全检测采用应用环境模拟方式运行(如现有的黑盒测试模拟真实场景)，采集模拟运行期间各项运行数据，统计风险项，包括CPU调用信息、网络报文、磁盘访问记录、端口占用情况、进程通信情况，分析是否存在风险，若存在风险则拒绝审核请求。安全等级评估由应用分级算法智能预分级和人工二次审核相结合的方式进行评估，应用分级算法采取的维度包括车载应用所需权限、车载应用病毒查杀结果、车载应用运行数据测试结果、网络访问情况、车载应用适用场景等，通过加权求和得到的总分数进行划分，可根据实际部署自由调节每个等级的分数区间，得出分数对应的安全等级后，针对无风险和低风险车载应用进行人工二次审核，确保安全等级符合实际情况。

服务层包括利用大数据技术构建的ARMA模型、安全检测服务。

a)ARMA模型负责分析车载应用运行状态数据，使用的是所有容器平台的车载应用运行状态数据进行分析，用来匹配最新的车载应用运行状态数据。

b)安全检测服务负责对车载应用的各项安全指标进行检测，包括病毒查杀、网络渗透、漏洞排查、木马、后门等检测。

基础设施层包括大数据离线计算、大数据实时计算、大数据存储三个部分。这三个部分共同为服务层提供计算和存储支持。

如图3所示，是本发明的车载应用提交与审核流程图，具体步骤如下：

1.应用开发者通过第二应用市场模块提交上传车载应用；

2.第二应用市场模块进行安全检测与安全等级评估；

3.使用黑盒测试手段模拟车载应用运行环境，检测车载应用的潜在风险，并根据应用分级算法进行车载应用安全等级定级，如果检测通过进入步骤4，不通过进入步骤5；

4.检测通过的车载应用将创建描述文件，其中包含车载应用的安全等级、容器的安全等级、依赖环境等，打包进车载应用安装包并利用私钥进行数字签名，并结束流程；

5.如未通过检测则可进行修正再次提交车载应用进行检测。

如图4所示，是本发明的车载应用程序运维流程图，具体步骤如下：

1.用户通过容器平台的第一应用市场模块的可视化界面选择应用程序进行下载；

2.监控管理平台的第二应用市场模块收到请求后会通过安全网关模块传输车载应用安装包；

3.容器平台的第一应用市场模块下载完毕的车载应用安装包将进行安全性和完整性检测，对车载应用安装包利用监控管理平台的公钥解密防篡改，检测通过将进入容器构建步骤；

4.应用容器化管理模块将根据解密后的安装包的描述文件构建对应安全级别的容器，并将车载应用程序进行解压、部署、运行三步，全部操作完成后进入监控步骤；

5.应用监控模块将按照可配置的周期进行定期车载应用心跳检测、病毒木马等安全检测，并实时上报车载应用程序运行状态数据与检测结果给服务端大数据监控模块，如果不存在异常则等待下一周期检测，如果存在异常将提升车载应用程序的安全级别，更新车载应用的描述文件，并反馈给应用容器化管理模块，进入第6步；

6.应用容器化管理模块将保存容器当前的快照并挂起车载应用并重置当前容器，并根据车载应用程序的描述文件重新构建对应安全级别的容器，并重新进入步骤5。

当第5步中应用监控模块收到检测结果发现异常时，会广播车载应用程序安全等级变更通知给所有的容器平台的应用容器化管理模块，进行容器重建等过程。

实施例

以地图应用为例，监控管理平台的第二应用市场模块对地图应用进行审核与安全等级评级，参与评估的指标包括：地图应用病毒查杀结果、CPU和内存占用情况、网络渗透测试情况、敏感权限访问情况，使用应用分级算法对上述指标加权求和，假定得分8分，定级为低风险应用，再经过人工二次审核，检查地图应用是否符合低风险等级的规范，检查结果为符合规范，对该地图应用发放描述文件，描述文件包括地图应用的安全等级、容器等级和依赖环境，将描述文件打包进地图应用安装包内，并通过非对称加密的方式用监控管理平台的私钥对地图应用安装包进行签名认证。

用户通过车机系统的容器平台的第一应用市场模块浏览并下载地图应用，基于IPFS协议通过去中心化的监控管理平台的分布式节点的安全网关模型进行数据报文筛查与加密后，车机系统的第一应用市场模块开始接收地图应用安装包，接收完毕后，经过第一应用市场模块的完整性与安全性检查后，使用监控管理平台的公钥解密地图应用安装包，再通知应用容器化管理模块开始构建容器和部署应用。

应用容器化管理模块根据地图应用附带的描述文件，通过第二应用市场下载低风险等级的容器镜像和应用依赖库，通过容器底层驱动的API接口构建新的容器，接着将地图应用安装隔离在容器中，并调用地图应用开始运行。

应用监控模块自车机系统启动，持续监控地图应用，每分钟收集地图应用的运行状态数据，包括应用运行时长、CPU调用情况、文件访问记录、进程间通信记录、网络通信数据等，并获取第三方杀毒软件对地图应用的检测结果，与本地历史运行状态数据相比，并在日志文件中保存此次运行状态数据，补充历史运行状态数据量，比较结果为已超出临界值的指标数量为50％，即被标记为异常地图应用，将通知应用容器化管理模块将地图应用的安全等级升高至高风险等级，降低地图应用权限，并重置地图应用的容器，重新下载高风险等级的地图应用镜像，并部署地图应用。

监控管理平台的大数据监控模块每分钟采集各车机系统的地图应用的运行状态数据，存储作为后续的历史运行状态数据。通过ARMA模型的预测值与各地图应用的运行状态数据的计算值对比，超过阈值的地图应用将被标记为高风险地图应用，并通知车机系统重置容器并降低地图应用权限，若超过半数的地图应用均存在异常情况，平台将对所有地图应用进行高风险应用等级的隔离，持续跟踪高风险的地图应用，直到ARMA模型的预测值与地图应用计算值近似，才恢复一级的安全等级。

以上仅是本发明众多具体应用范围中的代表性实施例，对本发明的保护范围不构成任何限制。凡采用变换或是等效替换而形成的技术方案，均落在本发明权利保护范围之内。

Claims

1.一种基于IPFS的车载应用容器化隔离的框架系统，其特征在于：包括用于车载应用安装、并部署在汽车的车机系统的唯一的容器平台，用于车载应用程序的安全监控和软件审查的去中心监控管理平台，和实现容器平台和去中心监控管理平台通信的IPFS协议，所述容器平台包括多个容器，每个容器独立运行一个车载应用，所述容器平台的系统架构分为应用层、服务层和基础设施层；

所述应用层包括第一应用市场模块、应用容器化管理模块、应用监控模块；

应用监控模块：用于监控车载应用的运行状态、检测车载应用的安全状态并进行车载应用权限动态调节，即通过容器底层驱动的容器运行状态API接口实时采集各容器内的车载应用运行状态数据，并根据运行状态数据和第三方杀毒软件的检测结果，与车载应用的历史运行数据相比，若各类数据中存在实时运行状态数据与历史运行状态数据的各指标中超出临界值的指标数量超出50%，定性为异常车载应用，提高车载应用的安全等级，调整车载应用权限，实现动态调节，否则不作调整，其中，运行状态数据包括应用运行时长、CPU调用情况、文件访问记录、进程间通信记录、网络通信数据；

服务层包括日志管理、权限管理、安全管理；

基础设施层包括容器池和共享资源；

2.根据权利要求1所述的一种基于IPFS的车载应用容器化隔离的框架系统，其特征在于：所述容器平台部署在运行Linux操作系统的车载系统上，容器平台通过具备的远程更新功能，定期更新完善应用监控模块、第一应用市场模块、应用容器化管理模块以及扩展新模块。

3.根据权利要求1所述的一种基于IPFS的车载应用容器化隔离的框架系统，其特征在于：所述监控管理平台的系统架构分为应用层、服务层和基础设施层。

4.根据权利要求3所述的一种基于IPFS的车载应用容器化隔离的框架系统，其特征在于：所述应用层包括安全网关模块、大数据监控模块、第二应用市场模块；

第二应用市场模块:用于对开发者提交的车载应用进行安全审查与安全等级认证，审查方式采用黑盒测试模拟真实场景，检测车载应用在病毒查杀、网络渗透、漏洞检测、资源占用情况下的综合安全性，并依据安全等级给车载应用定级和认证，以及提供容器镜像下载与更新功能，制定多个安全等级标准，每个安全等级能够使用的车载应用权限均有区别，安全等级需求逐级增强，权限逐级收紧；

服务层包括利用大数据技术构建的ARMA模型和安全检测服务；

5.根据权利要求4所述的一种基于IPFS的车载应用容器化隔离的框架系统，其特征在于：所述安全等级由应用分级算法智能预分级和人工二次审核相结合的方式进行分级，划分为无风险、低风险、中风险、高风险等级；

6.一种基于IPFS的车载应用容器化隔离的实现方法，其特征在于，如下步骤：

步骤4. 容器平台的应用容器化管理模块解析车载应用安装包中的描述文件，根据描述文件中的依赖环境和容器等级，通过IPFS协议下载描述文件中指定的容器镜像文件，并通过容器底层驱动的容器创建的API接口进行实例化一个全新容器，实例化后的容器中包含能够运行车载应用的操作系统环境，接着部署车载应用到容器实例中，构建完毕将启动该车载应用；

7.根据权利要求6所述的一种基于IPFS的车载应用容器化隔离的实现方法，其特征在于，步骤5中的实时监控的具体方法为：通过容器提供的内部通信端口，在本地采集各容器内的车载应用运行状态数据，并根据运行状态数据和第三方杀毒软件的检测结果，与车载应用的历史运行状态数据相比，若各类数据中存在实时运行状态数据与历史运行状态数据的各指标中超出临界值的指标数量超出50%，定性为异常车载应用，对分析结果上报监控管理平台再次分析处理，对于判定为风险的车载应用的应用程序，提升该车载应用的安全等级为高风险并重置其容器，切断该车载应用的网络通信权限并隔离与其他容器共享的共享资源。