楊震宇，羅 峰，王子通，任 毅，張曉先

（1. 同濟(jì)大學(xué)汽車(chē)學(xué)院，上海 201804；2. 普華基礎(chǔ)軟件股份有限公司，上海 200125）

前言

近年來(lái)，智能網(wǎng)聯(lián)汽車(chē)已經(jīng)得到了世界各國(guó)政府、組織和研究機(jī)構(gòu)的廣泛關(guān)注。智能網(wǎng)聯(lián)汽車(chē)承載環(huán)境感知、智能決策規(guī)劃、控制執(zhí)行、車(chē)載網(wǎng)絡(luò)通信和V2X 通信等技術(shù)，并以此提高駕駛的舒適性和安全性，最終達(dá)到L5 級(jí)的自動(dòng)駕駛。這些技術(shù)在車(chē)載的應(yīng)用對(duì)智能網(wǎng)聯(lián)汽車(chē)的電子電氣架構(gòu)提出了高算力、高帶寬、高速率和高安全性的新需求。為此傳統(tǒng)以CAN（FD）為主干網(wǎng)絡(luò)的汽車(chē)分布式電子電氣架構(gòu)正朝著以車(chē)載以太網(wǎng)為骨干網(wǎng)絡(luò)的域集中式電子電氣架構(gòu)發(fā)展［1］。面向服務(wù)的架構(gòu)在傳統(tǒng)領(lǐng)域被證明是高效的，為了使汽車(chē)更好地成為萬(wàn)物互聯(lián)的一部分，基于服務(wù)的設(shè)計(jì)理念正在逐步取代傳統(tǒng)的設(shè)計(jì)方式。為此，汽車(chē)開(kāi)放系統(tǒng)架構(gòu)（AUTOSAR）創(chuàng)建了基于因特網(wǎng)協(xié)議的可擴(kuò)展面向服務(wù)通信中間件（scalable service-oriented middleware over IP， SOME/IP）。SOME/IP 是一個(gè)應(yīng)用層協(xié)議，并作用于TCP/UDP 協(xié)議簇之上。在SOME/IP 的作用下，車(chē)載網(wǎng)絡(luò)中原本基于信號(hào)的通信方式向基于服務(wù)的通信模式轉(zhuǎn)變。車(chē)載網(wǎng)絡(luò)中數(shù)據(jù)的交互通過(guò)服務(wù)的發(fā)布和訂閱來(lái)發(fā)起。

與此同時(shí)，基于服務(wù)的多域電子電氣架構(gòu)不斷增加的對(duì)外接口使其更容易受到網(wǎng)絡(luò)攻擊的影響［2］。物理診斷OBD 接口、遠(yuǎn)程通信接口，如藍(lán)牙、蜂窩網(wǎng)絡(luò)和空中下載（over-the-air， OTA）都可以成為攻擊者的攻擊目標(biāo)，并逐層滲透到電子電氣架構(gòu)內(nèi)部，引起信息和物理上的安全問(wèn)題。在計(jì)算機(jī)領(lǐng)域，訪問(wèn)控制技術(shù)已被廣泛用于防止計(jì)算機(jī)網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)和操作系統(tǒng)被非法訪問(wèn)。目前，最常用的訪問(wèn)控制模型是自主訪問(wèn)控制（discretionary access control， DAC）、強(qiáng) 制 訪 問(wèn) 控 制（mandatory access control， MAC）和基于角色的訪問(wèn)控制（role-based access control， RBAC）［3］。隨著物聯(lián)網(wǎng)的發(fā)展，傳統(tǒng)的訪問(wèn)控制模型很難適應(yīng)新的計(jì)算環(huán)境?；趯傩缘脑L問(wèn)控制（attribute-based access control， ABAC）模型是以主體和客體的屬性為基本決策元素，靈活利用請(qǐng)求者所擁有的屬性集，實(shí)現(xiàn)細(xì)粒度的訪問(wèn)控制。ABAC 模型在改進(jìn)現(xiàn)有的訪問(wèn)控制方面有很大的潛力，特別是在分布式和快速變化的環(huán)境中［4］。在汽車(chē)領(lǐng)域，訪問(wèn)控制的研究重點(diǎn)主要在外界對(duì)車(chē)內(nèi)資源的訪問(wèn)。Zrelli等［5］提出了一種智能交通系統(tǒng)的安全和訪問(wèn)控制框架，它可以防止惡意實(shí)體干擾車(chē)輛和路側(cè)單元提供的服務(wù)。Subke 等［6］提出了幾種防止外部診斷系統(tǒng)未經(jīng)授權(quán)訪問(wèn)車(chē)載電子電氣架構(gòu)的措施?；诎踩碗[私的訪問(wèn)控制模型通過(guò)權(quán)限的概念擴(kuò)展了RBAC 模型［7］。為了防止車(chē)內(nèi)ECU的惡意訪問(wèn)提出一個(gè)V2N 頭部單元的訪問(wèn)控制架構(gòu)，該架構(gòu)使用訪問(wèn)控制規(guī)則表來(lái)限制應(yīng)用程序（如信息娛樂(lè)應(yīng)用）對(duì)SocketCAN的訪問(wèn)［8］。在面向車(chē)載域控制器的訪問(wèn)控制研究中，Wang 等［9］提出了一個(gè)新的解決方案，即一個(gè)基于ABAC 的多領(lǐng)域訪問(wèn)控制模型，其中考慮到不同領(lǐng)域的各種需求，如動(dòng)力系統(tǒng)、底盤(pán)、車(chē)身和信息娛樂(lè)系統(tǒng)，然而只是做了初步描述。ABAC 模型被引入到AUTOSAR 框架下，然而機(jī)制的實(shí)現(xiàn)是基于CAN 總線的［10］。Li 等［11］設(shè)計(jì)了安全SOME/IP 通信流程，并在此基礎(chǔ)上實(shí)現(xiàn)了基于屬性的訪問(wèn)控制，但是系統(tǒng)并沒(méi)有在車(chē)載硬件上進(jìn)行性能驗(yàn)證。上述研究都沒(méi)有解決訪問(wèn)過(guò)程中的持續(xù)授權(quán)和撤權(quán)問(wèn)題。這是由于傳統(tǒng)的ABAC 模型不具備過(guò)程檢測(cè)模塊，對(duì)訪問(wèn)控制的決策只能在訪問(wèn)開(kāi)始前進(jìn)行。在重新發(fā)起訪問(wèn)控制或在超過(guò)訪問(wèn)持續(xù)時(shí)間之前，訪問(wèn)客體會(huì)維持上次的訪問(wèn)控制決定，持續(xù)向訪問(wèn)主體提供相應(yīng)資源，而無(wú)法在過(guò)程中對(duì)權(quán)限重新判定。

基于以上分析，本文提出一種適用于資源受限的車(chē)載域控制器的安全訪問(wèn)控制機(jī)制。

本文的主要貢獻(xiàn)總結(jié)為以下幾點(diǎn)。

（1） 提出了一個(gè)參考的基于服務(wù)的多域電子電氣架構(gòu)，并對(duì)其通信模式和機(jī)制進(jìn)行了說(shuō)明，最后提出了其對(duì)訪問(wèn)控制的安全需求。

（2） 改進(jìn)的ABAC 模型被用來(lái)實(shí)現(xiàn)靈活和細(xì)粒度的訪問(wèn)控制，高效地解決了訪問(wèn)控制過(guò)程中的持續(xù)授權(quán)和撤銷(xiāo)。

（3） 設(shè)計(jì)基于哈希的策略評(píng)估引擎，以適應(yīng)資源受限的車(chē)載環(huán)境。

（4） 設(shè)計(jì)安全訪問(wèn)序列以保證訪問(wèn)控制過(guò)程中的安全屬性，并通過(guò)Proverif進(jìn)行了形式化驗(yàn)證。

（5） 提出的安全訪問(wèn)控制機(jī)制在域控制器中通過(guò)軟件和HSM同時(shí)實(shí)現(xiàn)并驗(yàn)證了其功能和性能。

1 智能網(wǎng)聯(lián)汽車(chē)安全需求分析

智能網(wǎng)聯(lián)汽車(chē)的電子電氣架構(gòu)相比于傳統(tǒng)汽車(chē)發(fā)生有較大變革，進(jìn)而與外界產(chǎn)生更多的信息交互并產(chǎn)生越來(lái)越多的風(fēng)險(xiǎn)點(diǎn)。在本節(jié)中，首先給出一個(gè)基于服務(wù)的多域電子電氣架構(gòu)，然后分析其通信模式，最后總結(jié)其安全威脅和需求。

1.1 基于SOA的多域電子電氣架構(gòu)

參考的多域電子電氣架構(gòu)如圖1 所示，按照車(chē)身布局分為前后左右4 個(gè)區(qū)域控制器、一個(gè)中央計(jì)算平臺(tái)和一個(gè)智能座艙控制器。4 個(gè)區(qū)域控制器通過(guò)不同車(chē)載通信方式如CAN（FD）、LIN 或車(chē)載以太網(wǎng)連接執(zhí)行器和傳感器等電子單元。中央計(jì)算平臺(tái)除了負(fù)責(zé)傳感器數(shù)據(jù)融合、路徑規(guī)劃等高算力需求應(yīng)用外，還兼任中央網(wǎng)關(guān)的職責(zé)負(fù)責(zé)整體系統(tǒng)的服務(wù)管理和數(shù)據(jù)路由。智能座艙控制器同樣是一個(gè)高度集成的SoC，除了負(fù)責(zé)智能座艙應(yīng)用還具有豐富的對(duì)外通信模組，承擔(dān)所有的對(duì)外通信職責(zé)。主干網(wǎng)絡(luò)采用星型的車(chē)載以太網(wǎng)拓?fù)浣Y(jié)構(gòu)。這種結(jié)構(gòu)最大程度上減少了網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)钠骄鴶?shù)，方便了通信和服務(wù)方案的部署，同時(shí)也有利于信息安全縱深防御的部署。主干網(wǎng)絡(luò)的數(shù)據(jù)鏈路層運(yùn)行時(shí)間敏感網(wǎng)絡(luò)（time sensitive network， TSN），以確保網(wǎng)絡(luò)中的高精度時(shí)間同步和數(shù)據(jù)的確定性傳輸。

圖1 車(chē)載區(qū)域電子電器架構(gòu)

在上述電子電氣架構(gòu)下，SOA 通信適配器通過(guò)SOME/IP 協(xié)議可以實(shí)現(xiàn)域控制器之間基于服務(wù)的通信。而外部實(shí)體如車(chē)輛、手機(jī)、路邊單元和云端等向車(chē)載遠(yuǎn)程信息控制單元發(fā)起服務(wù)請(qǐng)求后，通過(guò)SOA通信適配器將外部服務(wù)協(xié)議轉(zhuǎn)換成基于SOME/IP的通信格式，下發(fā)中央網(wǎng)關(guān)進(jìn)行服務(wù)管理、轉(zhuǎn)發(fā)或響應(yīng)。

1.2 訪問(wèn)控制安全需求

傳統(tǒng)車(chē)載網(wǎng)絡(luò)的通信沒(méi)有訪問(wèn)控制的概念，因?yàn)閿?shù)據(jù)總是以信號(hào)的形式按照確定的通信矩陣周期性地在網(wǎng)絡(luò)中傳輸。而在基于服務(wù)的通信模式中，服務(wù)的訂閱可以被認(rèn)為是客戶(hù)希望訪問(wèn)服務(wù)方的某一資源，這就引出了車(chē)載網(wǎng)絡(luò)中訪問(wèn)控制的概念。對(duì)于智能網(wǎng)聯(lián)汽車(chē)，安全訪問(wèn)控制是保證車(chē)輛穩(wěn)定運(yùn)行的重要措施。否則車(chē)輛的隱私信息將被惡意人員竊取，或者一些關(guān)鍵部件被攻擊者遠(yuǎn)程訪問(wèn)（如發(fā)動(dòng)機(jī)、轉(zhuǎn)向器、制動(dòng)器等）。認(rèn)證和授權(quán)是訪問(wèn)控制技術(shù)所保證的兩個(gè)最重要的安全屬性［12］。認(rèn)證是指根據(jù)訪客的獨(dú)特身份信息，如身份證、語(yǔ)音、指紋等，確認(rèn)其在車(chē)內(nèi)資源中的身份。授權(quán)是指資源所有者允許訪問(wèn)者在指定范圍內(nèi)訪問(wèn)車(chē)內(nèi)資源，以便訪問(wèn)者能夠從資源中獲得想要的信息。同時(shí)，安全機(jī)制的部署不能破壞車(chē)輛的實(shí)時(shí)通信功能，也就是說(shuō)，安全機(jī)制造成的通信延遲應(yīng)該在可接受的范圍內(nèi)。安全訪問(wèn)控制的要求總結(jié)如下。

（1）靈活和細(xì)粒度的授權(quán)策略 車(chē)輛上運(yùn)行著各種不同功能的服務(wù)，且服務(wù)的數(shù)量逐漸增加。因此，訪問(wèn)控制策略應(yīng)該能夠在不斷變化的環(huán)境下維持有效。此外，為了應(yīng)對(duì)復(fù)雜的場(chǎng)景，訪問(wèn)控制策略的實(shí)施應(yīng)該足夠細(xì)化。

（2）授權(quán)和認(rèn)證 當(dāng)車(chē)輛與外部實(shí)體進(jìn)行信息交互時(shí)，由于車(chē)輛處于一個(gè)不斷變化的環(huán)境中，故需要相互認(rèn)證和授權(quán)的外部實(shí)體總是在變化。而對(duì)于車(chē)載網(wǎng)絡(luò)中的域控制器，雖然連接關(guān)系固定但也需要周期性授權(quán)與認(rèn)證來(lái)確保節(jié)點(diǎn)的合法性。

（3）最小特權(quán)原則 每個(gè)主體（如APP、用戶(hù)、云服務(wù)器或其他載體）對(duì)其訪問(wèn)行為只能有一套最小的權(quán)限。這一原則可以大大減少惡意訪問(wèn)者對(duì)受保護(hù)資源造成的危害。

（4）輕量級(jí)安全算法 大多數(shù)車(chē)載控制器的計(jì)算和存儲(chǔ)能力有限。較強(qiáng)的加密算法（如RSA、ECC）通常要消耗大量的計(jì)算能力和內(nèi)存存儲(chǔ)空間。對(duì)于車(chē)輛，需要在安全等級(jí)和資源消耗之間取得平衡。

（5）保密性 當(dāng)外部實(shí)體訪問(wèn)車(chē)輛的內(nèi)部資源時(shí)，應(yīng)保證請(qǐng)求和響應(yīng)信息的保密性。

（6）不可抵賴(lài)性 不可抵賴(lài)性指訪問(wèn)主體或客體不能否認(rèn)自己做出的行為。訪問(wèn)主體的訪問(wèn)行為和訪問(wèn)發(fā)生的時(shí)間是不可抵賴(lài)的。同樣，訪問(wèn)客體同樣不能否認(rèn)自己對(duì)訪問(wèn)的響應(yīng)。不可抵賴(lài)性幫助系統(tǒng)獲得擁有授權(quán)實(shí)體的惡意行為的證據(jù)。

（7）屬性可變性和訪問(wèn)連續(xù)性 無(wú)論是外界對(duì)車(chē)內(nèi)的訪問(wèn)，還是車(chē)內(nèi)控制器間的相互訪問(wèn)，主體和客體的屬性都是可變的，訪問(wèn)在大多數(shù)情況下都是連續(xù)的。完善的訪問(wèn)控制機(jī)制需要在過(guò)程中進(jìn)行權(quán)限的維持和撤銷(xiāo)。

（8）輕區(qū)域重中央的部署形式 車(chē)載服務(wù)分布在各個(gè)車(chē)載控制器中，輕區(qū)域指在區(qū)域控制器中都需要部署訪問(wèn)控制機(jī)制，但是輕量化是第一指標(biāo)；重中央是指中央網(wǎng)關(guān)與遠(yuǎn)程信息控制單元面臨最大的安全威脅，在資源充足的情況下應(yīng)當(dāng)實(shí)現(xiàn)更完善的訪問(wèn)控制機(jī)制。

2 安全訪問(wèn)控制機(jī)制的設(shè)計(jì)

本文所提出的安全訪問(wèn)控制的原理，包含系統(tǒng)框架、在SOME/IP 通信模型下的ABAC 數(shù)學(xué)描述、基于哈希的策略評(píng)估引擎、安全訪問(wèn)序列及其形式化證明等。

2.1 安全訪問(wèn)控制系統(tǒng)框架

安全訪問(wèn)控制系統(tǒng)框架如圖2 所示，主要包括安全模塊和訪問(wèn)控制模塊。其中安全模塊分為會(huì)話建立模塊和安全通信模塊。會(huì)話建立模塊用于實(shí)現(xiàn)訪問(wèn)控制主體和客體間的身份認(rèn)證，保證所有訪問(wèn)都是授權(quán)的。安全通信模塊是在訪問(wèn)控制主體和客體完成身份認(rèn)證后，實(shí)現(xiàn)雙方的加密通信，由此確保訪問(wèn)控制過(guò)程中消息的機(jī)密性和完整性。訪問(wèn)控制模塊以傳統(tǒng)ABAC 框架為基礎(chǔ)，增加了一個(gè)在線檢測(cè)模塊，以解決訪問(wèn)過(guò)程中的權(quán)限維持和撤銷(xiāo)問(wèn)題。訪問(wèn)控制模塊主要包括策略轉(zhuǎn)換模塊、策略執(zhí)行點(diǎn)（policy enforcement point， PEP）、策略決定點(diǎn)（policy decision point， PDP）、策略信息點(diǎn)（policy information point， PIP）、策略訪問(wèn)點(diǎn)（policy access point， PAP）和在線檢測(cè)模塊。PAP是一個(gè)負(fù)責(zé)創(chuàng)建和管理訪問(wèn)控制策略的組件，PIP收集主體、資源和環(huán)境的屬性，PDP是系統(tǒng)中做授權(quán)決定的單元。授權(quán)決定是根據(jù)PAP 中預(yù)先定義的訪問(wèn)控制策略和PIP 中存儲(chǔ)的屬性做出的。PEP 是一個(gè)在特定環(huán)境條件下執(zhí)行PDP的訪問(wèn)控制決定的組件。其中PIP，PDP和PAP被聯(lián)合稱(chēng)為策略評(píng)估引擎。針對(duì)車(chē)載環(huán)境特殊設(shè)計(jì)的基于哈希的方法被用于實(shí)現(xiàn)策略評(píng)估引擎。

圖2 安全訪問(wèn)控制系統(tǒng)架構(gòu)

訪問(wèn)控制客體的主要流程如下（訪問(wèn)控制主體由于是發(fā)起請(qǐng)求，所以不會(huì)經(jīng)過(guò)訪問(wèn)控制模塊，只通過(guò)安全模塊來(lái)進(jìn)行身份認(rèn)證、訪問(wèn)請(qǐng)求的加密發(fā)送和訪問(wèn)決策或資源的接收解密）。

（1） 網(wǎng)絡(luò)中的SOME/IP 報(bào)文首先進(jìn)入會(huì)話建立模塊，會(huì)話建立模塊判斷該訪問(wèn)請(qǐng)求是否來(lái)自已認(rèn)證的實(shí)體。若是，則進(jìn)入安全通信模塊；若否，則觸發(fā)會(huì)話建立流程，進(jìn)行身份認(rèn)證和秘鑰協(xié)商。

（2） 安全通信模塊按照會(huì)話建立模塊中協(xié)商的秘鑰對(duì)報(bào)文的負(fù)載字段進(jìn)行解密，并發(fā)送給策略轉(zhuǎn)換模塊。

（3） 策略轉(zhuǎn)換模塊將報(bào)文換成訪問(wèn)控制請(qǐng)求發(fā)送給PEP。

（4） PEP 將訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給PDP，PDP 做出的決策也會(huì)交給PEP進(jìn)行執(zhí)行。

（5） PDP從PAP加載預(yù)先存儲(chǔ)的政策。

（6） PIP 加載預(yù)先存儲(chǔ)的屬性信息，并匯集給PDP，由PDP做出綜合的授權(quán)決定。

（7） PEP執(zhí)行訪問(wèn)響應(yīng)（即拒絕或允許）。

（8） 在線檢測(cè)模塊在訪問(wèn)的過(guò)程中使用基于逐流過(guò)濾與監(jiān)測(cè)的方法執(zhí)行屬性的在線檢測(cè)，由此決定是否在訪問(wèn)過(guò)程中維持或撤銷(xiāo)授權(quán)。

（9） 策略轉(zhuǎn)換模塊將做出的訪問(wèn)決策或資源轉(zhuǎn)換成SOME/IP報(bào)文格式，并發(fā)送給安全通信模塊。

（10） 安全通信模塊將報(bào)文加密后送入SOME/IP網(wǎng)絡(luò)。

2.2 基于逐流過(guò)濾與監(jiān)測(cè)的在線檢測(cè)方法

在線檢測(cè)模塊是對(duì)基于屬性的訪問(wèn)控制的擴(kuò)展， 其檢測(cè)算法不被限制，可以是多樣化的。但是在資源受限的域控制器中部署時(shí)，應(yīng)在不增加系統(tǒng)額外負(fù)荷或開(kāi)發(fā)量的同時(shí)有效地檢測(cè)出訪問(wèn)過(guò)程中的異常。為了保證通信的同步、可靠性和實(shí)時(shí)性，車(chē)載以太網(wǎng)通信采用時(shí)間敏感網(wǎng)絡(luò)， 在實(shí)際應(yīng)用時(shí)通過(guò)TSN交換機(jī)來(lái)實(shí)現(xiàn)其各種機(jī)制。逐流過(guò)濾與監(jiān)測(cè)（per-stream filtering and policing， PSFP）是TSN 中的一種機(jī)制，能快速有效地監(jiān)測(cè)鏈路的網(wǎng)絡(luò)狀態(tài)。利用交換機(jī)中PSFP的機(jī)制可以實(shí)現(xiàn)有效的在線監(jiān)測(cè)。協(xié)議規(guī)定PSFP 由流過(guò)濾器、流門(mén)控和流量計(jì)組成，并通過(guò)令牌桶機(jī)制實(shí)現(xiàn)流量的過(guò)濾和監(jiān)測(cè)。IEEE802.1Q 協(xié)議規(guī)定表1 所示的參數(shù)在機(jī)制運(yùn)行過(guò)程中必須能被存儲(chǔ)。而每個(gè)流都會(huì)對(duì)應(yīng)一組表1中的參數(shù)，這滿(mǎn)足了細(xì)粒度的檢測(cè)需求。

表1 在線檢測(cè)參數(shù)

在線檢測(cè)的流程如圖3 所示，首先PDP 告知在線檢測(cè)模塊是否運(yùn)行。然后模塊周期性獲取待檢測(cè)資源的鏈路參數(shù)，一般來(lái)說(shuō)在實(shí)現(xiàn)PSFP 的交換機(jī)中，可通過(guò)操作串行管理接口（SMI）或者交換機(jī)內(nèi)核的接口讀取表1 中定義的參數(shù)。這些參數(shù)反映了鏈路中的網(wǎng)絡(luò)狀態(tài)以及包含所訪問(wèn)資源的流量特征。通過(guò)與預(yù)設(shè)閾值的比較來(lái)決定訪問(wèn)過(guò)程中權(quán)限的維持和撤銷(xiāo)。 若符合閾值則靜默處理并繼續(xù)監(jiān)檢測(cè)，否則反饋PDP，由PDP做出撤權(quán)決定。

圖3 在線檢測(cè)模塊流程

為了實(shí)現(xiàn)訪問(wèn)控制的在線檢測(cè)，需要正確配置交換機(jī)PSFP 參數(shù)并將需要檢測(cè)的資源在通信上映射到所配置的流（軟件操作），在交換機(jī)的內(nèi)核中周期調(diào)用指定API 讀出相應(yīng)參數(shù)，并通過(guò)縮減的千兆位媒體獨(dú)立接口（reduced gigabit media independent interface，RGMII）發(fā)送給域控制器主控芯片。以SJA1110 中的PSFP 配置（如圖4 所示）為例，這條配置表示當(dāng)被訪問(wèn)資源映射到優(yōu)先級(jí)為5 的流時(shí)，若資源反饋速率大于200 Mb/s或者資源數(shù)據(jù)長(zhǎng)度大于500 B 時(shí)，會(huì)被在線檢測(cè)系統(tǒng)認(rèn)定為異常，并執(zhí)行權(quán)限撤銷(xiāo)決定。

圖4 TSN交換機(jī)實(shí)現(xiàn)在線檢測(cè)模塊示例

為了能夠更準(zhǔn)確地對(duì)訪問(wèn)過(guò)程中的權(quán)限進(jìn)行判定，在線檢測(cè)方法有必要是融合且系統(tǒng)是特定的。本文提出的在線檢測(cè)方法主要考慮了資源在傳輸路徑和網(wǎng)絡(luò)中的狀態(tài)，且應(yīng)用了TSN的車(chē)載網(wǎng)絡(luò)，故基本不會(huì)對(duì)系統(tǒng)增加額外的開(kāi)銷(xiāo)。

2.3 ABAC在SOME/IP通信模型下的描述

ABAC 中的實(shí)體主要包括主體、客體、行動(dòng)和環(huán)境。汽車(chē)工業(yè)中的主體指的是訪問(wèn)由車(chē)載ECU 提供的內(nèi)部數(shù)據(jù)或服務(wù)的實(shí)體。 在數(shù)學(xué)上，SOME/IP的通信模型下的ABAC 系統(tǒng)被定義為一個(gè)五元組，其中：E={S，O，C} 是參與訪問(wèn)控制活動(dòng)的所有實(shí)體的集合，S是主體的集合，O是客體（也稱(chēng)為資源）的集合，C是情境（也稱(chēng)為環(huán)境）的集合；A是一個(gè)主體的行動(dòng)集合s∈S，可以應(yīng)用于一個(gè)客體的行動(dòng)集合o∈O；P：E×A→RS是策略集，是實(shí)體和行動(dòng)到?jīng)Q策反應(yīng)的映射，RS={p，d，n}，其中p表示允許，d表示拒絕，n表示不適用；RQ：S×O→A是請(qǐng)求的集合，它是主體和客體到行動(dòng)的映射。簡(jiǎn)單地說(shuō)，它意味著主體對(duì)目標(biāo)資源適用什么樣的行動(dòng)。

ABAC 使用屬性來(lái)描述不同的實(shí)體，而一個(gè)實(shí)體可以有一個(gè)或多個(gè)屬性。例如，一個(gè)主體可以用屬性來(lái)描述，如身份（指紋、鑰匙）、類(lèi)型（用戶(hù)、車(chē)輛、智能手機(jī)、路邊裝置和云服務(wù)器）和IP 地址（如192.168.0.1）。把描述主體的屬性集合表示為ATTRS，那么對(duì)一個(gè)主體的描述可以被形式化為s={(attr1，val1)，…，(attri，vali)}，attri∈ATTRS。類(lèi)似地，客體、行動(dòng)和環(huán)境也可以用同樣的形式來(lái)表達(dá)，它們的屬性集分別表示為ATTRO、ATTRA和ATTRC。客體指的是由基于SOME/IP的車(chē)載應(yīng)用程序提供的所有服務(wù)。根據(jù)SOME/IP 中面向服務(wù)的應(yīng)用定義，每個(gè)服務(wù)可以由幾個(gè)屬性來(lái)描述，如服務(wù)ID、實(shí)例ID、端口號(hào)和在SOME/IP 配置文件中定義的IP 地址。SOME/IP 中的可用操作包括查找服務(wù)、訂閱事件、獲取字段、設(shè)置字段、訂閱字段和RPC（請(qǐng)求/響應(yīng)）。環(huán)境指服務(wù)或部署服務(wù)的控制器的參數(shù)變量可以是軟件的系統(tǒng)變量，也可以用車(chē)速、天氣、溫度等外界屬性來(lái)描述。

2.4 策略評(píng)估引擎

可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言（extensible access control markup language， XACML）定義了一種標(biāo)準(zhǔn)化的、細(xì)粒度的、基于屬性的訪問(wèn)控制策略語(yǔ)言，它是一種描述策略的標(biāo)準(zhǔn)化方式，在計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域被廣泛使用。在傳統(tǒng)的訪問(wèn)控制系統(tǒng)中，訪問(wèn)者為訪問(wèn)請(qǐng)求生成一個(gè)XACML 文件并將其發(fā)送給服務(wù)器。服務(wù)器收到該文件并解析它，然后檢索預(yù)先存儲(chǔ)的策略文件，看是否有匹配的規(guī)則。最后，根據(jù)策略評(píng)估的結(jié)果生成一個(gè)響應(yīng)的XACML 文件并返回給請(qǐng)求者。然而，由于車(chē)載域控制器間會(huì)發(fā)生頻繁的資源和數(shù)據(jù)訪問(wèn)，區(qū)域控制器中無(wú)法承受頻繁大量的字符串操作，同時(shí)XACML的傳輸會(huì)對(duì)車(chē)載網(wǎng)絡(luò)造成一定程度的額外負(fù)載。所以本文提出一種基于哈希思想的XACML 文件壓縮和查找方法來(lái)實(shí)現(xiàn)策略評(píng)估引擎。本方法分為離線和在線兩個(gè)步驟，其流程如圖5所示。

圖5 基于哈希的策略評(píng)估流程

在離線環(huán)節(jié)中，首先提取XACML文件中的有效字符串，即主體、客體和環(huán)境的所有屬性和對(duì)應(yīng)值，并拼接成一個(gè)新的縮減的字符串。然后通過(guò)SHA256對(duì)字符串進(jìn)行壓縮，壓縮后的字節(jié)取后12 b作為數(shù)組的下標(biāo)，而在該下標(biāo)對(duì)應(yīng)的位置儲(chǔ)存著決策結(jié)果。當(dāng)所有XACML 文件在離線環(huán)節(jié)中都轉(zhuǎn)換完成后，會(huì)得到一個(gè)儲(chǔ)存有訪問(wèn)控制決策結(jié)果的數(shù)組，而每個(gè)數(shù)組元素的下標(biāo)則與訪問(wèn)控制規(guī)則互相映射。這個(gè)數(shù)組在離線環(huán)節(jié)被燒錄在芯片的Flash中。

在線環(huán)節(jié)中，策略轉(zhuǎn)換模塊將收到的SOME/IP報(bào)文轉(zhuǎn)換成與離線環(huán)節(jié)組裝順序相同的字符串，然后同樣的進(jìn)行一次哈希運(yùn)算并取后12 b作為上述數(shù)組的索引。而訪問(wèn)控制的決策結(jié)果就是該數(shù)組中對(duì)應(yīng)索引位置的值。

圖6 更直觀地描述了哈希數(shù)組的建立過(guò)程，圖中的XACML 可以提取并拼接成如下“Serviceid1111 servicediagnosisipaddress19216801actionrpc”。將 字符串做一次哈希后取后12 b D05，然后在D05 為下標(biāo)的數(shù)組里儲(chǔ)存了訪問(wèn)控制的結(jié)果“Permit”，實(shí)際以二進(jìn)制1或0表示。

圖6 哈希數(shù)組建立流程

這種方法以離線的準(zhǔn)備時(shí)間和靈活性為代價(jià)，使在線環(huán)節(jié)中規(guī)則匹配的時(shí)間復(fù)雜度為O（1），即整個(gè)策略評(píng)估的時(shí)間基本上是一個(gè)定值，由規(guī)則拼接，一次哈希運(yùn)算和一次數(shù)組索引組成。

2.5 安全訪問(wèn)序列

安全訪問(wèn)序列可以分為會(huì)話建立和安全通信兩個(gè)階段。在會(huì)話建立階段，通信雙方進(jìn)行相互認(rèn)證并協(xié)商安全通信階段的會(huì)話秘鑰?；谧C書(shū)的認(rèn)證方式在傳統(tǒng)領(lǐng)域被證明是有效且安全的。但是完整的TLS 握手過(guò)程被證明仍然具有較高的時(shí)間消耗［13］，為此本文中重新設(shè)計(jì)了握手過(guò)程。首先需要假設(shè)在域控制器的安全存儲(chǔ)區(qū)域存放著用于整車(chē)證書(shū)認(rèn)證的根證書(shū)和自身證書(shū)的私鑰。考慮到有限的存儲(chǔ)資源，域控制器中不存儲(chǔ)完整的證書(shū)，但是證書(shū)中必須包含自身證書(shū)的公鑰和根證書(shū)對(duì)公鑰的簽名。由于會(huì)話建立過(guò)程中使用橢圓曲線密碼（ECC），所以證書(shū)類(lèi)型為ECC 證書(shū)，即根證書(shū)對(duì)下級(jí)證書(shū)的簽名使用ECC 算法。這片安全存儲(chǔ)區(qū)域是無(wú)法被攻擊者入侵且篡改的，否則任何基于密碼學(xué)的安全機(jī)制都會(huì)失去意義。安全序列中用到的符號(hào)含義解釋如表2所示。

表2 符號(hào)描述

認(rèn)證過(guò)程由一個(gè)認(rèn)證中心同時(shí)向4 個(gè)區(qū)域控制器發(fā)起，這與提出的電子電氣架構(gòu)不沖突，高性能計(jì)算平臺(tái)可以作為認(rèn)證中心。

區(qū)域控制器A 和認(rèn)證中心G 的認(rèn)證流程如算法1 和算法2 所示。首先由認(rèn)證中心發(fā)起認(rèn)證請(qǐng)求。區(qū)域控制器A 收到請(qǐng)求后，先生成一次隨機(jī)數(shù)N，并和自己的證書(shū)CertA打包發(fā)送給認(rèn)證中心。認(rèn)證中心收到消息后，通過(guò)根證書(shū)CertR驗(yàn)證CertA，若驗(yàn)證通過(guò)，認(rèn)證中心首先對(duì)隨機(jī)生成的128 b會(huì)話秘鑰加密得到加密的會(huì)話秘鑰Enckey。然后對(duì)N、自身證書(shū)CertG和Enckey 組成的消息進(jìn)行簽名后一起發(fā)送給區(qū)域控制器A。同樣，在區(qū)域控制器A 中對(duì)N、數(shù)字簽名sign 和CertG驗(yàn)證通過(guò)后，使用自身的私鑰skA解密獲得當(dāng)前協(xié)商的會(huì)話秘鑰Kcurrent。

安全通信階段使用認(rèn)證過(guò)程中協(xié)商的會(huì)話秘鑰，通過(guò)AES-128 對(duì)訪問(wèn)過(guò)程進(jìn)行加密并附加消息認(rèn)證碼（CMAC）。為了避免安全通信過(guò)程中的重放攻擊，負(fù)載字段中選取4 B 用于存放當(dāng)前時(shí)間戳，這在TSN同步網(wǎng)絡(luò)中是容易實(shí)現(xiàn)的。為了進(jìn)一步提高其安全性，在安全通信過(guò)程中需要進(jìn)行秘鑰更新。為了減少秘鑰分配過(guò)程中的泄露風(fēng)險(xiǎn)，采用基于AES的本地秘鑰更新方法。由于主干網(wǎng)絡(luò)中的各域控制器間在時(shí)間敏感網(wǎng)絡(luò)的作用下完成了時(shí)間同步，各域控制器間以約定的周期同步更新會(huì)話秘鑰。秘鑰更新流程如算法3所示。

首先將128 b IV 的低24 b置0，加上一個(gè)24 b的計(jì)數(shù)器得到CTR。然后以當(dāng)前會(huì)話秘鑰使用AES算法對(duì)CTR進(jìn)行加密，將加密的結(jié)果與當(dāng)前秘鑰再進(jìn)行按位異或運(yùn)算后得到更新的秘鑰Kupdate。隨后更新計(jì)數(shù)器，等待下次秘鑰更新。秘鑰更新通過(guò)硬件同步指示信號(hào)PPS 上升沿觸發(fā)，域控制器對(duì)PPS 的跳變進(jìn)行計(jì)數(shù)，根據(jù)實(shí)際需求周期性地在具有相同PPS 跳變次數(shù)的上升沿進(jìn)行密鑰更新。按照TSN 標(biāo)準(zhǔn)規(guī)定，時(shí)間同步精度在7 跳內(nèi)應(yīng)當(dāng)小于1 μs，完全滿(mǎn)足秘鑰更新的同步需求。

算法1：認(rèn)證中心G認(rèn)證過(guò)程send（Auth_Request）loop Receive（ResponseA）N， CertA = Extract（ResponseA）If Verify（CertA，CertR） == TRUE Kcurrent = rnd（128）Enckey = EECC(pkA， KCurrent)sign = ERSA(skreg，N || CertG || Enckey)ResponseG = N || CertG || Enckey || sign Send（ResponseG）Else Return End loop算法2：區(qū)域控制A認(rèn)證過(guò)程Receive（Auth_Request）N=nonce（）Send（ResponseA = N||CertA）Receive（ResponseG）N′， CertG， Enckey，sign = Extract（ResponseG）If Verify（CertG，CertR） == TRUE and N′ == N If Verify（sign，pkG） == TRUE Kcurrent = D(skA，Enckey)Else Return算法3：密鑰更新流程CTR =(IV & 0xFF..FF000000) + Counter If PPS_Count（） == Period Kupdate = EAES(Kcurrent，CTR)⊕Kcurrent CTR = CTR + 1 Kcurrent = Kupdate

2.6 基于Proverif的安全形式化驗(yàn)證

Proverif 是一個(gè)基于Dolev-Yao 形式化建模技術(shù)的自動(dòng)化密碼學(xué)協(xié)議驗(yàn)證器。加密算法通過(guò)重寫(xiě)規(guī)則和方程來(lái)定義。安全協(xié)議的流程則通過(guò)應(yīng)用PI演算語(yǔ)言描述并輸入Proverif。安全特征，例如保密性和認(rèn)證則通過(guò)事件和查詢(xún)的組合來(lái)證明［14］。

本文通過(guò)設(shè)計(jì)如表3 所示的4 個(gè)事件和詢(xún)問(wèn)來(lái)對(duì)安全訪問(wèn)流程中的4個(gè)安全屬性進(jìn)行驗(yàn)證。

表3 事件與詢(xún)問(wèn)定義

（1）當(dāng)前會(huì)話秘鑰的機(jī)密性：用于安全通信的對(duì)稱(chēng)秘鑰不能被攻擊者獲取或推導(dǎo)。

（2）安全通信過(guò)程中消息的機(jī)密性：安全通信過(guò)程中的消息明文不能被攻擊者獲取或推導(dǎo)。

（3）域控制器A 的認(rèn)證：攻擊者不能在不被認(rèn)證中心G 發(fā)現(xiàn)的情況下冒充域控制器A。即在發(fā)生事件（域控制器認(rèn)證結(jié)束）前，事件（域控制器認(rèn)證開(kāi)始）必須已經(jīng)被執(zhí)行。

（4）認(rèn)證中心G 的認(rèn)證：攻擊者不能在不被域控制器A 發(fā)現(xiàn)的情況下冒充認(rèn)證中心G。即在發(fā)生事件（認(rèn)證中心認(rèn)證結(jié)束）前，事件（認(rèn)證中心認(rèn)證開(kāi)始）必須已經(jīng)被執(zhí)行。

Proverif 的驗(yàn)證總結(jié)輸出顯示，4 個(gè)詢(xún)問(wèn)結(jié)果都為真，故本文提出的安全序列可以滿(mǎn)足通信過(guò)程中的安全性。

3 實(shí)現(xiàn)與驗(yàn)證

本節(jié)詳細(xì)描述本文提出的安全訪問(wèn)控制機(jī)制在實(shí)物系統(tǒng)下的實(shí)現(xiàn)和驗(yàn)證。

3.1 功能實(shí)現(xiàn)

在硬件方面，實(shí)物板卡是基于英飛凌TC397 與恩智浦交換機(jī)SJA1110 為核心組件開(kāi)發(fā)的域控制器。TC397 具有6個(gè)最大頻率為300 MHz 的CPU，并且具備硬件安全模塊（hardware security module，HSM）。SJA1110 不僅支持除異步流量整形和搶占的TSN 功能，還向用戶(hù)開(kāi)放了其內(nèi)核并提供了集成開(kāi)發(fā)環(huán)境，方便用戶(hù)進(jìn)行二次開(kāi)發(fā)。域控制器具有3 路基于邁威88Q2112 的千兆以太網(wǎng)通信接口和6路集成的百兆以太網(wǎng)通信接口。

軟件架構(gòu)如圖7 所示，通用設(shè)備驅(qū)動(dòng)用來(lái)保證硬件的正常運(yùn)行并初始化HSM 模塊。IEEE 802.1AS 同步協(xié)議棧和逐流過(guò)濾與監(jiān)測(cè)模塊是為了實(shí)現(xiàn)安全序列中的密鑰更新與訪問(wèn)控制的在線檢測(cè)。同步協(xié)議按照TSN 標(biāo)準(zhǔn)開(kāi)發(fā)并部署在TC397中，而逐流過(guò)濾與監(jiān)測(cè)模塊已經(jīng)集成在交換機(jī)中。簡(jiǎn)化的SOME/IP 協(xié)議在TC397 中被開(kāi)發(fā)并運(yùn)行在輕量化TCP/IP協(xié)議棧上。

圖7 軟件架構(gòu)

基于WolfSSL 和HSM 的方法同時(shí)被用來(lái)實(shí)現(xiàn)本文提出的安全訪問(wèn)控制系統(tǒng)。WolfSSL 是適用于嵌入式系統(tǒng)的TLS 協(xié)議棧，集成了涵蓋本文需求的對(duì)稱(chēng)加密、非對(duì)稱(chēng)加密和哈希算法接口。本文通過(guò)調(diào)用和組合WolfSSL 中的密碼學(xué)接口來(lái)實(shí)現(xiàn)安全訪問(wèn)序列。HSM模塊能夠使用對(duì)應(yīng)接口實(shí)現(xiàn)對(duì)AES128、ECC256 和SHA256 的硬件加速，可以極大地提升系統(tǒng)的性能?；赥asking 編譯器和勞德巴赫調(diào)試器的工具鏈被用來(lái)進(jìn)行HSM 功能的開(kāi)發(fā)。驗(yàn)證交互模塊則是為了方便功能驗(yàn)證與性能測(cè)試而開(kāi)發(fā)的響應(yīng)上位機(jī)指令的交互模塊。

3.2 測(cè)試環(huán)境

測(cè)試環(huán)境如圖8 所示，Vector VN5650 的Ethernet1被配置成Link模式，通過(guò)1000base-t1與域控制器A 和認(rèn)證中心G 串聯(lián)在一起。這條串聯(lián)鏈路是為了觀察兩個(gè)節(jié)點(diǎn)間通信的報(bào)文，監(jiān)控節(jié)點(diǎn)間的訪問(wèn)控制過(guò)程，并在實(shí)驗(yàn)過(guò)程中充當(dāng)中間人實(shí)施抗攻擊測(cè)試。VN5650 的Ethernet 2 被配置成Switch 模式與域控制器A 和認(rèn)證中心G 的另外兩條以太網(wǎng)鏈路連接，并借此對(duì)實(shí)物系統(tǒng)進(jìn)行控制并獲取功能測(cè)試的結(jié)果反饋。通過(guò)在Trace 窗口觀察狀態(tài)反饋標(biāo)志位和報(bào)文可以判斷系統(tǒng)功能是否正常。在性能測(cè)試時(shí)，指定任務(wù)完成后實(shí)物板卡被編程產(chǎn)生TTL 信號(hào)跳變，通過(guò)示波器與實(shí)物板卡連接可以測(cè)出完成指定任務(wù)所需的時(shí)間。

圖8 實(shí)物測(cè)試環(huán)境

3.3 性能分析

安全訪問(wèn)控制系統(tǒng)中各模塊的時(shí)間消耗與文獻(xiàn)［13］中的性能在如表4所示。在不使用HSM加速的情況下，本文提出的會(huì)話建立流程需要829.387 ms。雖然這仍然是個(gè)較大的耗時(shí)，但是相比于文獻(xiàn)［13］中基于標(biāo)準(zhǔn)TLS 的會(huì)話建立，在性能上仍有至少50%的性能提升。而在使用HSM 硬件加速的情況下，會(huì)話建立的時(shí)間消耗僅為89.058 ms，相比軟件實(shí)現(xiàn)性能提升了將近10 倍。這是由于TC397 的HSM支持對(duì)非對(duì)稱(chēng)加密算法ECC加速的結(jié)果。

表4 安全訪問(wèn)控制時(shí)間消耗

在安全通信中，當(dāng)資源字節(jié)較大（例如攝像頭數(shù)據(jù)）時(shí)，僅使用軟件實(shí)現(xiàn)一次安全通信的時(shí)間為2.611 ms，而在資源字節(jié)較少時(shí)需要0.384 ms。這與文獻(xiàn)［13］中的性能幾乎相同，這是由于本文與文獻(xiàn)［13］都使用了WolfSSL 嵌入式密碼學(xué)庫(kù)和算力相同的英飛凌TC 系列硬件。而當(dāng)使用HSM 加速時(shí)，完成512 B 數(shù)據(jù)的安全通信只需要27.648 μs，同時(shí)64 B 數(shù)據(jù)的安全通信時(shí)間被縮短至5.096 μs。由于密鑰更新過(guò)程的明文只有16 B， 加上一次異或操作，在HSM 加速的情況下，一次更新的時(shí)間被縮短成11.779 μs。由于在策略評(píng)估引擎使用了SHA256算法，故在使用HSM 加速的情況下，性能同樣被顯著提升，且基本不隨策略條數(shù)的增加而增加。在訪問(wèn)策略條數(shù)不斷增加的情況下，這是一個(gè)相當(dāng)優(yōu)秀的特性。但由于哈希表的特點(diǎn)，存儲(chǔ)空間的利用率是一個(gè)問(wèn)題，例如取12 b長(zhǎng)度作為數(shù)組索引時(shí)，需要開(kāi)辟一個(gè)3 KB 的數(shù)組，且數(shù)組中的元素不連續(xù)存儲(chǔ)，當(dāng)數(shù)組不斷被填滿(mǎn)時(shí)發(fā)生哈希沖突的概率就越大。在線檢測(cè)由于布置在SJA1110 內(nèi)核中并行運(yùn)行，同時(shí)使用千兆以太網(wǎng)傳輸結(jié)果，耗時(shí)幾乎忽略不計(jì)。

綜上所述，本文提出的安全訪問(wèn)控制方法在使用HSM 加速的情況下，具有良好的性能且滿(mǎn)足車(chē)載通信的實(shí)時(shí)性要求。其中會(huì)話建立所需時(shí)間相對(duì)較長(zhǎng)，這是由于該過(guò)程包含了6 次ECC 非對(duì)稱(chēng)密碼的執(zhí)行時(shí)間，握手報(bào)文在以太網(wǎng)鏈路的傳播時(shí)間，驅(qū)動(dòng)收發(fā)和軟件處理時(shí)間。但是會(huì)話建立過(guò)程只發(fā)生在車(chē)輛啟動(dòng)或訪問(wèn)控制開(kāi)始前，在重新發(fā)起訪問(wèn)請(qǐng)求前，不再需要重新身份認(rèn)證和秘鑰協(xié)商。所以89 ms左右的延時(shí)是可以被接受的。

4 結(jié)論

隨著智能網(wǎng)聯(lián)汽車(chē)的發(fā)展，基于服務(wù)的區(qū)域電子電氣架構(gòu)已經(jīng)成為未來(lái)發(fā)展的必然趨勢(shì)。本文提出了一種基于屬性的安全訪問(wèn)控制機(jī)制：首先，著重關(guān)注區(qū)域控制器之間的訪問(wèn)控制，該訪問(wèn)控制機(jī)制考慮了實(shí)際的電子電氣架構(gòu)特點(diǎn)，增加了基于逐流過(guò)濾與檢測(cè)的在線檢測(cè)模塊；其次，設(shè)計(jì)了基于哈希的策略評(píng)估引擎，并且在訪問(wèn)控制開(kāi)始前進(jìn)行身份認(rèn)證；然后，使用對(duì)稱(chēng)加密的方式確保訪問(wèn)控制過(guò)程的機(jī)密性和完整性；最后，在實(shí)物系統(tǒng)中通過(guò)軟件和HSM 進(jìn)行了實(shí)現(xiàn)，并對(duì)其進(jìn)行了功能驗(yàn)證和性能評(píng)估。結(jié)果顯示，本文提出的安全訪問(wèn)控制機(jī)器在滿(mǎn)足車(chē)載實(shí)時(shí)性要求的同時(shí)，能夠有效檢測(cè)出未經(jīng)授權(quán)的訪問(wèn)，且在過(guò)程中保證了通信的機(jī)密性，完整性和可認(rèn)證性。

然而本文僅關(guān)注了區(qū)域控制器間的訪問(wèn)控制，在未來(lái)的電子電氣架構(gòu)中，遠(yuǎn)程信息處理單元作為車(chē)內(nèi)外的信息樞紐，將面臨比車(chē)內(nèi)區(qū)域控制器更嚴(yán)峻的安全挑戰(zhàn)。大量外界實(shí)體將通過(guò)TCU 對(duì)車(chē)內(nèi)資源進(jìn)行頻繁和動(dòng)態(tài)的訪問(wèn)。在資源更充沛的車(chē)載計(jì)算機(jī)中訪問(wèn)控制將更有應(yīng)用潛力，外部實(shí)體對(duì)車(chē)載資源的訪問(wèn)控制將是今后的研究重點(diǎn)。