以最小的系統(tǒng)影響高效率地實(shí)施CAN的安全通信

　　有效地實(shí)施CAN通信安全是一個(gè)挑戰(zhàn)，目前，基于數(shù)據(jù)有效負(fù)載的認(rèn)證有各種不同方案，例如AUTOSAR?SecOC[1]。這些解決方案采用了加密的方式，這意味著需要更高的帶寬、更長(zhǎng)的傳輸延遲和更高的處理能力，與此同時(shí)還需要管理加密密鑰本身。

　　恩智浦新推出的安全型CAN收發(fā)器系列提供一種非常高效的無(wú)縫解決方案，無(wú)需加密即可保障CAN通信安全。這樣可以降低其他解決方案會(huì)面臨的系統(tǒng)影響。

　　恩智浦認(rèn)為，只要收發(fā)器具備分布式入侵檢測(cè)和遏制方法，無(wú)需加密即可有效保障CAN通信安全[2]。另外，在發(fā)送和接收路徑中采用CAN報(bào)文標(biāo)識(shí)符(ID)過(guò)濾機(jī)制，將有助于防止和遏制諸如欺騙、遠(yuǎn)程幀篡改和泛洪拒絕服務(wù)等網(wǎng)絡(luò)攻擊。通過(guò)監(jiān)視和過(guò)濾總線上的網(wǎng)絡(luò)流量，安全型CAN收發(fā)器能夠有效遏制電子控制單元(ECU)試圖發(fā)送未授權(quán)的惡意報(bào)文的行為，從而為CAN總線提供安全保護(hù)。

　　從安全角度出發(fā)，人們往往會(huì)選擇使用尖端技術(shù)解決方案來(lái)防范安全威脅，比如基于加密和相關(guān)安全密鑰管理的加密報(bào)文認(rèn)證碼(MAC)。各種安全微控制器也采用加密加速器來(lái)為這類(lèi)最先進(jìn)的解決方案提供硬件支持。但即便如此，這種解決方案對(duì)于保障CAN通信安全而言也并非始終是最有效率的。安全微控制器可用于保護(hù)多個(gè)CAN網(wǎng)絡(luò)或其他網(wǎng)絡(luò)(如以太網(wǎng)或LTE)上的端對(duì)端通信，實(shí)現(xiàn)安全啟動(dòng)、認(rèn)證診斷和認(rèn)證固件更新。

　　不過(guò)，本文將要展示的是一種更高效率的CAN總線保護(hù)解決方案，那就是安全型CAN收發(fā)器。這種解決方案無(wú)帶寬開(kāi)銷(xiāo)，而且對(duì)于配置和生命周期管理的需求極低。通過(guò)執(zhí)行密碼檢查來(lái)驗(yàn)證報(bào)文真實(shí)性，勢(shì)必會(huì)造成報(bào)文延遲、總線負(fù)載和計(jì)算能耗的增加。因此，這類(lèi)解決方案可能會(huì)遭到抑制，或者造成如下折衷的結(jié)果：

　　1.?只將報(bào)文認(rèn)證碼(MAC)應(yīng)用于網(wǎng)絡(luò)中的一小部分CAN報(bào)文

　　2.?將超出合理限制范圍的MAC和/或新鮮度值截短

　　3.?可能存在無(wú)保護(hù)的寬限期[3]。

　　當(dāng)所選微控制器系列沒(méi)有足夠的計(jì)算能力來(lái)加解密CAN報(bào)文時(shí)，將會(huì)導(dǎo)致現(xiàn)有的電子控制單元設(shè)計(jì)無(wú)法升級(jí)。此外，整個(gè)車(chē)輛生命周期的密鑰管理也會(huì)是一個(gè)復(fù)雜的挑戰(zhàn)。最終，可能需要對(duì)整個(gè)系統(tǒng)進(jìn)行從經(jīng)典CAN到CAN?FD的重新設(shè)計(jì)，以此補(bǔ)償引入安全處理芯片SecOC所導(dǎo)致的總線負(fù)載增加，因此這種方案并非總是切實(shí)可行的。

　　恩智浦提供的方案能夠在系統(tǒng)影響最低的前提下保護(hù)CAN總線，既可以為基于加密的安全解決方案增加一層保護(hù)以實(shí)現(xiàn)深度防御(DiD[1])，也可以作為獨(dú)立的解決方案使用。無(wú)論是哪種情況下，安全型CAN收發(fā)器都能夠有效提供強(qiáng)有力的保護(hù)并遏制黑客攻擊。

　　安全型CAN收發(fā)器的安全功能

　　防范發(fā)送端欺騙

　　安全型CAN收發(fā)器在發(fā)送路徑中提供了一種方法來(lái)保護(hù)總線不受被破壞的電子控制單元的侵害，即根據(jù)CAN報(bào)文ID對(duì)報(bào)文進(jìn)行過(guò)濾。如果電子控制單元試圖用原來(lái)未分配給它的ID發(fā)送報(bào)文，安全型CAN收發(fā)器可以拒絕向總線發(fā)送該報(bào)文，使該報(bào)文失效，并拒絕執(zhí)行后續(xù)發(fā)送。CAN報(bào)文ID的過(guò)濾對(duì)策可通過(guò)制造商可以配置的ID白名單來(lái)實(shí)現(xiàn)。例如，可以從白名單中排除ISO?14229標(biāo)準(zhǔn)針對(duì)非車(chē)載測(cè)試儀規(guī)定的統(tǒng)一診斷服務(wù)(UDS)ID。這樣做可以防止被破壞的電子控制單元通過(guò)用另一個(gè)車(chē)載電子控制單元啟動(dòng)診斷會(huì)話來(lái)操縱校準(zhǔn)值。

　　防范接收端欺騙

　　當(dāng)接收到分配給用于發(fā)送的CAN報(bào)文ID時(shí)，一種補(bǔ)救保護(hù)措施就是使總線上的報(bào)文失效。這種方法意味著每個(gè)電子控制單元都可以在不法電子控制單元使用相同ID發(fā)送報(bào)文時(shí)保護(hù)自己的ID;比如，不屬于汽車(chē)OEM制造商控制范圍并因此沒(méi)有配有發(fā)送白名單的安全型CAN收發(fā)器的售后器件。任何電子控制單元在總線上發(fā)送報(bào)文時(shí)，合法電子控制單元的安全型CAN收發(fā)器都可以通過(guò)向總線寫(xiě)入激活錯(cuò)誤幀，主動(dòng)使該報(bào)文失效。被破壞的發(fā)送方重復(fù)被騙報(bào)文16次后，暫停發(fā)送行為介入，限制被騙報(bào)文加重總線負(fù)載;然后，再重復(fù)16次以后，攻擊電子控制單元會(huì)進(jìn)入總線關(guān)閉狀態(tài)。這一短暫的總線負(fù)載高峰可視為對(duì)策的負(fù)面影響。不過(guò)，只有當(dāng)系統(tǒng)受到攻擊時(shí)才會(huì)采取這種措施，因此不必過(guò)于擔(dān)心。

　　防篡改保護(hù)

　　使CAN總線上報(bào)文失效的方法也可以用來(lái)預(yù)防篡改攻擊。安全型CAN收發(fā)器可以檢查總線上是否存在電子控制單元已經(jīng)贏得其仲裁但已經(jīng)停止在數(shù)據(jù)域中發(fā)送(因?yàn)樵诎l(fā)送隱性位時(shí)收到顯性位)的有效報(bào)文，以及該報(bào)文是否由篡改電子控制單元完成。這是有被破壞電子控制單元介入發(fā)送的明顯標(biāo)志。在電子控制單元的CAN控制器沒(méi)有報(bào)告錯(cuò)誤時(shí)的被動(dòng)錯(cuò)誤狀態(tài)期間，這特別有價(jià)值。請(qǐng)注意，報(bào)文篡改將是繞過(guò)接收端欺騙防范的一種方法。

　　防范泛洪攻擊

　　在發(fā)送端實(shí)施時(shí)，限制電子控制單元在單位時(shí)間內(nèi)對(duì)整體總線負(fù)載，有助于防止總線遭到泛洪攻擊。為防止泛洪攻擊，可以使用漏桶機(jī)制。漏桶在報(bào)文發(fā)送時(shí)填充，并不斷清空。一旦漏桶溢出，便停止后續(xù)發(fā)送。因此，泛洪攻擊保護(hù)提高了總線的可用性，從而阻止混串音。為了使一個(gè)電子控制單元的報(bào)文猝發(fā)持續(xù)一定的時(shí)間，可以適當(dāng)?shù)卦O(shè)置漏桶容量。填充漏桶時(shí)可以將低優(yōu)先級(jí)的報(bào)文排除，因?yàn)樗鼈儽貙⑹ブ俨?，不利于防止泛洪攻擊。這樣一來(lái)，診斷服務(wù)(如SW上傳/下載)等便能以高速率交換低優(yōu)先級(jí)的報(bào)文，而且不會(huì)觸發(fā)泛洪保護(hù)。

　　使用這些對(duì)策防止欺騙和篡改，無(wú)需克服密碼協(xié)議和相關(guān)資產(chǎn)管理方法方面的障礙即可使發(fā)送方合法化。與最先進(jìn)的解決方案相比，這種方案的破壞性比較低。此外，它還支持深度防御概念，可以使向不法電子控制單元發(fā)送被盜加密密鑰的行為失效，因?yàn)樵撾娮涌刂茊卧獰o(wú)法發(fā)送它可能用被盜密鑰驗(yàn)證的報(bào)文的CAN報(bào)文ID。

　　最先進(jìn)解決方案對(duì)系統(tǒng)的影響以及安全型CAN收發(fā)器的價(jià)值

　　為了通過(guò)最先進(jìn)的解決方案使報(bào)文合法化，需使用基于加密的有效載荷認(rèn)證，例如使用AUTOSAR?SecOC。在原始未受保護(hù)的有效載荷中補(bǔ)充報(bào)文認(rèn)證碼(MAC)和參數(shù)，以標(biāo)識(shí)報(bào)文的新鮮度。報(bào)文認(rèn)證碼基于加密算法和共享密鑰進(jìn)行計(jì)算。報(bào)文的新鮮度用于重播保護(hù)，它可以確保重復(fù)的有效載荷擁有不同的新報(bào)文認(rèn)證碼。

　　注：?經(jīng)認(rèn)證的有效載荷采用普通或加密格式，但會(huì)以相同的方式處理以達(dá)到驗(yàn)證目的。推薦的安全實(shí)踐要求將加密和認(rèn)證分開(kāi)，例如對(duì)每個(gè)操作使用不同的共享密鑰。因此，在下面的討論中，我們將有效載荷加密視為不相關(guān)的。

　　對(duì)CAN網(wǎng)絡(luò)應(yīng)用基于加密的有效載荷認(rèn)證解決方案時(shí)，產(chǎn)生的值可能會(huì)受到下面將討論的幾個(gè)因素影響。相關(guān)程度取決于安全設(shè)計(jì)和體系架構(gòu)——因此下述因素并非全都適用于每一位讀者的情況。

　　安全通信啟動(dòng)延遲

　　在系統(tǒng)上電(或點(diǎn)火)之后，需要一定的時(shí)間來(lái)協(xié)調(diào)和調(diào)整即將到來(lái)的經(jīng)認(rèn)證報(bào)文的新鮮度屬性。這段時(shí)間會(huì)造成對(duì)第一批重要報(bào)文的認(rèn)證準(zhǔn)備發(fā)生延遲。盡管有不同的方法可供使用，但通常都會(huì)涉及到相關(guān)電子控制單元之間的少量或大量有效載荷交換的協(xié)議。例如，可以就安全的時(shí)間分配或安全的單調(diào)計(jì)數(shù)器同步達(dá)成一致。另一種方法是在每次啟動(dòng)時(shí)刷新共享密鑰，并使用重置的新鮮度值。但是，考慮到點(diǎn)火后電子控制單元的重啟周期數(shù)可能會(huì)出現(xiàn)不可預(yù)測(cè)、異步和不相等的情況，因此協(xié)議將是復(fù)雜的，比較耗費(fèi)時(shí)間。不可預(yù)測(cè)性可能來(lái)自發(fā)動(dòng)機(jī)啟動(dòng)時(shí)潛在的功率損失，而不相等則是由于功率損失不同所導(dǎo)致。AUTOSAR定義了一個(gè)寬限期[3]來(lái)應(yīng)對(duì)這個(gè)問(wèn)題，但是當(dāng)關(guān)鍵報(bào)文沒(méi)有受到保護(hù)時(shí)，將導(dǎo)致點(diǎn)火后出現(xiàn)一段延遲(或者由于攻擊而強(qiáng)制重啟)。

　　在稍后的穩(wěn)定時(shí)期刷新密鑰不失為一種替代方案。這樣可將復(fù)雜性轉(zhuǎn)移到單調(diào)計(jì)數(shù)器的管理上，但也可能導(dǎo)致其他問(wèn)題，比如非易失性存儲(chǔ)器磨損或者計(jì)數(shù)器在混亂的上電狀態(tài)下失去同步。

　　恩智浦的安全型CAN收發(fā)器可確保總線上任何受保護(hù)的報(bào)文(包括最開(kāi)始的報(bào)文)都是合法的。

　　增加總線負(fù)載和帶寬

　　如果通過(guò)增加總線負(fù)載來(lái)傳輸附加參數(shù)(如MAC和新鮮度值)，則帶寬需求也會(huì)隨之增大。附加參數(shù)的大小會(huì)影響安全級(jí)別，或另一總線負(fù)載的消耗速率。NIST[4]?建議MAC至少為64位(即：8字節(jié))，這對(duì)于經(jīng)典CAN而言損失相當(dāng)大。新鮮度計(jì)數(shù)器的大小決定了密鑰的刷新速率，或一些其他安全型基本計(jì)數(shù)器/新鮮度同步的速率。

　　　此圖顯示了帶寬開(kāi)銷(xiāo)。它對(duì)500?kbps條件下的經(jīng)典CAN報(bào)文與11位CAN報(bào)文ID的傳輸時(shí)間進(jìn)行了比較。最初的普通有效載荷在灰色區(qū)域，相應(yīng)的值對(duì)應(yīng)不同的認(rèn)證參數(shù)[計(jì)數(shù)器?+?MAC](括號(hào)中的值以字節(jié)為單位)。

　　以圈紅處為例：假設(shè)一個(gè)普通的經(jīng)典CAN報(bào)文的無(wú)保護(hù)報(bào)文有效載荷為16位，那么2字節(jié)的計(jì)數(shù)器和5字節(jié)的MAC用于可接受的保護(hù)，總線負(fù)載增大2.5倍。

　　圖1?認(rèn)證帶寬開(kāi)銷(xiāo)

　　圖中的數(shù)字僅指報(bào)文認(rèn)證開(kāi)銷(xiāo)，不包括運(yùn)行管理協(xié)議刷新密鑰或新鮮度值時(shí)可能增加的總線負(fù)載。

　　恩智浦的安全型CAN收發(fā)器無(wú)需傳輸任何附加位即可在經(jīng)典CAN和CAN?FD協(xié)議下正常工作。

　　增加處理器負(fù)載和功能延遲

　　額外的功能延遲可能來(lái)自額外的緩沖區(qū)或中斷處理以及與硬件加速器之間的通信，而不是在生成和認(rèn)證期間計(jì)算MAC所導(dǎo)致。額外的處理負(fù)載會(huì)降低應(yīng)用的性能。附加位在總線上的傳輸時(shí)間也會(huì)以圖1中總線開(kāi)銷(xiāo)的數(shù)量級(jí)增加。如圖1所示，16位無(wú)保護(hù)報(bào)文有效載荷需要172?μs，而有效載荷受保護(hù)的同一報(bào)文需要436?μs。分布式車(chē)輛功能的功能延遲和實(shí)時(shí)行為取決于當(dāng)前的架構(gòu)和車(chē)輛設(shè)計(jì)。

　　恩智浦的安全型CAN收發(fā)器可獨(dú)立于微控制器保護(hù)CAN通信，不會(huì)增加任何延遲。

　　增加軟件復(fù)雜性

　　CAN控制器負(fù)責(zé)管理TX緩沖區(qū)或TX隊(duì)列，從而使應(yīng)用從復(fù)雜的管理和中斷處理任務(wù)中脫身。在汽車(chē)應(yīng)用中，處理不同優(yōu)先級(jí)的報(bào)文是很常見(jiàn)的。不同的部分(如軟件線程)彼此之間并行運(yùn)行。它們?cè)贑AN驅(qū)動(dòng)器或CAN控制器中使用不同的TX緩沖區(qū)或TX隊(duì)列。應(yīng)用部分或線程將報(bào)文傳遞給CAN驅(qū)動(dòng)程序或控制器的順序不一定對(duì)應(yīng)于報(bào)文在總線上出現(xiàn)的順序。對(duì)于使用全局新鮮度值(例如全局同步時(shí)間)的已認(rèn)證報(bào)文，總線上的順序必須遵循用于計(jì)算報(bào)文認(rèn)證碼的新鮮度值的順序。否則，它將被視為舊報(bào)文或者被接收器重播。等待贏得仲裁的待處理CAN報(bào)文有效載荷中已經(jīng)包含報(bào)文認(rèn)證碼和新鮮度值。因此，應(yīng)用提供的任何更高優(yōu)先級(jí)的報(bào)文都將使所有待處理報(bào)文的新鮮度和相關(guān)認(rèn)證失效。這意味著CAN控制器的TX緩沖區(qū)和TX隊(duì)列已經(jīng)耗盡，應(yīng)用不能再簡(jiǎn)單地向CAN控制器發(fā)送任何報(bào)文。此外，它需要設(shè)計(jì)為重新計(jì)算在等待傳輸?shù)臒o(wú)效報(bào)文的認(rèn)證，這為應(yīng)用增加了額外的處理任務(wù)并且增加了系統(tǒng)延遲。

　　恩智浦的安全型CAN收發(fā)器屬于純硬件解決方案。

　　需要密鑰管理

　　任何基于加密的解決方案都依賴于密鑰的使用，或?qū)ΨQ(chēng)或不對(duì)稱(chēng)。適當(dāng)?shù)拿荑€管理通常比較復(fù)雜，需要付出極大的努力，而這一點(diǎn)往往會(huì)被低估?？紤]到用于實(shí)時(shí)通信的有效載荷認(rèn)證與高性能要求，通常會(huì)采用對(duì)稱(chēng)加密，即共享密鑰。系統(tǒng)的安全級(jí)別在一定程度上取決于共享密鑰的保護(hù)和特權(quán)。通過(guò)設(shè)計(jì)，密鑰應(yīng)當(dāng)具備有限的專(zhuān)用特權(quán)，以便降低密鑰本身(密鑰被盜)或使用過(guò)程中(雖以安全方式存儲(chǔ)但為被破壞的應(yīng)用所利用)的安全漏洞影響。在這兩種情況下，應(yīng)用都將獲得密鑰特權(quán)，亦即未經(jīng)授權(quán)的訪問(wèn)特權(quán)。

　　每個(gè)車(chē)輛的密鑰都應(yīng)該是獨(dú)特或多樣化的，這樣即便車(chē)輛A的密鑰被盜也不能授予對(duì)任何其他類(lèi)似車(chē)輛的等同功能的訪問(wèn)權(quán)——這就是所謂的車(chē)隊(duì)攻擊應(yīng)變力。在制造和車(chē)輛生命周期中，需要特別考慮密鑰特權(quán)的分配以及密鑰的創(chuàng)建與分配?？梢圆渴鹈總€(gè)車(chē)輛和功能的靜態(tài)多樣化密鑰，并在更換模塊期間維護(hù)用于密鑰注入的中央數(shù)據(jù)庫(kù)。或者，也可以選擇為每個(gè)電子控制單元的角色分配密鑰使用擴(kuò)展證書(shū)和非對(duì)稱(chēng)加密證書(shū)，讓車(chē)輛動(dòng)態(tài)分配或重新分配密鑰。Diffie-Hellman?(DH)協(xié)議有時(shí)會(huì)被理解為分配密鑰的標(biāo)準(zhǔn)方式，但這是不夠的。該協(xié)議可保證密鑰在兩個(gè)實(shí)體之間秘密交換，但并未指出交換密鑰的具體實(shí)體。這意味著，攻擊者也可以加入DH會(huì)話并獲取有價(jià)值的相關(guān)密鑰。后者需要通過(guò)額外的流程來(lái)驗(yàn)證另一方，如不對(duì)稱(chēng)證書(shū)方案。因此，用于有效載荷認(rèn)證的對(duì)稱(chēng)密鑰管理可以轉(zhuǎn)化為車(chē)輛內(nèi)的證書(shū)管理和動(dòng)態(tài)使用。

　　整個(gè)汽車(chē)生命周期的密鑰管理策略選擇是多種多樣的，但需要具體的想法和部署工作。而且，傳統(tǒng)的密鑰管理解決方案可能無(wú)法直接應(yīng)用于汽車(chē)行業(yè)。密鑰管理策略可能取決于上述其他方面的設(shè)計(jì)選擇，例如上電后的新鮮度管理。

　　恩智浦的安全型CAN收發(fā)器無(wú)需加密即可高效運(yùn)行——因此無(wú)需任何復(fù)雜的密鑰管理。

　　結(jié)論

　　基于加密的最先進(jìn)解決方案

　　-?需要某種形式的密鑰管理

　　-?需要一種方法在啟動(dòng)時(shí)處理新鮮度值以實(shí)現(xiàn)重播保護(hù)

　　-?可能會(huì)造成認(rèn)證準(zhǔn)備發(fā)生延遲，即存在一個(gè)寬限期

　　-?會(huì)引入傳輸延遲，用以計(jì)算報(bào)文認(rèn)證碼

　　-?增加總線負(fù)載以傳輸附加參數(shù)(即：MAC和新鮮度值)

　　-?占用發(fā)送方和接收方應(yīng)用的處理周期，并最終

　　-?可能會(huì)增加發(fā)送方應(yīng)用架構(gòu)的復(fù)雜性，以根據(jù)報(bào)文優(yōu)先級(jí)和新鮮度值對(duì)待處理的發(fā)送操作進(jìn)行排序，即：新的較高優(yōu)先級(jí)報(bào)文可能由于新鮮度值重新排序而使得待處理的低優(yōu)先級(jí)報(bào)文的認(rèn)證碼失效

　　恩智浦提出的概念僅僅依靠安全型CAN收發(fā)器即可實(shí)現(xiàn)。該器件完全獨(dú)立于微控制器(μC)單獨(dú)運(yùn)行。這意味著它具備固有的安全級(jí)別，并且是專(zhuān)門(mén)以將系統(tǒng)影響降至最低為前提而設(shè)計(jì)的，因此能夠克服CAN協(xié)議規(guī)范中缺少發(fā)送方身份的問(wèn)題。該器件可以逐步(逐個(gè)電子控制單元)引入網(wǎng)絡(luò)，不會(huì)影響其他電子控制單元，也不會(huì)影響報(bào)文延遲、總線負(fù)載或增加處理器負(fù)載。實(shí)施的欺騙保護(hù)機(jī)制可確保目標(biāo)電子控制單元(即：報(bào)文接收器)接收到的受保護(hù)報(bào)文都是由預(yù)期的發(fā)送方發(fā)送。另外，總線會(huì)在點(diǎn)火之后立即受到保護(hù)——我們的對(duì)策不需要任何初始化(各個(gè)電子控制單元)或同步(總線上的多個(gè)電子控制單元)操作。

　　這種安全型CAN收發(fā)器可以作為當(dāng)今標(biāo)準(zhǔn)CAN收發(fā)器的硬件替代產(chǎn)品，無(wú)需更換電子控制單元上的主要硬件和軟件，并且不會(huì)影響其他電子控制單元的運(yùn)行。因此，本文所述方案提供了一種快速、省力、非破壞性且具有高成本效益的方式來(lái)向CAN總線中引入安全性—既可以作為獨(dú)立的保護(hù)機(jī)制，也可以為其他安全解決方案增加第二道安全防線。

　　參考文獻(xiàn)

　　[1]?AUTOSAR?SecOC——模塊安全板載通信規(guī)范

　　https://www.autosar.org/fileadmin/user_upload/standards/classic/4-3/AUTOSAR_SWS_SecureOnboardCommunication.pdf

　　[2]?iCC?2017——網(wǎng)絡(luò)安全增強(qiáng)型CAN收發(fā)器(恩智浦)

　　https://www.can-cia.org/fileadmin/resources/documents/conferences/2017_elend.pdf

　　[3]?[ECUC_SecOC_00051]?SecOCEnableForcedPassOverride

　　https://www.autosar.org/fileadmin/user_upload/standards/classic/4-3/AUTOSAR_SWS_SecureOnboardCommunication.pdf

　　[4]?SP?800-38B：推薦的分組密碼操作模式：CMAC認(rèn)證模式

　　https://csrc.nist.gov/publications/detail/sp/800-38b/final

　　[1]?DiD是一種在整個(gè)系統(tǒng)中實(shí)施多層安全對(duì)策的概念。這樣，可以在其中一種安全對(duì)策失敗或漏洞被成功利用的情況下發(fā)揮冗余的作用。通過(guò)DiD，可以為攻擊者設(shè)置多重障礙防止其攻破，從而提升整個(gè)系統(tǒng)的保護(hù)強(qiáng)度。