网站建设价格组成,做我的世界壁纸网站,桂林森禾医药有限公司,免费二维码制作生成器电子电子架构——AUTOSAR信息安全机制有哪些#xff08;下#xff09;
我是穿拖鞋的汉子#xff0c;魔都中坚持长期主义的工程师。
老规矩#xff0c;分享一段喜欢的文字#xff0c;避免自己成为高知识低文化的工程师#xff1a; 人们会在生活中不断攻击你。他们的主要…电子电子架构——AUTOSAR信息安全机制有哪些下
我是穿拖鞋的汉子魔都中坚持长期主义的工程师。
老规矩分享一段喜欢的文字避免自己成为高知识低文化的工程师 人们会在生活中不断攻击你。他们的主要武器是向你灌输对自己的怀疑你的价值、你的能力、你的潜力。他们往往会将此伪装成客观意见但无一例外的是他们想让你怀疑自己。 本文主要讲述如下内容介绍电子电气架构中汽车以太网诊断路由汇总
- 4、Crypto Stack
- 5、IAM
- 6、KeyM
- 7、IdsM
四、Crypto Stack
为了汽车软件提供统一的安全加密/ 解密接口AUTOSAR 在4.3 版本推出Crypto Stack 模块。Crypto Stack 是AUTOSAR 架构体系中负责数据加密保护和密钥管理的模块由Crypto Service Manager,Crypto Interface, Crypto Driver 三个部分组成为应用程序和系统服务提供了标准化的密码服务接口。密码服务可以是哈希计算非对称签名验证对称加密等。其主要应用于ECU 通信加密、SecurityAccess 流程保护和KEY 的管理等使用场景。
CSM(Crypto Service Manager是加密服务管理器位于AUTOSAR 的SYS 模块最高层的服务层。服务层是基础软件的最高层它的任务是为应用软件和基本软件模块提供基本服务即为应用软件和基本软件模块提供最相关的功能。CSM 基于一个依赖于软件库或硬件模块的加密驱动程序来提供加密功能的服务也可以使用多个加密驱动程序的混合设置。CSM 通过CryIf(Crypto Interface访问不同的加密驱动程序。 CSM和邻近模块的关系
CSM 作为服务层为SWC 或BSW 提供加密操作的接口。CSM 的主要任务是对服务进行调度和排序并调用加密接口CryIf进行进一步操作。CryIf 将请求调度到加密驱动程序及其静态分配给该服务的加密驱动程序对象。CSM 使用基元CsmPrimitives已配置加密算法的实例的静态配置来定义加密操作。然后将这样的基元分配给Job(Job 是配置过的CsmJob指的是密钥、密码原语和参考信道该配置决定进一步的属性如优先级、异步或同步执行以及程序执行中应使用的密钥。需要注意的是密钥总是位于加密驱动程序本身中CSM 只使用对它的引用。
密钥和基元的分离允许加密操作和密钥管理API 分离。这使得应用程序可以专注于所需的加密操作如MAC 计算和验证而密钥管理器则在配置设置期间提供密钥。
CSM的API大致可以分为两类直接API 主要用于密钥管理和基于Job的API 主要用于加密操作见下图直接API 与CryIf 和Crypto Driver 中的函数有直接对应关系这些函数只能同步调用CSM将把参数从应用程序直接传递给函数调用。基于Job 的API 使用一个Job 结构即Crypto_JobType它包含静态和动态参数以及对结构的引用为执行该Job 的加密驱动程序提供所有必要的信息使用Job 的每个服务都将使用此结构。服务的所有必要参数将由CSM 打包到结构的元素中然后调用CryIf然后调用配置好的Crypto Driver。 CSM、CryIf和Crypto的Job API和直接API调用树
Job 可以同步运行也可以异步运行这取决于静态配置。加密服务信息、加密算法族和模式的参数决定了加密驱动程序中要执行的确切的加密算法。
CryIfCrypto Interface是加密接口模块位于BSWBasic SoftWare的抽象层。CryIf 模块提供了唯一的接口来管理不同的加密硬件和软件解决方案如 HSM、SHE 或基于软件的 CDD。 AUTOSAR Layered View with Crypto-Interface
CryDrv 有如下两种实现方式
1. CryptoHW based硬件加密模块的驱动程序用于控制HSMHardware Security Module或SHESecurity Hardware Extensions和具体芯片有关。
2. CryptoSW based基于软件的CDDsComplex Device Drivers 实现的加密算法 如AES-128 等算法。
基于以上两种不同的实现方式CryIf 模块提供了唯一的接口来管理不同的加密硬件和软件解决方案。因此基于 CryIf 维护的映射方案CSM 模块可以使用多个底层的Crypto HW 以及 Crypto SW 解决方案。此外CryIf 还确保了对加密服务的并发访问从而能够同时处理多个加密任务。
与CP AUTOSAR 不同AUTOSAR 自适应平台支持用于通用加密操作和安全密钥管理的API。该API 支持在运行时动态生成密钥和加密作业以及对数据流进行操作。API 实现可以引用一个中央单元加密服务管理器来实现平台级任务例如跨应用程序一致地进行访问控制和证书存储。该实现还可以使用加密服务管理器来协调功能到加密驱动程序的卸载例如硬件安全模块HSM。为了在潜在的应用程序受损的情况下支持密钥的安全远程管理Crypto Stack 集成了密钥管理体系结构其中密钥和相关数据以端到端的保护形式进行管理。密钥可以基于现有的供应密钥以受信任的方式引入系统也可以通过本地密钥生成以不受信任的方式引入系统。
五、IAM
车内信息娱乐应用程序由于与外界互联网相连因此被入侵的风险很高像这类应用程序在设计时一定是不被允许使用车身控制相关服务的。例如信息娱乐系统被外界攻击然后被远程控制去使用制动服务为了保障安全必须要阻止这种信息娱乐应用程序对制动服务访问的任何尝试。
日益增长的信息安全需求驱动了身份和访问管理IAM的概念因为AUTOSAR Adaptive 平台需要和应用程序建立健壮和良好定义的信任关系。IAM 为Adaptive 应用程序引入了特权分离并针对攻击时的特权升级提供了保护。另外在部署期间IAM 能够使集成者提前验证Adaptive 应用程序要求的资源访问权限。IAM 为来自适应应用程序对服务接口Adaptive 平台基础功能簇和相关模型资源的的请求提供了访问控制框架。
IAM 框架为AUTOSAR Adaptive 平台堆栈和Adaptive 应用程序的开发人员提供了一种机制这种机制用于对每个应用程序的意图进行建模根据访问请求提供访问控制决策并执行控制访问。IAM 侧重于提供方法来限制Adaptive 应用程序对Adaptive 平台基础接口、服务接口与功能集群相关的明确资源接口( 例如KeySlots) 的访问。特别对系统资源( 如CPU 或RAM) 的强制配额不包括在IAM 中。
在运行期间IAM 的进程对Adptive 应用程序是透明的除非请求被拒绝并发出通知。远程Adaptive平台提供的服务实例请求由IAM 覆盖的传入请求的PDPs 必须由Adaptive 应用程序实现。
该框架旨在运行期间执行对AUTOSAR 资源的访问控制。假设Adaptive 应用程序将在启动时进行身份验证并且现有受保护的运行时环境确保Adaptive 应用程序被正确隔离并且防止它们的特权升级( 例如绕过访问控制)。
考虑一个简单的应用场景对于访问权限的描述通常可以用一个访问权限矩阵来表示 访问权限矩阵
访问权限矩阵显示的是访问主体和访问客体之间的访问权限。所谓访问主体是指一个想要获得其他服务访问权限的对象通常是指系统中的一个进程所谓访问客体是指应当授权被访问的对象通常它可以是指系统中的一个进程也可以是系统中的其他资源。
访问权限相关的信息需要以清单文件的形式部署在系统中。对于这份清单文件有两种组成形式
第一种针对每一个服务和应用从访问权限主体的角度列举每个访问主体的访问意图也就是每个访问主体拥有的其他服务或应用程序访问客体的访问权限
第二种针对每一个服务和应用从被访问的客体角度列举出它支持被哪些其他服务和应用访问主体访问。对于访问主体通常情况下它可访问的客体清单文件是不会随着时间推移而改变但是对于一个访问客体它的被访问清单会随着部署了新的应用而更新。
六、KeyM
在一个加密功能中密钥和证书的功能比重很大。首先密钥是一种参数它是在明文转换为密文或将密文转换为明文的算法中输入的参数。许多加密算法需要使用到密钥因此就需要KeyM 模块来管理密钥而KeyM 对于密钥的管理主要体现在更新和生成密钥方面。而证书以加密或解密的形式保障了用户网络交流中的信息和数据的完整性和安全性。KeyM 模块可以实现证书链的配置保存与验证这使得网络中的信息和数据的安全性更高。
AUTOSAR KeyM 模块由两个子模块组成密钥子模块和证书子模块。密钥子模块用于初始化、更新和维护的密钥材料证书子模块允许定义和配置证书以便在生产时存储它们并进一步用于多种用途。 AUTOSAR layered view with KEYM
密钥子模块提供了一个API 和配置项用于引入或更新预定义的加密密钥材料。它充当一个关键客户端解释从一个关键服务器提供的数据并创建相应的关键材料这些密钥被提供给加密服务管理器。成功安装密钥材料后应用程序就能够进行加密操作。
证书子模块提供了对证书进行操作的API 和配置。允许配置证书链在配置中将证书的属性和关系设置好上层应用通过 API 将证书数据传给KeyM 后证书子模块将根据配置内容及HSM 按照标准结构解析的证书存储配置的位置NVM、CSM 或 RAM。此外证书子模块允许BSW 模块和SWC 在AUTOSAR 软件架构的中心点上更有效地使用证书进行操作。此类操作的示例包括验证完整的证书链或从运行时提供并验证的证书中检索元素。所需的加密操作如验证证书签名仍然由加密服务管理器中定义的相关加密作业执行。
与CP AUTOSAR 不同AP AUTOSAR 平台的更新和配置、通信、持久性或诊断等服务也需要加密服务作为其功能的一部分。因为架构差异的原因AP AUTOSAR 平台会将需要用户自定义、差异性的功能在应用层去实现所以应用程序可以定义所需的密钥插槽、加密提供程序和证书。当需要关键材料时必须由自适应应用程序例如OEM key manager配置平台应指定槽型机器的关键槽。为了管理关键材料一个专用的自适应应用程序密钥管理器可以指定相同的密钥插槽即相同的参数和插槽型机器。
七、IdsM
车辆中的许多新功能建立在车载和后台服务之上需要面对保护车辆免受网络攻击的挑战。为车辆的E/E 架构配置了安全机制更新签名软件、安全启动和安全车载通信系统正在逐步建立。目前IDS 作为一种额外的安全机制正在引起OEM 和供应商的关注。
入侵检测系统管理器IdsM是一个基础软件模块适用于Classic AUTOSAR或平台服务适用于Adaptive AUTOSAR用于收集和集中聚合可能由车辆软件、通信或电子系统受到恶意攻击而导致的安全事件。软件组件IdsM 提供了接收板载安全事件SEv 通知的标准化接口。SEv 可以通过BSW (Basic Software Modules和SW-C (application Software Components实现的安全传感器上报。此外可以用可选的上下文数据如事件类型和可疑数据报告SEv这些数据对于在后端执行的安全取证来说是有用的信息。
除了收集IdsM 还可以根据可配置的规则对SEv 进行筛选。IdsM 将上报的SEv 过滤并转换为合格的机载安全事件QSEv)IdsM 进一步处理QSEv用于存储或转发。根据总体安全概念的不同QSEv可以通过安全事件内存Sem在本地持久化也可以传播到已配置的接收器或者两者兼有。可用的接收器是诊断事件管理器Dem模块和IDS 报告器模块IdsR)它们可以将QSEv 数据传递给后端中的安全操作中心SOC)。
在车辆内的每个安全相关或机器中IdsM 模块或服务的实例会收集和过滤安全事件可选地包括附加数据以便将它们存储在本地安全事件内存Sem和/ 或通过车辆网络将它们转发到中央入侵检测系统报告器IdsR)。例如该IdsR 可能位于远程信息处理单元内使其能够通过蜂窝网络向OEM 的安全操作中心SOC发送安全报告和相关数据。然后安全事件管理SIEM分析这些信息并在必要时用于制定和决定适当的防御或缓解措施以应对攻击。
AUTOSAR 标准指出BSW 模块、CDD 和SWC 都可以充当安全传感器安全传感器将安全事件SEv报告给IdsMAUTOSAR 标准化可以由AUTOSAR BSW 报告的安全事件类型的子集。每个BSW 的规格里列出了自己产生的安全事件类型这些事件由相应模块报告业务组件也可以报告在AUTOSAR 中未标准化的自定义安全事件类型可以使用安全性摘要SecXT指定由特定ECU 报告的安全性事件类型的属性。AUTOSAR 入侵检测系统管理器是通用的、提供灵活的配置。它独立于底层通信系统在上述限制和假设条件下可以应用于任何汽车领域。
搁笔分享完毕
愿你我相信时间的力量
做一个长期主义者
