电子电子架构——AUTOSAR信息安全机制有哪些（下）

我是穿拖鞋的汉子，魔都中坚持长期主义的工程师。

老规矩，分享一段喜欢的文字，避免自己成为高知识低文化的工程师：

人们会在生活中不断攻击你。他们的主要武器是向你灌输对自己的怀疑：你的价值、你的能力、你的潜力。他们往往会将此伪装成客观意见，但无一例外的是，他们想让你怀疑自己。

本文主要讲述如下内容，介绍电子电气架构中汽车以太网诊断路由汇总：

-> 4、Crypto Stack

-> 5、IAM

-> 6、KeyM

-> 7、IdsM

四、Crypto Stack

为了汽车软件提供统一的安全加密/ 解密接口，AUTOSAR 在4.3 版本推出Crypto Stack 模块。Crypto Stack 是AUTOSAR 架构体系中负责数据加密保护和密钥管理的模块，由Crypto Service Manager,Crypto Interface, Crypto Driver 三个部分组成，为应用程序和系统服务提供了标准化的密码服务接口。密码服务可以是哈希计算，非对称签名验证，对称加密等。其主要应用于ECU 通信加密、SecurityAccess 流程保护和KEY 的管理等使用场景。

CSM(Crypto Service Manager）是加密服务管理器，位于AUTOSAR 的SYS 模块最高层的服务层。服务层是基础软件的最高层，它的任务是为应用软件和基本软件模块提供基本服务，即为应用软件和基本软件模块提供最相关的功能。CSM 基于一个依赖于软件库或硬件模块的加密驱动程序来提供加密功能的服务，也可以使用多个加密驱动程序的混合设置。CSM 通过CryIf(Crypto Interface）访问不同的加密驱动程序。

CSM和邻近模块的关系

CSM 作为服务层，为SWC 或BSW 提供加密操作的接口。CSM 的主要任务是对服务进行调度和排序，并调用加密接口（CryIf）进行进一步操作。CryIf 将请求调度到加密驱动程序及其静态分配给该服务的加密驱动程序对象。CSM 使用基元（CsmPrimitives，已配置加密算法的实例）的静态配置来定义加密操作。然后将这样的基元分配给Job(Job 是配置过的CsmJob，指的是密钥、密码原语和参考信道），该配置决定进一步的属性，如优先级、异步或同步执行以及程序执行中应使用的密钥。需要注意的是，密钥总是位于加密驱动程序本身中，CSM 只使用对它的引用。

密钥和基元的分离允许加密操作和密钥管理API 分离。这使得应用程序可以专注于所需的加密操作，如MAC 计算和验证，而密钥管理器则在配置设置期间提供密钥。

CSM的API大致可以分为两类：直接AP（I 主要用于密钥管理）和基于Job的AP（I 主要用于加密操作）（见下图）直接API 与CryIf 和Crypto Driver 中的函数有直接对应关系，这些函数只能同步调用，CSM将把参数从应用程序直接传递给函数调用。基于Job 的API 使用一个Job 结构，即Crypto_JobType，它包含静态和动态参数以及对结构的引用，为执行该Job 的加密驱动程序提供所有必要的信息，使用Job 的每个服务都将使用此结构。服务的所有必要参数将由CSM 打包到结构的元素中，然后调用CryIf，然后调用配置好的Crypto Driver。

CSM、CryIf和Crypto的Job API和直接API调用树

Job 可以同步运行，也可以异步运行，这取决于静态配置。加密服务信息、加密算法族和模式的参数决定了加密驱动程序中要执行的确切的加密算法。

CryIf（Crypto Interface）是加密接口模块，位于BSW（Basic SoftWare）的抽象层。CryIf 模块提供了唯一的接口来管理不同的加密硬件和软件解决方案，如 HSM、SHE 或基于软件的 CDD。

AUTOSAR Layered View with Crypto-Interface

CryDrv 有如下两种实现方式：

1. Crypto（HW based）：硬件加密模块的驱动程序，用于控制HSM（Hardware Security Module）或SHE（Security Hardware Extensions），和具体芯片有关。

2. Crypto（SW based）：基于软件的CDDs（Complex Device Drivers） 实现的加密算法， 如AES-128 等算法。

基于以上两种不同的实现方式，CryIf 模块提供了唯一的接口来管理不同的加密硬件和软件解决方案。因此，基于 CryIf 维护的映射方案，CSM 模块可以使用多个底层的Crypto HW 以及 Crypto SW 解决方案。此外，CryIf 还确保了对加密服务的并发访问，从而能够同时处理多个加密任务。

与CP AUTOSAR 不同，AUTOSAR 自适应平台支持用于通用加密操作和安全密钥管理的API。该API 支持在运行时动态生成密钥和加密作业，以及对数据流进行操作。API 实现可以引用一个中央单元（加密服务管理器）来实现平台级任务，例如跨应用程序一致地进行访问控制和证书存储。该实现还可以使用加密服务管理器来协调功能到加密驱动程序的卸载，例如硬件安全模块（HSM）。为了在潜在的应用程序受损的情况下支持密钥的安全远程管理，Crypto Stack 集成了密钥管理体系结构，其中密钥和相关数据以端到端的保护形式进行管理。密钥可以基于现有的供应密钥以受信任的方式引入系统，也可以通过本地密钥生成以不受信任的方式引入系统。

五、IAM

车内信息娱乐应用程序由于与外界互联网相连，因此被入侵的风险很高，像这类应用程序在设计时一定是不被允许使用车身控制相关服务的。例如信息娱乐系统被外界攻击，然后被远程控制去使用制动服务，为了保障安全，必须要阻止这种信息娱乐应用程序对制动服务访问的任何尝试。

日益增长的信息安全需求驱动了身份和访问管理（IAM）的概念，因为AUTOSAR Adaptive 平台需要和应用程序建立健壮和良好定义的信任关系。IAM 为Adaptive 应用程序引入了特权分离，并针对攻击时的特权升级提供了保护。另外，在部署期间，IAM 能够使集成者提前验证Adaptive 应用程序要求的资源访问权限。IAM 为来自适应应用程序对服务接口，Adaptive 平台基础功能簇和相关模型资源的的请求提供了访问控制框架。

IAM 框架为AUTOSAR Adaptive 平台堆栈和Adaptive 应用程序的开发人员提供了一种机制，这种机制用于对每个应用程序的意图进行建模，根据访问请求提供访问控制决策，并执行控制访问。IAM 侧重于提供方法来限制Adaptive 应用程序对Adaptive 平台基础接口、服务接口与功能集群相关的明确资源接口( 例如KeySlots) 的访问。特别对系统资源( 如CPU 或RAM) 的强制配额不包括在IAM 中。

在运行期间，IAM 的进程对Adptive 应用程序是透明的，除非请求被拒绝并发出通知。远程Adaptive平台提供的服务实例请求由IAM 覆盖的，传入请求的PDPs 必须由Adaptive 应用程序实现。

该框架旨在运行期间执行对AUTOSAR 资源的访问控制。假设Adaptive 应用程序将在启动时进行身份验证，并且现有受保护的运行时环境确保Adaptive 应用程序被正确隔离，并且防止它们的特权升级( 例如绕过访问控制)。

考虑一个简单的应用场景，对于访问权限的描述，通常可以用一个访问权限矩阵来表示：

访问权限矩阵

访问权限矩阵显示的是访问主体和访问客体之间的访问权限。所谓访问主体，是指一个想要获得其他服务访问权限的对象，通常是指系统中的一个进程；所谓访问客体，是指应当授权被访问的对象，通常它可以是指系统中的一个进程也可以是系统中的其他资源。

访问权限相关的信息需要以清单文件的形式部署在系统中。对于这份清单文件，有两种组成形式：

第一种，针对每一个服务和应用，从访问权限主体的角度，列举每个访问主体的访问意图，也就是每个访问主体拥有的其他服务或应用程序（访问客体）的访问权限；

第二种，针对每一个服务和应用，从被访问的客体角度，列举出它支持被哪些其他服务和应用（访问主体）访问。对于访问主体，通常情况下它可访问的客体清单文件是不会随着时间推移而改变；但是对于一个访问客体，它的被访问清单会随着部署了新的应用而更新。

六、KeyM

在一个加密功能中，密钥和证书的功能比重很大。首先，密钥是一种参数，它是在明文转换为密文或将密文转换为明文的算法中输入的参数。许多加密算法需要使用到密钥，因此，就需要KeyM 模块来管理密钥，而KeyM 对于密钥的管理主要体现在更新和生成密钥方面。而证书以加密或解密的形式保障了用户网络交流中的信息和数据的完整性和安全性。KeyM 模块可以实现证书链的配置保存与验证，这使得网络中的信息和数据的安全性更高。

AUTOSAR KeyM 模块由两个子模块组成：密钥子模块和证书子模块。密钥子模块用于初始化、更新和维护的密钥材料；证书子模块允许定义和配置证书，以便在生产时存储它们，并进一步用于多种用途。

AUTOSAR layered view with KEYM

密钥子模块提供了一个API 和配置项，用于引入或更新预定义的加密密钥材料。它充当一个关键客户端，解释从一个关键服务器提供的数据，并创建相应的关键材料，这些密钥被提供给加密服务管理器。成功安装密钥材料后，应用程序就能够进行加密操作。

证书子模块提供了对证书进行操作的API 和配置。允许配置证书链，在配置中将证书的属性和关系设置好，上层应用通过 API 将证书数据传给KeyM 后，证书子模块将根据配置内容及HSM 按照标准结构解析的证书存储配置的位置（NVM、CSM 或 RAM）。此外，证书子模块允许BSW 模块和SWC 在AUTOSAR 软件架构的中心点上更有效地使用证书进行操作。此类操作的示例包括验证完整的证书链或从运行时提供并验证的证书中检索元素。所需的加密操作（如验证证书签名）仍然由加密服务管理器中定义的相关加密作业执行。

与CP AUTOSAR 不同，AP AUTOSAR 平台的更新和配置、通信、持久性或诊断等服务，也需要加密服务作为其功能的一部分。因为架构差异的原因，AP AUTOSAR 平台会将需要用户自定义、差异性的功能在应用层去实现，所以应用程序可以定义所需的密钥插槽、加密提供程序和证书。当需要关键材料时，必须由自适应应用程序（例如OEM key manager）配置，平台应指定槽型机器的关键槽。为了管理关键材料，一个专用的自适应应用程序（密钥管理器）可以指定相同的密钥插槽（即相同的参数和插槽型机器）。

七、IdsM

车辆中的许多新功能建立在车载和后台服务之上，需要面对保护车辆免受网络攻击的挑战。为车辆的E/E 架构配置了安全机制，更新签名软件、安全启动和安全车载通信系统正在逐步建立。目前，IDS 作为一种额外的安全机制正在引起OEM 和供应商的关注。

入侵检测系统管理器（IdsM）是一个基础软件模块（适用于Classic AUTOSAR）或平台服务（适用于Adaptive AUTOSAR），用于收集和集中聚合可能由车辆软件、通信或电子系统受到恶意攻击而导致的安全事件。软件组件IdsM 提供了接收板载安全事件SEv 通知的标准化接口。SEv 可以通过BSW (Basic Software Modules）和SW-C (application Software Components）实现的安全传感器上报。此外，可以用可选的上下文数据（如事件类型和可疑数据）报告SEv，这些数据对于在后端执行的安全取证来说是有用的信息。

除了收集，IdsM 还可以根据可配置的规则对SEv 进行筛选。IdsM 将上报的SEv 过滤并转换为合格的机载安全事件（QSEv)，IdsM 进一步处理QSEv，用于存储或转发。根据总体安全概念的不同，QSEv可以通过安全事件内存（Sem）在本地持久化，也可以传播到已配置的接收器，或者两者兼有。可用的接收器是诊断事件管理器（Dem）模块和IDS 报告器模块（IdsR)，它们可以将QSEv 数据传递给后端中的安全操作中心（SOC)。

在车辆内的每个安全相关或机器中，IdsM 模块或服务的实例会收集和过滤安全事件（可选地包括附加数据），以便将它们存储在本地安全事件内存（Sem）和/ 或通过车辆网络将它们转发到中央入侵检测系统报告器（IdsR)。例如，该IdsR 可能位于远程信息处理单元内，使其能够通过蜂窝网络向OEM 的安全操作中心（SOC）发送安全报告和相关数据。然后，安全事件管理（SIEM）分析这些信息，并在必要时用于制定和决定适当的防御或缓解措施以应对攻击。

AUTOSAR 标准指出BSW 模块、CDD 和SWC 都可以充当安全传感器，安全传感器将安全事件（SEv）报告给IdsM，AUTOSAR 标准化可以由AUTOSAR BSW 报告的安全事件类型的子集。每个BSW 的规格里列出了自己产生的安全事件类型，这些事件由相应模块报告，业务组件也可以报告在AUTOSAR 中未标准化的自定义安全事件类型，可以使用安全性摘要（SecXT）指定由特定ECU 报告的安全性事件类型的属性。AUTOSAR 入侵检测系统管理器是通用的、提供灵活的配置。它独立于底层通信系统，在上述限制和假设条件下可以应用于任何汽车领域。

搁笔分享完毕！

愿你我相信时间的力量

做一个长期主义者！