【AUTOSAR中的信息安全（Security）】

AUTOSAR中的信息安全（Security）
罗小明
罗小明
​
同济大学 车辆工程硕士
​关注他
4 人赞同了该文章
AUTOSAR Classic是大多数汽车平台的标准中间件，仍然满足通常的需求。但在未来，汽车计算机将塑造E/E架构作为中心应用程序，而汽车将成为软件主导的系统。这就是为什么AUTOSAR Adaptive将在许多领域陆续取代AUTOSAR Classic，成为面向未来的一套新的规则——在此过程中为汽车安全设置新的标准。

Security modules in AUTOSAR

AUTOSAR已经集成了各种IT安全应用程序，例如保护车内通信或保护机密数据。然而，由于经典AUTOSAR和自适应AUTOSAR的体系结构不同，目前的安全应用部分相同，部分不同。

Crypto Stack: 确定实现的加密过程和密钥存储库，并通过统一的接口向各种应用程序提供必要的密钥材料。然后，应用程序只访问所提供的接口，独立于它们的加密实现，并保持可移植性ecu。此外，AUTOSAR加密堆栈可以并行支持多种加密实现

SecOC、TLS和IPsec:作为AUTOSAR经典专用协议，SecOC专门用于保护CAN通信。SecOC确保消息的身份验证和新鲜度，但不保证消息的保密性，并允许oem调整其特定的安全级别。另一方面，随着汽车上的汽车以太网，TLS和IPsec正变得越来越重要。这两种标准都支持真实和保密的通信;TLS也适用于外部通信。 TLS和IPsec正变得越来越重要。这两种标准都支持真实和保密的通信;TLS也适用于外部通信。

IAM: AUTOSAR身份和访问管理模块保证只有经过授权的应用才能访问某些资源。这些访问权限可以在AUTOSAR中自由配置和随时更新。

Secure diagnostics: AUTOSAR支持在安全内存中记录IT安全事件。通过UDS的服务(0x27 (SecurityAccess))和0x29 (Authentication)对这些数据的授权访问进行监控。例如，诊断测试设备只有在以前执行过质询-响应通信或使用证书对自身进行身份验证时才能访问已记录的安全事件。

Security engineering process

决定因素是应用所包含的安全模块，并根据车辆平台的安全要求对其进行单独调整。换句话说，必须将AUTOSAR集成到整个安全工程过程中。这涉及到三个关键步骤:风险分析、配置和测试。以SecOC为例，如下所示

▪风险分析:对所有消息进行风险分析，确定哪些消息需要SecOC保护。如果存储了不同的安全配置文件，则将消息分配给正确的配置文件。
▪配置:下一步，根据风险评估和安全配置文件，为所有参与数据交换的ecu配置SecOC和crypto栈。这里需要注意:单个ECU的错误配置可能导致安全消息未得到验证，从而丢弃。
▪测试:从安全的角度来看，从安全的角度来看，ECU在投入生产之前必须进行几次测试——对安全关键组件的代码评审(如SecOC模块）、ECU的穿透测试，SecOC模块的功能测试。

AUTOSAR Adaptive must follow an integrated security approach

在联网、自动驾驶的道路上，与安全相关的车载功能正在不断增加。这意味着，为车辆平台配备更精密的安全措施和更高的安全级别比以往任何时候都更加重要。在未来，oem也将越来越多地建立基于高度连接的新商业模式，而这种连接需要得到保护。这给了AUTOSAR Adaptive的进一步发展一个明确的任务，那就是要比以前更强大地集成安全应用程序。
自适应AUTOSAR的指导原则必须是一个集成的汽车安全方法:额外的IT安全组件，如硬件安全模块，以及可能实现的入侵检测和预防解决方案。

Rreference：
AUTOSAR Security , Adaptive platform must focus on holistic vehicle protection.

Dr. Alexandre Berthold is Team Leader for Consulting and Engineering at ESCRYPT.

Dr. Michael Peter Schneider is Project Manager AUTOSAR Security at ESCRYPT.