14.Adaptive AUTOSAR 架构-身份及访问管理(IAM)

最新推荐文章于 2024-03-06 14:12:21 发布
最新推荐文章于 2024-03-06 14:12:21 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: Adaptive Autosar

日益增长的信息安全需求驱动了身份和访问管理(IAM)的概念,因为AUTOSAR Adaptive平台需要和应用程序建立健壮和良好定义的信任关系。IAM为Adaptive应用程序引入了特权分离,并针对攻击时的特权升级提供了保护。另外,在部署期间,IAM能够使集成者提前验证Adaptive应用程序要求的资源访问。IAM为来自服务接口,Adaptive平台基础功能簇和相关模型资源的应用程序的请求提供了访问控制的框架。

14.1 术语

为了理解框架如何工作的,必须提前定义一些重要的概念。也可以参考 RFC3189中的“Terminology for Policy-Based Management” (https://tools.ietf.org/html/rfc3198).

*Access Control Decision: 这个值是布尔值来表明操作请求是否被允许。它是基于调用者的身份和访问控制策略。

*Access Control Policy: 为了访问特定的对象(比如服务接口),这个值是用来定义必须满足的约束。

*Policy Decision Point(PDP): PDP做访问控制决定。它通过检查访问控制策略决定了应用程序是否被允许执行请求的任务。

*Policy Enforcement Point(PEP): PEP会通过从PDP请求访问控制策略来打断来自应用程序请求的控制流程。

*Capability: capability是Adaptive应用程序身份的一个属性。对AUTOSAR资源(例如,服务接口)的访问仅在请求AA拥有该特定资源必须具备的所有功能的情况下才被授予。capability在应用程序的manifest中分配。

*Grant: 在Adaptive应用程序部署期间,设计阶段要求的每项能力都应得到确认。Grant元素在元模型中可用。授权将支持集成商审查功能,但不允许接受部分功能。

*Intermediate Identifier (IntID): 一种标识符,它支持标识正在运行的posix进程并将其映射到已建模的AUTOSAR进程。

*Adaptive Application Identity (AAID): Adaptive应用程序的建模标识由AUTOSAR进程标识

*Adaptive Application Identifier: 一个指向AAID的引用程序,即AUTOSAR进程,仅指向一个AAID。

14.2 IAM框架的范围和重点

IAM框架为Adaptive AUTOSAR 栈和Adaptive 应用程序提供了一种机制,这种机制建模每个应用程序功能,根据访问请求提供访问控制决定并执行控制访问。IAM侧重于提供方法来限制Adaptive应用程序对Adaptive平台基础的接口、服务接口和与功能集群相关的定义良好的资源(例如KeySlots)的访问。特别地,对系统资源(如CPU或RAM)的强制配额不包括在IAM中。

在允许期间,IAM的进程对Adptive应用程序是透明的,除非请求被拒绝并发出通知。

远程Adaptive 平台提供的服务实例请求由IAM覆盖的。传入请求的PDPs必须由Adaptive应用程序实现。

这个框架可以在运行期间执行对AUTOSAR资源的访问控制。假设Adaptive 应用程序将在启动时进行身份验证,并且现有的受保护的运行时环境确保Adaptive 应用程序被正确隔离,并且防止它们的特权升级(例如旁路访问控制)。

14.3 AUTOSAR规范的内容

下面表格说明了IAM框架的哪一部分是由AUTOSAR定义的,哪一部分是由开发人员实现决定的。

描述:IAM需求规范;   隶属于:AUTOSAR规范;包含在RS_IdentityAndAccessManagement中

描述:IAM框架的行为描述(跟接口相关);隶属于:AUTOSAR规范;包含在SWS_IdentityAndAccessManagement中

描述:在Adaptive平台上实现AA PDP和PEP 之间通信的API;隶属于:AUTOSAR规范;包含在SWS_IdentityAndAccessManagement中

描述:在Adaptive平台上实现功能簇 PDP和PEP 之间通信的API;AUTOSAR没有说明;

描述:应用程序功能和访问控制策略(Manifest 文件信息);隶属于:AUTOSAR规范;包含在TPS_Manifest_Specification中

描述:认证失败应用程序收到的警告和错误信息的格式和内容;隶属于:AUTOSAR规范;包含在SWS_IdentityAndAccessManagement中

描述:活动日志记录的API;隶属于:AUTOSAR规范;还没决定

描述:日志信息的内容;隶属于:AUTOSAR规范;还没决定

描述:Adaptive 应用程序和功能簇之间的接口;AUTOSAR没有说明;

描述:Adaptive应用程序在运行期间的标识;AUTOSAR没有说明;

14.4 IAM 框架的架构

14.4.1 通用架构

IAM架构夹认证实体按照逻辑划分为两个。一个实体来决定Adaptive 应用程序是否被允许访问资源(PDP),一个实体来执行访问控制决定(PEP)。需要限制对其应用程序接口的访问的功能集群需要实现PEP来执行由PDP提供的访问控制决定。由于这个原因,如果Adaptive应用程序请求访问这样的接口,PEP要和PDP通信。基于请求和应用程序功能,访问控制决定发回送给PEP。访问控制决定的必要信息是基于在Adaptive应用程序的应用清单中的功能的。这个应用清单初始化请求和策略。策略表示应用于接口的规则。例如,Adaptive应用程序为了收集访问必须完成的准备工作。对于访问控制下的每个资源,策略都在功能集群的规范中定义。

准备工作和假设

*应用程序被设计/配置为具有功能(允许它们访问某些资源的属性)。

*每一个功能都将在部署期间得到确认。

*部署的应用程序将进行加密签名,以使真实性验证成为可能。

*应用程序与包含功能的应用程序清单一起部署。

*受IAM约束的Adaptive应用程序必须按顺序认证启动,其清单必须在部署期间进行身份验证。PEP解释请求并要求PDP做出策略决策(可能在同一个进程中实现).

14.4.2 Adaptive 应用程序的识别

为了从PDP请求策略决定,PEP不得不决定调用Adaptive应用程序的身份。因为每个调用都是通过进程间通信进行中介的,所以中间件也必须支持这个标识。

标识本身是对已建模的AA的引用。功能绑定到portprototype,因此也绑定到SWComponentType(参见清单规范)。

IAM框架没有完全指定AAs的标识。最合适的解决方案在很大程度上取决于堆栈供应商选择的操作系统和平台。许多现代操作系统确实支持通信端点上对等点的标识(参见Linux中的SO_PEERCRED、getpeerid()或QNX中的消息传递)。在不支持这个机制的平台上,在消息级实现协议可能是合适的。

由于EM创建通过建模的AUTOSAR进程创建Adaptive应用程序的允许实例,它负责跟踪正在运行的进程的属性(即运行Adaptive应用程序的PID)或分配属性如设置专用的UID,或负责为消息级实现分配key或uuid。EM应使PEP能够为对PEP的每个有效请求找到建模的Adaptive应用程序。

PEP应该在Adaptive Foundation中实现,并且应该与调用Adaptive应用程序适当隔离。Adaptive应用程序不应提供PDP,因为其本身受请求操作的访问控制。

14.4.3 IAM序列

1.  Adaptive 应用程序(AA)发起对资源的请求(比如服务接口)

2. PEP打断控制流

3. PEP通过EM解析请求进程的标识。

4. PEP将调用者的标识和请求参数传递给PDP。

5. PDP检查AA的功能是否足够,并将访问控制决策返回给PEP。

6. PEP通过阻止或允许请求来执行访问控制决策。

传输库与EM用来识别AAs的机制是一致的。举个例子:通过使用POSIX-Process-IDs,EM在调用fork()期间追踪从操作系统检索的PID。EM通过一个受保护的功能簇接口提供这个消息给PEPs。在使用UID时,EM应该主动地设置新的POSIX进程的UID。

14.4.4 策略决定点的实现

策略决策点为二进制策略决策处理的清单提供接口。这些决策基于定义良好的Adaptive应用程序的功能及其应用程序清单。

功能由单个功能集群特定语义的portprototype建模。因此PDP不得不为这些功能提供特定的接口。IAM框架不推荐也不支持通过功能来处理功能集群的单个方法。相反,能力是以资源为中心的。PDP通过检查对所请求资源的AAs引用来提供策略决策。

Crypto API提供了一个功能示例。通过给KeyOwner分配一个参考特定建模密钥的功能,可以允许对key进行修改操作。

在受信任的Adaptive应用程序实现PDP的应用程序场景是可能的,并且在SWS_IdentityAndAccessManagement中说明。关于这个场景的用例信息在AP18-10提供。

14.5 平台之间的通信

由于应用程序时分布在不同的ECU或虚拟机上,所以我们必须处理跨平台的身份和访问管理。下面的图片举了一个例子。

如上面右手边描述的,平台实例A实现了一个PEP去检查应用程序A的访问权限。在这我们假定PDP是在OEM特定的Adaptive应用程序中实现的。在左边的平台实例B中,我们希望实现第二个PEP,它也连接到OEM特定的PDP。第二个PEP是非常必要的以防在A被破坏并且不再可靠地执行策略时。然后,第二个PEP检查是否至少允许A的一个应用程序访问B上的Adaptive应用程序Y。然后,第二个PEP检查是否至少允许A的一个应用程序访问B上的自适应应用程序Y。

一个实例的所有功能集需要与其他实例同步,以便第二个PEP能够提供正确的实施。由于Adaptive平台没有标准的交换格式,所以我们建议使用OEM特定的格式来描述功能。这允许OEM定义自己的同步协议,即使是非autosar平台。

14.6 IAM的实现和使用

下面列表说明了对FC实现这或系统设计这使用IAM必要的步骤。更多的信息可见AUTOSAR_EXP_FCDesignIdentityAndAccessManagement.pdf。请注意上面文档描述的信息来自AUTOSAR 论证者,仅可被视为实现建议或例子。

准备步骤(在设计的时候):

* 应用程序被设计/配置为具有功能(允许它们访问某些资源的属性),并且只能看到特定的服务接口。

*部署的应用程序将进行加密签名,以使真实性验证成为可能。

*应用程序和包含功能的执行清单一起部署

*执行清单还包含诸如应用程序ID,有多少应用程序实例以及这些应用程序实例ID之类的信息。

*FC实现PEP的实施逻辑。

*FC和策略一起部署。这些策略描述了那些功能需要访问提供的服务接口。

使用知道(运行期间)

*在Adaptive平台启动期间,OEM会提供一个应用程序(实例)IDs和进程IDs 之间的查找表

*当Adaptive应用程序请求访问配置了访问控制的服务时,需要对其进行身份验证,以使引用其功能成为可能

*PEP 将查询实现PDP进程的请求(可以是同一个进程)

*然后,PDP检查应用程序ID及其相应的功能,并将其与FC的存储策略进行比较

*PDP发送访问控制请求(yes/no)回答PEP

*PEP实施访问控制请求(基于这个决定授权访问)

总结上述步骤,至少应考虑以下几点:

FC实现者需要:

*提供下面放在服务清单中的规则

            1. 访问某些服务需要哪些功能(单个或多个功能的组合)

*访问实现PDP进程的逻辑实现

*实施收到的访问控制决定的逻辑实现

应用程序开发者需要:

*配置允许访问服务的功能。

TTomcat
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
AP AUTOSAR 平台设计总体框架全解
usstmiracle的博客
05-13 3183
AP AUTOSAR 平台设计总体框架全解 01.简介 1.1内容 本规范描述技术范围和方法、AP的背景、逻辑和物理视图的架构,是AUTOSAR自适应平台设计的总体框架。全文32000余字,建议收藏阅读。 02. 技术范围和方法 2.1概述 - 智能ECU的前景 传统ECU主要实现取代或增强机电系统的功能。这些深度嵌入的ECU中的软件根据连接到车辆网络的其他ECU的输入信号和信息来控制电气输出信号。大部分控制软件都是为目标车辆设计和实施的,在车辆使用寿命期间不会发生重大变化。 新的车辆功能..
AdaptiveAutosar整体架构理解
02-24
(图片来源主要来源于Simulink以及Vector)在Autosar官网(autosar.org)上,目前CLASSICPLATFORM更新到4.4版本,ADAPTIVEPLATFORM更新到19.03版本,期盼已久的AdaptiveAutosar终于有了基本构架。AdaptiveAutosar不是针对ClassicAutosar的升级替换,它的出现主要面对汽车更复杂的需求,包括自动驾驶、车联网以及域控制等,而传统的ECU依然采用ClassicAutosar进行开发,同时他们共存在未来智能汽车中,他们可以通过以太网进行交互。本文主要针对当前Adaptive的信息进行汇总说明。上面图片来自Si
车载软件架构Adaptive AUTOSAR —— 身份访问管理和加密技术
Soly_kun的博客
02-20 903
### 本文大体如下: ### 1、身份访问管理 ### 2、IAM 框架的架构 ### 3、加密技术
AP Autosar平台设计 14 身份访问管理Identity and Access Management
weixin_41885845的博客
01-02 1267
目录 14身份访问管理Identity and Access Management 14.1术语 14.2IAM框架的范围和重点: 14.3AUTOSAR规范的内容 14.4 IAM框架的架构 14.4.1一般框架 14.4.2自适应应用的识别 14.4.3 IAM序列 14身份访问管理Identity and Access Management 身份访问管理IAM)的概念是由日益增长的安全需求驱动的,因为AP需要与其应用程序建立强健且定义良好的信任关系。IAM为自适应应用程序引
Identity and Access Management身份认证管理模块 -- Adaptive Platform IAM
usstmiracle的博客
11-22 122
作为车载软件中很关键的一部分,信息安全和功能安全一样,需要从系统层面开始分解,而针对于基于AP开发的应用来说,和Security最相关的模块就是ara:iam(下文简称IAM)。
电子电子架构——AUTOSAR信息安全机制有哪些(下)
Soly_kun的博客
09-24 431
### -> 4、Crypto Stack ### -> 5、IAM ### -> 6、KeyM ### -> 7、IdsM
软考高级-系统架构师-访问控制XACML与RBAC
孤夜的博客
10-09 900
本篇博文主要记录软考高级系统架构师考试访问控制XACML与RBAC的学习总结。
XACML简介
热门推荐
yanick技术博客
07-15 1万+
1.1 基本概念本节介绍Web服务访问控制中的如下一些基本概念。(1)主体(Subject)主体即请求对某种资源执行某些动作的请求者。(2)资源(Resource)资源即系统提供给请求者使用的数据、服务和系统组件。(3)策略(Policy)策略是一组规则,规定主体对资源使用的一些要求,多个策略组合形成策略集(Policy Set)。(4)策略执行点(Policy Enforcement Point
06 车载软件架构Adaptive AUTOSAR - 身份访问管理和加密技术.docx
02-25
身份访问管理(Identity and Access Management, IAM)是车载软件架构Adaptive AUTOSAR中的一个重要组成部分,它为自适应应用程序提供了权限分离的功能,并能够有效防止权限升级攻击。IAM通过一套严格的访问控制...
AUTOSAR_MCAL_ADC_IM.pdf
11-22
AUTOSAR_MCAL_ADC_IM.pdf
autosar全面学习笔记.docx
08-17
1.背景 2 2.技术驱动因素 2 3.AP的特点 3 4.经典、自适应和非AUTOSAR ECU的集成 4 1.逻辑视图 5 2.物理视图 7 3.方法论和Manifest 8 5.应用设计 10 6.执行Manifest 10 7.服务Instance Manifest 11 1.概述 11 3.调度 12 4.内存管理 12 5.设备管理 12 1.概览 12 2.系统启动 12 3.执行管理责任 13 4.确定性执行 13 5.资源限制 14 6.应用程序恢复 14 7.受信任的平台 15 1) 可以要求将功能组设置为专用状态 16 2)(部分)网络可被要求取消/激活 16 3) 可以要求机器关闭或重新启动 16 4) 其他自适应(平台)应用程序的行为可能会受到影响 16 5) 可以执行项目特定的动作 16 1.概述 20 2.架构 20 3.组件 20 1.概述 21 2.诊断通信子集群 22 3.事件存储子集群 23 1.概述 25 2.设计 26 3.架构 26 1.网络管理算法概述 26 2.架构 27  图1 NM概述 27 1.术语 40 2.IAM框架的范围和重点 41 3.AUTOSAR规范的内容 41 4.IAM框架的体系结构 ①一般框架 42 (1) 使用加密的密钥或密钥句柄进行操作 46 (2) 尽管可能会损害应用程序安全地管理密钥 46 (3) 限制应用程序对键的访问和允许的操作 46  API扩展说明 47 2.架构 47 1.Safety概述 48 2.信息交换保护(E2E保护) 49 3.平台健康管理 49 Core Types定义了多个功能集群作为其公共 interface 的一部分使用的通用类和功能。定义Core Types的理由之一是包括 Interface 定义中经常使用的常见复杂数据类型。 52 1.错误处理 52 2.高级数据类型 53 3.全局初始化和关闭功能 53
adaptive autosar R22-11 官方文档
04-20
The AUTOSAR Adaptive Platform implements the AUTOSAR Runtime for Adaptive Applications (ARA). Two types of interfaces are available, services and APIs. The platform consists of functional clusters ...
AUTOSAR Adaptive Release 20-11.rar
08-09
AUTOSAR Adaptive Release 20-11 是一个重要的软件平台更新,专为现代汽车行业的高级计算需求设计。AUTOSARAUTomotive Open System ARchitecture)是一种全球标准,旨在标准化汽车电子和软件系统的设计,以提高...
02 车载软件架构 —— Adaptive AUTOSAR软件架构.docx
02-25
### Adaptive AUTOSAR软件架构详解 #### 一、Adaptive AUTOSAR (AP) 架构概览 Adaptive AUTOSAR(AP)是一种现代化的车载软件架构,它旨在为下一代车辆提供高度灵活且可扩展的软件解决方案。该架构不仅支持传统...
3.Adaptive AUTOSAR平台SOA实现.pdf_1643685723811
02-01
AUTOSAR资源 3.AP AUTOSAR 平台SOA的实现
零信任架构下的访问控制技术
weixin_70101757的博客
07-17 1479
基于零信任理念构建零信任架构,打破传统安全架构基于网络边界构筑信任域的理念,基于各类主体的身份进行细粒度的风险度量和访问授权,通过持续信任评估实现动态访问控制,避免核心资产直接暴露,最大程度减少被攻击面以及被攻击的风险。身份认证、信任评估、动态访问控制、业务安全访问是零信任的核心能力。访问控制模块持续依据评估结果建立访问主体和被访问资源之间的映射关系,调整并下发执行控制策略,构建对核心业务资产的保护屏障,将核心业务资产的暴露面隐藏。传统访问控制模型中,访问主体通过角色属性获取相应权限。但是在零信任架构下,以
什么是COPS协议
weixin_33726943的博客
11-14 777
COPS协议是由IETF资源分配工作组(RAP)制定的维护管理协议。COPS定义了三个逻辑实体:策略决策点(PDP)、策略执行点(PEP)、本地策略决策点(LPDP),其中LPDP备份PDP的决策,当PDP与PEP的连接中断时,LPDP可代替PDP做出决策,PDP具有最终裁决权。PDP与PEP的关系可以看作是服务器与客户机的关系,PEP向远端的PDP发送配置、更...
AUTOSAR AP EXP IdentityAndAccessManagement 身份访问管理IAM)R23-11
最新发布
usstmiracle的博客
03-06 100
本文档说明了AUTOSAR自适应平台的身份访问管理IAM)模型。IAM是一种规范化的模型,可以帮助AUTOSAR AP组件实现身份验证和访问控制的功能。本文档还介绍了自适应AUTOSAR的功能集群如何进行建模和集成。相关的需求规范参见第5.1节。需要指出的是,IAM不是一个独立的功能集群或API,而是由其他需要访问控制的功能集群和API来实现的。AP基础和服务也提供了一些辅助功能,例如执行管理。2术语和缩写。
ZeroTrust零信任基础
qq_44886213的博客
10-25 1338
首先,通俗的理解什么是零信任。 看了美国防部2022年对于网络空间领域(注意,是网络空间不是网络安全)方面的预算后,大概是这么个关系: 也就是说零信任是网络安全的一部分(好像是废话) 前面说的是零信任作用在哪个领域内,我们可以和传统网络安全模型对比着看再来理解一下什么是零信任。在传统边界安全中,防火墙就好比一把锁,如果你有了钥匙(通过了某种访问验证)可以打开这把锁,就放你进入这堵墙的内部,可以说是 “有信任” ,或者说 “开锁以后就无条件信任”。而对于零信任来说,即使你通过了访问认证,还是要对你的行为进行
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值