?

一、信息安全背景

信息安全需求來源

現(xiàn)在車可能相比于十年之前，它有更多的聯(lián)網(wǎng)的功能，越來越像一個(gè)手機(jī)。有一些隱私的信息也會(huì)存放在車上，車輛已經(jīng)越來越多的跟自己的一些個(gè)人相關(guān)的信息有關(guān)。 ? 自動(dòng)駕駛功能引入以后，因?yàn)樗梢砸揽恳恍┸浖韺?shí)現(xiàn)自動(dòng)駕駛。信息安全，它的特點(diǎn)是：可能會(huì)去篡改軟件的內(nèi)容或者是讓一些功能失效。 ? 對(duì)于Safety來講，它有一部分也關(guān)系到信息安全，所以從個(gè)人隱私、信息和車輛的使用安全來講，它都離不開信息安全，有非常強(qiáng)相關(guān)的關(guān)系。 ?

? ?

信息安全的相關(guān)場(chǎng)景

在車?yán)锩妫心男﹫?chǎng)景會(huì)和信息安全有關(guān)？以往我們用的多的是診斷，它是一個(gè)接入車上電子ECU的一個(gè)通道，是診斷入口。 ? 車連上互聯(lián)網(wǎng)后。多了很多應(yīng)用場(chǎng)景，如下圖所示。像遠(yuǎn)程收集汽車的狀態(tài)，有些信息還可以和4S店系統(tǒng)做一個(gè)同步，得到維護(hù)和服務(wù)的信息；像車隊(duì)管理，物流公司整車都有架構(gòu)系統(tǒng)，還有V2X跟路邊單元通信和云端的一些V2S的服務(wù)； ?

? 還有自動(dòng)駕駛保險(xiǎn)，比如說保險(xiǎn)以后跟車上面是不是有一個(gè)非常健全的信息安全系統(tǒng)，有很大關(guān)聯(lián)；比如說可以根據(jù)車輛傾向性等級(jí)，制定不同保險(xiǎn)的策略；還有OTA可以遠(yuǎn)程去更新車上的一些固件；還有遠(yuǎn)程駕駛員協(xié)助；這些都是可能和信息安全可能會(huì)有些關(guān)系的應(yīng)用場(chǎng)景。 ?

信息安全的風(fēng)險(xiǎn)點(diǎn)

在這種場(chǎng)景下，有哪些手段可能會(huì)成為車輛信息安全被攻擊的途徑呢？從下圖里面可以看到，如Head Unit或者一個(gè)導(dǎo)航系統(tǒng)，它是最主要的一些被攻擊者去攻擊的一個(gè)途徑，因?yàn)樗厦嬗写鎯?chǔ)設(shè)備的接入，又有網(wǎng)絡(luò)互聯(lián)的功能。 ?

? OTA也是通過下載。所以它上面可以有很多手段黑客可以攻擊。有些手段在互聯(lián)網(wǎng)時(shí)代是比較多見的。比如通過以太網(wǎng)的一些協(xié)議來攻擊和侵入我們的系統(tǒng)。 ? 上面的系統(tǒng)也是Linux或者安卓的，這些也是在消費(fèi)電子領(lǐng)域經(jīng)常使用的，有很多手段和惡意的方式來攻擊我們的系統(tǒng)。包括去獲取系統(tǒng)上的一些用戶數(shù)據(jù)什么的。除了這個(gè)，還有我們車上的ECU，ECU跟安全用車有非常大的關(guān)系。 ? ECU上面的固件也是非常重要的，信息安全的一個(gè)問題點(diǎn)就是：它有可能通過一些方式去更新ECU的一些固件，達(dá)到破壞功能，會(huì)獲取用戶數(shù)據(jù)的一些目的。 ? 除了通過CAN的OBD或者直接去更改固件、應(yīng)用，現(xiàn)在有OTA以后，也可以遠(yuǎn)程去更新車上大部分ECU固件，這些都成為信息安全需要去考慮怎么去做保護(hù)的一些點(diǎn)。如： ? 1. 一些非法接入設(shè)備，有非法OBD的設(shè)備，非法USB的一些磁盤的設(shè)備去做訪問 。 ? 2. DOS類似的攻擊手段，大多數(shù)也是基于以太網(wǎng)上面去做一些基于DOS的攻擊，像TCP 、SYN 、ACK、辦公攻擊，都是黑客經(jīng)常會(huì)使用這種手段。 ? 3. 為了觸發(fā)一些非標(biāo)準(zhǔn)的畸形的報(bào)文，去系統(tǒng)進(jìn)入癱瘓或者進(jìn)入一個(gè)無法工作的狀態(tài)。 ? 4. 通常會(huì)被黑客使用的手段之一就是端口掃描，去提前獲取我們車上設(shè)備的一些基本信息，根據(jù)這些基本信息再去有針對(duì)性的去制定一些破解的方案。這些都是信息安全的技術(shù)手段。 ? 5. 密碼爆破，這種系統(tǒng)通常都會(huì)用一個(gè)密碼系統(tǒng)來保證是不是合法客戶在操作設(shè)備，所以它也會(huì)有很多技術(shù)用一些密碼破解，達(dá)到介入你這個(gè)系統(tǒng)地。 ?

二、信息安全措施

中央計(jì)算架構(gòu)下的數(shù)據(jù)通信安全

針對(duì)剛才提到的這些有可能信息安全的一些點(diǎn)。我們有什么考慮呢？我們就當(dāng)前比較火的中央計(jì)算區(qū)域控制器下的架構(gòu)來分析一下。 ?

? 我們可以看出，中央計(jì)算這個(gè)組上面需要考慮的一些經(jīng)濟(jì)安全的技術(shù)，比如說它們之間最基本的還是用以太網(wǎng)做一個(gè)骨干網(wǎng)。如果是這樣一個(gè)設(shè)計(jì)，這個(gè)以太網(wǎng)上的數(shù)據(jù)通信的安全通信就顯得非常重要。 ? 比如現(xiàn)在使用的TLS/DTLS就是這樣一個(gè)通信的安全機(jī)制。它基于公鑰加密進(jìn)行會(huì)話、密鑰協(xié)商和加密通信這樣一個(gè)手段來保證，這樣一個(gè)中央計(jì)算單元上面，我們通常會(huì)布置一個(gè)可信的執(zhí)行環(huán)境。上面會(huì)運(yùn)行一些可信的應(yīng)用，可專門做一些密鑰的管理，做一些加密算法的運(yùn)行。 ? 在這樣一個(gè)中央計(jì)算單上面，我們會(huì)布置一個(gè)入侵檢測(cè)系統(tǒng)和一個(gè)防護(hù)系統(tǒng)，也叫IDPS。 ? 為了做內(nèi)網(wǎng)和外網(wǎng)的一個(gè)隔離，我們經(jīng)常會(huì)設(shè)計(jì)一個(gè)安全網(wǎng)關(guān)。將對(duì)外的一些流量和車內(nèi)使用流量做一個(gè)劃分，將有可能會(huì)被攻擊的這樣的網(wǎng)絡(luò)，相對(duì)來說比較安全，屬于車輛內(nèi)部的網(wǎng)絡(luò)作為一個(gè)隔離，就是中央網(wǎng)關(guān)的架構(gòu)下做的。 ? 中央網(wǎng)關(guān)通常是需要有一個(gè)比較強(qiáng)的處理器，因?yàn)樗赡苄枰鲆恍┥疃鹊陌囊粋€(gè)檢測(cè)；還要運(yùn)行一個(gè)IDPS的引擎；有些固件需要做它的一個(gè)轉(zhuǎn)發(fā)；需要一些固件實(shí)現(xiàn)類似于黑白名單、過濾器這樣的一個(gè)功能。 ? 除了在中央計(jì)算單元上去做這樣一些信息安全的設(shè)計(jì)外，對(duì)于區(qū)域控制器這樣的節(jié)點(diǎn)，實(shí)際上也要布置類似的信息安全策略，如果它是一個(gè)接入的以太網(wǎng)，TLS這種安全通信機(jī)制也需要去實(shí)施的。 ? 另外類似，還有一個(gè)HSM，用來做一些信息安全模塊密鑰的管理、安全算法。像這種區(qū)域控制器也要有這樣的設(shè)計(jì)，另外區(qū)域控制上會(huì)接入CAN的ECU通信。 ? 以往對(duì)于CAN上面的保護(hù)，我們考慮的經(jīng)常是，有沒有設(shè)定CAN ID的發(fā)送，雖然它能實(shí)現(xiàn)過濾一些非法ID，實(shí)際上如果比較了解車上CAN總線設(shè)計(jì)的一些專業(yè)人員來講，它是有辦法做一些模仿CAN總線消息的發(fā)送，去做一些能攻破系統(tǒng)的一些攻擊手段；或者操作車上的一些開關(guān)什么的都是可以通過模仿一些CAN消息發(fā)送來實(shí)現(xiàn)。 ? 因此，需要在傳統(tǒng)的CAN總線上也布置一個(gè)IDS系統(tǒng)，去針對(duì)CAN報(bào)文的一些異常行為做一個(gè)檢測(cè)，然后去做上報(bào)，并且做一些保護(hù)的措施，達(dá)到從CAN通訊層面的信息安全的一個(gè)策略。 ? 在MCU上的IDPS，實(shí)現(xiàn)相對(duì)來說是輕量級(jí)的，因?yàn)樗枰渴鹪谝粋€(gè)MCU的環(huán)境下面。這樣的一個(gè)區(qū)控制器它有以太網(wǎng)通信能力，所以用VLAN做一些虛擬網(wǎng)段的劃分；做一些數(shù)據(jù)流量的隔離，讓它運(yùn)行在一個(gè)比較安全的環(huán)境下面。 ? 我們現(xiàn)在基本上也用上了SecOC通信，因?yàn)镃AN或者是以太網(wǎng)在ECU層面，它們都是通過PDU去通信的，我們可以對(duì)PDU做一個(gè)信息安全層面的校驗(yàn)，這就是secOC做的一個(gè)方法。 ? 對(duì)于使用了SecOC的情況，攻擊者就不能輕易破壞掉了，因?yàn)閟ecOC有一些加密機(jī)制來保證它通信的信號(hào)的完整性和真實(shí)性。 ? 從軟件的設(shè)計(jì)上來講，SecOC可以保證每個(gè)電路與執(zhí)行的鏈路都是安全可信的。比如獲取密鑰到運(yùn)行密鑰的一個(gè)模塊到最終應(yīng)用層去得到它，經(jīng)過的每一個(gè)軟件模塊，它都是在一個(gè)很嚴(yán)密的一個(gè)框架下面去實(shí)現(xiàn)。 ? 所以，即使有黑客通過一些手段進(jìn)入你的軟件系統(tǒng)，它也很難從一個(gè)可信的鏈路當(dāng)中獲取一部分的數(shù)據(jù)，截取出來。這就是可信軟件鏈路的一個(gè)要求。 ? 像CP AUTOSAR里面CSM它其實(shí)在設(shè)計(jì)當(dāng)中也會(huì)考慮這樣一個(gè)可信鏈路，保障不會(huì)從某一個(gè)軟件模塊數(shù)據(jù)被截取了，這就是在設(shè)計(jì)這些模塊的時(shí)候需要考慮的一些原則。 ?

零部件信息安全架構(gòu)

接下來看一下零部件提的信息安全的一個(gè)架構(gòu)，在中央計(jì)算單元模塊里面我們通常會(huì)做會(huì)引入一些概念，比如說可信執(zhí)行、運(yùn)行時(shí)環(huán)境RTE、安全核、安全啟動(dòng)等。 ?

? 從總體思路上來講，就是將需要信息安全有關(guān)的功能運(yùn)行在一個(gè)可信的環(huán)境里面，并且保證它調(diào)用這些可信應(yīng)用的時(shí)候，都是一個(gè)安全的路徑上面去完成的； ? 另外就是做一個(gè)功能的隔離，筆者認(rèn)為比較重要的一些應(yīng)用統(tǒng)一放在一個(gè)單獨(dú)的分區(qū)上面。這樣的話跟一些比較容易被受攻擊的一些娛樂功能做一個(gè)物理軟件層面的隔離或者是硬件上的隔離。 ? 如果是硬件上隔離，通常效果會(huì)更好。軟件上隔離成本會(huì)低一點(diǎn)，會(huì)降低一定的運(yùn)行效率，但是從一定程度上也能起到信息安全的一些隔離的作用。對(duì)于可信執(zhí)行謀害，通常會(huì)叫TEE的概念，就是可信應(yīng)用。 ? 可信應(yīng)用完全是依照信息安全的標(biāo)準(zhǔn)去設(shè)計(jì)模塊，它的可靠性和魯棒性是非常強(qiáng)的，不會(huì)輕易出現(xiàn)一些被攻破的bug什么的。 ? TEE上一般會(huì)做一些密鑰的管理去讀取的一些策略，還有一些安全算法，比如說加密算法一般會(huì)實(shí)現(xiàn)在TEE的核心核上面。 ? 那么，每個(gè)域APP怎么去使用一些信息安全呢。比如說密鑰信息它怎么去獲取它，怎么樣去調(diào)用一個(gè)加密庫(kù)？這就需要在每個(gè)分區(qū)上面有自己的信息安全的一些組件去實(shí)現(xiàn)。也可以認(rèn)為它們是一些類似中間件的東西，它就保證說讓上層更容易的去調(diào)用一些TEE上面的一些功能。 ? 像現(xiàn)在AP上面提到的一些跟信息安全有關(guān)的組件，類似于IAM還有Crypto，這些都是去提供一些標(biāo)準(zhǔn)的Crypto接口去讓應(yīng)用或者是一些Functional去調(diào)用一些密鑰的信息或者是加密函數(shù)。 ? 還有就是操作系統(tǒng)，類似于現(xiàn)在的Linux，除了標(biāo)準(zhǔn)Linux，也有一些衍生出來的是經(jīng)過信息安全加固的這樣一個(gè)Linux操作系統(tǒng)，它為信息安全做了一些特定的機(jī)制來保證它的系統(tǒng)從信息安全的角度更加健全，不容易被攻破。 ? 還有類似于IDS的軟件組件去做一些部署，IDS會(huì)去做一些數(shù)據(jù)的收集，這些數(shù)據(jù)都是跟信息安全有關(guān)，因?yàn)檫@些信息就表現(xiàn)出來當(dāng)前系統(tǒng)運(yùn)行是不是在合理的情況下； ? 有沒有一些特征是正在被黑客攻擊或者是一些狀況，根據(jù)這些狀況再去下發(fā)一些保護(hù)的策略，如立即制止這種非正常的一些操作，或者說切斷一些入口的通道，來保證你被攻擊的影響減少。 ?

數(shù)據(jù)傳輸安全

信息安全在筆者看來有一大部分說的是安全通信協(xié)議，下圖里面顯示了一些我們通常會(huì)用的一些數(shù)據(jù)傳輸安全的一些機(jī)制。 ?

? 從最底下來看，假設(shè)我們這個(gè)通信是基于以太網(wǎng)的，從最底下的一個(gè)MACsec的通信，我們需要有MACsec的一些安全協(xié)議。像MAC Security也有相應(yīng)的標(biāo)準(zhǔn)，比如說IEEE 802.I AE這樣一個(gè)協(xié)議。 ? 再往上到IP層也有Security的協(xié)議，再往上數(shù)據(jù)鏈路層的安全，以及對(duì)于數(shù)據(jù)報(bào)文的一個(gè)安全協(xié)議SecOC；每一層都有相應(yīng)的一個(gè)安全機(jī)制；再往上，應(yīng)用層之間可以有一些特定的通信機(jī)制。如果認(rèn)為SOME/IP也是偏應(yīng)用層的一個(gè)通信協(xié)議，SOME/IP上面也會(huì)有相應(yīng)的Security的一些協(xié)議可以去使用。 ? 下面這張圖是從一個(gè)縱向的角度去解釋了每個(gè)層面數(shù)據(jù)安全它是位于什么層級(jí)？剛才也有簡(jiǎn)單的介紹，這邊可以再?gòu)?qiáng)調(diào)一下。 ?

? 對(duì)于防火墻或者是IDPS，它的層級(jí)是跨的比較深的。它從VLAN到第一層第二層，再到往上的數(shù)據(jù)包和應(yīng)用層包，其實(shí)都可以做一些分析。如果要做到第四層以上，我們就認(rèn)為它是一個(gè)深度的包檢測(cè)了，可以從協(xié)議層和應(yīng)用層的再去幫你分析這個(gè)包是否是合理的？是不是非法的一個(gè)數(shù)據(jù)包？ ? 如果要實(shí)現(xiàn)這樣的功能，一般都需要比較強(qiáng)的一個(gè)CPU去實(shí)現(xiàn)了，通常這種比較成熟的防火墻，IDPS在IP領(lǐng)域其實(shí)是已經(jīng)做得很好了。有這樣一個(gè)模塊，可以一個(gè)專門用來做IDPS防火墻模塊通常有可能要達(dá)到幾千幾萬這樣一個(gè)模塊都有，它的作用就是幫你一個(gè)深度的包的檢測(cè)和去判斷一些信息安全的檢測(cè)。 ? 在車載領(lǐng)域相對(duì)來說這個(gè)概念還比較新，畢竟我們車內(nèi)用到的芯片的算力還是比較受限的，所以一般來講只會(huì)在數(shù)據(jù)鏈路層左右做一個(gè)黑白名單或者是IP地址層面的一些過濾與防御。 ?

入侵檢測(cè)與防御

IDPS概念是什么? ? 首先我們所有的一些檢測(cè)行為都需要有一個(gè)數(shù)據(jù)輸入，所以第一個(gè)階段就是數(shù)據(jù)包嗅探，一般這些數(shù)據(jù)包都是從操作系統(tǒng)那邊第一手拿到的一個(gè)IP的數(shù)據(jù)包作為一個(gè)精準(zhǔn)的數(shù)據(jù)輸入， ?

? 經(jīng)過解碼以后做一些處理，然后去分析一些協(xié)議層面或者數(shù)據(jù)層面的一些解析，用一些規(guī)則來判斷它是否是正常的一個(gè)數(shù)據(jù)庫(kù)。 ? 所以這邊與規(guī)則匹配，當(dāng)然一些比較有特點(diǎn)的攻擊或者是那種對(duì)于標(biāo)識(shí)不合規(guī)的一些，我們可以自動(dòng)做一個(gè)檢測(cè)過濾?；谶@種規(guī)則匹配以后就形成了一個(gè)報(bào)警和日志，這就是一個(gè)IDPS的功能。 ? 這有個(gè)P指的是protect，既然已經(jīng)檢測(cè)到這樣攻擊行為以后，我怎么樣去盡量的減少對(duì)這個(gè)系統(tǒng)產(chǎn)生的影響，立即去更新我本地的一個(gè)規(guī)則，馬上實(shí)施以后，立即直指當(dāng)前被攻擊的這個(gè)源頭，這都是一些手段。 ? 在當(dāng)前車載中，protect的動(dòng)作設(shè)計(jì)，基本上是不太會(huì)引入的，因?yàn)槟闫綍r(shí)比較擔(dān)心的是立即執(zhí)行這個(gè)保護(hù)行為會(huì)不會(huì)影響車的功能，所以現(xiàn)在大部分做的是IDS。對(duì)于規(guī)則的更新和發(fā)放，實(shí)際上是比較謹(jǐn)慎的。 ? 這張圖進(jìn)一步解釋了對(duì)于車載IDPS它是怎樣一個(gè)部署的系統(tǒng)？像我們用的PC這種，它就是一個(gè)電腦，就是直接一個(gè)以太網(wǎng)。就是說你電腦上裝IDS的一個(gè)程序就可以做這個(gè)系統(tǒng)。 ? 它部署比較容易，在車上去做IDPS的話，它要做很多事情，比如說我讓左邊這張圖，中央網(wǎng)關(guān)去要部署這樣一個(gè)IDPS主節(jié)點(diǎn)做一些本地的一個(gè)引擎和規(guī)則管理。 ?

? 一些入侵行為需要去收集車上所有ECU的一些報(bào)文，無論是CLAN還是以太網(wǎng)，這些都是你去判斷是否有入侵行為的一個(gè)數(shù)據(jù)源頭，所以你要從域控制器上把一些數(shù)據(jù)包給收集過來上面， ? 但不能把所有包直接全部傳過來，需要有一定規(guī)則的，有IDPS的話，有一些slave的謀害會(huì)按一定的規(guī)則去一些數(shù)據(jù)的異常行為，然后更新給中央網(wǎng)關(guān)，中央網(wǎng)關(guān)再去統(tǒng)一去做篩選和規(guī)則匹配。 ? 對(duì)于試驗(yàn)報(bào)告，一般這個(gè)系統(tǒng)部署在云端，它的上面可以算力比較強(qiáng)，它可以去上面運(yùn)行一些安全機(jī)制，策略管理，它可以做很多對(duì)于IDPS的一些規(guī)則判斷或者是對(duì)于整個(gè)車輛平臺(tái)和車型做一個(gè)進(jìn)步的IDPS的這樣一個(gè)規(guī)則的升級(jí)。 ? 它可以獲得這些漏洞。最新的漏洞和攻擊手段，它都可以在這個(gè)系統(tǒng)上去識(shí)別，然后再匹配車上反應(yīng)出來的一些數(shù)據(jù)，做一個(gè)規(guī)則匹配。對(duì)于車載IDPS，大概就是這樣一個(gè)系統(tǒng)設(shè)計(jì)。 ?

三、AUTOSAR信息安全架構(gòu)

AUTOSAR提供的安全模塊

今天我們講AUTOSAR里面信息安全架構(gòu)有哪些？前面也提到了一些概念，就是實(shí)際上就是AUTOSAR里面就在使用的。像Crypto Stack提供一些軟件加密和密碼服務(wù)，這是一個(gè)基本的模塊和CSM 提供可信軟件的模塊鏈路。 ? 還有就是一些通信的安全協(xié)議像SecOC 、TLS、IPsec每個(gè)層級(jí)都有一些安全的協(xié)議。還有就是AP里面的IDS專門是用來做一個(gè)權(quán)限的管理，對(duì)于本地的資源做訪問，做統(tǒng)一的安全診斷，安全診斷除了UDS里面的R7服務(wù)，現(xiàn)在多了一個(gè)R9，專門用來做一些信息安全產(chǎn)品的驗(yàn)證，對(duì)UDS做了一個(gè)這方面的擴(kuò)展。 ? 下圖左邊是AUTOSAR里面跟信息安全有關(guān)的一些組件模塊，主要Crypto?Driver、Crypto??Interface以及CSM模塊。 ?

? 右邊是AP下面和信息安全有關(guān)的。AP那邊不能直接說這幾個(gè)模塊是信息安全有關(guān)的，應(yīng)該說它是哪些模塊信息安全會(huì)影響它？它的設(shè)計(jì)里面體現(xiàn)出來信息安全的一些理念， ? 像剛說到的通信鏈路，主要是Communication Management，在這個(gè)層面它有很多信息安全的協(xié)議的設(shè)計(jì)，如 IAM、Crypto Stack都是一些與上層應(yīng)用和Functional Clusters去使用密鑰和加密程序的一個(gè)必要的模塊。 ?

SecOC

下圖是SecOC，它可能已經(jīng)用在當(dāng)前的設(shè)計(jì)里面，所以就不展開了分享IAM這就是一個(gè)標(biāo)準(zhǔn)的SecOC的一個(gè)架構(gòu)圖。 ?

Identity?and Access?Management

IAM稍微去理解一下它的過程，首先是應(yīng)用程序去請(qǐng)求一些動(dòng)作。它是通過一些中間件Functional Clusters去操作，操作它之前我們?nèi)ハ韧ㄟ^IAM這個(gè)模塊去認(rèn)證它是否是被認(rèn)證過的一個(gè)應(yīng)用。在IAM返回一個(gè)認(rèn)定結(jié)果以后，它才可以真正的使用到一些請(qǐng)求的一些資源，它就是IAM標(biāo)準(zhǔn)的實(shí)現(xiàn)的一個(gè)過程。 ?

? 下圖細(xì)節(jié)地描述了怎么做它的一個(gè)隔離？首先它應(yīng)用和下面的一些資源是在沒有IAM做一些Check之前它是隔離的。需要通過一系列的判斷的以后，給出一些認(rèn)證結(jié)果，它才能正常的使用資源。 ?

Secure Communication-Motivation

接下來分享一下AP中的安全通信。主要從以下三個(gè)方面考慮： 1. 完整性，安全通信的目的就是要保證數(shù)據(jù)的完整性。 2. 真實(shí)性是不是合法的一個(gè)來源。 3. 機(jī)密性，在未授權(quán)的情況下不能被訪問到。 ?

支持的SOME/IP Binding協(xié)議

對(duì)于SOME/IP Binding來說，我們 Communication Management可以看到這幾種綁定的協(xié)議，SecOC它支持Message Signing、多播、TCP/UDP都支持。 ? TLS層面也有相關(guān)的一些綁定的支持，IPsec Security在標(biāo)準(zhǔn)里面都是支持的。 ?

? ?

IPsec-Internet Protocol Security

IPsec Security通常是以軟件的模式體現(xiàn)，首先有一個(gè)IKE的模塊是Exchange這樣的模塊，下面IPsec里面有相應(yīng)的IPsec模塊，還有一些Framework的一些模塊，像這樣一些Database的Security策略也是通過一些配置可以去產(chǎn)生，這是AUTOSAR對(duì)于信息安全有一些設(shè)計(jì)，有它一定的便捷性。 ?

? ?

配置Secure Communication

如果進(jìn)行配置，我們可以在SWC Port端口上面相應(yīng)去設(shè)計(jì)綁定你的安全策略。比如說SOME/IP Binding、secOS/TLS/DTLS，在一個(gè)系統(tǒng)級(jí)的設(shè)計(jì)層面都可以去部署這些安全策略。 ?

? ?

Crypto?Stack

Crypto Stack剛才也說了，它主要包含的功能是密鑰管理的一些加密算法執(zhí)行。一般使用Crypto時(shí)，還需要一些Crypto Internet，然后再通過一些返回取得解密以后的一些消息。 ? 下圖的例子就是原始未解密的信息，然后我們?nèi)フ{(diào)用Crypto的一些模塊，然后得到一個(gè)解密的一些消息的過程。 ?

Use Cases

在Crypto的一個(gè)標(biāo)準(zhǔn)文檔里面，它分了幾種類型：Crypto Key管理和鍵值管理這樣幾個(gè)接口類型。整個(gè)Crypto的設(shè)計(jì)，實(shí)際上還是充分考慮信息安全的一些使用場(chǎng)景對(duì)它做了一些加密的分類，最后它可以訪問你硬件上的TEE或者HSM，通信鏈路的都是安全可靠，這是AUTOSAR Crypto的一個(gè)設(shè)計(jì)。 ?

? ?

編輯：黃飛

?