面向MCU端的AUTOSAR CP平臺(tái)加密組件——Crypto

ECU中所有的軟件單元都遭受到信息安全攻擊的可能。AUTOSAR為保障ECU信息和數(shù)據(jù)安全，定義了CRYPTO 組件,包含 SecOC、KeyM、IdsM、Csm、CryIf 和Crypto Driver 等標(biāo)準(zhǔn)模塊。CRYPTO組件提供各種加解密算法以及密鑰管理功能，能感知到信息安全攻擊，發(fā)現(xiàn)安全事件，確保數(shù)據(jù)的安全性、完整性以及身份認(rèn)證，為ECU提供信息安全保障。

SecOC 模塊

SecOC模塊是AUTOSAR基礎(chǔ)軟件架構(gòu)一個(gè)標(biāo)準(zhǔn)軟件模塊，屬于通信服務(wù)層。它的主要功能是為總線上進(jìn)行傳輸?shù)臄?shù)據(jù)提供信息認(rèn)證。消息在IF/TP和Com之間傳輸并路由PduR 模塊時(shí)，將消息傳入SecOC模塊進(jìn)行校驗(yàn)，可以有效抵御消息重放攻擊，異常篡改等通信攻擊方式。

SecOC為所需的通信報(bào)文提供加密服務(wù)機(jī)制，以及接收報(bào)文的認(rèn)證機(jī)制，具體功能通過調(diào)用加密棧功能實(shí)現(xiàn)。另外 SecOC為加密通信提供防重放攻擊機(jī)制，具體功能通過調(diào)用 FVM 模塊實(shí)現(xiàn)，F(xiàn)VM模塊屬于應(yīng)用層，通過維護(hù)一個(gè)不斷變化的新鮮度值來為SecOC模塊通信提供保護(hù)。

KeyM模塊

KeyM模塊是AUTOSAR基礎(chǔ)軟件架構(gòu)一個(gè)標(biāo)準(zhǔn)軟件模塊，屬于加密服務(wù)層。其中加密密鑰子模塊主要包括密鑰初始化、生成、更新、派生、維護(hù)和分配，其中證書子模塊主要功能為配置工具鏈以及使用證書。

Csm模塊

Csm 模塊、CryIf模塊和一個(gè)或者多個(gè)Crypto模塊組成整個(gè) AUTOSAR的加密棧。Csm作為加密棧中唯一個(gè)提供對外接口的模塊，主要為AUTOSAR架構(gòu)中的其他BSW模塊和上層應(yīng)用程序提供加密服務(wù)和密鑰管理服務(wù)功能。Csm模塊中提供了多種加密服務(wù)接口，包括HASH計(jì)算、MAC生成校驗(yàn)、數(shù)據(jù)加密解密等接口。通過配置Csm模塊中的任務(wù)，使得每種服務(wù)接口可以實(shí)現(xiàn)一種或者多種算法。不過需要注意的是，數(shù)據(jù)的具體計(jì)算過程并未在Csm模塊的核心代碼中實(shí)現(xiàn)，Csm將收到的任務(wù)請求通過CryIf模塊發(fā)送到具體的Crypto模塊中進(jìn)行計(jì)算，之后將計(jì)算結(jié)果返回。

CryIf 模塊

CryIf模塊，是連接Csm模塊和下層的Crypto模塊的橋梁，CryIf模塊只為Csm提供服務(wù)，CryIf模塊可連接一個(gè)或多個(gè) Crypto模塊。Csm模塊中的任務(wù)通過CryIf模塊下傳到某個(gè) Crypto模塊中執(zhí)行，并通過CryIf模塊將結(jié)果通知給Csm模塊。

Crypto Driver模塊

Crypto Driver模塊按照AUTOSAR規(guī)范中的標(biāo)準(zhǔn)接口對加密實(shí)現(xiàn)模塊中的功能進(jìn)行封裝，提供加密實(shí)現(xiàn)所支持的多種加密算法功能。Crypto Driver（HW）基于芯片中硬件安全擴(kuò)展模塊開發(fā)的加密驅(qū)動(dòng)模塊，對具體芯片中的功能進(jìn)行封裝。Crypto Driver（SW）使用軟件實(shí)現(xiàn)具體加密功能，而 Extern Crypto Driver則為對外部驅(qū)動(dòng)進(jìn)行調(diào)用，實(shí)現(xiàn)具體加密功能。

面向MPU端的AUTOSAR AP平臺(tái)加密組件——Security

CRYPTO加密管理

?實(shí)現(xiàn)加密棧管理功能，支持多種加密算法，可定制開發(fā)其他算法，如：隨機(jī)數(shù)生成器（CTR-DRBG）、哈希算法（SHA256，SHA512）、對稱流加密算法（AES-128，AES-192，AES-256，支持 ECB CBC CFB CTR模式）、對稱塊加密算法（AES-128，AES-256，支持ECB模式）、非對稱密鑰生成算法、非對稱密鑰封裝機(jī)制KEM服務(wù)、非對稱加密算法（RSA)

?支持密鑰存儲(chǔ)管理功能

?提供 TLS/DTLS socket 封裝接口

IAM權(quán)限管理

?支持對服務(wù)接口訪問的鑒權(quán)保護(hù)

?實(shí)現(xiàn) PEP 和 PDP

目前，經(jīng)緯恒潤已為國內(nèi)多家客戶提供汽車網(wǎng)絡(luò)安全開發(fā)及測試服務(wù)，打造車聯(lián)網(wǎng)可信安全平臺(tái)，為智能網(wǎng)聯(lián)汽車安行之路保駕護(hù)航！未來，經(jīng)緯恒潤將繼續(xù)緊隨汽車行業(yè)發(fā)展趨勢，堅(jiān)持自主創(chuàng)新，為客戶提供更多優(yōu)質(zhì)的產(chǎn)品和服務(wù)！

審核編輯 黃宇