Adaptive Platform AUTOSAR(AP)平台设计(14)——密码学

Hello！大家好！

本篇是AP AUTOSAR平台设计(14)——密码学

AP和CP相关资料获取和工具咨询、更多精彩内容欢迎订阅微信公众号“搞一下汽车电子”

整理不易，如果觉得不错，点赞分享支持一下吧~

邮箱：[email protected]

微信：shactiontech

---

AUTOSAR自适应平台支持用于通用加密操作和安全密钥管理的API。该API支持在运行时动态生成密钥和加密作业，以及对数据流进行操作。为了减少存储需求，可以将密钥内部存储在加密后端中，也可以外部存储并按需导入。

该API旨在支持将对安全敏感的操作和决策封装在单独的组件中，例如硬件安全模块（HSM）。可以通过将密钥限制为特定用途（例如，仅解密），或将密钥限制为IAM报告的单个应用程序的使用，来提供密钥和密钥使用的附加保护。

根据应用程序支持，在处理诸如TLS和SecOC之类的加密协议时，API还可用于保护会话密钥和中间机密。

 

安全架构

尽管AUTOSAR AP仅定义了暴露给应用程序的高级Crypto Stack API，但在定义此API时要考虑到旨在满足上述安全和功能要求的安全体系结构。通用架构如图1所示。

在最高层，AUTOSAR AP以及本机和混合应用程序都链接到AUTOSAR AP加密堆栈API。API实现可以引用一个中央单元（加密服务管理器）来实现平台级任务，例如跨应用程序一致地进行访问控制和证书存储。

该实现还可以使用加密服务管理器来协调功能到加密驱动程序的卸载，例如硬件安全模块（HSM）。确实，这种方式的Crypto Stack API卸载功能有望成为一种典型的实施策略：Crypto Driver可以实施整套密钥管理和加密功能，以加速加密操作并保护托管密钥免受恶意应用的侵害。

图1 加密堆栈–参考架构

为了实现这种分层的安全体系结构，Crypto Stack API不仅执行批量加密操作，而且还提供以下方面的本机支持：

(1) 使用加密的密钥或密钥句柄进行操作

(2) 尽管可能会损害应用程序安全地管理密钥

(3) 限制应用程序对键的访问和允许的操作

 

密钥管理架构

为了在潜在的应用程序受损的情况下支持密钥的安全远程管理，Crypto Stack集成了密钥管理体系结构，其中密钥和相关数据以端到端的保护形式进行管理。密钥可以基于现有的供应密钥以受信任的方式引入系统，也可以通过本地密钥生成以不受信任的方式引入系统。

假定适当保护了加密后端/驱动程序，应用程序将无法修改密钥，除非通过定义明确的授权请求（例如密钥更新或吊销）。

图2 CKI密钥管理交互

 

API扩展说明

需要引入新的或修改的权限/策略验证逻辑的重要的新用法和交互应与相应的新密钥用法策略标志关联。 例如，可以通过添加相应的新密钥使用策略并在涉及那些新密钥的所有密钥管理操作中强制执行新逻辑，来引入具有不同所有权/权限检查的备用供应密钥。