AUTOSAR-VRTE

AUTOSAR Adaptive: Cybersicherheit inklusive

Der Weg zum intelligent vernetzten Fahrzeug führt über AUTOSAR Adaptive. Für verlässlichen Schutz gegen Cyberangriffe hält dieser Standard Security-Funktionen bereit, die sich per Plattformsoftware-Framework schon heute in die E/E-Architekturen von morgen integrieren lassen.

AUTOSAR Adaptive setzt den Rahmen für neue E/E-Architekturen. In intelligent vernetzten, hochautomatisierten Fahrzeugen werden hoch performante Vehicle Computer (VCs) und Domänencontroller (DCUs) das Kommando übernehmen. Hohe Datenlasten unter Echtzeitbedingungen verlangen dabei nach leistungsfähigen Security-Mechanismen. Entsprechend sind in AUTOSAR Adaptive bereits heute eine Reihe von Security-Funktionen integriert (Bild 1).

Security-Bausteine in AUTOSAR Adaptive

  • Die gezielte Bereitstellung von kryptographischen Primitiven, Schlüsseln und Zertifikaten wird in AUTOSAR Adaptive durch den Krypto-Stack (Krypto-API) realisiert. Die Applikationen greifen unabhängig von der Krypto-Implementierung nur auf die vom Krypto-Stack bereitgestellten Schnittstellen zu, was die Portabilität von Anwendungen auf verschiedene Steuergeräte erhöht.
  • Sichere Kommunikation wird in AUTOSAR Adaptive mit Hilfe von TLS und IPSec konstituiert. Beide Protokolle ermöglichen den einfachen Aufbau sicherer Verbindungen nicht nur innerhalb des Fahrzeugs, sondern auch mit externen Instanzen, etwa dem OEM-Backend. Zudem ist seit Ende 2020 ein AUTOSAR-Adaptive-spezifisches Protokoll für SecOC (Secure Onboard Communication) spezifiziert.
  • Das AUTOSAR-Modul Identity- und Access-Management sorgt dafür, dass nur autorisierte Applikationen auf bestimmte kritische Systemressourcen (z.B. sensible Daten im persistenten Speicher, Kommunikationskanäle, kryptografische Schlüssel) Zugriff erhalten. Diese Zugriffsrechte können in AUTOSAR Adaptive bedarfsgerecht konfiguriert und jederzeit upgedatet werden.

Security-Bausteine AUTOSAR

Bild 1: Zentrale Security-Komponenten in AUTOSAR Adaptive.

  • Wichtiger Bestandteil wirksamen Security-Managements über den gesamten Fahrzeuglebenszyklus ist ein Intrusion Detection System (IDS), das Angriffe auf das Fahrzeug erkennt und an ein Backend meldet. Aus diesem Grund ist der IDS-Manager (IdsM) als maßgebliche Schaltstelle eines verteilten IDS seit Neuestem in AUTOSAR Adaptive integriert.
  • Die Secure-Update-Funktion in AUTOSAR Adaptive hilft in der Folge die erkannten Schwachstellen zu beheben, indem sie Security-Updates für einzelne Applikationen oder sogar für die gesamte Plattform empfängt und verarbeitet. Die einzelnen Update-Blobs werden dabei vom Backend signiert, so dass nur Updates aus vertrauenswürdiger Quelle ausgeführt werden.
  • Auch die Anwendungen auf ECUs, DCUs und VCs bedürfen regelmäßiger Überprüfung. Diese Aufgabe übernimmt Secure Boot beziehungsweise die Trusted-Platform-Funktion in AUTOSAR. Sie verifiziert als Vertrauensanker (Trust Anchor) alle Anwendungen und die Plattform als solche. So ist sichergestellt, dass nur vertrauenswürdige Software ausgeführt wird.

RTA-VRTE: Plattformsoftware-Framework für AUTOSAR Adaptive

Künftige Anwender von AUTOSAR Adaptive müssen sich schon heute mit der neuen Architektur vertraut machen. Die ideale Basis für Integration und Implementierung – nicht nur der Security-Funktionen, sondern auch aller weiteren AUTOSAR-Adaptive-konformen Prozesse – bietet das Plattformsoftware-Framework RTA-VRTE (Realtime Application Vehicle Runtime Environment). RTA-VRTE-enthält alle wichtigen Middleware-Elemente für mikroprozessorgestützte Fahrzeugrechner. Das Plattformsoftware-Framework erlaubt es, die Funktion virtueller ECUs auf herkömmlichen Desktop-PCs zu simulieren und per Ethernet zu vernetzen. RTA-VRTE erzeugt dazu eine virtuelle Maschine, die eine aus vier Ebenen aufgebaute Basissoftware-Architektur enthält. Auf einer fünften Ebene sind dann die fahrzeugspezifischen Plattformservices aufgesetzt.

 VRTE Schichten

Bild 2: Das RTA-VRTE-Schichtenmodell unterstützt die wichtigen Softwarefunktionen und -anforderungen auf fünf Ebenen.

Die Ebenen 1 und 2 beheimaten Infrastruktursoftware der eingesetzten Hardware (z.B. Gerätetreiber) und ein POSIX-konformes Betriebssystem. Zudem birgt Ebene 2 Elemente, die sich aus den AUTOSAR-Adaptive-Spezifikationen ableiten, insbesondere auch das Execution Management. Dieses verwaltet die dynamisch zugewiesenen Anwendungen, stellt sicher, dass sie korrekt starten und enden, und wacht über die zugewiesenen Ressourcen- und Ausführungslimits. Damit ist das Execution Management in puncto IT-Sicherheit eine Schlüsselfunktion: Es stellt die Trusted Platform bereit, prüft die Integrität und Authentizität der Adaptive-Anwendungen.

Early Access Program als Starthilfe

Daneben stellt eine Kommunikations-Middleware auf Ebene 3 sicher, dass die dynamischen, flexiblen Adaptive-Anwendungen und die anderen Softwareanwendungen im System interagieren können. Als Kernkomponente des RTA-VRTE steuert das Kommunikationsmanagement die Interaktion zwischen den Ebenen und garantiert den reibungslosen Betrieb der gekapselten Software inklusive der steuergeräte- und fahrzeugabhängigen Plattformservices auf den Ebenen 4 und 5. Im Sinne einer sicheren End-to-End-Kommunikation zwischen den Services authentifizierter Anwendungen hat diese Funktion ebenfalls hohe Relevanz für die Cybersicherheit.

Seit 2020 wird RTA-VRTE weltweit in Projekten eingesetzt, die AUTOSAR Adaptive-Fahrzeugplattformen für die Serienproduktion zum Ziel haben. Daneben bieten ETAS und ESCRYPT ein Early Access Program (EAP) an, mit dem OEMs und Zulieferer die Entwicklungsmethodik hybrider E/E-Architekturen der nächsten Generation erkunden können – und dabei die aktuell in AUTOSAR Adaptive verfügbaren Security-Komponenten herein in ihrer zukünftigen Fahrzeugarchitektur verankern.

SHARE THIS

Language:
ISO 9001:2015 Home