OEM&Lieferant Ausgabe 2/2021

46 AUTOSAR Adaptive regelt den Zugriff auf Systemressourcen, wie persistente Spei- cher, Kommunikationskanäle, kryptogra- fische Schlüssel etc. Mit dem AUTOSAR- Modul Identity- und Access-Management steht ein Torwächter bereit, der nur explizit autorisierte Anwendungen auf die jeweili- ge Ressource zugreifen lässt. Die Zugriffs- rechte lassen sich bedarfsgerecht konfigu- rieren und jederzeit aktualisieren. Secure Update und Trusted Platform Die Secure-Update-Funktion in AUTOSAR Adaptive hilft dabei, (zum Beispiel mithilfe von Intrusion Detection System, IDS) er- kannte Schwachstellen zu beheben. Dazu empfängt und verarbeitet sie Security-Up- dates für einzelne Applikationen oder sogar für die gesamte Plattform. Die einzelnen Up- date-Blobs werden dabei vom Backend sig- niert, sodass nur Updates aus vertrauens- würdiger Quelle ausgeführt werden. Neben den Updates brauchen auch die Anwendungen auf ECUs und VCs eine regelmäßige Überprüfung. Dazu dient Se- cure Boot beziehungsweise die Trusted- Platform-Funktion in AUTOSAR Adaptive. Sie verifiziert als Vertrauensanker (Trust An- chor) alle Anwendungen und die Plattform als solche. Indem so eine Vertrauenskette vom Boot über die Plattform bis zur An- wendung aufrechterhalten wird, ist sicher- gestellt, dass nur vertrauenswürdige Soft- ware ausgeführt wird. RTA-VRTE: Plattformsoftware- Framework für AUTOSAR Adaptive Für künf tige Anwender von AUTOSAR Adaptive ist es von existenzieller Bedeutung, sich schon heute mit der neuen Architektur vertraut zu machen. Das Plattformsoftware- Framework RTA-VRTE (Vehicle Runtime En- vironment) bietet dafür die ideale Basis; sei es zur Integration und Implementierung von Security-Funktionen oder für alle weiteren AUTOSAR-Adaptive-konformen Prozesse. RTA-VRTE enthält alle wichtigen Middlewa- re-Elemente für mikroprozessorgestützte Fahrzeugrechner. Das Plattformsoftware- Framework erlaubt es, die Funktion virtuel- ler ECUs auf herkömmlichen Desktop-PCs zu simulieren und per Ethernet zu vernetzen. RTA-VRTE erzeugt dazu eine virtuelle Ma- schine, die eine aus vier Ebenen aufgebaute Basissoftware-Architektur enthält. Auf einer fünften Ebene sind dann die fahrzeugspezi- fischen Plattformservices aufgesetzt (Bild 3). Die Ebenen 1 und 2 beheimaten Infra- struktursoftware der eingesetzten Hard- ware (zum Beispiel Gerätetreiber) und ein Bild 3: Das Fünf-Ebenen-Modell der RTA-VRTE unterstützt die wichtigen Softwarefunktionen und -anforderungen für Vehicle Computer. Security-Komponenten in AUTOSAR Adaptive – Krypto-Stack zur Verwaltung von Schlüsselmaterial und Zugriff auf Krypto-Primitive – Sichere Kommunikation über die etablierten Protokolle TLS und IPSec – Zugriffsschutz für sensible Ressourcen (z. B. Schlüssel) über das Modul Identity- und Access-Management – Sichere Updates von einzelnen Applikationen bis hin zur kompletten Plattform – Authentische Software durch Fortführung der Secure- Boot-Vertrauenskette im Rahmen der „Trusted Platform“ Bild 2: Zentrale Security-Komponenten in AUTOSAR Adaptive. Applikationsservices Grundlegende Applikationsservices/semantische Middleware Hardware, µ-Controller, µ-Prozessor, Hardwarebeschleunigung Betriebs- system Security Treiber E/A analog HW- Selbst- test E/A digital HW- Über- wachung IPC IVC INC CAN LIN FLX ETH OTA Boot- loader Hypervisor Ebene 5 Fahrzeugspezifische Plattformservices Ebene 4 ECU-spezifische Plattformservices Ebene 3 (Serviceorientierte) Kommunikations-Middleware Ebene 2 Betriebssystemspezifische Infrastruktursoftware Ebene 1 Hardwarespezifische Infrastruktursoftware ECU- Service- Broker IO Multiplexer Security- Services Kommunikation Stack(s): Protokolle Fahrzeug- diagnose Software- Lockstep- Komparator Gateway Firewall Execution- Manager Software- Wächter Fahrzeug- lebenszyklus- Manager Service- qualität Zeit- manager Hardware- beschleunigungs- Framework Diagnose Fahrzeug- Update- Client Ende- zu-Ende- Safety Speicher- management Lebenszyklus- Manager Fahrzeug- Service- Broker ECU- Update- Client Ende- zu-Ende- Security Service- Broker Entwicklungs- support POSIX-konformes Betriebssystem. Zudem birgt Ebene 2 Elemente, die sich aus den AUTOSAR-Adaptive-Spezifikationen ab- leiten – zuvorderst das Execution Manage- ment. Dieses verwaltet die dynamisch zu- gewiesenen Anwendungen, stellt sicher, dass sie korrekt starten und enden und es wacht über das Einhalten der zugewiesenen Ressourcen- und Ausführungslimits. Damit ist das Execution Management in puncto IT- Sicherheit eine Schlüsselfunktion: Es stellt die Trusted Platform bereit und prüft die Integrität und Authentizität der Adaptive-An- wendungen. So werden etwaige Manipula- tionen oder Beschädigungen schon vor dem Start erkannt. Daneben stellt eine Kommunikations-Midd- leware auf Ebene 3 sicher, dass die dyna- mischen, flexiblen Adaptive-Anwendungen und die anderen Software-Anwendungen im System interagieren können. Als Kern- komponente des RTA-VRTE steuert und regelt das Kommunikationsmanagement die Interaktion zwischen den Ebenen und garantiert den reibungslosen Betrieb der gekapselten Software inklusive der steuer- geräte- und fahrzeugabhängigen Plattform- services auf den Ebenen 4 und 5. Im Sinne einer sicheren End-to-End-Kommunikation zwischen den Services authentifizierter An- wendungen hat diese Funktion ebenfalls hohe Relevanz für die Cybersecurity. Das RTA-VRTE-Kommunikationsmanage- ment samt steuergerätespezifischen Diensten auf Ebene 4 bietet Anwendungs- entwicklern ein vielseitiges Rahmenwerk für Automotive-Anwendungen. Für die Security ist auf dieser Ebene ein Update and Configuration Manager (UCM) verfüg- bar, der authentifizierte Updates einzel- ner Anwendungen unterstützt und über die gesamte Plattform hinweg koordiniert. Auf Ebene 5 des RTA-VRTE lassen sich im Sinne von AUTOSAR++ Funktionen für das