00.场景设想
设想在车辆中部署了一套联网的娱乐系统,该系统的应用需访问互联网。若娱乐系统被黑客入侵,攻击者可能会试图控制关键功能,如刹车。为了防止这种情况,通过有效的身份和访问管理(IAM),可以实时监控和隔离娱乐系统的行为,确保车辆在任何情况下保持安全与可靠。
01.什么是身份和访问管理?
身份和访问管理(IAM)在 AUTOSAR Adaptive 平台中扮演着至关重要的角色,其核心任务是确保只有经过授权的身份能够访问适当的资源。
在 AUTOSAR Adaptive 的环境中,身份通常指的是自适应应用程序或其宿主,而资源则涵盖了自适应平台中功能集群 API 所支持和开放的所有功能。
IAM 的定义与功能
开发者可以利用 IAM 为 Adaptive Application 创建模型,对资源访问请求提供访问控制决策(Access Control Decisions)功能,进行访问控制。
访问控制决策以布尔值代表请求的操作是否被允许,判断依据则与调用者以及访问控制策略(Access Control Policy)有关。而这个策略,也即一些约束条件。
对于 CPU 或者 RAM 的系统资源请求的控制,并不属于 IAM 模块的职责范围。
运行时,只有当请求被拒绝而且调用通知函数时,IAM 和应用有交互,其他时间,IAM 对于应用都是透明的。
02.术语和缩写
为了 IAM 理解框架如何工作的,必须提前理解一些重要的概念。
本词汇表列出了与身份和访问管理有关的一些术语和缩写,这些术语和缩写不在 AUTOSAR 词汇表中。
- Identity and Access Management (IAM)
身份和访问管理 (IAM) 是关于管理自适应应用程序对自适应平台基础和服务的接口和资源的访问权限。
- 策略决策点(PDP)
PDP 是指制定访问控制决策的逻辑部分。它判断应用程序是否有权限执行所请求的任务。AUTOSAR 没有规定 PDP 的具体实现和配置方式。
- 策略执行点(PEP)
PEP 是指执行访问控制决策的逻辑部分。它直接与相应的 PDP 交互,获取访问控制决策。
- 访问控制策略 Access control Policy
访问控制策略是针对调用的目标(如服务接口)制定的,用于说明访问这些接口需要具备哪些身份信息。为了访问特定的对象(比如服务接口),这个值是用来定义必须满足的约束。
- 访问控制决策 Access Control Decision
访问控制决策是一个布尔值来,表明操作请求是否被允许。它基于调用者的身份和访问控制策略来确定。
- 身份 Identity
身份是指自适应应用程序的一些属性,访问控制是根据这些属性来进行的。在远程 IAM 的情况下,身份也可以指远程 ECU 的一些属性,访问控制也是根据这些属性来进行的。
- AUTOSAR 资源
AUTOSAR 资源是指属于 IAM(身份和访问管理)范围的接口(如服务接口,加密密钥槽,加密证书)。
- Intent 意图
intent 是指自适应应用程序的一种属性。如果请求的应用程序具有所有被认可的、对于特定资源必要的意图,那么就可以访问一个 AUTOSAR 资源(如 CryptoKeySlot,ServiceInterface 及其成员 Method,Event 和 Field)。
意图也可以指应用程序请求的访问类型(如对 CryptoCertificate 的读或写访问)。意图是通过 AUTOSAR 资源特定的建模(如 ComFieldGrant-Design)在应用程序清单中分配给自适应应用程序的。
- 授权 Grant
在 Adaptive 应用程序部署期间,设计阶段要求的每项能力都应得到确认。Grant 元素在元模型中可用。授权将支持集成商审查功能,但不允许接受部分功能。
Grant 是指集成商在部署阶段将 GrantDesigns 转换为 Grant,从而确认自适应应用程序的意图。Grant 元素可以被转换为 PDP 实现所需的访问控制列表。
- Application ID
应用程序 ID 是指自适应应用程序的唯一标识符。在元模型中,自适应应用程序由一个 Process 表示。
- Intermediate Identifier (IntID)
一种标识符,它支持标识正在运行的 posix 进程并将其映射到已建模的 AUTOSAR 进程。
- Adaptive Application Identity (AAID)
Adaptive 应用程序的建模标识由 AUTOSAR 进程标识。
- Adaptive Application Identifier
一个指向 AAID 的引用程序,即 AUTOSAR 进程,仅指向一个 AAID。
- Capability
capability 是 Adaptive 应用程序身份的一个属性。对 AUTOSAR 资源(例如,服务接口)的访问仅在请求 AA 拥有该特定资源必须具备的所有功能的情况下才被授予。在定义 Application Manifest 时,开发者为每个应用分配对应的 Capability。拥有对此资源所必须的所有功能时,才被允许访问(granted)。
03.AUTOSAR IAM
身份和访问管理(IAM)的作用是确保只有合法授权的身份能够访问适当的资源。在 AUTOSAR AP 的场景下,身份指的是自适应应用程序或它们所在的主机,资源指的是 AP 内部的功能集群 API 所提供和开放的任何功能。更广义地说,IAM 应该提供一个涵盖了流程、策略和技术的框架,通过身份验证和访问控制来管理身份和资源。
3.1 IAM 的职责
IAM 的职责不仅限于访问控制,还包括身份验证、授权、安全性、合规性以及审计和报告等方面。通过管理身份和访问权限,IAM 有助于提高 AUTOSAR Adaptive 平台的整体安全性,防止未经授权的访问,并在整个系统中执行安全策略。同时,IAM 还可以帮助满足法规和合规要求,确保系统的服务和资源得到安全管理。
在 AUTOSAR Adaptive 标准中,身份和访问管理(IAM)解决了几个关键问题:
1. 身份验证:IAM 确保只有经过身份验证的用户或系统才能访问某些服务和资源。它在授予对 AUTOSAR Adaptive 平台资源的访问权限之前验证用户或服务的身份。
2. 授权:在身份验证之后,IAM 通过执行策略和检查权限来管理经过身份验证的用户或服务的操作权限。它根据用户角色和预定义规则控制对系统不同部分的访问。
3. 安全性:通过管理身份和访问权限,IAM 有助于提高 AUTOSAR Adaptive 平台的整体安全性。它有助于防止未经授权的访问,并可以在整个系统中执行安全策略。
4. 合规性:IAM 还可以通过确保对系统组件和服务的访问得到适当控制和监控,帮助满足法规和合规要求。
5. IAM 授权:IAM 使用授权来定义哪些用户或用户组可以访问 AUTOSAR Adaptive 平台内的某些资源,以及他们可以对这些资源执行哪些操作。
6. 审计和报告:IAM 解决方案通常提供审计访问和系统更改的功能,这对于安全审计和了解系统在任何给定时间的状态至关重要。
在 AUTOSAR Adaptive 的具体背景下,IAM 对于确保系统的服务和资源得到安全管理至关重要,尤其是在车辆变得更加互联和依赖软件的情况下。它对于应对现代汽车系统日益复杂的连接性要求和挑战至关重要。
3.2 IAM 的处理流程
IAM 就是做了一个访问权限的管理。一个客户端去访问一个服务,会先判别这个客户端是否有权限去访问这个服务在熟悉访问控制的流程之前,我们先重点了解这样几个核心概念:
策略决策点 (Policy Decision Point PDP):
策略决策点 (PDP) 是一个逻辑组件,它根据访问控制策略来决定应用是否被允许执行请求的操作。PDP 会根据请求者的身份信息、意图信息以及资源的访问控制策略,返回一个访问控制决策给策略执行点 (PEP)。
PDP 可以通过多种方式定义和实现访问控制策略,例如:
1.基于角色的访问控制 (RBAC)
2.基于属性的访问控制 (ABAC)
3.基于代码的访问控制
PDP 可以作为一个独立的服务存在,也可以作为一个边车与应用程序组件一起运行。
策略执行点 (Policy Enforcement Point PEP):
策略执行点 (PEP) 在应用提出请求时,会中断控制流,向 PDP 请求访问控制决策,并根据 PDP 返回的决策进行相应操作。PEP 的作用是在应用程序中拦截访问请求,并将请求的身份信息和意图信息发送给 PDP,以获取访问控制决策。
- 如果决策是允许,PEP 将请求转发给目标对象。
- 如果决策是拒绝,PEP 将返回一个错误信息给请求者。
PEP 可以存在于应用程序的任何地方,例如 API 网关、微服务、前端等,只要需要保护数据和资源,或者应用授权逻辑的地方。
Capability :
它是应用身份信息的一个属性。在定义 Application Manifest 时,开发者为每个应用分配对应的 Capability 。只有当发出请求的应用,拥有对此资源所必须的所有功能时,才被允许访问 (granted) 。
IAM 处理流程如下:
IAM 的核心组件包括策略执行点(PEP)和策略决策点(PDP)。PEP 负责拦截并判断访问请求,而 PDP 则负责根据访问控制策略做出决策。当自适应应用程序(如 Application “X”)提出资源访问请求时,PEP 会中断控制流,并通过 EM 获取请求者的身份信息。然后,PEP 将请求者的身份信息和请求参数传递给 PDP。PDP 根据应用的 Capabilities(能力)是否充分来检查请求,并返回一个访问控制决策给 PEP。PEP 根据这个决策来执行访问控制,即允许或拒绝请求。
3.2.1 获取应用的身份信息
在 IAM 的处理流程中,获取应用的身份信息是一个关键步骤。这通常涉及进程间通信(IPC)机制,以及现代操作系统和平台软件提供的身份识别支持。EM 模块根据模型信息创建自适应应用的运行实例,并负责追踪运行进程的属性,包括应用的进程标识符(PID)等。然后,EM 将这些身份信息提供给 PEP,以便 PEP 能够向 PDP 请求访问控制决策。
此过程涉及以下几个关键方面:
1. 进程间通信(IPC)
应用程序使用进程间通信机制发起请求,因此,相应的中间件(应用程序平台,AP)必须能够识别请求来源的应用。
2. 身份识别支持
现代操作系统及平台软件通常具备识别通信双方身份的能力,例如在 Linux 中可以使用SO_PEERCRED或getpeerid(),以及在 QNX 中的消息传递机制。
3. 执行管理(EM)模块
EM 模块根据模型信息创建自适应应用的运行实例,并负责追踪运行进程的属性,包括应用的进程标识符(PID)。此外,这些身份属性还可以是分配的用户标识(UID)、密钥或 UUID。
4. 身份信息提供
EM 需要将请求资源的应用身份信息提供给 PEP(如自适应应用标识 AAID)。PEP 作为自适应基础架构的一部分,必须与应用程序隔离,以确保安全。
5. 主体与对象
主体(Subject):是请求访问资源的对象,通常是系统中运行的进程或其一部分。
对象(Object):是主体希望控制或访问的资源,这可以是另一个进程(如服务 A)或具体资源。
6. 能力(Capability)
在系统中,能力通过清单文件(manifest)定义。这个能力明确了哪些应用或服务可以访问特定资源,部署到系统时提供所需的权限配置。
Manifest 文件编写思路
编写 Manifest 文件时,有两种常见策略:
1. 为每个服务或应用定义能力:直接指定哪些能力与哪些应用或服务相关联。
2. 为每项资源定义可访问的服务:明确哪些服务拥有访问特定资源的权利。
3.3 IAM 模型说明
AUTOSAR AP 中身份和访问管理(IAM)的主要目的是防止一个出错或被入侵的自适应应用程序访问那些不是由应用程序的设计者和集成者预期访问的服务或资源。
在自适应应用程序的设计阶段,预期的访问权限(称为意图 Intent)被建模,并在部署阶段由集成者验证。这种访问权限可以通过访问矩阵表示,矩阵显示了主体对对象的访问权限:
- 主体(Subject):请求访问的实体,通常是系统中运行的进程(或进程的一部分)。
- 对象(Object):应被允许访问的实体(be granted),可以是另一个进程(或进程的一部分)或资源。
横向蓝色框所示,就是上文提到的 Capability。需要通过 manifest 文件的方式部署到系统上。
编写这样的 Application manifest 文件,有两种方法:
- 为每一个服务或应用指定 capabilities;
- 为每一个服务或资源,指定能够访问它们的服务。
IAM 为自适应应用引入了权限分离,并在发生攻击时防止权限提升。此外,IAM 使集成商能够在部署期间提前验证自适应应用请求的资源的访问权限。
访问权限的部署
关于访问权限的信息必须通过清单文件部署到系统中。有两种选择:
1. 为每个应用程序提供对象列表:即该应用程序作为主体的访问权限(意图)。
2. 为每个服务或资源提供访问列表:即所有有权访问该资源的主体列表。
在 AUTOSAR 自适应平台中,意图与自适应应用程序一起部署。主体的可访问对象列表通常是静态的,而对象的访问列表可能会随着新应用程序的部署而更新。
访问权限的执行
在运行的平台实例上,访问权限需要被执行。以下是执行过程的关键点(如图 4.2):
应用程序 B被允许访问服务 A,因为 B 具备访问 A 的意图。
应用程序 C没有访问服务 A 的意图,因此 PEP 必须阻止 C 对服务 A 的访问。
信息关于意图的存在由策略决策点(PDP)提供。PDP 需要了解主体和对象的身份,以及它们之间的交互细节。
访问控制的逻辑结构
- PDP:决定自适应应用程序是否被允许访问资源的实体。
- PEP:执行 PDP 提供的访问控制决策的实体。为了限制对应用程序接口的访问,PEP 需要被实现,以便在自适应应用程序请求访问时与 PDP 进行通信。
访问控制决策基于请求和应用程序的意图返回给 PEP。所需的信息来自自适应应用程序的清单文件,其中定义了意图和策略。策略代表了适用于接口的规则,自适应应用程序必须满足这些条件才能获得访问权限。
安全性考虑
为了防止攻击者滥用访问模型,必须注意以下几点:
- 清单中的意图必须经过验证,攻击者在入侵后不应能更改应用程序的意图以获得更高的访问权限。
- 策略执行必须在主体之外进行,确保被攻击的应用程序无法绕过 PEP。PEP 不应在请求应用程序的进程上下文中执行。
3.3.2 AUTOSAR AP 中的跨平台访问管理
当访问主体和资源位于不同的平台上时,每个平台都需维护自己的访问清单(manifest),这就导致了配置上的冗余。具体来说,当应用程序 B 试图访问应用程序 A 时,两个不同平台的 PEP 都需要对访问请求进行评估。然而,在以下情况下,这种冗余配置就显得必要:
- 应用 B 访问 A:若 B 所在的平台允许其访问 A,且 A 所在的平台也允许 B,则访问成功。
- 应用 C 访问 A:如果 C 在第一个平台的 PEP 已经拒绝其访问请求,但该平台可能缺乏 IAM 保障,这时第二个平台的 PEP 仍可以阻止 C 的访问。在此情况下,跨平台访问确保了对服务的安全控制。
因此,每个平台不仅需维护自身的 manifest,还需有一个额外的 manifest,包含有关跨平台访问和权限控制的信息。
3.3.3 通信管理的 IAM
通信管理的访问控制允许限制本地应用程序或远程主体(例如,远程 ECU)请求访问的服务实例和元素。实施访问控制可以减少被入侵应用程序(在本地 IAM 情况下)或被入侵 ECU(在远程 IAM 情况下)可能造成的潜在损害。
所有通信管理的访问权限都是通过 ComGrant 模型元素进行建模的。ComGrant 可用于建模适用于机器本地进程或远程主体的访问权限。
访问控制的类型:本地访问控制和远程访问控制。
04.如何配置 IAM 框架?
在配置 IAM 框架时,需要经历设计阶段、配置阶段和运行阶段。在设计阶段,主要目的是定义 IAM 的策略和结构,包括确定身份类型、资源分类、能力定义以及访问控制策略等。在配置阶段,需要实际设置 IAM 所需的控制和策略,包括配置显式 IPC、部署配置文件以及确定环境变量等。在运行阶段,系统根据预先配置的 IAM 策略和权限来控制对资源的访问,包括验证身份、处理访问请求、执行决策以及监控和审计等活动。
4.1 设计阶段
在身份和访问管理(IAM)的设计阶段,主要目的是定义 IAM 的策略和结构,包括确定身份类型、资源分类、能力定义以及访问控制策略等。这个阶段包含以下几个关键步骤:
1) 定义身份
确定系统中使用的身份类型,例如自适应应用、宿主和用户等。这有助于明确哪个实体在访问哪些资源。
2) 资源分类
对需要受到保护的资源进行识别与分类,比如服务接口、API 及其功能。这为后续的访问控制提供了基础。
3) 授权设计的建模
在授权设计的建模过程中,涉及两个层次:
1. GrantDesign:在设计阶段预先定义授权的结构。每个授权都是针对特定进程的,这意味着即使是从同一可执行文件生成的进程,也可以拥有不同的授权。GrantDesign 元类是设计层授权的基础,能够构建供特定进程使用的授权集合,从而确保系统中每个特定功能的获取与提供都建立在明确的安全性和设计意图之上。
2. Grant:在平台级别对授权的最终和实际规格的定义。Grant 确保在执行时能够准确地实施预先设计的授权策略。
子类如 ComOfferServiceGrantDesign 进一步细化了授权的定义,确保在 AUTOSAR 自适应平台的通信过程中,特定服务的提供权限得到清晰的规定和管理。
4) 定义访问控制策略
在应用程序的 manifest 文件中定义访问控制策略和明确不同身份对资源的访问权限。这些策略将决定哪些应用程序可以访问哪些资源。
5) 设计访问控制模型:
选择适合的访问控制模型(如基于角色的访问控制 RBAC 或基于属性的访问控制 ABAC)来实施策略。
在 IAM 的处理流程中,策略执行点(PEP)需要了解应用程序的身份,以便向策略决策点(PDP)请求访问决策。应用程序的资源请求通常通过进程间通信(IPC)来实现,因此中间件必须具备识别请求来源的能力。
为验证身份,现代操作系统和平台软件能够支持识别通信双方的 ID。例如,Linux 可以使用 SO_PEERCRED、getpeerid(),而 QNX 支持消息传递。
4.2 配置阶段
在身份与访问管理(IAM)中,软件设计者通过定义意图(如 ClientComSpec.clientIntent)来表达其在应用程序中对特定 API 的使用或放弃意图。这种意图的定义是 IAM 的一个方面,而 IAM 的另一个方面则是平台软件所授予的具体权限配置。
在授权设计的建模过程中,涉及两个层次:首先是 GrantDesign,它在设计阶段预先定义授权的结构。每个授权都是针对特定进程的,这意味着即使是从同一可执行文件生成的进程,也可以拥有不同的授权。其次是 Grant,它是在平台级别对授权的最终和实际规格的定义。
GrantDesign 元类是设计层授权的基础,具有构建可供特定进程使用的授权集合的能力。在设计层次,授权结构得以明确定义,确保系统中每个特定功能的获取与提供都建立在明确的安全性和设计意图之上。
配置阶段涉及实际设置 IAM 所需的控制和策略,具体步骤包括:
配置显式 IPC:
定义进程间通信(IPC),以确保本地或远程访问控制能够正常工作。
为了防止未经授权的实体访问通信服务,实施了本地 IAM。本地 IAM 允许对特定资源进行特定的访问控制,使用以下 ComGrants:
- ComEventGrant:允许进程订阅服务接口的事件。
- ComFieldGrant:允许进程获取/设置/通知服务接口的字段。
- ComFindServiceGrant:允许进程查找服务。
- ComMethodGrant:允许进程执行服务接口的方法。
- ComOfferServiceGrant:允许进程请求提供服务实例。
部署配置文件
要使用本地 IAM,第一步是配置显式 IPC。然后为客户端/服务器实例配置 ComGrants 并启用本地 IAM(参见第 4.11.5 节)。最后,部署配置的.bin 文件和运行参数给 arapipcd,如下所示:
- "--use-iam"选项
- iam___flatcfg.bin
参数“--use-iam”直接传递给正在运行的 arapipcd 守护进程。
rb-exmd 负责传递此选项。iam___flatcfg.bin 的位置由环境变量 ECUCFG_ENV_VAR_ROOTFOLDER 确定。
确定环境变量:
设置环境变量(如ECUCFG_ENV_VAR_ROOTFOLDER),以便能够正确定位 IAM 配置文件。
Grants 示例:
一个服务接口有两个事件,一个服务器实例和一个客户端实例。
interface CM_Event namespace etas.com {
event ev1 of uint_8
event ev2 of uint_8
}4.3 运行阶段
在运行阶段,系统根据预先配置的 IAM 策略和权限来控制对资源的访问,包括验证身份、处理访问请求、执行决策以及监控和审计等活动。
- 验证身份:确保请求访问的应用程序或用户是经认证的。
- 访问请求:当应用程序尝试访问资源时,PEP(策略执行点)向 PDP(策略决策点)发出请求,询问访问权限。
- 决策执行:PDP 根据配置的策略和能力检查访问请求的合法性,并返回允许或拒绝访问的决策。
- 资源访问:根据 PDP 的决策,PEP 执行相应的操作,允许或拒绝访问请求的资源。
- 监控和审计:监控访问活动,确保能够记录和审查操作,以识别潜在的安全问题或访问异常。
05.小 结
5.1 IAM 如何获取应用身份信息
在上述的 IAM 处理流程中,为了向 PDP 策略决策点请求决策返回值,PEP 策略执行点需要知道应用的身份,是谁在请求资源。应用作出请求都是通过进程间通信(Inter Process Communication)完成的,所以 AP 中间件需要支持能够识别出是哪个应用的请求的功能。
一般地,识别身份这个功能,和操作系统以及平台软件非常相关,大多数现代操作系统都支持识别通信双方的 ID(例如 SO_PEERCRED in Linux, getpeerid(),或者 Message Passing in QNX)。
EM 模块会根据 arxml 的信息,去创建 Adaptive 应用的运行实例,所以 EM 也需要去负责追踪运行进程的属性,也即正在运行的应用的 PID。当然这个属性也可以是一个分配的 UID,一个 key,或者 UUID。
EM 需要给 PEP 提供提出资源访问请求的应用的身份信息。
PEP 作为 Adaptive Foundation 实现,需要与应用做隔离。如果某一个应用就是想被请求的资源本身,那么 PDP 不能由这个应用来提供。
5.2 PDP 和 PEP 在访问控制决策过程中如何交互?
1. PDP 和 PEP 的交互过程:
- 在访问控制决策过程中,PEP 首先拦截自适应应用程序的资源访问请求。
- PEP 随后向 PDP 发送请求,包括请求者的身份信息和意图信息。
- PDP 根据访问控制策略检查请求者的 Capabilities,并返回一个访问控制决策给 PEP。
- PEP 根据 PDP 的决策执行相应的操作,允许或拒绝访问请求的资源。
2. PEP 的作用:
- PEP 是策略执行点,负责在应用程序中拦截访问请求。
- PEP 将请求的身份信息和意图信息发送给 PDP,以获取访问控制决策。
- PEP 根据 PDP 的决策执行访问控制,允许或拒绝访问请求。
3. PDP 的作用:
- PDP 是策略决策点,负责根据访问控制策略做出决策。
- PDP 检查请求者的身份信息和意图信息,以及目标对象的访问控制策略。
- PDP 返回一个访问控制决策给 PEP,决策结果决定了是否允许访问请求。
如何理解 IAM 中的“身份”和“资源”?
1. 身份:
- 身份是指自适应应用程序的一些属性,访问控制是根据这些属性来进行的。在远程 IAM 的情况下,身份也可以指远程 ECU 的一些属性,访问控制也是根据这些属性来进行的。
- 在 AUTOSAR Adaptive 平台的上下文中,身份指的是自适应应用程序或其宿主。
2. 资源:
- 资源是指属于 IAM(身份和访问管理)范围的接口,如服务接口、加密密钥槽、加密证书等。
- 在 AUTOSAR Adaptive 平台的上下文中,资源指的是自适应平台中功能集群 API 所支持和公开的任何功能。
5.3 如何根据 IAM 中的身份进行访问控制?
IAM 中的身份进行访问控制的过程如下:
1. 身份识别:
- 当一个自适应应用程序(或远程 ECU)尝试访问某个资源时,IAM 首先需要识别该请求者的身份。这通常涉及进程间通信(IPC)机制,中间件能够识别请求来源的应用。
2. 获取身份信息:
- 策略执行点(PEP)会中断控制流,并通过执行管理(EM)模块获取请求者的身份信息。这些信息包括应用的进程标识符(PID)、用户标识(UID)、密钥或 UUID 等。
3. 请求访问控制决策:
- PEP 将请求者的身份信息以及请求参数传递给策略决策点(PDP)。PDP 根据应用的 Capabilities(能力)、意图信息以及资源的访问控制策略,来做出一个访问控制决策。
4. 执行决策:
- PDP 将访问控制决策返回给 PEP。如果决策是允许,PEP 将请求转发给目标资源;如果决策是拒绝,PEP 将返回一个错误信息给请求者。
5. 能力检查:
- 在访问控制决策过程中,PDP 会检查应用是否具有访问所请求资源所必需的所有能力(Capability)。这些能力在应用的清单文件(Manifest)中定义,并在部署阶段由集成者验证。
6. 意图匹配:
- 除了能力检查外,PDP 还会检查应用的意图是否与所请求资源的访问控制策略相匹配。意图是应用的一种属性,表示应用请求的访问类型或对资源的操作。
7. 访问控制策略:
- 访问控制策略是针对调用的目标(如服务接口)制定的,用于说明访问这些接口需要具备哪些身份信息。这些策略在应用的清单文件中定义,并作为 IAM 框架的一部分来实施。
通过这一系列步骤,IAM 能够根据自适应应用程序(或远程 ECU)的身份进行访问控制,确保只有合法授权的身份能够访问适当的资源。
总的来说,IAM 是 AUTOSAR Adaptive 平台中不可或缺的一部分,通过管理身份和访问权限来确保系统的安全性和合规性。随着车辆变得越来越互联和依赖软件,IAM 的重要性也日益凸显。通过合理配置和有效实施 IAM 策略,可以显著提高 AUTOSAR Adaptive 平台的安全性和可靠性,确保在不断发展的汽车技术环境中保持数据和操作的安全。
参考文献:
[1] Specification of Manifest AUTOSAR AP R24-11
[2] Explanation of Identity and Access Management
[3] Requirements on Identity and Access Management
[4] ETAS RTA-VRTE UserGuide
END
作者:刘向
来源:汽车电子与软件
推荐阅读:
更多汽车电子干货请关注汽车电子与软件专栏。欢迎添加极术小姐姐微信(id:aijishu20)加入技术交流群,请备注研究方向。)
