車內(nèi)信息娛樂應(yīng)用程序由于與外界互聯(lián)網(wǎng)相連，因此被入侵的風(fēng)險(xiǎn)很高，像這類應(yīng)用程序在設(shè)計(jì)時(shí)一定是不被允許使用車身控制相關(guān)服務(wù)的。例如信息娛樂系統(tǒng)被外界攻擊，然后被遠(yuǎn)程控制去使用制動(dòng)服務(wù)，為了保障安全，必須要阻止這種信息娛樂應(yīng)用程序?qū)χ苿?dòng)服務(wù)訪問的任何嘗試。日益增長的信息安全需求驅(qū)動(dòng)了身份和訪問管理（IAM）的概念，因?yàn)?AUTOSAR Adaptive 平臺(tái)需要和應(yīng)用程序建立健壯和良好定義的信任關(guān)系。IAM 為 Adaptive 應(yīng)用程序引入了特權(quán)分離，并針對(duì)攻擊時(shí)的特權(quán)升級(jí)提供了保護(hù)。另外，在部署期間，IAM 能夠使集成者提前驗(yàn)證 Adaptive 應(yīng)用程序要求的資源訪問權(quán)限。IAM 為來自適應(yīng)應(yīng)用程序?qū)Ψ?wù)接口，Adaptive 平臺(tái)基礎(chǔ)功能簇和相關(guān)模型資源的的請求提供了訪問控制框架。IAM 框架為 AUTOSAR Adaptive 平臺(tái)堆棧和 Adaptive 應(yīng)用程序的開發(fā)人員提供了一種機(jī)制，這種機(jī)制用于對(duì)每個(gè)應(yīng)用程序的意圖進(jìn)行建模，根據(jù)訪問請求提供訪問控制決策，并執(zhí)行控制訪問。IAM 側(cè)重于提供方法來限制 Adaptive 應(yīng)用程序?qū)?Adaptive 平臺(tái)基礎(chǔ)接口、服務(wù)接口與功能集群相關(guān)的明確資源接口 ( 例如 KeySlots) 的訪問。特別對(duì)系統(tǒng)資源 ( 如 CPU 或 RAM) 的強(qiáng)制配額不包括在 IAM 中。在運(yùn)行期間，IAM 的進(jìn)程對(duì) Adptive 應(yīng)用程序是透明的，除非請求被拒絕并發(fā)出通知。遠(yuǎn)程 Adap- tive 平臺(tái)提供的服務(wù)實(shí)例請求由 IAM 覆蓋的，傳入請求的 PDPs 必須由 Adaptive 應(yīng)用程序?qū)崿F(xiàn)。該框架旨在運(yùn)行期間執(zhí)行對(duì) AUTOSAR 資源的訪問控制。假設(shè) Adaptive 應(yīng)用程序?qū)⒃趩?dòng)時(shí)進(jìn)行身份驗(yàn)證，并且現(xiàn)有受保護(hù)的運(yùn)行時(shí)環(huán)境確保 Adaptive 應(yīng)用程序被正確隔離，并且防止它們的特權(quán)升級(jí) ( 例如繞過訪問控制 )。
考慮一個(gè)簡單的應(yīng)用場景，對(duì)于訪問權(quán)限的描述，通?？梢杂靡粋€(gè)訪問權(quán)限矩陣來表示：

圖4.1-7 訪問權(quán)限矩陣訪問權(quán)限矩陣顯示的是訪問主體和訪問客體之間的訪問權(quán)限。所謂訪問主體，是指一個(gè)想要獲得其他服務(wù)訪問權(quán)限的對(duì)象，通常是指系統(tǒng)中的一個(gè)進(jìn)程；所謂訪問客體，是指應(yīng)當(dāng)授權(quán)被訪問的對(duì)象，通常它可以是指系統(tǒng)中的一個(gè)進(jìn)程也可以是系統(tǒng)中的其他資源。訪問權(quán)限相關(guān)的信息需要以清單文件的形式部署在系統(tǒng)中。對(duì)于這份清單文件，有兩種組成形式：第一種，針對(duì)每一個(gè)服務(wù)和應(yīng)用，從訪問權(quán)限主體的角度，列舉每個(gè)訪問主體的訪問意圖，也就是每個(gè) 訪問主體擁有的其他服務(wù)或應(yīng)用程序（訪問客體）的訪問權(quán)限；第二種，針對(duì)每一個(gè)服務(wù)和應(yīng)用，從被 訪問的客體角度，列舉出它支持被哪些其他服務(wù)和應(yīng)用（訪問主體）訪問。對(duì)于訪問主體，通常情況下 它可訪問的客體清單文件是不會(huì)隨著時(shí)間推移而改變；但是對(duì)于一個(gè)訪問客體，它的被訪問清單會(huì)隨著 部署了新的應(yīng)用而更新。

6、KeyM

在一個(gè)加密功能中，密鑰和證書的功能比重很大。首先，密鑰是一種參數(shù)，它是在明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)換為明文的算法中輸入的參數(shù)。許多加密算法需要使用到密鑰，因此，就需要 KeyM 模塊來管理密鑰，而 KeyM 對(duì)于密鑰的管理主要體現(xiàn)在更新和生成密鑰方面。而證書以加密或解密的形式保障了用戶網(wǎng)絡(luò)交流中的信息和數(shù)據(jù)的完整性和安全性。KeyM 模塊可以實(shí)現(xiàn)證書鏈的配置保存與驗(yàn)證，這使得網(wǎng)絡(luò)中的信息和數(shù)據(jù)的安全性更高。AUTOSAR KeyM 模塊由兩個(gè)子模塊組成：密鑰子模塊和證書子模塊。密鑰子模塊用于初始化、更新和維護(hù)的密鑰材料；證書子模塊允許定義和配置證書，以便在生產(chǎn)時(shí)存儲(chǔ)它們，并進(jìn)一步用于多種用途。

圖4.1-8 AUTOSAR layered view with KEYM密鑰子模塊提供了一個(gè) API 和配置項(xiàng)，用于引入或更新預(yù)定義的加密密鑰材料。它充當(dāng)一個(gè)關(guān)鍵客戶端，解釋從一個(gè)關(guān)鍵服務(wù)器提供的數(shù)據(jù)，并創(chuàng)建相應(yīng)的關(guān)鍵材料，這些密鑰被提供給加密服務(wù)管理器。成功安裝密鑰材料后，應(yīng)用程序就能夠進(jìn)行加密操作。證書子模塊提供了對(duì)證書進(jìn)行操作的 API 和配置。允許配置證書鏈，在配置中將證書的屬性和關(guān)系設(shè)置好，上層應(yīng)用通過 API 將證書數(shù)據(jù)傳給 KeyM 后，證書子模塊將根據(jù)配置內(nèi)容及 HSM 按照標(biāo)準(zhǔn)結(jié)構(gòu)解析的證書存儲(chǔ)配置的位置（NVM、CSM 或 RAM）。此外，證書子模塊允許 BSW 模塊和 SWC 在AUTOSAR   軟件架構(gòu)的中心點(diǎn)上更有效地使用證書進(jìn)行操作。此類操作的示例包括驗(yàn)證完整的證書鏈或從運(yùn)行時(shí)提供并驗(yàn)證的證書中檢索元素。所需的加密操作（如驗(yàn)證證書簽名）仍然由加密服務(wù)管理器中定義的相關(guān)加密作業(yè)執(zhí)行。與 CP AUTOSAR 不同，AP AUTOSAR 平臺(tái)的更新和配置、通信、持久性或診斷等服務(wù)，也需要加密服務(wù)作為其功能的一部分。因?yàn)榧軜?gòu)差異的原因，AP  AUTOSAR 平臺(tái)會(huì)將需要用戶自定義、差異性的功 能在應(yīng)用層去實(shí)現(xiàn)，所以應(yīng)用程序可以定義所需的密鑰插槽、加密提供程序和證書。當(dāng)需要關(guān)鍵材料時(shí)， 必須由自適應(yīng)應(yīng)用程序（例如 OEM key manager）配置，平臺(tái)應(yīng)指定槽型機(jī)器的關(guān)鍵槽。為了管理關(guān)鍵材料，一個(gè)專用的自適應(yīng)應(yīng)用程序（密鑰管理器）可以指定相同的密鑰插槽（即相同的參數(shù)和插槽型機(jī)器）。