全部学习汇总: https:///GreyZhang/hack_autosar
继续学习AUTOSAR,这一次完成安全扩展部分的梳理。
将安全要求分配给 AUTOSAR 元素
将安全要求分配给 AUTOSAR 元素是通过 AdminData 块中指向 AUTOSAR 元素的引用来表示的。 对于每个分配引用,一个 sdx 引用应列在名为 gid=”ALLOCATION”的组合 Sdg 元素中。
将安全要求直接分配给 AUTOSAR 元素的另一种方法是首先映射到安全措施(如果适用),然后映射到 AUTOSAR 元素。 例如,可以将确保安全通信的安全要求映射到“端到端保护”安全机制,该机制又分配给端到端配置文件。
将安全要求映射到安全措施
将安全要求分配给安全措施应映射到 Sdg 元素(在 AdminData 块中)中的 sdx 引用,名称为 gid=”MAPS_TO”,其中包含对安全措施的 sdx 引用。
作为完全等效的替代方案,安全机制可能包含一个到安全要求的反向链接,它将实现:
映射关系的替代关系
映射关系应通过从安全措施到安全要求的跟踪关联来表示。 轨迹的方向具有语义“实现”。
为 AUTOSAR 元素分配安全措施
安全措施到一个(或多个)AUTOSAR 元素的映射应在包含名为 gid=”ALLOCATION”的 Sdg 的 AdminData 中表达,其中包含对 AUTOSAR 元素的 sdx 引用。
从 AUTOSAR 元素的角度来看,分配链接具有实现(或满足)语义:元素必须实现所有分配的安全要求和定义的安全机制。 因此,本规范通过实现关系为这些关系提供了完全等效的替代方案:
实现AUTOSAR元素的关系
安全要求或安全措施的分配可以通过实现引用来表示。 该引用应作为 Sdg 数据添加到具有属性 gid=”REALIZES”的元素的 AdminData 部分。 XML 内容应包含一个 Sd 元素,其中包含一个 sdx 引用列表,引用分配的安全要求。
7 安全措施
系统的安全是通过在开发过程的各个阶段应用的安全措施和以多种技术实施到系统中的安全机制来实现的。 本规范出于多种原因考虑了超出纯 AUTOSAR 软件堆栈范围的安全措施:
• 软件安全通常依赖(外部)硬件机制来实现其安全完整性,例如内存保护和分区、ECC/EDC、锁步模式、外部看门狗等。在实现过程中,这些上下文相关性应该是任何软件的“运行时契约”的明确组成部分,而不仅仅是隐式通信。
• 错误检测和错误处理通常涉及软件和硬件之间的复杂交互,从监控到中断和处理程序,再到执行器的关闭路径。 因此,任何软件安全机制都应了解硬件所隐含的技术环境、系统级别的安全状态、潜在故障和约束。
• 软件集成需要验证安全机制的有效性。 如果软件规范说明实施了哪些安全机制或采取了哪些措施,一致性检查和(半)自动验证就成为可能,从而减少系统故障。
• 最后,任何软件都会受到其运行的硬件/平台的影响。 理解和避免(系统性)故障只有在系统级别的安全机制被记录、可访问和被实施者充分理解的情况下才有可能。
AUTOSAR 已经提供了许多可用于实现安全软件的安全机制和功能,例如端到端保护、程序流监控、看门狗管理器等(有关概述,请参见 [4])。 这些特征可用作 [TPS_SAFEX_00305] 映射的目标。 请注意,除了本节中的要求外,本规范未对文本描述指定任何约束。
安全措施或安全机制的定义
安全措施(或安全机制)应描述为 TraceableText。 类别属性应分别用 SAFETY_MEASURE 或 SAFETY_MECHANISM 标记文本块。
安全措施的唯一标识符
安全措施/机制应接收一个作为 shortName 的唯一标识符。 ID 在 AUTOSAR 项目范围内应是唯一的。
这部分梳理了安全需求以及安全测量的方法。到此为止,关于模板部分的安全扩展相关的内容看完了。
