Professional Articles

Schlüsselfertige Entwicklungsplattform und sicheres Gateway für Automotive Connectivity

Mit der Secure Automotive Connectivity Platform (SACoP) hat SYSGO ein vollständig integriertes Software-Framework zum sicheren Datenaustausch vernetzter Fahrzeuge entwickelt. Dazu gehören Fahrzeug-zu-Fahrzeug (V2V) und Fahrzeug-zu-Infrastruktur (V2X) sowie die interne Kommunikation im Fahrzeug. Die Plattform garantiert Informationssicherheit, indem sie den Datentransfer durch strikte Kapselung und Trennung aller Kommunikationskanäle schützt. Diese Partitionierung wird durch einen sicheren Boot-Prozess, ein integriertes Intrusion Detection System und eine Firewall ergänzt.

Die Plattform nutzt die Hypervisor-Technologie des Echtzeit-Betriebssystems (RTOS) PikeOS von SYSGO, die es ermöglicht, kritische und unkritische Infrastrukturen gleichzeitig in einem System zu betreiben. Durch seine Ressourcen- und Zeitpartitionierung erfüllt PikeOS alle wesentlichen Anforderungen an Determinismus und Echtzeit und bietet damit die Möglichkeit funktionell sichere Systeme zu bauen. PikeOS kann kleine Programme bis hin zu ganzen Betriebsystemen sicher getrennt virtualisieren. Als Typ-1-Hypervisor läuft PikeOS direkt auf der eingebetteten Hardware und macht das Gesamtsystem so leistungsfähig wie möglich. Zudem unterstützt PikeOS zertifizierbare Multicore-Designs.

Durch die Vereinigung von Echtzeitfähigkeit und Hypervisor-Funktionalität in PikeOS zur Ausführung von Anwendungen in streng getrennten Partitionen können insbesondere sicherheitskritische Anwendungen in einem vorgegebenen Zeitrahmen ungestört ausgeführt werden. Die Plattform ist mit dem Separationskernel Version 4.2.3 (Build S5577) nach dem Sicherheitsstandard Common Criteria EAL3+ und dem Sicherheitsstandard ISO 26262 für die Automobilindustrie vorzertifiziert und ist zertifizierbar bis ASIL-D. So wird bei der Planung der Softwarearchitektur nur ein einziges Hardwaresystem benötigt, was die Entwicklungs- und Produktionskosten reduziert und die Markteinführung beschleunigt. Die Plattform bietet ein flexibles Software-Framework, das Kunden bei der Gestaltung ihrer Softwarearchitektur zur Sicherung von Kommunikation und Updates unterstützt.

Das Gateway, das verschiedene Protokolle unterstützt (4G/5G), ermöglicht eine Vielzahl von Anwendungen, wie z.B. Over-the-Air-Updates von Anwendungen ohne Besuch einer autorisierten Werkstatt, V2X-Kommunikation, Konnektivität zum Cloud Backend oder Upload von Wartungsdaten. Die Aktualisierung von Software- und Firmware-Komponenten des gesamten Systems erfolgt mittels sicherer Kommunikation über FIPS-zertifiziertes Transport Layer Security (TLS). Dabei werden sämtliche Update-Dateien digital signiert, um Manipulation sicher zu verhindern.

Intern wird ein für die Fahrgäste eingerichteter WLAN-Hotspot durch die Firewall der Plattform geschützt. Das interne Netzwerk des Fahrzeugs (Ethernet, CAN) ist getrennt und kann nur über sichere und überwachte Kanäle erreicht werden. Das Gateway unterstützt Virtual Local Area Networks (VLAN).

Security im Mittelpunkt

Die Plattform verwendet einen sicheren Boot-Mechanismus. Kryptographie und Speicherung werden durch ausführbare Binärdateien und Konfigurationsdateien unterstützt, die ebenfalls digital signiert und auf einem sicheren Certified File System (CFS) gespeichert werden. Das Network Intrusion Detection System (IDS) des Gateways befindet sich in einer separaten Partition, die den Netzwerkverkehr überwacht. Die Isolierung unterschiedlicher Anwendungen in einzelnen Partitionen erhöht dabei nicht nur die Sicherheit, sondern vereinfacht auch das Lizenzmanagement.

Einer der großen Vorteile der Virtualisierung liegt darin, dass neue Funktionen nicht nur bei Modelländerungen, sondern auch bei bereits genutzten Fahrzeugen möglich sind. Dabei wächst die Liste der gewünschten Funktionen von Jahr zu Jahr. Dies erfordert in der Regel die Kombination vorhandener Softwarekomponenten mit völlig neuen und teilweise inkompatiblen APIs (Application Programming Interfaces). Die Aufrechterhaltung einer stabilen Softwarebasis bei gleichzeitiger Fähigkeit, den Wünschen der Endbenutzer zu folgen, ist eine Herausforderung. An dieser Stelle kommt die Virtualisierung ins Spiel. Die Konnektivitäts-Plattform SACoP ist durch Hinzufügen einer beliebigen Anzahl von Partitionen mit Gastbetriebssystemen leicht erweiterbar, ohne die Sicherheit zu beeinträchtigen. Die Plattform unterstützt die Integration unterschiedlicher Gäste mit zusätzlichen Anwendungen, darunter PikeOS nativ, POSIX, Linux (generisch mittels Hardware-Virtualisierung), AGL (Automotive Grade Linux) und ELinOS, SYSGOs robuste Embedded Linux Distribution.

Entwicklungs- und Konfigurationswerkzeuge

Die Entwicklung eingebetteter Anwendungen für ein partitioniertes System erfordert eine leistungsfähige Cross-Toolchain: Gut durchdachte und einfach zu bedienende Konfigurationswerkzeuge, Remote-Debugging mit OS-Awareness (Thread-Zustände, virtuelle Adresszuordnungen usw.), Remote-Anwendungsbereitstellung und Timing-Analyse-Tools. Mit der Eclipse-basierter Entwicklungsumgebung CODEO, bietet SYSGO ein mächtiges Entwicklungswerkzeug für eingebettete Systeme, das wegen seiner Basis bereits große Akzeptanz unter Entwicklern genießt und den gesamten Entwicklungszyklus von frühen Simulations-/Emulationswerkzeugen bis hin zu Software-Update-Mechanismen für eingesetzte Systeme abdeckt.

Eine typische Implementierung der SACoP-Plattform besteht z.B. aus einem STM Telemaco3P-Prozessor und einem R-CAR H3-Board von Renesas. Das Renesas-Board realisiert ein digitales Cockpit-Display auf Basis von Automotive Grade Linux (AGL) und ein Infotainmentsystem (IVI) im Fahrzeug. Der Telemaco 3P-Prozessor ist die Hardwarebasis für das sichere Gateway, das die Verbindung zur Außenwelt herstellt. Es wird auch zur Versorgung von Tablets und Smartphones der Passagiere mit Internetzugang eingesetzt. Die Software basiert auf PikeOS zusammen mit ELinOS, der robusten, langfristig unterstützten und automobiltauglichen Linux-Distribution von SYSGO.

More information at www.sysgo.com/elinos