目录
HSM指Hardware Security Module,它是一种有自己独立的CPU、密码算法硬件加速器、独立Flash等,用于生成、存储和管理加密密钥,以及执行加密运算和安全操作。
HSM通常包含硬件隔离、加密芯片、随机数生成器等安全组件,能够提供高级的安全保护,防止密钥泄露和恶意攻击。
在车规MCU里,一般有三家的HSM方案:
英飞凌的HSM\SHE+
瑞萨的ICU
恩智浦的HSE/CSE
TEE 可信执行环境是在车载零部件的开放系统 REE(Rich Execution Environment,例:Linux、Android、AUTOSAR、RTOS 等系统)上,创建一个可信的、独立的、物理隔离的执行空间,即隔离的安全屋。安全资产不出可信域,例如密钥证书、核心逻辑等安全资产,TEE 整体架构和提供的基础服务如下图。
TEE 是基于硬件隔离技术的软实现,
HSM 是基于硬件设备的硬实现,
一下列出了各自的技术特点和应用场景。
TEE:
生态开放,易于扩展
应用安全:远程控车 / 充电桩 /OTA 加固等;
软件实现,降低成本
安全存储:业务证书密钥 / 隐私数据 / 重要数据等;
规范接口,易于移植
生物识别:指纹、人脸、声纹、视频等保护;
动态空间,按需提供
金融支付:支付应用 / 电子证明 / 区块链等;
基于硬件,限于硬件
其他业务:数字版权保护 / 可信 UI/ 设备认证 / 安全通信;
HSM:
硬件算力,性能较高
安全通信:车内外通信,例 TLS、SecOC 等;
独立硬件,安全性高
密钥保护:根证书 / 共享密钥等;
硬件空间,小而固定
安全启动:镜像保护等;
技术成熟,生态完善
安全日志:文件加密等。
TEE 和 HSM 既可各自独立地应用于车端的各个零部件,也可结合起来共同打造更安全的方案,满足更高的车规级安全需求,安全性可达到金融级别的 CC EAL5+。
在本方案中,HSM 挂载在 TEE 下,应用都需经过 TEE 访问 HSM。车企相关的根证书密钥等都可保存在 HSM,业务相关的证书密钥、用户数据等可保存在 TEE,安全扩展业务都可运行在 TEE,TEE 和HSM 相结合的具体方案请参考下图。
TEE和HSM的结合安全方案关于 TEE 和 HSM 的证书密钥的产线方案建议如下:
HSM 的证书密钥导入导出:(根证书等)
方式 1:委托HSM 提供商实施(建议)。
方式 2:通过TEE 和 TEE 的产线工具实现。
TEE 的证书密钥导入导出:(业务证书等)
离线:在本地通过 TEE 的产线工具和加密狗实施。
在线:通过网络连接后台实施,需要借助 TEE 产线工具。
根据整车各零部件的安全需求,结合 TEE 和 HSM 各自的技术特点,为整车共建安全基础能力,TEE 和 HSM 在车端的分布建议如下
图7.5-3 车端的安全基础能力分布图
安全基础能力建设思路
安全基础能力扩展思路
实际应用
本方案可满足车载合规和纵深防御的安全基础能力需求,根据各种应用场景,充分利用 TEE 和 HSM 技术互补特点,既可单独使用,又可结合使用。为整车和零部件的安全架构设计提供了更多的选择方案, 也能解决车企安全合规的部分痛点。
在实际开发中,无法使用 HSM 的场合下,可以启用 TEE 满足安全需求。
在安全业务中,TEE 是HSM 有益的补充,TEE 可提供业务逻辑保护、外设保护、可信界面、面向海外智能座舱系统的数字视频版权保护等功能,更为车载的数据安全解决方案提供了技术支撑。
在安全和性能方面,HSM 具有更高的安全和性能。TEE 在安全扩展能力方面更具有优势。
可根据具体架构环境,采取 TEE 和 HSM 相融合的方式,取长补短,保护车载安全资产。本方案考虑今后智能车载的安全需求,安全能力支撑由原来的单点逐步扩展为多点,以满足不断增 长的车载安全业务,这不仅仅为了满足合规要求,更为了构建车载整体安全防御体系提供了底层技术支撑。俗语称 “九层之台, 起于累土” ,只有构筑好车载安全基础能力,车载整体安全才能成为可能