背景描述

隨著智能網(wǎng)聯(lián)汽車的信息安全縱深防御要求越來越多樣化，不僅會用到 HSM 功能，也會用到 HSM 功能以外的安全擴展能力。但限于現(xiàn)實的軟硬件條件，有不支持或者不能使用 HSM 的場合，這給設計者帶來了很大困擾，為解決這類課題，目前較成熟的可信執(zhí)行環(huán)境 TEE( Trusted Execution Environment ) 技術(shù)，不僅安全性滿足合規(guī)要求，同時其安全擴展能力為解決車載安全課題提供了可能。本文采用 TEE 和 HSM 互補優(yōu)勢，說明如何共筑車載安全基礎能力。

實現(xiàn)概要

1. 概述

TEE 可信執(zhí)行環(huán)境是在車載零部件的開放系統(tǒng) REE（Rich Execution Environment，例：Linux、Android、AUTOSAR、RTOS    等系統(tǒng)）上，創(chuàng)建一個可信的、獨立的、物理隔離的執(zhí)行空間，即隔離的安全屋。安全資產(chǎn)不出可信域，例如密鑰證書、核心邏輯等安全資產(chǎn)，TEE 整體架構(gòu)和提供的基礎服務如下圖。

圖7.5-1 基于TEE實現(xiàn)虛擬HSM功能具體架構(gòu)HSM 是目前車載常用的硬件安全模塊，下圖是 HSM 的三個需求等級的功能，根據(jù)具體的應用場景不同，對 HSM 模塊需求等級也不同。表7.5-1 HSM三個需求等級功能序號基本功能Full HSMMedium HSMLight HSM1RAM 隨機存取存儲器√√可選2NV 非易失性存儲器√√可選3對稱加密加速器√√√4非對稱加密加速器√

5哈希加速器√

6計數(shù)器√√可選7隨機數(shù)生成器√√可選8安全 CPU√√
9輸入輸出組件√√

TEE 和 HSM 技術(shù)特點與主要應用場景

TEE 是基于硬件隔離技術(shù)的軟實現(xiàn)，HSM 是基于硬件設備的硬實現(xiàn)，下表列出了各自的技術(shù)特點和應用場景。表7.5-2 TEE和HSM技術(shù)特點分類技術(shù)特點應用場景

TEE生態(tài)開放，易于擴展應用安全：遠程控車 / 充電樁 /OTA 加固等；軟件實現(xiàn)，降低成本安全存儲：業(yè)務證書密鑰 / 隱私數(shù)據(jù) / 重要數(shù)據(jù)等；規(guī)范接口，易于移植生物識別：指紋、人臉、聲紋、視頻等保護；動態(tài)空間，按需提供金融支付：支付應用 / 電子證明 / 區(qū)塊鏈等；基于硬件，限于硬件其他業(yè)務：數(shù)字版權(quán)保護 / 可信 UI/ 設備認證 / 安全通信；

HSM硬件算力，性能較高安全通信：車內(nèi)外通信，例 TLS、SecOC 等；獨立硬件，安全性高密鑰保護：根證書 / 共享密鑰等；硬件空間，小而固定安全啟動：鏡像保護等；技術(shù)成熟，生態(tài)完善安全日志：文件加密等。

TEE 和 HSM 相結(jié)合的方案

TEE 和 HSM 既可各自獨立地應用于車端的各個零部件，也可結(jié)合起來共同打造更安全的方案，滿足更高的車規(guī)級安全需求，安全性可達到金融級別的 CC EAL5+。在本方案中，HSM 掛載在 TEE 下，應用都需經(jīng)過 TEE 訪問 HSM。車企相關(guān)的根證書密鑰等都可保存在 HSM，業(yè)務相關(guān)的證書密鑰、用戶數(shù)據(jù)等可保存在 TEE，安全擴展業(yè)務都可運行在 TEE，TEE 和HSM 相結(jié)合的具體方案請參考下圖。

圖7.5-2 TEE和HSM的結(jié)合安全方案關(guān)于 TEE 和 HSM 的證書密鑰的產(chǎn)線方案建議如下：

1. HSM 的證書密鑰導入導出：（根證書等）方式 1：委托HSM 提供商實施（建議）。

方式 2：通過TEE 和 TEE 的產(chǎn)線工具實現(xiàn)。

1. TEE 的證書密鑰導入導出：（業(yè)務證書等）

離線：在本地通過 TEE 的產(chǎn)線工具和加密狗實施。在線：通過網(wǎng)絡連接后臺實施，需要借助 TEE 產(chǎn)線工具。

TEE 和 HSM 在車端的分布

根據(jù)整車各零部件的安全需求，結(jié)合 TEE 和 HSM 各自的技術(shù)特點，為整車共建安全基礎能力，TEE 和 HSM 在車端的分布建議如下。

圖7.5-3 車端的安全基礎能力分布圖

安全基礎能力建設思路

1. 側(cè)重于有性能需求的功能，使用 HSM，例：ADAS、SecOC 等。

2. 側(cè)重于有擴展需求的功能，使用   TEE，例：智能座艙、TBOX、TLS、業(yè)務安全等。

3. TEE 目前主要用于性能較高 MPU 場景，例：智能座艙、中央計算單元、TBOX 等。

4. HSM 即可用于 MPU 又可用于 MCU，例：TBOX、車窗、車門、燈控、診斷功能等。

5. 主要零部件建議支持 HSM 和 TEE，例：TBOX、中央計算單元等。

6. 業(yè)務安全、隱私數(shù)據(jù)盡可能采用  TEE，例：遠程控車、充電功能、生物識別等。

7. 主要零部件若不支持 HSM，建議支持 TEE 功能。

安全基礎能力擴展思路

1. TEE 擴展性很強，如用 HSM 實現(xiàn)受限的場合，可考慮用 TEE 實現(xiàn)。

2. 對安全性要求較高的場景，可考慮用 TEE 和 HSM 結(jié)合的方式實現(xiàn)。

3. 既有國密算法需求，又有國際算法需求場合，可考慮用 TEE 實現(xiàn)。

4. 僅需證書密鑰安全時，僅需 HSM 實現(xiàn)即可。

實際應用

本方案可滿足車載合規(guī)和縱深防御的安全基礎能力需求，根據(jù)各種應用場景，充分利用 TEE 和 HSM 技術(shù)互補特點，既可單獨使用，又可結(jié)合使用。為整車和零部件的安全架構(gòu)設計提供了更多的選擇方案， 也能解決車企安全合規(guī)的部分痛點。在實際開發(fā)中，無法使用 HSM 的場合下，可以啟用 TEE 滿足安全需求。在安全業(yè)務中，TEE 是HSM 有益的補充，TEE 可提供業(yè)務邏輯保護、外設保護、可信界面、面向海外智能座艙系統(tǒng)的數(shù)字視頻版權(quán)保護等功能，更為車載的數(shù)據(jù)安全解決方案提供了技術(shù)支撐。在安全和性能方面，HSM 具有更高的安全和性能。TEE 在安全擴展能力方面更具有優(yōu)勢?？筛鶕?jù)具體架構(gòu)環(huán)境，采取 TEE 和 HSM 相融合的方式，取長補短，保護車載安全資產(chǎn)。本方案考慮今后智能車載的安全需求，安全能力支撐由原來的單點逐步擴展為多點，以滿足不斷增 長的車載安全業(yè)務，這不僅僅為了滿足合規(guī)要求，更為了構(gòu)建車載整體安全防御體系提供了底層技術(shù)支撐。俗語稱 “九層之臺, 起于累土” ，只有構(gòu)筑好車載安全基礎能力，車載整體安全才能成為可能。