目录
HSM
TEE
TEE 和 HSM 技术特点与主要应用场景
TEE 和 HSM 相结合的方案
TEE 和 HSM 在车端的分布
HSM
HSM指Hardware Security Module,它是一种有自己独立的CPU、密码算法硬件加速器、独立Flash等,用于生成、存储和管理加密密钥,以及执行加密运算和安全操作。
HSM通常包含硬件隔离、加密芯片、随机数生成器等安全组件,能够提供高级的安全保护,防止密钥泄露和恶意攻击。
在车规MCU里,一般有三家的HSM方案:
英飞凌的HSM\SHE+
瑞萨的ICU
恩智浦的HSE/CSE
TEE
TEE 可信执行环境是在车载零部件的开放系统 REE(Rich Execution Environment,例:Linux、Android、AUTOSAR、RTOS 等系统)上,创建一个可信的、独立的、物理隔离的执行空间,即隔离的安全屋。安全资产不出可信域,例如密钥证书、核心逻辑等安全资产,TEE 整体架构和提供的基础服务如下图。
TEE 和 HSM 技术特点与主要应用场景
TEE 是基于硬件隔离技术的软实现,
HSM 是基于硬件设备的硬实现,
一下列出了各自的技术特点和应用场景。
TEE:
生态开放,易于扩展
应用安全:远程控车 / 充电桩 /OTA 加固等;
软件实现,降低成本
安全存储:业务证书密钥 / 隐私数据 / 重要数据等;
规范接口,易于移植
生物识别:指纹、人脸、声纹、视频等保护;
动态空间,按需提供
金融支付:支付应用 / 电子证明 / 区块链等;
基于硬件,限于硬件
其他业务:数字版权保护 / 可信 UI/ 设备认证 / 安全通信;
HSM:
硬件算力,性能较高
安全通信:车内外通信,例 TLS、SecOC 等;
独立硬件,安全性高
密钥保护:根证书 / 共享密钥等;
硬件空间,小而固定
安全启动:镜像保护等;
技术成熟,生态完善
安全日志:文件加密等。
TEE 和 HSM 相结合的方案
TEE 和 HSM 既可各自独立地应用于车端的各个零部件,也可结合起来共同打造更安全的方案,满足更高的车规级安全需求,安全性可达到金融级别的 CC EAL5+。
在本方案中,HSM 挂载在 TEE 下,应用都需经过 TEE 访问 HSM。车企相关的根证书密钥等都可保存在 HSM,业务相关的证书密钥、用户数据等可保存在 TEE,安全扩展业务都可运行在 TEE,TEE 和HSM 相结合的具体方案请参考下图。
TEE和HSM的结合安全方案关于 TEE 和 HSM 的证书密钥的产线方案建议如下:
HSM 的证书密钥导入导出:(根证书等)
方式 1:委托HSM 提供商实施(建议)。
方式 2:通过TEE 和 TEE 的产线工具实现。
TEE 的证书密钥导入导出:(业务证书等)
离线:在本地通过 TEE 的产线工具和加密狗实施。
在线:通过网络连接后台实施,需要借助 TEE 产线工具。
TEE 和 HSM 在车端的分布
根据整车各零部件的安全需求,结合 TEE 和 HSM 各自的技术特点,为整车共建安全基础能力,TEE 和 HSM 在车端的分布建议如下
图7.5-3 车端的安全基础能力分布图
安全基础能力建设思路
- 侧重于有性能需求的功能,使用 HSM,例:ADAS、SecOC 等。
- 侧重于有扩展需求的功能,使用 TEE,例:智能座舱、TBOX、TLS、业务安全等。
- TEE 目前主要用于性能较高 MPU 场景,例:智能座舱、中央计算单元、TBOX 等。
- HSM 即可用于 MPU 又可用于 MCU,例:TBOX、车窗、车门、灯控、诊断功能等。
- 主要零部件建议支持 HSM 和 TEE,例:TBOX、中央计算单元等。
- 业务安全、隐私数据尽可能采用 TEE,例:远程控车、充电功能、生物识别等。
- 主要零部件若不支持 HSM,建议支持 TEE 功能。
安全基础能力扩展思路
- TEE 扩展性很强,如用 HSM 实现受限的场合,可考虑用 TEE 实现。
- 对安全性要求较高的场景,可考虑用 TEE 和 HSM 结合的方式实现。
- 既有国密算法需求,又有国际算法需求场合,可考虑用 TEE 实现。
- 仅需证书密钥安全时,仅需 HSM 实现即可。
实际应用
本方案可满足车载合规和纵深防御的安全基础能力需求,根据各种应用场景,充分利用 TEE 和 HSM 技术互补特点,既可单独使用,又可结合使用。为整车和零部件的安全架构设计提供了更多的选择方案, 也能解决车企安全合规的部分痛点。
在实际开发中,无法使用 HSM 的场合下,可以启用 TEE 满足安全需求。
在安全业务中,TEE 是HSM 有益的补充,TEE 可提供业务逻辑保护、外设保护、可信界面、面向海外智能座舱系统的数字视频版权保护等功能,更为车载的数据安全解决方案提供了技术支撑。
在安全和性能方面,HSM 具有更高的安全和性能。TEE 在安全扩展能力方面更具有优势。
可根据具体架构环境,采取 TEE 和 HSM 相融合的方式,取长补短,保护车载安全资产。本方案考虑今后智能车载的安全需求,安全能力支撑由原来的单点逐步扩展为多点,以满足不断增 长的车载安全业务,这不仅仅为了满足合规要求,更为了构建车载整体安全防御体系提供了底层技术支撑。俗语称 “九层之台, 起于累土” ,只有构筑好车载安全基础能力,车载整体安全才能成为可能