背景描述

隨著智能網(wǎng)聯(lián)汽車(chē)的信息安全縱深防御要求越來(lái)越多樣化，不僅會(huì)用到 HSM 功能，也會(huì)用到 HSM 功能以外的安全擴(kuò)展能力。但限于現(xiàn)實(shí)的軟硬件條件，有不支持或者不能使用 HSM 的場(chǎng)合，這給設(shè)計(jì)者帶來(lái)了很大困擾，為解決這類課題，目前較成熟的可信執(zhí)行環(huán)境 TEE( Trusted Execution Environment ) 技術(shù)，不僅安全性滿足合規(guī)要求，同時(shí)其安全擴(kuò)展能力為解決車(chē)載安全課題提供了可能。本文采用 TEE 和 HSM 互補(bǔ)優(yōu)勢(shì)，說(shuō)明如何共筑車(chē)載安全基礎(chǔ)能力。

實(shí)現(xiàn)概要

1. 概述

TEE 可信執(zhí)行環(huán)境是在車(chē)載零部件的開(kāi)放系統(tǒng) REE（Rich Execution Environment，例：Linux、Android、AUTOSAR、RTOS    等系統(tǒng)）上，創(chuàng)建一個(gè)可信的、獨(dú)立的、物理隔離的執(zhí)行空間，即隔離的安全屋。安全資產(chǎn)不出可信域，例如密鑰證書(shū)、核心邏輯等安全資產(chǎn)，TEE 整體架構(gòu)和提供的基礎(chǔ)服務(wù)如下圖。

圖7.5-1 基于TEE實(shí)現(xiàn)虛擬HSM功能具體架構(gòu)HSM 是目前車(chē)載常用的硬件安全模塊，下圖是 HSM 的三個(gè)需求等級(jí)的功能，根據(jù)具體的應(yīng)用場(chǎng)景不同，對(duì) HSM 模塊需求等級(jí)也不同。表7.5-1 HSM三個(gè)需求等級(jí)功能序號(hào)基本功能Full HSMMedium HSMLight HSM1RAM 隨機(jī)存取存儲(chǔ)器√√可選2NV 非易失性存儲(chǔ)器√√可選3對(duì)稱加密加速器√√√4非對(duì)稱加密加速器√

5哈希加速器√

6計(jì)數(shù)器√√可選7隨機(jī)數(shù)生成器√√可選8安全 CPU√√
9輸入輸出組件√√

TEE 和 HSM 技術(shù)特點(diǎn)與主要應(yīng)用場(chǎng)景

TEE 是基于硬件隔離技術(shù)的軟實(shí)現(xiàn)，HSM 是基于硬件設(shè)備的硬實(shí)現(xiàn)，下表列出了各自的技術(shù)特點(diǎn)和應(yīng)用場(chǎng)景。表7.5-2 TEE和HSM技術(shù)特點(diǎn)分類技術(shù)特點(diǎn)應(yīng)用場(chǎng)景

TEE生態(tài)開(kāi)放，易于擴(kuò)展應(yīng)用安全：遠(yuǎn)程控車(chē) / 充電樁 /OTA 加固等；軟件實(shí)現(xiàn)，降低成本安全存儲(chǔ)：業(yè)務(wù)證書(shū)密鑰 / 隱私數(shù)據(jù) / 重要數(shù)據(jù)等；規(guī)范接口，易于移植生物識(shí)別：指紋、人臉、聲紋、視頻等保護(hù)；動(dòng)態(tài)空間，按需提供金融支付：支付應(yīng)用 / 電子證明 / 區(qū)塊鏈等；基于硬件，限于硬件其他業(yè)務(wù)：數(shù)字版權(quán)保護(hù) / 可信 UI/ 設(shè)備認(rèn)證 / 安全通信；

HSM硬件算力，性能較高安全通信：車(chē)內(nèi)外通信，例 TLS、SecOC 等；獨(dú)立硬件，安全性高密鑰保護(hù)：根證書(shū) / 共享密鑰等；硬件空間，小而固定安全啟動(dòng)：鏡像保護(hù)等；技術(shù)成熟，生態(tài)完善安全日志：文件加密等。

TEE 和 HSM 相結(jié)合的方案

TEE 和 HSM 既可各自獨(dú)立地應(yīng)用于車(chē)端的各個(gè)零部件，也可結(jié)合起來(lái)共同打造更安全的方案，滿足更高的車(chē)規(guī)級(jí)安全需求，安全性可達(dá)到金融級(jí)別的 CC EAL5+。在本方案中，HSM 掛載在 TEE 下，應(yīng)用都需經(jīng)過(guò) TEE 訪問(wèn) HSM。車(chē)企相關(guān)的根證書(shū)密鑰等都可保存在 HSM，業(yè)務(wù)相關(guān)的證書(shū)密鑰、用戶數(shù)據(jù)等可保存在 TEE，安全擴(kuò)展業(yè)務(wù)都可運(yùn)行在 TEE，TEE 和HSM 相結(jié)合的具體方案請(qǐng)參考下圖。

圖7.5-2 TEE和HSM的結(jié)合安全方案關(guān)于 TEE 和 HSM 的證書(shū)密鑰的產(chǎn)線方案建議如下：

1. HSM 的證書(shū)密鑰導(dǎo)入導(dǎo)出：（根證書(shū)等）方式 1：委托HSM 提供商實(shí)施（建議）。

方式 2：通過(guò)TEE 和 TEE 的產(chǎn)線工具實(shí)現(xiàn)。

1. TEE 的證書(shū)密鑰導(dǎo)入導(dǎo)出：（業(yè)務(wù)證書(shū)等）

離線：在本地通過(guò) TEE 的產(chǎn)線工具和加密狗實(shí)施。在線：通過(guò)網(wǎng)絡(luò)連接后臺(tái)實(shí)施，需要借助 TEE 產(chǎn)線工具。

TEE 和 HSM 在車(chē)端的分布

根據(jù)整車(chē)各零部件的安全需求，結(jié)合 TEE 和 HSM 各自的技術(shù)特點(diǎn)，為整車(chē)共建安全基礎(chǔ)能力，TEE 和 HSM 在車(chē)端的分布建議如下。

圖7.5-3 車(chē)端的安全基礎(chǔ)能力分布圖

安全基礎(chǔ)能力建設(shè)思路

1. 側(cè)重于有性能需求的功能，使用 HSM，例：ADAS、SecOC 等。

2. 側(cè)重于有擴(kuò)展需求的功能，使用   TEE，例：智能座艙、TBOX、TLS、業(yè)務(wù)安全等。

3. TEE 目前主要用于性能較高 MPU 場(chǎng)景，例：智能座艙、中央計(jì)算單元、TBOX 等。

4. HSM 即可用于 MPU 又可用于 MCU，例：TBOX、車(chē)窗、車(chē)門(mén)、燈控、診斷功能等。

5. 主要零部件建議支持 HSM 和 TEE，例：TBOX、中央計(jì)算單元等。

6. 業(yè)務(wù)安全、隱私數(shù)據(jù)盡可能采用  TEE，例：遠(yuǎn)程控車(chē)、充電功能、生物識(shí)別等。

7. 主要零部件若不支持 HSM，建議支持 TEE 功能。

安全基礎(chǔ)能力擴(kuò)展思路

1. TEE 擴(kuò)展性很強(qiáng)，如用 HSM 實(shí)現(xiàn)受限的場(chǎng)合，可考慮用 TEE 實(shí)現(xiàn)。

2. 對(duì)安全性要求較高的場(chǎng)景，可考慮用 TEE 和 HSM 結(jié)合的方式實(shí)現(xiàn)。

3. 既有國(guó)密算法需求，又有國(guó)際算法需求場(chǎng)合，可考慮用 TEE 實(shí)現(xiàn)。

4. 僅需證書(shū)密鑰安全時(shí)，僅需 HSM 實(shí)現(xiàn)即可。

實(shí)際應(yīng)用

本方案可滿足車(chē)載合規(guī)和縱深防御的安全基礎(chǔ)能力需求，根據(jù)各種應(yīng)用場(chǎng)景，充分利用 TEE 和 HSM 技術(shù)互補(bǔ)特點(diǎn)，既可單獨(dú)使用，又可結(jié)合使用。為整車(chē)和零部件的安全架構(gòu)設(shè)計(jì)提供了更多的選擇方案， 也能解決車(chē)企安全合規(guī)的部分痛點(diǎn)。在實(shí)際開(kāi)發(fā)中，無(wú)法使用 HSM 的場(chǎng)合下，可以啟用 TEE 滿足安全需求。在安全業(yè)務(wù)中，TEE 是HSM 有益的補(bǔ)充，TEE 可提供業(yè)務(wù)邏輯保護(hù)、外設(shè)保護(hù)、可信界面、面向海外智能座艙系統(tǒng)的數(shù)字視頻版權(quán)保護(hù)等功能，更為車(chē)載的數(shù)據(jù)安全解決方案提供了技術(shù)支撐。在安全和性能方面，HSM 具有更高的安全和性能。TEE 在安全擴(kuò)展能力方面更具有優(yōu)勢(shì)?？筛鶕?jù)具體架構(gòu)環(huán)境，采取 TEE 和 HSM 相融合的方式，取長(zhǎng)補(bǔ)短，保護(hù)車(chē)載安全資產(chǎn)。本方案考慮今后智能車(chē)載的安全需求，安全能力支撐由原來(lái)的單點(diǎn)逐步擴(kuò)展為多點(diǎn)，以滿足不斷增 長(zhǎng)的車(chē)載安全業(yè)務(wù)，這不僅僅為了滿足合規(guī)要求，更為了構(gòu)建車(chē)載整體安全防御體系提供了底層技術(shù)支撐。俗語(yǔ)稱 “九層之臺(tái), 起于累土” ，只有構(gòu)筑好車(chē)載安全基礎(chǔ)能力，車(chē)載整體安全才能成為可能。