背景描述

随着智能网联汽车的信息安全纵深防御要求越来越多样化，不仅会用到 HSM 功能，也会用到 HSM 功能以外的安全扩展能力。但限于现实的软硬件条件，有不支持或者不能使用 HSM 的场合，这给设计者带来了很大困扰，为解决这类课题，目前较成熟的可信执行环境 TEE( Trusted Execution Environment ) 技术，不仅安全性满足合规要求，同时其安全扩展能力为解决车载安全课题提供了可能。本文采用 TEE 和 HSM 互补优势，说明如何共筑车载安全基础能力。

实现概要

1. 概述

TEE 可信执行环境是在车载零部件的开放系统 REE（Rich Execution Environment，例：Linux、Android、AUTOSAR、RTOS    等系统）上，创建一个可信的、独立的、物理隔离的执行空间，即隔离的安全屋。安全资产不出可信域，例如密钥证书、核心逻辑等安全资产，TEE 整体架构和提供的基础服务如下图。

图7.5-1 基于TEE实现虚拟HSM功能具体架构HSM 是目前车载常用的硬件安全模块，下图是 HSM 的三个需求等级的功能，根据具体的应用场景不同，对 HSM 模块需求等级也不同。表7.5-1 HSM三个需求等级功能序号基本功能Full HSMMedium HSMLight HSM1RAM 随机存取存储器√√可选2NV 非易失性存储器√√可选3对称加密加速器√√√4非对称加密加速器√

5哈希加速器√

6计数器√√可选7随机数生成器√√可选8安全 CPU√√
9输入输出组件√√

TEE 和 HSM 技术特点与主要应用场景

TEE 是基于硬件隔离技术的软实现，HSM 是基于硬件设备的硬实现，下表列出了各自的技术特点和应用场景。表7.5-2 TEE和HSM技术特点分类技术特点应用场景

TEE生态开放，易于扩展应用安全：远程控车 / 充电桩 /OTA 加固等；软件实现，降低成本安全存储：业务证书密钥 / 隐私数据 / 重要数据等；规范接口，易于移植生物识别：指纹、人脸、声纹、视频等保护；动态空间，按需提供金融支付：支付应用 / 电子证明 / 区块链等；基于硬件，限于硬件其他业务：数字版权保护 / 可信 UI/ 设备认证 / 安全通信；

HSM硬件算力，性能较高安全通信：车内外通信，例 TLS、SecOC 等；独立硬件，安全性高密钥保护：根证书 / 共享密钥等；硬件空间，小而固定安全启动：镜像保护等；技术成熟，生态完善安全日志：文件加密等。

TEE 和 HSM 相结合的方案

TEE 和 HSM 既可各自独立地应用于车端的各个零部件，也可结合起来共同打造更安全的方案，满足更高的车规级安全需求，安全性可达到金融级别的 CC EAL5+。在本方案中，HSM 挂载在 TEE 下，应用都需经过 TEE 访问 HSM。车企相关的根证书密钥等都可保存在 HSM，业务相关的证书密钥、用户数据等可保存在 TEE，安全扩展业务都可运行在 TEE，TEE 和HSM 相结合的具体方案请参考下图。

图7.5-2 TEE和HSM的结合安全方案关于 TEE 和 HSM 的证书密钥的产线方案建议如下：

1. HSM 的证书密钥导入导出：（根证书等）方式 1：委托HSM 提供商实施（建议）。

方式 2：通过TEE 和 TEE 的产线工具实现。

1. TEE 的证书密钥导入导出：（业务证书等）

离线：在本地通过 TEE 的产线工具和加密狗实施。在线：通过网络连接后台实施，需要借助 TEE 产线工具。

TEE 和 HSM 在车端的分布

根据整车各零部件的安全需求，结合 TEE 和 HSM 各自的技术特点，为整车共建安全基础能力，TEE 和 HSM 在车端的分布建议如下。

图7.5-3 车端的安全基础能力分布图

安全基础能力建设思路

1. 侧重于有性能需求的功能，使用 HSM，例：ADAS、SecOC 等。

2. 侧重于有扩展需求的功能，使用   TEE，例：智能座舱、TBOX、TLS、业务安全等。

3. TEE 目前主要用于性能较高 MPU 场景，例：智能座舱、中央计算单元、TBOX 等。

4. HSM 即可用于 MPU 又可用于 MCU，例：TBOX、车窗、车门、灯控、诊断功能等。

5. 主要零部件建议支持 HSM 和 TEE，例：TBOX、中央计算单元等。

6. 业务安全、隐私数据尽可能采用  TEE，例：远程控车、充电功能、生物识别等。

7. 主要零部件若不支持 HSM，建议支持 TEE 功能。

安全基础能力扩展思路

1. TEE 扩展性很强，如用 HSM 实现受限的场合，可考虑用 TEE 实现。

2. 对安全性要求较高的场景，可考虑用 TEE 和 HSM 结合的方式实现。

3. 既有国密算法需求，又有国际算法需求场合，可考虑用 TEE 实现。

4. 仅需证书密钥安全时，仅需 HSM 实现即可。

实际应用

本方案可满足车载合规和纵深防御的安全基础能力需求，根据各种应用场景，充分利用 TEE 和 HSM 技术互补特点，既可单独使用，又可结合使用。为整车和零部件的安全架构设计提供了更多的选择方案， 也能解决车企安全合规的部分痛点。在实际开发中，无法使用 HSM 的场合下，可以启用 TEE 满足安全需求。在安全业务中，TEE 是HSM 有益的补充，TEE 可提供业务逻辑保护、外设保护、可信界面、面向海外智能座舱系统的数字视频版权保护等功能，更为车载的数据安全解决方案提供了技术支撑。在安全和性能方面，HSM 具有更高的安全和性能。TEE 在安全扩展能力方面更具有优势。可根据具体架构环境，采取 TEE 和 HSM 相融合的方式，取长补短，保护车载安全资产。本方案考虑今后智能车载的安全需求，安全能力支撑由原来的单点逐步扩展为多点，以满足不断增 长的车载安全业务，这不仅仅为了满足合规要求，更为了构建车载整体安全防御体系提供了底层技术支撑。俗语称 “九层之台, 起于累土” ，只有构筑好车载安全基础能力，车载整体安全才能成为可能。