汽车信息安全--HSM和TEE的区别

HSM指Hardware Security Module，它是一种有自己独立的CPU、密码算法硬件加速器、独立Flash等，用于生成、存储和管理加密密钥，以及执行加密运算和安全操作。

HSM通常包含硬件隔离、加密芯片、随机数生成器等安全组件，能够提供高级的安全保护，防止密钥泄露和恶意攻击。

TEE 可信执行环境是在车载零部件的开放系统 REE（Rich Execution Environment，例：Linux、Android、AUTOSAR、RTOS    等系统）上，创建一个可信的、独立的、物理隔离的执行空间，即隔离的安全屋。安全资产不出可信域，例如密钥证书、核心逻辑等安全资产，TEE 整体架构和提供的基础服务如下图。

TEE 是基于硬件隔离技术的软实现，

HSM 是基于硬件设备的硬实现，

一下列出了各自的技术特点和应用场景。

TEE：

生态开放，易于扩展

应用安全：远程控车 / 充电桩 /OTA 加固等；

软件实现，降低成本

安全存储：业务证书密钥 / 隐私数据 / 重要数据等；

规范接口，易于移植

生物识别：指纹、人脸、声纹、视频等保护；

动态空间，按需提供

金融支付：支付应用 / 电子证明 / 区块链等；

基于硬件，限于硬件

其他业务：数字版权保护 / 可信 UI/ 设备认证 / 安全通信。

HSM：

硬件算力，性能较高

安全通信：车内外通信，例 TLS、SecOC 等；

独立硬件，安全性高

密钥保护：根证书 / 共享密钥等；

硬件空间，小而固定

安全启动：镜像保护等；

技术成熟，生态完善

安全日志：文件加密等。

TEE 和 HSM 既可各自独立地应用于车端的各个零部件，也可结合起来共同打造更安全的方案，满足更高的车规级安全需求，安全性可达到金融级别的 CC EAL5+。

在本方案中，HSM 挂载在 TEE 下，应用都需经过 TEE 访问 HSM。车企相关的根证书密钥等都可保存在 HSM，业务相关的证书密钥、用户数据等可保存在 TEE，安全扩展业务都可运行在 TEE，TEE 和HSM 相结合的具体方案请参考下图。

TEE和HSM的结合安全方案关于 TEE 和 HSM 的证书密钥的产线方案建议如下：

HSM 的证书密钥导入导出：（根证书等）

方式 1：委托HSM 提供商实施（建议）。

方式 2：通过TEE 和 TEE 的产线工具实现。

TEE 的证书密钥导入导出：（业务证书等）

离线：在本地通过 TEE 的产线工具和加密狗实施。

在线：通过网络连接后台实施，需要借助 TEE 产线工具。

根据整车各零部件的安全需求，结合 TEE 和 HSM 各自的技术特点，为整车共建安全基础能力，TEE 和 HSM 在车端的分布建议如下：

图7.5-3 车端的安全基础能力分布图

安全基础能力建设思路

1. 侧重于有性能需求的功能，使用 HSM，例：ADAS、SecOC 等。

2. 侧重于有扩展需求的功能，使用   TEE，例：智能座舱、TBOX、TLS、业务安全等。

3. TEE 目前主要用于性能较高 MPU 场景，例：智能座舱、中央计算单元、TBOX 等。

4. HSM 即可用于 MPU 又可用于 MCU，例：TBOX、车窗、车门、灯控、诊断功能等。

5. 主要零部件建议支持 HSM 和 TEE，例：TBOX、中央计算单元等。

6. 业务安全、隐私数据尽可能采用  TEE，例：远程控车、充电功能、生物识别等。

7. 主要零部件若不支持 HSM，建议支持 TEE 功能。

安全基础能力扩展思路

1. TEE 扩展性很强，如用 HSM 实现受限的场合，可考虑用 TEE 实现。

2. 对安全性要求较高的场景，可考虑用 TEE 和 HSM 结合的方式实现。

3. 既有国密算法需求，又有国际算法需求场合，可考虑用 TEE 实现。

4. 仅需证书密钥安全时，仅需 HSM 实现即可。

实际应用

本方案可满足车载合规和纵深防御的安全基础能力需求，根据各种应用场景，充分利用 TEE 和 HSM 技术互补特点，既可单独使用，又可结合使用。为整车和零部件的安全架构设计提供了更多的选择方案， 也能解决车企安全合规的部分痛点。

在实际开发中，无法使用 HSM 的场合下，可以启用 TEE 满足安全需求。

在安全业务中，TEE 是HSM 有益的补充，TEE 可提供业务逻辑保护、外设保护、可信界面、面向海外智能座舱系统的数字视频版权保护等功能，更为车载的数据安全解决方案提供了技术支撑。

在安全和性能方面，HSM 具有更高的安全和性能。TEE 在安全扩展能力方面更具有优势。

可根据具体架构环境，采取 TEE 和 HSM 相融合的方式，取长补短，保护车载安全资产。本方案考虑今后智能车载的安全需求，安全能力支撑由原来的单点逐步扩展为多点，以满足不断增 长的车载安全业务，这不仅仅为了满足合规要求，更为了构建车载整体安全防御体系提供了底层技术支撑。俗语称 “九层之台, 起于累土” ，只有构筑好车载安全基础能力，车载整体安全才能成为可能。