現(xiàn)在的智能網(wǎng)聯(lián)汽車看起來像是一個(gè)連接萬物的智能移動(dòng)終端，它不僅可以與OEM云服務(wù)器通信接收OTA推送，還可以與手機(jī)藍(lán)牙、Wifi交互完成遠(yuǎn)程汽車解鎖、座艙內(nèi)環(huán)境設(shè)置等等，借用Vector一張比較老的V2X描述，如下：

所有紅色閃電都屬于汽車的對(duì)外接口，很容易受到攻擊，因此對(duì)接口進(jìn)行安全加固防御非常關(guān)鍵，需要思考的加固方向如：車外安全通信、車內(nèi)安全網(wǎng)關(guān)、車內(nèi)安全通信、車內(nèi)敏感數(shù)據(jù)安全存儲(chǔ)等。

據(jù)統(tǒng)計(jì)，OEM對(duì)于上述關(guān)鍵接口在硬件層面上采用安全芯片(SE)+芯片內(nèi)置HSM的策略來構(gòu)建整車信息安全縱深防御架構(gòu)。

那么什么是SE，用在哪里？芯片內(nèi)置HSM與SE之間的不同在哪里？我們來具體看看。

1.什么是Secure Element

SE這個(gè)東西其實(shí)大家經(jīng)常用，那就是智能手機(jī)的使用。

從外觀形式上看，它是一顆獨(dú)立的芯片，有內(nèi)核，有Flash、Ram\ROM、加密引擎等等，用于敏感數(shù)據(jù)的存儲(chǔ)或者是需要信息安全覆蓋的APP運(yùn)行，例如我們的手機(jī)銀行、支付寶等等，此外，它還負(fù)責(zé)保證在其內(nèi)部的代碼、數(shù)據(jù)免受惡意軟件攻擊，具備硬件防篡改能力(物理拆解SE，芯片自毀)。

由于它是一顆獨(dú)立芯片，因此需要采用協(xié)議與外部通信，例如SPI、I2C。通常情況SE會(huì)嵌入到手機(jī)本身，或者eSIM卡，我們不關(guān)心也是自然。下圖為SE芯片的一個(gè)NFC用法：

那么在汽車行業(yè)里，SE會(huì)用在哪里呢？

首先現(xiàn)在的汽車與十年前傳統(tǒng)汽車，在網(wǎng)聯(lián)化和智能化方面有了長(zhǎng)足的發(fā)展，在功能上也有了很多進(jìn)步，特別是在人機(jī)交互方面。

總結(jié)一下，目前已知的對(duì)外接口包括：藍(lán)牙、充電樁、無鑰匙進(jìn)入系統(tǒng)、移動(dòng)基站通信、雷達(dá)、USB、OBD、手機(jī)無線充電、Wi-Fi，如下:

對(duì)于黑客來說，這些接口都可以作為攻擊點(diǎn)，故障注入、側(cè)信道攻擊、非侵入攻擊都可以成為其攻擊手段。

上述所有的連接其實(shí)就是我們聊了很久的V2X(Vehicle-to-everything)技術(shù)：利用傳感器、攝像頭、無線通信技術(shù)將汽車與其周圍環(huán)境連接起來，保證道路駕駛安全。V2X根據(jù)通信終端不同，可以分為如下幾大類：

1）V2V：Vehicle to Vehicle,汽車之間能夠交換速度、位置和方向的數(shù)據(jù)；

2）V2P：Vehicle to Pedestrian ，用于感知車輛周邊行人等；

3）V2N：Vehicle to Network，用于與其他網(wǎng)絡(luò)交互，例如5G、LTE等；

4）V2I：Vehicle to Infrastructure ，用于汽車與道路基礎(chǔ)設(shè)施(如智能交通燈或道路標(biāo)志)之間交互

可以看到，上述應(yīng)用場(chǎng)景中比較關(guān)鍵的是V2X數(shù)據(jù)通信的完整性、車輛身份真實(shí)性和駕駛員隱私性，這與V2X終端信息處理能力密切相關(guān)，目前主流技術(shù)路線是使用專門的安全芯片來完成消息的驗(yàn)簽、數(shù)據(jù)存儲(chǔ)等等。

針對(duì)V2X通信，NXP推出SXF1800專門用于用于保護(hù)移動(dòng)支付和保護(hù)V2X通信(ECC)驗(yàn)簽，如下圖：

針對(duì)無鑰匙進(jìn)入，NXP推出NCJ37A，有特定的硬件密碼加速器，具有防物理\電氣攻擊的能力，主要用于存儲(chǔ)和數(shù)字密鑰管理，可以與NFC配套組成汽車智能門禁系統(tǒng)，如下：

英飛凌針對(duì)V2X通信推出SLS37，用于保護(hù)V2X通信，特別是針對(duì)TBOX和RSU(roadside units)，示意如下：

SLS37與主控MCU通過SPI加密通信，它提供了最高級(jí)別的防篡改保護(hù)機(jī)制，ECDSA簽名速度可達(dá)20個(gè)每秒。

國內(nèi)針對(duì)這類芯片的公司包括紫光同芯、華大微電子、國民技術(shù)等，例如紫光的THD89 eSIM SE，可用于數(shù)字鑰匙、TBOX、eUICC等

華大CIU98系列面向C-V2X、數(shù)字鑰匙、汽車TBOX、OBE\_SAM等

因此，我們可以簡(jiǎn)單總結(jié)，安全芯片SE本質(zhì)上一顆獨(dú)立特定功能芯片，對(duì)于終端用戶來說包括安全硬件和安全軟件兩個(gè)部分：安全硬件包括安全的運(yùn)行環(huán)境、安全存儲(chǔ)、安全算法、安全接口等；安全軟件提供安全的交互機(jī)制，確保SE與主控單元之間命令和數(shù)據(jù)的交互安全，基于SE對(duì)數(shù)據(jù)進(jìn)行安全處理、安全計(jì)算、安全存儲(chǔ)等安全功能，實(shí)現(xiàn)設(shè)備的身份認(rèn)證、數(shù)據(jù)傳輸加密、敏感信息保護(hù)等功能。

這類芯片由于屬于信息安全產(chǎn)品的范疇，一般會(huì)去過各種認(rèn)證，包括

1）CC EAL(Common Criteria Evaluation Assurance Level認(rèn)證，目前EAL分為EAL1-7個(gè)等級(jí)，其中。EAL 7為最高等級(jí)，一般需要通過一系列的安全功能測(cè)試，以及代碼審計(jì)、漏洞分析和安全功能強(qiáng)化，并需要提供安全策略和配置指南，以及進(jìn)行安全功能強(qiáng)化，并需要進(jìn)行代碼審計(jì)、漏洞分析和安全功能強(qiáng)化。

2）FIPS 140-2: NIST針對(duì)加密模塊的安全認(rèn)證，分為L(zhǎng)1-L4，L4等級(jí)最高。

NXP SXF1800滿足EAL 4+（在EAL4基礎(chǔ)上升級(jí)了部分檢測(cè)項(xiàng)目）FIPS 140-2 L3，THD89 EAL 4+，英飛凌SLI97 EAL5+等等。

2.芯片內(nèi)置HSM和SE

目前我們接觸到的車規(guī)MCU里通常都會(huì)HSM，個(gè)人理解，這是在通用汽車MCU的基礎(chǔ)上，提供了一個(gè)芯片內(nèi)部的安全隔離環(huán)境，通過加入密碼引擎、融入真隨機(jī)數(shù)、調(diào)試保護(hù)等安全要素，提供安全調(diào)試、安全啟動(dòng)、安全更新、安全隔離、安全算法、安全存儲(chǔ)、故障注入防護(hù)等安全服務(wù)系統(tǒng)功能。

針對(duì)車規(guī)MCU的HSM，目前公認(rèn)的是EVITA項(xiàng)目，根據(jù)不同場(chǎng)景分為了EVITA Light、Medium、Full三種變體，如下圖：

EVITA HSM主要面向的是是V2X、車內(nèi)通信、執(zhí)行器傳感器等的保護(hù)，例如提出了基于CAN的SecOC、基于調(diào)試接口攻擊的保護(hù)手段；而這個(gè)項(xiàng)目是2008年發(fā)起，發(fā)展至今，黑客的攻擊手段隨著汽車行業(yè)的整體發(fā)展變得更加多樣，例如側(cè)信道攻擊、故障注入攻擊等等。

Evita HSM逐漸變得不滿足需求，而保護(hù)級(jí)別更高的SE芯片恰好可以配合Evita HSM，共筑整體的網(wǎng)絡(luò)安全防御體系。

此外，在認(rèn)證上面，目前看到的內(nèi)置HSM的MCU還沒有說具體什么CC\FIPS認(rèn)證，一般都是Evita Medium\Full，這也是與SE芯片區(qū)別。

3.未來HSM的發(fā)展

隨著中央集中式電子電氣架構(gòu)的推進(jìn)，HSM自然也會(huì)有進(jìn)一步的發(fā)展。

首先就是密碼引擎的并行處理能力，為加速各節(jié)點(diǎn)的通信，現(xiàn)在很多MCU廠家在HSM基礎(chǔ)上新增了特定的AES、Hash加速引擎，用于SecOC、TLS的通信加速，例如RH850 U2B的ACEU、SR6P7C8的AES Light、TC4xx的CSS等。上述小的引擎通常會(huì)提供多個(gè)并行通道，以減輕多主機(jī)的訪問沖突。

其次就是在攻擊防護(hù)能力上的提升，針對(duì)所有調(diào)試接口、測(cè)試接口需要抵抗各種側(cè)信道攻擊、故障注入攻擊（DFA\毛刺攻擊等）。

最后就是在產(chǎn)品的認(rèn)證上，如果我們把MCU看做一個(gè)整體，那么功能安全26262和信息安全21434是必要滿足的，但如果我們把HSM的硬件軟件當(dāng)做一個(gè)整體，可否像SE一樣去過CC、FISP 140-2的認(rèn)證呢？這可能是一個(gè)成本和能力上的考驗(yàn)，畢竟芯片廠專注硬件，而基礎(chǔ)軟件供應(yīng)商軟件能力較強(qiáng)，OEM整合能力突出，三者聯(lián)合開發(fā)，共同制定需求和規(guī)范，才能定義出真正滿足市場(chǎng)需求的產(chǎn)品。