内容提要：硬件安全模块(HSM)通过在ECU主处理器中嵌入安全功能来解决这一难题。HSM与安全软件栈的结合，将成为汽车有效安全体系的重要支柱支撑。

ECU（电子控制单元）是掌管车内通信和功能控制的重要部件，必须确保其免受未经授权的访问。硬件安全模块(HSM)通过在ECU主处理器中嵌入安全功能来解决这一难题。HSM与安全软件栈的结合，将成为汽车有效安全体系的重要支柱支撑。

当你在车辆调校工作中接入动力总成的ECU来改变系统参数时，你的脑海中可能首先想到的不是噪音和尾气排放法规的事情。比任何事都更令人不安的是，自己可以访问电子控制的车辆系统这一事实。

如果恶意黑客导致动力总成和底盘ECU出现问题，你会感到害怕甚至不敢想。车辆电气系统中的所有ECU都可能成为目标。更不用说互联车辆了。为了防止软件被未经授权的操作或访问至关重要的关键材料，现代车辆需要强大的IT安全机制来与外界隔离。这就是硬件安全模块(HSM)的意义所在，它将安全功能植入ECU的核心。

汽车专用HSM

HSM是一种硬件，它以物理方式封装了安全功能。其集成芯片专为IT安全应用而设计，通常具有自己的处理器核心、各种内存（RAM、ROM、闪存等）和硬件密码加速器。此外，HSM必须满足用于车辆应用的特定标准，并且极其有效的集成对于降低成本至关重要。其主要要求包括ECU应用程序和HSM之间的安全接口，以及用于分析故障的调试/测试接口。HSM必须能够以尽可能短的等待时间处理加密信息，并能够承受汽车环境中的标准温度。

已经有几家大型芯片制造商提供了具有车载规格架构的硬件安全模块，包括Infineon、ST Microelectronics、Renesas和NXP。从根本上说，HSM通过其自己的处理器核心来执行汽车应用场景所需的所有IT安全功能。这些功能包括128位AES硬件加速器，用于生成密钥材料的真随机数生成器(TRNG)，用于存储加密密钥的硬件保护存储，刷写/调试功能，以及HSM专用RAM（见图1）。

图1：硬件安全模块(HSM)硬件体系结构

专门构建的安全软件和实时通信

汽车HSM只有在安全的软件堆栈中才能真正发挥其价值。如果说HSM是汽车IT安全的细胞核，那么HSM安全软件就是它的遗传密码。比如ESCRYPT将其以CycurHSM安全固件的形式提供，固件专为不同制造商的汽车HSM而打造。CycurHSM将现有硬件安全外围设备与相应的HSM和主机控制器应用程序相关联。该固件还将在HSM中引入一个全面的加密库，其中包括对称和非对称加密机制，以及其他基于HSM的安全功能。此外，CycurHSM还包括符合AUTOSAR和不符合AUTOSAR的接口，这是将HSM集成到标准车载ECU中所必需的。

软件体系结构的核心要素是实时操作系统。这套ISO 26262认证系统专门针对车载ECU打造，支持实时HSM功能（如车内安全实时通信）。该操作系统运行时仅需很小的运行时开销，并且符合MISRA-C标准。CycurHSM内置会话管理器，实现基于优先级的任务调度，例如，验证车载总线上的新消息优先于非时间关键型操作。它还实现了密钥库管理器，用于管理对HSM中密钥材质的访问及其生成、存储和删除，并支持各种长度的对称和非对称加密。密码库（CycurLIB）使用HSM的密码加速器提供密码基元（ECC、RSA）。HSM还可以根据需要运行SHE仿真。在访问加密库的同时，满足汽车特定的高级要求（SHE+）。此外，专用HSM驱动程序可保护HSM与主机处理器之间的通信。与HSM接口上的AUTOSAR兼容加密服务管理器(CSM)允许AUTOSAR应用程序随时访问HSM（见图2）。

图2：硬件安全模块(HSM)软件体系结构

多功能、易于实施

硬件安全模块的功能要比纯粹基于软件的解决方案强大得多。HSM的安全功能是物理封装的，因此ECU主机控制器可以专注于其真正的任务。与HSM安全软件相结合，此方法提供了一种具有多种优势的交钥匙解决方案。

▪为需要高性能加密的特定用户提供强大的硬件/软件协同设计平台

▪与HSM的标准化接口可简化客户集成

▪完全可编程。模块化配置可满足特定需求支持

▪多核支持

此功能集使HSM软件堆栈能够支持广泛的安全应用。通过标准化接口，您可以实施各种IT安全功能。IT安全功能可以在HSM本身实现，也可以与主机处理器协同工作，这两种情况下都可以利用强大的加密技术作为其基础。这些功能在安全引导程序中启动。也就是说，每次ECU启动时，都会检查闪存中存储的代码。此外，它还具有运行时篡改检测和安全闪存、软件下载提供商身份验证功能，并具有安全日志功能，确保安全威胁事件被记录。所有这些情况的基础都是请求实例与HSM之间的相互验证。这同样适用于安全调试。安全调试允许为调试软件而授权的访问，同时保护ECU不受未经授权的访问调试端口。在这种情况下，通信和身份验证仍由HSM控制。

新一代HSM固件

HSM硬件和软件开发迅速推进，标配汽车专用硬件安全模块的ECU微控制器也越来越多。最新一代的CycurHSM比以往任何时候都更易于使用，并通过独特的选项在ECU中实施专有的IT安全功能。新的HSM固件可以通过使用Applet Manager或通过各种管理系统激活各个安全功能来轻松配置。此外，该软件符合ASPICE标准，具有灵活的密钥库架构。

未来，为了保护加速部署的互联车辆和自动驾驶技术，End-to-End保护比什么都重要。在互联网连接环境中，开发人员必须通过实施入侵检测系统，车载防火墙，安全无线软件更新和安全V2X等技术来保护所有关键元素。End-to-End保护是指在构成数字车辆功能的最基本组件层面，即在单个ECU的微处理器内嵌入IT安全功能。这正是硬件安全模块的意义所在。硬件安全模块被认为是当今汽车安全发展的核心，其未来前景总体上是光明的（见图3）。

图3：硬件安全模块(HSM)是汽车安全的核心

作者：牛喀网专栏作者
牛喀网文章，未经授权不得转载！