浅谈SHE与HSM

原创 已于 2023-11-28 08:38:37 修改 · 3.3k 阅读 · 38 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#嵌入式硬件 #汽车 #mcu #驱动开发 #单片机

于 2023-11-27 18:15:42 首次发布

返回总目录

目录

EVITA

EVITA(E-Safety Vehicle Intrusion Protected Applications)是一个起始于2008年、由欧盟资助的研究项目,其目标在于设计、验证并试制一个安全的车载网络架构。

业界基于SHE(Secure Hardware Extension,安全硬件扩展)规范提出了HSM硬件规范,该规范也被广泛接受,很多应用于汽车的微处理器支持这个规范。

SHE

SHE(Secure Hardware Extension)在车联网中,被应用在车端ECU中负责安全存储与安全计算。是由HIS(由Audi、BMW、Porsche、Volkswagen组成)制定的标准,中文意思“安全硬件扩展”,是对任何给定微控制器的片上扩展。它旨在将对加密密钥的控制从软件域移到硬件域,从而保护这些密钥免受软件攻击;但这并不是要取代高度安全的解决方案,如TPM芯片或智能卡等。

SHE逻辑结构如下图:
在这里插入图片描述
上图可看出在ECU中,有一块单独的 Secure Zone。Secure Zone里是SHE模块。SHE包括Control Logic、AES、Memory、PRNG,并仅与CPU通讯。同时,SHE必须被实现为微控制器的片上外围设备。除了上图中明确指定的连接之外,SHE不能有任何其他连接。如果必须包括额外的资源以确保芯片制造过程中的正常功能,则所有端口都要求在物理上停用(如可以通过外部引脚访问)。SHE可以通过多种方式连接到CPU,如:通过专用接口或内部外围总线,互连必须以其他外设或外部实体不能修改CPU和SHE之间传输数据的方式实现。SHE不需要在特殊工艺中制造以提高安全性,也不需要采取任何措施来增强系统抵御物理攻击,如:蚀刻芯片外壳打开、差分功率分析、错误注入攻击等。

SHE设计的主要目标是:

  • 保护加密密钥免受软件攻击
  • 提供可认证的可信软件环境
  • 让安全性只依赖于底层算法的强度和密钥的机密性
  • 允许分布式密钥所有权
  • 保持灵活性高,成本低
  • SHE详细逻辑结构如下图:
    在这里插入图片描述
    SHE主要提供以下功能:
  • List item
  • 支持对称算法,AES-128(ECB、CBC)
  • CMAC的生成、验证
  • 数据压缩
  • 根密钥安全存储
  • 安全引导加载程序
  • 防止重放攻击
    另外,SHE也有它的局限性:无法保护软件应用程序、不支持非对称算法、同一时间只允许一个进程访问,即:不支持并发。为什么SHE叫低配置安全存储呢?主要是与HSM比较的结论(hardware security module是一种用于保护和管理强认证系统所使用的密钥,并同时提供相关密码学操作的计算机硬件设备)。HSM按安全级别分三个等级:Full、Medium、Light,SHE应处在Full>Medium>SHE>Light,因此SHE属低配置安全存储范畴,我们认为车内ECU可以根据ECU负责业务的安全性、重要性来判断是否选择采用附带SHE的ECU,如电控自动变速器、主动悬架系统都是可以采用带SHE的ECU,完全够用,同时安全性有了硬件级别的保护、成本也得到了很好的控制。

HSM

当前存在以下3种实现HSM的体系架构。
1、与CPU分离的独立HSM芯片。该体系架构不仅比单芯片解决方案安全性低,而且价格昂贵。由于需要额外的引脚、外壳和更大面积的PCB,芯片的成本更高。攻击者可以通过窃听CPU和HSM之间的线路,来获取有关秘密业务的信息,或要求HSM签名不是由CPU生成的数据,从而导致安全性降低。因此,该体系架构适用于设计生产周期短、安全性要求低、产量少的应用。
2、HSM与CPU在同一芯片上,并且拥有状态机。该体系架构比与CPU分离的独立HSM芯片更安全,并且经济性也更好。但该体系架构缺乏灵活性,更改状态机需要修改硬件设计。因此,该体系架构适用于对安全要求高但同时生命周期较短的应用。
3、HSM与CPU在同一芯片上,并且拥有可编程的安全内核。该体系架构既具备高安全性,又拥有灵活扩展性和经济性;既可以用于汽车领域,也可以应用于其他工业领域。

HSM三个级别的说明如下:

级别应用场景
Full level用于V2X或中央网关,采用高速非对称加密
Medium Level用于ECU之间,采用低速非对称加密、高速对称加密,适用于动态通信
Light Level用于sensor、actuator,采用对称加密,适用于静态通信

在这里插入图片描述
图中灰色地带为理想情况下支持;

汽车信息安全系列-2.NXP CSE开发笔记
Chuckssdfz的博客
02-13 2667
Boot protection:如果置位密匙在secure boot没通过的情况下将被锁定,secure boot实现的一部分,保证软件在被篡改的情况下相关服务将无法使用(0x27,0x29,SecOC等)安全计数器(Secure Counter):每次更新密匙镜像时+1,用来防止被回退到老的密匙镜像,因为老密匙镜像有被盗取的风险。相比于HSMSHE更容易整合而且使用相对简单的加密认证算法,但是价格会相对便宜。秘密密钥(secret key):用来CSE里的rng密钥和次要密匙生成,用户接触不到。
Evita项目-2-Evita中规定的安全汽车车载电子网络架构
汽车电子开发
05-19 1948
本文介绍了用于安全汽车车载网络的硬件和软件组件,为保护外部车辆通信提供基础。基于欧洲研究项目EVITA(http://evita-project.org)的工作,提供了一个框架,涵盖跨层安全,针对平台完整性、通信通道、访问控制、入侵检测和管理进行安全保护。提出了一个模块化的硬件/软件协同设计:硬件安全模块HSM)提供了保护平台完整性、确保关键材料的完整性和保密性,并增强了加密操作,从而保护了架构的关键资产。
面向汽车硬件安全模块的后量子安全架构
最新发布
NewCarRen的博客
10-22 979
本文探讨了汽车HSM向后量子安全架构转型的必要性和可行性。研究分析了量子计算对现有汽车安全架构的威胁,重点评估了NIST后量子密码标准化候选算法在汽车场景的适用性,提出分别针对中等和高安全级别的HSM设计方案。通过软件性能分析确定了关键计算密集型运算,并设计了相应的硬件加速器。在Artix-7 FPGA上的综合结果表明,后量子安全HSM在保持合理面积开销的同时能满足汽车ECU的严格要求,其中中等安全级别方案面积现代HSM相当,高安全级别方案仅增加13%的LUT资源占用。研究证实了构建未来适应性HSM的技术
SHE Secure Hardware Extension.pdf
09-21
SHE(The Secure Hardware Extension),一个片上( on-chip)扩展的硬件安全模块,为了将秘钥的控制从软件转移到硬件,从而保护秘钥免受来自软件的攻击的硬件安全方案。
硬件安全模块 (HSM)、硬件安全引擎 (HSE) 和安全硬件扩展 (SHE)的区别
baron-周贺贺-代码改变世界ctw
12-28 7213
汽车行业中,硬件安全模块 (HSM)、硬件安全引擎 (HSE) 和安全硬件扩展 (SHE) 的概念在确保关键系统和敏感数据的安全性和完整性方面发挥着关键作用。虽然这些技术的共同目标是增强安全性,但它们的应用和功能却存在显着差异。本文旨在探讨汽车行业背景下的 HSM、HSE 和 SHE 之间的区别,阐明它们的具体实施和优势。
安全圈最被低估的10个神器:一个比一个强大,大佬都在偷偷用!零基础入门到精通,看这篇就够了!赶紧收藏!
baimao__Ch的博客
02-14 2845
这些冷门的网络安全工具是你工具箱中的强大补充,它们提供了独特的功能,覆盖从侦察到漏洞利用的多个环节。虽然像 Nmap 和 Burp Suite 这样的工具不可或缺,但探索像 CyberChef、BloodHound 和 Impacket 这样的“宝藏工具”能让你在网络安全工作中更加高效和灵活。
安全加密 - HSM vs Trustzone vs SHE vs Evita ,
迟来大师的博客
12-06 9994
HSM: TrustZone是HSM模块一种。 TrustZone实现TPM功能。 Hsm包含SHESHE是针对汽车领域的密钥存储,硬件加解密算法的芯片模块SHE又分三类 SHE: Secure Hardware Extension TPM:Trusted Platform Module HSM:hardware Secure module SHE: 是HIS制定的标准,“安全硬件扩展”。旨在将秘钥的控制从软件领域移到硬件领域。如TPM芯片等。 TPM:通常是硬件chi...
【车载信息安全】基于硬件信任锚的密钥管理机制:SHEHSM汽车信息安全中的应用及优化
04-12
通过对SHEEVITA HSM的对比,展示了两者在技术定位、功能架构和应用场景上的差异。 适合人群:具备一定汽车电子和信息安全基础知识的工程师和技术人员,尤其是从事智能网联汽车开发、安全架构设计及相关技术研发的...
【车载信息安全】SHEHSM密钥管理技术对比及应用:构建智能网联汽车硬件安全体系
04-15
文中对比了SHEHSM的不同应用场景和技术特点,强调了SHE在密钥存储、加密运算、安全启动等方面的作用。SHE的核心组件包括控制逻辑单元、AES硬件加速器和内部存储器,提供了防止密钥泄露、对称加密、可信运行环境等...
SHE HSM(硬件安全模块)在汽车安全中有什么区别?
08-15
### SHE HSM(硬件安全模块)在汽车安全中的区别 在汽车安全系统中,SHE(Secure Hardware Extension) HSM(Hardware Security Module)分别承担不同的安全角色,尽管两者都旨在提升车辆电子系统的安全性,但...
SHEHSM
07-12
### SHE HSM 的核心区别 从功能角度来看,SHE 主要提供固定的安全服务,适用于简单场景下的安全需求;而 HSM 则是一个可编程的安全模块,支持动态加载新的安全算法和服务,适用于复杂且高要求的安全场景。从物理...
HSM-网络启动助手
12-24
更新一下 支持Win2000/WinXP/Win2003无盘网络启动。 支持网络启动并自动配置各种格式 Windows PE 镜像文件。 支持网络虚拟软盘方式启动1.44MB,2.88MB软盘镜像。 enjoy.
信息安全 - uboot, TEE, ATF, trustzone, SHEHSM, HIS, Evita, ISO 21434, CC认证(Common Criteria)
迟来大师的博客
12-06 8939
ATF(ARM Trusted firmware) TrustZoneOP-TEE通常在手机安全和可信应用的话题里提到。
硬件可信方案-EVITA HSM
baron-周贺贺-代码改变世界ctw
07-03 3722
信息安全中的HSMSHE 两个概念有什么区别和相同的地方?EVITA研究项目的目标是为汽车车载网络设计、验证一个体系架构,在这种体系架构中,安全相关的组件受到保护、免受篡改,敏感数据受到保护、免受破坏。业界基于SHE(Secure Hardware Extension,安全硬件扩展)规范提出了HSM硬件规范,该规范也被广泛接受,很多应用于汽车的微处理器支持这个规范。SHE是一个针对汽车网络安全的硬件规范,最早由奥迪、宝马、大众等厂商联合制定。
HSM 学习笔记
weixin_43399814的博客
08-21 1482
EVITA(E-safety Vehicle Intrustion Protected Applications )项目定义了可用于汽车网络信息安全领域的HSM相关规范,针对不同的硬件能力将其分为Full、Medium和Light HSM。该规范基于SHE(Secure Hardware Extension),当前很多针对汽车行业的微处理器支持这个规范。HSM主要有两个功能:第一个是存储管理密钥。
车规级安全芯片HSM、SE等:
热门推荐
weixin_42012149的博客
05-24 1万+
给学习做个总结,写的不对处希望大家指出。 说明:关于汽车安全中可以使用SE安全单元针对外部通信的安全形式,可以是内嵌HSM硬件安全模块对系统内做安全监测,可以是在CPU上搭建trustZone的硬件架构,是将SOC里分出安全区和非安全区的OS。 1、相关标准: ①AEC(automotive electronics council)汽车电子协会中Q100(针对集成芯片的要求)中grade-1要求,温度范围-40~125℃; ②ISO 26262中定义的ASIL(automotive safety i
【杂记-浅谈密码技术之硬件安全模块HSM
叫我小虎就行了的博客
08-08 773
【杂记-浅谈密码技术之硬件安全模块HSM
汽车安全硬件扩展 AUTOSAR SHE SecureHardwareExtensions
andychuen的专栏
02-18 4671
AUTOSAR she 汽车安全模块
欧7 SHE key 作用
08-13
<think>嗯,用户想了解欧7 SHE标准中SHE Key的功能和应用场景。这是个汽车电子安全领域的专业问题,需要明确SHE(Secure Hardware Extension)是AUTOSAR标准中的安全硬件扩展模块,而欧7通常指欧洲第七阶段排放法规。用户可能是汽车电子工程师或信息安全从业者,需要具体的技术细节而非概念性解释。 关于SHE Key的核心功能,检索到三个关键点:密钥存储管理采用硬件级保护,支持AES-128加密算法实现数据加解密,以及提供安全启动验证机制。这些功能在车身控制模块、发动机管理单元等场景有广泛应用,特别是涉及排放控制的数据传输环节。需要强调密钥分级的细节(如Master/Common Key的区别)和防重放攻击计数器,这对实际开发很重要。 应用场景部分要突出实时性要求高的系统,比如通过网关安全刷写和ECU间认证通信的案例。排放相关应用需单独说明,因为欧7法规对数据篡改有严格限制。检索发现某些厂商在OBD接口诊断通信中采用SHE Key实现端到端加密,这个案例值得纳入。 代码规范方面,虽然用户没直接要求,但准备添加AES-CMAC的伪代码示例,因为密钥派生过程是开发常见难点。公式部分需用LaTeX规范呈现CMAC算法中的关键推导,特别是Ciphertext Stealing模式在数据块不对齐时的处理。 相关问题设计需要延伸技术细节:密钥生命周期管理是开发痛点,HSMSHE的对比能帮助架构选型,而诊断安全符合性直接关联欧7法规。这些问题都指向用户可能遇到的后续实施障碍。</think>欧7标准中的**SHE Key**(Secure Hardware Extension Key)是汽车电子系统安全架构的核心组件,主要用于实现硬件级的安全密钥管理和加密操作。其功能和应用场景如下: --- ### **核心功能** 1. **安全密钥存储** SHE Key在硬件安全模块HSM)或专用安全芯片中存储加密密钥(如AES-128密钥),确保密钥无法通过软件直接访问或导出,防止物理和逻辑攻击。 2. **加密/解密服务** 提供硬件加速的对称加密操作(如AES),用于保护车内通信(如ECU间数据传输)和敏感数据(如诊断信息、固件更新包)。 *示例公式*:AES加密过程可表示为 $$C = E(K, P)$$ 其中 $K$ 为SHE管理的密钥,$P$ 为明文,$C$ 为密文。 3. **消息认证码(MAC)生成** 通过AES-CMAC算法验证数据完整性和来源真实性,防止篡改。 *代码示例*: ```c // 伪代码:使用SHE Key生成CMAC she_status_t status; uint8_t mac[16]; status = SHE_CMAC_Generate(key_id, data, data_len, mac); ``` 4. **安全启动验证** 在ECU启动时,使用SHE Key验证固件签名,阻止未授权代码执行。 5. **防重放攻击** 通过单调计数器(Monotonic Counter)为每次操作生成唯一序列号,防止旧消息被重复利用。 --- ### **典型应用场景** **1. 排放控制系统安全(欧7核心需求)** - 保护OBD(车载诊断)接口数据,确保排放数据(如NOx传感器读数)在传输至外部设备时不被篡改。 - 加密发动机控制单元(ECU)后处理模块间的通信,满足法规对数据真实性的要求。 **2. ECU安全通信** - 网关域控制器(如动力总成、底盘)间建立加密通道,例如通过SecOC(Secure Onboard Communication)协议实现帧认证。 **3. 固件安全更新(FOTA)** - 用SHE Key解密经加密签名的更新包,并在安装前验证签名合法性: ```c if (SHE_VerifySignature(pub_key_id, firmware_hash, signature) == SUCCESS) { apply_update(); } ``` **4. 防盗访问控制** - 车钥匙认证:无钥匙进入系统(PKE)中验证钥匙的加密挑战。 - 维修权限管理:仅授权设备可通过SHE密钥认证访问诊断接口。 --- ### **技术优势** - **低延迟**:硬件加速加密满足汽车实时性需求(如CAN FD通信)。 - **合规性**:直接满足ISO 21434(道路车辆网络安全)和UNECE WP.29 R155法规要求。 - **成本优化**:相比全功能HSMSHE在资源受限的MCU上提供基础安全服务。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值