数字钥匙 数字钥匙系统安全技术应用

随着各行各业对可信执行环境TEE概念的不断深入，CISC近日发布的《汽车电子网络安全标准化白皮书》明确提到了TEE+SE技术在汽车电子网络安全技术应用案例中的数字密钥应用。

概念:随着移动互联网和汽车联网技术的加速普及，数字钥匙(通常称为蓝牙钥匙或虚拟钥匙)将成为下一代汽车的标准配置。数字钥匙主要采用近场通信技术，使用户能够通过智能手机或可穿戴智能设备(如智能手表)进行开锁锁门和启动车辆。数字钥匙不仅给用户带来了极大的便利，也使数字钥匙成为许多新型汽车联网应用和服务的基础设施，如汽车共享、分时租赁、汽车租赁业务、快递备份等。

模块组成和功能:一个完整的数字钥匙系统包括车内蓝牙模块、安全芯片(SE)、后台服务、以及相应的手机App。实现数字密钥的功能并不复杂，但面临的挑战是如何在整个生命周期内保证数字密钥服务的安全性和可用性。这需要从架构设计、测试验证和安全运行三个阶段来保证。

TSM(可信服务管理器):通过允许访问智能设备中的(嵌入式)安全元素，服务提供商(OEMs)可以远程分发和管理他们的非接触式应用程序。

移动UI:OEM/TSM和智能设备之间的接口。这也叫OEM应用。

安全组件SE:安全存储在智能设备上。它可以采取嵌入式安全元件或UICC安全元件的形式。

SE提供商:SE提供商，提供SE对TSM的访问。

SE提供商代理:SE提供商的SE访问接口。SE提供商可以通过专有接口/功能访问它。

TUI:可信用户界面。通常是TEE的一部分。

TEE:可信执行环境。主机应用处理器上安全可信的执行环境。

数字密钥服务的其他相关标准:

蓝牙低功耗BLE无线技术标准，用于在短距离内交换来自固定和移动设备的数据，并构建个人区域网络(PAN)。

GP:在安全芯片技术上，安全交互地实现多个嵌入式应用的部署和管理。

NFC:实现电子设备之间简单安全的双向交互，让消费者一键进行非接触式交易，访问数字内容，连接电子设备。

安全要求:持有数字密钥的用户设备必须实施保护数字密钥的机制，防止未经授权使用数字密钥。需要密钥保护来防止未经授权的复制；修改和删除现有密钥。未经授权创建和提供新的；和拒绝服务(例如，干扰原始设备制造商应用程序或车辆与智能设备之间的连接)。未经授权使用数字密钥包括未经授权的用户使用，或授权用户在允许的应用范围之外使用。

安全机制需要解决以下威胁:

软件攻击者获得根访问权限，在设备上安装恶意应用程序并重置设备。

物理攻击者读取并修改存储在设备上的任何数据。

通信攻击者控制设备和车辆之间的所有通信或中继通信。

数字钥匙相关消息在持有数字钥匙的设备和车辆(钥匙使用)、另一个设备(对等钥匙共享)和远程后端(钥匙供应)之间交换。安全架构必须使这些消息的接收者能够验证消息的可信度。

与持有数字密钥的设备进行的任何消息交换必须满足以下目标:

可信设备应该只接受来自可信设备的消息，也就是说，攻击者不应该能够创建虚假消息。

完整性设备应该检测到攻击者已经删除了全部或部分消息。

时间敏感型攻击者无法重播旧消息。

绑定的数字密钥应该安全地绑定到当前用户，也就是说，攻击者不应该冒充以前的用户。

独立的消息交换不应该公开关于相同或另一个数字密钥的不想要的属性的消息。

对于拥有和管理数字密钥的设备，我们假设一个基于硬件的可信执行环境，它可以支持任何制造商签名代码的安全执行，也可以限于预定义的功能。此外，我们假设设备具有操作系统(OS)安全框架，其中可以限制对安全服务的访问。操作系统安全框架提供运行时隔离和独立存储。我们假设操作系统安全框架本身的完整性受到保护。

结论:汽车数码钥匙无疑将成为新一代汽车的标准配置。许多汽车制造商在构建数字钥匙解决方案时，并没有充分考虑到数字钥匙实际上是一项非常重要的服务。但如何保证这项服务的安全性，需要汽车厂商的旅行服务商在初始设计阶段，通过结构化业务场景中的不同用例，分析具体的安全需求，从而选择合适的技术和标准，构建安全的数字密钥系统。还有一点很重要，数字密钥服务的生命周期较长(5~10年)，是否具有完整的更新能力也将决定整个生命周期内数字密钥服务的安全性。(来源:安志科)