标准 | SAE J3101车辆的硬件保护安全（3）

SAE-2020-J3101 “ Hardware Protected Security for Ground Vehicle”，是美国汽车协会2016年发布的关于车辆硬件安全方面的标准，规定了地面车辆应用的硬件保护安全要求。这里的硬件特指 HSM等硬件。

SAE J3101 制定了针对这些硬件的需求，SAE J3101属于最佳实践类文档，关注整个网络安全体系中硬件的相关网络安全技术需求。

以下译文仅供业内学习参阅，如有不妥敬请见谅

5.车辆硬件保护安全的生命周期

生命周期阶段用于根据预期设备生命周期的单个或子集区分硬件需求。必须将重点放在确保硬件在生命周期的一个阶段满足可用性，而在另一个阶段不会危及安全性，超出容忍范围。SAE J3101将车辆的生命周期划分为以下几个阶段。有关产品生命周期与车辆系统网络安全相关性的更多详细信息，请参见SAE J3061标准。

5.1工程开发

组件开发工作由负责组件本身的工程团队完成。

5.2组件集成

子系统集成和开发工作完成了供应商-客户关系链，以实现最终客户产品，即车辆。

5.3制造/生产

通过供应商-客户关系链完成的一系列装配工作，以构建最终客户产品，即车辆。

制造/生产的子阶段存在于供应链的各个层级，从硅供应商到各个层级的供应商，最终到最终产品制造商（OEM）。每个子阶段可能对密钥管理和对某些特权的授权有独特的要求。

5.4分配

向最终客户运送和/或销售最终客户产品（即车辆）所需的操作模式。

5.5客户使用

最终客户产品（即车辆）的主要设计意图操作模式。必须考虑实际客户使用的产品的必要服务和预期更新，即完整的车辆。

5.6售后服务变更

OEM和/或其他第三方可以修改产品功能或配置的产品生命周期阶段。

5.7转售/翻新

操作模式和/或修复一部分或整个最终客户产品所需的一组功能，即转售给另一个客户的车辆，或共享资产（如车队）的控制权转移。

5.8处置/报废

操作模式和/或正确停用部分或全部最终客户产品（即车辆）所需的一组功能。车辆中硬件保护安全的生命周期。

6.一般要求

以下常见需求源自本文档稍后详述的用例，并代表了受硬件保护的安全环境功能的类别。

• 1.加密密钥保护
• 2.加密算法
• 3.随机数发生器
• 4.保护非易失性数据
• 5.算法灵活性
• 6.接口控制
• 7.安全的执行环境
• 8.自检

6.1强制性与可选、要求与有条件的需求陈述

第7节将把共同需求组织成有意义的集合。如果有必要实现该概要，则需要“必需”小节来适当描述该小节所述的共同要求。在每个通用需求中，如果适用于用例，可以实现“条件”子部分，但如果概要文件应用于不同的用例，则仍然可以省略。每个部分中的语句都标记为“强制”或“可选”。如果实现声称满足公共需求的特征，则必须支持“强制”语句。因此，如果概要文件不包含公共需求，则标记为“必需”的公共需求的子部分可以省略，并且在适当的用例下，公共需求的“有条件”子部分中的“强制性”语句是不必要的。

6.2加密密钥保护

6.2.1加密密钥管理入门

任何硬件保护的安全环境的主要要求是为加密密钥提供受保护的存储、管理和使用能力。与管理加密密钥相关的所有机制和功能都是安全加密密钥管理的元素。从广义上讲，密钥管理功能包括密码密钥的整个生命周期，从生成（即生成、建立、派生或输入）、存储和管理到销毁（归零）。这些关键管理方面可以按照下图所示的层次结构来描述。

硬件保护的安全环境密钥管理功能将包括一些或所有密钥管理方面，这取决于所支持的密钥类型、所使用的加密算法和协议，以及硬件保护安全环境之外的更大系统级安全服务所需的客户端功能。

图2-密钥管理和资源调配

6.2.2加密密钥保护概述

任何受硬件保护的安全环境的一个常见要求是受保护的存储和使用环境，用于存储加密密钥，该密钥将被定义为“密钥库”。

密钥库：在更大的密钥管理上下文中直接管理加密密钥的硬件保护安全环境的组件被定义为“密钥库”。密钥库负责安全地存储密钥，以防止在硬件保护的安全环境之外泄漏密钥或任何未经授权的密钥泄露。密钥库的管理和利用是受硬件保护的安全环境的主要用例，不是可选的。尽管通用和嵌入式操作系统通常包括用于管理“密钥库”的API，但API细节超出了SAE J3101的范围。

硬件保护的密钥库对于支持所有对称（秘密）和非对称（公钥和私钥对）密钥的持久存储是必要的。

注意，密钥库的功能与6.5的核心需求以及9.5和10.1的用例存在重叠。密钥库基本上与启用硬件保护的安全环境的加密功能的密钥绑定。密钥库应明确定义为不同于更一般的非易失性数据保护（在硬件保护的安全环境中）。

安全密钥使用是受硬件保护的安全环境的共同要求的另一个独特方面。假设需要一个API，通过该API，正常环境和安全环境可以清楚地管理和使用密钥库，而不会未经授权地泄露密钥库中的密钥。在密码学中，密钥和私钥（对称和非对称）必须受到保护，但所选择的算法是已知的。

使用密钥的算法必须在密钥使用期间保持密钥的安全性。应将安全密钥存储和安全密钥使用结合起来。密钥的暴露可能导致整个加密方案的彻底瓦解。

原文始发于微信公众号（轩辕实验室）：标准 | SAE J3101车辆的硬件保护安全（3）