伴随车联网的发展，智能汽车正不断强化车辆与内外部环境的交互，实现车与车、车与路、车与云、车与人等全方位的连接，而这也使得车载信息与数据安全面临着全新的挑战——公开数据显示，截至2023年8月底，智能汽车安全漏洞已经超过3700个，涉及车型1000多个，业内“流行”的漏洞重复率达到了70%。

面对层出不穷的车辆安全问题，越来越多的政府和行业组织明确提出“智能车的安全需要构建在安全芯片基础上”，例如CC认证、GP SIP 认证、EVITA、GSMA关于汽车安全的要求，SE（Secure Element）和HSM(Hardware Security Module，硬件安全模块）已成为智能车的安全基础，成为行业默认的标准。

2024年6月27日，紫光同芯微电子有限公司汽车安全芯片产品经理兰瑞芬受邀出席由盖世汽车主办的“2024第三届中国车联网安全大会”，发表了《汽车安全芯片可信架构在车联网中的应用》的主题演讲，全面分享了汽车安全芯片解决方案的技术逻辑与实践案例，以期降低技术壁垒，为上下游伙伴提供正确的安全芯片使用方法。

安全芯片可信架构应用现状

在软件定义汽车的背景下，车辆的应用场景越来越丰富。在复杂多样的应用场景中，尤其是车内外通信场景，安全芯片正发挥着至关重要的作用。安全芯片的应用涉及车辆的各个节点，包括OBD安全、T-BOX安全、车内网关安全、在线升级FOTA安全、V2X网联安全、汽车钥匙安全、IVI安全等。

图源：紫光同芯

据兰瑞芬介绍，安全芯片的主要功能涵盖可信根密钥存储、通信安全、敏感数据加密以及身份认证等方面。近年来，安全芯片已经广泛应用于车联网信息安全领域，但在应用过程中，也产生了一些认知误区：

图源：紫光同芯

1、使用者在观念上简单地将安全与MCU画等号，忽略了许多预先要考虑的环节。

2、使用者往往只关注到了安全算法、物理防护等，忽略了安全系统的使用方法。

同时伴随安全芯片不断应用于智能网联汽车领域，行业对其的困惑也在陆续显现：

如何在多个场景中实现统一管理？

能否用一颗安全芯片搞定车辆使用的全部场景？

要解决上述问题，首先需要了解“安全芯片可信架构”，再基于“可信架构”，正确使用安全芯片，赋能智能汽车安全发展。

什么是安全芯片可信架构？

早在2010年，安全芯片可信架构便已开始应用于金融领域，之后被拓展到了更广泛的安全应用领域。安全芯片可信架构即Java Card+GP的环境，主要由安全芯片固件组成。

其工作原理为：在GP架构中定义一个SD（Security Domain），可将其理解为一个“地盘”。车企可以将密钥、应用等放在自己的“地盘”里，所有信息安全权限全权由车企管理。同时，加油站、订餐软件等不同的应用场景也可以放在这颗芯片中。简言之，在汽车领域，不同的实体既可以集成在同一颗芯片中，也可以独立管理自己的应用，这样的环境就是Global Platform，即可信架构。

从功能上来看，基于可信架构可以实现针对多场景的统一管理，实现一颗安全芯片搞定多个实体间的合作。

“对症下药”，将可信架构应用于汽车安全芯片

为什么说可信架构是解决汽车安全芯片使用困惑的破题点？兰瑞芬提出，可以回归到安全芯片的构成具体来看：

安全芯片系统 | 图源：紫光同芯

第一层是安全芯片的硬件，作为专门的固件用于防物理攻击。

第二层是Java和虚拟机。

第三层就是可信架构，即多应用、多实体共同使用的场景。目前，GP已经发展到了2.3阶段，并随着应用发展逐步演进、渗透到了车联网领域。

第四层是安全双方交互。安全必然涉及到加密方和解密方，解密方通常有几种载体，比如服务器TSM（里面会承载Applet，管理数据）；对端的安全芯片实现“一芯一密”后再放到对应的Applet中，从而保障数据安全。

另外值得一提的是，在该系统中还有一个车联网领域此前尚未涉猎的“安全通道”概念。所谓安全通道，即两个实体在已知的固定密钥状态下，通过随机数分散出阶段性的密钥后再进行双向认证、确认过程密钥，然后利用该密钥进行后续的指令交互过程的保护、完整性校验或者密钥加密。

因此安全芯片可信架构能够从生态链底层环境保证安全，其价值具体表现为四个方面：

第一，保证过程的安全性。无论上层搭载什么软件，底层芯片的密钥都不会泄露。

第二，可以支持多应用互操作。在该平台上多个实体可以共同合作，从车企到后续增加的各种各样的应用，包括WPC认证、车载防伪、车载支付等。当不需要某个应用时，还可以轻松实现卸载解耦，方便多应用互生共存。

第三，该系统已经得到了国际安全机构验证，是一个值得使用者信赖的系统。

第四，易扩展。当前，智能汽车的应用场景越发复杂，应用要求众多，该系统可以方便应用的集成和使用，做到“随取随用，不用即去”。

作为业内领先的安全芯片设计企业，紫光同芯将在安全芯片可信架构方面积累的丰富的实践经验，融合到智能网联汽车领域，推出了系列汽车安全芯方案。

紫光同芯汽车安全芯片产品矩阵

紫光同芯的汽车安全芯片应用实践

其中，数字钥匙解决方案是紫光同芯系列汽车安全芯方案的典型应用案例。

目前，国内的数字钥匙标准包括CCC、ICCE和ICCOA等多个协议，再加上国际数字钥匙标准，每个标准都需要装入车端。兰瑞芬表示，在安全芯片可信架构加持之下，使用者可以将每个标准做成单独的Applet，操作更便捷，安全性也更全面。

依托23年来在安全芯片和近场通信NFC领域的经验积累，紫光同芯开发了包含车端SE T97-315E、KeyFob SE T95-141A 、NFC钥匙卡T92-116F和NFC Reader THN31A等系列产品，提供数字钥匙整体解决方案，可保证数字钥匙从车到云、云到端的安全性。

汽车安全芯片 | 图源：紫光同芯

不止于此，紫光同芯汽车安全芯片 T9系列采用自研安全固件，可提供密钥/可信根安全存储、通信安全传输、数据加密保护以及身份认证等安全服务，除数字钥匙车机、车云认证等场景外，还广泛应用于国六T-BOX数据加密，乘用车T-BOX、OBD身份认证和数据加密等领域，其产品性能卓越，表现出四大优势：

1、高安全：通过国际CC EAL6+、国密二级等安全认证，支持国际、国密算法和国际、国内相关规范，真随机数发生器，车机互联GP标准通信安全。

2、高可靠：通过AEC-Q100认证，全流程闭环车规管控，低PPM品质管理。

3、低功耗：采用高效精简的自研操作系统，1.8V-5V宽工作电压范围，无通信时进入低功耗模式，满足车联网、物联网低功耗要求。

4、一站式解决方案：拥有芯片+固件+SDK全套解决方案，可提供灵活、定制化的安全服务。

同时，相较于传统IC生产完即结束的流程，紫光同芯汽车安全芯片的部署方案涉及更多环节——在IC出厂时便会附带相关组件，提供安全可信的个人化灌装服务，为用户搭建能够安全存放密钥或进行芯片认证的可信环境，整个部署过程覆盖工厂到云端再到灌装的全部环节，并且会先客户一步考虑整体情况。

SE部署方案 | 图源：紫光同芯

总之，紫光同芯构建的这套安全芯片可信架构，可以为数字钥匙提供端到端的全路径安全支撑，保证数据传递的完整性和有效性，并且极大地缩短了汽车厂商的适配开发周期；支持多种数字钥匙形态，能够满足不同使用场景和消费人群，已经导入多家头部Tier1和国内大部分主机厂，实现了大规模稳定出货。