车载信息安全 — PKI 体系快速入门

我是穿拖鞋的汉子，魔都中坚持长期主义的汽车电子工程师。

老规矩，分享一段喜欢的文字，避免自己成为高知识低文化的工程师：

做你把时间花在哪里，你的人生就在哪里。千万别看见别人发光，就觉得自己暗淡。人生如逆旅，你我皆行人。唯有不断阅己、越己、悦己才能活出生命的意义，拥有想要的生活！要记住：心灯不借他人火 ，自照乾坤步步明

不觉间来到八月，横坐在电脑前，敲击点文字，对自己也算一个时间的记忆，多年后再次点击，也期待那时会像触发记忆的闸口，让现在的这点岁月传递至那时那刻。

一、什么是 PKI

首先，PKI（Public Key Infrastructure）即公钥基础设施，它并非单一的组件或技术，而是一个综合性的体系。

公钥基础设施是一个融合了硬件、软件、专业人员、策略以及规程的集合体，其核心功能在于实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发以及撤销等一系列操作。

PKI 体系是计算机软硬件、权威机构以及各类应用系统紧密结合的产物。它为电子商务、电子政务、办公自动化等众多领域提供了基本且至关重要的安全服务。在当今数字化时代，它使得那些彼此陌生或者相隔甚远的用户，能够借助信任链安全地进行信息交流与业务往来。正如百度百科所描述的：“PKI 体系是计算机软硬件、权威机构及应用系统的结合。它为实施电子商务、电子政务、办公自动化等提供了基本的安全服务，从而使那些彼此不认识或距离很远的用户能通过信任链安全地交流。”简单来说，PKI 的核心作用就是提供彼此身份确认的服务，以此确保通信过程的安全可靠。接下来，我们打开百度的网址，进一步深入了解 PKI 体系中的各种角色。

1、数字证书

当我们与他人面对面交流时，若要确认彼此就是自己想要对话的对象，通常会互相亮出身份证来证实身份。在网络通信的世界里，同样需要一种类似的介质来确保通信双方的身份真实性，数字证书便应运而生。

当我们点开百度网址左边的小锁图标时，浏览器会显示如下界面，明确告知我们这个连接是安全的。

浏览器之所以能够确认百度的身份，正是得益于数字证书。点击该按钮，我们可以进一步查看证书的详细相关信息。

这些证书信息大致可以划分为以下 3 类：

1.1 使用者

-> 使用者信息：如果是企业，这里通常显示的是域名，在示例中为 baidu.com 等。

-> 公钥信息：这是非对称加密中用户公开的密钥，任何人都可以获取查看。

-> 有效期：规定了该数字证书的有效时间范围。

1.2 颁发者

-> 颁发者：即颁发该证书的机构，在图中显示为 GlobalSign Organization Validation。

-> 颁发者的签名：这是颁发者对该证书所有信息的数字签名，它表明颁发者对该证书的真实性承担责任。

1.3 证书的其他信息

-> 包含与证书相关的其他各类信息，例如证书的版本号、序列号等。

基于此，当浏览器访问 https 的网址时，会首先检查证书的有效性。只有证书通过验证后，浏览器才会使用证书里的信息（主要是公钥）与该网址进行后续的通信。

2、公开密钥加密（非对称加密）

数字证书的核心关键在于公钥，而公钥则是非对称加密算法的重要组成部分。非对称加密算法涉及两个关键角色：

-> 私有密钥（private key）：私有密钥具有极高的保密性，不能让其他任何人知晓。它就像是个人保险箱的专属钥匙，只有持有者才能打开。

-> 公开密钥（public key）：与私有密钥不同，公开密钥可以随意发布，任何人都可以获取。其交互过程如下（发送密文方为 A，接收方为 B）：

A 使用 B 的公开密钥对要发送的信息进行加密。

-> A 将加密后的信息发送给 B。

-> B 收到加密的信息后，使用自己的私有密钥进行解密，从而获取原始信息。

利用这种方式，不需要发送用来解密的私有密钥，因此也就不必担心密钥在传输过程中被攻击者窃听而盗走。

另外，即便攻击者知道了公开密钥和密文，想要将密文恢复到信息原文也是异常困难的。因为解密过程本质上就是在对离散对数进行求值，这在数学上是一个极其复杂的问题，并非轻而易举就能解决。

再退一步讲，从理论上来说，如果能对一个非常大的整数做到快速地因式分解，那么密码破解或许还存在一丝希望。但就目前的技术发展水平来看，这几乎是不太现实的。

3、PKI 登场

然而，上述的公开密钥加密方式仍然存在一个关键问题：

-> 无法证明公开密钥本身就是货真价实的公开密钥。

例如，A 正准备和 B 服务器建立公开密钥加密方式下的通信，A 也确实收到了一个公开密钥。但是 A 无法确定这个公开密钥是否真的来自于 B，因为在传输途中，真正的公开密钥很有可能已经被攻击者替换掉了。

所以，为了解决这个问题，还需要一套完善的机制来证明整个过程中的各个环节都是可靠的，这时就需要开头提到的 PKI 体系登场了。PKI 体系的核心在于证书的产生和分发层级。

证书的产生则依赖于一位至关重要的角色：数字证书认证机构（CA，Certificate Authority）。

在全球范围内，大概存在几十家左右的根 CA（Certificate Authority），计算机上通常都会预置这些 CA 的数字证书。比如 Amazon、Verisign 等知名机构，它们拥有一整套严谨的机制来确保自身的可信度。基于此，它们拥有自己的数字证书以及与之匹配的私钥。

如果一个网站想要获得自己的数字证书，就可以寻找一个子 CA，填写好相关信息并支付年费后，就可以拿到由该子 CA 颁发的证书。当浏览器访问该网站时，看到网站拥有业内权威机构开具的证明，并且经过浏览器自身的核对无误后，就会无条件信任该网站。

在这个体系中，PKI 必须为用户提供安全且透明的服务。用户无需考虑 PKI 体系中的证书是怎样生成、更新、撤销以及恢复的，也不必操心密钥是如何管理的。用户只需要能够方便地获得数字签名，就可以顺利地开展各种安全通信和业务活动。

二、PKI在汽车行业的应用

PKI 体系凭借其强大的安全保障能力，在汽车行业拥有极为广泛的应用场景，涵盖了远程车控、近场车控、安全启动以及 Ethernet 通信安全等众多关键领域。接下来，我们将聚焦于优先级最高的“远程车控”实例，深入剖析 PKI 体系在其中的具体应用。

1、构建专属的 PKI 体系

对于汽车企业而言，要实现远程车控的安全可靠，首要任务便是构建一套专属的 PKI 体系。这意味着企业需要引入一家专业的 PKI 供应商，借助其先进的技术和丰富的经验，搭建起证书的颁发、申请、吊销等一系列公用模块。这些模块犹如 PKI 体系的基石，为后续各应用的流程建立提供了坚实的支撑。

以一个形象的比喻来说，这就如同建造一座大厦，PKI 供应商为我们提供了建筑所需的砖块、水泥等基础材料，而我们要在此基础上，精心规划并搭建起符合自身业务需求的独特建筑结构。通过这种方式，企业能够确保 PKI 体系与自身的业务紧密结合，满足远程车控等多样化应用的安全需求。

2、多端接入 PKI 体系

在构建好 PKI 体系的基础框架后，接下来便是让手机端、云端以及车端 Tbox 等各个关键节点接入该体系。这一过程需要各端在本地生成自己的私钥，这是确保通信安全的核心要素之一，就如同每个人拥有自己专属的密码，只有持有者才能开启特定的安全通道。

随后，各端需在云端申请属于自己的证书。这一过程并非简单的申请与发放，而是需要制定严谨细致的业务流程，确保每一个环节都符合安全标准。例如，在申请证书时，需要验证各端的身份真实性，防止非法设备接入 PKI 体系，从而保障整个系统的安全性。

同时，三端都必须高度重视私钥的保管工作。手机端可以将私钥存储在 TEE（Trusted Execution Environment，可信执行环境）中，TEE 作为一种硬件级别的安全区域，能够为私钥提供高度隔离的保护，防止私钥被恶意软件窃取。云端在私钥存储方面拥有更多的选择，可以根据自身的安全需求和资源状况，选择合适的安全存储方案。车端则可将私钥存储在 HSM（Hardware Security Module，硬件安全模块）或 TEE 中，这两种硬件设备都具有强大的安全防护能力，能够有效抵御各种攻击手段。

如果由于某些原因无法采用这些硬件存储方式，也可以使用软件的白盒加密方法。白盒加密技术具有独特的优势，即使遭遇白盒攻击，即攻击者能够完全访问加密算法的执行环境和中间结果，其密钥也较难被破解。这为私钥的安全存储提供了一种可靠的软件解决方案，在一定程度上保障了远程车控的安全性。

3、开启安全业务之旅

当手机端、云端和车端都成功具备证书与私钥后，远程车控的业务流程将变得相对简单且高效。

考虑到云端与车端之间的交互频繁且数据量较大，为了提高通信效率，建议两端通过双向认证交换“会话密钥”（对称密钥）。对称加密算法在加密和解密过程中使用相同的密钥，其运算速度比非对称加密要快上千倍（具体速度会根据密钥长度的不同而有所变化）。通过交换会话密钥，云端和车端能够在保证安全性的前提下，实现快速、高效的数据传输。交换会话密钥的流程可以参考 TLS（Transport Layer Security，传输层安全）的双向认证的握手流程，该流程经过多年的实践检验，具有高度的安全性和可靠性。

在实际业务操作中，手机端将车端指令发送给云端时，会使用自己的私钥对指令进行签名。这一签名就如同手机端的“数字印章”，能够确保指令的完整性和来源的真实性。云端收到指令后，会使用手机 A 的数字证书对签名进行验证。如果验证通过，说明指令确实来自合法的手机端，且在传输过程中未被篡改。

随后，云端将车控指令用协商好的“会话密钥”加密后发送给车端。车端在收到加密指令后，首先使用相同的会话密钥进行解密，然后对指令进行验证。只有当指令验证无误后，车端才会在内部执行相应的操作，从而确保远程车控的安全性和准确性。

通过以上一系列严谨的流程和安全措施，PKI 体系在汽车行业的远程车控应用中发挥了至关重要的作用，为汽车的智能化、网联化发展提供了坚实的安全保障。

搁笔分享完毕！

愿你我相信时间的力量

做一个长期主义者