车联网密码安全那些事儿

加密在车机端中有很多的使用场景。具体来说，包括充电系统在内，从车机端到CAN总线，都存在一个信息加密的需求和要求。密钥的生成和管理是车联网安全的核心需求。

由于汽车产业升级，传统汽车厂商在向面向未来的智能网联汽车厂商转变，催生出了IVI、TBOX等带有应用（APP）和互联网访问需求的车辆端系统和随之而来的数据和网联安全需求。从这个角度来说，所有带有应用和程序处理的车端系统，实际都需要对内存、缓存的数据进行加密处理，防止泄露。

针对车端的应用，需要建立认证和访问控制，防止其他应用组件（LIB、SDK）等对本应用的资源（LIB、SDK）、缓存、内存的数据进行访问读取。而车端系统对外的访问，也是可以细分为对互联网内容请求下载、语音助手后台访问、备份后台访问、云访问、V2X的车路间、车车间互访等。这些访问都是要求互联网资源的访问，所以在链路上、后台上一定包含加密传输、对端认证的需求。除此之外，隐含的还有对硬件的加密需求，比如硬盘和新能源充电桩等。

车联网安全标准体系可以细分出很多方向，今天我们主要研究车联网安全标准中的密钥安全要求。

《汽车整车信息安全》中第三方应用要求的7.2.1需要应对第三方应用的真实性和完整性进行检验。这就需要车辆同第三方之间要么建立专用网络通讯（VPN），要么使用TLS1.2以上进行通信。

如果使用VPN的情况，那么一般来说无外呼使用IPSEC或者OPENVPN。IPSEC是可以使用隧道模式的加密通信技术，使用IPSEC可以实现隧道加密，保护数据通信的真实性和完整性。

一般来说，车端连接后台和服务可以考虑使用IPSEC VPN隧道模式保护。但对于车企来说，维护几十万个IPSEC VPN可能是一项繁琐冗余的成本。所以相对于IPSEC VPN，业界一般会考虑使用OPENVPN技术实现隧道化通信，一样可以保护第三方应用的真实性和完整性。

OPEN VPN基于SSL协议，可通过车机端内置配置文件轻松实现拨号握手和隧道建立，而OPENVPN的配置文件可以通过软件批量下发注入到车机端中。OPENVPN具有连接鲁棒性，而且是一种CS架构的VPN，可通过后台直接管理。OPENVPN对于车辆连接后台服务器获取升级包的操作，具有直接的实际意义。一个升级文件通过OPENVPN的隧道传输到车机端，比任何其他的OTA（update on air）方式都更具有安全性。

针对互联网资源下载的操作，也可以不使用VPN。如获取音乐视频的操作。这种下载类的操作保护数据的真实性和完整性可以通过TLS1.2实现。TLS1.2其实是一种SSL VPN，但是主要面向连接，也就是服务器和客户端这种类型，具有部署灵活，应用面广的特点。理论上存在TLS降级的风险，实际应用中，可以通过部署安全措施避免。

总体来说，车联网密码安全的几个主要关注点如下。一是密钥的算法选择本身需要安全可靠算法。二是密钥的访问管理，需要具有权限控制、访问控制。三是密钥的安全存储，需要有可靠的存储区域、可信的安全存储算法。四是密钥本身的安全轮换，包含对称密钥的重新生成、对称密钥的安全分发；非对称密钥的重新生成和安全分发。

从车机端角度，可以分为三个层面：一是系统层面的密码保护，包含系统账户管理和访问控制、权限管理、密码管理。二是存储层面，加密存储数据、安全存储密钥、缓存加密、内存加密。三是通讯层面，包含资源下载加密访问、隧道加密访问后台升级、加密传输数据等。