--关注回复“SOA”--
↓↓领取:面向智能车辆开发的开放性SOA方案↓↓
智能网联汽车经历了由2G/3G/4G蜂窝通信实现定位导航、远程管理和e-call服务的阶段后,进入了由DSRC(欧盟)和C-V2X(中国、北美等)技术主导的车路协同时代。随着汽车网联化、智能化的不断升级,汽车已经越来越脱离“机械”的属性,而更像是一台“移动计算机”。车载ECU、软件和网络的扩展,使汽车电器复杂度呈现爆发式的增长。随之而来的是,车辆面临着数据安全隐患的层层威胁,这种威胁与每一位道路使用者息息相关。从车联网整体架构出发,可以从终端、通信网络和云平台三个方向分别讨论车联网面临的数据安全隐患。车载终端OBU和路侧设备RSU面临着不同的安全风险。OBU安装在车内,通过CAN总线或者车载以太网等接口与车辆进行信息交互,可以获取整车行驶状态信息,在L3以上级别自动驾驶系统上甚至可以参与车辆控制,这就导致车载终端更容易成为恶意攻击的目标。身份冒用、违规操作、个人信息泄露、车辆行驶信息泄露、非法控制车辆,甚至恶意控制车辆都是我们每一个车主将要面临的安全隐患,严重威胁着每一位驾乘人员的个人隐私和生命安全。RSU对隐私设置没有要求,但作为车联网路侧核心设备,它面临着非法接入、运行环境不确定、设备漏洞、远程升级风险和部署维护风险。通信网络主要面临着虚假信息、信息监听/窃取、数据篡改/重放、非法入侵、访问控制、假冒终端和隐私泄露等用户面风险。例如,在刚刚过去的2021年C-V2X行业活动中,针对车联网安全,设置验证了4个场景,分别是伪造限速预警防御、伪造红绿灯信息防御、伪造紧急车辆防御、伪造前向碰撞预警防御。我们一般所说的云平台,可以包括中心业务云、区域云和边缘云。网络爬虫、网络漏洞、非法留存数据、病毒木马、信息泄露、DDoS攻击、APT攻击,甚至可以通过云平台非法控制车辆。本文我们重点讨论车联网通络网络层面的安全技术。也就是现在通常提到的“车联网CA技术”。大家都知道,C-V2X车联网技术包括蜂窝Uu(4G/5G)和PC5两种通信模式。目前基于Uu接口的C-V2X安全采用已有的移动蜂窝系统提供的安全机制来保证,技术相对成熟完善,由蜂窝网络运营商提供。在LTE系统中,基于PC5的C-V2X系统采用广播的方式进行通信,因此在网络层没有定义相关的安全机制进行保护,完全由应用层安全来实现。目前C-V2X系统在应用层主要考虑采用数字证书的方法(PKI体系)实现业务消息的数字签名及加解密,通过部署“证书颁发机构”,即CA平台(Certificate Authority),来进行数字证书的全生命周期管理。通信交互时,车联网终端需要从CA平台下载相应的数字证书,并使用数字证书对将要发送的消息进行签名,对接收到的业务消息进行验签,从而保证消息的完整性以及业务消息来源的合法性。我国车联网安全管理系统的架构及可信模型自上而下分别由「ITS管理机构」、基于可信关系的「根CA」、「注册及授权CA」以及设备端的安全组件构成。简单来说,就是由ITS管理机构生成可信根证书列表,列表内包括多个根PKI关系,例如注册根CA、假名根CA和应用根CA等,这些根PKI关系相互之间可以独立运行,且可以互联互通。由可信列表中的根CA逐级向下授权对应的CA证书。在C-V2X业务中,车联网终端首先需要获得注册证书,即ECA。注册证书与终端设备一一对应。一般来说,无论是RSU还是OBU,均需要在其系统的安全初始化阶段向注册机构申请ECA,这一步通常在设备出厂时完成。然后使用ECA去请求其他证书,如假名证书PCA和应用证书ACA等。在实际应用中,为了保护用户的隐私,避免车辆轨迹被追踪,车载终端OBU需要使用假名证书PCA来签发消息。一个OBU可以在某个时间段内拥有很多个可以随机选择使用的假名证书,就相当于车辆被授予一个绰号,以这个绰号进行网联通信,并且每个几分钟就会更换一个新的PCA,避免因为长期使用一个签名证书致使行驶轨迹泄露。另外一个比较重要的数字证书是应用证书ACA。它是颁发给路侧设备RSU和业务应用的证书,用于路侧设备和业务应用签发应用消息,例如红绿灯状态、交通状态等。由于路侧设备和业务应用没有隐私限制,因此不同于车载终端,针对每个车联网业务应用,路侧设备或业务应用只有一个真实有效的应用证书ACA。首先,证书管理系统向车联网V2X设备办法其用于签发消息的公钥证书,发送端设备利用颁发给它的公钥证书对应的私钥对消息进行数字签名,将签名消息连同公钥证书或证书链一同播发出去。作为接收方设的V2X终端首先验证消息发送方的证书链是否有效,然后使用该数字证书对签名消息进行验证,在验证过程中还需要验证所签消息是否在签名证书所规定的权限内,没有通过验证消息将被设备忽略。
如上一章节所述,在现阶段,在V2X安全产业中主要参与方包括:车联网安全信任根管理平台、行业级根CA、运营服务CA、端侧CA(安全芯片)。「车联网安全信任根管理平台」指的是由ITS管理机构“认可颁发的 “可信根证书列表”,这样就可以在存在多个独立PKI系统时,这些PKI之间可以根据需要构建可信关系,实现证书互认。在国内,是由中国信息通信研究院(信通院)建立可信根管理技术平台,签发可信根证书列表。
「行业级根CA」是某个独立的PKI系统的安全锚点,用于向下级子CA颁发子CA证书。行业级根CA目前只有国汽智联、大唐高鸿、中汽中心、江苏ITS、中交国通可以提供。
「CA运营平台」是专门提供数字证书全生命周期管理的平台,主要是向车联网终端提供证书下载服务。目前国内已经有许多提供安全服务的厂家进入了这个圈子,在下面的篇幅中会对其中部分厂家进行简单介绍。「端侧CA」,指的是集成在车联网设备中的安全组件,也就是加密芯片(HSM),它能够支持OBU和RSU设备进行可靠、高效的签名验签处理。其中,由于在现阶段整个车联网产业模式的还有很多不确定性,「车联网安全信任根管理平台」和「行业级根CA」两个部分仍处于讨论待定阶段。在此文章先不重点讨论。参考2020年及2021年车联网行业活动“X跨”行业活动报名组队情况及笔者最新的市场调研,目前市场上技术相对成熟的CA平台运营服务商举例如下:这些企业中大多数已经与国内的主流车企建立了合作关系,但由于整个车联网V2X产业尚处在商用规模化部署前夜,大多数企业仍处于业务探索过程中,整个行业还没明显形成非常完善的商业体系。
工信部政策指导下,车联网CA试点工作正在稳步推进中近些年,工信部与国家标准化管理委员会等联合印发了《国家车联网产业标准体系建设指南(总体要求)》、《国家车联网产业标准体系建设指南(信息通信)》、《国家车联网产业标准体系建设指南(车辆智能管理)》等系列文件。但由于基于V2X车联网的直连通信网络带宽、车载系统的算力和存储空间等限制,传统的数字证书已经很难满足C-V2X场景下的安全认证和安全通信需求。证书发放规模巨大,终端签名验签对效率和性能的要求急速增高,以及车辆异常行为管理等问题都亟待解决。日前,一些车联网安全工作组正在设计符合最新国家标准及行业标准要求的且适合C-V2X场景下的PKI体系数字证书,用以支持V2X场景下的大容量、高性能的PKI证书的服务需求。参编单位20余家,包括汽车、通信、安全、密码相关企业,内容涉及对C-V2X车联网安全的总体要求、证书管理系统、测试方法、异常行为识别等方面。面对车联网业务新的系统组成和应用场景,基于LTE的V2X车联网系统在网络通信、业务应用、终端设备等各个方面都需要采取有效的安全机制,保证车联网业务数据的通信安全和用户隐私信息的安全。为了能够有效支撑基于PKI公钥体系的应用层安全认证和安全通信机制,LTE-V2X需要建立一套完整的证书管理系统。通过实践总结经验,目前V2X安全认证与管理体系在支撑V2X市场化方面还存在一些需要多方讨论商榷的内容。- CA的部署与车联网业务管理模式紧密相关,在管理模式尚未清晰的情况下很难给出确切的部署方案建议。
- 使用哪一种安全认证系统顶层信任机制才能更有效地实现“跨根互认”;
- 车联网安全应以满足汽车生产及应用为首要目标,下一步应与汽车生产企业紧密合作,讨论V2X车辆“入网”测试机制需要包含哪些检测内容,注重来自于车厂的产业需求,寻求高效、便捷的安全技术方案。
- 证书的互联互通性还有待提升。假设OBU或RSU里集成的是A厂家提供的加密芯片,而使用设备的业主方(示范区或高速公路、矿区等)部署的是B厂家的CA运营平台,就会存在两家企业CA系统无法直接对接的情况,也就是说A厂家的HSM芯片无法直接从B厂家的CA平台中下载数字证书去进行消息签名验签处理。
- 在今后的发展中,LTE-V2X车联网还将与移动边缘计算技术相结合,形成分层、多级边缘计算体系,满足更多复杂、高速、低时延车联网业务处理及响应的需要。如何迭代轻量级安全技术,提高运行效率、降低安全信息带宽占用及密码运算开销,都将是非常需要讨论的问题。
车联网C-V2X已开始加速进入规模化部署阶段,从示范区先导区走向商用,从辅助预警走向自动驾驶,走向老百姓的日常生活。车辆、交通、城市管理、云平台,车联网这门大融合学科需要在多方共同的努力推动下才能明确产业运营模式,实实在在的向前跨一大步。数据安全作为其中一项重点攻关问题,关系到个人用户隐私和整个交通系统的安全稳定运作,需要各参与方在整体系统架构和证书管理机制上持续进行更加深入的研究和设计。转载自焉知智能汽车,文中观点仅供分享交流,不代表本公众号立场,如涉及版权等问题,请您告知,我们将及时处理。
-- END --
