一文解讀車(chē)聯(lián)網(wǎng)安全技術(shù)和現(xiàn)階段部署
車(chē)聯(lián)網(wǎng)系統(tǒng)安全風(fēng)險(xiǎn)分析
智能網(wǎng)聯(lián)汽車(chē)經(jīng)歷了由2G/3G/4G蜂窩通信實(shí)現(xiàn)定位導(dǎo)航、遠(yuǎn)程管理和e-call服務(wù)的階段后,進(jìn)入了由DSRC(歐盟)和C-V2X(中國(guó)、北美等)技術(shù)主導(dǎo)的車(chē)路協(xié)同時(shí)代。隨著汽車(chē)網(wǎng)聯(lián)化、智能化的不斷升級(jí),汽車(chē)已經(jīng)越來(lái)越脫離“機(jī)械”的屬性,而更像是一臺(tái)“移動(dòng)計(jì)算機(jī)”。車(chē)載ECU、軟件和網(wǎng)絡(luò)的擴(kuò)展,使汽車(chē)電器復(fù)雜度呈現(xiàn)爆發(fā)式的增長(zhǎng)。隨之而來(lái)的是,車(chē)輛面臨著數(shù)據(jù)安全隱患的層層威脅,這種威脅與每一位道路使用者息息相關(guān)。
從車(chē)聯(lián)網(wǎng)整體架構(gòu)出發(fā),可以從終端、通信網(wǎng)絡(luò)和云平臺(tái)三個(gè)方向分別討論車(chē)聯(lián)網(wǎng)面臨的數(shù)據(jù)安全隱患。
終端側(cè)安全隱患
車(chē)載終端OBU和路側(cè)設(shè)備RSU面臨著不同的安全風(fēng)險(xiǎn)。
OBU安裝在車(chē)內(nèi),通過(guò)CAN總線或者車(chē)載以太網(wǎng)等接口與車(chē)輛進(jìn)行信息交互,可以獲取整車(chē)行駛狀態(tài)信息,在L3以上級(jí)別自動(dòng)駕駛系統(tǒng)上甚至可以參與車(chē)輛控制,這就導(dǎo)致車(chē)載終端更容易成為惡意攻擊的目標(biāo)。身份冒用、違規(guī)操作、個(gè)人信息泄露、車(chē)輛行駛信息泄露、非法控制車(chē)輛,甚至惡意控制車(chē)輛都是我們每一個(gè)車(chē)主將要面臨的安全隱患,嚴(yán)重威脅著每一位駕乘人員的個(gè)人隱私和生命安全。
RSU對(duì)隱私設(shè)置沒(méi)有要求,但作為車(chē)聯(lián)網(wǎng)路側(cè)核心設(shè)備,它面臨著非法接入、運(yùn)行環(huán)境不確定、設(shè)備漏洞、遠(yuǎn)程升級(jí)風(fēng)險(xiǎn)和部署維護(hù)風(fēng)險(xiǎn)。
通信網(wǎng)安全隱患
通信網(wǎng)絡(luò)主要面臨著虛假信息、信息監(jiān)聽(tīng)/竊取、數(shù)據(jù)篡改/重放、非法入侵、訪問(wèn)控制、假冒終端和隱私泄露等用戶面風(fēng)險(xiǎn)。例如,在剛剛過(guò)去的2021年C-V2X行業(yè)活動(dòng)中,針對(duì)車(chē)聯(lián)網(wǎng)安全,設(shè)置驗(yàn)證了4個(gè)場(chǎng)景,分別是偽造限速預(yù)警防御、偽造紅綠燈信息防御、偽造緊急車(chē)輛防御、偽造前向碰撞預(yù)警防御。
車(chē)聯(lián)網(wǎng)云平臺(tái)安全隱患
我們一般所說(shuō)的云平臺(tái),可以包括中心業(yè)務(wù)云、區(qū)域云和邊緣云。網(wǎng)絡(luò)爬蟲(chóng)、網(wǎng)絡(luò)漏洞、非法留存數(shù)據(jù)、病毒木馬、信息泄露、DDoS攻擊、APT攻擊,甚至可以通過(guò)云平臺(tái)非法控制車(chē)輛。本文我們重點(diǎn)討論車(chē)聯(lián)網(wǎng)通絡(luò)網(wǎng)絡(luò)層面的安全技術(shù)。也就是現(xiàn)在通常提到的“車(chē)聯(lián)網(wǎng)CA技術(shù)”。
車(chē)聯(lián)網(wǎng)CA技術(shù)架構(gòu)
大家都知道,C-V2X車(chē)聯(lián)網(wǎng)技術(shù)包括蜂窩Uu(4G/5G)和PC5兩種通信模式。目前基于Uu接口的C-V2X安全采用已有的移動(dòng)蜂窩系統(tǒng)提供的安全機(jī)制來(lái)保證,技術(shù)相對(duì)成熟完善,由蜂窩網(wǎng)絡(luò)運(yùn)營(yíng)商提供。在LTE系統(tǒng)中,基于PC5的C-V2X系統(tǒng)采用廣播的方式進(jìn)行通信,因此在網(wǎng)絡(luò)層沒(méi)有定義相關(guān)的安全機(jī)制進(jìn)行保護(hù),完全由應(yīng)用層安全來(lái)實(shí)現(xiàn)。目前C-V2X系統(tǒng)在應(yīng)用層主要考慮采用數(shù)字證書(shū)的方法(PKI體系)實(shí)現(xiàn)業(yè)務(wù)消息的數(shù)字簽名及加解密,通過(guò)部署“證書(shū)頒發(fā)機(jī)構(gòu)”,即CA平臺(tái)(Certificate Authority),來(lái)進(jìn)行數(shù)字證書(shū)的全生命周期管理。通信交互時(shí),車(chē)聯(lián)網(wǎng)終端需要從CA平臺(tái)下載相應(yīng)的數(shù)字證書(shū),并使用數(shù)字證書(shū)對(duì)將要發(fā)送的消息進(jìn)行簽名,對(duì)接收到的業(yè)務(wù)消息進(jìn)行驗(yàn)簽,從而保證消息的完整性以及業(yè)務(wù)消息來(lái)源的合法性。
我國(guó)車(chē)聯(lián)網(wǎng)安全管理系統(tǒng)的架構(gòu)及可信模型自上而下分別由「ITS管理機(jī)構(gòu)」、基于可信關(guān)系的「根CA」、「注冊(cè)及授權(quán)CA」以及設(shè)備端的安全組件構(gòu)成。簡(jiǎn)單來(lái)說(shuō),就是由ITS管理機(jī)構(gòu)生成可信根證書(shū)列表,列表內(nèi)包括多個(gè)根PKI關(guān)系,例如注冊(cè)根CA、假名根CA和應(yīng)用根CA等,這些根PKI關(guān)系相互之間可以獨(dú)立運(yùn)行,且可以互聯(lián)互通。由可信列表中的根CA逐級(jí)向下授權(quán)對(duì)應(yīng)的CA證書(shū)。
在C-V2X業(yè)務(wù)中,車(chē)聯(lián)網(wǎng)終端首先需要獲得注冊(cè)證書(shū),即ECA。注冊(cè)證書(shū)與終端設(shè)備一一對(duì)應(yīng)。一般來(lái)說(shuō),無(wú)論是RSU還是OBU,均需要在其系統(tǒng)的安全初始化階段向注冊(cè)機(jī)構(gòu)申請(qǐng)ECA,這一步通常在設(shè)備出廠時(shí)完成。然后使用ECA去請(qǐng)求其他證書(shū),如假名證書(shū)PCA和應(yīng)用證書(shū)ACA等。
在實(shí)際應(yīng)用中,為了保護(hù)用戶的隱私,避免車(chē)輛軌跡被追蹤,車(chē)載終端OBU需要使用假名證書(shū)PCA來(lái)簽發(fā)消息。一個(gè)OBU可以在某個(gè)時(shí)間段內(nèi)擁有很多個(gè)可以隨機(jī)選擇使用的假名證書(shū),就相當(dāng)于車(chē)輛被授予一個(gè)綽號(hào),以這個(gè)綽號(hào)進(jìn)行網(wǎng)聯(lián)通信,并且每個(gè)幾分鐘就會(huì)更換一個(gè)新的PCA,避免因?yàn)殚L(zhǎng)期使用一個(gè)簽名證書(shū)致使行駛軌跡泄露。
另外一個(gè)比較重要的數(shù)字證書(shū)是應(yīng)用證書(shū)ACA。它是頒發(fā)給路側(cè)設(shè)備RSU和業(yè)務(wù)應(yīng)用的證書(shū),用于路側(cè)設(shè)備和業(yè)務(wù)應(yīng)用簽發(fā)應(yīng)用消息,例如紅綠燈狀態(tài)、交通狀態(tài)等。由于路側(cè)設(shè)備和業(yè)務(wù)應(yīng)用沒(méi)有隱私限制,因此不同于車(chē)載終端,針對(duì)每個(gè)車(chē)聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用,路側(cè)設(shè)備或業(yè)務(wù)應(yīng)用只有一個(gè)真實(shí)有效的應(yīng)用證書(shū)ACA。
首先,證書(shū)管理系統(tǒng)向車(chē)聯(lián)網(wǎng)V2X設(shè)備辦法其用于簽發(fā)消息的公鑰證書(shū),發(fā)送端設(shè)備利用頒發(fā)給它的公鑰證書(shū)對(duì)應(yīng)的私鑰對(duì)消息進(jìn)行數(shù)字簽名,將簽名消息連同公鑰證書(shū)或證書(shū)鏈一同播發(fā)出去。作為接收方設(shè)的V2X終端首先驗(yàn)證消息發(fā)送方的證書(shū)鏈?zhǔn)欠裼行В缓笫褂迷摂?shù)字證書(shū)對(duì)簽名消息進(jìn)行驗(yàn)證,在驗(yàn)證過(guò)程中還需要驗(yàn)證所簽消息是否在簽名證書(shū)所規(guī)定的權(quán)限內(nèi),沒(méi)有通過(guò)驗(yàn)證消息將被設(shè)備忽略。
車(chē)聯(lián)網(wǎng)CA產(chǎn)業(yè)布局
如上一章節(jié)所述,在現(xiàn)階段,在V2X安全產(chǎn)業(yè)中主要參與方包括:車(chē)聯(lián)網(wǎng)安全信任根管理平臺(tái)、行業(yè)級(jí)根CA、運(yùn)營(yíng)服務(wù)CA、端側(cè)CA(安全芯片)。
「車(chē)聯(lián)網(wǎng)安全信任根管理平臺(tái)」指的是由ITS管理機(jī)構(gòu)“認(rèn)可頒發(fā)的 “可信根證書(shū)列表”,這樣就可以在存在多個(gè)獨(dú)立PKI系統(tǒng)時(shí),這些PKI之間可以根據(jù)需要構(gòu)建可信關(guān)系,實(shí)現(xiàn)證書(shū)互認(rèn)。在國(guó)內(nèi),是由中國(guó)信息通信研究院(信通院)建立可信根管理技術(shù)平臺(tái),簽發(fā)可信根證書(shū)列表。
「行業(yè)級(jí)根CA」是某個(gè)獨(dú)立的PKI系統(tǒng)的安全錨點(diǎn),用于向下級(jí)子CA頒發(fā)子CA證書(shū)。行業(yè)級(jí)根CA目前只有國(guó)汽智聯(lián)、大唐高鴻、中汽中心、江蘇ITS、中交國(guó)通可以提供。
「CA運(yùn)營(yíng)平臺(tái)」是專門(mén)提供數(shù)字證書(shū)全生命周期管理的平臺(tái),主要是向車(chē)聯(lián)網(wǎng)終端提供證書(shū)下載服務(wù)。目前國(guó)內(nèi)已經(jīng)有許多提供安全服務(wù)的廠家進(jìn)入了這個(gè)圈子,在下面的篇幅中會(huì)對(duì)其中部分廠家進(jìn)行簡(jiǎn)單介紹。「端側(cè)CA」,指的是集成在車(chē)聯(lián)網(wǎng)設(shè)備中的安全組件,也就是加密芯片(HSM),它能夠支持OBU和RSU設(shè)備進(jìn)行可靠、高效的簽名驗(yàn)簽處理。其中,由于在現(xiàn)階段整個(gè)車(chē)聯(lián)網(wǎng)產(chǎn)業(yè)模式的還有很多不確定性,「車(chē)聯(lián)網(wǎng)安全信任根管理平臺(tái)」和「行業(yè)級(jí)根CA」兩個(gè)部分仍處于討論待定階段。在此文章先不重點(diǎn)討論。
CA平臺(tái)和終端側(cè)HSM開(kāi)始進(jìn)入商業(yè)化階段
參考2020年及2021年車(chē)聯(lián)網(wǎng)行業(yè)活動(dòng)“X跨”行業(yè)活動(dòng)報(bào)名組隊(duì)情況及筆者最新的市場(chǎng)調(diào)研,目前市場(chǎng)上技術(shù)相對(duì)成熟的CA平臺(tái)運(yùn)營(yíng)服務(wù)商舉例如下:
這些企業(yè)中大多數(shù)已經(jīng)與國(guó)內(nèi)的主流車(chē)企建立了合作關(guān)系,但由于整個(gè)車(chē)聯(lián)網(wǎng)V2X產(chǎn)業(yè)尚處在商用規(guī)模化部署前夜,大多數(shù)企業(yè)仍處于業(yè)務(wù)探索過(guò)程中,整個(gè)行業(yè)還沒(méi)明顯形成非常完善的商業(yè)體系。
工信部政策指導(dǎo)下,車(chē)聯(lián)網(wǎng)CA試點(diǎn)工作正在穩(wěn)步推進(jìn)中
近些年,工信部與國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)等聯(lián)合印發(fā)了《國(guó)家車(chē)聯(lián)網(wǎng)產(chǎn)業(yè)標(biāo)準(zhǔn)體系建設(shè)指南(總體要求)》、《國(guó)家車(chē)聯(lián)網(wǎng)產(chǎn)業(yè)標(biāo)準(zhǔn)體系建設(shè)指南(信息通信)》、《國(guó)家車(chē)聯(lián)網(wǎng)產(chǎn)業(yè)標(biāo)準(zhǔn)體系建設(shè)指南(車(chē)輛智能管理)》等系列文件。
但由于基于V2X車(chē)聯(lián)網(wǎng)的直連通信網(wǎng)絡(luò)帶寬、車(chē)載系統(tǒng)的算力和存儲(chǔ)空間等限制,傳統(tǒng)的數(shù)字證書(shū)已經(jīng)很難滿足C-V2X場(chǎng)景下的安全認(rèn)證和安全通信需求。證書(shū)發(fā)放規(guī)模巨大,終端簽名驗(yàn)簽對(duì)效率和性能的要求急速增高,以及車(chē)輛異常行為管理等問(wèn)題都亟待解決。日前,一些車(chē)聯(lián)網(wǎng)安全工作組正在設(shè)計(jì)符合最新國(guó)家標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)要求的且適合C-V2X場(chǎng)景下的PKI體系數(shù)字證書(shū),用以支持V2X場(chǎng)景下的大容量、高性能的PKI證書(shū)的服務(wù)需求。參編單位20余家,包括汽車(chē)、通信、安全、密碼相關(guān)企業(yè),內(nèi)容涉及對(duì)C-V2X車(chē)聯(lián)網(wǎng)安全的總體要求、證書(shū)管理系統(tǒng)、測(cè)試方法、異常行為識(shí)別等方面。
車(chē)聯(lián)網(wǎng)安全未來(lái)展望
面對(duì)車(chē)聯(lián)網(wǎng)業(yè)務(wù)新的系統(tǒng)組成和應(yīng)用場(chǎng)景,基于LTE的V2X車(chē)聯(lián)網(wǎng)系統(tǒng)在網(wǎng)絡(luò)通信、業(yè)務(wù)應(yīng)用、終端設(shè)備等各個(gè)方面都需要采取有效的安全機(jī)制,保證車(chē)聯(lián)網(wǎng)業(yè)務(wù)數(shù)據(jù)的通信安全和用戶隱私信息的安全。
為了能夠有效支撐基于PKI公鑰體系的應(yīng)用層安全認(rèn)證和安全通信機(jī)制,LTE-V2X需要建立一套完整的證書(shū)管理系統(tǒng)。通過(guò)實(shí)踐總結(jié)經(jīng)驗(yàn),目前V2X安全認(rèn)證與管理體系在支撐V2X市場(chǎng)化方面還存在一些需要多方討論商榷的內(nèi)容。
- CA的部署與車(chē)聯(lián)網(wǎng)業(yè)務(wù)管理模式緊密相關(guān),在管理模式尚未清晰的情況下很難給出確切的部署方案建議。
- 使用哪一種安全認(rèn)證系統(tǒng)頂層信任機(jī)制才能更有效地實(shí)現(xiàn)“跨根互認(rèn)”;
- 車(chē)聯(lián)網(wǎng)安全應(yīng)以滿足汽車(chē)生產(chǎn)及應(yīng)用為首要目標(biāo),下一步應(yīng)與汽車(chē)生產(chǎn)企業(yè)緊密合作,討論V2X車(chē)輛“入網(wǎng)”測(cè)試機(jī)制需要包含哪些檢測(cè)內(nèi)容,注重來(lái)自于車(chē)廠的產(chǎn)業(yè)需求,尋求高效、便捷的安全技術(shù)方案。
- 證書(shū)的互聯(lián)互通性還有待提升。假設(shè)OBU或RSU里集成的是A廠家提供的加密芯片,而使用設(shè)備的業(yè)主方(示范區(qū)或高速公路、礦區(qū)等)部署的是B廠家的CA運(yùn)營(yíng)平臺(tái),就會(huì)存在兩家企業(yè)CA系統(tǒng)無(wú)法直接對(duì)接的情況,也就是說(shuō)A廠家的HSM芯片無(wú)法直接從B廠家的CA平臺(tái)中下載數(shù)字證書(shū)去進(jìn)行消息簽名驗(yàn)簽處理。
- 在今后的發(fā)展中,LTE-V2X車(chē)聯(lián)網(wǎng)還將與移動(dòng)邊緣計(jì)算技術(shù)相結(jié)合,形成分層、多級(jí)邊緣計(jì)算體系,滿足更多復(fù)雜、高速、低時(shí)延車(chē)聯(lián)網(wǎng)業(yè)務(wù)處理及響應(yīng)的需要。如何迭代輕量級(jí)安全技術(shù),提高運(yùn)行效率、降低安全信息帶寬占用及密碼運(yùn)算開(kāi)銷(xiāo),都將是非常需要討論的問(wèn)題。
車(chē)聯(lián)網(wǎng)C-V2X已開(kāi)始加速進(jìn)入規(guī)模化部署階段,從示范區(qū)先導(dǎo)區(qū)走向商用,從輔助預(yù)警走向自動(dòng)駕駛,走向老百姓的日常生活。車(chē)輛、交通、城市管理、云平臺(tái),車(chē)聯(lián)網(wǎng)這門(mén)大融合學(xué)科需要在多方共同的努力推動(dòng)下才能明確產(chǎn)業(yè)運(yùn)營(yíng)模式,實(shí)實(shí)在在的向前跨一大步。數(shù)據(jù)安全作為其中一項(xiàng)重點(diǎn)攻關(guān)問(wèn)題,關(guān)系到個(gè)人用戶隱私和整個(gè)交通系統(tǒng)的安全穩(wěn)定運(yùn)作,需要各參與方在整體系統(tǒng)架構(gòu)和證書(shū)管理機(jī)制上持續(xù)進(jìn)行更加深入的研究和設(shè)計(jì)。
