車路協同場景身份認證及 V2X 通信安全保障
摘 要:
車聯網是汽車、電子、信息通信、道路交通運輸等行業深度融合的新型產業形態,車聯網的功能、網絡、隱私和數據安全是構成車聯網應用的關鍵。聚焦車路協同場景下的身份認證和車輛和一切萬物(Vehicle to Everything,V2X) 的通信,通過建立跨信任域身份認證機制和 V2X 通信的密鑰管理機制,在車路協同場景下為跨信任域車輛與多類路側設備提供了安全通信保障。
內容目錄:
1 車路協同應用安全需求
2 車路協同應用安全方案設計
2.1 總體介紹
2.2 身份認證系統設計
2.3 V2X 通信安全設計
2.4 敏感信息密鑰管理設計
2.4.1 集中式信任模型下密鑰管理機制
2.4.2 分布式信任模型下密鑰管理機制
3 應用效果與前景
3.1 方案創新點
3.1.1 車聯網安全信任體系
3.1.2 半分布式的密鑰管理技術
3.2 本方案優勢
3.3 應用前景
車聯網是智能化交通管理發展的需求,具有高并發、高容量、場景復雜等特點,是新一代信息通信 技術與多種技術深度融合所形成的新興業態與應用模式。車聯網的智能化、信息化、網絡化得到大幅提升 的同時也導致通過互聯網對車聯網系統進行攻擊的可 能性越來越高,車聯網的安全隱患愈加凸顯。
針對車聯網在設備安全、數據安全和應用安全等方面面臨的安全威脅與挑戰,需要解決的最為核 心和基礎的安全問題是身份認證和安全信任。本文通過研究車聯網身份認證和安全通信,建立車路通 信安全信任體系,保障車路通信安全應用。
01 車路協同應用安全需求
隨著汽車智能化、網聯化程度的加深,汽車也成為可移動、可交互的智能網絡終端。這一發展在 為生活帶來便利的同時,也引發了遠程攻擊、惡意控制、隱私保護、數據安全等問題。車路協同應用中身份偽造、終端非法接入、數據攔截、隱私信息泄露等情況,不僅可能造成企業經濟損失和個人隱私泄露,還可能威脅人身安全,甚至引發危害國家利益的公共安全問題 ;因此,車聯網中核心和基 礎的身份認證和安全信任問題需要解決,并建立信任體系 。
車路協同應用主要關注可認證性、完整性、不 可關聯性、可追蹤性、不可否認性安全需求。
(1) 可認證性: 包括對車載單元(On Board Unit,OBU)、 路 側 單 元(Road Side Unit,RSU) 等車輛和一切萬物(Vehicle to Everything, V2X) 的 節點的合法身份和交互信息的可認證性。前者實現 對合法 V2X 節點的篩選, 保證網內設備與其他設 備通信時力斷他們的身份是否合法,后者可以幫助 消息接收方判斷消息來源的真實性與有效性。(2)完整性:V2X 節點必須能判斷其接收到 的消息是否完整、是否被篡改。(3)匿名性:在車聯網通信中,車與車之間 不斷通過信息交互確認對方的位置和狀態,車輛在 通信時只需確認對方的身份是合法的,而不能通過 互發的消息包獲取對方的真實身份,是對身份隱私 保護的基本安全需求。(4)不可關聯性:車輛于不同時段發送的消 息不能被關聯,車輛的真實身份與當前的位置之間 的關聯不能被可信機構以外的節點獲取。(5)可追蹤性: V2X 節點的真實身份與其參 與的通信身份必須有所聯系,確保當需要追究相關 責任時,可信移動機構可以追測到其真實身份。(6)不可否認性: V2X 節點不能否認 - 發送 或轉發過的消息,才能保障傳輸中信息的機密性、 完整性、抗抵賴性和通信的安全性。
02車路協同應用安全方案設計
2.1 總體介紹
車與路安全通信是面向車與路側設施直連通信 場景,目的是建立車路通信安全信任體系。本文基 于成熟的公鑰基礎設施(Public Key Infrastructure, PKI)技術建設 V2X 證書管理系統,在車聯網中建 立一套完整的數字證書認證體系,實現證書頒發、 證書撤銷、終端安全信息收集、隱私保護、數據管 理、異常分析等一系列與安全相關的功能,保證車 與路協同應用場景下的身份認證和安全信任, 確 保 V2X 業務的安全。
V2X 證書管理系統為車載設備和路側設備提供 證書發布、更新、撤銷等證書管理服務。車載設備 和路側設備基于國家商用密碼的密碼芯片或者密碼 模塊,實現 V2X 證書管理、解析,消息簽名和驗簽 等密碼運算功能。在車路協同安全通信應用場景下, 車載設備與路側設備通過 V2X 證書進行身份認證和 消息驗證,從而保證車與路通信的安全性。車路協 同場景下網絡通信,基于蜂窩網絡的車用無線通信 技 術(Cellular Vehicle-to-Everything,C-V2X)、 廣播通信等通信信任與安全通信體系架構如圖 1 所示。
圖 1 車路協同信任與安全通信體系架構
圖 1 中,車聯網證書管理平臺上部署的 V2X 證書管理服務系統向下為車與路協同場景中路側設 備和車載終端簽發 V2X 數字證書; 同時, V2X 證 書管理服務系統向上接入相關車聯網安全信任根平 臺的 V2X 根證書系統中,由 V2X 根證書為其簽發 機構證書;然后,車聯網安全信任根接入國家級的 車聯網安全信任根管理平臺,管理平臺根據接入的 可信根,簽發可信根證書列表。
圖 1 中不同的車聯網安全信任根通過國家車聯 網安全信任根管理平臺簽發的可信根證書列表實現 根證書的互信互認;同時在車聯網平臺層,隸屬不 同信任根的 V2X 證書管理系統通過車聯網安全信 任根管理平臺簽發的可信根證書列表和可信證書認 證(Certification Authority,CA) 證書列表實現 V2X 證書系統的互信互認。在路側和車端之間進行身份 認證和消息驗證時,同一信任域或不同信任域的設 備可通過可信 CA 證書列表或可信根證書列表驗證 V2X 數字證書,從而實現車端與路側設備的互信互 認,保證車路安全通信。
此外,在本文構建的體系架構中,還考慮到車輛之間以及車輛與路側設備之間安全通信的問題。 一方面,廣播通信消息使用車聯網節點各自的 V2X 證書進行簽名,保證了傳輸消息的真實性、完整性和不可否認性。另一方面,通過在車路安全平臺中 部署敏感信息密鑰管理系統,為車輛和路側設備分 發對稱通信密鑰,保證了車—車 / 車—路間傳輸的 敏感數據的機密性 。
2.2 身份認證系統設計
在基于 V2X 協議的車聯網領域中,為了能夠 對基于數字證書的應用層安全機制提供有效支撐, 需要建立一套完整的車聯網 V2X 數字證書認證體 系。數字證書認證系統實現了對基于 V2X 車聯網 領域中的應用層數字證書全生命周期的管理,是維護有關各方在網絡中的合法權益、提高網絡與信息 安全保障能力的重要手段。
車聯網 V2X 安全證書管理系統是車聯網安全 通信的基礎設施,包括注冊 CA、假名 CA、應用 CA 和證書撤銷等。車聯網證書管理系統可以由多個獨立的 PKI 系統構成, 并由多個根 CA 構建組成。
此外, 車輛生產商為了給用戶提供更好的服務, 在車聯網服務平臺構建很多應用服務,如提供車輛 監測、檢查、車載系統升級等服務。為了保證廠商的業務系統不被非法的用戶和車輛訪問,需要業務 系統具備完整的身份認證機制;因此也需要建立數 字證書系統,實現對車輛、用戶、系統的身份認證。
2.3 V2X 通信安全設計
車聯網廣播通信中,車載設備 OBU 和路側設 備 RSU 以 100 ms 的頻率廣播通信消息, 這些消息 中包括設備自身的敏感信息與狀態等。其他車聯網 通信節點根據這些消息得知廣播消息設備的當前狀 態,并提前預知其之后狀態,有利于節點及時做 出反應。圖 2 為 RSU 廣播安全通信流程, 圖 3 為 OBU 廣播安全通信流程。
圖 2圖 2 RSU 廣播安全通信
圖 3 OBU 廣播安全通信
這些數據在傳輸過程中面臨著如下安全威脅:
(1) 敏感信息被非授權用戶獲取,暴露信息;(2)惡意節點冒充合法用戶廣播消息,誤導 合法節點作出錯誤決策;(3)廣播消息在傳輸過程中遭受篡改,合法 用戶接收到了錯誤信息或者執行了錯誤指令;(4)攻擊者在事后審計過程中否認自己發送 了惡意消息。
針對上述安全威脅,本方案基于數字簽名和數 據加密技術保證了 V2X 通信的真實性、機密性、 完整性和不可否認性。
V2X 通信節 點(OBU/RSU) 采用基 于 V2X 證 書的簽名驗簽機制對廣播消息進行簽名,保證數據 來源的真實性,防止傳輸過程中數據被篡改,以及 用戶否認自己發送了該消息。其中,路側設備使用 應用證書,普通車輛使用假名證書,特權車輛使用 身份證書。此外,使用分組密碼算法對廣播消息中 的敏感信息數據進行加密,加密密鑰稱為敏感信息 密鑰,用于保護敏感信息的機密性;同時也可根據 實際應用需求,保護其他通信數據在傳輸過程中的 機密性。
2.4 敏感信息密鑰管理設計
敏感信息密鑰主要用于車聯網廣播通信中敏感 信息坐標 , 該密鑰與車聯網節點所處的位置密切 相關; 同時, 由于車聯網組網存在臨時性、開放性、 動態性、匿名性等特點,敏感信息密鑰的全生命周 期管理具有較大困難,甚至可能會成為車聯網大規 模應用推廣的瓶頸。在敏感信息密鑰全生命周期管 理之中,密鑰分發是難點,本方案主要圍繞這點進行闡述。
本文基于面向智能交通和車聯網應用,基于蜂窩系統的演進技術(Long Term Evolution - Vehicle, LTE-V)通信技術模型,提出了一個分級、分區 的大規模敏感信息密鑰的管理方案。該方案將車聯 網通信信任模型進行抽象,融合了集中式與分布式的密鑰管理機制, 能較好地解決大規模應用背景下, 敏感信息密鑰的管理難題,具備較高的應用推廣價值。
LTE-V 通 信包括集中式 LTE-V(LTE-V Cell)與分布式 LTE-V(LTE-V-Direct) 兩種不同 的通訊模式。
(1)LTE-V-Cell: 利用基站作為集中式的控制 中心和數據信息轉發中心, 由基站完成集中式調度、擁塞控制和干擾協調等, 可以顯著提高 LTE-V2X 的 接入和組網效率,保證業務的連續性和可靠性。(2)LTE-V-Direct:車與車間直接通信,針對道路安全業務的低時延高可靠傳輸要求、節點高速運動、隱藏終端等挑戰,進行了增強資源分配機制。
根據組網方式的不同,本方案給出下述兩種信任模型,用于敏感信息密鑰的管理。
2.4.1 集中式信任模型下密鑰管理機制
集中式信任模型中,需利用基站進行遠距離的 通信收發。在車輛基于 LTE-V-Cell[8] 模型完成入網 身份鑒別以及與基站間的建立安全信道后,敏感信 息密鑰可利用建立的安全信道進行分發。集中式信 任模型如圖 4 所示。
圖 4 集中式信任模型
如圖 4 所示,當 V2X 節點啟動,向附近基站 請求入網。節點的廠商運管平臺(歸屬網絡)與節點將接入的基站(漫游網絡,含密管平臺)間建立安全的雙向信任鏈路,傳遞用于基站與節點間的信任參數與會話密鑰。節點根據信任參數完成接入基 站的身份認證,并利用會話密鑰建立與基站間通信的安全信道。基站的密管平臺利用安全信道為接入 此基站的 V2X 節點分發敏感信息密鑰,用于此基站覆蓋范圍內 V2X 節點間的安全廣播通信。V2X 節點進入別的基站覆蓋范圍,重新認證并取得敏感信 息密鑰。
在此模型下,敏感信息密鑰的全生命周期管理 如下文所述。
(1)密鑰生成:敏感信息密鑰由密管平臺使用符合國密規定的密碼設備產生(本方案以密碼機 為例)。(2)密鑰分發:使用 V2X 節點與基站間的會 話密鑰保護下發。(3)密鑰存儲:敏感信息密鑰安全存儲于密 管平臺和 V2X 節點的存儲區(密文形式) ,分別 由密碼機的密鑰保護密鑰和會話密鑰保護。(4)密鑰更新:對于 V2X 節點而言,敏感信 息密鑰在節點進入不同的基站覆蓋范圍內更新;對 于密管平臺而言, 敏感信息密鑰具備一定的生命期, 到期后需重新產生并下發。(5)密鑰備份和恢復:敏感信息密鑰在有效 期內由基站密管平臺進行備份和恢復,若設備在有 效期內丟失該密鑰,則需重新向密鑰管理平臺認證 并申請。(6)密鑰銷毀:敏感信息密鑰 V2X 節點離開 當前基站覆蓋區域后,從存儲區中擦除、銷毀。
該模型適用于開放環境下車聯網的通信,單一 的基站是無法滿足車聯網的大規模通信應用的,需建立起分級、分區的密鑰管理機構 ,如圖 5 所 示, 縱向上可分為“大區 - 省級 - 地市 - 社區 - 街 道”等層次,建立相對集中化的密管分發中心(Key Distribution Center,KDC); 橫向上各車輛和路側 設備間組建成分布式通信網絡,依賴最低級的 KDC 獲取敏感信息密鑰。
圖 5 集中式信任模型下分級密鑰管理機制
2.4.2 分布式信任模型下密鑰管理機制
對于相對固定和封閉的車組網絡,如某個園區 內的物流車輛、自駕車隊等,這種網絡中車輛數目 固定, 車隊領頭車輛(OBU Head) 在組網的有效期內,一般不會存在車輛的動態加入和退出;因此, 可利用分布式組密鑰協商技術 / 密鑰分發為車組協 商共同的通信密鑰 。
圖 6 分布式信任模型下密鑰管理機制
車 輛 啟 動,OBU 節 點間建立點對 點(Point to Point, P2P)網絡, 完成組網, 并協商敏感信息密鑰。 可采用分布式密鑰協商技術,或選舉 Head 為其余 車分配。在車隊生命周期內,車隊內部的通信使用敏感信息密鑰進行加密,告知彼此所處位置、發布指令等。車隊解散,敏感信息密鑰失效 。
在此模型下,以分布式密鑰協商為例,敏感信 息密鑰的全生命周期管理如下文所述。
(1)密鑰生成:所有節點利用分布式密鑰協 商技術共同生成。(2)密鑰分發:不涉及。(3)密鑰存儲:敏感信息密鑰安全存儲于 V2X 節點的存儲區中,用密碼模塊主密鑰保護。(4)密鑰更新:在車隊的生命周期內, 不更新。(5)密鑰備份和恢復:敏感信息密鑰協商生 成后,所有節點都利用該密鑰進行備份和恢復,地 位平等 。(6)密鑰銷毀:車隊解散后密鑰失效,從存 儲區中擦除、銷毀。
03 應用效果與前景
3.1 方案創新點
車聯網應用系統具有高并發,高容量,場景復 雜的特點 [14]; 因此, 車聯網認證需要支持海量終端。 但目前設備接入暫無統一的接入標準、規范,處理 終端設備間互信互任的適配難度高,而且對加密的 密碼運算性能、數據收發及處理性能要求極高,難以保障認證的性能穩定性。
3.1.1 車聯網安全信任體系
為滿足車聯網廣泛需求,本方案創新性地提出 一套高安全、輕量級的的協議 。該協議具有機密性、完整性、防重放等高強度特性,同時還具有簡 單、高效、易于實現等優點, 并具有良好的擴展性。 具體地,該協議通過可信根平臺,采用多集群部署 分級控制,建立分布式系統架構,并使用云端控制 技術,來提高系統使用的效率。
3.1.2 半分布式的密鑰管理技術
通過深入研究車聯網通信模型,創新性地提 出了適用于車聯網通信的半分布式對稱密鑰管理技術。該技術有效融合了集中式與分布式密鑰管理技術,并利用現有基礎設施與移動通信安全機制,解決了敏感信息密鑰的分發、更換與管理的難題, 有助于車聯網安全通信的大規模推廣。
3.2 本方案優勢
本方案旨在解決車與路之間訪問的身份認證與安全信任建立的問題。其優勢如下文所述。
(1)加快推進車聯網網絡安全保障能力建設。 通過建立車與路之間的身份認證與安全信任,保障 車載設備、車端、路側通信設備和測試場、測試路 段設施等終端與設施安全。同時通過 V2X 技術、 身份認證技術實現網聯通信安全。(2)構建車聯網身份認證和安全信任體系。 建立車與路通信身份認證、數據加密等技術能力, 實現各類車與路通信場景下的身份認證、數據機密 性和完整性保護,構建車路通信安全保障能力。(3)推動商用密碼應用。路側設備、車載終 端通過搭載基于商用密碼的安全芯片、軟件模塊等 組件,實現安全憑證管理和數據處理功能,推動商 用密碼應用。(4) 推動 C-V2X 通信安全技術發展。C-V2X 技術使汽車能與周圍的其他車輛及所有相關事物進行通信。由于采用了 4G LTE 蜂窩技術和新興的高速、低延遲 5G 通信技術, 車流擁堵情況將得到改善, 排放量也會減少。此外,還能保障應急服務順利展開,以及大大增強包括弱勢道路使用者在內的所有人的道路安全。
3.3 應用前景
推動全域車聯網基礎設施建設,應按照“優先 廣域覆蓋,逐步熱點增強”的核心建設思路,加快 建設車聯網新型基礎設施、建設智慧交通與云服務平臺、構建區域及車聯網安全防護體系、建立城市 級高精度時空基準服務,營造支持智能網聯汽車產業發展的政策環境和示范應用場景,加快實施智能網聯汽車道路測試和示范應用。
打造國際領先的測試驗證能力,通過建設智能 網聯汽車車聯網實驗基地,提供全域開放的車聯網 測試道路環境,探索系統級特色測試能力建設,提 供完整的車聯網新型數字基礎設施和測試環境,打造國內一流、國際領先的車聯網和智能網聯汽車測 試基地,形成以認證準入為主,兼顧性能與功能, 具備國際通用測試場景的測試體系,營造良好的測 試驗證公共服務環境,促進自動駕駛等車聯網高等 級應用加速落地。
構建真實 + 場景,推動車路協同應用落地。在 重點城市、高速公路、封閉測試場、車路協同試點 路段等場景下,實現基于安全通信的安全預警、效 率提升等車路協同應用,包括紅綠燈提醒及綠波通行、道路交通信息提示、弱勢交通參與者提醒、公 交優先通行、自動駕駛測試等。
04 結 語
車聯網車路協同場景下最核心和基礎的安全問 題是身份認證和安全信任,本文采用身份認證、數據傳輸加密等技術,在路側設備、車載終端通過搭 載基于商用密碼的安全芯片、軟件模塊等組件建立車路通信安全信任體系,保障車聯網通信安全。
