車聯(lián)網(wǎng)系統(tǒng)安全風(fēng)險分析

智能網(wǎng)聯(lián)汽車經(jīng)歷了由2G/3G/4G蜂窩通信實現(xiàn)定位導(dǎo)航、遠(yuǎn)程管理和e-call服務(wù)的階段后，進(jìn)入了由DSRC（歐盟）和C-V2X（中國、北美等）技術(shù)主導(dǎo)的車路協(xié)同時代。隨著汽車網(wǎng)聯(lián)化、智能化的不斷升級，汽車已經(jīng)越來越脫離“機(jī)械”的屬性，而更像是一臺“移動計算機(jī)”。車載ECU、軟件和網(wǎng)絡(luò)的擴(kuò)展，使汽車電器復(fù)雜度呈現(xiàn)爆發(fā)式的增長。隨之而來的是，車輛面臨著數(shù)據(jù)安全隱患的層層威脅，這種威脅與每一位道路使用者息息相關(guān)。

從車聯(lián)網(wǎng)整體架構(gòu)出發(fā)，可以從終端、通信網(wǎng)絡(luò)和云平臺三個方向分別討論車聯(lián)網(wǎng)面臨的數(shù)據(jù)安全隱患。

終端側(cè)安全隱患

車載終端OBU和路側(cè)設(shè)備RSU面臨著不同的安全風(fēng)險。

OBU安裝在車內(nèi)，通過CAN總線或者車載以太網(wǎng)等接口與車輛進(jìn)行信息交互，可以獲取整車行駛狀態(tài)信息，在L3以上級別自動駕駛系統(tǒng)上甚至可以參與車輛控制，這就導(dǎo)致車載終端更容易成為惡意攻擊的目標(biāo)。身份冒用、違規(guī)操作、個人信息泄露、車輛行駛信息泄露、非法控制車輛，甚至惡意控制車輛都是我們每一個車主將要面臨的安全隱患，嚴(yán)重威脅著每一位駕乘人員的個人隱私和生命安全。

RSU對隱私設(shè)置沒有要求，但作為車聯(lián)網(wǎng)路側(cè)核心設(shè)備，它面臨著非法接入、運行環(huán)境不確定、設(shè)備漏洞、遠(yuǎn)程升級風(fēng)險和部署維護(hù)風(fēng)險。

通信網(wǎng)安全隱患

通信網(wǎng)絡(luò)主要面臨著虛假信息、信息監(jiān)聽/竊取、數(shù)據(jù)篡改/重放、非法入侵、訪問控制、假冒終端和隱私泄露等用戶面風(fēng)險。例如，在剛剛過去的2021年C-V2X行業(yè)活動中，針對車聯(lián)網(wǎng)安全，設(shè)置驗證了4個場景，分別是偽造限速預(yù)警防御、偽造紅綠燈信息防御、偽造緊急車輛防御、偽造前向碰撞預(yù)警防御。

車聯(lián)網(wǎng)云平臺安全隱患

我們一般所說的云平臺，可以包括中心業(yè)務(wù)云、區(qū)域云和邊緣云。網(wǎng)絡(luò)爬蟲、網(wǎng)絡(luò)漏洞、非法留存數(shù)據(jù)、病毒木馬、信息泄露、DDoS攻擊、APT攻擊，甚至可以通過云平臺非法控制車輛。本文我們重點討論車聯(lián)網(wǎng)通絡(luò)網(wǎng)絡(luò)層面的安全技術(shù)。也就是現(xiàn)在通常提到的“車聯(lián)網(wǎng)CA技術(shù)”。

車聯(lián)網(wǎng)CA技術(shù)架構(gòu)

大家都知道，C-V2X車聯(lián)網(wǎng)技術(shù)包括蜂窩Uu（4G/5G）和PC5兩種通信模式。目前基于Uu接口的C-V2X安全采用已有的移動蜂窩系統(tǒng)提供的安全機(jī)制來保證，技術(shù)相對成熟完善，由蜂窩網(wǎng)絡(luò)運營商提供。在LTE系統(tǒng)中，基于PC5的C-V2X系統(tǒng)采用廣播的方式進(jìn)行通信，因此在網(wǎng)絡(luò)層沒有定義相關(guān)的安全機(jī)制進(jìn)行保護(hù)，完全由應(yīng)用層安全來實現(xiàn)。目前C-V2X系統(tǒng)在應(yīng)用層主要考慮采用數(shù)字證書的方法（PKI體系）實現(xiàn)業(yè)務(wù)消息的數(shù)字簽名及加解密，通過部署“證書頒發(fā)機(jī)構(gòu)”，即CA平臺（Certificate Authority），來進(jìn)行數(shù)字證書的全生命周期管理。通信交互時，車聯(lián)網(wǎng)終端需要從CA平臺下載相應(yīng)的數(shù)字證書，并使用數(shù)字證書對將要發(fā)送的消息進(jìn)行簽名，對接收到的業(yè)務(wù)消息進(jìn)行驗簽，從而保證消息的完整性以及業(yè)務(wù)消息來源的合法性。

我國車聯(lián)網(wǎng)安全管理系統(tǒng)的架構(gòu)及可信模型自上而下分別由「ITS管理機(jī)構(gòu)」、基于可信關(guān)系的「根CA」、「注冊及授權(quán)CA」以及設(shè)備端的安全組件構(gòu)成。簡單來說，就是由ITS管理機(jī)構(gòu)生成可信根證書列表，列表內(nèi)包括多個根PKI關(guān)系，例如注冊根CA、假名根CA和應(yīng)用根CA等，這些根PKI關(guān)系相互之間可以獨立運行，且可以互聯(lián)互通。由可信列表中的根CA逐級向下授權(quán)對應(yīng)的CA證書。

在C-V2X業(yè)務(wù)中，車聯(lián)網(wǎng)終端首先需要獲得注冊證書，即ECA。注冊證書與終端設(shè)備一一對應(yīng)。一般來說，無論是RSU還是OBU，均需要在其系統(tǒng)的安全初始化階段向注冊機(jī)構(gòu)申請ECA，這一步通常在設(shè)備出廠時完成。然后使用ECA去請求其他證書，如假名證書PCA和應(yīng)用證書ACA等。

在實際應(yīng)用中，為了保護(hù)用戶的隱私，避免車輛軌跡被追蹤，車載終端OBU需要使用假名證書PCA來簽發(fā)消息。一個OBU可以在某個時間段內(nèi)擁有很多個可以隨機(jī)選擇使用的假名證書，就相當(dāng)于車輛被授予一個綽號，以這個綽號進(jìn)行網(wǎng)聯(lián)通信，并且每個幾分鐘就會更換一個新的PCA，避免因為長期使用一個簽名證書致使行駛軌跡泄露。

另外一個比較重要的數(shù)字證書是應(yīng)用證書ACA。它是頒發(fā)給路側(cè)設(shè)備RSU和業(yè)務(wù)應(yīng)用的證書，用于路側(cè)設(shè)備和業(yè)務(wù)應(yīng)用簽發(fā)應(yīng)用消息，例如紅綠燈狀態(tài)、交通狀態(tài)等。由于路側(cè)設(shè)備和業(yè)務(wù)應(yīng)用沒有隱私限制，因此不同于車載終端，針對每個車聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用，路側(cè)設(shè)備或業(yè)務(wù)應(yīng)用只有一個真實有效的應(yīng)用證書ACA。

首先，證書管理系統(tǒng)向車聯(lián)網(wǎng)V2X設(shè)備辦法其用于簽發(fā)消息的公鑰證書，發(fā)送端設(shè)備利用頒發(fā)給它的公鑰證書對應(yīng)的私鑰對消息進(jìn)行數(shù)字簽名，將簽名消息連同公鑰證書或證書鏈一同播發(fā)出去。作為接收方設(shè)的V2X終端首先驗證消息發(fā)送方的證書鏈?zhǔn)欠裼行В缓笫褂迷摂?shù)字證書對簽名消息進(jìn)行驗證，在驗證過程中還需要驗證所簽消息是否在簽名證書所規(guī)定的權(quán)限內(nèi)，沒有通過驗證消息將被設(shè)備忽略。

車聯(lián)網(wǎng)CA產(chǎn)業(yè)布局

如上一章節(jié)所述，在現(xiàn)階段，在V2X安全產(chǎn)業(yè)中主要參與方包括：車聯(lián)網(wǎng)安全信任根管理平臺、行業(yè)級根CA、運營服務(wù)CA、端側(cè)CA（安全芯片）。

「車聯(lián)網(wǎng)安全信任根管理平臺」指的是由ITS管理機(jī)構(gòu)“認(rèn)可頒發(fā)的 “可信根證書列表”，這樣就可以在存在多個獨立PKI系統(tǒng)時，這些PKI之間可以根據(jù)需要構(gòu)建可信關(guān)系，實現(xiàn)證書互認(rèn)。在國內(nèi)，是由中國信息通信研究院（信通院）建立可信根管理技術(shù)平臺，簽發(fā)可信根證書列表。

「行業(yè)級根CA」是某個獨立的PKI系統(tǒng)的安全錨點，用于向下級子CA頒發(fā)子CA證書。行業(yè)級根CA目前只有國汽智聯(lián)、大唐高鴻、中汽中心、江蘇ITS、中交國通可以提供。

「CA運營平臺」是專門提供數(shù)字證書全生命周期管理的平臺，主要是向車聯(lián)網(wǎng)終端提供證書下載服務(wù)。目前國內(nèi)已經(jīng)有許多提供安全服務(wù)的廠家進(jìn)入了這個圈子，在下面的篇幅中會對其中部分廠家進(jìn)行簡單介紹?！付藗?cè)CA」，指的是集成在車聯(lián)網(wǎng)設(shè)備中的安全組件，也就是加密芯片（HSM），它能夠支持OBU和RSU設(shè)備進(jìn)行可靠、高效的簽名驗簽處理。其中，由于在現(xiàn)階段整個車聯(lián)網(wǎng)產(chǎn)業(yè)模式的還有很多不確定性，「車聯(lián)網(wǎng)安全信任根管理平臺」和「行業(yè)級根CA」兩個部分仍處于討論待定階段。在此文章先不重點討論。

CA平臺和終端側(cè)HSM開始進(jìn)入商業(yè)化階段

參考2020年及2021年車聯(lián)網(wǎng)行業(yè)活動“X跨”行業(yè)活動報名組隊情況及筆者最新的市場調(diào)研，目前市場上技術(shù)相對成熟的CA平臺運營服務(wù)商舉例如下：

這些企業(yè)中大多數(shù)已經(jīng)與國內(nèi)的主流車企建立了合作關(guān)系，但由于整個車聯(lián)網(wǎng)V2X產(chǎn)業(yè)尚處在商用規(guī)?；渴鹎耙?，大多數(shù)企業(yè)仍處于業(yè)務(wù)探索過程中，整個行業(yè)還沒明顯形成非常完善的商業(yè)體系。

工信部政策指導(dǎo)下，車聯(lián)網(wǎng)CA試點工作正在穩(wěn)步推進(jìn)中

近些年，工信部與國家標(biāo)準(zhǔn)化管理委員會等聯(lián)合印發(fā)了《國家車聯(lián)網(wǎng)產(chǎn)業(yè)標(biāo)準(zhǔn)體系建設(shè)指南（總體要求）》、《國家車聯(lián)網(wǎng)產(chǎn)業(yè)標(biāo)準(zhǔn)體系建設(shè)指南（信息通信）》、《國家車聯(lián)網(wǎng)產(chǎn)業(yè)標(biāo)準(zhǔn)體系建設(shè)指南（車輛智能管理）》等系列文件。

但由于基于V2X車聯(lián)網(wǎng)的直連通信網(wǎng)絡(luò)帶寬、車載系統(tǒng)的算力和存儲空間等限制，傳統(tǒng)的數(shù)字證書已經(jīng)很難滿足C-V2X場景下的安全認(rèn)證和安全通信需求。證書發(fā)放規(guī)模巨大，終端簽名驗簽對效率和性能的要求急速增高，以及車輛異常行為管理等問題都亟待解決。日前，一些車聯(lián)網(wǎng)安全工作組正在設(shè)計符合最新國家標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)要求的且適合C-V2X場景下的PKI體系數(shù)字證書，用以支持V2X場景下的大容量、高性能的PKI證書的服務(wù)需求。參編單位20余家，包括汽車、通信、安全、密碼相關(guān)企業(yè)，內(nèi)容涉及對C-V2X車聯(lián)網(wǎng)安全的總體要求、證書管理系統(tǒng)、測試方法、異常行為識別等方面。

車聯(lián)網(wǎng)安全未來展望

面對車聯(lián)網(wǎng)業(yè)務(wù)新的系統(tǒng)組成和應(yīng)用場景，基于LTE的V2X車聯(lián)網(wǎng)系統(tǒng)在網(wǎng)絡(luò)通信、業(yè)務(wù)應(yīng)用、終端設(shè)備等各個方面都需要采取有效的安全機(jī)制，保證車聯(lián)網(wǎng)業(yè)務(wù)數(shù)據(jù)的通信安全和用戶隱私信息的安全。

為了能夠有效支撐基于PKI公鑰體系的應(yīng)用層安全認(rèn)證和安全通信機(jī)制，LTE-V2X需要建立一套完整的證書管理系統(tǒng)。通過實踐總結(jié)經(jīng)驗，目前V2X安全認(rèn)證與管理體系在支撐V2X市場化方面還存在一些需要多方討論商榷的內(nèi)容。

• CA的部署與車聯(lián)網(wǎng)業(yè)務(wù)管理模式緊密相關(guān)，在管理模式尚未清晰的情況下很難給出確切的部署方案建議。
• 使用哪一種安全認(rèn)證系統(tǒng)頂層信任機(jī)制才能更有效地實現(xiàn)“跨根互認(rèn)”；
• 車聯(lián)網(wǎng)安全應(yīng)以滿足汽車生產(chǎn)及應(yīng)用為首要目標(biāo)，下一步應(yīng)與汽車生產(chǎn)企業(yè)緊密合作，討論V2X車輛“入網(wǎng)”測試機(jī)制需要包含哪些檢測內(nèi)容，注重來自于車廠的產(chǎn)業(yè)需求，尋求高效、便捷的安全技術(shù)方案。
• 證書的互聯(lián)互通性還有待提升。假設(shè)OBU或RSU里集成的是A廠家提供的加密芯片，而使用設(shè)備的業(yè)主方（示范區(qū)或高速公路、礦區(qū)等）部署的是B廠家的CA運營平臺，就會存在兩家企業(yè)CA系統(tǒng)無法直接對接的情況，也就是說A廠家的HSM芯片無法直接從B廠家的CA平臺中下載數(shù)字證書去進(jìn)行消息簽名驗簽處理。
• 在今后的發(fā)展中，LTE-V2X車聯(lián)網(wǎng)還將與移動邊緣計算技術(shù)相結(jié)合，形成分層、多級邊緣計算體系，滿足更多復(fù)雜、高速、低時延車聯(lián)網(wǎng)業(yè)務(wù)處理及響應(yīng)的需要。如何迭代輕量級安全技術(shù)，提高運行效率、降低安全信息帶寬占用及密碼運算開銷，都將是非常需要討論的問題。

車聯(lián)網(wǎng)C-V2X已開始加速進(jìn)入規(guī)模化部署階段，從示范區(qū)先導(dǎo)區(qū)走向商用，從輔助預(yù)警走向自動駕駛，走向老百姓的日常生活。車輛、交通、城市管理、云平臺，車聯(lián)網(wǎng)這門大融合學(xué)科需要在多方共同的努力推動下才能明確產(chǎn)業(yè)運營模式，實實在在的向前跨一大步。數(shù)據(jù)安全作為其中一項重點攻關(guān)問題，關(guān)系到個人用戶隱私和整個交通系統(tǒng)的安全穩(wěn)定運作，需要各參與方在整體系統(tǒng)架構(gòu)和證書管理機(jī)制上持續(xù)進(jìn)行更加深入的研究和設(shè)計。