车联网是智能化交通管理发展的需求,具有高并发、高容量、场景复杂等特点,是新一代信息通信 技术与多种技术深度融合所形成的新兴业态与应用模式。车联网的智能化、信息化、网络化得到大幅提升 的同时也导致通过互联网对车联网系统进行攻击的可 能性越来越高,车联网的安全隐患愈加凸显。
针对车联网在设备安全、数据安全和应用安全等方面面临的安全威胁与挑战,需要解决的最为核 心和基础的安全问题是身份认证和安全信任。本文通过研究车联网身份认证和安全通信,建立车路通 信安全信任体系,保障车路通信安全应用。
01 车路协同应用安全需求
随着汽车智能化、网联化程度的加深,汽车也成为可移动、可交互的智能网络终端。这一发展在 为生活带来便利的同时,也引发了远程攻击、恶意控制、隐私保护、数据安全等问题。车路协同应用中身份伪造、终端非法接入、数据拦截、隐私信息泄露等情况,不仅可能造成企业经济损失和个人隐私泄露,还可能威胁人身安全,甚至引发危害国家利益的公共安全问题 ;因此,车联网中核心和基 础的身份认证和安全信任问题需要解决,并建立信任体系 。
车路协同应用主要关注可认证性、完整性、不 可关联性、可追踪性、不可否认性安全需求。
(1) 可认证性: 包括对车载单元(On Board Unit,OBU)、 路侧单元(Road Side Unit,RSU) 等车辆和一切万物(Vehicle to Everything, V2X) 的 节点的合法身份和交互信息的可认证性。前者实现对合法 V2X 节点的筛选, 保证网内设备与其他设 备通信时力断他们的身份是否合法,后者可以帮助 消息接收方判断消息来源的真实性与有效性。
(2)完整性:V2X 节点必须能判断其接收到的消息是否完整、是否被篡改。
(3)匿名性:在车联网通信中,车与车之间 不断通过信息交互确认对方的位置和状态,车辆在通信时只需确认对方的身份是合法的,而不能通过 互发的消息包获取对方的真实身份,是对身份隐私 保护的基本安全需求。
(4)不可关联性:车辆于不同时段发送的消 息不能被关联,车辆的真实身份与当前的位置之间 的关联不能被可信机构以外的节点获取。
(5)可追踪性: V2X 节点的真实身份与其参 与的通信身份必须有所联系,确保当需要追究相关 责任时,可信移动机构可以追测到其真实身份。
(6)不可否认性: V2X 节点不能否认 - 发送 或转发过的消息,才能保障传输中信息的机密性、 完整性、抗抵赖性和通信的安全性。
02 车路协同应用安全方案设计
2.1 总体介绍
车与路安全通信是面向车与路侧设施直连通信场景,目的是建立车路通信安全信任体系。本文基于成熟的公钥基础设施(Public Key Infrastructure, PKI)技术建设 V2X 证书管理系统,在车联网中建 立一套完整的数字证书认证体系,实现证书颁发、 证书撤销、终端安全信息收集、隐私保护、数据管 理、异常分析等一系列与安全相关的功能,保证车与路协同应用场景下的身份认证和安全信任, 确 保 V2X 业务的安全。
V2X 证书管理系统为车载设备和路侧设备提供 证书发布、更新、撤销等证书管理服务。车载设备 和路侧设备基于国家商用密码的密码芯片或者密码模块,实现 V2X 证书管理、解析,消息签名和验签 等密码运算功能。在车路协同安全通信应用场景下, 车载设备与路侧设备通过 V2X 证书进行身份认证和 消息验证,从而保证车与路通信的安全性。
车路协 同场景下网络通信,基于蜂窝网络的车用无线通信技术(Cellular Vehicle-to-Everything,C-V2X)、 广播通信等通信信任与安全通信体系架构如图 1 所示。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-l8BmJEM2-1650764818741)(http://img403.hackdig.com/imgpxy.php?url=gnp%3Dtmf_xw%3F046%2FA5EKXYaiBBPWKo5Bd9aJyAhKUDhJHkOc39IPwoKAwMWrRciQYSZQucaipZ2SZPd4qxmVJn8Mugxu3ZKDhz7JpFciam%2Fgnp_zibmm%2Fnc.cipq.zibmm%2F%2F%3Asptth)]
图 1 车路协同信任与安全通信体系架构
图 1 中,车联网证书管理平台上部署的 V2X 证书管理服务系统向下为车与路协同场景中路侧设 备和车载终端签发 V2X 数字证书; 同时, V2X 证 书管理服务系统向上接入相关车联网安全信任根平 台的 V2X 根证书系统中,由 V2X 根证书为其签发 机构证书;然后,车联网安全信任根接入国家级的 车联网安全信任根管理平台,管理平台根据接入的 可信根,签发可信根证书列表。
图 1 中不同的车联网安全信任根通过国家车联 网安全信任根管理平台签发的可信根证书列表实现 根证书的互信互认;同时在车联网平台层,隶属不 同信任根的 V2X 证书管理系统通过车联网安全信 任根管理平台签发的可信根证书列表和可信证书认 证(Certification Authority,CA) 证书列表实现 V2X 证书系统的互信互认。在路侧和车端之间进行身份 认证和消息验证时,同一信任域或不同信任域的设 备可通过可信 CA 证书列表或可信根证书列表验证 V2X 数字证书,从而实现车端与路侧设备的互信互 认,保证车路安全通信。
此外,在本文构建的体系架构中,还考虑到车辆之间以及车辆与路侧设备之间安全通信的问题。 一方面,广播通信消息使用车联网节点各自的 V2X 证书进行签名,保证了传输消息的真实性、完整性和不可否认性。另一方面,通过在车路安全平台中 部署敏感信息密钥管理系统,为车辆和路侧设备分 发对称通信密钥,保证了车—车 / 车—路间传输的 敏感数据的机密性 。
2.2 身份认证系统设计
在基于 V2X 协议的车联网领域中,为了能够 对基于数字证书的应用层安全机制提供有效支撑, 需要建立一套完整的车联网 V2X 数字证书认证体 系。数字证书认证系统实现了对基于 V2X 车联网 领域中的应用层数字证书全生命周期的管理,是维护有关各方在网络中的合法权益、提高网络与信息 安全保障能力的重要手段。
车联网 V2X 安全证书管理系统是车联网安全 通信的基础设施,包括注册 CA、假名 CA、应用 CA 和证书撤销等。车联网证书管理系统可以由多个独立的 PKI 系统构成, 并由多个根 CA 构建组成。
此外, 车辆生产商为了给用户提供更好的服务, 在车联网服务平台构建很多应用服务,如提供车辆 监测、检查、车载系统升级等服务。为了保证厂商的业务系统不被非法的用户和车辆访问,需要业务 系统具备完整的身份认证机制;因此也需要建立数 字证书系统,实现对车辆、用户、系统的身份认证。
2.3 V2X 通信安全设计
车联网广播通信中,车载设备 OBU 和路侧设 备 RSU 以 100 ms 的频率广播通信消息, 这些消息 中包括设备自身的敏感信息与状态等。其他车联网 通信节点根据这些消息得知广播消息设备的当前状 态,并提前预知其之后状态,有利于节点及时做 出反应。图 2 为 RSU 广播安全通信流程, 图 3 为 OBU 广播安全通信流程。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Vjxa0CeV-1650764818743)(http://img403.hackdig.com/imgpxy.php?url=gnp%3Dtmf_xw%3F046%2FABpKVhoF5EsROzFJR0OtWOWb2IkIpzWu9w1O1PFWG7IyXg9ZarghhFZ2SZPd4qxmVJn8Mugxu3ZKDhz7JpFciam%2Fgnp_zibmm%2Fnc.cipq.zibmm%2F%2F%3Asptth)]
图 2图 2 RSU 广播安全通信
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wVhnzMy2-1650764818743)(http://img403.hackdig.com/imgpxy.php?url=gnp%3Dtmf_xw%3F046%2FwQL5yfpR9XbiEDD6LST0nfglz6Qfr3lazpaiDbsE1k1y99eaitjciEDr4rZ2SZPd4qxmVJn8Mugxu3ZKDhz7JpFciam%2Fgnp_zibmm%2Fnc.cipq.zibmm%2F%2F%3Asptth)]
图 3 OBU 广播安全通信
这些数据在传输过程中面临着如下安全威胁:
(1) 敏感信息被非授权用户获取,暴露信息;
(2)恶意节点冒充合法用户广播消息,误导 合法节点作出错误决策;
(3)广播消息在传输过程中遭受篡改,合法 用户接收到了错误信息或者执行了错误指令;
(4)攻击者在事后审计过程中否认自己发送 了恶意消息。
针对上述安全威胁,本方案基于数字签名和数 据加密技术保证了 V2X 通信的真实性、机密性、 完整性和不可否认性。
V2X 通信节 点(OBU/RSU) 采用基 于 V2X 证 书的签名验签机制对广播消息进行签名,保证数据 来源的真实性,防止传输过程中数据被篡改,以及 用户否认自己发送了该消息。其中,路侧设备使用 应用证书,普通车辆使用假名证书,特权车辆使用 身份证书。此外,使用分组密码算法对广播消息中 的敏感信息数据进行加密,加密密钥称为敏感信息 密钥,用于保护敏感信息的机密性;同时也可根据 实际应用需求,保护其他通信数据在传输过程中的 机密性。
2.4 敏感信息密钥管理设计
敏感信息密钥主要用于车联网广播通信中敏感 信息坐标 , 该密钥与车联网节点所处的位置密切 相关; 同时, 由于车联网组网存在临时性、开放性、 动态性、匿名性等特点,敏感信息密钥的全生命周 期管理具有较大困难,甚至可能会成为车联网大规 模应用推广的瓶颈。在敏感信息密钥全生命周期管 理之中,密钥分发是难点,本方案主要围绕这点进行阐述。
本文基于面向智能交通和车联网应用,基于蜂窝系统的演进技术(Long Term Evolution - Vehicle, LTE-V)通信技术模型,提出了一个分级、分区 的大规模敏感信息密钥的管理方案。该方案将车联 网通信信任模型进行抽象,融合了集中式与分布式的密钥管理机制, 能较好地解决大规模应用背景下, 敏感信息密钥的管理难题,具备较高的应用推广价值。
LTE-V 通 信包括集中式 LTE-V(LTE-V Cell)与分布式 LTE-V(LTE-V-Direct) 两种不同 的通讯模式。
(1)LTE-V-Cell: 利用基站作为集中式的控制 中心和数据信息转发中心, 由基站完成集中式调度、拥塞控制和干扰协调等, 可以显著提高 LTE-V2X 的 接入和组网效率,保证业务的连续性和可靠性。
(2)LTE-V-Direct:车与车间直接通信,针对道路安全业务的低时延高可靠传输要求、节点高速运动、隐藏终端等挑战,进行了增强资源分配机制。
根据组网方式的不同,本方案给出下述两种信任模型,用于敏感信息密钥的管理。
2.4.1 集中式信任模型下密钥管理机制
集中式信任模型中,需利用基站进行远距离的 通信收发。在车辆基于 LTE-V-Cell[8] 模型完成入网 身份鉴别以及与基站间的建立安全信道后,敏感信 息密钥可利用建立的安全信道进行分发。集中式信 任模型如图 4 所示。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3MwL8yVe-1650764818744)(http://img403.hackdig.com/imgpxy.php?url=gnp%3Dtmf_xw%3F046%2FAmAZyaiOzPeS68OUbLM3HIYYE6RbibiD6wPUv4MDJr6KdHHf7ojkPaiTqLZ2SZPd4qxmVJn8Mugxu3ZKDhz7JpFciam%2Fgnp_zibmm%2Fnc.cipq.zibmm%2F%2F%3Asptth)]
图 4 集中式信任模型
如图 4 所示,当 V2X 节点启动,向附近基站 请求入网。节点的厂商运管平台(归属网络)与节点将接入的基站(漫游网络,含密管平台)间建立安全的双向信任链路,传递用于基站与节点间的信任参数与会话密钥。节点根据信任参数完成接入基 站的身份认证,并利用会话密钥建立与基站间通信的安全信道。基站的密管平台利用安全信道为接入 此基站的 V2X 节点分发敏感信息密钥,用于此基站覆盖范围内 V2X 节点间的安全广播通信。V2X 节点进入别的基站覆盖范围,重新认证并取得敏感信 息密钥。
在此模型下,敏感信息密钥的全生命周期管理 如下文所述。
(1)密钥生成:敏感信息密钥由密管平台使用符合国密规定的密码设备产生(本方案以密码机 为例)。
(2)密钥分发:使用 V2X 节点与基站间的会 话密钥保护下发。
(3)密钥存储:敏感信息密钥安全存储于密 管平台和 V2X 节点的存储区(密文形式) ,分别 由密码机的密钥保护密钥和会话密钥保护。
(4)密钥更新:对于 V2X 节点而言,敏感信 息密钥在节点进入不同的基站覆盖范围内更新;对 于密管平台而言, 敏感信息密钥具备一定的生命期, 到期后需重新产生并下发。
(5)密钥备份和恢复:敏感信息密钥在有效 期内由基站密管平台进行备份和恢复,若设备在有 效期内丢失该密钥,则需重新向密钥管理平台认证 并申请。
(6)密钥销毁:敏感信息密钥 V2X 节点离开 当前基站覆盖区域后,从存储区中擦除、销毁。
该模型适用于开放环境下车联网的通信,单一 的基站是无法满足车联网的大规模通信应用的,需建立起分级、分区的密钥管理机构 ,如图 5 所 示, 纵向上可分为“大区 - 省级 - 地市 - 社区 - 街 道”等层次,建立相对集中化的密管分发中心(Key Distribution Center,KDC); 横向上各车辆和路侧 设备间组建成分布式通信网络,依赖最低级的 KDC 获取敏感信息密钥。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LVss556T-1650764818744)(http://img403.hackdig.com/imgpxy.php?url=gnp%3Dtmf_xw%3F046%2FQOUnabdemV3aidp9m04jbC2big8hL5n2UaipbiNuhZDMvqWsaipLCl2gRQWZ2SZPd4qxmVJn8Mugxu3ZKDhz7JpFciam%2Fgnp_zibmm%2Fnc.cipq.zibmm%2F%2F%3Asptth)]
图 5 集中式信任模型下分级密钥管理机制
2.4.2 分布式信任模型下密钥管理机制
对于相对固定和封闭的车组网络,如某个园区 内的物流车辆、自驾车队等,这种网络中车辆数目 固定, 车队领头车辆(OBU Head) 在组网的有效期内,一般不会存在车辆的动态加入和退出;因此, 可利用分布式组密钥协商技术 / 密钥分发为车组协 商共同的通信密钥 。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oz4EwPQT-1650764818745)(http://img403.hackdig.com/imgpxy.php?url=gnp%3Dtmf_xw%3F046%2FgXua8GTBQ7xHPjJPc52c436urYn3JMBFYE7kaizAGWYQvOn80zqeGUciZ2SZPd4qxmVJn8Mugxu3ZKDhz7JpFciam%2Fgnp_zibmm%2Fnc.cipq.zibmm%2F%2F%3Asptth)]
图 6 分布式信任模型下密钥管理机制
车 辆 启 动,OBU 节 点间建立点对 点(Point to Point, P2P)网络, 完成组网, 并协商敏感信息密钥。 可采用分布式密钥协商技术,或选举 Head 为其余 车分配。在车队生命周期内,车队内部的通信使用敏感信息密钥进行加密,告知彼此所处位置、发布指令等。车队解散,敏感信息密钥失效 。
在此模型下,以分布式密钥协商为例,敏感信 息密钥的全生命周期管理如下文所述。
(1)密钥生成:所有节点利用分布式密钥协 商技术共同生成。
(2)密钥分发:不涉及。
(3)密钥存储:敏感信息密钥安全存储于 V2X 节点的存储区中,用密码模块主密钥保护。
(4)密钥更新:在车队的生命周期内, 不更新。
(5)密钥备份和恢复:敏感信息密钥协商生 成后,所有节点都利用该密钥进行备份和恢复,地 位平等 。
(6)密钥销毁:车队解散后密钥失效,从存 储区中擦除、销毁。
03 应用效果与前景
3.1 方案创新点
车联网应用系统具有高并发,高容量,场景复 杂的特点 [14]; 因此, 车联网认证需要支持海量终端。 但目前设备接入暂无统一的接入标准、规范,处理 终端设备间互信互任的适配难度高,而且对加密的 密码运算性能、数据收发及处理性能要求极高,难以保障认证的性能稳定性。
3.1.1 车联网安全信任体系
为满足车联网广泛需求,本方案创新性地提出 一套高安全、轻量级的的协议 。该协议具有机密性、完整性、防重放等高强度特性,同时还具有简 单、高效、易于实现等优点, 并具有良好的扩展性。 具体地,该协议通过可信根平台,采用多集群部署 分级控制,建立分布式系统架构,并使用云端控制 技术,来提高系统使用的效率。
3.1.2 半分布式的密钥管理技术
通过深入研究车联网通信模型,创新性地提 出了适用于车联网通信的半分布式对称密钥管理技术。该技术有效融合了集中式与分布式密钥管理技术,并利用现有基础设施与移动通信安全机制,解决了敏感信息密钥的分发、更换与管理的难题, 有助于车联网安全通信的大规模推广。
3.2 本方案优势
本方案旨在解决车与路之间访问的身份认证与安全信任建立的问题。其优势如下文所述。
(1)加快推进车联网网络安全保障能力建设。 通过建立车与路之间的身份认证与安全信任,保障 车载设备、车端、路侧通信设备和测试场、测试路 段设施等终端与设施安全。同时通过 V2X 技术、 身份认证技术实现网联通信安全。
(2)构建车联网身份认证和安全信任体系。 建立车与路通信身份认证、数据加密等技术能力, 实现各类车与路通信场景下的身份认证、数据机密 性和完整性保护,构建车路通信安全保障能力。
(3)推动商用密码应用。路侧设备、车载终 端通过搭载基于商用密码的安全芯片、软件模块等 组件,实现安全凭证管理和数据处理功能,推动商 用密码应用。
(4) 推动 C-V2X 通信安全技术发展。C-V2X 技术使汽车能与周围的其他车辆及所有相关事物进行通信。由于采用了 4G LTE 蜂窝技术和新兴的高速、低延迟 5G 通信技术, 车流拥堵情况将得到改善, 排放量也会减少。此外,还能保障应急服务顺利展开,以及大大增强包括弱势道路使用者在内的所有人的道路安全。
3.3 应用前景
推动全域车联网基础设施建设,应按照“优先 广域覆盖,逐步热点增强”的核心建设思路,加快 建设车联网新型基础设施、建设智慧交通与云服务平台、构建区域及车联网安全防护体系、建立城市 级高精度时空基准服务,营造支持智能网联汽车产业发展的政策环境和示范应用场景,加快实施智能网联汽车道路测试和示范应用。
打造国际领先的测试验证能力,通过建设智能 网联汽车车联网实验基地,提供全域开放的车联网 测试道路环境,探索系统级特色测试能力建设,提 供完整的车联网新型数字基础设施和测试环境,打造国内一流、国际领先的车联网和智能网联汽车测 试基地,形成以认证准入为主,兼顾性能与功能, 具备国际通用测试场景的测试体系,营造良好的测 试验证公共服务环境,促进自动驾驶等车联网高等 级应用加速落地。
构建真实 + 场景,推动车路协同应用落地。在 重点城市、高速公路、封闭测试场、车路协同试点 路段等场景下,实现基于安全通信的安全预警、效 率提升等车路协同应用,包括红绿灯提醒及绿波通行、道路交通信息提示、弱势交通参与者提醒、公 交优先通行、自动驾驶测试等。
04 结 语
车联网车路协同场景下最核心和基础的安全问 题是身份认证和安全信任,本文采用身份认证、数据传输加密等技术,在路侧设备、车载终端通过搭 载基于商用密码的安全芯片、软件模块等组件建立车路通信安全信任体系,保障车联网通信安全。
引用本文: 周俊,李强,王雍等 . 车路协同场景身份认证及V2X 通信安全保障 [J]. 通信技术,2021,54(11):2538-2544.
作者简介 >>>
周 俊 , 男, 硕士, 高级 工程师,主要研究方向为网络信息安全;
李 强 , 男, 博士, 高级 工程师,主要研究方向为网络安全;
王 雍 , 女, 硕士, 高级 工程师,主要研究方向为网络安全;
张诗怡 , 女, 硕士, 工程师, 主要研究 方向为密码学。
选自《信息安全与通信保密》2021年第11期
|