車聯(lián)網(wǎng)安全技術(shù)與標(biāo)準(zhǔn)發(fā)展態(tài)勢(shì)前沿報(bào)告

1、前言車聯(lián)網(wǎng)產(chǎn)業(yè)是汽車、電子、信息通信、道路交通運(yùn)輸?shù)刃袠I(yè)深度融合的新型產(chǎn)業(yè)形態(tài)，已成為我國戰(zhàn)略性新興產(chǎn)業(yè)的重要發(fā)展方向，是目前跨領(lǐng)域、綜合性的研究熱點(diǎn)。目前我國已將車聯(lián)網(wǎng)產(chǎn)業(yè)上升到國家戰(zhàn)略高度，產(chǎn)業(yè)政策持續(xù)利好。我國車聯(lián)網(wǎng)產(chǎn)業(yè)化進(jìn)程逐步加快，形成了包括通信芯片、通信模組、終端設(shè)備、整車制造、運(yùn)營服務(wù)、測試認(rèn)證、高精度定位及地圖服務(wù)等較為完整的產(chǎn)業(yè)鏈生態(tài)。車聯(lián)網(wǎng)的功能安全、網(wǎng)絡(luò)安全、隱私和數(shù)據(jù)安全是構(gòu)建車聯(lián)網(wǎng)應(yīng)用的關(guān)鍵環(huán)節(jié)。根據(jù)中國通信學(xué)會(huì)組織各專業(yè)委員會(huì)開展前沿報(bào)告的工作安排，通信設(shè)備制造技術(shù)委員會(huì)在 2018 年組織我國車聯(lián)網(wǎng)產(chǎn)學(xué)研用各領(lǐng)域?qū)＜易珜懥塑嚶?lián)網(wǎng)技術(shù)、標(biāo)準(zhǔn)與產(chǎn)業(yè)發(fā)展態(tài)勢(shì)前沿報(bào)告1，

2、在業(yè)界反響熱烈。2019 年在此基礎(chǔ)上根據(jù)車聯(lián)網(wǎng)技術(shù)和產(chǎn)業(yè)的發(fā)展情況，通信設(shè)備制造技術(shù)委員會(huì)繼續(xù)組織專家撰寫了車聯(lián)網(wǎng)安全技術(shù)與標(biāo)準(zhǔn)發(fā)展態(tài)勢(shì)前沿報(bào)告。本報(bào)告分析了車聯(lián)網(wǎng)安全的全球發(fā)展態(tài)勢(shì)和我國發(fā)展現(xiàn)狀，對(duì)車聯(lián)網(wǎng)安全技術(shù)與產(chǎn)業(yè)發(fā)展態(tài)勢(shì)和技術(shù)預(yù)見進(jìn)行了預(yù)測，探討了車聯(lián)網(wǎng)安全面臨的重大難題，提出了技術(shù)和產(chǎn)業(yè)政策建議。報(bào)告內(nèi)容涉及面廣，可作為高校、研究機(jī)構(gòu)以及汽車、交通、通信、互聯(lián)網(wǎng)、集成電路等行業(yè)的技術(shù)產(chǎn)業(yè)發(fā)展參考，也可作為政府部門制定政策的參考。中國通信學(xué)會(huì)通信設(shè)備制造技術(shù)委員會(huì)主任委員： 2019 年 12 月目錄TOC o 1-1 h z u HYPERLINK l _TOC_250030 縮略

3、語1 HYPERLINK l _TOC_250029 一、車聯(lián)網(wǎng)安全研究概述3 HYPERLINK l _TOC_250028 二、全球發(fā)展態(tài)勢(shì)5 HYPERLINK l _TOC_250027 （一）綜述5 HYPERLINK l _TOC_250026 （二）車聯(lián)網(wǎng)安全管理系統(tǒng)發(fā)展態(tài)勢(shì)8 HYPERLINK l _TOC_250025 （三）車聯(lián)網(wǎng)安全信任錨點(diǎn)模型發(fā)展態(tài)勢(shì)10 HYPERLINK l _TOC_250024 （四）車聯(lián)網(wǎng)隱私保護(hù)技術(shù)發(fā)展態(tài)勢(shì)12 HYPERLINK l _TOC_250023 （五）車聯(lián)網(wǎng)安全監(jiān)管發(fā)展態(tài)勢(shì)14 HYPERLINK l _TOC_250022

4、（六）車聯(lián)網(wǎng)安全標(biāo)準(zhǔn)15 HYPERLINK l _TOC_250021 三、我國發(fā)展態(tài)勢(shì)17 HYPERLINK l _TOC_250020 （一）車聯(lián)網(wǎng)安全管理系統(tǒng)發(fā)展態(tài)勢(shì)17 HYPERLINK l _TOC_250019 （二）車聯(lián)網(wǎng)安全管理系統(tǒng)產(chǎn)業(yè)實(shí)踐19 HYPERLINK l _TOC_250018 （三）車聯(lián)網(wǎng)安全監(jiān)管21 HYPERLINK l _TOC_250017 （四）車聯(lián)網(wǎng)安全標(biāo)準(zhǔn)22 HYPERLINK l _TOC_250016 四、技術(shù)預(yù)見23 HYPERLINK l _TOC_250015 （一）5G 車聯(lián)網(wǎng)安全技術(shù)23 HYPERLINK l _TOC_25

5、0014 （二）車聯(lián)網(wǎng)與邊緣計(jì)算融合的安全24 HYPERLINK l _TOC_250013 （三）車聯(lián)網(wǎng)通信設(shè)備認(rèn)證及安全交互技術(shù)25 HYPERLINK l _TOC_250012 （四）車聯(lián)網(wǎng)安全管理系統(tǒng)增強(qiáng)技術(shù)26 HYPERLINK l _TOC_250011 （五）可信計(jì)算在車聯(lián)網(wǎng)中的應(yīng)用27 HYPERLINK l _TOC_250010 （六）基于區(qū)塊鏈理念的車聯(lián)網(wǎng)及安全技術(shù)27 HYPERLINK l _TOC_250009 五、工程難題28 HYPERLINK l _TOC_250008 （一）滿足車聯(lián)網(wǎng)安全需求的安全芯片28 HYPERLINK l _TOC_25000

6、7 （二）車聯(lián)網(wǎng)相關(guān)的安全算法29 HYPERLINK l _TOC_250006 （三）車聯(lián)網(wǎng)業(yè)務(wù)管理模式30 HYPERLINK l _TOC_250005 六、政策建議30 HYPERLINK l _TOC_250004 （一）加強(qiáng)車聯(lián)網(wǎng)安全總體規(guī)劃部署和頂層設(shè)計(jì)30 HYPERLINK l _TOC_250003 （二）加快頒布國家車聯(lián)網(wǎng)安全相關(guān)的法律法規(guī)和有關(guān)政策31 HYPERLINK l _TOC_250002 （三）落實(shí)責(zé)任，加強(qiáng)協(xié)作31 HYPERLINK l _TOC_250001 （四）推進(jìn)自主關(guān)鍵技術(shù)研發(fā)31 HYPERLINK l _TOC_250000 參考文獻(xiàn)31

7、縮略語3GPPThe 3rd Generation Partnership Project第三代合作伙伴項(xiàng)目5GAA5G Automotive Association5G 汽車協(xié)會(huì)ADASAdvanced Driver Assistant System先進(jìn)駕駛輔助系統(tǒng)C-ITSChina ITS industry Alliance中國智能交通產(chǎn)業(yè)聯(lián)盟C-V2XCellular V2X基于蜂窩的車聯(lián)網(wǎng)CACertificate Authority認(rèn)證中心CCMSC-ITS Security Credential Management SystemCCSAChina Communications

8、Standards AssociationC-ITS 安全證書管理系統(tǒng)中國通信標(biāo)準(zhǔn)化協(xié)會(huì)CPACertificate Policy Authority證書策略管理機(jī)構(gòu)CPOCCentral Point of Contact聯(lián)絡(luò)中心點(diǎn)DSRCDirect Short-Range Communication直接短距離通信ECAEnrolment Certificate Authority注冊(cè)證書認(rèn)證機(jī)構(gòu)ECCElliptic Curve Cryptography橢圓曲線密碼算法ECTLEuropean Certificate Trust List歐洲證書信任列表ETSIEuropean Telec

9、ommunications Standards Institute歐洲電信標(biāo)準(zhǔn)化協(xié)會(huì)GBAGeneric Bootstrapping Architecture通用引導(dǎo)架構(gòu)GCCFGlobal Certificate Chain File全球證書鏈文件IEEEInstitute of Electrical and Electronics Engineers電氣和電子工程師協(xié)會(huì)IPInternet Protocol互聯(lián)網(wǎng)協(xié)議IPSecInternet Protocol Security互聯(lián)網(wǎng)協(xié)議安全I(xiàn)SOInternational Standards Organization國際標(biāo)準(zhǔn)化組織ITSI

10、ntelligent Transportation System智能交通系統(tǒng)ITU-TInternational Telecommunication Union-Telecommunication國際電信聯(lián)盟-電信標(biāo)準(zhǔn)化局LALinkage Authority鏈接認(rèn)證機(jī)構(gòu)LOPLocation Obscurer Proxy位置模糊處理代理LTELong Term Evolution長期演進(jìn)LTE-V2XLong Term Evolution V2X基于LTE 的車聯(lián)網(wǎng)NHTSANational Highway Traffic Safety Administration美國高速交通安全管理局OB

11、UOn Board Unit車載單元PCAPseudonym Certificate Authority假名證書認(rèn)證機(jī)構(gòu)PKIPublic Key Infrastructure公鑰基礎(chǔ)設(shè)施RCARoot Certificate Authority根證書認(rèn)證機(jī)構(gòu)RSURoadside Unit路側(cè)單元SAESociety of Automotive Engineers汽車工程學(xué)會(huì)SCMSSubscriber Credential Management System簽約用戶信用狀管理系統(tǒng)TLMTrust List Manager信任列表管理者TLSTransport Layer Security傳

12、輸層安全V2XVehicle to Everything車聯(lián)網(wǎng)V2IVehicle to Infrastructure車到基礎(chǔ)設(shè)施V2NVehicle to Network車到網(wǎng)絡(luò)V2PVehicle to Pedestrian車到人V2VVehicle to Vehicle車到車WAVEWireless Access Vehicular Environment無線接入車載環(huán)境一、 車聯(lián)網(wǎng)安全研究概述車聯(lián)網(wǎng)是以車內(nèi)網(wǎng)、車際網(wǎng)和車載移動(dòng)互聯(lián)網(wǎng)為基礎(chǔ)，按照約定的通信協(xié)議和數(shù)據(jù)交互標(biāo)準(zhǔn)，在車與車（V2V）、車與路邊設(shè)施（V2I）、 車與行人（V2P）以及車與網(wǎng)絡(luò)（V2N）之間進(jìn)行無線通信和數(shù)據(jù)交換與

13、共享的網(wǎng)絡(luò)系統(tǒng)。它通過人車路網(wǎng)之間的實(shí)時(shí)感知與協(xié)同來實(shí)現(xiàn)智能交通管理、智能動(dòng)態(tài)信息服務(wù)和智能車輛控制的一體化， 向用戶提供道路安全、交通效率提升和信息娛樂等各類服務(wù)，滿足人們交通信息消費(fèi)的需要。目前，全球范圍內(nèi)普遍接受的 V2X（X：車、路、行人以及網(wǎng)絡(luò)） 車聯(lián)網(wǎng)通信技術(shù)主要包括專用短程通信 IEEE 802.11p/DSRC（Dedicated Short Range Communication）技術(shù)和基于移動(dòng)蜂窩通信系統(tǒng)的 C-V2X（Cellular-V2X）技術(shù)。其中 C-V2X2包括 LTE-V2X 和NR-V2X，LTE-V2X3是大唐最早在 2013 年提出的概念，并于 2017

14、 年在 3GPP 形成國際標(biāo)準(zhǔn)。由于通信標(biāo)準(zhǔn)的持續(xù)演進(jìn)，在產(chǎn)業(yè)發(fā)展過程中，將基于蜂窩通信的車聯(lián)網(wǎng)技術(shù)統(tǒng)稱為 C-V2X，涵蓋了當(dāng)前正在研究的新空增強(qiáng)車聯(lián)網(wǎng)技術(shù)，即 NR-V2X。與傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)相比， 車聯(lián)網(wǎng)系統(tǒng)有著新的系統(tǒng)組成、新的通信場景，這些在系統(tǒng)安全性及用戶隱私保護(hù)方面帶來了新的需求與挑戰(zhàn)。車聯(lián)網(wǎng)設(shè)備主要包括車聯(lián)網(wǎng)終端和路側(cè)設(shè)備。從車聯(lián)網(wǎng)終端角度， 由于車聯(lián)網(wǎng)終端集成了導(dǎo)航、移動(dòng)辦公、車輛控制、輔助駕駛等功能， 導(dǎo)致車載終端更容易成為黑客攻擊的目標(biāo)，造成信息泄露，車輛失控 等重大安全問題。因此車載終端面臨著比傳統(tǒng)終端更大的安全風(fēng)險(xiǎn)。車載終端存在的多個(gè)物理訪問接口和無線連接訪問接口使車載終

15、端容易受到欺騙、入侵和控制的安全威脅，同時(shí)車載終端本身還存在訪問控制風(fēng)險(xiǎn)、固件逆向風(fēng)險(xiǎn)、不安全升級(jí)風(fēng)險(xiǎn)、權(quán)限濫用風(fēng)險(xiǎn)、系統(tǒng)漏洞暴露風(fēng)險(xiǎn)、應(yīng)用軟件風(fēng)險(xiǎn)和數(shù)據(jù)篡改和泄露風(fēng)險(xiǎn)。從路側(cè)設(shè)備的角度，由于路側(cè)設(shè)備是車聯(lián)網(wǎng)系統(tǒng)的核心單元，它的安全關(guān)系到車輛、行人和道路交通的整體安全，主要面臨非法接入、運(yùn)行環(huán)境風(fēng)險(xiǎn)、設(shè)備漏洞、遠(yuǎn)程升級(jí)風(fēng)險(xiǎn)和部署維護(hù)風(fēng)險(xiǎn)。車聯(lián)網(wǎng)的通信包括車內(nèi)系統(tǒng)的通信和車與車、車與路、車與網(wǎng)絡(luò)等的車聯(lián)網(wǎng)通信，對(duì)于車內(nèi)系統(tǒng)而言，LTE V2X 車載終端是車輛系統(tǒng)中的一個(gè)功能節(jié)點(diǎn)。而對(duì)于 LTE V2X 車載終端而言，車內(nèi)系統(tǒng)是LTE V2X 車載終端的執(zhí)行器，包含了車內(nèi)所有與其交互的電子電氣系統(tǒng)

16、。從車聯(lián)網(wǎng)通信角度，LTE-V2X 技術(shù)包括蜂窩網(wǎng)通信場景和短距離直連通信場景的通信技術(shù)。在蜂窩網(wǎng)通信場景下，LTE V2X 車聯(lián)網(wǎng)繼承了傳統(tǒng) LTE 網(wǎng)絡(luò)系統(tǒng)面臨的安全風(fēng)險(xiǎn)，存在假冒終端、假冒網(wǎng)絡(luò)、信令/數(shù)據(jù)竊聽和信令/數(shù)據(jù)篡改/重放等安全風(fēng)險(xiǎn)。在短距離直連通信場景下，LTE V2X 系統(tǒng)除了面臨假冒網(wǎng)絡(luò)、信令竊聽、信令篡改/重放等安全信令面安全風(fēng)險(xiǎn)外，還面臨著虛假信息、假冒終端、信息篡改/重放和隱私泄露等用戶面安全風(fēng)險(xiǎn)。從車內(nèi)通信角度， 由于車內(nèi)系統(tǒng)通過車內(nèi)網(wǎng)絡(luò)（如 CAN 總線網(wǎng)絡(luò)、車載以太網(wǎng)等）與車載終端相聯(lián)，使整個(gè)車內(nèi)系統(tǒng)暴露在外部不安全的環(huán)境中，車內(nèi)系統(tǒng)面臨假冒節(jié)點(diǎn)、接口惡意調(diào)用和

17、指令竊聽/篡改/重放等風(fēng)險(xiǎn)。車聯(lián)網(wǎng)應(yīng)用主要包括基于云平臺(tái)的業(yè)務(wù)應(yīng)用以及基于PC5/V5 接口的直連通信業(yè)務(wù)應(yīng)用。基于云平臺(tái)的應(yīng)用以蜂窩網(wǎng)通信為基礎(chǔ)，繼承了“云、管、端”模式現(xiàn)有的安全風(fēng)險(xiǎn)，包括假冒用戶、假冒業(yè)務(wù)服務(wù)器、非授權(quán)訪問、數(shù)據(jù)安全等。直連通信應(yīng)用以網(wǎng)絡(luò)層 PC5 廣播通道為基礎(chǔ)，主要面臨偽造/篡改/竊聽信息和用戶隱私泄露等安全風(fēng)險(xiǎn)。車聯(lián)網(wǎng)數(shù)據(jù)來源廣泛、種類眾多，各種類型的數(shù)據(jù)在生成、傳輸、存儲(chǔ)、使用、丟棄或銷毀等各個(gè)階段，在終端、網(wǎng)絡(luò)、業(yè)務(wù)平臺(tái)等各個(gè)層面均面臨非法訪問、非法篡改、用戶隱私泄露等安全風(fēng)險(xiǎn)。為了應(yīng)對(duì)上述的安全風(fēng)險(xiǎn)和挑戰(zhàn)，車聯(lián)網(wǎng)系統(tǒng)需要對(duì)消息來源進(jìn)行認(rèn)證，保證消息的合法性；支

18、持對(duì)消息的完整性及抗重放保護(hù)，確保消息在傳輸時(shí)不被偽造、篡改、重放；根據(jù)業(yè)務(wù)需求支持對(duì)消息的機(jī)密性保護(hù)，確保消息在傳輸時(shí)不被竊聽，防止用戶敏感信息泄露； 支持對(duì)終端真實(shí)身份標(biāo)識(shí)及位置信息的隱藏，防止用戶隱私泄露。本報(bào)告分析了車聯(lián)網(wǎng)安全技術(shù)和標(biāo)準(zhǔn)在全球的發(fā)展態(tài)勢(shì)和我國 發(fā)展現(xiàn)狀，對(duì)車聯(lián)網(wǎng)安全技術(shù)與標(biāo)準(zhǔn)發(fā)展態(tài)勢(shì)和技術(shù)預(yù)見進(jìn)行了預(yù)測， 探討了車聯(lián)網(wǎng)安全在工程建設(shè)中的重大難題，提出了技術(shù)和產(chǎn)業(yè)政策 建議。報(bào)告內(nèi)容涉及面廣，可作為高校、研究機(jī)構(gòu)以及汽車、交通、通信、互聯(lián)網(wǎng)、集成電路等行業(yè)的技術(shù)產(chǎn)業(yè)發(fā)展參考，也可作為政府 部門制定政策的參考。二、 全球發(fā)展態(tài)勢(shì)（一）綜述LTE-V2X 是為了支持基本道路安

19、全等車聯(lián)網(wǎng)業(yè)務(wù)需求,在蜂窩架構(gòu)基礎(chǔ)上，擴(kuò)展了終端直連通信特性。3GPP 標(biāo)準(zhǔn)組織在現(xiàn)有 LTE 網(wǎng)絡(luò)的基礎(chǔ)之上引入了 V2X 控制功能網(wǎng)元，對(duì)車聯(lián)網(wǎng)終端及業(yè)務(wù)進(jìn)行管控，并對(duì)上層業(yè)務(wù)提供方提供服務(wù)支撐，滿足業(yè)務(wù)需要。在此網(wǎng)絡(luò)架構(gòu)下，LTE V2X 系統(tǒng)安全分為蜂窩通信場景和直連通信場景的安全。(7)(5)(2)(4)(2)歸屬網(wǎng)絡(luò)車載終端(8)(3)LTE-UuLTE V2X網(wǎng)聯(lián)汽車USIM卡1)(4)(6)(3)(1)服務(wù)網(wǎng)絡(luò)LTE接入網(wǎng)(1)V2X控制功能(6)(6)LTE V2X業(yè)務(wù)提供方應(yīng)用車內(nèi)系統(tǒng)歸屬環(huán)境蜂窩網(wǎng)應(yīng)用層蜂窩通信場景下的安全架構(gòu)（如圖 1 所示）與 LTE 的安全架構(gòu)類似，

20、包括網(wǎng)絡(luò)接入安全、網(wǎng)絡(luò)域安全、認(rèn)證與密鑰管理、車聯(lián)網(wǎng)接入安全、車聯(lián)網(wǎng)業(yè)務(wù)能力開放安全、網(wǎng)絡(luò)安全能力開放、應(yīng)用層安全和車內(nèi)系統(tǒng)及接口安全。其中網(wǎng)絡(luò)接入安全、網(wǎng)絡(luò)域安全、認(rèn)證與密鑰管理和網(wǎng)絡(luò)安全能力開放繼承了 LTE 網(wǎng)絡(luò)現(xiàn)有安全機(jī)制。車聯(lián)業(yè)務(wù)接入安全是車聯(lián)網(wǎng)系統(tǒng)新增的安全域，對(duì)于 LTE 網(wǎng)絡(luò)而言屬于應(yīng)用層安全。它在終端與其歸屬網(wǎng)絡(luò)的 V2X 控制功能之間提供雙向認(rèn)證，對(duì)終端身份提供機(jī)密性保護(hù)；在終端與 V2X 控制功能之間對(duì)配置數(shù)據(jù)提供傳輸時(shí)的完整性保護(hù)、機(jī)密性保護(hù)和抗重放保護(hù)。車聯(lián)業(yè)務(wù)能力開放安全也是車聯(lián)網(wǎng)系統(tǒng)新增的安全域，保證對(duì)上層應(yīng)用提供LTE V2X 業(yè)務(wù)能力開放過程中的接入及數(shù)據(jù)傳輸

21、安全。它可采取類似于網(wǎng)絡(luò)域安全的方法來保護(hù)，在不同安全域之間采用 IPSec、TLS 等安全機(jī)制為業(yè)務(wù)提供雙向認(rèn)證、加密、完整性保護(hù)和抗重放的安全保障。圖 1 蜂窩移動(dòng)通信場景下 LTE-V2X 安全架構(gòu)5應(yīng)用(3)交通專網(wǎng)應(yīng)用(2)(2)(5)車內(nèi)系統(tǒng)車載終端(1)LTE V2X終端僅對(duì)于RSU(4)公共網(wǎng)絡(luò)PC5/V5(5)LTE V2X網(wǎng)聯(lián)汽車USIM卡USIM卡僅對(duì)于UE型RSU業(yè)務(wù)云平臺(tái)交通信號(hào)控制系統(tǒng)LTE V2X網(wǎng)聯(lián)汽車/RSU/行人直連通信場景下的 LTE-V2X 系統(tǒng)安全架構(gòu)（如圖 2 所示）包括網(wǎng)絡(luò)層安全、安全能力支撐、應(yīng)用層安全、車內(nèi)系統(tǒng)及接口安全和外部網(wǎng)絡(luò)域安全。根據(jù)

22、3GPP 組織的 REL14 的規(guī)范，終端在網(wǎng)絡(luò)層不采取任何機(jī)制對(duì) PC5 接口上廣播發(fā)送的直連通信數(shù)據(jù)進(jìn)行安全保護(hù)， 數(shù)據(jù)的傳輸安全完全在應(yīng)用層 V5 接口保障。網(wǎng)絡(luò)層僅提供標(biāo)識(shí)更新機(jī)制對(duì)用戶隱私進(jìn)行保護(hù)。終端通過隨機(jī)動(dòng)態(tài)改變?cè)炊擞脩魧佣?biāo)識(shí)和源 IP 地址，防止用戶身份標(biāo)識(shí)信息在 PC5 廣播通信的過程中遭到泄露、被攻擊者跟蹤。網(wǎng)絡(luò)層向應(yīng)用層提供安全能力支撐，采取用戶標(biāo)識(shí)跨層同步機(jī)制確保源端用戶層二標(biāo)識(shí)、源 IP 地址與應(yīng)用層標(biāo)識(shí)同步更新，防止由于網(wǎng)絡(luò)層與應(yīng)用層用戶身份標(biāo)識(shí)更新的不同步，導(dǎo)致用戶標(biāo)識(shí)關(guān)聯(lián)信息被攻擊者獲取，用戶隱私信息遭到泄露。圖 2 直連通信場景下的 LTE-V2X 安全架

23、構(gòu)5因此對(duì)于 PC5/V5 直連通信接口，LTE V2X 系統(tǒng)主要依靠應(yīng)用層安全來解決安全風(fēng)險(xiǎn)。目前，車聯(lián)網(wǎng)系統(tǒng)在應(yīng)用層主要考慮采用數(shù)字證書的方法實(shí)現(xiàn)業(yè)務(wù)消息的安全保護(hù)，相應(yīng)地系統(tǒng)需要部署 CA 基礎(chǔ)設(shè)施實(shí)現(xiàn)數(shù)字證書全生命周期的管理。通信交互時(shí)，車聯(lián)網(wǎng)終端使用數(shù)字證書對(duì)將要發(fā)送的業(yè)務(wù)消息進(jìn)行簽名，對(duì)所接收到的業(yè)務(wù)消息進(jìn)行驗(yàn)簽，從而保證消息的完整性以及業(yè)務(wù)消息來源的合法性。（二）車聯(lián)網(wǎng)安全管理系統(tǒng)發(fā)展態(tài)勢(shì)IEEE 1609 系列協(xié)議是 WAVE 的高層協(xié)議，其中 IEEE1609.2 定義了 WAVE 的安全消息格式及處理過程，是一種較為成熟的車聯(lián)網(wǎng)安全標(biāo)準(zhǔn)，它借鑒了傳統(tǒng) PKI 系統(tǒng)的體系結(jié)構(gòu)

24、，通過證書鏈實(shí)現(xiàn)終端互信。車聯(lián)網(wǎng)證書管理系統(tǒng)中每個(gè)模塊通過網(wǎng)絡(luò)交換有效信息，協(xié)同工作，共同對(duì)外提供安全服務(wù)，主要模塊有：Root CA（根 CA，RCA）RCA 是所有 CA 的管理者，也是可信系統(tǒng)的中心，以分層的方式為下級(jí) CA 頒發(fā)證書。根 CA 的操作與運(yùn)行需要在隔離的安全環(huán)境中，并且需要確保根 CA 服務(wù)器為離線狀態(tài)，以防遭遇來自互聯(lián)網(wǎng)的攻擊。Enrollment CA（注冊(cè) CA，ECA）ECA 為終端頒發(fā)準(zhǔn)入證書，只有獲得準(zhǔn)入證書的終端設(shè)備才可接入系統(tǒng)，并且通過網(wǎng)絡(luò)申請(qǐng)車聯(lián)網(wǎng)證書管理系統(tǒng)的其他服務(wù)。Pseudonym CA（假名 CA，PCA）PCA 負(fù)責(zé)頒發(fā)設(shè)備的短時(shí)匿名證書。設(shè)

25、備之間通過匿名證書實(shí)現(xiàn)可信的信息交互。目前美國和歐洲均在 IEEE1609.2 的基礎(chǔ)上根據(jù)各自的實(shí)際情況和管理需求設(shè)計(jì)了相應(yīng)的車聯(lián)網(wǎng)安全管理系統(tǒng)。SCMS 系統(tǒng)是美國針對(duì) V2X 應(yīng)用層安全設(shè)計(jì)的一套證書管理系統(tǒng)，包含了證書頒發(fā)、證書撤銷、終端安全信息收集、數(shù)據(jù)管理、異常分析等一系列與安全相關(guān)的功能，以此確保 V2X 的安全通訊，其主要結(jié)構(gòu)如圖 3 所示。圖 3SCMS 系統(tǒng)架構(gòu)20CCMS 是歐洲針對(duì)合作式智能交通設(shè)計(jì)的一套證書管理系統(tǒng)，主要結(jié)構(gòu)如圖 4 所示。CCMS 考慮不同的信任模型，允許一個(gè)或多個(gè)根CA 存在，可以實(shí)現(xiàn)單根 CA、交叉認(rèn)證、橋接 CA 和證書信任列表等多種證書管理模

26、式。圖 4 CCMS 系統(tǒng)架構(gòu)15（三）車聯(lián)網(wǎng)安全信任錨點(diǎn)模型發(fā)展態(tài)勢(shì)在車聯(lián)網(wǎng)證書管理系統(tǒng)中信任錨點(diǎn)在車聯(lián)網(wǎng)安全中扮演著非常重要的角色，所有車載終端授權(quán)和通信的安全性取決于信任錨的安全性。在車聯(lián)網(wǎng)證書管理系統(tǒng)中，共同的信任錨點(diǎn)是根證書頒發(fā)機(jī)構(gòu)， 根節(jié)點(diǎn)是車聯(lián)網(wǎng)中受信任的實(shí)體，允許其自己頒發(fā)自簽名證書。使用車聯(lián)網(wǎng)證書管理系統(tǒng)的所有設(shè)備，以及系統(tǒng)中所有關(guān)聯(lián)的網(wǎng)絡(luò)功能， 都必須通過某種安全手段來建立對(duì)根 CA 的合法性和完整性的信任（即未發(fā)生損害）。常用的信任錨點(diǎn)管理機(jī)制是保護(hù)信任 CA 列表的可信列表。例如可以作為預(yù)配置的一部分，通過安全的初始過程（例如帶外證書下載）為車輛OBU 提供根 CA 列

27、表。美國的 SCMS 系統(tǒng)有一個(gè)管理組件負(fù)責(zé)對(duì)策略和根進(jìn)行管理， 如圖 5 所示。SCMS 的根 CA 管理包括一系列選舉人，這些選舉人是認(rèn)可或撤銷根CA 證書并認(rèn)可或撤銷選舉人證書的受信任的設(shè)備和組織。選舉人和根 CA 是信任錨點(diǎn)系統(tǒng)的一部分。此選舉人機(jī)制可提供針對(duì)單點(diǎn)故障風(fēng)險(xiǎn)的保護(hù)，由于大多數(shù)選舉人可以撤銷或認(rèn)可另一個(gè)選舉人證書或根 CA 證書，因此 SCMS 允許采用標(biāo)準(zhǔn)化方式交換系統(tǒng)中的任何 CA 證書。SCMS 系統(tǒng)使用SCMS 管理器來確認(rèn)根CA 的可信度。同時(shí)SCMS 管理器還包括策略生成器，負(fù)責(zé)維護(hù)策略文件以及包含所有信任鏈的全局證書鏈文件（GCCF）。圖 5 美國 SCMS

28、系統(tǒng)的可信錨點(diǎn)模型9在歐洲，車聯(lián)網(wǎng)證書管理系統(tǒng)CCMS 使用信任列表管理器（TLM） 作為可信錨點(diǎn)，可以認(rèn)可或撤銷根 CA，這些根 CA 放置在歐洲證書信任列表（ECTL）上，并由與 TLM 相關(guān)的 CPOC 分發(fā)，如圖 6 所示。CCMS 使用 C-ITS 證書策略頒發(fā)機(jī)構(gòu)（CPA），其作用是任命 TLM并確認(rèn) TLM 可以信任 CPA 批準(zhǔn)運(yùn)行的根 CA。根 CA 的可信度記錄在由TLM 簽署的歐洲中央信任列表（ECTL）中。圖 6 歐洲可信錨點(diǎn)管理實(shí)體9（四）車聯(lián)網(wǎng)隱私保護(hù)技術(shù)發(fā)展態(tài)勢(shì)車聯(lián)網(wǎng)應(yīng)用的隱私包括位置隱私、用戶數(shù)據(jù)隱私和用戶身份隱私。車聯(lián)網(wǎng)應(yīng)用不僅能夠?yàn)轳{駛者提供道路周邊基礎(chǔ)設(shè)施

29、和導(dǎo)航信息，還 能對(duì)車輛位置及其他相關(guān)信息進(jìn)行詳細(xì)記錄。在車聯(lián)網(wǎng)中，用戶的身 份隱私和位置隱私相互關(guān)聯(lián)，密不可分，攻擊者通過身份信息可以追 蹤到車輛的位置信息，通過車輛的位置信息可以追蹤到車輛的行駛軌 跡，進(jìn)而可以揭示用戶的身份信息。所以在車聯(lián)網(wǎng)通信中既要保護(hù)車 輛的身份隱私，也要保護(hù)車輛的位置隱私。2017 年，美國眾議院通過了確保車輛演化的未來部署和研究安全法案。不同于以往的“非強(qiáng)制性”規(guī)定,該法案屬于首次從聯(lián)邦層面規(guī)制自動(dòng)駕駛的法案。法案要求自動(dòng)駕駛汽車的開發(fā)者需制定數(shù)據(jù)的隱私保護(hù)計(jì)劃,且禁止生產(chǎn)商在沒有隱私保護(hù)計(jì)劃的情況下銷售自動(dòng)駕駛汽車。法案規(guī)定隱私政策需明確以下內(nèi)容：（1）信息被收

30、集、使用、分享和存儲(chǔ)的方法；（2）提供給車主或使用者關(guān)于該類信息收集、使用、分享和存儲(chǔ)的選擇；（3）生產(chǎn)商關(guān)于車主或使用者數(shù)據(jù)最小化、去標(biāo)識(shí)化,及保留方面的做法；（4）隱私保護(hù)的要求如何延伸適用于分享使用數(shù)據(jù)的主體的做法。歐盟 GDPR 關(guān)于個(gè)人數(shù)據(jù)保護(hù)的規(guī)定將統(tǒng)一適用于自動(dòng)駕駛數(shù)據(jù)中的個(gè)人數(shù)據(jù)。在行業(yè)自律層面，2014 年，汽車制造商聯(lián)盟(Alliance of Automobile Manufacturers)和全球汽車制造商協(xié)會(huì)(Association of Global Automakers)為汽車技術(shù)和服務(wù)制定了 7 條隱私保護(hù)原則,涉及透明性、選擇性、尊重情景、數(shù)據(jù)最小化、數(shù)據(jù)安全

31、、完整性和可取性、可責(zé)性等;另外規(guī)定，只有在基于與消費(fèi)者的合同、經(jīng)消費(fèi)者同意或?yàn)榱寺男蟹梢蟮那闆r下才可與第三方共享個(gè)人數(shù)據(jù)。目前車聯(lián)網(wǎng)中主要是通過對(duì)車載終端的通信證書采用匿名的方式來保護(hù)用戶標(biāo)識(shí)，并根據(jù)設(shè)定的邏輯更換所使用的通信證書來達(dá)到保護(hù)用戶隱私的目的。為了平衡匿名證書數(shù)量與隱私保護(hù)間的矛盾，美國的 SCMS 系統(tǒng)選擇每周頒發(fā) 20 張匿名證書，并且規(guī)定當(dāng)移動(dòng)距離大于 2 千米且移動(dòng)時(shí)間超過 5 分鐘時(shí)需更換一次匿名證書。在更換證書的同時(shí)，終端同步更換設(shè)備的 MAC 地址，從而防止攻擊者利用設(shè)備的 MAC 地址對(duì)用戶進(jìn)行實(shí)時(shí)跟蹤。為了防止攻擊者描繪用戶的歷史軌跡， SCMS 系統(tǒng)規(guī)定匿

32、名證書的有效時(shí)間為一周，超過一周需使用下一批匿名證書。同時(shí)，匿名證書在使用前以加密方式存儲(chǔ)，防止設(shè)備被入侵后匿名證書被非法獲取。在服務(wù)端，SCMS 系統(tǒng)設(shè)計(jì)采用位置模糊化代理（LOP）將所有終端設(shè)備的地址進(jìn)行替代處理，從而使 SCMS 系統(tǒng)中的其他單元無法獲取終端設(shè)備的準(zhǔn)確位置信息。為了防止 LOP 對(duì)服務(wù)請(qǐng)求信息進(jìn)行監(jiān)聽，終端設(shè)備的服務(wù)請(qǐng)求數(shù)據(jù)采用加密方式發(fā)送，由 LOP 轉(zhuǎn)發(fā)給 RA，RA 可對(duì)接收到的密文請(qǐng)求數(shù)據(jù)解密并進(jìn)行相應(yīng)的處理。為了保護(hù)用戶隱私，SCMS 對(duì)系統(tǒng)側(cè)服務(wù)單元提出了嚴(yán)格的匿名管控標(biāo)準(zhǔn)，要求系統(tǒng)中的任何單一服務(wù)設(shè)備均無法根據(jù)自身獲取的信息獨(dú)立判斷出兩張匿名證書是否將頒發(fā)給

33、同一個(gè)終端使用，切斷匿名證書間的關(guān)聯(lián)性。為此，SCMS 系統(tǒng)采用兩個(gè)LA 服務(wù)器，防止單一LA 服務(wù)器通過鏈接值擴(kuò)展來確定證書關(guān)系。此外，在匿名證書申請(qǐng)過程中，在 RA 處設(shè)計(jì)了洗牌模式，防止 PCA 獲取確切的終端信息。RA 在收到終端設(shè)備的匿名證書請(qǐng)求后將其擴(kuò)展，并將多個(gè)終端擴(kuò)展后的請(qǐng)求進(jìn)行統(tǒng)一的洗牌處理，最后再發(fā)送給 PCA 申請(qǐng)證書。歐洲匿名證書預(yù)裝載的時(shí)間最多為三個(gè)月，有效期不超過一周， 并行有效的最大數(shù)量為每個(gè)節(jié)點(diǎn)最多 100 個(gè)證書，同時(shí)匿名證書中不包含任何可能將主題與其真實(shí)身份相關(guān)聯(lián)的名稱或信息。（五）車聯(lián)網(wǎng)安全監(jiān)管發(fā)展態(tài)勢(shì)目前，美國、英國、德國等國家陸續(xù)發(fā)布與智能網(wǎng)聯(lián)汽車與自

34、動(dòng)駕駛相關(guān)的法律法案，力圖從國家層面細(xì)化涉及汽車全生命周期各參與體的網(wǎng)絡(luò)安全責(zé)任，加強(qiáng)對(duì)車聯(lián)網(wǎng)安全的重視程度。美國 2016 年公布自動(dòng)駕駛汽車政策，將高度自動(dòng)駕駛汽車的安全部署任務(wù)分為四大部分，包括自動(dòng)駕駛汽車性能指南、州政策模式、現(xiàn)行監(jiān)管方式和監(jiān)管新工具與權(quán)力。美國交通部道路交通安全管理局（NHTSA）在 2017 年 8 月發(fā)布了新版聯(lián)邦自動(dòng)駕駛系統(tǒng)指南：安全愿景 2.0，要求汽車廠商采取措施應(yīng)對(duì)網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)漏洞，對(duì)車輛輔助系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全評(píng)估。英國要求汽車制造商承擔(dān)起包括抵御網(wǎng)絡(luò)攻擊、對(duì)抗黑客在內(nèi)的一系列網(wǎng)絡(luò)安全責(zé)任。2017 年 8 月，英國政府發(fā)布智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全關(guān)鍵原則，提

35、出包括頂層設(shè)計(jì)、風(fēng)險(xiǎn)管理與評(píng)估、產(chǎn)品售后服務(wù)與應(yīng)急響應(yīng)機(jī)制、整體安全性要求、系統(tǒng)設(shè)計(jì)、軟件安全管理、數(shù)據(jù)安全、彈性設(shè)計(jì)在內(nèi)的 8 大方面關(guān)鍵原則。將網(wǎng)絡(luò)安全責(zé)任拓展到供應(yīng)鏈上的每個(gè)主體，并強(qiáng)調(diào)在汽車全生命周期內(nèi)考慮網(wǎng)絡(luò)安全問題。德國在 2017 年 6 月頒布了道路交通法第八修正案與自動(dòng)駕駛道德準(zhǔn)則。道路交通法第八修正案原則性規(guī)定了自動(dòng)駕駛的定義、駕駛?cè)说呢?zé)任與義務(wù)、駕駛數(shù)據(jù)的記錄等內(nèi)容，為自動(dòng)駕駛各方利益主體規(guī)定了權(quán)利義務(wù)邊界，提出政府監(jiān)管方向。自動(dòng)駕駛道德準(zhǔn)則作為全球第一個(gè)自動(dòng)駕駛行業(yè)的道德準(zhǔn)則，通過在道路安全與出行便利、個(gè)人保護(hù)與功利主義、人身權(quán)益或財(cái)產(chǎn)權(quán)益等方面確立優(yōu)先原則，為自動(dòng)駕駛

36、所產(chǎn)生的道德和價(jià)值問題立下規(guī)矩。（六）車聯(lián)網(wǎng)安全標(biāo)準(zhǔn)目前國際上各大標(biāo)準(zhǔn)組織積極進(jìn)行車聯(lián)網(wǎng)安全的研究和標(biāo)準(zhǔn)化工作，均設(shè)立了專門的安全工作組開展車聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的研制工作， 為車聯(lián)網(wǎng)安全的發(fā)展提供必要的理論依據(jù)。國際標(biāo)準(zhǔn)化組織 ISO 是負(fù)責(zé)除電工電子領(lǐng)域外的國際標(biāo)準(zhǔn)化工作的非政府性國際組織，其下屬道路車輛技術(shù)委員會(huì)（TC22）成立SC32/WG11 Cybersecurity 信息安全工作組，聯(lián)合美國汽車工程師協(xié)會(huì)（SAE）共同開展信息安全國際標(biāo)準(zhǔn) ISO 21434 Road Vehicles Cybersecurity engineering 的制定工作。該標(biāo)準(zhǔn)旨在定義整個(gè)車聯(lián)網(wǎng)產(chǎn)業(yè)鏈中使用的

37、通用術(shù)語，明確車聯(lián)網(wǎng)中關(guān)鍵網(wǎng)絡(luò)安全問題，設(shè)定車輛網(wǎng)絡(luò)安全工程的最低標(biāo)準(zhǔn)，并為相關(guān)監(jiān)管機(jī)構(gòu)提供參考。ISO/IEC JTC1 SC27（信息安全、網(wǎng)絡(luò)空間安全和隱私保護(hù)技術(shù)委員會(huì)）的WG3（安全評(píng)估、測試和規(guī)范工作組）中，基于 ISO/IEC 15408 的網(wǎng)聯(lián)汽車信息安全測評(píng)準(zhǔn)則標(biāo)準(zhǔn)研究項(xiàng)目，旨在基于 ISO/IEC 15408 標(biāo)準(zhǔn)，分析網(wǎng)聯(lián)汽車面臨的安全威脅和安全目標(biāo)，提出安全要求和安全功能組件。美國汽車工程師協(xié)會(huì)（SAE）中的汽車電子系統(tǒng)安全委員會(huì)負(fù)責(zé)汽車電子系統(tǒng)網(wǎng)絡(luò)安全方面的標(biāo)準(zhǔn)化工作，制定了全球第一個(gè)關(guān)于汽車電子系統(tǒng)網(wǎng)絡(luò)安全的指南性文件J3061 Cybersecurity Guid

38、ebook for Cyber-Physical Vehicle Systems，該文件定義了完整的生命周期過程框架，將網(wǎng)絡(luò)安全貫穿了從概念階段到生產(chǎn)、運(yùn)營、服務(wù)和退役的所有生命周期，為開發(fā)具有網(wǎng)絡(luò)安全要求的汽車電子系統(tǒng)提供了重要的依據(jù)。該文件為車輛系統(tǒng)提供了網(wǎng)絡(luò)安全的基本指導(dǎo)原則，為后續(xù)的車聯(lián)網(wǎng)安全的標(biāo)準(zhǔn)化工作奠定了基礎(chǔ)。國際電信聯(lián)盟（ITU-T）SG17 工作組已經(jīng)開展了對(duì)智能交通以及聯(lián)網(wǎng)汽車安全的研究工作。有 12 個(gè)標(biāo)準(zhǔn)項(xiàng)目，包括：軟件升級(jí)、安全威脅、異常檢測、數(shù)據(jù)分類、V2X 通信安全、邊緣計(jì)算、車內(nèi)以太網(wǎng)安全等。目前已經(jīng)正式發(fā)布的標(biāo)準(zhǔn)有 X.1373 Secure software

39、 update capability for intelligent transportation system communication devices，這個(gè)標(biāo)準(zhǔn)通過適當(dāng)?shù)陌踩刂拼胧?，為遠(yuǎn)程更新服務(wù)器和車輛之間提供軟件安全的更新方案，并且定義了安全更新的流程和內(nèi)容建議，該標(biāo)準(zhǔn)正在修訂中。目前，ITU-T 在研的標(biāo)準(zhǔn)有 Securityguidelines for V2X communication systems for determination，SecurityRequirements of Categorized Data in V2X Communication 和 Securi

40、ty threats in connected vehicles，主要圍繞 V2X 面臨的安全威脅和安全需求，提出相應(yīng)的安全指南，該標(biāo)準(zhǔn)已經(jīng)凍結(jié)，即將發(fā)布。聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇（WP.29）成立了汽車信息安全任務(wù)組（TFCS/OTA），提出了關(guān)于網(wǎng)絡(luò)安全和信息保護(hù)措施的指南草案，并正在以該任務(wù)組提交的研究報(bào)告為基礎(chǔ)，制定汽車信息安全專用國際法規(guī)。為實(shí)施更為安全的保護(hù)，ETSI 中的 ITS 技術(shù)委員會(huì)制定了相應(yīng)的技術(shù)規(guī)范，該技術(shù)規(guī)范主要包括安全架構(gòu)、安全服務(wù)、安全管理、隱私保護(hù)等方面。3GPP SA3 在REL 14 開始進(jìn)行 LTE-V2X 安全的研究和標(biāo)準(zhǔn)化工作， 形成了 3GPP

41、TS 33.185 Security aspect for LTE support of Vehicle-to-Everything (V2X) services 標(biāo)準(zhǔn)規(guī)范，規(guī)定了 LTE-V2X 的安全架構(gòu)以及安全機(jī)制。目前 3GPP SA3 在REL 17 開始研究eV2X 的安全，主要圍繞 5G-V2X 的安全需求和安全關(guān)鍵問題進(jìn)行研究。三、 我國發(fā)展態(tài)勢(shì)（一）車聯(lián)網(wǎng)安全管理系統(tǒng)發(fā)展態(tài)勢(shì)為了實(shí)現(xiàn)車聯(lián)網(wǎng)終端之間的安全認(rèn)證和安全通信，我國的車聯(lián)網(wǎng)系統(tǒng)使用基于公鑰證書的 PKI 機(jī)制確保終端間的安全認(rèn)證和安全通信,通過采用數(shù)字簽名和加密等技術(shù)手段實(shí)現(xiàn)車聯(lián)網(wǎng)終端之間消息的安全通信。因此需要車聯(lián)網(wǎng)

42、安全管理系統(tǒng)來實(shí)現(xiàn)證書頒發(fā)、證書撤銷、終端安全信息收集、數(shù)據(jù)管理、異常分析等一系列與安全相關(guān)的功能， 確保車聯(lián)網(wǎng)應(yīng)用安全。車聯(lián)網(wǎng)安全管理系統(tǒng)是車聯(lián)網(wǎng)安全通信的重要組成部分，包括注冊(cè) CA、V2V 假名 CA、V2I 授權(quán) CA 和證書撤銷 CA 等，車聯(lián)網(wǎng)安全管理系統(tǒng)的架構(gòu)及可信模型與我國車聯(lián)網(wǎng)業(yè)務(wù)及其管理模式緊密相關(guān)。根據(jù)我國車聯(lián)網(wǎng)發(fā)展情況及業(yè)務(wù)需求，可以看出我國的車聯(lián)網(wǎng)安全管理系統(tǒng)會(huì)存在兩種可能的架構(gòu)，即集中式管理架構(gòu)和分布式管理架構(gòu)。授權(quán)CA證書撤銷CA注冊(cè)CA服務(wù)機(jī)構(gòu)路側(cè)設(shè)備(RSU)車載設(shè)備(OBU)V2I授權(quán)CAV2X假名CAV2X通信CA圖 7集中式車聯(lián)網(wǎng)安全管理系統(tǒng)架構(gòu)5圖 7

43、 給出了集中式車聯(lián)網(wǎng)安全管理系統(tǒng)架構(gòu)。該架構(gòu)采用單一根CA 的方式，部署統(tǒng)一的 CA 體系結(jié)構(gòu)，所有的子 CA 都在同一個(gè)根CA 下管理。根 CA 可由車聯(lián)網(wǎng)管理責(zé)任部門負(fù)責(zé)運(yùn)營維護(hù)。這種部署方式適用于對(duì)車聯(lián)網(wǎng)有明確主管責(zé)任部門進(jìn)行統(tǒng)一管理的場景。集中式部署的優(yōu)點(diǎn)是所有的證書由統(tǒng)一的根 CA 管理，管理比較簡單， 缺點(diǎn)是不能重用現(xiàn)有的 CA 系統(tǒng)，需要重新建立新的 CA 體系。圖 8 給出了分布式車聯(lián)網(wǎng)安全管理系統(tǒng)架構(gòu)，該架構(gòu)通過 CA 之間的交叉認(rèn)證實(shí)現(xiàn)可信的 PKI 體系?？尚抨P(guān)系授權(quán)CA證書撤銷CA注冊(cè)CA服務(wù)機(jī)構(gòu)路側(cè)設(shè)備(RSU)車載設(shè)備(OBU)V2I授權(quán)CAV2X假名CA圖 8 分

44、布式安全基礎(chǔ)設(shè)施部署方式5分布式部署方案不需要有共同的根 CA，不同的業(yè)務(wù)可以設(shè)置不同的根 CA，但需要在不同的根 CA 之間建立互信關(guān)系。這種部署方式適用于多部門共同對(duì)車聯(lián)網(wǎng)進(jìn)行管理和維護(hù)的場景。這種方式的優(yōu)點(diǎn)是容易對(duì)接現(xiàn)有的管理機(jī)制，可在現(xiàn)有 CA 系統(tǒng)中增加相應(yīng)的功能即可。缺點(diǎn)是需要執(zhí)行交叉認(rèn)證，增加了消息長度和消息處理時(shí)延。需要注意的是，不管使用哪種部署方案，頒發(fā)證書的 CA 都需要具備很高的安全性。攻擊者可能可以從不安全的 CA 系統(tǒng)獲得 CA 頒發(fā)的有效證書，進(jìn)而發(fā)送惡意構(gòu)造的 V2X 消息，造成嚴(yán)重的后果， 如車輛碰撞等交通事故。頒發(fā)證書的CA 應(yīng)根據(jù)當(dāng)前業(yè)界的最佳實(shí)踐， 通過第

45、三方評(píng)估認(rèn)證等方式，證明自身的安全性和公信力。（二）車聯(lián)網(wǎng)安全管理系統(tǒng)產(chǎn)業(yè)實(shí)踐車聯(lián)網(wǎng)安全管理系統(tǒng)是車聯(lián)網(wǎng)商業(yè)化部署應(yīng)用的重要保障。車聯(lián)網(wǎng)“人-車-路-云”通信過程中需要對(duì)車載設(shè)備、路側(cè)基礎(chǔ)設(shè)施等參與主體的身份合法性進(jìn)行安全認(rèn)證，避免車聯(lián)網(wǎng)設(shè)備因黑客攻擊，誤導(dǎo)車輛做出錯(cuò)誤判斷，甚至導(dǎo)致車輛碰撞等危害事件發(fā)生。目前國內(nèi)相關(guān)單位持續(xù)開展 V2X 通信安全研究和標(biāo)準(zhǔn)制定，國家標(biāo)準(zhǔn)化管理委員會(huì)在 2019 年 5 月發(fā)布了國標(biāo)GB/T 37376-2019交通運(yùn)輸 數(shù)字證書格式、GB/T 37374-2019智能交通 數(shù)字證書應(yīng)用接口規(guī)范和GB/T 37373-2019智能交通 數(shù)據(jù)安全服務(wù)。中國通信標(biāo)

46、準(zhǔn)化協(xié)會(huì)（CCSA）完成了行標(biāo)基于 LTE 的車聯(lián)網(wǎng)通信安全技術(shù)要求、車聯(lián)網(wǎng)信息服務(wù) 數(shù)據(jù)安全技術(shù)要求、車聯(lián)網(wǎng)無線通信安全技術(shù)指南、車聯(lián)網(wǎng)信息服務(wù) 用戶個(gè)人信息保護(hù)要求和車聯(lián)網(wǎng)信息服務(wù)平臺(tái)安全防護(hù)要求的制定。同時(shí)，CCSA、C-ITS 和全國汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)正在制定多部 V2X 通信安全標(biāo)準(zhǔn)，眾多企業(yè)已經(jīng)依據(jù)標(biāo)準(zhǔn)開展了車聯(lián)網(wǎng)通信安全的測試驗(yàn)證活動(dòng)。2018 年 4 月，中國信息通信科技集團(tuán)有限公司（中國信科）發(fā)布了業(yè)內(nèi)首個(gè)車聯(lián)網(wǎng)安全管理系統(tǒng)，該系統(tǒng)實(shí)現(xiàn)了注冊(cè) CA、V2V 假名 CA、V2I 授權(quán) CA 和證書撤銷 CA 等功能，實(shí)現(xiàn)了車聯(lián)網(wǎng)注冊(cè)證書、匿名證書、應(yīng)用證書和證書撤銷列表的管理

47、，實(shí)現(xiàn)了車聯(lián)網(wǎng)安全的驗(yàn)證。2019 年 8 月，國汽（北京）智能網(wǎng)聯(lián)汽車研究院有限公司搭建的VSS 系統(tǒng)眾測平臺(tái)正式對(duì)外開放。VSS 是針對(duì)V2X 通信設(shè)計(jì)構(gòu)建的安全認(rèn)證防護(hù)系統(tǒng)，是推廣 V2X 應(yīng)用不可或缺的組成部分。VSS 包括根 CA、中間證書 CA、注冊(cè)證書 CA、消息證書 CA 和受理服務(wù)器AS。2019 年 10 月 22 日到 24 日，由 IMT-2020（5G）推進(jìn)組 C-V2X 工作組、中國智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)創(chuàng)新聯(lián)盟、中國汽車工程學(xué)會(huì)、上海國際汽車城（集團(tuán)）有限公司共同主辦的 C-V2X“四跨”互聯(lián)互通應(yīng)用展示，重點(diǎn)演示了車聯(lián)網(wǎng)通信安全身份認(rèn)證機(jī)制，實(shí)現(xiàn)“跨芯片模組、跨終端、

48、跨整車、跨安全平臺(tái)”的全方位演示。演示活動(dòng)應(yīng)用場景和安全機(jī)制全面依照國內(nèi) LTE-V2X 標(biāo)準(zhǔn)體系進(jìn)行技術(shù)開發(fā)，由中國信科和國汽智聯(lián)搭建的車聯(lián)網(wǎng)安全管理平臺(tái)為車載通信終端OBU 和路側(cè)終端RSU 提供通信證書，實(shí)現(xiàn) V2V、V2I 直連安全通信， 綜合演示車聯(lián)網(wǎng)通信安全機(jī)制。（三）車聯(lián)網(wǎng)安全監(jiān)管近兩年，我國陸續(xù)頒布車聯(lián)網(wǎng)相關(guān)的法規(guī)政策，安全作為車聯(lián)網(wǎng)的重要組成部分，在相應(yīng)的法規(guī)政策中都被著重提出，從安全管理和安全技術(shù)層面都有相應(yīng)的規(guī)定和要求。2017 年 6 月 1 日開始實(shí)施的中華人民共和國網(wǎng)絡(luò)安全法，明確要求網(wǎng)絡(luò)運(yùn)營者履行網(wǎng)絡(luò)安全保護(hù)義務(wù)，依照法律、行政法規(guī)的規(guī)定和國家標(biāo)準(zhǔn)的強(qiáng)制性要求，采

49、取技術(shù)措施和其他必要措施，保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行。有效應(yīng)對(duì)網(wǎng)絡(luò)安全事件，防范網(wǎng)絡(luò)違法犯罪活動(dòng)， 維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。加強(qiáng)行業(yè)自律，制定網(wǎng)絡(luò)安全行為規(guī)范，指導(dǎo)會(huì)員加強(qiáng)網(wǎng)絡(luò)安全保護(hù)，提高網(wǎng)絡(luò)安全保護(hù)水平， 促進(jìn)行業(yè)健康發(fā)展。2018 年 6 月，工信部和國家標(biāo)準(zhǔn)化管理委員共同頒布了國家車聯(lián)網(wǎng)產(chǎn)業(yè)標(biāo)準(zhǔn)體系建設(shè)指南，在智能網(wǎng)聯(lián)汽車標(biāo)準(zhǔn)體系的通用規(guī)范中，規(guī)劃了信息安全類（編號(hào) 204）的標(biāo)準(zhǔn)體系。在遵從信息安全通用要求的基礎(chǔ)上，以保障車輛安全、穩(wěn)定、可靠運(yùn)行為核心，主要針對(duì)車輛及車載系統(tǒng)通信、數(shù)據(jù)、軟硬件安全，從整車、系統(tǒng)、關(guān)鍵節(jié)點(diǎn)以及車輛與外界接口等方面提出風(fēng)險(xiǎn)評(píng)估、安全防護(hù)與測試評(píng)

50、價(jià)要求，防范對(duì)車輛的攻擊、侵入、干擾、破壞和非法使用以及意外事故。在信息通信標(biāo)準(zhǔn)體系的網(wǎng)絡(luò)與數(shù)據(jù)安全部分，涉及安全體系架構(gòu)、通信安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全防護(hù)、安全監(jiān)控、應(yīng)急管理等方面的標(biāo)準(zhǔn)。2018 年 1 月，發(fā)改委組織起草了智能汽車創(chuàng)新發(fā)展戰(zhàn)略（征求意見稿），明確提出構(gòu)建全面高效的智能汽車信息安全體系，保障車聯(lián)網(wǎng)網(wǎng)絡(luò)安全產(chǎn)業(yè)的健康有序發(fā)展。明確提出完善信息安全管理聯(lián)動(dòng)機(jī)制，明確相關(guān)主體的安全管理責(zé)任，定期開展安全監(jiān)督檢查；從云、管、端全方位加強(qiáng)信息安全系統(tǒng)防護(hù)能力；加強(qiáng)數(shù)據(jù)安全防護(hù)管理。建立智能汽車數(shù)據(jù)全生命周期的安全管理機(jī)制，加強(qiáng)數(shù)據(jù)安全監(jiān)督檢查，開展數(shù)據(jù)風(fēng)險(xiǎn)、數(shù)據(jù)出境安全等評(píng)估工作，加

51、強(qiáng)管理制度建設(shè)。在 PKI 管理方面，2009 年頒布的電子認(rèn)證服務(wù)管理辦法明確了對(duì)電子認(rèn)證服務(wù)提供者實(shí)施監(jiān)督管理的方法，包括提供電子認(rèn)證服務(wù)機(jī)構(gòu)的資質(zhì)要求、電子認(rèn)證服務(wù)許可申請(qǐng)流程等。（四）車聯(lián)網(wǎng)安全標(biāo)準(zhǔn)為了適應(yīng)車聯(lián)網(wǎng)的發(fā)展，TC114、TC260、CCSA、C-ITS 等都設(shè)立了車聯(lián)網(wǎng)安全相關(guān)工作組，加速研制車聯(lián)網(wǎng)安全標(biāo)準(zhǔn)，重點(diǎn)關(guān)注車聯(lián)網(wǎng)無線通信安全和數(shù)據(jù)安全。全國汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)（簡稱汽標(biāo)委）下屬的智能網(wǎng)聯(lián)汽車分技術(shù)委員會(huì)（TC114）負(fù)責(zé)歸口管理我國智能網(wǎng)聯(lián)汽車領(lǐng)域的國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，成立了先進(jìn)駕駛輔助系統(tǒng)（ADAS）標(biāo)準(zhǔn)工作組、信息安全、自動(dòng)駕駛等工作組。2017 年，汽標(biāo)委正

52、式成立汽車信息安全標(biāo)準(zhǔn)工作組，已完成汽車信息安全通用技術(shù)要求、車載網(wǎng)關(guān)信息安全技術(shù)要求、汽車信息交互系統(tǒng)信息安全技術(shù)要求等 3 項(xiàng)汽車信息安全基礎(chǔ)標(biāo)準(zhǔn)和電動(dòng)汽車遠(yuǎn)程管理與服務(wù)系統(tǒng)信息安全技術(shù)要求、電動(dòng)汽車充電信息安全技術(shù)要求等 2 項(xiàng)行業(yè)急需標(biāo)準(zhǔn)的預(yù)研工作，并向國家標(biāo)準(zhǔn)化管理委員會(huì)提交了推薦性國家標(biāo)準(zhǔn)立項(xiàng)申請(qǐng)。全國信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（信安標(biāo)委）TC260 是國家標(biāo)準(zhǔn)化管理委員會(huì)的直屬標(biāo)準(zhǔn)化技術(shù)委員會(huì)。2017 年 7 月，TC260 立項(xiàng)了與車聯(lián)網(wǎng)安全相關(guān)的強(qiáng)制性國家標(biāo)準(zhǔn)項(xiàng)目信息安全技術(shù)網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全通用要求。中國通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）長期致力于車聯(lián)網(wǎng)系列標(biāo)準(zhǔn)的制定，研制的車

53、聯(lián)網(wǎng)安全相關(guān)標(biāo)準(zhǔn)涵蓋車聯(lián)網(wǎng)安全的方方面面，目前， CCSA 已經(jīng)完成了行標(biāo)基于 LTE 的車聯(lián)網(wǎng)通信安全技術(shù)要求、車聯(lián)網(wǎng)信息服務(wù) 數(shù)據(jù)安全技術(shù)要求、車聯(lián)網(wǎng)無線通信安全技術(shù)指南、車聯(lián)網(wǎng)信息服務(wù) 用戶個(gè)人信息保護(hù)要求和車聯(lián)網(wǎng)信息服務(wù)平臺(tái)安全防護(hù)要求的制定，正在研制的車聯(lián)網(wǎng)安全相關(guān)標(biāo)準(zhǔn)有基于LTE 的車聯(lián)網(wǎng)無線通信技術(shù) 安全證書管理系統(tǒng)技術(shù)要求、基于LTE 的車聯(lián)網(wǎng)無線通信技術(shù) 安全認(rèn)證測試方法。四、 技術(shù)預(yù)見（一）5G 車聯(lián)網(wǎng)安全技術(shù)隨著蜂窩通信技術(shù)的不斷發(fā)展，LTE V2X 車聯(lián)網(wǎng)也將朝向 NR V2X 技術(shù)方向演進(jìn)。5G 在車輛聯(lián)網(wǎng)領(lǐng)域的應(yīng)用主要體現(xiàn)在道路環(huán)境感知、遠(yuǎn)程駕駛、編隊(duì)駕駛等方面，車

54、輛聯(lián)網(wǎng)系統(tǒng)的實(shí)現(xiàn)需要依靠強(qiáng)大的通信能力來依賴和支持。5G 的低延遲、高可靠性特性及大容量的通信設(shè)備，使車輛聯(lián)網(wǎng)的發(fā)展和應(yīng)用更加可靠和迅速。NR V2X 車聯(lián)網(wǎng)業(yè)務(wù)具有不同的安全等級(jí)和安全需求，例如編隊(duì)駕駛場景中車聯(lián)網(wǎng)消息將只在編隊(duì)中傳播，編隊(duì)之外的車輛不應(yīng)收到 處理編隊(duì)的消息，因此在這種場景下車聯(lián)網(wǎng)系統(tǒng)應(yīng)該考慮支持機(jī)密性。因此 NR V2X 車聯(lián)網(wǎng)安全除了繼承了 5G 網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)和挑戰(zhàn)外，還面臨著新的安全需求。NR V2X 車聯(lián)網(wǎng)為了支持更多的車聯(lián)網(wǎng)業(yè)務(wù)和場景，在 PC5 接口上引入了單播和組播模式，因此需要相應(yīng)的安全機(jī)制來保證車聯(lián)網(wǎng)消息的完整性、機(jī)密性和抗重放攻擊，同時(shí)也需要研究相應(yīng)的隱

55、私保護(hù)機(jī)制來保證 5G 車聯(lián)網(wǎng)的安全。（二）車聯(lián)網(wǎng)與邊緣計(jì)算融合的安全邊緣計(jì)算是 5G 網(wǎng)絡(luò)中實(shí)現(xiàn)低時(shí)延業(yè)務(wù)的使能技術(shù)之一，可以提供對(duì)車聯(lián)網(wǎng)基礎(chǔ)通信能力的支持。同時(shí)邊緣計(jì)算還可以對(duì)車聯(lián)網(wǎng)的其它前瞻性應(yīng)用場景，如交叉口信號(hào)燈控制參數(shù)優(yōu)化、區(qū)域內(nèi)高精度地圖的實(shí)時(shí)加載、區(qū)域內(nèi)自動(dòng)駕駛車輛的調(diào)度等提供支持，因此車聯(lián)網(wǎng)將與邊緣計(jì)算技術(shù)相結(jié)合，形成分層、多級(jí)邊緣計(jì)算體系，滿足高速、低時(shí)延車聯(lián)網(wǎng)業(yè)務(wù)處理及響應(yīng)的需要。但是邊緣計(jì)算的數(shù)據(jù)處理實(shí)時(shí)性、數(shù)據(jù)多源異構(gòu)性、終端資源受限性和接入設(shè)備復(fù)雜性，使得傳統(tǒng)云計(jì)算環(huán)境的安全機(jī)制不再適用于邊緣設(shè)備產(chǎn)生的海量數(shù)據(jù)的安全防護(hù)，邊緣計(jì)算的數(shù)據(jù)存儲(chǔ)安全、共享安全、計(jì)算安全、

56、傳輸和隱私保護(hù)等問題成為邊緣計(jì)算模型必須面對(duì)的安全挑戰(zhàn)。車聯(lián)網(wǎng)與邊緣計(jì)算融合的體系架構(gòu)需要針對(duì)數(shù)據(jù)安全、身份認(rèn)證、隱私保護(hù)和訪問控制提出相應(yīng)的安全機(jī)制，保證車聯(lián)網(wǎng)業(yè)務(wù)的安全開 展。傳統(tǒng)的網(wǎng)絡(luò)與業(yè)務(wù)的信任模型不能適應(yīng)新的業(yè)務(wù)模式，例如邊緣 計(jì)算與車聯(lián)網(wǎng)應(yīng)用之間的信任關(guān)系缺失會(huì)導(dǎo)致攻擊者接管用戶服務(wù)， 因此需要研究車聯(lián)網(wǎng)業(yè)務(wù)與邊緣計(jì)算之間新的信任模式，滿足邊緣計(jì) 算系統(tǒng)與車聯(lián)網(wǎng)系統(tǒng)共生融合的部署方式。（三）車聯(lián)網(wǎng)通信設(shè)備認(rèn)證及安全交互技術(shù)為了確保車聯(lián)網(wǎng)業(yè)務(wù)中消息來源的真實(shí)性、內(nèi)容的完整性、防止消息重放，采用數(shù)字證書通過數(shù)字簽名/驗(yàn)簽的方式對(duì)車聯(lián)網(wǎng)業(yè)務(wù)消息進(jìn)行保護(hù)。為了實(shí)現(xiàn)上述機(jī)制，車聯(lián)網(wǎng)終端需要完

57、成設(shè)備初始化， 以安全的方式完成密碼公私鑰對(duì)、數(shù)字證書等敏感參數(shù)的初始配置。該過程對(duì)設(shè)備安全生產(chǎn)環(huán)境有著較為嚴(yán)格的要求，給車企及 C-V2X 終端生產(chǎn)企業(yè)帶來了新的挑戰(zhàn)。目前車聯(lián)網(wǎng)設(shè)備的初始安全配置過程主要是由車輛生產(chǎn)企業(yè)在生產(chǎn)線上完成，對(duì)終端設(shè)備廠商有較高的安全生產(chǎn)要求，需要根據(jù)車聯(lián)網(wǎng)的安全要求對(duì)生產(chǎn)線進(jìn)行改造。特別是終端設(shè)備公私鑰對(duì)的產(chǎn)生以及登記注冊(cè)證書的申請(qǐng)對(duì)于生產(chǎn)線有更加嚴(yán)苛的安全要求。企業(yè)不僅面臨著生產(chǎn)線、生產(chǎn)流程升級(jí)改造的問題，同時(shí)還面臨著安全生產(chǎn)合規(guī)、安全審計(jì)、安全信任關(guān)系構(gòu)建、安全成本管控等多方面難題。因此需要更為有效的車聯(lián)網(wǎng)通信設(shè)備認(rèn)證及安全交互方法，滿足車企對(duì)車聯(lián)網(wǎng)設(shè)備初始

58、安全配置的需要。3GPP 定義的GBA（Generic Bootstrapping Architecture，通用引導(dǎo)架構(gòu)）框架提供了一種基于移動(dòng)通信網(wǎng)絡(luò)和用戶卡的通用認(rèn)證和會(huì)話密鑰管理機(jī)制，可以為應(yīng)用層業(yè)務(wù)提供完整的安全認(rèn)證及應(yīng)用層會(huì)話通道加密服務(wù)。因此如何將 GBA 框架應(yīng)用在車聯(lián)網(wǎng)安全體系下是目前研究的熱點(diǎn)，車聯(lián)網(wǎng)安全管理系統(tǒng)通過引入 GBA 機(jī)制，可以在不需要根證書的情況下安全地進(jìn)行多證書的安全導(dǎo)入，有助于建立證書間的互信機(jī)制，以解決隸屬于不同 CA 管理系統(tǒng)的節(jié)點(diǎn)間消息驗(yàn)證及互通的問題。（四）車聯(lián)網(wǎng)安全管理系統(tǒng)增強(qiáng)技術(shù)車聯(lián)網(wǎng)安全管理系統(tǒng)支持對(duì)車聯(lián)網(wǎng)設(shè)備進(jìn)行證書的安全發(fā)放、使用和撤銷，

59、當(dāng)車聯(lián)網(wǎng)安全管理系統(tǒng)檢測到惡意的車聯(lián)網(wǎng)設(shè)備時(shí)需要將其證書撤銷，或者當(dāng)車聯(lián)網(wǎng)設(shè)備發(fā)生故障或者報(bào)廢時(shí)，需要將頒發(fā)給車聯(lián)網(wǎng)設(shè)備的證書撤銷。因此，車聯(lián)網(wǎng)設(shè)備的異常行為檢測和報(bào)告是車聯(lián)網(wǎng)安全管理系統(tǒng)的重要組成部分。目前異常行為檢測包括本地的異常行為檢測和后臺(tái)安全運(yùn)營中 心的全局異常行為檢測。本地的異常行為檢測可以通過車聯(lián)網(wǎng)設(shè)備檢 查接收到的安全消息的完整性、可靠性和正確性，以及結(jié)合車輛的傳 感器信息進(jìn)行分析、判斷。由于本地異常行為檢測僅能在時(shí)間和空間 上提供有限的信息，因此只依靠本地的檢測不足以可靠地識(shí)別攻擊者， 因此需要依賴于后臺(tái)安全運(yùn)營中心的全局檢測，后臺(tái)安全運(yùn)營中心的 全局異常行為檢測可以通過實(shí)時(shí)

60、對(duì)車載智能終端設(shè)備的系統(tǒng)資源、應(yīng) 用行為、網(wǎng)絡(luò)連接以及 CAN 總線接口的監(jiān)測，結(jié)合云端的安全大數(shù)據(jù)進(jìn)行分析，發(fā)現(xiàn)并定位車載終端中的異常行為，并根據(jù)預(yù)置策略執(zhí) 行阻斷，實(shí)現(xiàn)基于終端檢測與響應(yīng)技術(shù)（ Endpoint Detection and Response）的車載智能終端動(dòng)態(tài)防護(hù)。例如，車聯(lián)網(wǎng)安全管理系統(tǒng)既 可以識(shí)別、處置來自車聯(lián)網(wǎng)設(shè)備的異常請(qǐng)求，也可以通過依靠威脅情 報(bào)和大數(shù)據(jù)能力，創(chuàng)建并持續(xù)學(xué)習(xí)不同場景、不同工況下的車聯(lián)網(wǎng)行 為模型，根據(jù)行為模型對(duì)監(jiān)測到的異常行為進(jìn)行安全分析，對(duì)異常行 為可造成的汽車信息安全事件進(jìn)行告警、預(yù)測和處置，從而建立起檢 測車聯(lián)網(wǎng)設(shè)備異常行為的能力。但是目前這