V2X车辆安全管理能力白皮书.pdf_报告吧baogao8.com-

资源描述

V2X 车辆安全管理能力白皮书 2021 年 1 月 V2X 车辆安全管理能力白皮书 B 版权声明本白皮书版权属于中国智能网联汽车产业创新联盟及各参编单位，并受法律保护。转载、摘编本调查报告文字或者观点的应注明来源：“中国智能网联汽车产业创新联盟： V2X 车辆安全管理能力白皮书 ”，以其他方式使用本白皮书应取得版权方书面同意。违反上述声明者，联盟将追究其相关法律责任。 V2X 车辆安全管理能力白皮书 C 编写团队编委姚丹亚清华大学辛克铎国汽（北京）智能网联汽车研究院有限公司公维洁中国智能网联汽车产业创新联盟葛雨明中国信息通信研究院高长胜中国一汽智能网联开发院徐耀宗中汽研软件测评（天津）有限公司张骞东软集团股份有限公司粟栗中国移动通信有限公司研究院胡金玲大唐高鸿数据网络技术股份有限公司田大新北京航空航天大学朱斌格尔软件股份有限公司罗迎北京握奇数据股份有限公司李俨高通无线通信技术（中国）有限公司执笔人罗璎珞房骥刘建行周唯林立森于润东林琳邵学彬侯昕田吴锦荣杜志敏祁帅潘凯王小军朱锦涛田野徐晖陈建华许俊康亮王本海白婧牛雷李木犀吴淼韩毓高崇桂张小东高吉曹增良李峰黄清泉张金池陆玮瑾邹庆海苏赓张存玺姚庆礼卢星旺王易之周浩李晨鑫房家奕王晓东李堪聪李显杰段续庭 V2X 车辆安全管理能力白皮书 D 编写单位国汽（北京）智能网联汽车研究院有限公司中国信息通信研究院中汽研软件测评（天津）有限公司高通无线通信技术（中国）有限公司东软集团股份有限公司华为技术有限公司中国移动通信有限公司研究院大唐电信科技产业集团（电信科学技术研究院）格尔软件股份有限公司郑州信大捷安信息技术股份有限公司北京数字认证股份有限公司北京握奇数据股份有限公司重庆长安汽车股份有限公司中国第一汽车集团有限公司长城汽车股份有限公司上海汽车集团股份有限公司北京汽车研究总院有限公司广州汽车集团股份有限公司通用汽车（中国）投资有限公司福特汽车（中国）有限公司大众汽车（中国）投资有限公司宝马（中国）服务有限公司阿利昂斯汽车研发 (上海 )有限公司 Escrypt V2X 车辆安全管理能力白皮书 E 编写单位（续）北京星云互联科技有限公司万集科技股份有限公司大唐高鸿数据网络技术股份有限公司安富科技股份有限公司深圳联友科技有限公司北京百度网讯科技有限公司北京航空航天大学 V2X 车辆安全管理能力白皮书 I 目录版权声明 . B 编写团队 . C 目录 . I 1. 引言 . 1 2. V2X 安全需求 . 4 2.1. V2X 直连通信安全防护需求 . 4 2.2. 自动驾驶场景对 V2X 通信的依赖 . 6 2.3. V2X 通信系统认证管理需求 . 7 2.4. V2X 通信系统的持续监测需求 . 7 3. V2X 安全认证与管理体系 . 10 3.1. V2X 安全认证管理体系 . 10 3.1.1. 体系架构与特点 . 10 3.1.2. 实践验证效果 . 12 3.2 V2X 安全认证与管理体系亟待解决的问题 . 13 4. V2X 安全认证系统顶层信任机制 . 15 4.1. 集中式信任体系 . 15 4.2. 分布式信任体系 . 16 4.2.1. 基于 CTL 的信任体系 . 16 4.2.2. 基于 TLM 的信任体系 . 19 4.2.3. 基于区块链的信任体系 . 22 5. V2X 异常行为管理体系 . 24 5.1. 异常行为定义 . 25 5.2. 异常行为分类 . 25 5.3. 异常行为分级 . 27 5.4. 异常行为管理机构 . 28 5.5. 异常行为检测框架和流程 . 29 5.5.1. 异常行为检测框架 . 29 5.5.2. 车端异常行为检测 . 31 5.5.3. 异常行为上报 . 36 5.5.4. 云端异常行为检测 . 37 V2X 车辆安全管理能力白皮书 II 5.5.5. 异常行为检测信息流 . 37 5.6. 车端异常行为检测技术手段 . 38 5.6.1.物理层检测 . 39 5.6.2.以数据为中心的检测 . 39 5.6.3.基于机器学习的检测 . 39 5.6.4.邻居列表交换与路径历史记录检测机制 . 40 5.7. 车端异常行为检测能力 . 40 5.8. 异常行为上报内容 . 41 5.9. 云端异常行为分析决策 . 43 5.10. 异常行为处置 . 44 6. V2X 车辆 “入网 ”测试机制 . 46 6.1. 总体原则 . 46 6.2. “入网 ”测试框架 . 46 6.3. “入网 ”测试方案 . 48 6.3.1. V2X 设备安全测试 . 48 6.3.2. V2X 设备通信测试 . 50 6.3.3. V2X 功能测试 . 52 6.3.4. V2X 性能测试 . 53 6.3.5. V2X 场景测试 . 54 7. V2X 安全生态系统管理 . 55 7.1. 生态系统 . 55 7.2. 管理机构 . 56 7.3. 管理模式 . 58 8. 我国 V2X 车辆管理发展建议 . 60 8.1. 丰富检测技术机制，完善 V2X 标准 . 60 8.2. 将 V2X 车辆上市时的 “入网 ”与上市后监测相结合 . 60 8.3. 尽快确定跨部委的互信模式，形成全面覆盖的可信体系 . 61 8.4. 实现认证系统与监测系统联动， “安全赋能 ”网络管理 . 61 V2X 车辆安全管理能力白皮书 1 1. 引言随着 V2X 通信技术的发展，汽车与汽车、汽车与行人、汽车与交通设施被互相连接，形成车、行人以及基础设施互联的新型应用场景。以汽车行驶安全、交通效率提升和信息服务为主要应用场景的智能网联汽车以及智能车路协同系统成为这种趋势中的焦点。目前我国 C-V2X 标准已经覆盖了接入层、网络层、消息层和安全等核心技术，标准体系已初步形成，产业链初具雏形，相关企业具备了较高的技术实力，已具备大规模部署及产业化的条件。 2020 年 10 月， C-V2X“新四跨”互联互通应用示范活动在上海成功举办，汽车、交通、通信、测绘、安全行业积极参与，实现了 C-V2X 跨通信模组、跨终端、跨整车、跨安全平台的互联互通，验证了我国 C-V2X 标准的成熟性，为我国 C-V2X 应用的大规模部署和车联网产业蓬勃发展提供关键基础支撑。国家相关部门陆续发布相关政策、规划，统筹推进 C-V2X 产业发展。 2020 年 2 月，由国家发展改革委等 11 部门联合发布的智能汽车创新发展战略指出“到 2025 年， .车用无线通信网络（ LTE- V2X 等）实现区域覆盖，新一代车用无线通信网络（ 5G-V2X）在部分城市、高速公路逐步开展应用， .。” 2020 年 3 月，工业和信息化部发布关于推动 5G 加快发展的通知指出“推动将车联网纳入国家新型信息基础设施建设工程，促进 LTE-V2X 规模部署。建设国家级车联网先导区，丰富应用场景，探索完善商业模式。结合 5G 商用部署，引导重点地区提前规划，加强跨部门协同，推动 5G、 LTE- V2X 纳入智慧城市、智能交通建设的重要通信标准和协议。开展 5G- V2X 标准研制及研发验证。” 车企相继发布带有 C-V2X 功能的量产车计划，全面推进 C-V2X V2X 车辆安全管理能力白皮书 2 商业化。 2019 年 2 月 26 日，浙江吉利控股集团宣布计划在 2021 年发布国内首批支持 5G 和 C-V2X 的量产车型。 2019 年 4 月，在“人 - 车 -路产业协同”高峰论坛上，国内 13 家车企共同发布了 C-V2X 商用路标： 2020H22021H2 年量产 C-V2X 汽车。 2020 年，多家车企发布带有 C-V2X 功能的车型，例如：一汽红旗 E-HS9、福特探险者和锐界 PLUS、广汽埃安 AION V。 V2X 商业化的推广离不开安全基础。为了实现 V2X 设备间的安全认证和安全通信，目前为 V2X 设计了基于公钥证书的 PKI 机制，解决 V2X 直连通信中面临的消息伪造、篡改、重放等风险，确保 V2X 直连通信的消息的真实性、完整性和身份的真实性。此外，为了体现 V2X 在通信安全、效率等方面的价值，还需确保 V2X 消息的正确性与准确性。由于 V2X 终端的信息源来自车辆自身传感器，传感器信息的准确性和正确性决定了 V2X 消息的准确性和正确性，进而决定 V2X 网络整体的运行效果。如果车辆自身传感器出现问题、程序存在错误，甚至车辆被恶意攻破，使车辆有意或无意地对外发送包含错误或虚假内容的消息，这会影响其他车辆正常逻辑判断、决策，甚至对整个 V2X 直连通信带来严重的影响。对于这些异常行为，一方面需要建立相应的发现、举报机制，将异常行为车辆上报至异常行为管理机构。通过异常行为管理机构进行决策判定，并通过主动吊销车辆通信证书等机制，保障合法车辆的正常通信，确保 V2X 直连通信网络的效率与安全。另一方面，对于带有 V2X 功能的车辆，在入市销售前，需要对其 V2X 的通信协议一致性、通信安全、性能等进行“入网”测试，确保其发送的消息符合相关协议标准、对发送消息的安全按照相关标准进行保护、对接收的消息按照相关标准进行安全性、正确性和真实性检查。对于上述检测， V2X 车辆安全管理能力白皮书 3 除了在实验室进行测试外，还应在外场真实环境下进行测试。此外，还应构建完善的 V2X 安全认证体系，确定生态系统中所需角色，明确各角色的职责、部署及运营方式。在我国 V2X 产业化规模应用之际，本白皮书介绍了 V2X 安全认证体系发展现状，分析了 V2X 安全面临的问题，给出了 V2X 安全管理技术、策略及测试评判规则，描绘了 V2X 安全认证体系，最后给出了发展建议。本白皮书结构安排如下：第一章介绍了本白皮书撰写背景及主要内容；第二章介绍了 V2X 安全相关需求；第三章介绍了由身份管理和异常监测两大部分组成的 V2X 安全认证与管理体系；第四章介绍了能够打通 V2X 身份管理系统顶层信任的机制；第五章介绍了 V2X 异常行为管理体系，包括检测判定技术和流程；第六章讨论了 V2X 车辆“入网”测试相关思路；第七章介绍了 V2X 安全生态系统管理；第八章提出了我国 V2X 车辆管理发展建议。 V2X 车辆安全管理能力白皮书 4 2. V2X 安全需求 2.1. V2X 直连通信安全防护需求 V2X 通信中，直连传输的用户数据在专用频段上通过 PC5 接口以广播方式发送；相应的 V2X 终端可以接收到通信范围内的所有广播消息，无论这些消息来自合法的发送者还是非法的发送者。因此直连通信场景下， V2X 用户面临虚假信息、假冒终端、信息篡改 /重放、隐私泄露等安全风险。利用 PC5 无线接口的开放性，攻击者可以通过合法的终端及用户身份接入系统，构造并对外恶意发布虚假信息；也可以利用非法终端发送伪造的业务信息；还可以篡改或者重放合法用户发送的信息。这些都将影响车联网业务的正常运行，严重的会危害周边车辆及行人的道路交通安全。此外，利用 PC5 无线接口的开放性，攻击者可以监听获取广播发送的用户标识、位置等敏感信息，进而造成用户身份、位置等隐私信息泄露。严重时，用户车辆可能被非法跟踪，直接威胁着用户的人身安全。根据 LTE-V2X 安全技术白皮书， V2X 直连通信安全需求包括：系统应支持对消息来源的认证，保证消息的合法性；支持对消息的完整性及抗重放保护，确保消息在传输时不被伪造、篡改、重放；应根据需要支持对消息的机密性保护，确保消息在传输时不被窃听，防止用户敏感信息泄露；系统应支持对真实身份标识及位置信息的隐藏，防止用户隐私泄露。其中，可以使用基于非对称加密体系的数字证书和数字签名技术来对抗针对直连端口传送消息的伪造、篡改和重放等攻击。同样，基于数字证书技术也可以对消息的真实性进行保护。隐私保护在 V2X 通信系统中有着不同于以往的需求以往通信终端与网络连接，网络运营商会承担保护用户数据个人隐私的义务；但 V2X 车辆与其它车辆进行直连通信时，对方车辆的是否会收集记录 V2X 车辆安全管理能力白皮书 5 发送方信息等具体情况并不了解，需要通过有效的手段加强消息发送者对隐私信息进行自我保护的能力。因此，为了保护驾驶员的隐私，不应将假名证书链接到长期车辆标识符，此隐私保护机制旨在阻止内部和外部攻击者根据记录的通信流量进行长期跟踪。例如，证书提供者不应将车辆的假名证书链接到车辆身份、车牌或车辆识别号（ VIN）。同样，检测异常行为和识别攻击者的措施也不得牺牲对驾驶员的隐私保护。 LTE-V2X 车联网系统在网络层和应用层分别采取对应的措施对 PC5 接口传输的数据提供安全保护。网络层：根据 3GPP 组织的定义，终端在网络层不采取附加安全机制对 PC5 接口上广播发送的直连通信数据进行安全保护，数据的传输安全完全在应用层 V5 接口保障。网络层仅提供标识更新机制对用户隐私进行保护。终端通过随机动态改变源端用户 MAC 层标识和源 IP 地址，防止用户身份标识信息在 PC5 广播通信的过程中遭到泄露，被攻击者跟踪。网络层向应用层提供安全能力支撑，采取用户标识跨层同步机制确保源端用户层二标识、源 IP 地址与应用层标识同步更新，防止由于网络层与应用层用户身份标识更新的不同步，导致用户标识关联信息被攻击者获取，用户隐私信息遭到泄露。应用层： LTE-V2X 车联网系统使用基于公钥证书的 PKI 机制确保设备间的安全认证和安全通信 ,采用数字签名等技术手段实现 V2X 直连通信安全，具体安全通信过程见图 1。基于公钥证书的安全机制可以保证 V2X 消息的完整性，防止 V2X 消息被篡改、伪造。 V2X 车辆安全管理能力白皮书 6 V 2 X 设备（ O B U ） C A 1 C A 2 C A n 多 CA 多证书 M s g S i g V 2 X 设备（ R S U ） h a s h 表 M s g S i g M s g S i g M s g S i g h a s h 表 V 2 X 设备（ O B U ） h a s h 表图 1 LTE-V2X 基于公钥证书的安全认证和安全通信 2.2. 自动驾驶场景对 V2X 通信的依赖通过人工智能技术决策，单车本身在一定程度上即可以自动驾驶，但是这种实现方式本身有很大的局限性，例如在晚上、雨雪天、雾天等恶劣天气下，在交叉路口、拐弯处等场景，雷达、摄像头等传感器存在看不见、看不清、看不准的情况，会影响通过自动驾驶功能的准确性。针对这些场景虽然可以通过开发性能更强的传感器解决，但成本会高到消费者无法承受的地步。而 V2X 可为车辆提供超视距感知信息，通过和周边车辆、道路、基础设施的通讯，获取比单车传感器更多的信息，大大增强车辆对周围环境的感知，协助车辆自身自动驾驶的决策。因此 V2X 之于自动驾驶，是一种“拉长”的传感器，是一种经济高效的传感器。当 V2X 信息可作为自动驾驶一个补充信息源，参与到自动驾驶决策中时，就要求 V2X 信息是真实性的、准确的。 V2X 通信所提供的安全预警功能或自动驾驶决策信息的准确性，一方面依赖于车辆自身传感器的准确性，例如：自车 GNSS 传感器获取到的定位信息的准确性；另一方面依赖于周围车辆发送 V2X 信息的准确性，例如：周围车辆的位置信息和行为信息的准确性。因此，只有 V2X 消息准确有效，才能保证周围车辆 V2X 功能正常使用，才 V2X 车辆安全管理能力白皮书 7 能确保依赖 V2X 功能的自动驾驶能够安全行驶。 2.3. V2X 通信系统认证管理需求 V2X 通信的参与者既包括各种乘用车、商用车，也包括特殊用车，例如消防车、救护车等，同时还有路侧设备，未来还会有行人、边缘云等多种类型。各类参与者在通信系统里的角色不同，权限设定也不尽相同。在对交通参与者签发证书的时候，要根据参与者的身份进行确权，从证书的类型上对其权限进行区别。执行确权操作，签发证书的功能需要分配给相应的主体并定义相关的流程，因此，会形成 V2X 通信认证管理系统。此外，还需要通过设定证书的有效期等方式，对参与者所赋予的权限进行时效管理；需要各种匿名化技术对参与者的隐私信息进行保护；需要通过证书撤销的机制限制已经具有 V2X 通信功能的参与者。以上多种功能的规划和落实，需要建立完善的 V2X 通信认证管理系统。 2.4. V2X 通信系统的持续监测需求基于上述 V2X 安全的重要性分析， V2X 通信系统需要通过技术措施保护消息的安全性。采用基于 PKI 的安全系统所提供的数字证书并应用数字签名技术，可以防止非法身份车辆发送虚假、伪造消息。但是对于拥有合法身份的车辆发送虚假 BSM 信息和虚假警告消息的异常行为，基于 PKI 系统的安全防护措施无法防止此类数据语义级别的异常行为。因此在 V2X 安全系统中需要部署一种能够检测网络中异常行为终端的机制。检测具有异常行为的车辆对于阻止其负面影响并确保 V2X 功能的长期可靠性很重要。在不同类型的计算机网络中，将入侵检测系统（ Intrusion Detection System， IDS）用作安全机制是众所周知的概念。但是， V2X 网络具有独特的特性和特征，因此与传统网络相比，必须考虑不同的要求。在 V2X 网络中识别、检测异常行为终端的主要挑战是： V2X 车辆安全管理能力白皮书 8 a）车辆终端与路侧基础设施连接具有分散性； b）终端与终端（例如车辆或路边单元）之间的连接时间可能较短； c）车辆频繁变化 ID、假名证书等标识； d）来自不同终端的数据可能不精确、不同步。在 V2X 异常行为检测中，最佳的异常行为检测系统能够立即发现异常行为者或攻击者，并立即将其排除在外，而无需与其他本地或中央实体交换进一步的信息。可根据接收到的其他车辆的位置相关数据和观察到的行为来评估相邻车辆发送消息的可信度，以支持其决策过程。例如，如果车辆 B 从车辆 A 接收到紧急制动通知，而车辆 B 上的异常行为检测系统将车辆 A 评为不可信，则车辆 B 上的应用程序可能会抑制驾驶员通知，直到获得进一步的可信信息为止。但是，由于 V2X 网络的动态拓扑结构和隐私保护策略，使得车辆无法在网络节点上长期可靠地识别异常行为者。特别是， V2X 车辆只能基于其经常更改的假名证书来识别其他车辆。因此，在 V2X 终端上本地不可能对其他异常行为者或攻击者进行长期识别。因此，异常行为检测需要一个中央实体支持，用于集中评估异常行为报告，可靠地识别异常行为者，并随后将其排除在 V2X 网络中。在此机制下， V2X 节点根据本地数据的一致性和合理性检查来检测异常行为，并创建异常行为报告，并将其发送给中央异常行为评估机构。中央实体能够过滤由攻击者创建的虚假报告，目的是隐藏其恶意行为或肆意指责合法节点。为了实现这一功能，异常行为管理中央实体需要与 PKI 联动，向 PKI 查询相关异常行为报告中的两个假名证书是否属于同一车辆。 V2X 车辆安全管理能力白皮书 9 A B 异常行为检测异常行为识别 P KI 吊销证书异常行为报告 V 2 X 网络图 2 V2X 网络中异常行为检测和识别过程图 2 显示了 V2X 网络中进行异常行为检测和识别长期攻击者的一般过程。异常车辆 A 和正常合法车辆 B 通过使用数字签名进行通信的安全防护，以确保发送方的身份验证和授权以及消息完整性。一段时间后，车辆 B 根据移动性数据的一致性和合理性检查来检测车辆 A 的潜在异常行为。一旦怀疑得到证实，车辆 B 便将异常行为上报至云端进一步识别攻击者。考虑到由于车辆可以经常更改其假名证书以保护其隐私，会导致其他车辆无法长时间追踪异常行为车辆。因此，在云端异常行为识别也需要 PKI 中的相关实体参与，以识别异常行为的根源。识别出异常行为者之后， PKI 宜撤消攻击者的证书，并拒绝其后续的证书更新请求，以防止存在异常行为的车辆节点继续干扰其他车辆正常通信，直到可以确保他们的行为正确为止。此外，在异常行为上报、识别过程中应确保攻击者无法使用伪造的异常行为报告来破坏其他合法车辆正常通信。除了报告异常行为外，车辆的上层应用程序还可以在本地使用数据真实性、合理性检查的结果，以确定是否可以认为接收到的信息值得信赖，或者是否应谨慎处理周围可疑车辆提供的信息。 V2X 车辆安全管理能力白皮书 10 3. V2X 安全认证与管理体系 3.1. V2X 安全认证管理体系 3.1.1. 体系架构与特点 CCSA基于 LTE 的车联网无线通信技术安全证书管理系统技术要求规定了基于 LTE 的车联网无线通信技术安全证书管理系统技术要求，其中明确了 V2X 安全管理体系架构，如图 3 所示。图中左侧绿色框内系统组件，实现对 V2X 设备进行数字证书签发的功能，从而该设备能够参与 V2X 通信；而右侧红色框内的组件，主要实现的是对参与 V2X 通信的设备进行监测，发现判定异常行为并进行相应处置的组件。这两部分互相配合，形成 V2X 安全管理的闭环，确保 V2X 安全通信系统能够持续安全地正常工作。注册证书机构（ E CA ）中间证书机构（ ICA ）假名证书机构（ PCA ） CRL 服务应用证书机构（ ACA ）链接机构（ LA ）基于 OAuth 基于 GBA 基于 DCM 认证授权机构（ AAA ）应用证书注册机构（ ARA ）假名证书注册机构（ PRA ） V2X 设备异常行为管理机构（ MA ） V 2 X 设备，证书管理机构， A A A ， . . . 根证书机构（ Root CA ） C4 C4 C1 C5 C5 C3 C6 C9 C7 C10 C2 C8 C11 图 3 V2X 证书管理体系架构 V2X证书管理系统基于公钥基础设施（ Public Key Infrastructure， V2X 车辆安全管理能力白皮书 11 PKI）实现，从层次上看主要包括根证书机构、证书机构、认证授权机构和证书申请主体四种逻辑实体。实际应用时，应根据政策法规，行业监管要求和业务运营需要，由不同机构分层分级部署、管理和运营。根证书机构（ Root CA）： V2X 证书管理系统的信任根，负责系统根证书的管理与维护并对 V2X 证书机构进行注册审批。在确认 V2X 证书机构的合法性之后，根证书机构为其签发管理机构的数字证书，使其成为系统内的有效实体。中间证书机构（ Intermediate CA， ICA）： V2X 证书管理系统可根据 PKI 部署的实际需要，在根证书机构与 V2X 证书机构之间部署中间证书机构，以支持多层级 CA 部署方式。认证授权机构（ Authentication and Authorization Authority， AAA）：负责证书申请主体的身份认证和授权。在设备初始化阶段，为证书申请主体签发注册数字证书或其他类型的安全凭证，使其能够凭借获得的安全凭证与 V2X 证书机构安全交互并获取相应的证书。认证授权机构还可以对证书申请主体向 V2X 证书机构发起的证书请求进行授权。根据应用场景的不同，认证授权系统可基于设备配置管理（ Device Configuration Manager， DCM）服务系统，蜂窝网络通用引导架构（ General Bootstrapping Architecture， GBA）认证授权系统或者 OAuth 授权服务系统等多种方式实现。 V2X 证书机构：负责管理 V2X 安全通信应用相关数字证书，负责审核证书申请主体的合法性，签发、撤销证书申请主体的数字证书。 V2X 证书机构是证书管理系统中各种证书机构的统称。根据 V2X 安全通信应用的证书类型及用途不同， V2X 证书机构可分为：注册证书机构（ Enrolment Certificate Authority， ECA）、假名证书机构 V2X 车辆安全管理能力白皮书 12 （ Pseudonym Certificate Authority， PCA）、应用证书机构（ Application Certificate Authority， ACA）。注册、假名和应用证书机构由注册机构（ Registration Authority， RA）和证书机构（ Certificate Authority， CA）两部分组成。注册机构负责证书申请主体的注册审批管理，证书机构负责数字证书的发行管理。链接机构（ Linkage Authority， LA）：为假名证书生成链接值，以支持假名证书的批量撤销。异常行为管理机构（ Misbehavior Authority， MA）能够接收 V2X 设备对异常行为的上报，分析和识别的异常行为或故障，确定需要撤销的证书，生成证书撤销列表（ Certificate Revocation List， CRL）。 V2X 设备（ V2X Equipment）：是证书申请主体，向 V2X 证书机构申请获取相关数字证书以参与 V2X 安全通信，包括车载设备（ On Board Unit， OBU）、路侧设备（ Road Side Unit， RSU）及其他形态的实体。 3.1.2. 实践验证效果 2020 年 10 月，在 C-V2X“新四跨”暨大规模先导应用示范活动中重点验证了 YD/T基于 LTE 的车联网通信技术安全证书管理系统技术要求，众多 CA 方案厂商遵循标准搭建了 CA 子系统，分别接入多家根 CA，并与其他根 CA 下的各家 V2X 安全认证系统通过可信证书列表方式打通信任，为新四跨活动中的车辆 OBU 和路侧设备 RSU 提供基于新标准的安全证书，为成功地演示多种 V2V、 V2I 应用场景奠定安全基础，如图 4 所示。 V2X 车辆安全管理能力白皮书 13 图 4 V2X CA 系统通过可信证书列表实现互信 3.2 V2X 安全认证与管理体系亟待解决的问题通过总结实践经验，发现目前 V2X 安全认证与管理体系在支撑 V2X 市场化方面还存在一些亟待解决的问题，主要集中在三个方面：一是使用哪一种安全认证系统顶层信任机制才能更有效地实现跨根互认。根 CA 通常是信任链的锚点，各行业根据自身的管理需求和业务特点都会建立相应的根 CA。 V2X 通信具有跨行业的特点，因此，如何打通行业间的信任，是目前产业所关注的焦点。二是未来对于行驶在路上的具有 V2X 功能的车辆，如何进行监测，以确保其按照预期的方式正常工作，是否存在异常行为，是否会干扰到其它车辆正常的 V2X 通信。并且当监测到的确有异常行为车辆时，如何进行响应和处置。这是保障 V2X 通信正常的基础，目前从技术平台到具体方式方法都存在一定的欠缺。三是具有 V2X功能的车辆需要通过哪些测试才能进入市场。 V2X 测试评判所关注的层面和具体的测试项都可能对技术实现起到引导作用，需要慎重考虑。同时，评判标准是 V2X 通信系统正常工作的基线， V2X 终端或者搭载 V2X 终端的车辆在进入市场后可能出现的，或者可能给其它车辆带来的潜在问题，有很多可以在“入网”环节进行筛查，避免问题车辆进入 V2X 车联网通信系统。所以，需要全面 V2X 车辆安全管理能力白皮书 14 综合地考虑 V2X 测试评判机制。这三个问题是 V2X 商业化需要解决的问题。欧美等国有了一些尝试，但是目前也是在摸索阶段。中国 C-V2X 作为发展较快的 V2X 商业市场，需要梳理需求形成解决方案，推动相应国内外标准的制定和落地执行。本白皮书将针对这三个问题展开讨论。 V2X 车辆安全管理能力白皮书 15 4. V2X 安全认证系统顶层信任机制 4.1. 集中式信任体系在各行业根之上，部署全局根 CA，所有的子 CA 都在同一个根 CA 下管理，形成完整的证书链，建立集中式信任体系。由全局根 CA 签发各行业根 CA 证书，各行业根 CA 再签发各自行业内的子 CA 证书。例如，全局根 CA 签发汽车行业根 CA 证书，汽车行业根 CA 签发各车企的 ICA（ Intermediate Certificate Authority，中间证书机构）证书，再由各车企的 ICA 签发 ECA 和 PCA 证书，如图 5 所示。 E CA I C A E C A P C A I C A 汽车行业根 CA 其他行业根 CA 根 CA 签名V 2 X 消息 PC PG G C C F 车企 1 RA 车企 2 P C A RA 图 5 采用全局根 CA 构建不同行业 CA 互信体系通过全局根的方式可以直观地形成信任链，由根层的策略生成全局信任链文件，各车企子 CA 系统中的 RA 同步 GCCF，并根据 GCCF 形成 LCCF（ Local Certificate Chain File，本地信任链文件），然后将 LCCF 然后下发到车端，以此来确保不同车企的车辆直接能够互相验证消息的证书和签名。单一的全局根 CA 认证体系的优点是所有的证书由统一的根 CA 管理，管理比较简单。根 CA 可由车联网管理部门负责运营维护。这种部署方式适用于对车联网有明确主管部门进行统一管理的场景。但 V2X 车辆安全管理能力白皮书 16 这种方式存在一定的局限性。例如： GCCF 的中包含可信任的 PCA 的证书，需要 ICA 自下而上的上报给根 CA，再汇聚到 GCCF 文件中。当出现多级 CA 时，根 CA 处只会记录自身签发了哪些 ICA，并不能及时地、主动地获知 ICA 签发了哪些下一级 CA。因此，根 CA 在形成 GCCF 时需要依赖下级 ICA 主动上报，形成和更新 GCCF 的时效性和内容的全面性只能通过一些管理手段来保证，从技术角度讲存在局限性。 4.2. 分布式信任体系在分布式 CA 认证架构中，不同 CA 之间通过 CTL 实现交叉认证。 CTL 包含了全部受信任 CA 的证书，用于传达信任关系，取代了基于证书链的交叉认证方式。可基于选举人机制由多个选举者共同维护 CTL，也可由专门的信任管理机构创建 CTL，建立多 CA 之间的信任关系。信任管理机构在新增、更新和撤销根 CA 证书时对 CTL 进行更新，使用信任管理机构的签名私钥对 CTL 进行签名，并通过专用通道将 CTL 下发至信任域内所有信任体。 4.2.1. 基于 CTL 的信任体系美国 V2X 安全管理体系架构使用的是基于选举人的信任体系。其中，管理者是 V2X 安全管理体系的一个组件，其作用是管理整个系统，包括定义证书和安全策略以及管理选举人（ Elector）和根证书颁发机构（ CA）。 Elector 选举人也是 V2X 安全管理体系的一个组件，用于管理根 CA 证书和每位选举人证书。选举人团通过签署包含受信任证书标识符的证书信任列表（ CTL）来实现此目的。 CTL 的内容，即可信证书的集合，由管理者设置。该系统设计允许管理者可于任何时间指定合法的选举人数量和其仲裁值，以使 CTL 仅在由仲裁值或以上的选 V2X 车辆安全管理能力白皮书 17 举人签名时才受信任。例如，（选举人数量，仲裁值）可以是（ 1、 1）或（ 3、 2）或（ 5、 3），或管理者设置的任何其他一对值。在美国 V2X 通信系统中，由证书签名的消息是受信任的。该证书的证书链以受信任的根证书颁发机构（ Root CA）证书开头签名。根 CA 证书是颁发其他证书的自签名证书。在 V2X 设备的生命周期开始时就配置有一组受信任的根 CA 证书。随着系统的运行，可能会添加更多的根 CA 证书，与此同时某些根 CA 证书可能需要在其到期日之前声明旧证书为不再受信任或需要进行根证书更新。为了解决这些问题，在美国的 V2X 安全管理系统中定义了选举人的用法。选举人是签署声明的实体，选举人信任 V2X 安全管理体系中的根 CA 和其他选举人这两个重要组件，并以此建立整体系统正常工作的基础。可以存在多个选举人，以避免系统单点故障。选举人的总数量和允许通过人数是由 V2X 安全管理者的系统参数所设定。一般而言至少需推荐 3 个选举人，并且允许通过人数占选举人总数的一半以上。当前有效的选举人数会记录在最新的 CTL 中， CTL 会列出所有有效的选举人。由于 CTL 要在大多数的选举人签署后才有效，所以选举人机制，相较于单一或集中信任的 CTL 创建机制，可靠度性更高。图 6 示例说明美国 V2X 安全体系基于选举人的 PKI 信任架构。整体系统基于 IEEE 1609.2 所定义的证书格式和流程实现。基于选举人的方案的明显优点是：添加新的选举人时现有的根 CA 包含在 CTL 中，而无需更改其证书。 V2X 车辆安全管理能力白皮书 18 图 6 美国 V2X 安全体系基于选举人的 PKI 信任架构系统可能具有多个自签名的根 CA 证书，每个证书都在其信任链的顶部运行。每个根 CA 的证书均由 CTL 批准，未撤销的选举人至少要有仲裁值法定人数的以上票数。 V2X 终端需要验证根 CA 证书之前的信任链，以及是否有足够的未撤销选举人已批准该根 CA 证书。 V2X 车辆安全管理能力白皮书 19 4.2.2. 基于 TLM 的信任体系图 7 欧洲 C-ITS 基于 TLM 的 PKI 信任架构在欧洲，顶层管理角色在 C-ITS 平台证书策略文档中定义，负责 C-ITS 系统的信任管理的实体包括：证书策略机构信任列表管理器 C-ITS 联络点（ CPOC）证书策略机构（ CPA）是由参与 C-ITS 信任模型的公共和私人利益相关方（例如，主管部门、道路运营商、车辆制造商等）的代表组成的角色，负责证书策略，并且指定和授权 TLM 以及 CPOC 在 C- ITS 信任系统中运行。通过通知 TLM 有关已批准 /已撤销的根 CA 证书来决定根 CA 是否可信任，并批准 /删除 C-ITS 信任域中的根 CA 操作。 CPOC 是由政策机构任命的唯一实体。它负责建立并确保根 CA 之间的通信交换，收集根 CA 证书并将其提供给信任列表管理器（ TLM）。 TLM 负责创建根 CA 证书和 TLM 证书的列表，并对其进 V2X 车辆安全管理能力白皮书 20 行签名。 TLM 发布的已签名列表称为 ECTL。 CPOC 还负责将 ECTL 分发给信任模型中的任何感兴趣的实体。 TLM 发布 ECTL，该 ECTL 向所有 PKI 参与者提供了经批准的根 CA 的信任列表。根 CA 向 EA 和 AA 颁发证书，以此对它们的操作提供信任。 EA 向 ITS 站（作为最终实体）颁发注册证书，以对其运行提供信任。 AA 基于对 EA 的信任向 ITS 站颁发授权票证。我国在 CCSA基于 LTE 的车联网无线通信技术安全证书管理系统技术要求中定义了不同 PKI 之间的互信架构，如图 8 所示。可信根证书列表管理机构可信证书管理功能可信证书管理功能 V 2 X 设备V 2 X 设备可信证书列表发布可信安全域根证书列表安全域 A CA

展开阅读全文