周唯，劉建行，羅瓔珞

〔國汽（北京）智能網(wǎng)聯(lián)汽車研究院有限公司，北京 100176〕

1 引言

V2X是實現(xiàn)汽車網(wǎng)聯(lián)化并最終達到智能化網(wǎng)聯(lián)化融合發(fā)展的重要技術(shù)。2018年12月，工信部印發(fā)《車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）產(chǎn)業(yè)發(fā)展行動計劃》中明確提出：“到2020年，實現(xiàn)基于第四代移動通信技術(shù)設(shè)計的車聯(lián)網(wǎng)無線通信技術(shù)（LTEV2X）產(chǎn)業(yè)化與商用部署”。目前，V2X產(chǎn)業(yè)鏈逐步完善，城市、高速公路示范應(yīng)用不斷推進。2019年4月，13家車廠共同發(fā)布中國車企V2X商用路標，V2X產(chǎn)業(yè)基礎(chǔ)已經(jīng)具備。V2X相關(guān)總體技術(shù)要求，接入層、網(wǎng)絡(luò)層、應(yīng)用層等行標或國家標準已陸續(xù)完成。通信、交通、交管部門間協(xié)作不斷加強，共同推進V2X產(chǎn)業(yè)化部署。V2X商用化將呈現(xiàn)爆發(fā)式增長。信息安全是V2X通信商用化的基石，也是全行業(yè)的共識。

在V2X通信場景下，安全需求主要包括可認證性、完整性和抗抵賴性?？烧J證性和完整性保護在V2X通信中尤為重要，特別是傳遞的信息都是關(guān)于周圍車輛行駛狀態(tài)、道路緊急狀況和安全事故時，必須保證消息是合法設(shè)備所發(fā)出的，沒有被篡改或者重放。同時，要考慮到可認證性一般要基于用戶的身份進行鑒別，而直接使用車輛或其所有者的信息，又可能造成用戶隱私泄露。因此，要充分平衡可信和隱私保護，并且結(jié)合V2X通信終端類型多樣化、分布地域廣、高吞吐量、低時延要求等特點，選擇有效地身份認證和完整性保護措施，構(gòu)建V2X通信的安全可信體系。

2 體系方案

2.1 體系架構(gòu)

基于國產(chǎn)密碼算法的車聯(lián)網(wǎng)V2X通信安全可信體系（本文簡稱V2X通信安全可信體系）是滿足V2X通信對真實性和完整性需求的安全體系。其系統(tǒng)架構(gòu)如圖1所示，主要包含Root CA根證書簽發(fā)機構(gòu)、ICA中間層證書簽發(fā)機構(gòu)、MA不當行為管理系統(tǒng)、PG策略簽發(fā)系統(tǒng)、ECA注冊證書簽發(fā)機構(gòu)、PCA消息證書簽發(fā)機構(gòu)、AS受理服務(wù)器等模塊。

各模塊功能。

（1）Root CA根證書簽發(fā)機構(gòu)

設(shè)定子CA入根策略，簽發(fā)ICA、PG、MA的CA證書。預(yù)留國家根接入功能，提供管理中心管理RCAM。

（2）ICA中間層證書簽發(fā)機構(gòu)

設(shè)定子CA策略，為ECA、PCA、AS簽發(fā)CA證書，提供管理中心管理ICAM。

（3）MA不當行為管理系統(tǒng)

接收提交的不當行為報告（MBR），異步處理MBR報告，驗證報告的有效性，并請求CRLG吊銷相應(yīng)證書。

（4）PG策略簽發(fā)系統(tǒng)

圖1 V2X通信安全可信體系架構(gòu)

為V2X通信安全可信平臺維護和簽署全局策略文件（GPF）和全局證書鏈文件（GCCF）。

（5）ECA注冊證書簽發(fā)機構(gòu)

處理車輛提交的EC證書申請，為車輛簽發(fā)EC，并提供注冊證書管理功能。支持顯式/隱式證書類型，支持三種證書格式：GB/T37376、IEEE1609.2以及自主設(shè)計證書。

（6）PCA消息證書簽發(fā)機構(gòu)

處理車輛提交的PC證書申請，為車輛生成PC，為V2X消息提供安全防護功能。支持顯式/隱式證書類型，支持三種證書格式：GB/T37376、IEEE1609.2以及自主設(shè)計證書。

（7）AS受理服務(wù)器

受理和驗證車輛多種請求，驗證通過后將請求分發(fā)至平臺對應(yīng)子系統(tǒng)進行處理；支持路由分發(fā)、權(quán)限攔截、設(shè)備管理、注冊證書黑名單管理功能；根據(jù)GPF和GCCF，設(shè)置本地策略文件（LPF）和本地證書鏈文件（LCCF）。

2.2 體系流程

V2X通信安全可信體系方案的基本思路是為V2X通信提供基于國密算法的數(shù)字證書分發(fā)和簽名服務(wù)。出廠車輛內(nèi)置身份證書LTC或者其它身份憑據(jù)是車輛接入V2X通信可信體系的原始認證基礎(chǔ)。LTC通常在汽車生產(chǎn)線上實現(xiàn)證書灌裝。同時，V2X通信安全可信體系還支持SIM卡預(yù)置證書和車輛通過GBA過程獲取下發(fā)身份憑據(jù)等多種方式作為車輛初始標識信息用于身份驗證。車輛通過提交相關(guān)身份信息獲取V2X通信安全可信體系的注冊證書（EC）。EC由注冊證書簽發(fā)機構(gòu)（ECA）簽發(fā)。EC通常有效期較長，可以為一年或者更長的時間。EC并不直接用于對V2X消息進行簽名防護。用來簽名的消息證書（PC）是由車輛每周向平臺申請獲得。PC由消息證書簽發(fā)機構(gòu)（PCA）生成。PC申請與下載為異步，以避免生成PC時系統(tǒng)要保持連接所耗費的資源。PCA和ECA承擔了V2X通信安全可信平臺的核心功能。

此外，為了車輛與平臺連接的配置盡量簡化，方案設(shè)計了受理服務(wù)器（AS）模塊，進行基本鑒權(quán)和任務(wù)分發(fā)等工作。AS在一定程度上是整體平臺的網(wǎng)關(guān)，負責安全防護。由于各家車廠初始身份憑證或者認證授權(quán)系統(tǒng)的建設(shè)情況不同，企業(yè)標準也不同，所以在ECA或者AS的實現(xiàn)上可能存在個性化差異。因此，在V2X通信安全可信平臺中加入中間層證書簽發(fā)系統(tǒng)（ICA）模塊，以實現(xiàn)國汽V2X根CA（RCA）對多ICA的接入。各主機廠ICA簽發(fā)其子系統(tǒng)中的ECA、PCA和AS，實現(xiàn)個性化子系統(tǒng)的靈活接入。此外，V2X通信安全可信平臺還具有不當行為管理系統(tǒng)（MA）功能和策略中心（PG）功能。MA對車端上報的其它車輛不當行為進行驗證分析，并采取相應(yīng)處理措施。PG對整體系統(tǒng)進行策略定義，以維護體系的統(tǒng)一和完整。整體流程如圖2所示。

2.3 短證書和秘鑰衍生技術(shù)

圖2 V2X通信安全可信體系整體流程

為了適用V2X高動態(tài)、高隨機、低時延、高可靠應(yīng)用場景需求，加上V2X直連通信空口資源有限，所以要求相應(yīng)的V2X消息簽名和證書都要盡量短。參考國內(nèi)外相關(guān)標準，提出了顯式證書和隱式證書等多種證書格式，均能滿足對長度需求。在實際演示活動中使用的顯式證書僅有164個字節(jié)，大大優(yōu)于傳統(tǒng)的X.509證書，如表1所示。

為了節(jié)省車輛向云端平臺發(fā)送PC申請所耗費的空口通信資源，V2X通信安全可信體系使用了密鑰衍生技術(shù)。密鑰衍生是指車輛端僅產(chǎn)生一對因子，其中公鑰因子發(fā)送到平臺后，會由平臺擴展為多個因子，例如20個因子，并生成相應(yīng)的公私鑰對，并進一步形成完整的顯式證書+私鑰重構(gòu)值?；蛘吖借€重構(gòu)值，其中公鑰重構(gòu)值被稱為隱式證書。申請證書的車端接收到私鑰重構(gòu)值后，在安全單元里進行運算以得到用于簽名的完整私鑰。而隱式證書將隨消息和簽名直接發(fā)出，在接收方結(jié)合相應(yīng)的平臺參數(shù)和算法，還原完整公鑰用于消息驗簽。

V2X通信安全可信體系實現(xiàn)了我國自主設(shè)計的CLPKC機制，進行密鑰衍生并生成隱式證書，大大提升了證書的分發(fā)效率和消息的驗簽速度。同時，對比美國所使用的ECQV機制，CLPKC的安全性也更高，是一種已經(jīng)被證明的、安全高效的可信方案。

3 實施部署和應(yīng)用示范

V 2 X通信安全可信體系按照從原型系統(tǒng)POC、開放測試系統(tǒng)、場地測試驗證和運營系統(tǒng)的多階段部署方案實施，目前已進入第四階段：正式運營系統(tǒng)，如圖3所示。

第二階段的開放測試系統(tǒng)和眾測平臺于2019年8月對外開放，眾測平臺提供系統(tǒng)的詳細技術(shù)方案和流程的介紹以及大量測試用例，用來配合V2X通信終端廠商進行安全功能的聯(lián)合調(diào)測。第三階段的場地測試驗證于2019年10月下旬上海國際汽車城實現(xiàn)?！八目纭被ヂ?lián)互通應(yīng)用示范活動由IMT-2020（5G）推進組C-V2X工作組、中國智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)創(chuàng)新聯(lián)盟、中國汽車工程學會、上海國際汽車城（集團）有限公司共同舉辦，首次實現(xiàn)了國內(nèi)“跨芯片模組、跨終端、跨整車、跨安全平臺”的C-V2X應(yīng)用展示，共計有26家中外車企、28家V2X終端廠商、11家通信模組廠商和5家安全廠商參與了活動。車輛接入安全可信體系，演示了安全防護下的多種V2X應(yīng)用場景。

表1 物聯(lián)網(wǎng)應(yīng)用層協(xié)議比較

圖3 實施部署方案

4 結(jié)束語

基于國產(chǎn)密碼算法的車聯(lián)網(wǎng)V2X通信安全可信體系適用于車聯(lián)網(wǎng)市場發(fā)展需求。在充分應(yīng)用國密算法的同時，也考慮了短證書、密鑰衍生和重構(gòu)等多種新穎的、自主創(chuàng)新的技術(shù)和方法。

一是設(shè)計并研發(fā)了基于國產(chǎn)密碼算法的V2X通信安全系統(tǒng)。系統(tǒng)中使用的國產(chǎn)密碼算法SM2、SM3實現(xiàn)對V2X消息的簽名。同時，應(yīng)用了自主設(shè)計的CLPKC機制，進行密鑰衍生并生成隱式證書，大大提升了證書的分發(fā)效率和消息的驗簽速度。

二是建設(shè)了適用于V2X應(yīng)用場景需求的可信體系。V2X產(chǎn)業(yè)發(fā)展迅速，V2X通信空口資源有限，這就要求相應(yīng)的V2X消息簽名和證書都要盡量短。目前系統(tǒng)參考國內(nèi)外相關(guān)標準，提出了顯式證書和隱式證書等多種證書格式，均能滿足對長度需求。

三是提出了從平臺到車端的完整解決方案。其中，車端模塊插件化，可以迅速集成到車輛V2X協(xié)議棧中，實現(xiàn)與平臺的無縫對接。

四是形成體系化的V2X通信安全核心技術(shù)標準。包括證書格式、密鑰生成與管理方式、證書申請流程，和簽名消息格式與發(fā)送要求技術(shù)規(guī)范。并且與已有標準協(xié)同、一致。

五是堅持自主創(chuàng)新、安全可控，打造國際化民族品牌。參考國際上V2X CA系統(tǒng)，在吸取國際同類系統(tǒng)經(jīng)驗的同時，依據(jù)法律法規(guī)，形成先進的、安全的、可靠的以及可擴展的自主知識產(chǎn)權(quán)的V2X通信安全可信系統(tǒng)。