楊文山，陳 驍

（格爾軟件股份有限公司，上海 200272）

0 引 言

從19 世紀(jì)末到現(xiàn)在，汽車行業(yè)經(jīng)歷了一百多年的發(fā)展與革新。近年來，隨著IT 技術(shù)的迅猛發(fā)展，汽車逐漸進(jìn)入網(wǎng)聯(lián)化和智能化的新時(shí)代。智能網(wǎng)聯(lián)汽車深度融合了汽車、電子、信息通信、道路交通運(yùn)輸?shù)刃袠I(yè)，成為汽車行業(yè)和先進(jìn)制造行業(yè)創(chuàng)新發(fā)展的熱點(diǎn)和焦點(diǎn)。根據(jù)IDC 發(fā)布的《全球智能網(wǎng)聯(lián)汽車預(yù)測報(bào)告》，2019 年全球智能網(wǎng)聯(lián)汽車出貨量達(dá)到5 110 萬輛，預(yù)計(jì)未來5 年全球智能網(wǎng)聯(lián)汽車的年出貨量復(fù)合增長率為16.8%。智能網(wǎng)聯(lián)汽車搭載先進(jìn)的控制器、執(zhí)行器和高級(jí)的傳感器，通過融合現(xiàn)代通信技術(shù)，可以實(shí)現(xiàn)車車、車路、車人、車云以及車內(nèi)部等途徑的信息交換共享，并具備智能決策、協(xié)同控制、輔助駕駛等眾多功能。而由智能網(wǎng)聯(lián)汽車、智能路測設(shè)施、智能終端和云平臺(tái)所組成的網(wǎng)絡(luò)就是車聯(lián)網(wǎng)?！盎ヂ?lián)網(wǎng)+”概念的提出，使得車聯(lián)網(wǎng)迅速成為汽車領(lǐng)域的發(fā)展熱點(diǎn)。

隨著以智能網(wǎng)聯(lián)汽車為中心的車聯(lián)網(wǎng)行業(yè)的蓬勃發(fā)展，汽車便捷性與安全性的矛盾也日益凸顯，車聯(lián)網(wǎng)的攻擊面在不斷擴(kuò)大，汽車安全受到了前所未有的威脅。這種威脅不僅會(huì)給車主帶來生命財(cái)產(chǎn)損失，還會(huì)給社會(huì)和國家?guī)砭薮蟮陌踩[患。

2016 年底，工信部委托車載信息服務(wù)產(chǎn)業(yè)應(yīng)用聯(lián)盟網(wǎng)絡(luò)安全委員會(huì)對(duì)我國自主及在華外資車企、終端、零部件廠商等展開調(diào)研。結(jié)果顯示，國內(nèi)整車廠基本沒有設(shè)立專門的信息安全管理機(jī)構(gòu)，現(xiàn)有汽車遠(yuǎn)程服務(wù)提供商（Telematics Service Provider，TSP）在服務(wù)平臺(tái)信息安全建設(shè)方面較為初級(jí)且缺乏系統(tǒng)性解決方案，對(duì)關(guān)鍵零部件的安全規(guī)劃和整體安全設(shè)計(jì)不夠完善，車主隱私數(shù)據(jù)防護(hù)和安全管理手段缺失，存在嚴(yán)重的安全風(fēng)險(xiǎn)。整體看來，國內(nèi)大部分智能網(wǎng)聯(lián)汽車尚未充分考慮到車聯(lián)網(wǎng)所存在的安全隱患，缺乏全面的信息安全防護(hù)措施。

近年來，隨著人們對(duì)車聯(lián)網(wǎng)安全重視度的不斷提高，國內(nèi)外各類車聯(lián)網(wǎng)安全標(biāo)準(zhǔn)、規(guī)范和法規(guī)先后發(fā)布，各大學(xué)校、企業(yè)和學(xué)術(shù)研究機(jī)構(gòu)針對(duì)各類車聯(lián)網(wǎng)威脅都紛紛提出了各自的防護(hù)技術(shù)和解決方案，而在這些應(yīng)對(duì)措施中，密碼技術(shù)扮演著至關(guān)重要的作用。

密碼技術(shù)是保證通信與數(shù)據(jù)安全的重要技術(shù)。利用密碼可以可靠地識(shí)別認(rèn)證通信雙方的身份，保證數(shù)據(jù)在通信、存儲(chǔ)和使用中的準(zhǔn)確性、機(jī)密性、完整性和可追溯性。當(dāng)前，車聯(lián)網(wǎng)領(lǐng)域大都使用國外的密碼算法或者自己設(shè)計(jì)的算法，不但缺乏對(duì)國密算法的支持，而且在密碼安全協(xié)議等的使用上也存在許多漏洞。這使得我國的車聯(lián)網(wǎng)信息安全不能達(dá)到真正的可靠和自主可控，從而給汽車安全埋下了隱患。

本文在分析國內(nèi)車聯(lián)網(wǎng)安全現(xiàn)狀的基礎(chǔ)上，研究了基于國密算法的車聯(lián)網(wǎng)安全信任體系，提出了一種基于汽車與萬物互聯(lián)（Vehicle-to-Everything，V2X）證書的車聯(lián)網(wǎng)互信互任安全實(shí)現(xiàn)方案。

1 國內(nèi)研究現(xiàn)狀

在現(xiàn)代通信技術(shù)和現(xiàn)代密碼技術(shù)的雙重推動(dòng)下，車聯(lián)網(wǎng)安全認(rèn)證領(lǐng)域逐漸成為業(yè)界和學(xué)術(shù)界研究的熱點(diǎn)，各種學(xué)術(shù)成果層出不窮。

文獻(xiàn)[1]闡述了車聯(lián)網(wǎng)安全架構(gòu)各層級(jí)所面臨的各種安全隱患，針對(duì)其中的主要隱患總結(jié)了國內(nèi)外入侵檢測的研究情況，分析了入侵檢測關(guān)鍵技術(shù)，提出了今后的研究思路和方向。文獻(xiàn)[2]以大數(shù)據(jù)為時(shí)代背景，研究了車聯(lián)網(wǎng)加密認(rèn)證體系架構(gòu)，較為系統(tǒng)地闡述了車聯(lián)網(wǎng)安全架構(gòu)及相關(guān)通信模塊的認(rèn)證加密方式，并將新提出的架構(gòu)與現(xiàn)有標(biāo)準(zhǔn)進(jìn)行對(duì)比分析，詳細(xì)論證了車聯(lián)網(wǎng)加密認(rèn)證的關(guān)鍵技術(shù)與創(chuàng)新點(diǎn)，最后提出了相關(guān)領(lǐng)域所面臨的挑戰(zhàn)。文獻(xiàn)[3]研究了基于國產(chǎn)商用密碼車聯(lián)網(wǎng)身份認(rèn)證技術(shù)，該技術(shù)可以確保車聯(lián)網(wǎng)中各主體之間在建立連接前確定彼此的身份，并在此基礎(chǔ)上進(jìn)行安全通信，實(shí)現(xiàn)了國內(nèi)合規(guī)、國際領(lǐng)先、自主可控。文獻(xiàn)[4]重點(diǎn)聚焦車聯(lián)網(wǎng)的內(nèi)容分發(fā)安全問題，現(xiàn)有協(xié)議多數(shù)存在前向安全性和匿名性脆弱的特點(diǎn)，有些還存在主密鑰泄露的風(fēng)險(xiǎn)。為了解決這些問題，該文獻(xiàn)使用哈希函數(shù)和橢圓曲線密碼設(shè)計(jì)了一種認(rèn)證密鑰協(xié)商協(xié)議，該協(xié)議能更好地適應(yīng)車聯(lián)網(wǎng)環(huán)境，在滿足密鑰協(xié)商安全性的同時(shí)具有更強(qiáng)的前向安全性和匿名性，并能在低成本的情況下抵抗多數(shù)互聯(lián)網(wǎng)攻擊。

現(xiàn)在汽車正逐漸突破單車智能的束縛，大步邁向了V2X 的新時(shí)代。而新時(shí)代車聯(lián)網(wǎng)安全就從基于V2X 證書的認(rèn)證加密開始，目前這一領(lǐng)域已擁有諸多學(xué)術(shù)成果。文獻(xiàn)[5]詳細(xì)描述了車聯(lián)網(wǎng)的特點(diǎn)以及V2X 的通信模型，研究了V2X協(xié)議中的安全需求，討論了近年來各種V2X 協(xié)議的優(yōu)缺點(diǎn)，并指出了該類協(xié)議未來的發(fā)展方向。文獻(xiàn)[6]著重分析了專用短程通信（Dedicated Short Range Communication，DSRC）和基于蜂窩的V2X（Cellular-V2X，C-V2X）的技術(shù)特點(diǎn)，總結(jié)了國內(nèi)外相關(guān)技術(shù)標(biāo)準(zhǔn)、政策法規(guī)和產(chǎn)業(yè)化現(xiàn)狀，最后提出了對(duì)未來V2X 發(fā)展趨勢的看法。文獻(xiàn)[7]認(rèn)為C-V2X 是5G 的重要應(yīng)用，能夠?yàn)槠嚭徒煌ǖ戎匾a(chǎn)業(yè)發(fā)展提供重要助力，隨后深入分析了相關(guān)產(chǎn)業(yè)的發(fā)展趨勢、運(yùn)維模式和關(guān)鍵技術(shù)，指出了將要面臨的挑戰(zhàn)，并對(duì)相關(guān)產(chǎn)業(yè)的發(fā)展融合提供了建議。文獻(xiàn)[8]更是在大量調(diào)研的基礎(chǔ)上，分析了當(dāng)前車聯(lián)網(wǎng)的技術(shù)發(fā)展瓶頸，指出了一些尚待解決的關(guān)鍵性技術(shù)問題，并為5G-V2X 核心技術(shù)提供了演進(jìn)路徑建議。在世界智能網(wǎng)聯(lián)汽車發(fā)展趨勢的指引下，為汽車產(chǎn)業(yè)全面互聯(lián)網(wǎng)化和數(shù)字化提供理論基礎(chǔ)和支持。

然而，國內(nèi)在基于V2X 證書的車聯(lián)網(wǎng)安全互信互任等方面尚缺乏深入的學(xué)術(shù)研究和有效的解決方案，本文將就這一領(lǐng)域進(jìn)行深入探討和研究。

2 車聯(lián)網(wǎng)安全互信必要性

汽車接入互聯(lián)網(wǎng)后，將變得更加智能，也給用戶帶來更好的駕乘體驗(yàn)。同時(shí)，將車輛和TSP 之間建立連接，可以實(shí)現(xiàn)安全監(jiān)測、遠(yuǎn)程故障診斷以及方便快捷的空中升級(jí)等多種功能，時(shí)刻保障汽車的行駛安全。同時(shí)通過更加開放的車內(nèi)通信、車車通信、車人通信、車路通信、車和基礎(chǔ)設(shè)施通信等方式，智能網(wǎng)聯(lián)汽車將極大地增加汽車上路行駛中信息的交互，無論從目前狀態(tài)還是未來發(fā)展上看，智能網(wǎng)聯(lián)汽車能夠給用戶帶來更加良好的駕乘體驗(yàn)。

但是，將汽車接入互聯(lián)網(wǎng)后，在給用戶帶來良好體驗(yàn)的同時(shí)，也將互聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)引入汽車網(wǎng)絡(luò)中。例如，攻擊者可以通過互聯(lián)網(wǎng)入侵汽車網(wǎng)絡(luò)，遠(yuǎn)程操控車輛，威脅車主的人身及財(cái)產(chǎn)安全；也可通過非法途徑獲取車主身份權(quán)限，從而獲取到車主隱私數(shù)據(jù)；還有可能通過車身攝像頭等傳感設(shè)備對(duì)我國敏感地理信息、軍事設(shè)施等進(jìn)行非法測繪，威脅國家安全。因此，在車聯(lián)網(wǎng)通信過程中采取相應(yīng)的安全措施尤為重要。

為了應(yīng)對(duì)智能網(wǎng)聯(lián)汽車在跨企業(yè)的車車、車路等協(xié)同通信場景中由于網(wǎng)絡(luò)信任體系缺失引發(fā)的信息安全問題，需要建立基于V2X 車路協(xié)同通信場景的V2X 安全證書管理系統(tǒng)，構(gòu)建統(tǒng)一的車、路、云、端身份認(rèn)證體系，保障智能路測設(shè)施、云平臺(tái)、智能終端與不同企業(yè)的車輛在通信過程中的安全互信。

本文提出了一種V2X 安全證書管理系統(tǒng)和相應(yīng)的互信體系架構(gòu)，可以實(shí)現(xiàn)V2X 通信中的身份認(rèn)證、安全傳輸，以及數(shù)據(jù)的完整性、有效性等安全特性，解決當(dāng)前車與車、車與路邊單元、車與云、車與人通信的安全隱患，為智能網(wǎng)聯(lián)汽車應(yīng)用發(fā)展建立一個(gè)安全的網(wǎng)絡(luò)運(yùn)行環(huán)境。

通過建設(shè)數(shù)字證書管理體系，可以有效解決車聯(lián)網(wǎng)通信中無法保障用戶的真實(shí)身份、數(shù)據(jù)傳輸受到網(wǎng)絡(luò)安全威脅、賬號(hào)管理困難等一系列問題。通過為車聯(lián)網(wǎng)設(shè)備、移動(dòng)設(shè)備等簽發(fā)證書，加強(qiáng)通信方面的身份安全，實(shí)現(xiàn)證書自助服務(wù)與安全認(rèn)證，鏈路加密等功能。

3 V2X 安全證書管理系統(tǒng)

基于車聯(lián)網(wǎng)安全互信的需求，本文詳細(xì)討論了V2X 安全證書管理系統(tǒng)架構(gòu)及其互信互任體系框架。

3.1 V2X 證書

V2X 設(shè)備采用數(shù)字簽名技術(shù)保證消息的完整性。發(fā)送方對(duì)V2X 消息進(jìn)行簽名，接收方對(duì)收到的V2X 消息進(jìn)行驗(yàn)簽，對(duì)消息進(jìn)行完整性和抗重放攻擊保護(hù)。

為確保消息發(fā)送方真實(shí)可信，V2X 安全證書管理系統(tǒng)基于標(biāo)準(zhǔn)的IEEE 1609.2 證書格式為V2X 設(shè)備簽發(fā)證書，統(tǒng)稱“V2X 數(shù)字證書”，簡稱“V2X 證書”，包括根證書、注冊證書、假名證書等。

3.2 系統(tǒng)架構(gòu)

搭建V2X 安全證書管理系統(tǒng)，可為車載單元和路側(cè)單元提供安全標(biāo)識(shí)和證書服務(wù)，實(shí)現(xiàn)V2X 通信的身份認(rèn)證、安全傳輸、數(shù)據(jù)完整性、抗抵賴等安全功能，解決V2X 應(yīng)用場景車與路邊單元、車與云通信的安全隱患。V2X 證書管理系統(tǒng)架構(gòu)如圖1 所示。

該證書管理系統(tǒng)由汽車與網(wǎng)絡(luò)互聯(lián)（Vehicleto-Network，V2N）、V2X 和智能網(wǎng)聯(lián)汽車平臺(tái)等多個(gè)模塊組成。V2N 采用已有的公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）證書體系，簽發(fā)V2N 證書與車端建立安全通信。

V2X 模塊包括服務(wù)端和客戶端，服務(wù)端通過安全網(wǎng)關(guān)與V2X 設(shè)備安全組件進(jìn)行聯(lián)動(dòng)，建立安全可靠的加密通信鏈路保護(hù)。其中根CA（Root Certificate Authority，RCA）、 注 冊CA（Enrolment Certificate Authority，ECA）、假名CA（Pseudonym Certificate Authority，PCA）、設(shè)備配置管理（Device Configuration Manager，DCM）組成服務(wù)端，提供V2X 證書服務(wù)。RCA離線工作，ECA、PCA 和DCM 在線服務(wù)。

V2X 客戶端包括車載單元（OnBoard Unit，OBU）、路側(cè)單元（Road Side Unit，RSU）及其他形態(tài)的實(shí)體。OBU 是車輛的V2X 車載中央通信單元。通過控制器域網(wǎng)（Controller Area Network，CAN）總線獲取車輛基本狀態(tài)，借助無線網(wǎng)絡(luò)發(fā)送給周圍的車輛、行人和道路，并上傳到智能網(wǎng)聯(lián)汽車的云計(jì)算中心，實(shí)現(xiàn)信息的分發(fā)共享。此外，OBU 負(fù)責(zé)車輛收發(fā)數(shù)據(jù)包，實(shí)現(xiàn)V2X 交互，為人、車、路、云的協(xié)同管理提供支撐。OBU 向云平臺(tái)A 申請和更新注冊證書，以及申請假名證書。

RSU 是路網(wǎng)建設(shè)的基本單元和主要部署設(shè)備。接入到云平臺(tái)B 的RSU Server，經(jīng)Https 協(xié)議連接，可以實(shí)現(xiàn)向RSU 簽發(fā)和更新注冊證書，以及簽發(fā)假名證書，收集路側(cè)基礎(chǔ)設(shè)施的數(shù)據(jù)。RSU 沿交通路網(wǎng)設(shè)置，安裝在交通熱點(diǎn)地區(qū)、交叉路口或者高危險(xiǎn)地區(qū)，通過采集特定地點(diǎn)的車流量，分析不同擁堵路段的信息。RSU 采用DSRC 技術(shù)，與OBU 進(jìn)行通信，對(duì)車輛和駕駛員提供提示和建議，從而實(shí)現(xiàn)道路資源的動(dòng)態(tài)管控。

簽名驗(yàn)簽服務(wù)器、車隊(duì)管理系統(tǒng)（Fleet Management System，F(xiàn)MS）、實(shí)時(shí)動(dòng)態(tài)（Real-Time Kinematic，RTK）業(yè)務(wù)系統(tǒng)等組成了V2X 安全證書管理系統(tǒng)的智能網(wǎng)聯(lián)汽車平臺(tái)，是智能網(wǎng)聯(lián)汽車服務(wù)體系的核心。

FMS 通過將定位系統(tǒng)、車載記錄與遠(yuǎn)程數(shù)據(jù)服務(wù)相結(jié)合，為企業(yè)商用運(yùn)輸車隊(duì)提供管理服務(wù)。車隊(duì)管理系統(tǒng)能夠?qū)ぷ鬈囕v所在位置、油耗情況、行駛里程、車輛運(yùn)行及故障狀態(tài)進(jìn)行準(zhǔn)確和有效的實(shí)時(shí)監(jiān)控，助力企業(yè)強(qiáng)化車輛管理并提高盈利能力。

RTK 業(yè)務(wù)系統(tǒng)采用載波相位差分技術(shù)實(shí)現(xiàn)高精度定位。智能網(wǎng)聯(lián)汽車借助RTK 業(yè)務(wù)實(shí)現(xiàn)精確定位，可以實(shí)現(xiàn)安全駕駛、精準(zhǔn)泊車等操作。

3.3 互信互任體系框架

在車聯(lián)網(wǎng)系統(tǒng)中，可能會(huì)有多個(gè)獨(dú)立的PKI系統(tǒng)為車聯(lián)網(wǎng)設(shè)備提供證書服務(wù)，每個(gè)PKI 的服務(wù)范圍稱為一個(gè)認(rèn)證域。跨認(rèn)證域認(rèn)證是指位于一個(gè)認(rèn)證域中的車聯(lián)網(wǎng)設(shè)備，能夠認(rèn)證由其他認(rèn)證域簽發(fā)給該域車聯(lián)網(wǎng)設(shè)備的證書。本方案提出了一種面向車聯(lián)網(wǎng)身份認(rèn)證系統(tǒng)的互信互任體系構(gòu)想，車聯(lián)網(wǎng)PKI 系統(tǒng)統(tǒng)一接入工信部安全信任根管理平臺(tái)，由工信部統(tǒng)籌管理車聯(lián)網(wǎng)行業(yè)各信任域PKI 體系的根證書，依附于工信部的權(quán)威性實(shí)現(xiàn)區(qū)域內(nèi)對(duì)全國范圍內(nèi)跨信任域的互信互任。

跨安全域認(rèn)證框架如圖2 所示，為實(shí)現(xiàn)跨域認(rèn)證，一個(gè)認(rèn)證域中的設(shè)備需要獲取另一個(gè)認(rèn)證域簽發(fā)的證書認(rèn)證機(jī)構(gòu)（Certificate Authority，CA）證書或證書鏈。本文將一個(gè)認(rèn)證域提供給另一個(gè)認(rèn)證域的用于互信操作的頂級(jí)CA 證書作為可信根證書（Trusted Root Certificate）。該頂級(jí)CA 證書可以是該認(rèn)證域的自簽名的根CA 證書，也可以是該認(rèn)證域的非自簽名的子CA 證書。在跨域認(rèn)證框架的基礎(chǔ)上可得到PKI 互信架構(gòu)，如圖3 所示。

PKI 互信架構(gòu)的功能實(shí)體如下文所述。

（1）可信根證書列表管理機(jī)構(gòu)（Trusted Root Certificate List Authority，TRCLA）。負(fù)責(zé)簽發(fā)可信根證書列表。

（2）可信根證書列表（Trusted Root Certificate List，TRCL）。由可信的PKI 系統(tǒng)的根證書、可信的PKI 系統(tǒng)的可信域CA 證書列表下載地址、保護(hù)可信根證書列表的安全機(jī)制構(gòu)成。保護(hù)可信根證書列表的安全機(jī)制為數(shù)字簽名技術(shù)。

（3）可信證書管理功能（Trusted Certificate Management Function，TCMF）。在一個(gè)PKI 系統(tǒng)內(nèi)負(fù)責(zé)與可信根證書列表管理機(jī)構(gòu)交互，向可信根證書列表管理機(jī)構(gòu)提供本PKI 系統(tǒng)與互信操作相關(guān)的數(shù)據(jù)，從可信根證書列表管理機(jī)構(gòu)獲取實(shí)現(xiàn)PKI 互信所需要的數(shù)據(jù)和向本PKI 系統(tǒng)內(nèi)的車聯(lián)網(wǎng)設(shè)備提供實(shí)現(xiàn)PKI 互信所需要的數(shù)據(jù)。

4 結(jié) 語

隨著汽車智能化和網(wǎng)聯(lián)化進(jìn)程的不斷推進(jìn)，車聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展迅速，成為智慧交通、智慧城市的重要組成部分。車聯(lián)網(wǎng)作為信息化與工業(yè)化深度融合的重要領(lǐng)域，不斷促進(jìn)汽車、交通、信息通信產(chǎn)業(yè)的融合和升級(jí)。隨著車聯(lián)網(wǎng)的不斷發(fā)展，相關(guān)安全事件層出不窮，導(dǎo)致個(gè)人隱私信息和國家敏感地理信息泄露，造成巨大經(jīng)濟(jì)損失，威脅行駛安全和公共安全。因此，加強(qiáng)車聯(lián)網(wǎng)安全防護(hù)刻不容緩。

在車聯(lián)網(wǎng)技術(shù)和現(xiàn)代信息安全技術(shù)迅速發(fā)展的大背景下，本文探討和研究了基于V2X 的車聯(lián)網(wǎng)安全證書管理系統(tǒng)框架以及互信互任體系架構(gòu)。該認(rèn)證體系可統(tǒng)一車載單元、路側(cè)設(shè)備、云平臺(tái)應(yīng)用和服務(wù)的身份管理，解決V2X 信息交互中雙方的身份問題，確保車聯(lián)網(wǎng)各個(gè)實(shí)體之間信息傳遞的機(jī)密性、完整性。同時(shí)該體系也為車聯(lián)網(wǎng)各個(gè)獨(dú)立PKI之間的安全互信提供了解決思路。

“互聯(lián)網(wǎng)+智能網(wǎng)聯(lián)汽車”大潮已來，車聯(lián)網(wǎng)安全必將成為安全產(chǎn)業(yè)和車聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的重點(diǎn)領(lǐng)域。構(gòu)建車聯(lián)網(wǎng)安全認(rèn)證、安全信任體系，建立全鏈條的綜合立體防御體系是車聯(lián)網(wǎng)未來發(fā)展的必然趨勢。相關(guān)體系的提出、驗(yàn)證、示范和推廣，將是今后產(chǎn)業(yè)界和學(xué)術(shù)界的主要研究方向。