唐明環(huán) 閆瑞澤 彭浩楠 王 聰

(中國工業(yè)互聯(lián)網研究院 北京 100102)

車聯(lián)網是一項具有戰(zhàn)略意義的系統(tǒng)工程,是國家汽車產業(yè)轉型升級、由大變強的重要突破口,是關聯(lián)眾多重點領域協(xié)同創(chuàng)新、構建新型交通運輸體系的重要載體.隨著互聯(lián)網、人工智能、云計算和大數據等技術的應用,汽車的智能化、聯(lián)網化程度越來越高,已變成名副其實的萬物互聯(lián)時代的智能終端設備[1-3].通過更加開放的車內通信、車車通信、車人通信、車路通信、車和基礎設施通信等方式,車聯(lián)網極大地增加了汽車上路行駛中信息的交互,給用戶帶來更加良好的駕乘體驗.同時,智能網聯(lián)也為各個終端與車聯(lián)網運營服務間的通信安全、身份認證提出了新的要求.

車聯(lián)網V2X直連通信面臨消息偽造、篡改、重放等風險[4-5],當前國內主機廠對車聯(lián)網安全建設的需求日益緊迫,安全建設應貫穿整個網聯(lián)汽車的全生命周期.車聯(lián)網數字證書認證(certification authentication, CA)體系的規(guī)劃是車聯(lián)網安全建設的重要組成元素,構建基于公鑰基礎設施(public key infrastructure, PKI)機制的車聯(lián)網CA體系,可實現V2X設備間的安全認證和安全通信,保障駕乘安全.對V2X通信技術大規(guī)模產業(yè)化應用后的持續(xù)安全運行、管理起到支撐作用,對促進車聯(lián)網產業(yè)發(fā)展具有重要意義.

密碼為保護信息安全而生,是網絡安全的核心要件,是產業(yè)發(fā)展的基礎支撐.黨的十八大以來,構建自主可控信息技術體系,我國在重要領域網絡和信息系統(tǒng)大力推進商用密碼應用,取得了重大突破.建立基于商用密碼算法的車聯(lián)網CA體系,將促進商用密碼算法在車聯(lián)網行業(yè)的融合應用,以商用密碼算法應用支撐網絡安全,提升國家基礎信息安全保障能力[6-7].

1 車聯(lián)網CA體系發(fā)展存在的問題

我國車聯(lián)網CA體系建設處于起步階段.CCSA標準《基于LTE的車聯(lián)網無線通信技術 安全證書管理系統(tǒng)技術要求》[8]規(guī)定了LTE V2X安全證書技術要求、安全證書管理系統(tǒng)架構及建立互信的安全機制.該標準采用證書信任列表(certificate trusted list, CTL)方式實現CA間的互信,數字證書中默認采用商用密碼算法.V2X“跨整車、跨通信終端、跨芯片模組、跨安全平臺”(簡稱“四跨”)大規(guī)模先導應用示范活動陸續(xù)開展,活動中的CA平臺基于該標準開展了互聯(lián)互通應用示范驗證.通過跨廠商CA子系統(tǒng)的搭建與接入以及與其他根CA的V2X安全認證平臺信任互通,為活動中的車輛、路側設備及對應的多種應用場景的演示奠定了信息安全基礎.

具體實現上,信任列表管理器(trusted list manager, TLM)創(chuàng)建和維護CTL,CTL包含了全部受信任CA的證書,不同CA之間通過統(tǒng)一的CTL實現互信,從而建立多CA之間的信任關系[9].TLM在新增、更新和撤銷CA證書時對CTL進行更新,使用TLM簽名私鑰對CTL進行簽名,并通過專用通道將CTL下發(fā)至信任域內所有信任體,如圖1所示.美國安全憑證管理系統(tǒng)(security credential management system, SCMS)[10-11]和歐洲合作式智能交通系統(tǒng)安全憑證管理系統(tǒng)(C-ITS security credential management system, CCMS)[12-13]都采用基于CTL的方式實現CA系統(tǒng)間的互信認證.

圖1 通過證書信任列表實現多個根CA互認

同時,采用CTL實現CA互信的方式也存在一系列問題.一是多TLM情況無法打通信任鏈.采用TLM管理信任列表的技術方案建立在TLM唯一的前提下,由于V2X安全認證體系中存在不同車企或者不同的行業(yè)根CA,無法保證根CA的唯一性,所以增加TLM解決多個可信任根CA之間的互信關系.但是如果出現多個TLM的情況,依然可能存在無法打通信任鏈的情況.二是TLM的管控程度相對松散.TLM對下級CA的約束較弱,可能出現行業(yè)內各個CA機構之間無序競爭,造成市場混亂和資源浪費,不利于車聯(lián)網產業(yè)發(fā)展.三是不利于國家V2X證書管理體系的形成.V2X應用幾乎涵蓋了人、車、路、云等所有的道路交通參與者,目前不同行業(yè)都有各自的信息安全系統(tǒng)及證書管理系統(tǒng),不同行業(yè)間信息系統(tǒng)互聯(lián)互通不暢.目前,適用于V2X的證書管理架構尚未達成共識,未形成統(tǒng)一的管理、協(xié)調、互認機制.行業(yè)內沒有一個權威、可信任的機構將目前出現的各個中間CA聯(lián)通和管理起來,內部的不統(tǒng)一進一步造成了與其他行業(yè)建立互信關系更加困難的局面.

車聯(lián)網CA體系的另一種實現方式是行業(yè)由一個權威的根CA簽發(fā)證書,行業(yè)內的所有子CA都在同一個根CA下管理.通過此方式建立V2X CA信任鏈[14],由根層的策略生成器(policy generator, PG)生成全局信任鏈文件(global certificate chain file, GCCF),各下級CA系統(tǒng)中的注冊中心(registration authority, RA)同步GCCF,并根據GCCF形成本地信任鏈文件(local certificate chain file, LCCF),然后將LCCF下發(fā)到終端,以此確保不同車企的車輛能夠直接互相驗證消息的證書,進而驗證簽名.根CA實現架構如圖2所示:

圖2 一個根CA管理全部數字證書

行業(yè)根CA可由行業(yè)車聯(lián)網管理部門負責運營維護,所有的證書由統(tǒng)一的根CA作為信任錨點,不存在CA間的互認問題,管理和驗證流程都比較高效.各行業(yè)建立統(tǒng)一的根CA,跨行業(yè)互信只需要根CA間達成互信關系,并將互信關系更新下發(fā)到下級CA,易于實現跨行業(yè)互信.然而,由于當前業(yè)界采用CTL實現V2X互信的機制已具備一定的實踐基礎和應用規(guī)模,根CA的方式推廣起來存在一定的難度.信任列表和根CA實現方式對比如表1所示:

表1 信任列表和根CA實現方式對比

2 兼容信任列表的根CA總體規(guī)劃

鑒于以上問題,綜合考慮國內車聯(lián)網CA體系的建設現狀以及行業(yè)長遠發(fā)展需要,在“統(tǒng)一管理+兼容技術”思路的指導下,本文提出“根CA+信任列表”綜合規(guī)劃[15-16].一方面通過根CA對行業(yè)內部CA進行集中、高效的管控;另一方面打通整個車聯(lián)網行業(yè)的V2X CA體系,確保來自不同管理實體的車輛及設施之間的互聯(lián)互通.考慮到對車端應用可能帶來的性能影響,信任鏈層次盡量控制在2層以內,同時在車端校驗過程中支持行業(yè)標準中已經實現的證書信任列表的機制,構建車聯(lián)網行業(yè)根的兩級根CA和證書信任列表兼容設計.

如圖3所示,車聯(lián)網CA體系總體架構為“1個中心,3個平臺”.“1個中心”是指以策略管理中心為牽引,“3個平臺”分別指信任平臺、管理平臺和數據平臺.策略管理中心接受行業(yè)和密碼管理部門的領導,落實相關法律法規(guī)和制度要求,形成安全策略,指導整個體系的運轉.3個平臺構建起從信任實現、持續(xù)管理到數據匯聚三位一體的安全信任基礎設施,實現車聯(lián)網CA體系的主體功能.通過策略管理中心牽引,信任、管理、數據協(xié)同,車聯(lián)網CA體系服務于二級運營中心及智能網聯(lián)汽車.

圖3 車聯(lián)網數字證書認證體系架構

2.1 策略管理中心

V2X業(yè)務涉及到車人、車車、車路、車云等多種復雜的交互場景及主機廠商、車、道路、交通設施、行人等多種主體.各主管部門要求、管理模式和側重各不相同,車聯(lián)網CA體系的規(guī)劃、建設、運營和管理需要統(tǒng)一考慮業(yè)務模式、管理模式和技術實現等要素,確保具備指導車聯(lián)網行業(yè)PKI體系健康有序發(fā)展的能力.

策略管理中心主要負責接收國家及行業(yè)管理要求,結合V2X的業(yè)務特點,匯總和梳理國家及行業(yè)主管部門的政策法規(guī)、制度要求和標準規(guī)范等,立足于行業(yè)管理和服務,制定車聯(lián)網CA體系相關的安全策略,指導信任平臺、管理平臺和數據平臺業(yè)務的正常運行,指導車聯(lián)網行業(yè)信任管理工作的正常開展.同時,策略管理中心通過向二級運營中心下發(fā)與其相關的安全策略,指導二級運營中心的安全運行.

策略管理中心制定的安全策略主要包括密碼算法配置、數字證書格式、數字簽名格式、密鑰生命周期管理、隱私信息保護、證書應用范圍和下級CA安全基線等.策略管理中心制定生成的策略,采用標準規(guī)范、管理制度、技術要求等形式輸出,是信任、管理和數據平臺運行的依據和準則,是車聯(lián)網二級運營中心正常有序運轉的指導.同時,策略管理中心接受管理平臺反饋的針對策略層面執(zhí)行的問題并進行分析研判,進一步修正和完善策略管理中心制定的策略,更好地指導車聯(lián)網二級運營中心的正常運行.

2.2 信任平臺

信任平臺主要包括根CA系統(tǒng)和目錄服務系統(tǒng).根CA系統(tǒng)為下級CA系統(tǒng)提供入根服務、簽發(fā)證書信任列表,通過目錄服務系統(tǒng)的快速發(fā)布功能,實現證書信任列表、證書黑名單/異常行為的發(fā)布.同時,信任平臺通過數據平臺匯總的證書信息,形成中央證書庫,為管理分析提供數據支撐.

信任平臺基于策略管理中心發(fā)布的策略,對V2X業(yè)務下級CA提供互聯(lián)互通服務.信任平臺采用樹狀信任體系的技術路線實現二級運營中心不同機構的互聯(lián)互通.基于樹狀信任體系的管理模式可以根據證書發(fā)放對象管理部門的不同,在根CA下設置多個下級策略CA,每個下級策略CA只負責發(fā)放與其管理部門策略要求相匹配的數字證書,實現V2X業(yè)務中數字證書的精細化管理.信任平臺主要組成部分包括根CA服務、可信根證書列表(trusted root certificate list, TRCL)服務、中央證書庫及黑名單.

根CA服務:作為信任體系的源頭,通過根CA系統(tǒng)生成自簽名的根證書,為下級CA簽發(fā)二級運營中心證書,對二級運營中心進行集中管理.

TRCL服務:為了保證和現有《基于LTE的車聯(lián)網無線通信技術安全證書管理系統(tǒng)技術要求》等標準體系證書信任列表模式之間的兼容性,信任平臺同時提供證書信任列表服務,方便V2X業(yè)務的過渡和推進.

中央證書庫:中央證書庫主要匯總下級CA發(fā)放的數字證書,為管理工作的開展提供數據支撐.

黑名單:針對二級運營中心本身、二級運營中心發(fā)放的數字證書是否被注銷發(fā)布黑名單信息.其中二級運營中心證書注銷黑名單信息由根CA系統(tǒng)發(fā)布,二級運營中心發(fā)放的數字證書是否被注銷的黑名單信息由二級運營中心發(fā)布,相關數據匯總到信任平臺.

2.3 管理平臺

管理平臺基于策略管理中心制定的安全策略及數據平臺提供的數據,針對根CA、二級運營中心運行狀態(tài)、服務運行狀態(tài)實現全面監(jiān)控.管理平臺對二級運營中心匯總的運營數據開展分析,與策略管理中心下發(fā)的安全策略進行比對,發(fā)現安全策略執(zhí)行不到位的地方,督促二級運營中心整改,提升其安全水平,并為V2X業(yè)務中的責任追溯、糾紛取證等提供依據和支撐.管理平臺主要組成部分包括密碼服務監(jiān)控、運行狀態(tài)監(jiān)控、合規(guī)性監(jiān)控、責任追溯及取證、態(tài)勢感知及安全運營管控.

密碼服務監(jiān)控:主要針對車聯(lián)網CA體系根CA、V2X二級運營中心對外提供的密碼服務運行狀態(tài)進行監(jiān)控.

運行狀態(tài)監(jiān)控:主要針對車聯(lián)網CA體系各個組成部分、V2X二級運營中心的運行狀態(tài)進行監(jiān)控.

合規(guī)性監(jiān)控:主要針對V2X二級運營中心建設、運營和應用環(huán)節(jié)中的密碼算法、數字證書格式、數據格式、隱私保護、密鑰保護等關鍵點進行合規(guī)性監(jiān)測,確保V2X二級運營中心運行的合規(guī)性.

責任追溯及取證:當V2X業(yè)務發(fā)生糾紛時,基于車聯(lián)網CA體系及V2X二級運營中心收集匯總的數據,提供數字證書相關環(huán)節(jié)的責任追溯及取證服務.

態(tài)勢感知:基于車聯(lián)網CA體系及V2X二級運營中心收集匯總的數據進行分析,基于網絡安全情報、大數據分析、風險模型等技術及時發(fā)現安全隱患,通過及時處置提升網絡安全水平.

安全運營管控:當識別到二級運營CA或終端設備存在違規(guī)操作時,通過安全運營管控功能,對二級運營CA或終端設備進行管理控制.控制二級運營CA的主要手段為違規(guī)公告,將二級運營CA的信任域從TRCL中摘除,控制終端設備的主要手段為通知二級運營中心簽發(fā)證書吊銷列表(certificate revocation list, CRL).

2.4 數據平臺

數據平臺是車聯(lián)網CA體系的數據核心,和二級運營中心之間通過數據同步技術定時同步,匯總二級運營中心運行狀態(tài)數據、日志數據、證書應用相關數據、網絡安全相關數據.數據平臺采用分布式數據存儲架構,為信任平臺、管理平臺的運行提供數據支撐,信任平臺和管理平臺依托數據平臺對相關數據進行多維度分析,實施精準管理、風險及時發(fā)現和處置.數據平臺主要功能包括數據采集、數據存儲、數據分析及數據展現.

2.5 兼容擴展性設計

車聯(lián)網數字證書認證體系的應用核心為根CA系統(tǒng),考慮到與現有標準和業(yè)務應用的兼容性,為根CA系統(tǒng)作雙重定位:一是車聯(lián)網行業(yè)根,為二級運營中心的各類CA系統(tǒng)簽發(fā)信任鏈;二是作為信任列表管理器TLM,為所有可信任的上級CA、平級CA、下級CA等各級根CA提供無差別的信任證書列表.車聯(lián)網CA體系的設計除了可以滿足當前的車聯(lián)網應用外,還保留3個層次的兼容擴展設計,保障本設計的向上級信任域擴展、平級信任域擴展以及面向車聯(lián)網應用側的兼容擴展,如圖4所示.

圖4 車聯(lián)網數字證書認證體系兼容性設計

2.5.1 面向上級根CA的信任鏈模式設計

車聯(lián)網行業(yè)根CA當前處于行業(yè)根模式,獨立建設,尚未接入上級根.但從結構設計角度來講,由于在車聯(lián)網安全體系設計過程中采用了入根的信任模型,保障該體系可以自由向上級CA,即上級根CA系統(tǒng)通過信任鏈的方式進行擴展,擴展過程支持國家的技術標準規(guī)范要求.

2.5.2 面向其他行業(yè)根CA的擴展設計

車聯(lián)網的行業(yè)應用除了以車為核心外,路側設備和交通基礎設施也是整個業(yè)務數據流轉的關鍵設備,這些設備同樣是整個車聯(lián)網應用體系的主要組成部分.考慮到設備歸口管理和建設的問題,在未來的車聯(lián)網數字證書認證體系需要對其他行業(yè)根CA進行擴展兼容,由于是平級信任域,可以考慮通過上級根形成完整的信任鏈或者通過證書信任列表的模型進行擴展融合.

2.5.3 面向車聯(lián)網應用側的信任鏈/證書信任列表服務

車聯(lián)網的應用側是應用的主要承載部分,不論信任域之間如何擴展兼容,在應用側的設計應做到無感設計,減少對業(yè)務平臺和設備的影響.車聯(lián)網數字證書認證體系設計中提供信任鏈/證書信任列表服務,通過智能化判定,各類應用主體和客體都可以通過服務的方式調用信任服務,而將信任域的各級耦合關系進行黑盒化處理,做到對各類應用場景的支持,而不需要額外付出開發(fā)成本.

3 結 語

本文基于車聯(lián)網CA體系標準及其驗證情況、行業(yè)發(fā)展現狀,分析對比了基于CTL和根CA的車聯(lián)網CA體系建設方式,提出了兼容信任列表的根CA總體規(guī)劃,并分析了向上級信任域、平級信任域及應用側的兼容擴展設計思路.同時,本文所述規(guī)劃思路接入上級信任域、二級運營中心后信任鏈層次增加,可能導致V2X通信時延增大,需在實踐中進行全盤規(guī)劃,控制好信任鏈層級.