王超，李強(qiáng)

（上海電科智能系統(tǒng)股份有限公司）

1 引言

安全問(wèn)題始終是車(chē)路協(xié)同所面臨的主要困難與挑戰(zhàn)之一。車(chē)輛終端集成了導(dǎo)航、移動(dòng)辦公、車(chē)輛控制、輔助駕駛等功能，更容易成為黑客攻擊的目標(biāo)，易造成信息泄露，車(chē)輛失控等重大安全問(wèn)題。從路側(cè)角度，同樣面臨著非法接入、設(shè)備入侵、遠(yuǎn)程控制等安全風(fēng)險(xiǎn)。目前，正探索試點(diǎn)基于身份認(rèn)證的安全信任系統(tǒng)，構(gòu)建自動(dòng)駕駛場(chǎng)景下的身份認(rèn)證和安全信任體系，實(shí)現(xiàn)跨車(chē)型、跨設(shè)施、跨企業(yè)互聯(lián)互認(rèn)互通，實(shí)現(xiàn)各類(lèi)場(chǎng)景下的關(guān)鍵設(shè)備身份認(rèn)證與數(shù)據(jù)保護(hù)，構(gòu)建安全保障能力[2-3]。此外，自動(dòng)駕駛車(chē)輛交通事故稽查處置、匹配自動(dòng)駕駛的道路設(shè)置及交通規(guī)則等廣義的安全問(wèn)題等仍處在前期探索階段。

2 身份認(rèn)證及安全信任系統(tǒng)

車(chē)與路、車(chē)與設(shè)備的安全通信需要建立在身份認(rèn)證系統(tǒng)基礎(chǔ)上，身份認(rèn)證系統(tǒng)將自動(dòng)駕駛車(chē)輛、路側(cè)及云端關(guān)鍵節(jié)點(diǎn)設(shè)備納入認(rèn)證體系，形成統(tǒng)一的設(shè)備標(biāo)識(shí)，為各類(lèi)數(shù)據(jù)交互奠定安全基礎(chǔ)。

3 身份認(rèn)證及安全信任系統(tǒng)框架

身份認(rèn)證系統(tǒng)，劃分為國(guó)家/行業(yè)根平臺(tái)、區(qū)域根平臺(tái)、試驗(yàn)區(qū)域設(shè)備三級(jí)。國(guó)家/行業(yè)根平臺(tái)制定總體規(guī)則并對(duì)關(guān)鍵信息進(jìn)行存儲(chǔ)報(bào)備，區(qū)域根平臺(tái)負(fù)責(zé)具體身份標(biāo)識(shí)生成管理發(fā)放，試驗(yàn)區(qū)域設(shè)備承載身份標(biāo)識(shí)的具體應(yīng)用（見(jiàn)圖1）。

圖1 身份認(rèn)證及安全信任系統(tǒng)框架圖

其中，車(chē)路通信與車(chē)設(shè)備通信是重要環(huán)節(jié)。車(chē)路通信與車(chē)設(shè)備通信中基于證書(shū)進(jìn)行安全通信。路側(cè)及第三方設(shè)備通過(guò)搭載安全芯片、軟件模塊等組件，實(shí)現(xiàn)安全證書(shū)管理和數(shù)據(jù)處理。區(qū)域根平臺(tái)為路側(cè)設(shè)備、自動(dòng)駕駛車(chē)輛、第三方設(shè)備提供證書(shū)發(fā)放、更新、撤銷(xiāo)等服務(wù)，路側(cè)及第三方設(shè)備按照相關(guān)標(biāo)準(zhǔn)實(shí)現(xiàn)與車(chē)載設(shè)備、區(qū)域根平臺(tái)及行業(yè)根平臺(tái)進(jìn)行數(shù)據(jù)交互。車(chē)與路、車(chē)與設(shè)備通信過(guò)程中，系統(tǒng)需解決數(shù)據(jù)真實(shí)性、傳輸完整性及機(jī)密性、抗重放、行為抵賴(lài)及隱私保護(hù)等。

1）數(shù)據(jù)真實(shí)性

傳輸數(shù)據(jù)的真實(shí)性可以通過(guò)使用數(shù)字簽名算法（如SM2）來(lái)保證。如車(chē)輛向路側(cè)設(shè)備發(fā)送指令或請(qǐng)求下載數(shù)據(jù)時(shí)，需使用車(chē)輛證書(shū)私鑰對(duì)待發(fā)送數(shù)據(jù)進(jìn)行簽名，然后將待發(fā)送數(shù)據(jù)、簽名數(shù)據(jù)及車(chē)輛證書(shū)或證書(shū)摘要值發(fā)送給路側(cè)設(shè)備，路側(cè)設(shè)備驗(yàn)證證書(shū)有效性和簽名正確性，以便認(rèn)定此數(shù)據(jù)是否真實(shí)。

2）數(shù)據(jù)完整性

數(shù)據(jù)傳輸完整性可以通過(guò)使用雜湊算法、數(shù)字簽名算法保證。如路側(cè)設(shè)備向車(chē)輛發(fā)送高精度地圖或廣播交通狀況、天氣預(yù)警等時(shí)，發(fā)送方利用雜湊密碼算法計(jì)算消息的摘要值，將該消息連同摘要值一起廣播出去；接收方重新利用雜湊密碼算法計(jì)算消息的摘要值，并使用發(fā)送方的簽名公鑰驗(yàn)證摘要值的簽名，保證傳輸數(shù)據(jù)的完整性。

3）數(shù)據(jù)機(jī)密性

數(shù)據(jù)傳輸?shù)臋C(jī)密性可通過(guò)建立安全通信通道、對(duì)稱(chēng)密碼算法或數(shù)字信封技術(shù)保證。采用數(shù)字信封技術(shù)時(shí)，利用路側(cè)設(shè)備證書(shū)中的加密公鑰加密隨機(jī)的會(huì)話密鑰，通過(guò)會(huì)話密鑰對(duì)指令進(jìn)行加密，再將加密的數(shù)字信封發(fā)送給路側(cè)設(shè)備，路側(cè)設(shè)備收到數(shù)字信封后，使用自身加密私鑰對(duì)數(shù)字信封解密，獲得會(huì)話密鑰，然后用會(huì)話密鑰解密獲取控制指令明文。

4 區(qū)域身份認(rèn)證安全信任系統(tǒng)搭建

區(qū)域根平臺(tái)以業(yè)務(wù)云平臺(tái)及網(wǎng)絡(luò)安全系統(tǒng)為依托，通過(guò)網(wǎng)絡(luò)與國(guó)家/行業(yè)根平臺(tái)及各類(lèi)V2X設(shè)備建立通信。區(qū)域根平臺(tái)是服務(wù)范圍內(nèi)身份安全管理中心，負(fù)責(zé)證書(shū)生成、發(fā)放、撤銷(xiāo)等各類(lèi)業(yè)務(wù)[2]。區(qū)域身份認(rèn)證安全信任系統(tǒng)總體框架如圖2 所示。其中，TRCLA是可信根證書(shū)列表管理機(jī)構(gòu)，負(fù)責(zé)簽發(fā)可信根列表并支持不同區(qū)域根平臺(tái)之間的互信。ICA是中間證書(shū)機(jī)構(gòu)，位于根CA與簽發(fā)注冊(cè)證書(shū)及各類(lèi)授權(quán)證書(shū)之間，提供多級(jí)部署和管理。MA 是異常行為管理機(jī)構(gòu)，依據(jù)V2X 設(shè)備上報(bào)的異常行為檢測(cè)報(bào)告，判斷需要撤銷(xiāo)的假名證書(shū)、應(yīng)用證書(shū)和身份證書(shū)。

圖2 區(qū)域身份認(rèn)證安全信任系統(tǒng)框架

ECA 是注冊(cè)證書(shū)機(jī)構(gòu)，負(fù)責(zé)向OBU、RSU 等V2X設(shè)備簽發(fā)注冊(cè)證書(shū)。ACA是應(yīng)用證書(shū)機(jī)構(gòu)，負(fù)責(zé)向OBU 簽發(fā)身份證書(shū)、向RSU 等V2X 設(shè)備簽發(fā)應(yīng)用證書(shū)。PCA是假名證書(shū)機(jī)構(gòu)，負(fù)責(zé)向OBU簽發(fā)假名證書(shū)，OBU使用假名證書(shū)以對(duì)其播發(fā)的主動(dòng)安全消息進(jìn)行數(shù)字簽名。

ARA是應(yīng)用證書(shū)注冊(cè)機(jī)構(gòu)，負(fù)責(zé)受理應(yīng)用/身份證書(shū)的申請(qǐng)。PRA 是假名證書(shū)注冊(cè)機(jī)構(gòu)。LA 是鏈接機(jī)構(gòu)，實(shí)現(xiàn)鏈接值供應(yīng)功能，包括個(gè)體鏈接值和組鏈接值。DCM是設(shè)備配置管理，身份認(rèn)證授權(quán)管理的實(shí)現(xiàn)方式之一，是被V2X 設(shè)備和CA 證書(shū)機(jī)構(gòu)信任的設(shè)備，預(yù)置了安全憑證。

MRA 是MA 的一個(gè)前置技術(shù)子系統(tǒng)，通常合在假名證書(shū)注冊(cè)機(jī)構(gòu)中。DC是分發(fā)中心，負(fù)責(zé)發(fā)布可信證書(shū)列表所需的技術(shù)組件。CPOC是發(fā)布可信證書(shū)列表所需要的技術(shù)組件。基于區(qū)域根平臺(tái)進(jìn)行身份認(rèn)證集成應(yīng)用的主要流程如圖3所示。

圖3 身份證書(shū)集成應(yīng)用流程

其中，設(shè)備管理系統(tǒng)負(fù)責(zé)維護(hù)V2X 設(shè)備的設(shè)備信息。TSP 是遠(yuǎn)程服務(wù)提供者，如路側(cè)設(shè)備運(yùn)營(yíng)機(jī)構(gòu)的遠(yuǎn)程設(shè)備管理服務(wù)等，負(fù)責(zé)維護(hù)車(chē)輛/路邊站點(diǎn)與V2X設(shè)備的信息。設(shè)備配置工具默認(rèn)為主機(jī)廠設(shè)備配置工具、診斷儀或RSU 管理界面，也可為V2X設(shè)備廠商的配置工具。

主要流程如下[9]：

①建設(shè)區(qū)域根平臺(tái)系統(tǒng)，并入根至指定國(guó)家行業(yè)根CA系統(tǒng)；

②V2X 設(shè)備廠商基于設(shè)備管理系統(tǒng)，從V2X 設(shè)備內(nèi)導(dǎo)出初始安全憑證，并將設(shè)備信息和初始安全憑證同步至TSP；

③區(qū)域平臺(tái)將初始配置文件提交給TSP 平臺(tái)，由設(shè)備配置工具將初始配置文件放至V2X設(shè)備內(nèi)指定目錄；

④TSP 將設(shè)備信息和初始安全憑證、證書(shū)模板ID、可選的站點(diǎn)信息等，同步至V2X設(shè)備管理模塊；

⑤V2X 設(shè)備使用初始安全憑證，向設(shè)備管理模塊申請(qǐng)EC，驗(yàn)證初始安全憑證有效性后簽發(fā)注冊(cè)證書(shū)；

⑥V2X基于安全協(xié)議棧，進(jìn)行證書(shū)的簽名、驗(yàn)簽調(diào)用。

此外，針對(duì)特殊應(yīng)用場(chǎng)景，如車(chē)輛充電等進(jìn)行流程調(diào)整，可以設(shè)置二次集成應(yīng)用。

5 若干廣義安全問(wèn)題

為保障自動(dòng)駕駛車(chē)輛安全運(yùn)行，除上述基于身份認(rèn)證的安全信任系統(tǒng)外，還面臨著其他廣義安全問(wèn)題需要研究破解，包括安全事故責(zé)任認(rèn)定劃分、事故稽查處置，基于安全視角的道路系統(tǒng)設(shè)置與通行規(guī)則等。目前，這些基礎(chǔ)性的安全問(wèn)題仍急需研究破解[4-6]。

當(dāng)前，在安全事故責(zé)任認(rèn)定劃分方面，仍存在交大爭(zhēng)議。在2021 年3 月發(fā)布的《深圳經(jīng)濟(jì)特區(qū)智能網(wǎng)聯(lián)汽車(chē)管理?xiàng)l例（征求意見(jiàn)稿）》中，將其粗略地劃分為有人無(wú)人駕駛兩種狀態(tài)，無(wú)人駕駛時(shí)又劃分為控制人責(zé)任與所有人責(zé)任。

在通行規(guī)則方面，適應(yīng)自動(dòng)駕駛的行駛速度、超車(chē)變道、載物載客、車(chē)輛停放、道路限行等也需要適應(yīng)新技術(shù)發(fā)展和新法規(guī)的要求[7]。

在道路系統(tǒng)設(shè)置方面，除新增通信、感知、計(jì)算等規(guī)定設(shè)施外，道路基本形態(tài)，如標(biāo)志標(biāo)線、通行信號(hào)、路面劃分等也將面臨技術(shù)和法規(guī)的雙重挑戰(zhàn)[8]。

在事故稽查方面，由于自動(dòng)駕駛車(chē)輛由高精度的人工智能加以操縱控制，是否違反交通法規(guī)，在目前的交通警察及卡口、電子警察等技術(shù)手段下不容易進(jìn)行辨別?，F(xiàn)有卡口、電子警察等各類(lèi)路側(cè)設(shè)備需要重構(gòu)，并需結(jié)合車(chē)載設(shè)備、監(jiān)管平臺(tái)等的記錄數(shù)據(jù)綜合智能稽查。

6 結(jié)語(yǔ)

安全問(wèn)題是自動(dòng)駕駛落地推廣的最大挑戰(zhàn)之一。確保自動(dòng)駕駛車(chē)輛安全運(yùn)行需要多維度共同支撐。在安全通信方面，基于身份認(rèn)證的信任系統(tǒng)能構(gòu)建自動(dòng)駕駛場(chǎng)景下的身份認(rèn)證和安全信任體系，助推各類(lèi)場(chǎng)景下的關(guān)鍵設(shè)備身份認(rèn)證與數(shù)據(jù)保護(hù)，助推實(shí)現(xiàn)跨車(chē)型、跨設(shè)施、跨企業(yè)互聯(lián)互認(rèn)互通，增強(qiáng)智能網(wǎng)聯(lián)交通運(yùn)行的安全保障。

此外，安全事故責(zé)任認(rèn)定劃分、事故稽查處置，道路系統(tǒng)設(shè)置與通行規(guī)則等領(lǐng)域也需要加快研究，以更好地支撐自動(dòng)駕駛車(chē)輛的安全運(yùn)行。