楊文山，陳 驍

（格爾軟件股份有限公司，上海 200272）

0 引 言

從19 世紀末到現(xiàn)在，汽車行業(yè)經(jīng)歷了一百多年的發(fā)展與革新。近年來，隨著IT 技術(shù)的迅猛發(fā)展，汽車逐漸進入網(wǎng)聯(lián)化和智能化的新時代。智能網(wǎng)聯(lián)汽車深度融合了汽車、電子、信息通信、道路交通運輸?shù)刃袠I(yè)，成為汽車行業(yè)和先進制造行業(yè)創(chuàng)新發(fā)展的熱點和焦點。根據(jù)IDC 發(fā)布的《全球智能網(wǎng)聯(lián)汽車預(yù)測報告》，2019 年全球智能網(wǎng)聯(lián)汽車出貨量達到5 110 萬輛，預(yù)計未來5 年全球智能網(wǎng)聯(lián)汽車的年出貨量復(fù)合增長率為16.8%。智能網(wǎng)聯(lián)汽車搭載先進的控制器、執(zhí)行器和高級的傳感器，通過融合現(xiàn)代通信技術(shù)，可以實現(xiàn)車車、車路、車人、車云以及車內(nèi)部等途徑的信息交換共享，并具備智能決策、協(xié)同控制、輔助駕駛等眾多功能。而由智能網(wǎng)聯(lián)汽車、智能路測設(shè)施、智能終端和云平臺所組成的網(wǎng)絡(luò)就是車聯(lián)網(wǎng)?！盎ヂ?lián)網(wǎng)+”概念的提出，使得車聯(lián)網(wǎng)迅速成為汽車領(lǐng)域的發(fā)展熱點。

隨著以智能網(wǎng)聯(lián)汽車為中心的車聯(lián)網(wǎng)行業(yè)的蓬勃發(fā)展，汽車便捷性與安全性的矛盾也日益凸顯，車聯(lián)網(wǎng)的攻擊面在不斷擴大，汽車安全受到了前所未有的威脅。這種威脅不僅會給車主帶來生命財產(chǎn)損失，還會給社會和國家?guī)砭薮蟮陌踩[患。

2016 年底，工信部委托車載信息服務(wù)產(chǎn)業(yè)應(yīng)用聯(lián)盟網(wǎng)絡(luò)安全委員會對我國自主及在華外資車企、終端、零部件廠商等展開調(diào)研。結(jié)果顯示，國內(nèi)整車廠基本沒有設(shè)立專門的信息安全管理機構(gòu)，現(xiàn)有汽車遠程服務(wù)提供商（Telematics Service Provider，TSP）在服務(wù)平臺信息安全建設(shè)方面較為初級且缺乏系統(tǒng)性解決方案，對關(guān)鍵零部件的安全規(guī)劃和整體安全設(shè)計不夠完善，車主隱私數(shù)據(jù)防護和安全管理手段缺失，存在嚴重的安全風(fēng)險。整體看來，國內(nèi)大部分智能網(wǎng)聯(lián)汽車尚未充分考慮到車聯(lián)網(wǎng)所存在的安全隱患，缺乏全面的信息安全防護措施。

近年來，隨著人們對車聯(lián)網(wǎng)安全重視度的不斷提高，國內(nèi)外各類車聯(lián)網(wǎng)安全標準、規(guī)范和法規(guī)先后發(fā)布，各大學(xué)校、企業(yè)和學(xué)術(shù)研究機構(gòu)針對各類車聯(lián)網(wǎng)威脅都紛紛提出了各自的防護技術(shù)和解決方案，而在這些應(yīng)對措施中，密碼技術(shù)扮演著至關(guān)重要的作用。

密碼技術(shù)是保證通信與數(shù)據(jù)安全的重要技術(shù)。利用密碼可以可靠地識別認證通信雙方的身份，保證數(shù)據(jù)在通信、存儲和使用中的準確性、機密性、完整性和可追溯性。當前，車聯(lián)網(wǎng)領(lǐng)域大都使用國外的密碼算法或者自己設(shè)計的算法，不但缺乏對國密算法的支持，而且在密碼安全協(xié)議等的使用上也存在許多漏洞。這使得我國的車聯(lián)網(wǎng)信息安全不能達到真正的可靠和自主可控，從而給汽車安全埋下了隱患。

本文在分析國內(nèi)車聯(lián)網(wǎng)安全現(xiàn)狀的基礎(chǔ)上，研究了基于國密算法的車聯(lián)網(wǎng)安全信任體系，提出了一種基于汽車與萬物互聯(lián)（Vehicle-to-Everything，V2X）證書的車聯(lián)網(wǎng)互信互任安全實現(xiàn)方案。

1 國內(nèi)研究現(xiàn)狀

在現(xiàn)代通信技術(shù)和現(xiàn)代密碼技術(shù)的雙重推動下，車聯(lián)網(wǎng)安全認證領(lǐng)域逐漸成為業(yè)界和學(xué)術(shù)界研究的熱點，各種學(xué)術(shù)成果層出不窮。

文獻[1]闡述了車聯(lián)網(wǎng)安全架構(gòu)各層級所面臨的各種安全隱患，針對其中的主要隱患總結(jié)了國內(nèi)外入侵檢測的研究情況，分析了入侵檢測關(guān)鍵技術(shù)，提出了今后的研究思路和方向。文獻[2]以大數(shù)據(jù)為時代背景，研究了車聯(lián)網(wǎng)加密認證體系架構(gòu)，較為系統(tǒng)地闡述了車聯(lián)網(wǎng)安全架構(gòu)及相關(guān)通信模塊的認證加密方式，并將新提出的架構(gòu)與現(xiàn)有標準進行對比分析，詳細論證了車聯(lián)網(wǎng)加密認證的關(guān)鍵技術(shù)與創(chuàng)新點，最后提出了相關(guān)領(lǐng)域所面臨的挑戰(zhàn)。文獻[3]研究了基于國產(chǎn)商用密碼車聯(lián)網(wǎng)身份認證技術(shù)，該技術(shù)可以確保車聯(lián)網(wǎng)中各主體之間在建立連接前確定彼此的身份，并在此基礎(chǔ)上進行安全通信，實現(xiàn)了國內(nèi)合規(guī)、國際領(lǐng)先、自主可控。文獻[4]重點聚焦車聯(lián)網(wǎng)的內(nèi)容分發(fā)安全問題，現(xiàn)有協(xié)議多數(shù)存在前向安全性和匿名性脆弱的特點，有些還存在主密鑰泄露的風(fēng)險。為了解決這些問題，該文獻使用哈希函數(shù)和橢圓曲線密碼設(shè)計了一種認證密鑰協(xié)商協(xié)議，該協(xié)議能更好地適應(yīng)車聯(lián)網(wǎng)環(huán)境，在滿足密鑰協(xié)商安全性的同時具有更強的前向安全性和匿名性，并能在低成本的情況下抵抗多數(shù)互聯(lián)網(wǎng)攻擊。

現(xiàn)在汽車正逐漸突破單車智能的束縛，大步邁向了V2X 的新時代。而新時代車聯(lián)網(wǎng)安全就從基于V2X 證書的認證加密開始，目前這一領(lǐng)域已擁有諸多學(xué)術(shù)成果。文獻[5]詳細描述了車聯(lián)網(wǎng)的特點以及V2X 的通信模型，研究了V2X協(xié)議中的安全需求，討論了近年來各種V2X 協(xié)議的優(yōu)缺點，并指出了該類協(xié)議未來的發(fā)展方向。文獻[6]著重分析了專用短程通信（Dedicated Short Range Communication，DSRC）和基于蜂窩的V2X（Cellular-V2X，C-V2X）的技術(shù)特點，總結(jié)了國內(nèi)外相關(guān)技術(shù)標準、政策法規(guī)和產(chǎn)業(yè)化現(xiàn)狀，最后提出了對未來V2X 發(fā)展趨勢的看法。文獻[7]認為C-V2X 是5G 的重要應(yīng)用，能夠為汽車和交通等重要產(chǎn)業(yè)發(fā)展提供重要助力，隨后深入分析了相關(guān)產(chǎn)業(yè)的發(fā)展趨勢、運維模式和關(guān)鍵技術(shù)，指出了將要面臨的挑戰(zhàn)，并對相關(guān)產(chǎn)業(yè)的發(fā)展融合提供了建議。文獻[8]更是在大量調(diào)研的基礎(chǔ)上，分析了當前車聯(lián)網(wǎng)的技術(shù)發(fā)展瓶頸，指出了一些尚待解決的關(guān)鍵性技術(shù)問題，并為5G-V2X 核心技術(shù)提供了演進路徑建議。在世界智能網(wǎng)聯(lián)汽車發(fā)展趨勢的指引下，為汽車產(chǎn)業(yè)全面互聯(lián)網(wǎng)化和數(shù)字化提供理論基礎(chǔ)和支持。

然而，國內(nèi)在基于V2X 證書的車聯(lián)網(wǎng)安全互信互任等方面尚缺乏深入的學(xué)術(shù)研究和有效的解決方案，本文將就這一領(lǐng)域進行深入探討和研究。

2 車聯(lián)網(wǎng)安全互信必要性

汽車接入互聯(lián)網(wǎng)后，將變得更加智能，也給用戶帶來更好的駕乘體驗。同時，將車輛和TSP 之間建立連接，可以實現(xiàn)安全監(jiān)測、遠程故障診斷以及方便快捷的空中升級等多種功能，時刻保障汽車的行駛安全。同時通過更加開放的車內(nèi)通信、車車通信、車人通信、車路通信、車和基礎(chǔ)設(shè)施通信等方式，智能網(wǎng)聯(lián)汽車將極大地增加汽車上路行駛中信息的交互，無論從目前狀態(tài)還是未來發(fā)展上看，智能網(wǎng)聯(lián)汽車能夠給用戶帶來更加良好的駕乘體驗。

但是，將汽車接入互聯(lián)網(wǎng)后，在給用戶帶來良好體驗的同時，也將互聯(lián)網(wǎng)的安全風(fēng)險引入汽車網(wǎng)絡(luò)中。例如，攻擊者可以通過互聯(lián)網(wǎng)入侵汽車網(wǎng)絡(luò)，遠程操控車輛，威脅車主的人身及財產(chǎn)安全；也可通過非法途徑獲取車主身份權(quán)限，從而獲取到車主隱私數(shù)據(jù)；還有可能通過車身攝像頭等傳感設(shè)備對我國敏感地理信息、軍事設(shè)施等進行非法測繪，威脅國家安全。因此，在車聯(lián)網(wǎng)通信過程中采取相應(yīng)的安全措施尤為重要。

為了應(yīng)對智能網(wǎng)聯(lián)汽車在跨企業(yè)的車車、車路等協(xié)同通信場景中由于網(wǎng)絡(luò)信任體系缺失引發(fā)的信息安全問題，需要建立基于V2X 車路協(xié)同通信場景的V2X 安全證書管理系統(tǒng)，構(gòu)建統(tǒng)一的車、路、云、端身份認證體系，保障智能路測設(shè)施、云平臺、智能終端與不同企業(yè)的車輛在通信過程中的安全互信。

本文提出了一種V2X 安全證書管理系統(tǒng)和相應(yīng)的互信體系架構(gòu)，可以實現(xiàn)V2X 通信中的身份認證、安全傳輸，以及數(shù)據(jù)的完整性、有效性等安全特性，解決當前車與車、車與路邊單元、車與云、車與人通信的安全隱患，為智能網(wǎng)聯(lián)汽車應(yīng)用發(fā)展建立一個安全的網(wǎng)絡(luò)運行環(huán)境。

通過建設(shè)數(shù)字證書管理體系，可以有效解決車聯(lián)網(wǎng)通信中無法保障用戶的真實身份、數(shù)據(jù)傳輸受到網(wǎng)絡(luò)安全威脅、賬號管理困難等一系列問題。通過為車聯(lián)網(wǎng)設(shè)備、移動設(shè)備等簽發(fā)證書，加強通信方面的身份安全，實現(xiàn)證書自助服務(wù)與安全認證，鏈路加密等功能。

3 V2X 安全證書管理系統(tǒng)

基于車聯(lián)網(wǎng)安全互信的需求，本文詳細討論了V2X 安全證書管理系統(tǒng)架構(gòu)及其互信互任體系框架。

3.1 V2X 證書

V2X 設(shè)備采用數(shù)字簽名技術(shù)保證消息的完整性。發(fā)送方對V2X 消息進行簽名，接收方對收到的V2X 消息進行驗簽，對消息進行完整性和抗重放攻擊保護。

為確保消息發(fā)送方真實可信，V2X 安全證書管理系統(tǒng)基于標準的IEEE 1609.2 證書格式為V2X 設(shè)備簽發(fā)證書，統(tǒng)稱“V2X 數(shù)字證書”，簡稱“V2X 證書”，包括根證書、注冊證書、假名證書等。

3.2 系統(tǒng)架構(gòu)

搭建V2X 安全證書管理系統(tǒng)，可為車載單元和路側(cè)單元提供安全標識和證書服務(wù)，實現(xiàn)V2X 通信的身份認證、安全傳輸、數(shù)據(jù)完整性、抗抵賴等安全功能，解決V2X 應(yīng)用場景車與路邊單元、車與云通信的安全隱患。V2X 證書管理系統(tǒng)架構(gòu)如圖1 所示。

該證書管理系統(tǒng)由汽車與網(wǎng)絡(luò)互聯(lián)（Vehicleto-Network，V2N）、V2X 和智能網(wǎng)聯(lián)汽車平臺等多個模塊組成。V2N 采用已有的公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）證書體系，簽發(fā)V2N 證書與車端建立安全通信。

V2X 模塊包括服務(wù)端和客戶端，服務(wù)端通過安全網(wǎng)關(guān)與V2X 設(shè)備安全組件進行聯(lián)動，建立安全可靠的加密通信鏈路保護。其中根CA（Root Certificate Authority，RCA）、 注 冊CA（Enrolment Certificate Authority，ECA）、假名CA（Pseudonym Certificate Authority，PCA）、設(shè)備配置管理（Device Configuration Manager，DCM）組成服務(wù)端，提供V2X 證書服務(wù)。RCA離線工作，ECA、PCA 和DCM 在線服務(wù)。

V2X 客戶端包括車載單元（OnBoard Unit，OBU）、路側(cè)單元（Road Side Unit，RSU）及其他形態(tài)的實體。OBU 是車輛的V2X 車載中央通信單元。通過控制器域網(wǎng)（Controller Area Network，CAN）總線獲取車輛基本狀態(tài)，借助無線網(wǎng)絡(luò)發(fā)送給周圍的車輛、行人和道路，并上傳到智能網(wǎng)聯(lián)汽車的云計算中心，實現(xiàn)信息的分發(fā)共享。此外，OBU 負責車輛收發(fā)數(shù)據(jù)包，實現(xiàn)V2X 交互，為人、車、路、云的協(xié)同管理提供支撐。OBU 向云平臺A 申請和更新注冊證書，以及申請假名證書。

RSU 是路網(wǎng)建設(shè)的基本單元和主要部署設(shè)備。接入到云平臺B 的RSU Server，經(jīng)Https 協(xié)議連接，可以實現(xiàn)向RSU 簽發(fā)和更新注冊證書，以及簽發(fā)假名證書，收集路側(cè)基礎(chǔ)設(shè)施的數(shù)據(jù)。RSU 沿交通路網(wǎng)設(shè)置，安裝在交通熱點地區(qū)、交叉路口或者高危險地區(qū)，通過采集特定地點的車流量，分析不同擁堵路段的信息。RSU 采用DSRC 技術(shù)，與OBU 進行通信，對車輛和駕駛員提供提示和建議，從而實現(xiàn)道路資源的動態(tài)管控。

簽名驗簽服務(wù)器、車隊管理系統(tǒng)（Fleet Management System，F(xiàn)MS）、實時動態(tài)（Real-Time Kinematic，RTK）業(yè)務(wù)系統(tǒng)等組成了V2X 安全證書管理系統(tǒng)的智能網(wǎng)聯(lián)汽車平臺，是智能網(wǎng)聯(lián)汽車服務(wù)體系的核心。

FMS 通過將定位系統(tǒng)、車載記錄與遠程數(shù)據(jù)服務(wù)相結(jié)合，為企業(yè)商用運輸車隊提供管理服務(wù)。車隊管理系統(tǒng)能夠?qū)ぷ鬈囕v所在位置、油耗情況、行駛里程、車輛運行及故障狀態(tài)進行準確和有效的實時監(jiān)控，助力企業(yè)強化車輛管理并提高盈利能力。

RTK 業(yè)務(wù)系統(tǒng)采用載波相位差分技術(shù)實現(xiàn)高精度定位。智能網(wǎng)聯(lián)汽車借助RTK 業(yè)務(wù)實現(xiàn)精確定位，可以實現(xiàn)安全駕駛、精準泊車等操作。

3.3 互信互任體系框架

在車聯(lián)網(wǎng)系統(tǒng)中，可能會有多個獨立的PKI系統(tǒng)為車聯(lián)網(wǎng)設(shè)備提供證書服務(wù)，每個PKI 的服務(wù)范圍稱為一個認證域。跨認證域認證是指位于一個認證域中的車聯(lián)網(wǎng)設(shè)備，能夠認證由其他認證域簽發(fā)給該域車聯(lián)網(wǎng)設(shè)備的證書。本方案提出了一種面向車聯(lián)網(wǎng)身份認證系統(tǒng)的互信互任體系構(gòu)想，車聯(lián)網(wǎng)PKI 系統(tǒng)統(tǒng)一接入工信部安全信任根管理平臺，由工信部統(tǒng)籌管理車聯(lián)網(wǎng)行業(yè)各信任域PKI 體系的根證書，依附于工信部的權(quán)威性實現(xiàn)區(qū)域內(nèi)對全國范圍內(nèi)跨信任域的互信互任。

跨安全域認證框架如圖2 所示，為實現(xiàn)跨域認證，一個認證域中的設(shè)備需要獲取另一個認證域簽發(fā)的證書認證機構(gòu)（Certificate Authority，CA）證書或證書鏈。本文將一個認證域提供給另一個認證域的用于互信操作的頂級CA 證書作為可信根證書（Trusted Root Certificate）。該頂級CA 證書可以是該認證域的自簽名的根CA 證書，也可以是該認證域的非自簽名的子CA 證書。在跨域認證框架的基礎(chǔ)上可得到PKI 互信架構(gòu)，如圖3 所示。

PKI 互信架構(gòu)的功能實體如下文所述。

（1）可信根證書列表管理機構(gòu)（Trusted Root Certificate List Authority，TRCLA）。負責簽發(fā)可信根證書列表。

（2）可信根證書列表（Trusted Root Certificate List，TRCL）。由可信的PKI 系統(tǒng)的根證書、可信的PKI 系統(tǒng)的可信域CA 證書列表下載地址、保護可信根證書列表的安全機制構(gòu)成。保護可信根證書列表的安全機制為數(shù)字簽名技術(shù)。

（3）可信證書管理功能（Trusted Certificate Management Function，TCMF）。在一個PKI 系統(tǒng)內(nèi)負責與可信根證書列表管理機構(gòu)交互，向可信根證書列表管理機構(gòu)提供本PKI 系統(tǒng)與互信操作相關(guān)的數(shù)據(jù)，從可信根證書列表管理機構(gòu)獲取實現(xiàn)PKI 互信所需要的數(shù)據(jù)和向本PKI 系統(tǒng)內(nèi)的車聯(lián)網(wǎng)設(shè)備提供實現(xiàn)PKI 互信所需要的數(shù)據(jù)。

4 結(jié) 語

隨著汽車智能化和網(wǎng)聯(lián)化進程的不斷推進，車聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展迅速，成為智慧交通、智慧城市的重要組成部分。車聯(lián)網(wǎng)作為信息化與工業(yè)化深度融合的重要領(lǐng)域，不斷促進汽車、交通、信息通信產(chǎn)業(yè)的融合和升級。隨著車聯(lián)網(wǎng)的不斷發(fā)展，相關(guān)安全事件層出不窮，導(dǎo)致個人隱私信息和國家敏感地理信息泄露，造成巨大經(jīng)濟損失，威脅行駛安全和公共安全。因此，加強車聯(lián)網(wǎng)安全防護刻不容緩。

在車聯(lián)網(wǎng)技術(shù)和現(xiàn)代信息安全技術(shù)迅速發(fā)展的大背景下，本文探討和研究了基于V2X 的車聯(lián)網(wǎng)安全證書管理系統(tǒng)框架以及互信互任體系架構(gòu)。該認證體系可統(tǒng)一車載單元、路側(cè)設(shè)備、云平臺應(yīng)用和服務(wù)的身份管理，解決V2X 信息交互中雙方的身份問題，確保車聯(lián)網(wǎng)各個實體之間信息傳遞的機密性、完整性。同時該體系也為車聯(lián)網(wǎng)各個獨立PKI之間的安全互信提供了解決思路。

“互聯(lián)網(wǎng)+智能網(wǎng)聯(lián)汽車”大潮已來，車聯(lián)網(wǎng)安全必將成為安全產(chǎn)業(yè)和車聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的重點領(lǐng)域。構(gòu)建車聯(lián)網(wǎng)安全認證、安全信任體系，建立全鏈條的綜合立體防御體系是車聯(lián)網(wǎng)未來發(fā)展的必然趨勢。相關(guān)體系的提出、驗證、示范和推廣，將是今后產(chǎn)業(yè)界和學(xué)術(shù)界的主要研究方向。