前言:今年9月8日,工业和信息化部公布了车联网身份认证和安全信任试点项目名单,发布了《车联网身份认证和安全信任试点技术指南(1.0)》,旨在通过试点工作全面提升车联网产业的信息安全建设,包括“车与云安全通信”“车与车安全通信”“车与路安全通信”“车与设备安全通信”四大方向。试点指南的发布,围绕着车联网安全,势必将带来新一波的技术及创新应用升级。
(一)车联网安全发展需求
2018年12月,中央经济工作会议首次提出“新基建”这一概念。在“新基建”中的5G、人工智能、区块链、物联网等技术成为构建智慧交通设施的重要内容。车联网作为智慧交通的核心技术,承载着推进交通运输网、信息网和新能源网融合发展的关键使命。时至今日,在我国加快推进“交通强国”与“新基建”等顶层设计的作用下,车联网标准体系已经初步建立,产业链初具雏形,相关企业具有较高技术实力,已具备大规模部署及产业化的条件。
与此同时,随着《数据安全法》和《个人信息保护法》的出台,车联网网络安全和数据安全问题也逐渐受到重视。当前车联网就像早期的互联网,网络安全和数据安全手段仍处于探索起步阶段。一方面,车联网系统缺乏适宜的安全认证手段。另一方面,车联网系统缺乏适宜的数据保护手段。车联网行业必须未雨绸缪,提前建立一套有效的信息安全防护机制。
车联网系统不但要求低时延的信息交互能力,还需要高可靠的信息安全防护水平。首先,车联网系统的开放性存在大量的攻击面,恶意车辆或路边设施可通过发送虚假数据或篡改接收到的数据来干扰车联网系统,从而导致网络瘫痪、数据泄露甚至影响人身安全。其次,由于车联网会收集摄像头图像、视频剪辑、生物特征数据、车辆位置、行驶速度和日期、车主或乘客数据、导航历史记录等个人敏感信息,数据活动目前又缺乏管控和审计手段,因此存在个人隐私信息泄露的风险。再次,智能网联汽车还会收集周围的场景和重要地理信息数据,如果关键地理信息泄露的话,还会威胁国家安全。
(二)车联网系统安全风险分析
车联网系统整体包含云、管、边、端四个方面,系统架构如图1所示。下面章节将从车载终端、路侧设备、网络通信、云控平台等方面论述车联网系统面临的安全风险。
图1 车联网系统分层架构图
(1)车载终端风险
V2X车载终端具备多种接口,实现与云端、路侧、车内进行通信,除了具备导航功能还为车辆无人驾驶提供众多道路信息,接收云端控制指令。所以车载终端也是黑客攻击的重要节点。
设备安全风险包含:系统漏洞暴露风险、固件逆向风险、OTA升级风险、应用软件风险以及数据泄露风险等。黑客可通过控制设备生成或发送错误的V2X消息或者警告,从而误导周边的车辆作出错误的判断,导致交通事故的发生。另外车载终端在物理上会有多个访问接口,攻击者可能通过访问接口近场进行入侵,植入恶意代码,控制车载终端的行为。
(2)路侧设备风险
V2X路侧设备终端是车路协同运行的重要核心节点,可通过有线接口连接信号灯等基础交通设备以及云控平台。黑客可通过这些接口对路侧设备发起攻击,影响交通安全。
路侧设备安全风险包括:终端环境风险、系统漏洞风险、OTA升级风险、非法接入风险。
(3)网络通信安全风险
C-V2X场景下的网络通信主要通过将Uu接口和PC5接口相互结合,彼此互相支撑,保证通信的可靠性。
a)蜂窝通信网络安全风险
由于无线环境中的外部不可控因素引发的安全风险,针对蜂窝网络面临的主要风险包括:信息窃听和篡改、信令重放、伪基站等风险;
黑客可通过伪基站干扰无线信号,让终端通信降级,连接至不安全的2G/3G/4G网络中。可通过仿冒合法终端身份接入系统占用网络资源,伪造业务数据,影响系统运行。
黑客可通过中间人攻击方式窃听传输中的网络数据,获取用户隐私信息,造成信息泄露。
黑客可通过篡改或重放网络传输中的数据造成资源耗尽、业务中断,甚至造成重大网络交通事故。
b)PC5直连通信接口安全风险
PC5直连通信作为车路协同场景下车-车通信和车-路通信的主要通信方式,在专用频段上通过直连、广播、网络调度的形式实现低时延、高容量、高可靠的通信。同样面临着隐私泄露、信息窃取、信息篡改等安全风险。
黑客可利用PC5通信接口广播和开放性,入侵合法的终端或者伪造终端发送虚假恶意信息造成网络阻塞,影响车联网业务正常运行。
黑客可通过PC5接口窃听业务信息,获取用户位置等个人隐私信息,造成隐私泄露。
c)5G网络切片安全风险
随着5G技术的快速发展在车联网安全领域的落地应用,5G网能够分成不同的网络切片,可以细分适用于车联网的不同应用场景,通过网络切片管理为每一个业务组织形成一个虚拟化的专用网络。潜在的安全风险点集中体现在:切片中共享的通用网络接口、管理接口、切片之间的接口、切片的选择与管理。这些接口存在被非法调用的风险,一旦非法的攻击者通过这些接口访问业务功能服务器,滥用网络设备,非法获取包括用户标识在内的隐私数据,给用户标识安全性、数据机密性与完性、网络功能可用性带来影响。
(4)V2X云控平台安全
云控平台集成了地理信息服务和通信服务,为车辆、个人车主、道路信息提供了强大的功能,包括车辆道路救援、导航、智能交通管控等,大部分的车联网云控平台放在了使用公有云平台的服务器上,也面临与传统云平台同样的安全威胁。同时,云控平台与多接入边缘计算单元(MEC)、车载终端(OBU)实时通信,面临着形式各异的攻击威胁。所以车联网云控平台比传统云服务平台面临更多的攻击面,遭到的攻击危害也更严重,如暴利破解、拒绝服务、信息泄露、SQL注入等网络安全风险。
(三)车联网安全防护策略
(1)通过基于PKI的车联网通信安全身份认证机制实现设备间的安全认证和安全通信
采用基于公钥基础设施(PKI)的安全系统所提供的数字证书并应用数字签名技术,可以防止非法身份车辆发送虚假、伪造消息。基于数字证书技术可以对消息的真实性进行保护;使用基于非对称加密体系的数字证书和数字签名技术可以对抗针对直连端口传送消息的伪造、篡改和重放等攻击。如图2,基于PKI认证的车联网设备安全通信系统示意图。
图2 基于PKI认证的车联网设备安全通信系统示意图
(2)通过假名证书和加密算法保护用户的隐私
为避免泄露车辆行驶轨迹,车辆在发送车辆安全信息(BSM)消息时使用假名证书(PC)提供数字签名的保护,并利用密码技术隐藏车载终端(OBU)或车辆的身份信息,以保护用户的隐私。为了进一步确保假名证书注册机构无法关联用户身份信息,可由认证授权机构(AAA)完成相应的认证与授权操作,V2X设备通过认证授权机构(AAA)签发的授权凭证(如:令牌等)向假名证书机构(PCA)申请假名证书(PC)。假名证书机构(PCA)还会向车载终端(OBU)签发多个有效期相同的假名证书;车载终端(OBU)依据假名证书(PC)使用策略,定期更换用于消息签名的证书。
(3)通过异常行为检测和证书撤销机制确保车联网应用安全
构建异常行为终端管理机制,设置异常行为管理机构(MA)用于接收车辆异常行为报告并进行过滤、分类分级、关联分析,最终判定所采取的解决措施。对于危害性较大的车辆将其证书添加到证书撤销列表,撤销该设备参与V2X通信的凭证,限制其造成进一步危害的能力。
(4)建立与汽车电子标识相关联的车联网设备身份标识体系实现车辆管理
车辆管理是公安交通管理的重要组成部分,而其中开展机动车登记、检验合格标志核发,协同有关部门监督机动车安全技术检验是其重点工作内容。车联网设备身份标识应具备唯一、不易篡改/伪造、方便公安部门进行管理和识读等特征,以满足公安交通管理工作实际需求。
而汽车电子标识是由国家公安部制定并予以推广,用于全国车辆真实身份识别的系统。该系统由公安部交通管理局统一标准,统一推行,统一管理,与汽车车辆号牌并存,并且法律效力等同于车辆号牌,是汽车的电子身份证,具备防伪、防篡改、防拆、识读速度快、可多标签同时读写等特性。
建立与汽车电子标识相关联的车联网设备身份标识体系不仅方便公安部门实现对V2X车辆的智能管理,还可以借助汽车电子标识辅助完成对车辆身份的认证,简化V2X车辆/设备厂商的出厂初始化配置。
传统的V2X设备授权认证方式实现了对V2X设备的认证,但未与车辆尤其是车主形成关联关系。而借助汽车电子标识可实现V2X设备、车辆、车主的绑定,更有利于实现对车辆及责任人的管理。比如:当检测到异常行为车辆,车联网V2X安全认证体系只能锁定V2X设备,可能无法确定该设备用在哪台车上,也无法联系到车主,而当车联网设备身份标识体系与汽车电子标识形成了关联,管理部门可以方便的联系到车主,追究其责任或者通知其对设备进行维护。
(5)建立对车联网系统组成单元的安全检测
安全检测综合运用安全分析、模拟环境搭建、检测评估技术等手段针对车联网终端(TBOX\RSU\GW\MEC等)、网络通信、OTA、APP、云端平台等开展车联网安全的检测。
a)车联网终端检测:硬件检测、系统安全、第三方库、应用安全、固件检测、代码检测试、恶意代码防护、内存防护、存储安全等;
b)网络通信测试:对通信协议、传输加密、设备识别等进行安全检测;
c)OTA检测:数据包加密、完整性校验等
d)APP检测:反调试保护、防逆向、 越狱检测、非法应用安装防护等
e)云端平台检测:跨站脚本、SQL注入、指令注入、越权访问、日志安全、主机安全、抗DDOS等。
(四)边缘区块链在车联网的应用前景
区块链(BC)集分布式存储、点对点传输、共识机制、智能合约、加密算法等技术为一体,具备分布式、数据防篡改、可追溯、柔性监管等特点,是一种在数据协作场景下建立多方互信的分布式账本技术。区块链自诞生起就与基础设施这个概念紧密关联,能够作为车联网的底层数字基础设施,对车联网数据进行共识计算、冗余存储和可信验证,以此保障车联网系统的一致性、可用性和安全性。区块链通过共识机制在车联网设备之间建立信任基础,实现点对点的数据传递;通过智能合约实现链上数据真实性验证和审计,加强车联网应用和数据安全管理;通过安全硬件(HSM等)来确保数据可信上链,对链上链下交通数据进行交叉核验,进一步提升车联网的服务质量;通过激励机制来优化车联网中数据质量和资源调度,从而促进汽车行业数据开放与数据协作。
区块链技术可以为车联网行业提供身份认证和信任机制,基于数字身份管理,可为车联网系统带来“元素”级别的可信唯一身份标识,就像是为人体的细胞进行标定一样,将设备的全生命周期信息存储在分布式账本上,并在链上完成证书申请、证书颁发、签名验签、证书吊销等流程的关键信息记录,实现车辆生产、车辆登记、产权管理、车主身份认证、车联网设备认证等环节可控可追溯。基于可信身份认证和安全机制的基础上,车联网系统可融合多源传感设备的采集信息,对交通环境进行实时更新,给自动驾驶车辆提供更加准确和实时的信息。而且驾驶员可以不用担心个人隐私的问题,因为区块链可通过结合隐私增强协议,可在车辆发送数据时提供匿名性和不可追踪性,保护交通参与者的隐私。在此之上,可信的身份认证和安全隐私,也将为脱敏后的车联网大数据的二次利用提供了法律和道德的基础。
(五)综述
本文通过介绍车联网发展至今面临的身份认证和安全信任方面的问题和诉求,分别讲述了“人-车-路-网-云”链路之间的安全隐患,提出了通过传统的集中式CA认证和隐私保护机制策略来保障车联网安全,最后讨论了边缘区块链技术在车联网的应用前景。车联网作为“新基建”里面融合了5G、人工智能、大数据、区块链等前沿技术的新兴产业,在中国乃至世界规模庞大的数智化建设需求中,前途无限,未来一片蓝海。
作者简介
吴冬升,博士,高新兴科技集团股份有限公司高级副总裁,国家级企业技术中心(高新兴)副主任,对5G、车联网、物联网、大数据、人工智能、数字化转型、智慧城市有深刻洞察。获得2020年吴文俊人工智能科学技术奖二等奖。
郑廷钊,高新兴科技集团股份有限公司智能网联事业部副总经理,主要研究方向为5G、车联网、物联网、人工智能、数字化转型、智慧城市等。
※本文刊于a&s《安全&自动化》CHINA版249期电子杂志