LTE-V2X安全技術(shù)白皮書

1、LTE-V2X安全技術(shù)白皮書目錄概述LTE-V2X車聯(lián)網(wǎng)系統(tǒng)安全風(fēng)險(xiǎn)LTE-V2X車聯(lián)網(wǎng)系統(tǒng)安全需求LTE-V2X車聯(lián)網(wǎng)系統(tǒng)安全架構(gòu)及機(jī)制總結(jié)與展望主要貢獻(xiàn)單位P1P2P6P8P21P22 IMT-2020(5G)推進(jìn)組于2013年2月由中國(guó)工業(yè)和信息化部、國(guó)家發(fā)展和改革委員會(huì)、科學(xué)技術(shù)部聯(lián)合推動(dòng)成立，組織架構(gòu)基于原IMT-Advanced推進(jìn)組，成員包括中國(guó)主要的運(yùn)營(yíng)商、制造商、高校和研究機(jī)構(gòu)。推進(jìn)組是聚合中國(guó)產(chǎn)學(xué)研用力量、推動(dòng)中國(guó)第五代移動(dòng)通信技術(shù)研究和開(kāi)展國(guó)際交流與合作的主要平臺(tái)。1概述1C -V2X 是基于蜂窩（C el lu l ar ）通信演進(jìn)形成的車用無(wú)線通信技術(shù)（Vehi cl

2、 e t o Everything,V2X）技術(shù)，可提供Uu接口（蜂窩通信接口）和PC5接口（直連通信接口）。基于LTE網(wǎng)絡(luò)的V2X通信技術(shù)作為C-V2X現(xiàn)階段主要解決方案,引起了國(guó)內(nèi)外政府、汽車、芯 片、電子設(shè)備及網(wǎng)絡(luò)設(shè)備、交通管理、電信運(yùn)營(yíng)、業(yè)務(wù)服務(wù)以及學(xué)術(shù)界等各行業(yè)的廣泛關(guān)注,得到了全球運(yùn)營(yíng)商、汽車廠商的普遍支持。LTE-V2X車聯(lián)網(wǎng)系統(tǒng)的組成架構(gòu)、通信場(chǎng)景對(duì)系統(tǒng)安全保障、用戶隱私保護(hù)等方面提出了新的需 求與挑戰(zhàn)。本白皮書在安全風(fēng)險(xiǎn)分析的基礎(chǔ)上，深入研究LTE-V2X車聯(lián)網(wǎng)系統(tǒng)信息安全需求及機(jī)制， 同時(shí)結(jié)合我國(guó)實(shí)際情況，試驗(yàn)性提出車聯(lián)網(wǎng)安全基礎(chǔ)設(shè)施部署方案，為我國(guó)LTE-V2X商用系統(tǒng)實(shí)

3、際部 署以及LTE-V2X車聯(lián)網(wǎng)業(yè)務(wù)數(shù)據(jù)安全和用戶隱私保護(hù)方案提供參考。在未經(jīng)保護(hù)的情況下，非法終端可以假冒合法終端的身份接入運(yùn)營(yíng)商的蜂窩網(wǎng)絡(luò)，占用網(wǎng)絡(luò)資源，獲取網(wǎng)絡(luò)服務(wù)。同時(shí)，假冒合法終端身份，發(fā)送偽造的網(wǎng)絡(luò)信令或業(yè)務(wù)數(shù)據(jù)信息,影響系統(tǒng)的正常運(yùn)行。攻擊者部署虛假的LTE網(wǎng)絡(luò)基站并通過(guò)發(fā)射較強(qiáng)的無(wú)線信號(hào)吸引終端選擇并接入，造成網(wǎng)絡(luò)數(shù)據(jù)2LTE-V2X車聯(lián)網(wǎng)系統(tǒng)安全風(fēng)險(xiǎn)2LTE-V2X車聯(lián)網(wǎng)系統(tǒng)包含云、管、端幾大方面，系統(tǒng)架構(gòu)如圖2-1所示。本節(jié)從網(wǎng)絡(luò)通信、業(yè)務(wù) 應(yīng)用、車載終端、路側(cè)設(shè)備等方面論述LTE-V2X車聯(lián)網(wǎng)系統(tǒng)面臨的安全風(fēng)險(xiǎn)。圖2-1LTE-V2X車聯(lián)網(wǎng)系統(tǒng)示意圖網(wǎng)絡(luò)通信蜂窩通信接口蜂

4、窩通信接口場(chǎng)景下，LTE-V2X車聯(lián)網(wǎng)系統(tǒng)繼承了傳統(tǒng)LTE網(wǎng)絡(luò)系統(tǒng)面臨的安全風(fēng)險(xiǎn)，主要有假 冒終端、偽基站、信令/數(shù)據(jù)竊聽(tīng)、信令/數(shù)據(jù)篡改/重放等。承了“云、管、端”模式現(xiàn)有的安全風(fēng)險(xiǎn)，包括假冒用戶、假冒業(yè)務(wù)服務(wù)器、非授權(quán)訪問(wèn)、數(shù)據(jù)安全等。在未經(jīng)認(rèn)證的情況下，攻擊者可以假冒車聯(lián)網(wǎng)合法用戶身份接入業(yè)務(wù)服務(wù)器，獲取業(yè)務(wù)服務(wù)；非法業(yè)務(wù)提供商可以假冒車聯(lián)網(wǎng)合法業(yè)務(wù)提供商身份部署虛假業(yè)務(wù)服務(wù)器，騙取終端用戶登錄，獲得用戶信息。在未經(jīng)訪問(wèn)控制的情況下，非法用戶可以隨意訪問(wèn)系統(tǒng)業(yè)務(wù)數(shù)據(jù)，調(diào)用系統(tǒng)業(yè)務(wù)功能，使系統(tǒng)面臨著信息泄露及功能濫用的風(fēng)險(xiǎn)。業(yè)務(wù)數(shù)據(jù)在傳輸、存儲(chǔ)、處理等過(guò)程中面臨著篡改、泄露等安3連接中斷，

5、直接危害車聯(lián)網(wǎng)業(yè)務(wù)安全。利用LTE-Uu接口的開(kāi)放性以及網(wǎng)絡(luò)傳輸鏈路上的漏洞，攻擊者可以竊聽(tīng)車聯(lián)網(wǎng)終端與網(wǎng)絡(luò)間未 經(jīng)保護(hù)直接傳輸?shù)木W(wǎng)絡(luò)信令/業(yè)務(wù)數(shù)據(jù)，獲取有價(jià)值的用戶信息，例如短消息、車輛標(biāo)識(shí)、狀態(tài)、位置等，造成用戶隱私泄露；攻擊者可以發(fā)起中間人攻擊，篡改車聯(lián)網(wǎng)終端與網(wǎng)絡(luò)間未保護(hù)直接傳輸?shù)木W(wǎng)絡(luò)信令/業(yè)務(wù)數(shù)據(jù)，或者重新發(fā)送過(guò)期的網(wǎng)絡(luò)信令/業(yè)務(wù)數(shù)據(jù)，導(dǎo)致網(wǎng)絡(luò)服務(wù)中斷或者業(yè)務(wù)數(shù)據(jù)錯(cuò)誤， 出現(xiàn)異常的行為及結(jié)果，危害LTE-V2X車聯(lián)網(wǎng)業(yè)務(wù)安全。直連通信接口不論是基站集中式調(diào)度模式（Mode 3）還是終端分布式調(diào)度模式（Mode 4），直連傳輸?shù)挠脩魯?shù)據(jù)均在專用頻段上通過(guò)PC5接口廣播發(fā)送，因此短距離直

6、連通信場(chǎng)景下LTE-V2X車聯(lián)網(wǎng)系統(tǒng)在用戶 面面臨著虛假信息、假冒終端、信息篡改/重放、隱私泄露等安全風(fēng)險(xiǎn)。利用PC5無(wú)線接口的開(kāi)放性，攻擊者可以通過(guò)合法的終端及用戶身份接入系統(tǒng)并且對(duì)外惡意發(fā)布虛假信息；攻擊者可以利用非法終端假冒合法車聯(lián)網(wǎng)終端身份，接入直連通信系統(tǒng)，并發(fā)送偽造的業(yè)務(wù)信息；攻擊者可以篡改或者重放合法用戶發(fā)送的業(yè)務(wù)信息，這些都將影響車聯(lián)網(wǎng)業(yè)務(wù)的正常運(yùn)行， 嚴(yán)重危害周邊車輛及行人的道路交通安全。此外，利用PC5無(wú)線接口的開(kāi)放性，攻擊者可以監(jiān)聽(tīng)獲取廣播發(fā)送的用戶標(biāo)識(shí)、位置等敏感信息，進(jìn)而造成用戶身份、位置等隱私信息泄露。嚴(yán)重時(shí)，用戶車輛可能被非法跟蹤，直接威脅著用戶的人身安全。除了用

7、戶面數(shù)據(jù)交互，Mode 3模式下車聯(lián)網(wǎng)終端及UE型路側(cè)設(shè)備還需接收LTE eNB基站下發(fā)的無(wú)線資源調(diào)度指令。因此，在Mode 3模式下V2X系統(tǒng)同樣面臨著：偽基站、信令竊聽(tīng)、信令篡改/重放等安全風(fēng)險(xiǎn)。業(yè)務(wù)應(yīng)用LTE-V2X業(yè)務(wù)應(yīng)用包括基于云平臺(tái)的業(yè)務(wù)應(yīng)用以及基于PC5/V5接口的直連通信業(yè)務(wù)應(yīng)用?；谠破脚_(tái)的應(yīng)用以蜂窩通信為基礎(chǔ)，在流程、機(jī)制等方面與移動(dòng)互聯(lián)網(wǎng)通信模式相同，自然繼不安全升級(jí)風(fēng)險(xiǎn)：黑客可能引導(dǎo)系統(tǒng)加載未授權(quán)代碼并執(zhí)行，達(dá)到篡改系統(tǒng)、植入后門、關(guān)閉安全功能等目的。權(quán)限濫用風(fēng)險(xiǎn)：應(yīng)用軟件可能獲得敏感系統(tǒng)資源并實(shí)施惡意行為（如GPS跟蹤，后臺(tái)錄音等）， 給行車安全和用戶信息保護(hù)帶來(lái)了很

8、大的安全隱患。系統(tǒng)漏洞暴露風(fēng)險(xiǎn)：如果系統(tǒng)版本升級(jí)不及時(shí)，已知漏洞未及時(shí)修復(fù)，黑客可能通過(guò)已有的漏洞4全風(fēng)險(xiǎn)。直連通信應(yīng)用以網(wǎng)絡(luò)層PC5廣播通道為基礎(chǔ)，在應(yīng)用層通過(guò)V5接口實(shí)現(xiàn)，該場(chǎng)景下主要面臨著假冒用戶、消息篡改/偽造/重放、隱私泄露、消息風(fēng)暴等安全風(fēng)險(xiǎn)。利用PC5/V5無(wú)線接口的開(kāi)放性， 攻擊者可以假冒合法用戶身份發(fā)布虛假的、偽造的業(yè)務(wù)信息，篡改、重放真實(shí)業(yè)務(wù)信息，造成業(yè)務(wù)信息失真，嚴(yán)重影響車聯(lián)網(wǎng)業(yè)務(wù)安全；同時(shí)，攻擊者可以在V5接口上竊聽(tīng)傳輸?shù)臉I(yè)務(wù)信息，獲取用戶身份、位置、業(yè)務(wù)參數(shù)等敏感數(shù)據(jù)，造成用戶隱私泄露；此外，攻擊者還可通過(guò)大量發(fā)送垃圾信息的方式形成消息風(fēng)暴，使終端處理資源耗盡，導(dǎo)致業(yè)

9、務(wù)服務(wù)中斷。車載終端車載終端承載了大量功能，除了傳統(tǒng)的導(dǎo)航能力，近年來(lái)更是集成了移動(dòng)辦公、車輛控制、輔助駕駛等功能。功能的高度集成也使得車載終端更容易成為黑客攻擊的目標(biāo)，造成信息泄露，車輛失控等重大安全問(wèn)題。因此車載終端面臨著比傳統(tǒng)終端更大的安全風(fēng)險(xiǎn)。1、接口層面安全風(fēng)險(xiǎn)車載終端可能存在多個(gè)物理訪問(wèn)接口，在車輛的供應(yīng)鏈、銷售運(yùn)輸、維修維護(hù)等環(huán)節(jié)中，攻擊者可能通過(guò)暴露的物理訪問(wèn)接口植入有問(wèn)題的硬件或升級(jí)有惡意的程序，對(duì)車載終端進(jìn)行入侵和控制。另外，車載終端通常有多個(gè)無(wú)線連接訪問(wèn)接口，攻擊者可以通過(guò)無(wú)線接入方式對(duì)車載終端進(jìn)行欺騙、入侵和控制。如通過(guò)衛(wèi)星或基站定位信號(hào)、雷達(dá)信號(hào)進(jìn)行欺騙，無(wú)鑰匙進(jìn)入系

10、統(tǒng)入侵等。2、設(shè)備層面安全風(fēng)險(xiǎn)訪問(wèn)控制風(fēng)險(xiǎn)：當(dāng)車載終端內(nèi)、車載終端與其它車載系統(tǒng)間缺乏適當(dāng)?shù)脑L問(wèn)控制和隔離措施時(shí)， 會(huì)使車輛整體安全性降低。固件逆向風(fēng)險(xiǎn)：攻擊者可能通過(guò)調(diào)試口提取系統(tǒng)固件進(jìn)行逆向分析。設(shè)備的硬件結(jié)構(gòu)、調(diào)試引腳、Wi-Fi系統(tǒng)、串口通信、MCU（Microcontroller Unit）固件、CAN總線數(shù)據(jù)、T-BOX指紋特征等均可能被逆向分析，進(jìn)而利用分析結(jié)果對(duì)終端系統(tǒng)進(jìn)行進(jìn)一步攻擊。等自然原因?qū)е抡{(diào)試端口或通信接口暴露或者部署位置變動(dòng)，降低了路側(cè)設(shè)備物理安全防御能力，使破壞和控制成為可能。5利用代碼或者工具能夠?qū)K端系統(tǒng)進(jìn)行攻擊。例如，黑客可能利用漏洞提權(quán)或關(guān)閉安全功能，發(fā)送

11、大量偽造的數(shù)據(jù)包，對(duì)車載終端進(jìn)行拒絕服務(wù)攻擊。應(yīng)用軟件風(fēng)險(xiǎn)：車載終端上軟件很多來(lái)自外部，可能缺少良好的編碼規(guī)范，存在安全漏洞。不安全的軟件一旦安裝到設(shè)備上，很容易被黑客控制。數(shù)據(jù)篡改和泄露風(fēng)險(xiǎn)：關(guān)鍵系統(tǒng)服務(wù)和應(yīng)用內(nèi)的數(shù)據(jù)對(duì)輔助駕駛和用戶對(duì)車況判斷非常關(guān)鍵。數(shù)據(jù)被篡改可能導(dǎo)致導(dǎo)航位置錯(cuò)誤、行車路徑錯(cuò)誤、車附屬傳感內(nèi)容錯(cuò)誤，車載應(yīng)用的相關(guān)內(nèi)容不正確。內(nèi)容數(shù)據(jù)的泄露同樣會(huì)造成諸多安全問(wèn)題和隱患。路側(cè)設(shè)備路側(cè)設(shè)備是LTE-V2X車聯(lián)網(wǎng)系統(tǒng)的核心單元，它的安全關(guān)系到車輛、行人和道路交通的整體安 全。它所面臨的主要安全風(fēng)險(xiǎn)如下：1、非法接入：RSU通常通過(guò)有線接口與交通基礎(chǔ)設(shè)施及業(yè)務(wù)云平臺(tái)交互。黑客可以利

12、用這些接口接入RSU設(shè)備，非法訪問(wèn)設(shè)備資源并對(duì)其進(jìn)行操作和控制，從而造成覆蓋區(qū)域內(nèi)交通信息混亂。攻擊者甚至還能通過(guò)被入侵或篡改的路側(cè)設(shè)備發(fā)起反向攻擊，入侵整個(gè)交通專用網(wǎng)絡(luò)及應(yīng)用系統(tǒng)，在更大范圍內(nèi)危害整個(gè)系統(tǒng)的安全。2、運(yùn)行環(huán)境風(fēng)險(xiǎn)：與車載終端類似，RSU中也會(huì)駐留和運(yùn)行多種應(yīng)用、提供多種服務(wù)，也會(huì)出現(xiàn)敏感操作和數(shù)據(jù)被篡改、被偽造和被非法調(diào)用的風(fēng)險(xiǎn)。3、設(shè)備漏洞：路側(cè)設(shè)備及其附件（智能交通攝像頭等終端）可能存在安全漏洞，導(dǎo)致路側(cè)設(shè)備被遠(yuǎn)程控制、入侵或篡改。4、遠(yuǎn)程升級(jí)風(fēng)險(xiǎn)：通過(guò)非法的遠(yuǎn)程固件升級(jí)可以修改系統(tǒng)的關(guān)鍵代碼，破壞系統(tǒng)的完整性。黑客可通過(guò)加載未授權(quán)的代碼并執(zhí)行來(lái)篡改系統(tǒng)、關(guān)閉安全功能，導(dǎo)

13、致路側(cè)設(shè)備被遠(yuǎn)程控制、入侵或篡改。5、部署維護(hù)風(fēng)險(xiǎn)：路側(cè)設(shè)備固定在部署位置后，可能由于部署人員的失誤，或交通事故、風(fēng)、雨支持?jǐn)?shù)據(jù)源的認(rèn)證，保證數(shù)據(jù)源頭的合法性，防止假冒終端或偽造的數(shù)據(jù)信息；應(yīng)支持對(duì)消息的完整性及抗重放保護(hù)，防止消息被篡改、重放；根據(jù)需要可支持消息的機(jī)密性，保證消息在傳輸時(shí)不被竊聽(tīng)，防止用戶私密信息泄露；應(yīng)支持對(duì)終端真實(shí)身份標(biāo)識(shí)及位置信息的隱藏，防止用戶隱私泄露。6LTE-V2X車聯(lián)網(wǎng)系統(tǒng)安全需求本節(jié)從網(wǎng)絡(luò)通信、業(yè)務(wù)應(yīng)用、車載終端和路側(cè)設(shè)備三個(gè)方面討論LTE-V2X車聯(lián)網(wǎng)系統(tǒng)安全需求。網(wǎng)絡(luò)通信LTE-V2X網(wǎng)絡(luò)通信安全包含蜂窩通信接口通信安全和直連通信接口通信安全，在系統(tǒng)設(shè)計(jì)時(shí)

14、應(yīng)滿 足如下安全需求：蜂窩通信接入過(guò)程中，終端與服務(wù)網(wǎng)絡(luò)之間應(yīng)支持雙向認(rèn)證，確認(rèn)對(duì)方身份的合法性；蜂窩通信過(guò)程中，終端與服務(wù)網(wǎng)絡(luò)應(yīng)對(duì)LTE網(wǎng)絡(luò)信令支持加密、完整性以及抗重放保護(hù)，對(duì)用戶數(shù)據(jù)支持加密保護(hù)，確保傳輸過(guò)程信息中不被竊聽(tīng)、偽造、篡改、重放；直連通信過(guò)程中，系統(tǒng)應(yīng)支持對(duì)消息來(lái)源的認(rèn)證，保證消息的合法性；支持對(duì)消息的完整性及抗重放保護(hù)，確保消息在傳輸時(shí)不被偽造、篡改、重放；應(yīng)根據(jù)需要支持對(duì)消息的機(jī)密性保護(hù)，確保消息在傳輸時(shí)不被竊聽(tīng)，防止用戶敏感信息泄露；直連通信過(guò)程中，系統(tǒng)應(yīng)支持對(duì)真實(shí)身份標(biāo)識(shí)及位置信息的隱藏，防止用戶隱私泄露。業(yè)務(wù)應(yīng)用基于云平臺(tái)的業(yè)務(wù)應(yīng)用與移動(dòng)互聯(lián)網(wǎng)“云、管、端”的業(yè)務(wù)交

15、互模式相同，故其安全需求與現(xiàn)有網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用層安全需求基本一致，需確保業(yè)務(wù)接入者及服務(wù)者身份的真實(shí)性、業(yè)務(wù)內(nèi)容訪問(wèn)的合法性、數(shù)據(jù)存儲(chǔ)、傳輸?shù)臋C(jī)密性及完整性，平臺(tái)操作維護(hù)管理的有效性，并做好日志審計(jì)確?？勺匪菪??；谥边B通信的業(yè)務(wù)應(yīng)用具有新的特點(diǎn)，需要滿足傳輸帶寬、處理實(shí)時(shí)性等各方面要求，由此要求安全附加信息盡量精簡(jiǎn)，運(yùn)算處理時(shí)間盡量壓縮，以滿足車聯(lián)網(wǎng)業(yè)務(wù)快速響應(yīng)的特點(diǎn)。在業(yè)務(wù)消息的傳輸過(guò)程中，系統(tǒng)還應(yīng)：7車載終端和路側(cè)設(shè)備車載終端和UE型RSU具有很多共同的安全需求，其內(nèi)容涉及到硬件設(shè)計(jì)、系統(tǒng)權(quán)限管理、運(yùn)行環(huán) 境安全、資源安全管理等方面，主要安全需求如下：車載終端和UE型路側(cè)設(shè)備應(yīng)注意有線和無(wú)線

16、接口的安全防護(hù)。設(shè)備應(yīng)具有完備的接入用戶權(quán)限管理體系，對(duì)登錄用戶做可信驗(yàn)證并且合理分配用戶權(quán)限，根據(jù)不同用戶權(quán)限進(jìn)行不同操作處理。另外，關(guān)鍵芯片的型號(hào)及具體管腳功能，敏感數(shù)據(jù)的通信線路應(yīng)盡量隱蔽。車載終端和UE型路側(cè)設(shè)備應(yīng)具備對(duì)敏感數(shù)據(jù)的存儲(chǔ)和運(yùn)算進(jìn)行隔離的能力。車載終端和UE型路側(cè)設(shè)備應(yīng)支持系統(tǒng)啟動(dòng)驗(yàn)證功能，固件升級(jí)驗(yàn)證功能，程序更新和完整性驗(yàn)證功能以及環(huán)境自檢功能，確保基礎(chǔ)運(yùn)行環(huán)境的安全。車載終端和UE型路側(cè)設(shè)備應(yīng)支持訪問(wèn)控制和權(quán)限管理功能，確保系統(tǒng)接口、應(yīng)用程序、數(shù)據(jù)不被越權(quán)訪問(wèn)和調(diào)用。車載終端和UE型路側(cè)設(shè)備應(yīng)具有安全信息采集能力和基于云端的安全管理能力。設(shè)備可通過(guò)安全信息采集與分析發(fā)

17、現(xiàn)漏洞與潛在威脅，同時(shí)上報(bào)云端，由云端平臺(tái)修補(bǔ)相應(yīng)漏洞，并通知其他終端防止威脅擴(kuò)散。車載終端和UE型路側(cè)設(shè)備應(yīng)具有入侵檢測(cè)和防御能力。設(shè)備可通過(guò)分析車內(nèi)應(yīng)用的特點(diǎn)制定檢測(cè)和防御規(guī)則，檢測(cè)和隔離惡意消息。對(duì)于可能的惡意消息，可進(jìn)一步上報(bào)給云端平臺(tái)進(jìn)行分析和處理。除了上述共同的安全需求外，UE型RSU還應(yīng)支持物理安全防護(hù)能力、防拆卸或拆卸報(bào)警能力、部 署位置變動(dòng)的報(bào)警能力等。eNB型RSU形態(tài)與eNB類似，應(yīng)參考現(xiàn)有eNB設(shè)備安全技術(shù)要求及安全防護(hù) 要求進(jìn)行安全保護(hù)。IMT-2020 (5G)推進(jìn)組LTE-V2X安全技術(shù)白皮書IMT-2020 (5G)推進(jìn)組基于AI的智能切片管理和協(xié)同白皮書LTE

18、-V2X車聯(lián)網(wǎng)系統(tǒng)安全架構(gòu)及機(jī)制本節(jié)介紹蜂窩通信場(chǎng)景和直連通信場(chǎng)景下LTE-V2X車聯(lián)網(wǎng)系統(tǒng)安全架構(gòu)，隨后介紹各部分的安全 機(jī)制。系統(tǒng)安全架構(gòu)蜂窩通信場(chǎng)景系統(tǒng)安全架構(gòu)為了支持基于LTE-Uu接口的車聯(lián)網(wǎng)業(yè)務(wù)需求，3GPP標(biāo)準(zhǔn)組織參照鄰近通信業(yè)務(wù)的系統(tǒng)方案在現(xiàn) 有LTE網(wǎng)絡(luò)的基礎(chǔ)之上引入了V2X控制功能網(wǎng)元，對(duì)車聯(lián)網(wǎng)終端及業(yè)務(wù)進(jìn)行管控，并對(duì)上層業(yè)務(wù)提供方提供服務(wù)支撐，滿足業(yè)務(wù)需要。在此網(wǎng)絡(luò)架構(gòu)下，LTE-V2X車聯(lián)網(wǎng)系統(tǒng)安全架構(gòu)如圖4-1所示。為 了清晰，此處以車載終端為例表示終端設(shè)備，除此之外它還可以是UE型RSU或者行人便攜終端。注：漫游場(chǎng)景下，V2X控制功能可作為Proxy位于服務(wù)網(wǎng)絡(luò)。圖

19、4-1LTE-V2X蜂窩通信場(chǎng)景系統(tǒng)安全架構(gòu)示意圖蜂窩通信場(chǎng)景下，LTE-V2X車聯(lián)網(wǎng)系統(tǒng)安全架構(gòu)包含如下八個(gè)安全域： 1、網(wǎng)絡(luò)接入安全：車聯(lián)網(wǎng)終端接入到LTE網(wǎng)絡(luò)的信令及數(shù)據(jù)安全，如（1）所示，包括接入層安全和非接入層安全。8IMT-2020 (5G)推進(jìn)組LTE-V2X安全技術(shù)白皮書IMT-2020 (5G)推進(jìn)組基于AI的智能切片管理和協(xié)同白皮書2、網(wǎng)絡(luò)域安全：LTE系統(tǒng)網(wǎng)元之間信令及數(shù)據(jù)交互的安全，如（2）所示，包括LTE接入網(wǎng)與服務(wù)網(wǎng)絡(luò)之間，服務(wù)網(wǎng)絡(luò)與歸屬網(wǎng)絡(luò)之間的安全交互。3、認(rèn)證及密鑰管理：車聯(lián)網(wǎng)終端與LTE網(wǎng)絡(luò)的接入認(rèn)證以及密鑰管理，如（3）所示。4、車聯(lián)業(yè)務(wù)接入安全：車聯(lián)網(wǎng)終

20、端與V2X控制功能之間的安全，如（4）所示。5、車聯(lián)業(yè)務(wù)能力開(kāi)放安全：V2X控制功能與LTE-V2X業(yè)務(wù)提供方之間的安全，如（5）所示。6、網(wǎng)絡(luò)安全能力開(kāi)放：LTE系統(tǒng)向應(yīng)用層開(kāi)放網(wǎng)絡(luò)層安全能力，提供雙向身份認(rèn)證及密鑰協(xié)商服務(wù)，如（6）所示。7、應(yīng)用層安全：車聯(lián)網(wǎng)終端應(yīng)用和LTE-V2X業(yè)務(wù)提供方之間在應(yīng)用層提供的數(shù)據(jù)通信安全和用 戶隱私安全，如（7）所示。直連通信場(chǎng)景系統(tǒng)安全架構(gòu)直連通信場(chǎng)景下LTE-V2X車聯(lián)網(wǎng)系統(tǒng)安全架構(gòu)如圖4-2所示。其中RSU設(shè)備可以通過(guò)有線接口與交通信號(hào)控制系統(tǒng)及業(yè)務(wù)云平臺(tái)交互。圖4-2LTE-V2X直連通信場(chǎng)景系統(tǒng)安全架構(gòu)示意圖直連通信場(chǎng)景下，LTE-V2X車聯(lián)網(wǎng)

21、系統(tǒng)安全架構(gòu)包含如下四個(gè)安全域： 1、網(wǎng)絡(luò)層安全：車聯(lián)網(wǎng)終端在網(wǎng)絡(luò)層提供的數(shù)據(jù)通信安全和用戶隱私安全，如（1）所示。2、安全能力支撐：網(wǎng)絡(luò)層向應(yīng)用層提供的安全能力支撐，保護(hù)用戶隱私信息，如（2）所示。9和終端數(shù)據(jù)傳輸安全。UICC配置傳輸安全的基本機(jī)制如下。終端部署應(yīng)用后，UICC上保存的配置參數(shù)可能需要更新以 反映系統(tǒng)配置的更改。這時(shí)可采用UICC OTA機(jī)制對(duì)更新的配置數(shù)據(jù)進(jìn)行傳輸保護(hù)。103、應(yīng)用層安全：車聯(lián)網(wǎng)終端在應(yīng)用層提供的數(shù)據(jù)通信安全和用戶隱私安全，如（3）所示。4、外部網(wǎng)絡(luò)域安全：RSU設(shè)備與其他網(wǎng)絡(luò)域設(shè)備之間的接入及數(shù)據(jù)交互安全，如（4）所示，是LTE-V2X車聯(lián)網(wǎng)與其他系統(tǒng)之

22、間的安全邊界。網(wǎng)絡(luò)層安全機(jī)制蜂窩通信場(chǎng)景對(duì)應(yīng)于圖4-1，LTE-V2X車聯(lián)網(wǎng)系統(tǒng)在網(wǎng)絡(luò)層包含安全域（1）至（6），負(fù)責(zé)網(wǎng)絡(luò)接入、數(shù)據(jù)傳 輸?shù)陌踩约皩?duì)外的安全能力開(kāi)放。目前所采取的安全機(jī)制如下。1、網(wǎng)絡(luò)接入安全：繼承LTE網(wǎng)絡(luò)現(xiàn)有安全機(jī)制，采用接入層（AS）和非接入層（NAS）兩層安 全體系保障傳輸安全。接入層安全負(fù)責(zé)終端與LTE基站（eNB）之間的安全，包括對(duì)AS層控制面信令 的機(jī)密性和完整性安全保護(hù)，以及對(duì)用戶面數(shù)據(jù)的機(jī)密性安全保護(hù)。非接入層安全負(fù)責(zé)車聯(lián)網(wǎng)終端與LTE核心網(wǎng)移動(dòng)性管理實(shí)體（MME）之間的安全，包括NAS層控制面信令的機(jī)密性和完整性安全保護(hù)。2、網(wǎng)絡(luò)域安全：繼承LTE網(wǎng)絡(luò)現(xiàn)有

23、安全機(jī)制，將網(wǎng)絡(luò)劃分為不同的安全域，使用NDS/IP的方式（IKEIPsec）保護(hù)網(wǎng)絡(luò)域的安全，在網(wǎng)元之間提供雙向身份認(rèn)證、機(jī)密性、完整性和抗重放保護(hù)。它使用NDS/AF定義的機(jī)制實(shí)現(xiàn)證書管理。3、認(rèn)證及密鑰管理：繼承LTE網(wǎng)絡(luò)現(xiàn)有安全機(jī)制，在終端與LTE核心網(wǎng)間基于運(yùn)營(yíng)商安全憑據(jù)（如根密鑰K）實(shí)現(xiàn)EPS-AKA雙向認(rèn)證，保證終端和網(wǎng)絡(luò)身份的合法性。同時(shí)，基于LTE分層密鑰架構(gòu)體系，生成AS層及NAS層會(huì)話密鑰，保證AS層和NAS層的數(shù)據(jù)傳輸安全。終端及核心網(wǎng)從密鑰K衍生出中間密鑰Kasme，再由中間密鑰Kasme衍生出AS層和NAS層的完整性保護(hù)密鑰和加密密鑰，用于對(duì)信令和數(shù)據(jù)的完整性保護(hù)和

24、加密。4、車聯(lián)業(yè)務(wù)接入安全：車聯(lián)網(wǎng)系統(tǒng)新增的安全域，對(duì)于LTE核心網(wǎng)而言屬于應(yīng)用層安全。它在終端與其歸屬網(wǎng)絡(luò)的V2X控制功能之間提供雙向認(rèn)證，對(duì)終端身份提供機(jī)密性保護(hù)；在終端與V2X控制 功能之間對(duì)配置數(shù)據(jù)提供傳輸時(shí)的完整性保護(hù)、機(jī)密性保護(hù)和抗重放保護(hù)。它包括UICC配置傳輸安全3、外部網(wǎng)絡(luò)域安全：采取類似于網(wǎng)絡(luò)域安全的方法來(lái)保護(hù)。在RSU設(shè)備與其他網(wǎng)絡(luò)域設(shè)備之間通過(guò)物理隔離防護(hù)的方法保證傳輸鏈路的物理安全，或者通過(guò)建立IPSec、TLS等安全通信通道的方法， 為跨網(wǎng)絡(luò)域數(shù)據(jù)及信息交互提供雙向認(rèn)證、加密、完整性保護(hù)和抗重放的安全保障。11終端數(shù)據(jù)傳輸安全根據(jù)消息發(fā)起方的不同在機(jī)制流程上有所區(qū)別

25、。對(duì)于終端發(fā)起的消息，可通過(guò)GBA（Generic Bootstrapping Architecture）機(jī)制在終端與V2X控制功能之間進(jìn)行雙向認(rèn)證并協(xié)商會(huì)話密鑰，以此為基礎(chǔ)建立PSK TLS安全連接。對(duì)于網(wǎng)絡(luò)側(cè)發(fā)起的消息，需根據(jù)不同情況進(jìn)行不同處理。如果終端與V2X控制功能之間在先前消息交互時(shí)建立的PSK TLS安全連接仍然存在，則使用已有的PSK TLS會(huì)話完成消息的安全傳輸；否則，需使用GBA Push機(jī)制在終端與V2X控制功能之間進(jìn)行雙向認(rèn)證并協(xié)商會(huì)話密鑰，以此為基礎(chǔ)重新建立PSK TLS安全連接。5、車聯(lián)業(yè)務(wù)能力開(kāi)放安全：車聯(lián)網(wǎng)系統(tǒng)新增的安全域，保證對(duì)上層應(yīng)用提供LTE-V2X業(yè)務(wù)能

26、力 開(kāi)放過(guò)程中的接入及數(shù)據(jù)傳輸安全。它可采取類似于網(wǎng)絡(luò)域安全的方法來(lái)保護(hù)，在不同安全域之間采用IPSec、TLS等安全機(jī)制為業(yè)務(wù)提供雙向認(rèn)證、加密、完整性保護(hù)和抗重放的安全保障。6、網(wǎng)絡(luò)安全能力開(kāi)放：繼承LTE網(wǎng)絡(luò)現(xiàn)有GBA、GBA Push等安全機(jī)制，利用LTE網(wǎng)絡(luò)在終端側(cè)USIM卡以及核心網(wǎng)中已有的密鑰信息對(duì)終端進(jìn)行身份認(rèn)證并且為應(yīng)用層協(xié)商會(huì)話密鑰。LTE-V2X業(yè)務(wù)提供方可利用網(wǎng)絡(luò)層開(kāi)放的安全能力在應(yīng)用層建立安全的通信通道，保證業(yè)務(wù)數(shù)據(jù)傳輸?shù)陌踩档蛯?duì)于應(yīng)用層安全機(jī)制的依賴。直連通信場(chǎng)景對(duì)應(yīng)于圖4-2，LTE-V2X車聯(lián)網(wǎng)系統(tǒng)在網(wǎng)絡(luò)層包含安全域（1）、（2）和（4），負(fù)責(zé)基于PC5接

27、口數(shù)據(jù)傳輸?shù)陌踩约皩?duì)上層應(yīng)用的安全能力支撐。目前所采取安全機(jī)制如下。1、網(wǎng)絡(luò)層安全：根據(jù)3GPP組織的定義，終端在網(wǎng)絡(luò)層不采取任何機(jī)制對(duì)PC5接口上廣播發(fā)送的直連通信數(shù)據(jù)進(jìn)行安全保護(hù)，數(shù)據(jù)的傳輸安全完全在應(yīng)用層V5接口保障。網(wǎng)絡(luò)層僅提供標(biāo)識(shí)更新機(jī)制對(duì)用戶隱私進(jìn)行保護(hù)。終端通過(guò)隨機(jī)動(dòng)態(tài)改變?cè)炊擞脩魧佣?biāo)識(shí)和源IP地址，防止用戶身份標(biāo)識(shí)信息在PC5廣播通信的過(guò)程中遭到泄露，被攻擊者跟蹤。2、安全能力支撐：網(wǎng)絡(luò)層向應(yīng)用層提供安全能力支撐，采取用戶標(biāo)識(shí)跨層同步機(jī)制確保源端用戶層二標(biāo)識(shí)、源IP地址與應(yīng)用層標(biāo)識(shí)同步更新，防止由于網(wǎng)絡(luò)層與應(yīng)用層用戶身份標(biāo)識(shí)更新的不同步， 導(dǎo)致用戶標(biāo)識(shí)關(guān)聯(lián)信息被攻擊者獲取，

28、用戶隱私信息遭到泄露。圖4-3以V2I通信為例給出了典型的V5接口安全通信過(guò)程，具體如下：1、CA證書管理系統(tǒng)以安全的方式向OBU終端頒發(fā)公鑰證書（安全消息證書Co1、Co2、）用于 簽發(fā)PC5/V5直連通信消息，向RSU下發(fā)CA公鑰證書（Cca1、Cca2）用于驗(yàn)證OBU公鑰證書真實(shí)性12應(yīng)用層安全機(jī)制LTE-V2X車聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用安全包含基于云平臺(tái)的和基于直連通信的兩個(gè)部分?；谠破脚_(tái)的LTE-V2X車聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用與傳統(tǒng)移動(dòng)互聯(lián)網(wǎng)應(yīng)用類似，可采取現(xiàn)有安全機(jī)制在軟 硬件、系統(tǒng)等方面做好防護(hù)，同時(shí)可將應(yīng)用層安全機(jī)制（如圖4-1（7）所示）作為蜂窩通信場(chǎng)景的附加安全解決方案，確保業(yè)務(wù)數(shù)據(jù)傳輸時(shí)的安

29、全，這里不再贅述。本節(jié)主要關(guān)注直連通信場(chǎng)景下應(yīng)用層（如圖4-2（3）所示）的安全機(jī)制。直連通信安全為了實(shí)現(xiàn)OBU、RSU等V2X設(shè)備間的安全認(rèn)證和安全通信，LTE-V2X車聯(lián)網(wǎng)系統(tǒng)使用基于公鑰 證書的PKI機(jī)制確保設(shè)備間的安全認(rèn)證和安全通信,采用數(shù)字簽名等技術(shù)手段實(shí)現(xiàn)V2V/V2I/V2P直連 通信安全。密碼算法應(yīng)采用國(guó)家密碼管理局批準(zhǔn)的國(guó)密算法，數(shù)字證書應(yīng)符合國(guó)家標(biāo)準(zhǔn)或者行業(yè)標(biāo)準(zhǔn)的技術(shù)要求。圖4-3安全的直連通信流程圖4-4LTE-V2X安全基礎(chǔ)設(shè)施總體框架13的。為了保護(hù)用戶隱私，CA管理系統(tǒng)可以一次下發(fā)多個(gè)采用假名方式標(biāo)識(shí)的公鑰證書供OBU終端隨機(jī) 使用。2、OBU終端使用公鑰證書（Co

30、）對(duì)應(yīng)的私鑰對(duì)業(yè)務(wù)消息內(nèi)容進(jìn)行數(shù)字簽名，之后將業(yè)務(wù)消息內(nèi) 容、消息簽名值以及所使用的的公鑰證書/證書鏈組建成完整PC5/V5直連通信消息在空口上廣播發(fā) 送。3、接收到PC5/V5直連通信消息后，RSU使用CA公鑰證書（Cca1、Cca2）驗(yàn)證消息中攜帶的OBU公鑰證書或證書鏈，然后利用OBU公鑰證書里的公鑰驗(yàn)證消息簽名，以檢查消息的完整性。4、成功驗(yàn)證OBU公鑰證書（Co）后，RSU可將該證書的Hash值保存在本地，后續(xù)可通過(guò)Hash值驗(yàn)證該證書，從而減少證書驗(yàn)證所需的密碼運(yùn)算開(kāi)銷。CA基礎(chǔ)設(shè)施構(gòu)建為了能夠?qū)跀?shù)字證書的應(yīng)用層安全機(jī)制提供有效支撐，LTE-V2X車聯(lián)網(wǎng)系統(tǒng)需要建立一套完 整的

31、CA管理系統(tǒng)，實(shí)現(xiàn)證書頒發(fā)、證書撤銷、終端安全信息收集、數(shù)據(jù)管理、異常分析等一系列與安全相關(guān)的功能，確保V2X業(yè)務(wù)的安全。系統(tǒng)框架CA管理系統(tǒng)需要管理車載終端設(shè)備、路側(cè)設(shè)備以及包括制造工廠、注冊(cè)機(jī)構(gòu)、授權(quán)機(jī)構(gòu)和服務(wù)機(jī)構(gòu)在內(nèi)的與LTE-V2X車聯(lián)網(wǎng)業(yè)務(wù)相關(guān)的各個(gè)部門，其總體框架圖如圖4-4所示。將缺省的授信注冊(cè)機(jī)構(gòu)和授信授權(quán)機(jī)構(gòu)信息寫入設(shè)備。在設(shè)備的生產(chǎn)過(guò)程中，以下數(shù)據(jù)將在安全的環(huán)境下寫入設(shè)備：設(shè)備的唯一標(biāo)識(shí)；缺省頒發(fā)的注冊(cè)公鑰證書，通過(guò)這些公鑰證書，設(shè)備可以開(kāi)始一個(gè)注冊(cè)過(guò)程；14制造工廠負(fù)責(zé)LTE-V2X車聯(lián)網(wǎng)系統(tǒng)相關(guān)設(shè)備的生產(chǎn)，如車載終端設(shè)備、路側(cè)設(shè)備、后臺(tái)系統(tǒng)所使 用的安全設(shè)備等。注冊(cè)機(jī)構(gòu)

32、負(fù)責(zé)車載設(shè)備及路側(cè)設(shè)備的認(rèn)證，只有經(jīng)過(guò)相關(guān)注冊(cè)機(jī)構(gòu)的認(rèn)證，這些設(shè)備才能在系統(tǒng)中使用。LTE-V2X車聯(lián)網(wǎng)系統(tǒng)中注冊(cè)機(jī)構(gòu)為頒發(fā)注冊(cè)證書的CA。授權(quán)機(jī)構(gòu)負(fù)責(zé)車載設(shè)備及路側(cè)設(shè)備的授權(quán)，只有經(jīng)過(guò)相關(guān)授權(quán)機(jī)構(gòu)的授權(quán)，這些設(shè)備才能在系統(tǒng)中播發(fā)或接收授權(quán)許可的消息。LTE-V2X車聯(lián)網(wǎng)系統(tǒng)中授權(quán)機(jī)構(gòu)為頒發(fā)安全消息證書的安全消息CA 和頒發(fā)服務(wù)消息證書的服務(wù)消息CA。根據(jù)LTE-V2X車聯(lián)網(wǎng)業(yè)務(wù)管理模式的不同，注冊(cè)機(jī)構(gòu)和授權(quán)機(jī)構(gòu)可以是同一個(gè)管理部門負(fù)責(zé)，也 可以由不同的管理部門負(fù)責(zé)?；竟ぷ髁鞒蘈TE-V2X車聯(lián)網(wǎng)CA管理系統(tǒng)的基本工作流程為：1、注冊(cè)機(jī)構(gòu)對(duì)LTE-V2X車聯(lián)網(wǎng)設(shè)備和服務(wù)機(jī)構(gòu)的資格進(jìn)行認(rèn)證，并

33、向通過(guò)認(rèn)證的實(shí)體頒發(fā)注冊(cè)（認(rèn)證）證書；2、LTE-V2X車聯(lián)網(wǎng)設(shè)備利用注冊(cè)證書向授權(quán)機(jī)構(gòu)申請(qǐng)LTE-V2X車聯(lián)網(wǎng)系統(tǒng)的功能授權(quán)；3、授權(quán)機(jī)構(gòu)根據(jù)LTE-V2X車聯(lián)網(wǎng)設(shè)備的認(rèn)證證書向其頒發(fā)授權(quán)證書，授權(quán)證書中描述了該設(shè)備 所能執(zhí)行的功能和安全操作；4、LTE-V2X車聯(lián)網(wǎng)設(shè)備利用授權(quán)證書及其對(duì)應(yīng)的公私鑰對(duì)收發(fā)的消息進(jìn)行簽名、驗(yàn)簽或加解密 等安全操作。各環(huán)節(jié)職責(zé)1、制造廠商制造廠商負(fù)責(zé)LTE-V2X車聯(lián)網(wǎng)系統(tǒng)相關(guān)設(shè)備的生產(chǎn)，如車載終端、路側(cè)設(shè)備、后臺(tái)系統(tǒng)所使用 的安全設(shè)備等。在生產(chǎn)過(guò)程中，設(shè)備的唯一標(biāo)識(shí)將被寫入，該標(biāo)識(shí)在設(shè)備的整個(gè)生命周期內(nèi)是不再改變。在安全的生產(chǎn)環(huán)境下，原始的設(shè)備認(rèn)證和授權(quán)機(jī)制被

34、寫入設(shè)備，后續(xù)可以通過(guò)該認(rèn)證和授權(quán)機(jī)制授權(quán)證書的主要內(nèi)容為：權(quán)限許可描述，以限定設(shè)備可發(fā)送的安全消息類別；權(quán)限及優(yōu)先級(jí)描述，以限定設(shè)備可發(fā)送的服務(wù)消息類別及其優(yōu)先級(jí)；應(yīng)用區(qū)域描述，以限定該設(shè)備的應(yīng)用地理區(qū)域。授權(quán)機(jī)構(gòu)的主要應(yīng)用特點(diǎn)是：15缺省頒發(fā)的授權(quán)公鑰證書，通過(guò)這些公鑰證書，設(shè)備可以同其他設(shè)備進(jìn)行通信；頒發(fā)的證書及其證書鏈（可選）。設(shè)備生產(chǎn)過(guò)程中也可以設(shè)備支持的USIM為信任根，基于LTE網(wǎng)絡(luò)GBA安全機(jī)制實(shí)現(xiàn)設(shè)備的初始配置，以降低初始配置過(guò)程對(duì)制造廠商安全生產(chǎn)環(huán)境的依賴。此時(shí)，需要寫入設(shè)備的原始信息將簡(jiǎn)化為：設(shè)備唯一標(biāo)識(shí)；授信注冊(cè)機(jī)構(gòu)的服務(wù)域名或地址信息。注冊(cè)公鑰證書、授權(quán)公鑰證書等信息

35、可以以安全方式在線申請(qǐng)下載。2、注冊(cè)機(jī)構(gòu)注冊(cè)機(jī)構(gòu)負(fù)責(zé)LTE-V2X車聯(lián)網(wǎng)設(shè)備的認(rèn)證，相關(guān)設(shè)備只有經(jīng)過(guò)注冊(cè)機(jī)構(gòu)的認(rèn)證才能在系統(tǒng)中使 用。注冊(cè)機(jī)構(gòu)首先驗(yàn)證LTE-V2X車聯(lián)網(wǎng)設(shè)備是否合法，然后為合法的設(shè)備頒發(fā)認(rèn)證證書，即注冊(cè)證 書。認(rèn)證證書用于申請(qǐng)終端授權(quán)證書。注冊(cè)證書的主要內(nèi)容為：權(quán)限許可描述，用以限定可被授予的最大權(quán)限；應(yīng)用區(qū)域描述，用以限定可被授予的最大應(yīng)用地理區(qū)域。注冊(cè)機(jī)構(gòu)的主要應(yīng)用特點(diǎn)是：車聯(lián)網(wǎng)設(shè)備可以注冊(cè)到多個(gè)不同的注冊(cè)機(jī)構(gòu)；允許多級(jí)注冊(cè)機(jī)構(gòu)體系，高級(jí)注冊(cè)機(jī)構(gòu)可授權(quán)低級(jí)注冊(cè)機(jī)構(gòu)為車聯(lián)網(wǎng)設(shè)備頒發(fā)證書；注冊(cè)機(jī)構(gòu)可要求車聯(lián)網(wǎng)設(shè)備定期進(jìn)行重注冊(cè)。3、授權(quán)機(jī)構(gòu)授權(quán)機(jī)構(gòu)負(fù)責(zé)LTE-V2X車聯(lián)網(wǎng)設(shè)備

36、的授權(quán)，只有經(jīng)過(guò)相關(guān)授權(quán)機(jī)構(gòu)的授權(quán)，LTE-V2X車聯(lián)網(wǎng)設(shè) 備才能在系統(tǒng)中播發(fā)或接收授權(quán)許可的消息。授權(quán)機(jī)構(gòu)首先驗(yàn)證頒發(fā)給設(shè)備的認(rèn)證證書的有效性，然后為合法的設(shè)備頒發(fā)授權(quán)證書，即安全消息證書或服務(wù)消息證書。圖4-5給出了一種可能的CA部署方案，其采用了單一根CA的方式，各部分功能如下。V2X通信CA：LTE-V2X通信安全的根CA，是LTE-V2X車聯(lián)網(wǎng)通信PKI體系的安全錨點(diǎn)。此CA可向其他V2X安全通信子CA頒發(fā)證書，從而構(gòu)建LTE-V2X車聯(lián)網(wǎng)安全通信CA系統(tǒng)和證書體系。16可接收來(lái)自多個(gè)注冊(cè)機(jī)構(gòu)的注冊(cè)證書，此時(shí)證書的適用范圍為各證書許可的交集；允許多級(jí)授權(quán)機(jī)構(gòu)體系，高級(jí)授權(quán)機(jī)構(gòu)可授權(quán)低

37、級(jí)授權(quán)機(jī)構(gòu)為車聯(lián)網(wǎng)設(shè)備頒發(fā)證書；車聯(lián)網(wǎng)設(shè)備可注冊(cè)至多個(gè)不同的授權(quán)機(jī)構(gòu)；授權(quán)機(jī)構(gòu)可要求車聯(lián)網(wǎng)設(shè)備定期進(jìn)行重授權(quán)?？赡艿牟渴鸱桨窵TE-V2X車聯(lián)網(wǎng)安全基礎(chǔ)設(shè)施是LTE-V2X安全通信的重要組成部分，它的部署模式與車聯(lián)網(wǎng)業(yè)務(wù)及其管理模式緊密相關(guān)。這里以車輛主動(dòng)安全業(yè)務(wù)為例，簡(jiǎn)要介紹車聯(lián)網(wǎng)應(yīng)用于道路安全場(chǎng)景時(shí)可能的CA部署方案。集中式部署方案為了實(shí)現(xiàn)車輛主動(dòng)安全業(yè)務(wù)并保護(hù)用戶隱私，LTE-V2X車聯(lián)網(wǎng)系統(tǒng)需要使用由注冊(cè)CA、V2V假名CA、V2I授權(quán)CA和證書撤銷CA等構(gòu)成的PKI體系。圖4-5集中式安全基礎(chǔ)設(shè)施部署方式圖4-6分布式安全基礎(chǔ)設(shè)施部署方式17注冊(cè)CA：負(fù)責(zé)向符合入網(wǎng)條件的車載終端、路

38、側(cè)設(shè)備和服務(wù)機(jī)構(gòu)等實(shí)體頒發(fā)注冊(cè)證書。這些實(shí)體使用注冊(cè)證書進(jìn)一步向其他授權(quán)CA申請(qǐng)實(shí)現(xiàn)某種安全通信能力的證書。例如向V2V假名CA申 請(qǐng)用于車-車匿名通信的假名證書，向V2I授權(quán)CA申請(qǐng)用于車-路通信的V2I通信證書。V2X假名CA：負(fù)責(zé)向車載終端頒發(fā)用于車-車匿名通信的假名證書。該證書用于簽發(fā)車輛基 本安全信息（Basic Safety Message，BSM），實(shí)現(xiàn)對(duì)用戶車輛標(biāo)識(shí)的匿名保護(hù)。V2I授權(quán)CA：負(fù)責(zé)向車載終端、路側(cè)設(shè)備和服務(wù)機(jī)構(gòu)頒發(fā)用于車輛與路側(cè)設(shè)備進(jìn)行安全通信的證書。例如與紅綠燈等交通基礎(chǔ)設(shè)施相連的路側(cè)設(shè)備使用該證書對(duì)其播發(fā)的消息進(jìn)行簽名，或者警車等特種車輛對(duì)其播發(fā)的消息進(jìn)行簽

39、名。證書撤銷CA：負(fù)責(zé)簽發(fā)各種證書的證書撤銷列表。集中式部署方案需要部署統(tǒng)一的CA體系結(jié)構(gòu)，所有的子CA都在同一個(gè)根CA下管理。根CA可由車聯(lián)網(wǎng)管理責(zé)任部門負(fù)責(zé)運(yùn)營(yíng)維護(hù)。這種部署方式適用于對(duì)LTE-V2X車聯(lián)網(wǎng)有明確主管責(zé)任部門進(jìn)行 統(tǒng)一管理的場(chǎng)景。集中式部署的優(yōu)點(diǎn)是所有的證書由統(tǒng)一的根CA管理，管理比較簡(jiǎn)單，缺點(diǎn)是不能重用現(xiàn)有的CA系統(tǒng)，需要重新建立新的CA體系。4.3.3.1 分布式部署方案針對(duì)車輛主動(dòng)安全業(yè)務(wù)，圖4-6給出了另一種可能的CA部署方案，其通過(guò)CA之間的交叉認(rèn)證實(shí)現(xiàn) 可信的PKI體系。Execution Environment，可信執(zhí)行環(huán)境）/SE（Secure Elemen

40、t，安全單元）中進(jìn)行密碼運(yùn)算及敏感操作。安全啟動(dòng)和安全升級(jí)機(jī)制：采用對(duì)軟件包進(jìn)行數(shù)字簽名的技術(shù)，通過(guò)校驗(yàn)系統(tǒng)和應(yīng)用軟件的數(shù)字簽名確定軟件包是否合法，從而保證系統(tǒng)只能引導(dǎo)合法的系統(tǒng)和應(yīng)用。18分布式部署方案不需要有共同的根CA，不同的業(yè)務(wù)可以設(shè)置不同的根CA，但需要在不同的根CA 之間建立互信關(guān)系。這種部署方式適用于多部門共同對(duì)LTE-V2X車聯(lián)網(wǎng)進(jìn)行管理和維護(hù)的場(chǎng)景。這種 方式的優(yōu)點(diǎn)是容易對(duì)接現(xiàn)有的管理機(jī)制，可在現(xiàn)有CA系統(tǒng)中增加相應(yīng)的功能即可，缺點(diǎn)是需要執(zhí)行交叉認(rèn)證，增加了消息長(zhǎng)度和消息處理時(shí)延。終端和路側(cè)設(shè)備安全機(jī)制車載終端和路側(cè)設(shè)備安全是LTE-V2X車聯(lián)網(wǎng)安全的關(guān)鍵環(huán)節(jié)。對(duì)車載終端的攻

41、擊輕則可能導(dǎo)致車 輛故障或者被盜，致使用戶財(cái)產(chǎn)受損，重則可能導(dǎo)致車毀人亡的重大交通事故。對(duì)路側(cè)設(shè)備的攻擊會(huì)對(duì)車聯(lián)網(wǎng)系統(tǒng)整體造成影響，嚴(yán)重時(shí)可能造成交通系統(tǒng)混亂。針對(duì)車載終端和UE型路側(cè)設(shè)備的共同點(diǎn)，可以從接口層面和設(shè)備層面兩個(gè)方面保證其安全性。 1、接口層面安全機(jī)制車載終端和UE型路側(cè)設(shè)備的關(guān)鍵芯片要盡量采用無(wú)管腳暴露的封裝形式，商用產(chǎn)品要禁用調(diào)試接口。車載終端和UE型路側(cè)設(shè)備需要進(jìn)行訪問(wèn)控制，檢查訪問(wèn)者是否具備合法的令牌、口令或證書，提升攻擊的難度。同時(shí)進(jìn)一步設(shè)置合適和統(tǒng)一的安全策略，如訪問(wèn)密碼復(fù)雜度，對(duì)關(guān)鍵資源訪問(wèn)采用雙重認(rèn)證等，進(jìn)一步提升防御非法攻擊者獲取訪問(wèn)入口的能力。除此之外，RSU

42、設(shè)備存在與其他網(wǎng)絡(luò)域設(shè)備的外部接口，如圖4-2（4）所示。這些接口是RSU設(shè) 備與交通信號(hào)控制系統(tǒng)、業(yè)務(wù)云平臺(tái)之間交互的通道，是車聯(lián)網(wǎng)與其他系統(tǒng)間的安全邊界。為了防止網(wǎng)絡(luò)跨安全域的攻擊，可以在接口上采取IPSec、TLS等安全措施實(shí)現(xiàn)雙向認(rèn)證、數(shù)據(jù)機(jī)密性、完整性及防重放保護(hù)。2、設(shè)備層面安全機(jī)制系統(tǒng)隔離機(jī)制：以芯片/硬件/固件安全為基礎(chǔ)，采用硬件隔離和安全域隔離的方式將具有高安全要求特征的核心駕駛系統(tǒng)和駕駛輔助應(yīng)用與具有低安全要求特征的車載娛樂(lè)系統(tǒng)和娛樂(lè)應(yīng)用進(jìn)行隔離，以保護(hù)敏感數(shù)據(jù)和操作。例如僅在SPU（Secure Processing Unit，安全處理器）/TEE（Trusted圖4-7車聯(lián)網(wǎng)安全運(yùn)營(yíng)及管理體系19安全存儲(chǔ)和傳輸機(jī)制：為上層應(yīng)用提供基于軟件或硬件的加解密服務(wù)，保護(hù)敏感數(shù)據(jù)。提供加密和簽名服務(wù)，保證發(fā)送消息的機(jī)密性和完整性。另外，UE型與eNB型路側(cè)設(shè)備還需要具備保證部署環(huán)境安全的機(jī)制，例如對(duì)位置和工作狀態(tài)進(jìn)行 監(jiān)控，預(yù)警部署環(huán)境威脅，對(duì)設(shè)備外殼進(jìn)行防拆解改造，通過(guò)防拆解電路報(bào)警機(jī)制加強(qiáng)抵御物理攻擊的能力。eNB型RSU還應(yīng)結(jié)合現(xiàn)有eNB設(shè)備安全技術(shù)機(jī)制及安全防護(hù)機(jī)制進(jìn)行安全保護(hù)。安全運(yùn)營(yíng)和管理車聯(lián)網(wǎng)系統(tǒng)涉及到的處理、管控環(huán)節(jié)眾多，雖然可以在網(wǎng)絡(luò)、應(yīng)用、終端、數(shù)據(jù)、車輛等各方面采取主動(dòng)安全機(jī)