車(chē)聯(lián)網(wǎng)身份及密鑰管理應(yīng)用方案

1、車(chē)聯(lián)網(wǎng)身份及密鑰管理應(yīng)用方案目錄1. 國(guó)家政策和規(guī)范車(chē)聯(lián)網(wǎng)安全框架車(chē)聯(lián)網(wǎng)密碼應(yīng)用方案車(chē)聯(lián)網(wǎng)案例應(yīng)用匯總1.1 車(chē)聯(lián)網(wǎng)安全性事件南卡羅萊納大 學(xué)實(shí)現(xiàn)對(duì)TMPS系統(tǒng)的 攻擊與實(shí)現(xiàn)利 用OBD接口控 制汽車(chē)USENIX安全會(huì) 議汽車(chē)攻擊面分 析報(bào)告DEFCON短信解 鎖斯巴魯傲虎DEFCON會(huì)議上，通過(guò)OBD 控制福特翼虎， 豐田普銳斯BLACKHAT曝光多款汽車(chē)的 電子系統(tǒng)存在 安全風(fēng)險(xiǎn)360破解特斯 拉Jeep Cherokee被遠(yuǎn) 程控制USENIX上，實(shí)現(xiàn)利 用OBD設(shè)備對(duì)汽車(chē)的 遠(yuǎn)程控制360公司破解比亞迪汽車(chē)科恩實(shí)驗(yàn)室實(shí)現(xiàn)對(duì) 特斯拉的遠(yuǎn)程入侵DEFCON上，360公司實(shí)現(xiàn)對(duì)特斯拉汽車(chē)自動(dòng)

2、駕駛系統(tǒng)的攻擊2010201120122013201420152016/20171.2 車(chē)聯(lián)網(wǎng)安全的相關(guān)規(guī)范國(guó)家法規(guī) 及政策行業(yè)標(biāo)準(zhǔn)及建議國(guó)際標(biāo)準(zhǔn) 參考國(guó)家標(biāo)準(zhǔn)（密碼相關(guān)）GM/T 0009SM2密碼算法使用規(guī)范GM/T 0015 基于SM2密碼算法證書(shū)格式規(guī)范GM/T 0031安全電子簽章密碼技術(shù)規(guī)范GM/T 0034基于SM的證書(shū)認(rèn)證技術(shù)規(guī)范GM/T 0054信息系統(tǒng)密碼應(yīng)用基本要求國(guó)際相關(guān)標(biāo)準(zhǔn)（密碼相關(guān)）美國(guó)RSA相關(guān)PKCS系列規(guī)范國(guó)際電信聯(lián)盟的ITU-T X.509規(guī)范IETF組織的公鑰基礎(chǔ)設(shè)施PKIX規(guī)范等4影響車(chē)聯(lián)網(wǎng)密碼應(yīng)用的相關(guān)法律和政策中華人民共和國(guó)網(wǎng)絡(luò)安全法關(guān)鍵信息基礎(chǔ)設(shè)施

3、安全保護(hù)條例-定義交通相關(guān)領(lǐng)域?qū)儆陉P(guān)鍵基礎(chǔ)設(shè)施中共中央辦公廳2015年4號(hào)文件-推進(jìn)國(guó)密算法在交通相關(guān)領(lǐng)域應(yīng)用中華人民共和國(guó)密碼法草案-明確密碼的應(yīng)用方法和主管機(jī)構(gòu)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求智能網(wǎng)聯(lián)汽車(chē)信息安全白皮書(shū)-明確車(chē)廠車(chē)聯(lián)網(wǎng)運(yùn)營(yíng)商的防護(hù)責(zé)任和要求1.2 車(chē)聯(lián)網(wǎng)國(guó)內(nèi)相關(guān)密碼應(yīng)用標(biāo)準(zhǔn)5國(guó) 內(nèi)序號(hào)名稱(chēng)負(fù)責(zé)機(jī)構(gòu)發(fā)布時(shí)間1國(guó)家車(chē)聯(lián)網(wǎng)產(chǎn)業(yè)標(biāo)準(zhǔn)體系建設(shè)指南（智能網(wǎng)聯(lián)汽車(chē)）工業(yè)部、國(guó)標(biāo)委2017/12/272T/ITS基于公眾電信網(wǎng)的聯(lián)網(wǎng)汽車(chē)信息安全技術(shù)要求智能交通產(chǎn)業(yè)聯(lián)盟2017/12/103車(chē)聯(lián)網(wǎng)信息安全防護(hù)指南TIAA2017/02/2842017年智能網(wǎng)聯(lián)汽車(chē)信息安全白皮書(shū)中國(guó)汽車(chē)工程協(xié)會(huì)201

4、7/6/125GB汽車(chē)信息安全通用技術(shù)規(guī)范 汽車(chē)標(biāo)委會(huì)(NTCAS)2018年6GB/T汽車(chē)遠(yuǎn)程信息服務(wù)通信終端安全規(guī)范7GB/T車(chē)載T-BOX信息安全技術(shù)要求2019-20208GB/T汽車(chē)軟件升級(jí)安全防護(hù)規(guī)范9GB/T車(chē)輛總線信息安全技術(shù)要求10智能交通 ：數(shù)字證書(shū)應(yīng)用接口、數(shù)字證書(shū)格式交通部2018年1.3 密鑰在車(chē)聯(lián)網(wǎng)應(yīng)用中的意義6密鑰協(xié)商非對(duì)稱(chēng)協(xié)商密鑰OTA升級(jí)包合法性和完整性終端和云端安全 通信和身份認(rèn)證終端和終端安全通信和身份認(rèn)證敏感數(shù)據(jù)公鑰加密用戶(hù)控車(chē)指令 不可否認(rèn)性空中升級(jí)數(shù)據(jù)完整性/真實(shí)性車(chē)端/總線數(shù)據(jù)傳輸機(jī)密性車(chē)端及零配件 身份認(rèn)證對(duì)稱(chēng)/非對(duì)稱(chēng) 密鑰基礎(chǔ)設(shè)施1.4 密鑰應(yīng)

5、用形態(tài)常見(jiàn)的密碼模塊加密芯片智能密碼鑰匙明確的邊界加密機(jī)加密軟件OpenSSLCrypto Module數(shù)據(jù)輸入 數(shù)據(jù)輸出 控制輸入 狀態(tài)輸出電源 模塊邊界71.4 密鑰應(yīng)用等級(jí)要求（1-4級(jí)）參見(jiàn)國(guó)家標(biāo)準(zhǔn)：GMT 0028-2014 密碼模塊安全技術(shù)要求安全目標(biāo)安全功能授權(quán)控制非授權(quán)訪問(wèn)的檢測(cè)運(yùn)行狀態(tài)指示核準(zhǔn)的工作模式錯(cuò)誤檢測(cè)敏感參數(shù)保護(hù)設(shè)計(jì)分發(fā)和實(shí)現(xiàn)11個(gè)安全域 (元素)密碼模塊規(guī)格密碼模塊接口角色、服務(wù)和鑒別軟件/固件安全運(yùn)行環(huán)境物理安全非入侵式安全敏感安全參數(shù)管理自測(cè)試生命周期保障對(duì)其他攻擊的緩解81.4 密鑰應(yīng)用與車(chē)聯(lián)網(wǎng)平臺(tái)的關(guān)系TSP系統(tǒng)OTA系統(tǒng)MES系統(tǒng)密鑰管理通信加密指令鑒別

6、數(shù)據(jù)完整設(shè)備和身 份識(shí)別非對(duì)稱(chēng)/對(duì)稱(chēng)密鑰管理PKI/KMS系統(tǒng)車(chē)聯(lián)網(wǎng)聯(lián)接平臺(tái)92.車(chē)聯(lián)網(wǎng)安全應(yīng)用通用框架四級(jí)框架：根據(jù)安全防護(hù)涉及車(chē)聯(lián)網(wǎng)業(yè)務(wù)劃分10移動(dòng)終端服務(wù)平臺(tái)移動(dòng)終端路邊單元Level 4: ECU/傳感器/執(zhí)行器Level 3： 網(wǎng)關(guān)（OTA）Level1: 云服務(wù)/移動(dòng)終端/路邊單元網(wǎng)關(guān)ADAS感知Level 2: 接口設(shè)備/外部感知ADAS感知服務(wù)平臺(tái)2.車(chē)聯(lián)網(wǎng)安全防護(hù)框架安全防護(hù)的基本要求113.1車(chē)聯(lián)網(wǎng)密碼應(yīng)用方案的基本思路Level 1Level 4Level 2Level 3Level 3外聯(lián)服務(wù)TSP/控制中心CAN總線終端T-BOX互聯(lián)網(wǎng)3G/4G遠(yuǎn)程解鎖自動(dòng)升降窗空調(diào)

7、送風(fēng)T-BOX Server運(yùn)營(yíng)商物聯(lián)網(wǎng)網(wǎng)絡(luò)核心 業(yè)務(wù)Level 2身份標(biāo)識(shí)表達(dá)、管理混亂（自建，第三方）第三方CA簽發(fā)的身份標(biāo)識(shí)通用，離線簽發(fā)和導(dǎo)入，易被 用于其他車(chē)企；且標(biāo)識(shí)變更依賴(lài)第三方第三方CA合規(guī)、合法性不確定遠(yuǎn)程通 信認(rèn)證方式簡(jiǎn)單，易被破解缺乏終端對(duì)車(chē)廠外聯(lián)服務(wù)的身份校驗(yàn)網(wǎng)絡(luò)易被入侵，遭受惡意代碼攻擊近場(chǎng)通信供應(yīng)商可拿到身份標(biāo)識(shí)證書(shū)進(jìn)行備份，將證書(shū)導(dǎo)入任 意T-BOX，無(wú)法標(biāo)識(shí)T-BOX的唯一性，且無(wú)法形成對(duì)T-BOX的有效管理指令易被破解，影響行車(chē)安全（易被黑客冒充控制中心發(fā)布惡意指令）ECU安全 影響正品配件銷(xiāo)售（車(chē)主自行破解升級(jí)）車(chē)機(jī)HUFOTA遠(yuǎn)程接收非法或惡意軟件/更新包

8、，間接影響汽車(chē)/行車(chē)安全手機(jī)與車(chē)機(jī)雙向控制指令截獲、篡改，影響行車(chē)安全獲取虛假車(chē)輛控制單元狀態(tài)服務(wù)端和客戶(hù)端無(wú)法確認(rèn)雙方真實(shí)身份傳輸非法指令；正常指令被獲取、篡改鏈路安全123.2車(chē)聯(lián)網(wǎng)身份及密鑰管理的應(yīng)用方案OTA防護(hù)ECU安全數(shù)字鑰匙非對(duì)稱(chēng)/對(duì)稱(chēng)密碼 基礎(chǔ)設(shè)施標(biāo)準(zhǔn)化車(chē)載 安全網(wǎng)關(guān)安全方案群下行指令安全其他方案133.2.1PKI/CA信任體系設(shè)計(jì)傳統(tǒng)PKI/CA設(shè)計(jì)：一般采用兩級(jí)信任域設(shè)計(jì)，根一般離線，而面向車(chē)聯(lián)網(wǎng)各類(lèi)實(shí)體的CA在線運(yùn)行。V2X互聯(lián)PKI/CA設(shè)計(jì)： 考慮不同實(shí)體通信過(guò)程中 的隱私保護(hù)問(wèn)題，還會(huì)額外考慮建設(shè)假名類(lèi)信任域，防止相關(guān)信息泄露。公鑰根CA證書(shū)簽名者ID:根CA證書(shū)

9、的ID私鑰根CA公鑰簽名者ID:長(zhǎng)期CA證書(shū)ID私鑰長(zhǎng)期CA根CA的簽名者ID公鑰假名CA證書(shū)簽名者ID:假名CA證書(shū)ID私鑰假名CA根CA的簽名者ID公鑰長(zhǎng)期證書(shū)簽名者ID:長(zhǎng)期證書(shū)ID私鑰長(zhǎng)期CA的簽名者ID公鑰假名證書(shū)簽名者ID:假名證書(shū)ID私鑰假名CA的簽名者ID分發(fā)長(zhǎng)期CA證書(shū)14分發(fā)分發(fā)分發(fā)3.2.2車(chē)聯(lián)網(wǎng)身份及密鑰管理應(yīng)用-身份管理為所有通信實(shí)體頒發(fā)身份配合主機(jī)廠產(chǎn)線系統(tǒng)進(jìn)行匹配配合零配件供應(yīng)商進(jìn)行流程定制配合4S店進(jìn)行在線管理車(chē)載 T-BOX車(chē)廠車(chē)廠根證書(shū)車(chē)廠原根證 書(shū)（第三方/自建CA簽 發(fā)）車(chē)廠根證書(shū) 車(chē)廠原根證書(shū) 新身份標(biāo)識(shí)證舊書(shū)身份標(biāo)識(shí)證外聯(lián)服務(wù)書(shū)車(chē)廠根證書(shū)車(chē)廠原根證書(shū)

10、簽名（身份標(biāo)識(shí)） 證加書(shū)密證書(shū)舊身份標(biāo)識(shí)證書(shū)車(chē)機(jī) HUT-BOXServer車(chē)廠根證書(shū) 車(chē)廠原根證書(shū)簽名（身份標(biāo)識(shí)） 證加書(shū)密證書(shū)舊身份標(biāo)識(shí)證書(shū)車(chē)廠根證書(shū) 車(chē)廠原根證書(shū) 新身份證書(shū) 舊身份證書(shū)15163.2.3 車(chē)聯(lián)網(wǎng)身份及密鑰管理應(yīng)用認(rèn)證加密移動(dòng)終端APP根證書(shū)模塊證書(shū)汽車(chē)控制中心根證書(shū)模塊證書(shū)汽車(chē)ECU單元根證書(shū)模塊證書(shū)安全加密通道操作指令核心單元控制指令非核心單元控制指令ECU單元操作指令?yuàn)蕵?lè)系統(tǒng)指令汽車(chē)啟動(dòng)關(guān)閉指令遠(yuǎn)程系統(tǒng)升級(jí)指令車(chē)窗控制指令汽車(chē)狀態(tài)查看指令安全加密通道強(qiáng)身份認(rèn)證車(chē)廠/第三方服務(wù)強(qiáng)身份認(rèn)證端到端強(qiáng)身份認(rèn)證，保證接入安全性；分層實(shí)施有機(jī)結(jié)合，解決各子系統(tǒng)的安全問(wèn)題；基于數(shù)

11、字證書(shū)的雙向身份認(rèn)證，提供身份合法性依據(jù)；核心單元控制指令和非核心單元控制指令須智能區(qū)分；核心單元指令必須由車(chē)廠數(shù)據(jù)中心監(jiān)管并下發(fā)；某些涉及系統(tǒng)娛樂(lè)等非核心單元指令可由第三方服務(wù)商下發(fā)；基于強(qiáng)身份認(rèn)證建立安全加密通道，最終實(shí)現(xiàn)移動(dòng)終端對(duì)車(chē)的安全遠(yuǎn)程控制指令安全下發(fā)4.1車(chē)機(jī)安全應(yīng)用架構(gòu)一是系統(tǒng)本身可能存在內(nèi)核漏洞；二是系統(tǒng)存在被攻擊者安裝惡意應(yīng)用的風(fēng)險(xiǎn)；17三是第三方應(yīng)用可能存在安全漏洞，存在信息 泄露、數(shù)據(jù)存儲(chǔ)、應(yīng)用鑒權(quán)等風(fēng)險(xiǎn)整車(chē)車(chē) 載控制 器網(wǎng)絡(luò)網(wǎng) 關(guān)器網(wǎng)絡(luò)1 微控制單元汽車(chē)電子開(kāi)放系統(tǒng)及 其接口Linux4G模組WIFI車(chē)載控制 器網(wǎng)絡(luò)2車(chē)載控制器網(wǎng)絡(luò)車(chē)載 娛樂(lè) 系統(tǒng)無(wú)線 模塊全球 定位

12、PV后臺(tái)第三方APN1APN2遠(yuǎn)程通信模塊車(chē)載控制通用異步收發(fā)傳輸器通用輸 入/輸出接口4G天線安全數(shù)字輸入輸出卡通用異步收發(fā)傳輸器通用串 行總線GPS天線 車(chē)身、基礎(chǔ)數(shù)據(jù)、控制指令 娛樂(lè)、導(dǎo)航數(shù)據(jù)4.2車(chē)載OTA應(yīng)用方案OTA服務(wù)平臺(tái)：為車(chē)載終端提供OTA服務(wù)。 終端OTA安全組件：對(duì)升級(jí)包進(jìn)行合法性 驗(yàn)證，適配安全升級(jí)流程軟件提供商：原始固件升級(jí)軟件包發(fā)布者。安全服務(wù)平臺(tái)：為OTA服務(wù)平臺(tái)提供安全 服務(wù)，包括密鑰證書(shū)管理服務(wù)，數(shù)據(jù)加密 服務(wù)，數(shù)字簽名服務(wù)等。軟件升級(jí)包OTA 服務(wù)平臺(tái)軟件提供商安全服務(wù)平臺(tái)加密機(jī)T-BoxOTA安全組件網(wǎng)關(guān)OTA安全組件軟件升級(jí)包ECUECUECU軟件升級(jí)包

13、FOTACANCAN18SE Provider 安全元件提供商4.3數(shù)字鑰匙應(yīng)用架構(gòu)TSM：可信服務(wù)管理器，創(chuàng)建管理連接移動(dòng)UI：OEM/TSM和智能設(shè)備之間的接口安全組件SE：安全存儲(chǔ)在智能設(shè)備上SE Provider: SE的所有者，它提供對(duì)TSM的SE訪問(wèn)。SE提供商代理：SE提供商的SE訪問(wèn)接口。SE提供商可以通過(guò)專(zhuān)有接口/功能訪問(wèn)它。TUI：可信用戶(hù)界面。它通常是TEE的一部分。TEE：可信執(zhí)行環(huán)境。在主機(jī)應(yīng)用程序處理器上安全的應(yīng)用程序OEM Backend 主機(jī)廠后臺(tái)可信執(zhí)行環(huán)境TUISEprovider Agent安全元件（eSE，eUICC）BLENFC可信服務(wù)管理移動(dòng)應(yīng)用UI

14、SE ProviderProprietary主機(jī)廠私有協(xié)議主機(jī)廠私有協(xié)議194.4.1V2X應(yīng)用目標(biāo)和規(guī)范LTE-V2X/ 3GPP Release 14PC5DSRC/IEEE 1609密碼應(yīng)用范圍：DSRC短程通信應(yīng)用LTE蜂窩通信應(yīng)用LTE車(chē)車(chē)直連通信應(yīng)用204.4.2V2X安全應(yīng)用框架通信由三個(gè)組成部分：車(chē)輛、路側(cè)設(shè)施和后臺(tái)服務(wù)安全子系統(tǒng)為車(chē)載通信和外部的V2X通信提供保護(hù)，并通過(guò)硬件安全模塊（HSM）存儲(chǔ)密碼證書(shū)、加速密碼算法。路側(cè)設(shè)施與車(chē)輛具有相同的架構(gòu)，為車(chē)輛通信和固定點(diǎn)之間的通信提供網(wǎng)關(guān)功能廣域無(wú)線 (移動(dòng))通信基礎(chǔ)設(shè)施點(diǎn)對(duì)點(diǎn)通信車(chē)| 車(chē) 通 信車(chē)輛 板載設(shè)備安全子系統(tǒng)硬件安全

15、模塊車(chē)| 路 通 信路邊單元 板載設(shè)備安全子系統(tǒng)硬件安全模塊服務(wù)平臺(tái)應(yīng)用更新服務(wù)安全基礎(chǔ)設(shè)施公鑰基礎(chǔ)設(shè)施(PKI)根證書(shū)管理(RCA)長(zhǎng)期證書(shū)管理(LTCA)假名證書(shū)管理(PCA)214.4.3 V2X安全應(yīng)用框架內(nèi)部通信：如傳感器數(shù)據(jù)、命令 和信號(hào)等，需要進(jìn)行安全傳輸以 確保數(shù)據(jù)不會(huì)被篡改；外部通信：接收方至少需要驗(yàn)證 發(fā)送方的真實(shí)性和授權(quán)特性，以 及所傳輸數(shù)據(jù)的完整性；安全信息：對(duì)車(chē)輛和路側(cè)設(shè)施存 儲(chǔ)、交換的數(shù)據(jù)進(jìn)行保護(hù)，包括 安全存儲(chǔ)、安全軟件、隱私保護(hù)、 數(shù)據(jù)一致性、數(shù)據(jù)合理性等。道路安全道路交通效率舒適與靈活性應(yīng)用管理設(shè)施網(wǎng)絡(luò)傳輸接入內(nèi)部通信外部通信安全安全通信內(nèi)部通信外部通信安全信息安全軟件數(shù)據(jù)一致性和有效性安全存儲(chǔ)隱私保護(hù)安全管理證書(shū)管理安全設(shè)施管理安全分析審計(jì)監(jiān)控分析日志分析安全和隱私策略策略存儲(chǔ)策略管理策略執(zhí)行22密 碼 操 作4.5車(chē)聯(lián)網(wǎng)應(yīng)用案例匯總及公司簡(jiǎn)介覆蓋政府、金融電信、軍工軍隊(duì)、央企等車(chē)聯(lián)網(wǎng)密碼應(yīng)用先行者：長(zhǎng)春一汽車(chē)聯(lián)網(wǎng)PKI項(xiàng)目長(zhǎng)安汽車(chē)智能網(wǎng)聯(lián)數(shù)字證書(shū)項(xiàng)目威馬汽車(chē)車(chē)聯(lián)網(wǎng)PKI項(xiàng)目江鈴車(chē)