V2X車輛安全管理能力白皮書

V2X車輛安全管理能力白皮書 本白皮書版權(quán)屬于中國智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)創(chuàng)新聯(lián)盟及各參編單BCCDE B C 2.1.V2X直連通信安全防護(hù)需求 2.3.V2X通信系統(tǒng)認(rèn)證管理需求 2.4.V2X通信系統(tǒng)的持續(xù)監(jiān)測(cè)需求 4.V2X安全認(rèn)證系統(tǒng)頂層信任 5.5.異常行為檢測(cè)框架和流程 I 5.6.車端異常行為檢測(cè)技術(shù)手段 5.7.車端異常行為檢測(cè)能力 6.2.“入網(wǎng)”測(cè)試框架 6.3.“入網(wǎng)”測(cè)試方案 8.1.豐富檢測(cè)技術(shù)機(jī)制，完善V2X標(biāo)準(zhǔn) 8.2.將V2X車輛上市時(shí)的“入網(wǎng)”與上市后監(jiān)測(cè)相結(jié)合 8.3.盡快確定跨部委的互信模式，形成全面覆蓋的可信體系 8.4.實(shí)現(xiàn)認(rèn)證系統(tǒng)與監(jiān)測(cè)系統(tǒng)聯(lián)動(dòng)，“安全賦能”網(wǎng)絡(luò)管理 V2X等）實(shí)現(xiàn)區(qū)域覆蓋，新一代車用無線通信V2X標(biāo)準(zhǔn)研制及研發(fā)驗(yàn)證。”還應(yīng)構(gòu)建完善的V2X安全認(rèn)證體系，確定生態(tài)系統(tǒng)中所需角色，明在我國V2X產(chǎn)業(yè)化規(guī)模應(yīng)用之際，本白皮書介紹了V2X安全認(rèn)證體系發(fā)展現(xiàn)狀，分析了V2X安全面臨的問題，給出了V2X安全管討論了V2X車輛“入網(wǎng)”測(cè)試相關(guān)思路；第七章介紹了V2X安全生2.1.V2X直連通信安全防護(hù)需求應(yīng)根據(jù)需要支持對(duì)消息的機(jī)密性保護(hù)，確保消息在傳V2X車輛與其它車輛進(jìn)行直連通信時(shí)，對(duì)方車輛的是否會(huì)收集記錄者對(duì)隱私信息進(jìn)行自我保護(hù)的能力。因此，為LTE-V2X車聯(lián)網(wǎng)系統(tǒng)在網(wǎng)絡(luò)層和應(yīng)用層分別采取對(duì)應(yīng)的措施對(duì)識(shí)和源IP地址，防止用戶身份標(biāo)識(shí)信息在P識(shí)同步更新，防止由于網(wǎng)絡(luò)層與應(yīng)用層用戶身制確保設(shè)備間的安全認(rèn)證和安全通信,采用數(shù)字簽名等技術(shù)手段實(shí)現(xiàn)CA1CA2CAn多CA…………多證書V2X設(shè)備MsgV2X設(shè)備MsgSigV2X設(shè)備MsgSigV2X設(shè)備MsgSigMsgSigMsgSighash表hash表hash表hash表圖1LTE-V2X基于公鑰證書的安全認(rèn)證和安全通信V2X通信所提供的安全預(yù)警功能或自動(dòng)駕駛決策2.3.V2X通信系統(tǒng)認(rèn)證管理需求2.4.V2X通信系統(tǒng)的持續(xù)監(jiān)測(cè)需求并應(yīng)用數(shù)字簽名技術(shù)，可以防止非法身份車輛發(fā)送虛假、偽造消息。b）終端與終端（例如車輛或路邊單元）之間的連接時(shí)間可能較在此機(jī)制下，V2X節(jié)點(diǎn)根據(jù)本地?cái)?shù)據(jù)的一致性和合理性檢查來檢測(cè)A吊銷證書PKIPKIV2X網(wǎng)絡(luò)異常行為檢測(cè)異常行為識(shí)別異常行為識(shí)別異常行為報(bào)告圖2V2X網(wǎng)絡(luò)中異常行為檢測(cè)和識(shí)別過程段時(shí)間后，車輛B根據(jù)移動(dòng)性數(shù)據(jù)的一致性和合理性檢查根證書機(jī)構(gòu)（RootCA）中間證書機(jī)構(gòu)（ICA）C5C6C5C6C2C5C3C10C11認(rèn)證授權(quán)機(jī)構(gòu)（AAA）基于DCM…...假名證書機(jī)構(gòu)（PCA）假名證書機(jī)構(gòu)（PCA）應(yīng)用證書機(jī)構(gòu)（ACA）異常行為管理機(jī)構(gòu)（MA）注冊(cè)證書機(jī)構(gòu)（ECA）鏈接機(jī)構(gòu)鏈接機(jī)構(gòu)（LA）CRL服務(wù)CRL服務(wù)基于OAuth基于OAuth應(yīng)用證書注冊(cè)機(jī)構(gòu)（ARA）假名證書注冊(cè)機(jī)構(gòu)應(yīng)用證書注冊(cè)機(jī)構(gòu)（ARA）假名證書注冊(cè)機(jī)構(gòu)（PRA）基于GBAC4C4C1C7C4C4C1V2X設(shè)備圖3V2X證書管理體系架構(gòu)PKI）實(shí)現(xiàn)，從層次上看主要包括根證書機(jī)構(gòu)、證書機(jī)構(gòu)、認(rèn)證授權(quán)機(jī)構(gòu)和證書申請(qǐng)主體四種邏輯實(shí)體。實(shí)際應(yīng)用時(shí)，應(yīng)根統(tǒng)根證書的管理與維護(hù)并對(duì)V2X證書機(jī)構(gòu)進(jìn)行注冊(cè)審批。在確認(rèn)V2X證書機(jī)構(gòu)的合法性之后，根證書機(jī)構(gòu)為其簽發(fā)管理機(jī)構(gòu)的數(shù)字）：根據(jù)PKI部署的實(shí)際需要，在根證書機(jī)構(gòu)與V2X證書機(jī)構(gòu)之間部署ConfigurationManager，DCM）服務(wù)系統(tǒng)，蜂窩網(wǎng)絡(luò)通用引導(dǎo)架構(gòu)V2X證書機(jī)構(gòu)是證書管理系統(tǒng)中各種證書機(jī)構(gòu)的統(tǒng)稱。根據(jù)V2全通信應(yīng)用的證書類型及用途不同，V2X證書機(jī)構(gòu)（EnrolmentCertificateAuthority，ECA）、假名證書機(jī)構(gòu)鏈接機(jī)構(gòu)（LinkageAuthority，LA）：為假名證書生成鏈接值，圖4V2XCA系統(tǒng)通過可信證書列表實(shí)現(xiàn)互信一是使用哪一種安全認(rèn)證系統(tǒng)頂層信任機(jī)制才能更有效地實(shí)現(xiàn)測(cè)試評(píng)判所關(guān)注的層面和具體的測(cè)試項(xiàng)都可能對(duì)技術(shù)實(shí)現(xiàn)起到引導(dǎo)4.1.集中式信任體系PG其他行業(yè)根CAGCCFRA簽發(fā)各行業(yè)根CA證書，各行業(yè)根CA再簽發(fā)各自行業(yè)內(nèi)的子CA證證書，再由各車企的ICA簽發(fā)ECA和PCA證書，如圖5所示。PG其他行業(yè)根CAGCCFRA根CA汽車行業(yè)根CA車企1車企2ICAICAECAECAPCARAPCA車企1車企2ICAICAECAECAPCARAPCAV2X消息簽名PC圖5采用全局根CA構(gòu)建不同行業(yè)CA互信體系），，（），圖6美國V2X安全體系基于選舉人的PKI信任架構(gòu)圖7歐洲C-ITS基于TLM的PKI信任架構(gòu)之間的通信交換，收集根CA證書并將其提供給信任列表管理器根證書，CA證書列表下載地址和/或CA證書列表可信根證書列表簽名證書，可信根證書列表下載地址和/或各安全域CA證書列表▲可信證書管理功能可信證書管理功能可信CA證書列表可信安全域根證書列表安全域ACA證書列表安全域根證書，CA證書列表下載地址和/或CA證書列表可信根證書列表簽名證書，可信根證書列表下載地址和/或各安全域CA證書列表▲可信證書管理功能可信證書管理功能可信CA證書列表可信安全域根證書列表安全域ACA證書列表安全域BCA證書列表獲取可信證書列表寫入互信信息V2X設(shè)備證書互信可信證書列表發(fā)布可信根證書列表可信根證書列表管理機(jī)構(gòu)V2X設(shè)備圖8中國基于CTL的PKI信任架構(gòu)——可信根證書列表管理機(jī)構(gòu)（TrustedRootCertificateList簽名保護(hù)的公鑰證書。該證書可以是符合本規(guī)范定義從可信根證書列表管理機(jī)構(gòu)獲取實(shí)現(xiàn)PKI互信所需要的數(shù)據(jù)和向本PKI系統(tǒng)內(nèi)的車聯(lián)網(wǎng)設(shè)備提供實(shí)現(xiàn)PKI集中式發(fā)布方式是指可信根證書列表管理機(jī)構(gòu)（TRCLA）將分布式發(fā)布方式是指向車聯(lián)網(wǎng)設(shè)備提供下載TRCL和各個(gè)安全圖9存在CA信任列表文件的聯(lián)盟鏈節(jié)點(diǎn)體系架構(gòu)送的V2X消息內(nèi)容不準(zhǔn)確，或者非正常占用了V2X通信的資源。這V2X車聯(lián)網(wǎng)通信系統(tǒng)中需要部署一種能夠?qū)崟r(shí)監(jiān)測(cè)V2X通信并發(fā)現(xiàn)異常情況需要通過監(jiān)測(cè)系統(tǒng)及時(shí)發(fā)現(xiàn)并采取措施進(jìn)行響應(yīng)，這就是V2X通信異常行為管理體系。其中異常行為監(jiān)測(cè)是識(shí)別有故障和被攻擊的設(shè)備/車輛或這些設(shè)備/車輛進(jìn)行錯(cuò)誤的數(shù)據(jù)傳輸?shù)倪^程；一旦異常行為管理機(jī)構(gòu)（MisbehaviorAuthority）是V2X安解決措施。解決措施包括將判定為異常的設(shè)備/車輛憑證有關(guān)的信息擁有合法身份的終端發(fā)送的異常行為消息按其發(fā)送意愿可分為——單一消息錯(cuò)誤，即V2X消息中某些字段的值超出規(guī)定值；網(wǎng)絡(luò)層異常行為包括：未知協(xié)議、協(xié)議字段錯(cuò)誤、洪泛攻擊等。行為分為4級(jí)，不同級(jí)別的異常行為可由不同級(jí)別的MA，采取不同時(shí),并不知道其舉報(bào)的車輛是哪個(gè)CA簽發(fā)的證根據(jù)判定結(jié)果決定是否需要采取線下處理方式消除異常行為。本地全局MA本地本地CA本地MA本地MA本地CA本地MA本地CA圖10本地MA與全局MA的關(guān)系受分析和判定異常行為事件所需的資源投入等多方面因素的影云端系統(tǒng)A蜂窩網(wǎng)基站接入網(wǎng)異常行為報(bào)告異常行為報(bào)告異常行為報(bào)告虛假車輛虛假車輛圖11異常行為檢測(cè)框架1.車端進(jìn)行本地異常行為檢測(cè)（LocalMisbehaviorDetection，），2.通過蜂窩網(wǎng)或路側(cè)RSU將異常行為報(bào)告本地異常行為的過程。GMBD是云端異常行為管理系統(tǒng)使用更為復(fù)應(yīng)用層應(yīng)用層網(wǎng)絡(luò)層接入層異常行為檢測(cè)異常行為檢測(cè)V2X應(yīng)用消息層管理子管理子層專用管理實(shí)體DME數(shù)據(jù)子層TCP數(shù)據(jù)子層TCP/UDP專用短消息協(xié)議DSMP適配層ProseProseSignalingPDCPRLCMACPHY圖12V2X異常行為檢測(cè)模塊在協(xié)議棧中的位置5.5.2.1.消息合理性檢測(cè)理數(shù)據(jù)判斷，如表1所示。表1BSM消息合理性檢查示例…車輛還可根據(jù)接收到的消息與本地傳感器的感知結(jié)果聯(lián)合判斷在及其速度，與BSM消息中的位置進(jìn)行5.5.2.2.消息一致性檢測(cè)網(wǎng)絡(luò)層、接入層進(jìn)行相關(guān)一致性檢查，如圖13所示。網(wǎng)絡(luò)層圖13V2X協(xié)議棧各層數(shù)據(jù)關(guān)系在物理層中可以利用PSSCH-RSRP（PhysicalSidelinkShared5.5.2.3.“集體感知”技術(shù)基于多車傳感器共享環(huán)境感知結(jié)果的技術(shù)：相對(duì)為管理機(jī)構(gòu)就可以決定在系統(tǒng)范圍內(nèi)限制異系統(tǒng)/基礎(chǔ)架構(gòu)的全局異常行為檢測(cè)。云端異常行為檢測(cè)通常由MA?設(shè)備–對(duì)于幾個(gè)上報(bào)者觀察到的單事件異常行為?事件-對(duì)于在同一區(qū)域和時(shí)間窗口內(nèi)發(fā)生的多?功能–對(duì)于涉及數(shù)據(jù)或其他報(bào)告操作的高級(jí)異常接口!安全程序異常行為報(bào)告發(fā)送前車碰撞預(yù)警盲區(qū)預(yù)警/變道預(yù)警…全局異常行為檢測(cè)異常行為報(bào)告接口!安全程序異常行為報(bào)告發(fā)送前車碰撞預(yù)警盲區(qū)預(yù)警/變道預(yù)警…全局異常行為檢測(cè)證書注冊(cè)中心異常行為管理中心報(bào)告存儲(chǔ)數(shù)據(jù)庫異常行為報(bào)告存儲(chǔ)器設(shè)備檢測(cè)事件檢測(cè)功能檢測(cè)本地異常行為檢測(cè)消息合理性分析警示報(bào)告產(chǎn)生…設(shè)備檢測(cè)事件檢測(cè)功能檢測(cè)本地異常行為檢測(cè)消息合理性分析警示報(bào)告產(chǎn)生…異常行為報(bào)告產(chǎn)生證書撤銷管理鏈接信息管理空口信號(hào)輸入/輸出車輛CAN/GNSS本地證書撤銷列表存儲(chǔ)證書撤銷列表接口證書撤銷管理鏈接信息管理空口信號(hào)輸入/輸出車輛CAN/GNSS本地證書撤銷列表存儲(chǔ)證書撤銷列表接口證書鏈接處理器(LA,PCA,RA)證書撤銷列表產(chǎn)生與分發(fā)器V2V接口圖14異常行為檢測(cè)信息流多種以數(shù)據(jù)為中心的檢測(cè)機(jī)制可以用來檢測(cè)語義級(jí)別的錯(cuò)誤基于機(jī)器學(xué)習(xí)的檢測(cè)方法通過多個(gè)基本探測(cè)器的信息通過機(jī)器根據(jù)車端系統(tǒng)資源和計(jì)算能力、配置的傳感器類型、數(shù)量不同，檢測(cè)到的不良行為類型以及收集的關(guān)于檢測(cè)到的不良行為的?靈活性：MBR應(yīng)可擴(kuò)展，以便在需要時(shí)集成新的異常行為檢?指定每種不良行為類型所需的證據(jù)。不同MA分別處理，如圖15所示。分析決策。根據(jù)決策結(jié)果決定是否將異常行為車輛的假名證書放入全局MA本地CA本地MA本地CA本地MA本地MA本地CA本地MA本地CA圖15車端向不同級(jí)別的MA上報(bào)異常行為報(bào)告關(guān)聯(lián)。CRL簽名者可以與其CRACA相同（即CRL簽名證書與CA），可以獲得有效的證書，參與車聯(lián)網(wǎng)通信；另一方面也明確了“事中”圖16V2X車輛“入網(wǎng)”測(cè)試框架“入網(wǎng)”測(cè)試系統(tǒng)包含測(cè)試用例、測(cè)試平臺(tái)及測(cè)試環(huán)境等組成。性、通信安全、權(quán)限管理、異常行為等測(cè)試用例，覆蓋產(chǎn)品“入網(wǎng)”證書管理測(cè)試輔助系統(tǒng)為自動(dòng)化測(cè)試控制系統(tǒng)提供測(cè)試執(zhí)行過需測(cè)試產(chǎn)品是否選用了具備安全能力（包括但不限于安全升級(jí)、需測(cè)試產(chǎn)品在發(fā)布時(shí)已經(jīng)移除了沒有安全密碼認(rèn)證且與業(yè)務(wù)無需測(cè)試產(chǎn)品的日志記錄是否涵蓋了管理面上所有的用戶活動(dòng)和需測(cè)試產(chǎn)品對(duì)于設(shè)備外部可見的能對(duì)系統(tǒng)進(jìn)行管理的物理接口、需測(cè)試產(chǎn)品是否在安全、升級(jí)過程中對(duì)軟件進(jìn)行了完整性驗(yàn)證。否可以成功觸發(fā)。測(cè)試場(chǎng)景可參考《合作式智能交通系統(tǒng)車用通信表2V2X功能測(cè)試場(chǎng)景1V2V234V2V5V2V6789V2IV2IV2IV2P/V2IV2IV2IV2IV2VV2I1234V2I5V2I6V2I7V2I8V2I9V2IV2IV2IV2V6.3.4.V2X性能測(cè)試V2X直連通信的車載信息交互系統(tǒng)技術(shù)要求》中規(guī)定的測(cè)射、載波泄露、鄰道選擇性、阻塞、互調(diào)、發(fā)射——天線性能包括：天線增益、輻射功率、天線輻射方向圖等。），7.1.生態(tài)系統(tǒng)