2015年10月26日至30日,在瑞士日内瓦召开的2015无线电通信全会上,国际电联无线电通信部门(ITU-R)正式批准了三项有利于推进未来5G研究进程的决议,并正式确定了5G的法定名称是“IMT-2020”。2019年7月17日,由工业和信息化部指导,IMT-2020推进组联合中国通信标准化协会共同主办的2019年IMT-2020(5G)峰会在北京开幕,本次峰会以“5G商用 共赢未来”为主题,邀请工信部领导以及数十家国内外主流移动通信和行业应用单位专家500多人参加会议,集中探讨面向商用的5G标准、产业与应用等最新进展与发展趋势。会议权威发布了《基于AI的智能切片管理和协同》、《5G同步组网架构及关键技术白皮书》、《5G新媒体行业白皮书》和《LTE-V2X通信安全》四份白皮书。
本期的智能内参,我们推荐IMT-2020峰会的白皮书《LTE-V2X通信安全》,深入研究LTE-V2X车联网系统信息安全需求及机制,提出车联网安全基础设施部署方案。 如果想收藏本文的报告(LTE-V2X通信安全 ),可以在智东西(公众号:zhidxcom)回复关键词“nc387”获取。
C – V 2 X 是 基 于 蜂 窝 ( C e l l u l a r ) 通 信 演 进 形 成 的 车 用 无 线 通 信 技 术 ( V e h i c l e t o Everything,V2X)技术,可提供Uu接口(蜂窝通信接口)和PC5接口(直连通信接口)。 LTE-V2X是C-V2X车联网采用的主流技术方案,由于它能够更好的发挥现有移动蜂窝网的优势,提供更广范围的业务服务,是C-V2X现阶段主要解决方案,引起了国内外政府、汽车、芯片、电子设备及网络设备、交通管理、电信运营、业务服务以及学术界等各行业的广泛关注,得到了全球运营商、汽车厂商的普遍支持。 基于LTE的V2X车联网系统在网络通信、业务应用、车载终端、路侧设备等各个方面采取有效的安全机制,保证车联网业务数据的通信安全和用户隐私信息的安全。
一、 LTE-V2X车联网系统风险在哪
LTE-V2X车联网系统包含云、管、端几大方面,系统架构如下图所示。LTE-V2X车联网系统面临的安全风险主要在网络通信、业务应用、车载终端、路侧设备等方面 ,以下我们将具体讲解。
▲LTE-V2X车联网系统示意图
1、 网络通信
蜂窝通信接口 。 蜂窝通信接口场景下,LTE-V2X车联网系统继承了传统LTE网络系统面临的安全风险,主要有假冒终端、伪基站、信令/数据窃听、信令/数据篡改/重放等。 在未经保护的情况下,非法终端可以假冒合法终端的身份接入运营商的蜂窝网络,占用网络资源,获取网络服务。同时,假冒合法终端身份,发送伪造的网络信令或业务数据信息,影响系统的正常运行。
攻击者部署虚假的LTE网络基站并通过发射较强的无线信号吸引终端选择并接入,造成网络数据连接中断,直接危害车联网业务安全。
利用LTE-Uu接口的开放性以及网络传输链路上的漏洞,攻击者可以窃听车联网终端与网络间未经保护直接传输的网络信令/业务数据,获取有价值的用户信息,例如短消息、车辆标识、状态、位置等,造成用户隐私泄露;攻击者可以发起中间人攻击,篡改车联网终端与网络间未保护直接传输的网络信令/业务数据,或者重新发送过期的网络信令/业务数据,导致网络服务中断或者业务数据错误,出现异常的行为及结果,危害LTE-V2X车联网业务安全。
直连通信接口 。 不论是基站集中式调度模式(Mode 3)还是终端分布式调度模式(Mode 4),直连传输的用户数据均在专用频段上通过PC5接口广播发送,因此短距离直连通信场景下LTE-V2X车联网系统在用户面面临着虚假信息、假冒终端、信息篡改/重放、隐私泄露等安全风险。
利用PC5无线接口的开放性,攻击者可以通过合法的终端及用户身份接入系统并且对外恶意发布虚假信息;攻击者可以利用非法终端假冒合法车联网终端身份,接入直连通信系统,并发送伪造的业务信息;攻击者可以篡改或者重放合法用户发送的业务信息,这些都将影响车联网业务的正常运行,严重危害周边车辆及行人的道路交通安全。此外,利用PC5无线接口的开放性,攻击者可以监听获取广播发送的用户标识、位置等敏感信息,进而造成用户身份、位置等隐私信息泄露。严重时,用户车辆可能被非法跟踪,直接威胁着用户的人身安全。
除了用户面数据交互,Mode 3模式下车联网终端及UE型路侧设备还需接收LTE eNB基站下发的无线资源调度指令。因此,在Mode 3模式下V2X系统同样面临着:伪基站、信令窃听、信令篡改/重放等安全风险。
2、 业务应用
LTE-V2X业务应用包括基于云平台的业务应用以及基于PC5/V5接口的直连通信业务应用。
基于云平台的应用以蜂窝通信为基础,在流程、机制等方面与移动互联网通信模式相同,自然继承了“云、管、端”模式现有的安全风险,包括假冒用户、假冒业务服务器、非授权访问、数据安全等。在未经认证的情况下,攻击者可以假冒车联网合法用户身份接入业务服务器,获取业务服务;非法业务提供商可以假冒车联网合法业务提供商身份部署虚假业务服务器,骗取终端用户登录,获得用户信息。在未经访问控制的情况下,非法用户可以随意访问系统业务数据,调用系统业务功能,使系统面临着信息泄露及功能滥用的风险。业务数据在传输、存储、处理等过程中面临着篡改、泄露等安全风险。
直连通信应用以网络层PC5广播通道为基础,在应用层通过V5接口实现,该场景下主要面临着假冒用户、消息篡改/伪造/重放、隐私泄露、消息风暴等安全风险。利用PC5/V5无线接口的开放性,攻击者可以假冒合法用户身份发布虚假的、伪造的业务信息,篡改、重放真实业务信息,造成业务信息失真,严重影响车联网业务安全;同时,攻击者可以在V5接口上窃听传输的业务信息,获取用户身份、位置、业务参数等敏感数据,造成用户隐私泄露;此外,攻击者还可通过大量发送垃圾信息的方式形成消息风暴,使终端处理资源耗尽,导致业务服务中断。
3、 车载终端
车载终端承载了大量功能,除了传统的导航能力,近年来更是集成了移动办公、车辆控制、辅助驾驶等功能。功能的高度集成也使得车载终端更容易成为黑客攻击的目标,造成信息泄露,车辆失控等重大安全问题。因此车载终端面临着比传统终端更大的安全风险。
接口层面安全风险 。 车载终端可能存在多个物理访问接口,在车辆的供应链、销售运输、维修维护等环节中,攻击者可能通过暴露的物理访问接口植入有问题的硬件或升级有恶意的程序,对车载终端进行入侵和控制。另外,车载终端通常有多个无线连接访问接口,攻击者可以通过无线接入方式对车载终端进行欺骗、入侵和控制。如通过卫星或基站定位信号、雷达信号进行欺骗,无钥匙进入系统入侵等。
设备层面安全风险 。 访问控制风险:当车载终端内、车载终端与其它车载系统间缺乏适当的访问控制和隔离措施时,会使车辆整体安全性降低。
固件逆向风险:攻击者可能通过调试口提取系统固件进行逆向分析。设备的硬件结构、调试引脚、Wi-Fi系统、串口通信、MCU(Microcontroller Unit)固件、CAN总线数据、T-BOX指纹特征等均可能被逆向分析,进而利用分析结果对终端系统进行进一步攻击。
不安全升级风险:黑客可能引导系统加载未授权代码并执行,达到篡改系统、植入后门、关闭安全功能等目的。
权限滥用风险:应用软件可能获得敏感系统资源并实施恶意行为(如GPS跟踪,后台录音等),给行车安全和用户信息保护带来了很大的安全隐患。
系统漏洞暴露风险:如果系统版本升级不及时,已知漏洞未及时修复,黑客可能通过已有的漏洞利用代码或者工具能够对终端系统进行攻击。例如,黑客可能利用漏洞提权或关闭安全功能,发送大量伪造的数据包,对车载终端进行拒绝服务攻击。
应用软件风险:车载终端上软件很多来自外部,可能缺少良好的编码规范,存在安全漏洞。不安全的软件一旦安装到设备上,很容易被黑客控制。
数据篡改和泄露风险:关键系统服务和应用内的数据对辅助驾驶和用户对车况判断非常关键。数据被篡改可能导致导航位置错误、行车路径错误、车附属传感内容错误,车载应用的相关内容不正确。内容数据的泄露同样会造成诸多安全问题和隐患。
4、 路侧设备
路侧设备是LTE-V2X车联网系统的核心单元,它的安全关系到车辆、行人和道路交通的整体安全。它所面临的主要安全风险如下:
1、非法接入:RSU通常通过有线接口与交通基础设施及业务云平台交互。黑客可以利用这些接口接入RSU设备,非法访问设备资源并对其进行操作和控制,从而造成覆盖区域内交通信息混乱。攻击者甚至还能通过被入侵或篡改的路侧设备发起反向攻击,入侵整个交通专用网络及应用系统,在更大范围内危害整个系统的安全。
2、运行环境风险:与车载终端类似,RSU中也会驻留和运行多种应用、提供多种服务,也会出现敏感操作和数据被篡改、被伪造和被非法调用的风险。
3、设备漏洞:路侧设备及其附件(智能交通摄像头等终端)可能存在安全漏洞,导致路侧设备被远程控制、入侵或篡改。
4、远程升级风险:通过非法的远程固件升级可以修改系统的关键代码,破坏系统的完整性。黑客可通过加载未授权的代码并执行来篡改系统、关闭安全功能,导致路侧设备被远程控制、入侵或篡改。
5、部署维护风险:路侧设备固定在部署位置后,可能由于部署人员的失误,或交通事故、风、雨等自然原因导致调试端口或通信接口暴露或者部署位置变动,降低了路侧设备物理安全防御能力,使破坏和控制成为可能。
二、如何应对这些风险
1、 网络通信
LTE-V2X网络通信安全包含蜂窝通信接口通信安全和直连通信接口通信安全,在系统设计时应满足如下安全需求:
蜂窝通信接入过程中,终端与服务网络之间应支持双向认证,确认对方身份的合法性;
蜂窝通信过程中,终端与服务网络应对LTE网络信令支持加密、完整性以及抗重放保护,对用户数据支持加密保护,确保传输过程信息中不被窃听、伪造、篡改、重放;
直连通信过程中,系统应支持对消息来源的认证,保证消息的合法性;支持对消息的完整性及抗重放保护,确保消息在传输时不被伪造、篡改、重放;应根据需要支持对消息的机密性保护,确保消息在传输时不被窃听,防止用户敏感信息泄露;
直连通信过程中,系统应支持对真实身份标识及位置信息的隐藏,防止用户隐私泄露。
2、 业务应用
基于云平台的业务应用与移动互联网“云、管、端”的业务交互模式相同,故其安全需求与现有网络业务应用层安全需求基本一致,需确保业务接入者及服务者身份的真实性、业务内容访问的合法性、数据存储、传输的机密性及完整性,平台操作维护管理的有效性,并做好日志审计确保可追溯性。
基于直连通信的业务应用具有新的特点,需要满足传输带宽、处理实时性等各方面要求,由此要求安全附加信息尽量精简,运算处理时间尽量压缩,以满足车联网业务快速响应的特点。在业务消息的传输过程中,系统还应:
支持数据源的认证,保证数据源头的合法性,防止假冒终端或伪造的数据信息;
应支持对消息的完整性及抗重放保护,防止消息被篡改、重放;根据需要可支持消息的机密性,保证消息在传输时不被窃听,防止用户私密信息泄露;
应支持对终端真实身份标识及位置信息的隐藏,防止用户隐私泄露。
3、 车载终端和路侧设备
车载终端和UE型RSU具有很多共同的安全需求,其内容涉及到硬件设计、系统权限管理、运行环境安全、资源安全管理等方面,主要安全需求如下:
车载终端和UE型路侧设备应注意有线和无线接口的安全防护。设备应具有完备的接入用户权限管理体系,对登录用户做可信验证并且合理分配用户权限,根据不同用户权限进行不同操作处理。另外,关键芯片的型号及具体管脚功能,敏感数据的通信线路应尽量隐蔽。
车载终端和UE型路侧设备应具备对敏感数据的存储和运算进行隔离的能力。
车载终端和UE型路侧设备应支持系统启动验证功能,固件升级验证功能,程序更新和完整性验证功能以及环境自检功能,确保基础运行环境的安全。
车载终端和UE型路侧设备应支持访问控制和权限管理功能,确保系统接口、应用程序、数据不被越权访问和调用。
车载终端和UE型路侧设备应具有安全信息采集能力和基于云端的安全管理能力。设备可通过安全信息采集与分析发现漏洞与潜在威胁,同时上报云端,由云端平台修补相应漏洞,并通知其他终端防止威胁扩散。
车载终端和UE型路侧设备应具有入侵检测和防御能力。设备可通过分析车内应用的特点制定检测和防御规则,检测和隔离恶意消息。对于可能的恶意消息,可进一步上报给云端平台进行分析和处理。
除了上述共同的安全需求外,UE型RSU还应支持物理安全防护能力、防拆卸或拆卸报警能力、部署位置变动的报警能力等。eNB型RSU形态与eNB类似,应参考现有eNB设备安全技术要求及安全防护要求进行安全保护。
三、 LTE-V2X车联网系统安全架构及机制
1、 系统安全架构
蜂窝通信场景系统安全架构。为了支持基于LTE-Uu接口的车联网业务需求,3GPP标准组织参照邻近通信业务的系统方案在现有LTE网络的基础之上引入了V2X控制功能网元,对车联网终端及业务进行管控,并对上层业务提供方提供服务支撑,满足业务需要。在此网络架构下,LTE-V2X车联网系统安全架构如下图所示。为了清晰,此处以车载终端为例表示终端设备,除此之外它还可以是UE型RSU或者行人便携终端。
▲LTE-V2X蜂窝通信场景系统安全架构示意图
蜂窝通信场景下,LTE-V2X车联网系统安全架构包含如下七个安全域:
1、网络接入安全:车联网终端接入到LTE网络的信令及数据安全,如(1)所示,包括接入层安全和非接入层安全。
2、网络域安全:LTE系统网元之间信令及数据交互的安全,如(2)所示,包括LTE接入网与服务网络之间,服务网络与归属网络之间的安全交互。
3、认证及密钥管理:车联网终端与LTE网络的接入认证以及密钥管理,如(3)所示。
4、车联业务接入安全:车联网终端与V2X控制功能之间的安全,如(4)所示。
5、车联业务能力开放安全:V2X控制功能与LTE-V2X业务提供方之间的安全,如(5)所示。
6、网络安全能力开放:LTE系统向应用层开放网络层安全能力,提供双向身份认证及密钥协商服务,如(6)所示。
7、应用层安全:车联网终端应用和LTE-V2X业务提供方之间在应用层提供的数据通信安全和用户隐私安全,如(7)所示。
直连通信场景系统安全架构 。直连通信场景下LTE-V2X车联网系统安全架构如下图所示。其中RSU设备可以通过有线接口与交通信号控制系统及业务云平台交互。
▲LTE-V2X直连通信场景系统安全架构示意图
直连通信场景下,LTE-V2X车联网系统安全架构包含如下四个安全域:
1、网络层安全:车联网终端在网络层提供的数据通信安全和用户隐私安全,如(1)所示。
2、安全能力支撑:网络层向应用层提供的安全能力支撑,保护用户隐私信息,如(2)所示。
3、应用层安全:车联网终端在应用层提供的数据通信安全和用户隐私安全,如(3)所示。
4、外部网络域安全:RSU设备与其他网络域设备之间的接入及数据交互安全,如(4)所示,是LTE-V2X车联网与其他系统之间的安全边界。
2、 网络层安全机制
蜂窝通信场景 。 对应于本节图1,LTE-V2X车联网系统在网络层包含安全域(1)至(6),负责网络接入、数据传输的安全以及对外的安全能力开放。目前所采取的安全机制如下。
1、网络接入安全:继承LTE网络现有安全机制,采用接入层(AS)和非接入层(NAS)两层安全体系保障传输安全。接入层安全负责终端与LTE基站(eNB)之间的安全,包括对AS层控制面信令的机密性和完整性安全保护,以及对用户面数据的机密性安全保护。非接入层安全负责车联网终端与LTE核心网移动性管理实体(MME)之间的安全,包括NAS层控制面信令的机密性和完整性安全保护。
2、网络域安全:继承LTE网络现有安全机制,将网络划分为不同的安全域,使用NDS/IP的方式(IKE+IPsec)保护网络域的安全,在网元之间提供双向身份认证、机密性、完整性和抗重放保护。它使用NDS/AF定义的机制实现证书管理。
3、认证及密钥管理:继承LTE网络现有安全机制,在终端与LTE核心网间基于运营商安全凭据(如根密钥K)实现EPS-AKA双向认证,保证终端和网络身份的合法性。同时,基于LTE分层密钥架构体系,生成AS层及NAS层会话密钥,保证AS层和NAS层的数据传输安全。终端及核心网从密钥K衍生出中间密钥Kasme,再由中间密钥Kasme衍生出AS层和NAS层的完整性保护密钥和加密密钥,用于对信令和数据的完整性保护和加密。
4、车联业务接入安全:车联网系统新增的安全域,对于LTE核心网而言属于应用层安全。它在终端与其归属网络的V2X控制功能之间提供双向认证,对终端身份提供机密性保护;在终端与V2X控制功能之间对配置数据提供传输时的完整性保护、机密性保护和抗重放保护。它包括UICC配置传输安全和终端数据传输安全。
UICC配置传输安全的基本机制如下。终端部署应用后,UICC上保存的配置参数可能需要更新以反映系统配置的更改。这时可采用UICC OTA机制对更新的配置数据进行传输保护。
终端数据传输安全根据消息发起方的不同在机制流程上有所区别。对于终端发起的消息,可通过GBA(Generic Bootstrapping Architecture)机制在终端与V2X控制功能之间进行双向认证并协商会话密钥,以此为基础建立PSK TLS安全连接。对于网络侧发起的消息,需根据不同情况进行不同处理。如果终端与V2X控制功能之间在先前消息交互时建立的PSK TLS安全连接仍然存在,则使用已有的PSK TLS会话完成消息的安全传输;否则,需使用GBA Push机制在终端与V2X控制功能之间进行双向认证并协商会话密钥,以此为基础重新建立PSK TLS安全连接。
5、车联业务能力开放安全:车联网系统新增的安全域,保证对上层应用提供LTE-V2X业务能力开放过程中的接入及数据传输安全。它可采取类似于网络域安全的方法来保护,在不同安全域之间采用IPSec、TLS等安全机制为业务提供双向认证、加密、完整性保护和抗重放的安全保障。
6、网络安全能力开放:继承LTE网络现有GBA、GBA Push等安全机制,利用LTE网络在终端侧USIM卡以及核心网中已有的密钥信息对终端进行身份认证并且为应用层协商会话密钥。LTE-V2X业务提供方可利用网络层开放的安全能力在应用层建立安全的通信通道,保证业务数据传输的安全,降低对于应用层安全机制的依赖。
直连通信场景 。 对应于本节图2,LTE-V2X车联网系统在网络层包含安全域(1)、(2)和(4),负责基于PC5接口数据传输的安全以及对上层应用的安全能力支撑。目前所采取安全机制如下。
1、网络层安全:根据3GPP组织的定义,终端在网络层不采取任何机制对PC5接口上广播发送的直连通信数据进行安全保护,数据的传输安全完全在应用层V5接口保障。网络层仅提供标识更新机制对用户隐私进行保护。终端通过随机动态改变源端用户层二标识和源IP地址,防止用户身份标识信息在PC5广播通信的过程中遭到泄露,被攻击者跟踪。
2、安全能力支撑:网络层向应用层提供安全能力支撑,采取用户标识跨层同步机制确保源端用户层二标识、源IP地址与应用层标识同步更新,防止由于网络层与应用层用户身份标识更新的不同步,导致用户标识关联信息被攻击者获取,用户隐私信息遭到泄露。
3、外部网络域安全:采取类似于网络域安全的方法来保护。在RSU设备与其他网络域设备之间通过物理隔离防护的方法保证传输链路的物理安全,或者通过建立IPSec、TLS等安全通信通道的方法,为跨网络域数据及信息交互提供双向认证、加密、完整性保护和抗重放的安全保障。
3、应用层安全机制
LTE-V2X车联网业务应用安全包含基于云平台的和基于直连通信的两个部分。
基于云平台的LTE-V2X车联网业务应用与传统移动互联网应用类似,可采取现有安全机制在软硬件、系统等方面做好防护,同时可将应用层安全机制作为蜂窝通信场景的附加安全解决方案,确保业务数据传输时的安全,这里不再赘述。本节主要关注直连通信场景下应用层的安全机制。
直连通信安全 。 为了实现OBU、RSU等V2X设备间的安全认证和安全通信,LTE-V2X车联网系统使用基于公钥证书的PKI机制确保设备间的安全认证和安全通信,采用数字签名等技术手段实现V2V/V2I/V2P直连通信安全。密码算法应采用国家密码管理局批准的国密算法,数字证书应符合国家标准或者行业标准的技术要求。
▲安全的直连通信流程
上图以V2I通信为例给出了典型的V5接口安全通信过程,具体如下:
1、CA证书管理系统以安全的方式向OBU终端颁发公钥证书(安全消息证书Co1、Co2、…)用于签发PC5/V5直连通信消息,向RSU下发CA公钥证书(Cca1、Cca2)用于验证OBU公钥证书真实性的。为了保护用户隐私,CA管理系统可以一次下发多个采用假名方式标识的公钥证书供OBU终端随机使用。
2、OBU终端使用公钥证书(Co)对应的私钥对业务消息内容进行数字签名,之后将业务消息内容、消息签名值以及所使用的的公钥证书/证书链组建成完整PC5/V5直连通信消息在空口上广播发送。
3、接收到PC5/V5直连通信消息后,RSU使用CA公钥证书(Cca1、Cca2)验证消息中携带的OBU公钥证书或证书链,然后利用OBU公钥证书里的公钥验证消息签名,以检查消息的完整性。
4、成功验证OBU公钥证书(Co)后,RSU可将该证书的Hash值保存在本地,后续可通过Hash值验证该证书,从而减少证书验证所需的密码运算开销。
CA基础设施构建 。 为了能够对基于数字证书的应用层安全机制提供有效支撑,LTE-V2X车联网系统需要建立一套完整的CA管理系统,实现证书颁发、证书撤销、终端安全信息收集、数据管理、异常分析等一系列与安全相关的功能,确保V2X业务的安全。
系统框架 。 CA管理系统需要管理车载终端设备、路侧设备以及包括制造工厂、注册机构、授权机构和服务机构在内的与LTE-V2X车联网业务相关的各个部门,其总体框架图如下图所示。
▲LTE-V2X安全基础设施总体框架
制造工厂负责LTE-V2X车联网系统相关设备的生产,如车载终端设备、路侧设备、后台系统所使用的安全设备等。
注册机构负责车载设备及路侧设备的认证,只有经过相关注册机构的认证,这些设备才能在系统中使用。LTE-V2X车联网系统中注册机构为颁发注册证书的CA。
授权机构负责车载设备及路侧设备的授权,只有经过相关授权机构的授权,这些设备才能在系统中播发或接收授权许可的消息。LTE-V2X车联网系统中授权机构为颁发安全消息证书的安全消息CA和颁发服务消息证书的服务消息CA。
根据LTE-V2X车联网业务管理模式的不同,注册机构和授权机构可以是同一个管理部门负责,也可以由不同的管理部门负责。
基本工作流程 。 LTE-V2X车联网CA管理系统的基本工作流程为:
1、注册机构对LTE-V2X车联网设备和服务机构的资格进行认证,并向通过认证的实体颁发注册(认证)证书;
2、LTE-V2X车联网设备利用注册证书向授权机构申请LTE-V2X车联网系统的功能授权;
3、授权机构根据LTE-V2X车联网设备的认证证书向其颁发授权证书,授权证书中描述了该设备所能执行的功能和安全操作;
4、LTE-V2X车联网设备利用授权证书及其对应的公私钥对收发的消息进行签名、验签或加解密等安全操作。
4、 终端和路侧设备安全机制
车载终端和路侧设备安全是LTE-V2X车联网安全的关键环节。对车载终端的攻击轻则可能导致车辆故障或者被盗,致使用户财产受损,重则可能导致车毁人亡的重大交通事故。对路侧设备的攻击会对车联网系统整体造成影响,严重时可能造成交通系统混乱。
针对车载终端和UE型路侧设备的共同点,可以从接口层面和设备层面两个方面保证其安全性。
接口层面安全机制 。 车载终端和UE型路侧设备的关键芯片要尽量采用无管脚暴露的封装形式,商用产品要禁用调试接口。
车载终端和UE型路侧设备需要进行访问控制,检查访问者是否具备合法的令牌、口令或证书,提升攻击的难度。同时进一步设置合适和统一的安全策略,如访问密码复杂度,对关键资源访问采用双重认证等,进一步提升防御非法攻击者获取访问入口的能力。
除此之外,RSU设备存在与其他网络域设备的外部接口。这些接口是RSU设备与交通信号控制系统、业务云平台之间交互的通道,是车联网与其他系统间的安全边界。为了防止网络跨安全域的攻击,可以在接口上采取IPSec、TLS等安全措施实现双向认证、数据机密性、完整性及防重放保护。
设备层面安全机制 。 系统隔离机制:以芯片/硬件/固件安全为基础,采用硬件隔离和安全域隔离的方式将具有高安全要求特征的核心驾驶系统和驾驶辅助应用与具有低安全要求特征的车载娱乐系统和娱乐应用进行隔离,以保护敏感数据和操作。例如仅在SPU(Secure Processing Unit,安全处理器)/TEE(TrustedExecution Environment,可信执行环境)/SE(Secure Element,安全单元)中进行密码运算及敏感操作。
安全启动和安全升级机制:采用对软件包进行数字签名的技术,通过校验系统和应用软件的数字签名确定软件包是否合法,从而保证系统只能引导合法的系统和应用。
安全存储和传输机制:为上层应用提供基于软件或硬件的加解密服务,保护敏感数据。提供加密和签名服务,保证发送消息的机密性和完整性。
另外,UE型与eNB型路侧设备还需要具备保证部署环境安全的机制,例如对位置和工作状态进行监控,预警部署环境威胁,对设备外壳进行防拆解改造,通过防拆解电路报警机制加强抵御物理攻击的能力。eNB型RSU还应结合现有eNB设备安全技术机制及安全防护机制进行安全保护。
5、安全运营和管理
车联网系统涉及到的处理、管控环节众多,虽然可以在网络、应用、终端、数据、车辆等各方面采取主动安全机制预防来自各方的攻击,然而,不可避免地仍会存在潜在的安全漏洞,安全事件也仍会发生。为了进一步提高车联网系统发现和应对安全事件的能力,车联网还应加强安全运营及管控,提高系统的安全防御能力。
车联网安全运营及管理体系是一套完整的系统安全解决方案,基本结构如图4-7所示。它从采集、检测、发现、评估、调查和响应等环节对车联网安全事件进行全生命周期的监测和管理。车联网安全运营管理体系能够收集和存储来自每个节点的安全事件和安全问题,并且通过对安全事件的高级分析,关联解析出单个节点无法分析出的安全威胁,提升安全威胁事件预警的准确率,并以可视化的方式呈现,从而综合提升LTE-V2X车联网安全的管控能力。
▲车联网安全运营及管理体系
车联网安全运营及管理体系包含如下三个层次:
1、数据采集层 。 数据采集层主要负责车联网安全事件及V2X应用异常行为的采集。该层收集各类安全事件,包括 :入侵检测和防御(IDPS)事件、车内各模块的安全事件、OEM和需提供集成商(OEM&SI)提供的安全事件和其他途径获取的安全事件,并上报到安全运营管理平台。该平台将收集和存储上报的大量信息安全相关信息。
2、数据处理层 。 数据处理层主要负责车联网安全事件的分析和处理。除了从数据采集层收集信息外,该层还会从第三方收集车联网安全情报,然后进行分析、去重,并结合历史威胁以及威胁情报,降低事件的误报率,通过安全事件处理机制,派发工单,对安全事件进行处理。
3、可视化层 。 可视化层主要负责车联网威胁和风险的可视化呈现,这部分给运营人员呈现一个威胁可读、可视、可感知的平台,对历史安全事件进行留存,便于事件调查、分析和取证。
智东西认为,要保证自动驾驶的安全性,仅依靠汽车上搭载的多种传感器仍不足够,还需要车联网提供的更多信息。而V2X技术将“人、车、路、云”等交通参与要素有机地联系在一起,不仅可以支撑车辆获得比单车感知更多的信息,促进自动驾驶技术创新和应用;还有利于构建一个智慧的交通体系,促进汽车和交通服务的新模式新业态发展,对提高交通效率、节省资源、减少污染、降低事故发生率、改善交通管理具有重要意义。在5G新技术的加持下,V2X技术也将走上通往L5自动驾驶的新台阶,届时,安全性和稳定性将是评价此类技术的第一标准, 多级边缘计算体系 、 轻量级安全、 物理层安全等新技术都可以是下一阶段C-V2X车联网安全技术研究可关注的方向。
智能内参
权威数据·专业解读 读懂智能行业必看的报告在智东西回复“智能内参”查看全部报告
