周唯，劉建行，羅瓔珞

〔國(guó)汽（北京）智能網(wǎng)聯(lián)汽車研究院有限公司，北京 100176〕

1 引言

V2X是實(shí)現(xiàn)汽車網(wǎng)聯(lián)化并最終達(dá)到智能化網(wǎng)聯(lián)化融合發(fā)展的重要技術(shù)。2018年12月，工信部印發(fā)《車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）產(chǎn)業(yè)發(fā)展行動(dòng)計(jì)劃》中明確提出：“到2020年，實(shí)現(xiàn)基于第四代移動(dòng)通信技術(shù)設(shè)計(jì)的車聯(lián)網(wǎng)無(wú)線通信技術(shù)（LTEV2X）產(chǎn)業(yè)化與商用部署”。目前，V2X產(chǎn)業(yè)鏈逐步完善，城市、高速公路示范應(yīng)用不斷推進(jìn)。2019年4月，13家車廠共同發(fā)布中國(guó)車企V2X商用路標(biāo)，V2X產(chǎn)業(yè)基礎(chǔ)已經(jīng)具備。V2X相關(guān)總體技術(shù)要求，接入層、網(wǎng)絡(luò)層、應(yīng)用層等行標(biāo)或國(guó)家標(biāo)準(zhǔn)已陸續(xù)完成。通信、交通、交管部門(mén)間協(xié)作不斷加強(qiáng)，共同推進(jìn)V2X產(chǎn)業(yè)化部署。V2X商用化將呈現(xiàn)爆發(fā)式增長(zhǎng)。信息安全是V2X通信商用化的基石，也是全行業(yè)的共識(shí)。

在V2X通信場(chǎng)景下，安全需求主要包括可認(rèn)證性、完整性和抗抵賴性?？烧J(rèn)證性和完整性保護(hù)在V2X通信中尤為重要，特別是傳遞的信息都是關(guān)于周圍車輛行駛狀態(tài)、道路緊急狀況和安全事故時(shí)，必須保證消息是合法設(shè)備所發(fā)出的，沒(méi)有被篡改或者重放。同時(shí)，要考慮到可認(rèn)證性一般要基于用戶的身份進(jìn)行鑒別，而直接使用車輛或其所有者的信息，又可能造成用戶隱私泄露。因此，要充分平衡可信和隱私保護(hù)，并且結(jié)合V2X通信終端類型多樣化、分布地域廣、高吞吐量、低時(shí)延要求等特點(diǎn)，選擇有效地身份認(rèn)證和完整性保護(hù)措施，構(gòu)建V2X通信的安全可信體系。

2 體系方案

2.1 體系架構(gòu)

基于國(guó)產(chǎn)密碼算法的車聯(lián)網(wǎng)V2X通信安全可信體系（本文簡(jiǎn)稱V2X通信安全可信體系）是滿足V2X通信對(duì)真實(shí)性和完整性需求的安全體系。其系統(tǒng)架構(gòu)如圖1所示，主要包含Root CA根證書(shū)簽發(fā)機(jī)構(gòu)、ICA中間層證書(shū)簽發(fā)機(jī)構(gòu)、MA不當(dāng)行為管理系統(tǒng)、PG策略簽發(fā)系統(tǒng)、ECA注冊(cè)證書(shū)簽發(fā)機(jī)構(gòu)、PCA消息證書(shū)簽發(fā)機(jī)構(gòu)、AS受理服務(wù)器等模塊。

各模塊功能。

（1）Root CA根證書(shū)簽發(fā)機(jī)構(gòu)

設(shè)定子CA入根策略，簽發(fā)ICA、PG、MA的CA證書(shū)。預(yù)留國(guó)家根接入功能，提供管理中心管理RCAM。

（2）ICA中間層證書(shū)簽發(fā)機(jī)構(gòu)

設(shè)定子CA策略，為ECA、PCA、AS簽發(fā)CA證書(shū)，提供管理中心管理ICAM。

（3）MA不當(dāng)行為管理系統(tǒng)

接收提交的不當(dāng)行為報(bào)告（MBR），異步處理MBR報(bào)告，驗(yàn)證報(bào)告的有效性，并請(qǐng)求CRLG吊銷相應(yīng)證書(shū)。

（4）PG策略簽發(fā)系統(tǒng)

圖1 V2X通信安全可信體系架構(gòu)

為V2X通信安全可信平臺(tái)維護(hù)和簽署全局策略文件（GPF）和全局證書(shū)鏈文件（GCCF）。

（5）ECA注冊(cè)證書(shū)簽發(fā)機(jī)構(gòu)

處理車輛提交的EC證書(shū)申請(qǐng)，為車輛簽發(fā)EC，并提供注冊(cè)證書(shū)管理功能。支持顯式/隱式證書(shū)類型，支持三種證書(shū)格式：GB/T37376、IEEE1609.2以及自主設(shè)計(jì)證書(shū)。

（6）PCA消息證書(shū)簽發(fā)機(jī)構(gòu)

處理車輛提交的PC證書(shū)申請(qǐng)，為車輛生成PC，為V2X消息提供安全防護(hù)功能。支持顯式/隱式證書(shū)類型，支持三種證書(shū)格式：GB/T37376、IEEE1609.2以及自主設(shè)計(jì)證書(shū)。

（7）AS受理服務(wù)器

受理和驗(yàn)證車輛多種請(qǐng)求，驗(yàn)證通過(guò)后將請(qǐng)求分發(fā)至平臺(tái)對(duì)應(yīng)子系統(tǒng)進(jìn)行處理；支持路由分發(fā)、權(quán)限攔截、設(shè)備管理、注冊(cè)證書(shū)黑名單管理功能；根據(jù)GPF和GCCF，設(shè)置本地策略文件（LPF）和本地證書(shū)鏈文件（LCCF）。

2.2 體系流程

V2X通信安全可信體系方案的基本思路是為V2X通信提供基于國(guó)密算法的數(shù)字證書(shū)分發(fā)和簽名服務(wù)。出廠車輛內(nèi)置身份證書(shū)LTC或者其它身份憑據(jù)是車輛接入V2X通信可信體系的原始認(rèn)證基礎(chǔ)。LTC通常在汽車生產(chǎn)線上實(shí)現(xiàn)證書(shū)灌裝。同時(shí)，V2X通信安全可信體系還支持SIM卡預(yù)置證書(shū)和車輛通過(guò)GBA過(guò)程獲取下發(fā)身份憑據(jù)等多種方式作為車輛初始標(biāo)識(shí)信息用于身份驗(yàn)證。車輛通過(guò)提交相關(guān)身份信息獲取V2X通信安全可信體系的注冊(cè)證書(shū)（EC）。EC由注冊(cè)證書(shū)簽發(fā)機(jī)構(gòu)（ECA）簽發(fā)。EC通常有效期較長(zhǎng)，可以為一年或者更長(zhǎng)的時(shí)間。EC并不直接用于對(duì)V2X消息進(jìn)行簽名防護(hù)。用來(lái)簽名的消息證書(shū)（PC）是由車輛每周向平臺(tái)申請(qǐng)獲得。PC由消息證書(shū)簽發(fā)機(jī)構(gòu)（PCA）生成。PC申請(qǐng)與下載為異步，以避免生成PC時(shí)系統(tǒng)要保持連接所耗費(fèi)的資源。PCA和ECA承擔(dān)了V2X通信安全可信平臺(tái)的核心功能。

此外，為了車輛與平臺(tái)連接的配置盡量簡(jiǎn)化，方案設(shè)計(jì)了受理服務(wù)器（AS）模塊，進(jìn)行基本鑒權(quán)和任務(wù)分發(fā)等工作。AS在一定程度上是整體平臺(tái)的網(wǎng)關(guān)，負(fù)責(zé)安全防護(hù)。由于各家車廠初始身份憑證或者認(rèn)證授權(quán)系統(tǒng)的建設(shè)情況不同，企業(yè)標(biāo)準(zhǔn)也不同，所以在ECA或者AS的實(shí)現(xiàn)上可能存在個(gè)性化差異。因此，在V2X通信安全可信平臺(tái)中加入中間層證書(shū)簽發(fā)系統(tǒng)（ICA）模塊，以實(shí)現(xiàn)國(guó)汽V2X根CA（RCA）對(duì)多ICA的接入。各主機(jī)廠ICA簽發(fā)其子系統(tǒng)中的ECA、PCA和AS，實(shí)現(xiàn)個(gè)性化子系統(tǒng)的靈活接入。此外，V2X通信安全可信平臺(tái)還具有不當(dāng)行為管理系統(tǒng)（MA）功能和策略中心（PG）功能。MA對(duì)車端上報(bào)的其它車輛不當(dāng)行為進(jìn)行驗(yàn)證分析，并采取相應(yīng)處理措施。PG對(duì)整體系統(tǒng)進(jìn)行策略定義，以維護(hù)體系的統(tǒng)一和完整。整體流程如圖2所示。

2.3 短證書(shū)和秘鑰衍生技術(shù)

圖2 V2X通信安全可信體系整體流程

為了適用V2X高動(dòng)態(tài)、高隨機(jī)、低時(shí)延、高可靠應(yīng)用場(chǎng)景需求，加上V2X直連通信空口資源有限，所以要求相應(yīng)的V2X消息簽名和證書(shū)都要盡量短。參考國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)，提出了顯式證書(shū)和隱式證書(shū)等多種證書(shū)格式，均能滿足對(duì)長(zhǎng)度需求。在實(shí)際演示活動(dòng)中使用的顯式證書(shū)僅有164個(gè)字節(jié)，大大優(yōu)于傳統(tǒng)的X.509證書(shū)，如表1所示。

為了節(jié)省車輛向云端平臺(tái)發(fā)送PC申請(qǐng)所耗費(fèi)的空口通信資源，V2X通信安全可信體系使用了密鑰衍生技術(shù)。密鑰衍生是指車輛端僅產(chǎn)生一對(duì)因子，其中公鑰因子發(fā)送到平臺(tái)后，會(huì)由平臺(tái)擴(kuò)展為多個(gè)因子，例如20個(gè)因子，并生成相應(yīng)的公私鑰對(duì)，并進(jìn)一步形成完整的顯式證書(shū)+私鑰重構(gòu)值。或者公私鑰重構(gòu)值，其中公鑰重構(gòu)值被稱為隱式證書(shū)。申請(qǐng)證書(shū)的車端接收到私鑰重構(gòu)值后，在安全單元里進(jìn)行運(yùn)算以得到用于簽名的完整私鑰。而隱式證書(shū)將隨消息和簽名直接發(fā)出，在接收方結(jié)合相應(yīng)的平臺(tái)參數(shù)和算法，還原完整公鑰用于消息驗(yàn)簽。

V2X通信安全可信體系實(shí)現(xiàn)了我國(guó)自主設(shè)計(jì)的CLPKC機(jī)制，進(jìn)行密鑰衍生并生成隱式證書(shū)，大大提升了證書(shū)的分發(fā)效率和消息的驗(yàn)簽速度。同時(shí)，對(duì)比美國(guó)所使用的ECQV機(jī)制，CLPKC的安全性也更高，是一種已經(jīng)被證明的、安全高效的可信方案。

3 實(shí)施部署和應(yīng)用示范

V 2 X通信安全可信體系按照從原型系統(tǒng)POC、開(kāi)放測(cè)試系統(tǒng)、場(chǎng)地測(cè)試驗(yàn)證和運(yùn)營(yíng)系統(tǒng)的多階段部署方案實(shí)施，目前已進(jìn)入第四階段：正式運(yùn)營(yíng)系統(tǒng)，如圖3所示。

第二階段的開(kāi)放測(cè)試系統(tǒng)和眾測(cè)平臺(tái)于2019年8月對(duì)外開(kāi)放，眾測(cè)平臺(tái)提供系統(tǒng)的詳細(xì)技術(shù)方案和流程的介紹以及大量測(cè)試用例，用來(lái)配合V2X通信終端廠商進(jìn)行安全功能的聯(lián)合調(diào)測(cè)。第三階段的場(chǎng)地測(cè)試驗(yàn)證于2019年10月下旬上海國(guó)際汽車城實(shí)現(xiàn)?！八目纭被ヂ?lián)互通應(yīng)用示范活動(dòng)由IMT-2020（5G）推進(jìn)組C-V2X工作組、中國(guó)智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)創(chuàng)新聯(lián)盟、中國(guó)汽車工程學(xué)會(huì)、上海國(guó)際汽車城（集團(tuán)）有限公司共同舉辦，首次實(shí)現(xiàn)了國(guó)內(nèi)“跨芯片模組、跨終端、跨整車、跨安全平臺(tái)”的C-V2X應(yīng)用展示，共計(jì)有26家中外車企、28家V2X終端廠商、11家通信模組廠商和5家安全廠商參與了活動(dòng)。車輛接入安全可信體系，演示了安全防護(hù)下的多種V2X應(yīng)用場(chǎng)景。

表1 物聯(lián)網(wǎng)應(yīng)用層協(xié)議比較

圖3 實(shí)施部署方案

4 結(jié)束語(yǔ)

基于國(guó)產(chǎn)密碼算法的車聯(lián)網(wǎng)V2X通信安全可信體系適用于車聯(lián)網(wǎng)市場(chǎng)發(fā)展需求。在充分應(yīng)用國(guó)密算法的同時(shí)，也考慮了短證書(shū)、密鑰衍生和重構(gòu)等多種新穎的、自主創(chuàng)新的技術(shù)和方法。

一是設(shè)計(jì)并研發(fā)了基于國(guó)產(chǎn)密碼算法的V2X通信安全系統(tǒng)。系統(tǒng)中使用的國(guó)產(chǎn)密碼算法SM2、SM3實(shí)現(xiàn)對(duì)V2X消息的簽名。同時(shí)，應(yīng)用了自主設(shè)計(jì)的CLPKC機(jī)制，進(jìn)行密鑰衍生并生成隱式證書(shū)，大大提升了證書(shū)的分發(fā)效率和消息的驗(yàn)簽速度。

二是建設(shè)了適用于V2X應(yīng)用場(chǎng)景需求的可信體系。V2X產(chǎn)業(yè)發(fā)展迅速，V2X通信空口資源有限，這就要求相應(yīng)的V2X消息簽名和證書(shū)都要盡量短。目前系統(tǒng)參考國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)，提出了顯式證書(shū)和隱式證書(shū)等多種證書(shū)格式，均能滿足對(duì)長(zhǎng)度需求。

三是提出了從平臺(tái)到車端的完整解決方案。其中，車端模塊插件化，可以迅速集成到車輛V2X協(xié)議棧中，實(shí)現(xiàn)與平臺(tái)的無(wú)縫對(duì)接。

四是形成體系化的V2X通信安全核心技術(shù)標(biāo)準(zhǔn)。包括證書(shū)格式、密鑰生成與管理方式、證書(shū)申請(qǐng)流程，和簽名消息格式與發(fā)送要求技術(shù)規(guī)范。并且與已有標(biāo)準(zhǔn)協(xié)同、一致。

五是堅(jiān)持自主創(chuàng)新、安全可控，打造國(guó)際化民族品牌。參考國(guó)際上V2X CA系統(tǒng)，在吸取國(guó)際同類系統(tǒng)經(jīng)驗(yàn)的同時(shí)，依據(jù)法律法規(guī)，形成先進(jìn)的、安全的、可靠的以及可擴(kuò)展的自主知識(shí)產(chǎn)權(quán)的V2X通信安全可信系統(tǒng)。