基于數(shù)字簽名的車(chē)聯(lián)網(wǎng)安全體系研究

楊正球，鄭一帆，修佳鵬

北京郵電大學(xué) 計(jì)算機(jī)學(xué)院，北京100876

隨著車(chē)輛智能化的發(fā)展以及通信技術(shù)的快速演進(jìn)，車(chē)聯(lián)網(wǎng)開(kāi)始以支持車(chē)載信息服務(wù)為主向，以智能化和網(wǎng)聯(lián)化為基礎(chǔ)的輔助駕駛、自動(dòng)駕駛和智慧交通的應(yīng)用發(fā)展[1]。隨著5G 時(shí)代的到來(lái)，車(chē)輛網(wǎng)迎來(lái)新的生機(jī)與活力，成為當(dāng)下主流熱點(diǎn)。如圖1所示即為新的網(wǎng)絡(luò)技術(shù)背景下智能網(wǎng)聯(lián)汽車(chē)框架圖，涉及智能網(wǎng)聯(lián)汽車(chē)平臺(tái)、智能網(wǎng)聯(lián)汽車(chē)組件、車(chē)聯(lián)網(wǎng)通信體系三部分[2-3]。

圖1 智能網(wǎng)聯(lián)汽車(chē)框架圖Fig.1 Intelligent connected vehicles frame diagram

作為整個(gè)車(chē)聯(lián)網(wǎng)架構(gòu)的核心，智能網(wǎng)聯(lián)汽車(chē)平臺(tái)包括車(chē)載娛樂(lè)系統(tǒng)，對(duì)應(yīng)汽車(chē)組件中的IVI（in-vehicle infotainment）系統(tǒng)，主要負(fù)責(zé)車(chē)身與外界進(jìn)行娛樂(lè)互動(dòng)；電子控制單元對(duì)應(yīng)安全控制組件，主要通過(guò)嵌入安全芯片來(lái)存儲(chǔ)通信密鑰和證書(shū)，保證車(chē)身安全。整個(gè)車(chē)端通過(guò)T-BOX 與外部互聯(lián)網(wǎng)的通信主體進(jìn)行溝通，內(nèi)部T-BOX 與網(wǎng)關(guān)互聯(lián)對(duì)車(chē)內(nèi)部ECU（electronic control unit）組件進(jìn)行通信。

車(chē)聯(lián)網(wǎng)通信體系即為上述所敘的V2X（vehicle to everything）模式。目前用于V2X 通信的主流技術(shù)包括專用短程通信DSRC（dedicated short range communication）技術(shù)和基于蜂窩移動(dòng)通信系統(tǒng)的C-V2X（cellular vehicle to everything）技術(shù)（包括LTE-V2X 和5G NRV2X），其中LTE-V2X（long term evolution-V2X）是基于4G 技術(shù)實(shí)現(xiàn)通信，以LTE蜂窩網(wǎng)絡(luò)為V2X 基礎(chǔ)的車(chē)聯(lián)網(wǎng)專有協(xié)議。LTE-V 技術(shù)采用廣域蜂窩式（LTE-VCell）通信與短程直通式（LTE-V-Direct）通信相結(jié)合的方式，前者基于現(xiàn)有的4G-LTE技術(shù)，主要承載廣域覆蓋的車(chē)聯(lián)網(wǎng)業(yè)務(wù)，后者引入LTE-D2D（device to device）實(shí)現(xiàn)車(chē)對(duì)車(chē)、車(chē)輛對(duì)基礎(chǔ)設(shè)施的直接通信。其中車(chē)云通信指智能網(wǎng)聯(lián)汽車(chē)通過(guò)蜂窩網(wǎng)絡(luò)、衛(wèi)星通信等與車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)通信，傳輸車(chē)輛數(shù)據(jù)，接受服務(wù)平臺(tái)下達(dá)指令；車(chē)車(chē)通信指智能網(wǎng)聯(lián)汽車(chē)通過(guò)LTE-V2X等方式與鄰近車(chē)輛進(jìn)行信息傳遞；車(chē)路通信指智能網(wǎng)聯(lián)汽車(chē)通過(guò)LTE-V2X、射頻通信等方式與路側(cè)設(shè)施進(jìn)行通信；車(chē)人、車(chē)與移動(dòng)終端通信指車(chē)端通過(guò)NFC（near field communication）、藍(lán)牙、WIFI、蜂窩移動(dòng)通信技術(shù)與人或手機(jī)端進(jìn)行交互。

為保障智能車(chē)聯(lián)網(wǎng)通信體系的正常運(yùn)行，安全問(wèn)題則需要貫穿于車(chē)聯(lián)網(wǎng)的各個(gè)環(huán)節(jié)，車(chē)聯(lián)網(wǎng)安全成為5G時(shí)代下車(chē)聯(lián)網(wǎng)體系的一個(gè)至關(guān)重要部分。車(chē)聯(lián)網(wǎng)所面臨的攻擊包括虛假消息攻擊、竊聽(tīng)攻擊、消息篡改攻擊、拒絕服務(wù)攻擊、重放攻擊等[4]。在車(chē)聯(lián)網(wǎng)使用的各種安全機(jī)制中，通過(guò)認(rèn)證來(lái)確保的安全性是至關(guān)重要的部分。同時(shí)由于車(chē)輛的高速移動(dòng)性，一個(gè)理想的認(rèn)證方案必須是高效并且實(shí)用的，此外車(chē)輛網(wǎng)安全系統(tǒng)需要保護(hù)用戶、車(chē)輛信息隱私，因此提出保護(hù)用戶信息隱私安全且高效的車(chē)聯(lián)網(wǎng)身份認(rèn)證方案十分重要。

現(xiàn)有的身份認(rèn)證主要包括基于嵌入式安全模塊的身份認(rèn)證和基于加密機(jī)制的身份認(rèn)證[5]。前者通過(guò)在移動(dòng)終端上集成安全模塊如防篡改裝置TPD（tamper proof device）構(gòu)建可信架構(gòu)輔助完成認(rèn)證，用硬件確保方案的安全性和認(rèn)證效率，但是不同廠家構(gòu)建安全模塊的標(biāo)準(zhǔn)不一，安全性難以統(tǒng)一。后者則是驗(yàn)證移動(dòng)終端是否掌握正確的密鑰和口令，對(duì)硬件的要求低，但是需要較高的計(jì)算開(kāi)銷。目前為止，國(guó)內(nèi)外學(xué)者對(duì)車(chē)聯(lián)網(wǎng)中如何保障通信安全與身份認(rèn)證做出大量研究。

IEEE1609.2 標(biāo)準(zhǔn)初次將PKI（public key infrastructure）認(rèn)證技術(shù)應(yīng)用于車(chē)聯(lián)網(wǎng)環(huán)境中保障安全通信[6-7]。2007 年，Raya 等人[6]提出借助CA（certificate authority）中心獲得大量數(shù)字證書(shū)和密鑰庫(kù)中密鑰對(duì)，車(chē)輛發(fā)送者借助密鑰對(duì)進(jìn)行數(shù)字簽名，并通過(guò)證書(shū)加密信息，接受者通過(guò)對(duì)應(yīng)密鑰對(duì)中公鑰驗(yàn)證簽名并解密信息，然而大量證書(shū)存儲(chǔ)造成資源浪費(fèi)。2010 年，Lu 等人[8]對(duì)上述PKI算法進(jìn)行優(yōu)化，并對(duì)發(fā)送者身份認(rèn)證和保障消息準(zhǔn)確性提出更好的措施，然而其問(wèn)題是當(dāng)證書(shū)進(jìn)行撤銷更新過(guò)程會(huì)十分繁瑣。2011 年，Verma 等人[9]對(duì)證書(shū)更新和撤銷時(shí)間做出改進(jìn)，進(jìn)一步提高認(rèn)證效率。2012年，Almeida等人[10]提出了一種車(chē)聯(lián)網(wǎng)中基于PKI密鑰分發(fā)協(xié)議，該協(xié)議較傳統(tǒng)的PKI 體制具有更低的能耗，然而每輛車(chē)的OBU 都存儲(chǔ)很多不同類型密鑰導(dǎo)致證書(shū)存儲(chǔ)、撤銷麻煩。2017年，Das等人[11]通過(guò)在車(chē)輛、路邊單元、移動(dòng)終端嵌入安全芯片方式進(jìn)行各端通信身份認(rèn)證技術(shù)，然而未考慮通信各端自身安全防護(hù)，存在信息泄露風(fēng)險(xiǎn)，同時(shí)該方案未考慮各端身份認(rèn)證方案，存在中間人攻擊等風(fēng)險(xiǎn)。2018年，美國(guó)交通部牽頭[12]提出安全憑證管理系統(tǒng)SCMS（security credential management system），通過(guò)小規(guī)模試點(diǎn)探索V2X 證書(shū)管理中的安全流程。同年，以汽車(chē)廠商主導(dǎo)的歐盟[13]提出協(xié)作式智能交通系統(tǒng)安全證書(shū)管理系統(tǒng)CCMS（cooperative ITS security certificate management system），在設(shè)計(jì)上加強(qiáng)根證書(shū)準(zhǔn)入機(jī)制管理，關(guān)注V2X 功能全部部署情況下技術(shù)限制及系統(tǒng)性能要求。2020年，Li等人[14]基于LTEV2X 技術(shù)特點(diǎn)和道路交通管理體系，通過(guò)分析V2X 證書(shū)管理體系實(shí)際需求，提出面向LTE-V2X的全新PKI架構(gòu)，但對(duì)于實(shí)際上車(chē)方案細(xì)節(jié)并未給出相應(yīng)描述。

基于上述研究基礎(chǔ)，本文以面向車(chē)聯(lián)網(wǎng)通信最新的IEEE1609.2[15]協(xié)議為基礎(chǔ)，在借鑒國(guó)外SMCS、CCMS體系基礎(chǔ)上，提出面向LTE-V2X的全新數(shù)字證書(shū)身份認(rèn)證架構(gòu)，并實(shí)際應(yīng)用于本研究承擔(dān)課題的LTE-V2X 業(yè)務(wù)部署及車(chē)聯(lián)網(wǎng)安全系統(tǒng)開(kāi)發(fā)設(shè)計(jì)。身份認(rèn)證技術(shù)采用數(shù)字證書(shū)對(duì)通信各端的公鑰進(jìn)行管理，利用第三方可信機(jī)構(gòu)CA將節(jié)點(diǎn)上傳的身份標(biāo)識(shí)以及公鑰信息捆綁，利用TSP 交通管理部門(mén)驗(yàn)證用戶身份。車(chē)聯(lián)身份可以通過(guò)CA認(rèn)證中心頒發(fā)的證書(shū)進(jìn)行認(rèn)證，再輔以數(shù)字簽名加密算法，保障數(shù)據(jù)傳輸中的機(jī)密、完整、不可抵賴性。

本論文研究工作是基于2017國(guó)家重點(diǎn)研發(fā)計(jì)劃項(xiàng)目“智能電動(dòng)汽車(chē)電子電氣架構(gòu)研發(fā)”和2019工信部工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展項(xiàng)目“車(chē)聯(lián)網(wǎng)安全加密技術(shù)及產(chǎn)品”開(kāi)展的，進(jìn)行基于數(shù)字簽名的車(chē)聯(lián)網(wǎng)安全體系研究與應(yīng)用，搭建車(chē)聯(lián)網(wǎng)數(shù)字簽名加密認(rèn)證體系，實(shí)現(xiàn)智能網(wǎng)聯(lián)汽車(chē)的安全通信和規(guī)模化示范。本論文對(duì)基于數(shù)字簽名車(chē)聯(lián)網(wǎng)安全體系進(jìn)行研究，希望對(duì)項(xiàng)目設(shè)計(jì)與規(guī)模化應(yīng)用提供理論基礎(chǔ)和指導(dǎo)。也希望該研究對(duì)我國(guó)未來(lái)智能車(chē)聯(lián)網(wǎng)安全發(fā)展提供一定的參考。

1 基于數(shù)字簽名車(chē)聯(lián)網(wǎng)安全架構(gòu)總體設(shè)計(jì)

為了確保車(chē)聯(lián)網(wǎng)業(yè)務(wù)中消息來(lái)源的真實(shí)性、內(nèi)容的完整性，并防止消息重放，本研究設(shè)計(jì)車(chē)聯(lián)網(wǎng)安全加密及認(rèn)證體系，利用數(shù)字證書(shū)通過(guò)數(shù)字簽名、驗(yàn)簽等密碼技術(shù)對(duì)V2X業(yè)務(wù)消息進(jìn)行保護(hù)。通過(guò)設(shè)計(jì)車(chē)聯(lián)網(wǎng)安全管理系統(tǒng)并借助CA認(rèn)證中心來(lái)實(shí)現(xiàn)證書(shū)頒發(fā)與撤銷、終端安全信息收集、數(shù)據(jù)管理、異常分析等一系列功能；通過(guò)嵌入式安全模塊，以芯片、硬件、固件安全為基礎(chǔ)，以安全的方式生成隨機(jī)數(shù)及密鑰，實(shí)現(xiàn)密碼運(yùn)算，對(duì)密碼公私鑰對(duì)、數(shù)字證書(shū)等敏感參數(shù)進(jìn)行安全存儲(chǔ)。

本文設(shè)計(jì)基于LTE-V2X安全架構(gòu)保障車(chē)通信過(guò)程高效性，同時(shí)保障用戶通信中的安全。與目前主流的DSRC技術(shù)相比，基于4G/5G技術(shù)LTE-V2X系統(tǒng)中的蜂窩通信技術(shù)大幅度提高了V2X設(shè)備與后臺(tái)系統(tǒng)交互能力。在DSRC技術(shù)中，設(shè)備與數(shù)字簽名系統(tǒng)之間的證書(shū)管理消息與V2X 應(yīng)用消息需要競(jìng)爭(zhēng)相同的通信資源，因此之前的研究通常采用批證書(shū)頒發(fā)、處理方式降低與PKI系統(tǒng)交互頻率。在LTE-V2X體系下，Benalia等人[16]提出設(shè)備通過(guò)獨(dú)立的Uu 接口與PKI 證書(shū)系統(tǒng)交互，不會(huì)與V2X應(yīng)用消息競(jìng)爭(zhēng)通信資源，保障通信高效性。

如圖2[5，17]所示為車(chē)輛實(shí)際通信環(huán)境，CA 代表身份認(rèn)證中心，負(fù)責(zé)證書(shū)的生成和發(fā)放工作；SP（service provider）代表運(yùn)營(yíng)服務(wù)商，是與車(chē)輛、移動(dòng)終端相關(guān)云端基礎(chǔ)數(shù)據(jù)庫(kù)，由相應(yīng)車(chē)廠提供，為CA中心提供用戶基本信息等相關(guān)服務(wù)所需數(shù)據(jù)，為汽車(chē)和手機(jī)提供內(nèi)容與流量轉(zhuǎn)發(fā)服務(wù)；RSU（road side unit）代表路側(cè)設(shè)施，向上可與運(yùn)營(yíng)商數(shù)據(jù)庫(kù)、云服務(wù)器相連接，向下基于自適應(yīng)安全信息消息廣播等算法，采用廣播模式向管轄區(qū)域內(nèi)車(chē)輛發(fā)布信息，并作為中繼節(jié)點(diǎn)協(xié)助V2V通信和跨區(qū)域網(wǎng)絡(luò)區(qū)域通信；OBU（on board unit）代表車(chē)載單元，通過(guò)采用LTE-V2X技術(shù)，與RSU進(jìn)行通訊的微波裝置。

圖2 車(chē)聯(lián)網(wǎng)實(shí)際通信環(huán)境Fig.2 Actual communication environment of Internet of Vehicles

如圖3 所示是基于數(shù)字簽名車(chē)聯(lián)網(wǎng)安全架構(gòu)總體設(shè)計(jì)，車(chē)聯(lián)網(wǎng)安全架構(gòu)主要由CA 安全中心、OBU 車(chē)內(nèi)網(wǎng)、RSU 車(chē)際網(wǎng)、車(chē)載移動(dòng)互聯(lián)網(wǎng)等部分構(gòu)成[18]。其中CA 認(rèn)證中心為車(chē)端、云端、路側(cè)設(shè)施、移動(dòng)終端頒發(fā)數(shù)字證書(shū)保障通信安全[19]。

圖3 基于數(shù)字簽名車(chē)聯(lián)網(wǎng)安全架構(gòu)Fig.3 Network security architecture based on digital certificate

OBU 車(chē)內(nèi)網(wǎng)是一種基于成熟總線技術(shù)（CAN、LIN總線等）形成標(biāo)準(zhǔn)化整車(chē)網(wǎng)絡(luò)。OBU 與車(chē)內(nèi)網(wǎng)直接相連，通過(guò)T-BOX保障車(chē)輛內(nèi)部與外界信息安全交互，通過(guò)嵌入安全芯片，來(lái)存儲(chǔ)通信過(guò)程中產(chǎn)生的私鑰、參數(shù)、CA中心頒發(fā)的數(shù)字證書(shū)來(lái)完成與外界消息安全傳輸。

RSU車(chē)際網(wǎng)主要的通信包括V2V車(chē)與車(chē)通信、V2I車(chē)與路側(cè)設(shè)施通信。在V2I 中，OBU 接受RSU 發(fā)送的交通狀況信息、安全警告信息、交通協(xié)調(diào)指令等。在V2V 中，車(chē)輛終端不受限于固定式基站的通信技術(shù)，彼此直接交換無(wú)線信息。

車(chē)載移動(dòng)互聯(lián)網(wǎng)實(shí)現(xiàn)車(chē)端、云端、移動(dòng)終端的信息交互。車(chē)端通過(guò)自帶蜂窩通信設(shè)備，利用蜂窩網(wǎng)絡(luò)與云服務(wù)器通信，也可以通過(guò)RSU間接接入云服務(wù)器，完成與云端通信。移動(dòng)終端與云端交互完成如OTA（over the air）空中下載、車(chē)輛信息查詢等功能。車(chē)端與移動(dòng)終端通過(guò)NFC、藍(lán)牙等通信方式完成車(chē)輛可鎖、控制等功能。

2 基于數(shù)字簽名車(chē)聯(lián)網(wǎng)安全架構(gòu)詳細(xì)設(shè)計(jì)

在上文中通過(guò)對(duì)現(xiàn)有的車(chē)聯(lián)網(wǎng)環(huán)境進(jìn)行總體分析，設(shè)計(jì)出基于證書(shū)車(chē)聯(lián)網(wǎng)安全總體架構(gòu)。本章進(jìn)一步對(duì)該架構(gòu)具體分析，通過(guò)對(duì)各個(gè)端所面臨安全問(wèn)題進(jìn)一步分析總結(jié)，對(duì)各個(gè)端安全框架進(jìn)行詳細(xì)設(shè)計(jì)。

車(chē)聯(lián)網(wǎng)體系安全主要包括智能網(wǎng)聯(lián)汽車(chē)安全、車(chē)聯(lián)網(wǎng)通信安全、車(chē)聯(lián)網(wǎng)TSP 交通管理部門(mén)安全、云平臺(tái)安全、路側(cè)設(shè)施安全、APP 安全[20]。智能網(wǎng)聯(lián)汽車(chē)安全包括兩個(gè)方面，其一是CAN總線安全，CAN總線作為汽車(chē)神經(jīng)網(wǎng)絡(luò)連接汽車(chē)控制單元ECU，可通過(guò)在ECU 單片機(jī)嵌入加密算法保障汽車(chē)內(nèi)部通信安全，同時(shí)在T-BOX內(nèi)部嵌入惡意代碼監(jiān)測(cè)組件，防止惡意代碼進(jìn)入汽車(chē)內(nèi)部，順利通過(guò)中央網(wǎng)關(guān)對(duì)ECU組件進(jìn)行攻擊；其二車(chē)載安全，汽車(chē)OS 主要分為直接控制車(chē)身各項(xiàng)行駛部件的電子控制系統(tǒng)、車(chē)載娛樂(lè)信息系統(tǒng)和T-BOX模塊等，通過(guò)配備隱私保護(hù)和強(qiáng)大的車(chē)載防火墻，完成車(chē)載OS 的安全保障。

車(chē)聯(lián)網(wǎng)通信安全包括車(chē)端、移動(dòng)終端、云端、路側(cè)設(shè)施端安全通信，通過(guò)借助CA認(rèn)證中心頒發(fā)數(shù)字證書(shū)，并存儲(chǔ)在各端硬件、芯片中，進(jìn)行各端安全通信。

車(chē)聯(lián)網(wǎng)TSP 交通管理部門(mén)為CA 認(rèn)證中心、移動(dòng)終端、汽車(chē)端提供用戶信息、流量轉(zhuǎn)發(fā)服務(wù)，因此保障TSP安全，防止服務(wù)平臺(tái)數(shù)據(jù)丟失同樣重要。

云平臺(tái)安全通常代表云端數(shù)據(jù)隱私、完成、可恢復(fù)性，通過(guò)云端防火墻系統(tǒng)防止惡意代碼入侵，通過(guò)數(shù)字證書(shū)進(jìn)行通信數(shù)據(jù)加密完成與其他端的信息交互。

APP安全一般指惡意方向移動(dòng)終端植入惡意代碼、后門(mén)軟件、終端提權(quán)等手段獲取車(chē)輛控制權(quán)限，因此通過(guò)終端防火墻防止惡意行為發(fā)生，搭建基于移動(dòng)終端可信執(zhí)行環(huán)境，借助CA中心完成安全信息傳輸。

路側(cè)設(shè)施安全通常針對(duì)非法路側(cè)單元的廣播干擾、惡意重放攻擊，攻擊者截獲路側(cè)單元廣播信息后實(shí)施轉(zhuǎn)發(fā)式干擾，導(dǎo)致車(chē)輛在行駛中獲取不真實(shí)道路信息，因此通過(guò)加密傳輸數(shù)據(jù)，在路側(cè)設(shè)備端內(nèi)置安全防護(hù)系統(tǒng)，有效防止外來(lái)入侵攻擊和保障傳輸信息安全性。

2.1 云端詳細(xì)設(shè)計(jì)

如圖4所示，車(chē)聯(lián)網(wǎng)安全體系云端架構(gòu)主要由智能汽車(chē)安全管理平臺(tái)和智能汽車(chē)安全應(yīng)用服務(wù)器構(gòu)成。

圖4 車(chē)聯(lián)網(wǎng)安全體系云端架構(gòu)Fig.4 Cloud architecture of security system of Internet of Vehicles

（1）智能汽車(chē)安全管理平臺(tái)

智能汽車(chē)安全管理平臺(tái)由密鑰管理系統(tǒng)、PKI服務(wù)器、其他模塊構(gòu)成。密鑰管理系統(tǒng)主要由密鑰生成模塊、密鑰加解密模塊、密鑰存儲(chǔ)管理模塊構(gòu)成。其中密鑰生成模塊負(fù)責(zé)云端通信密鑰對(duì)產(chǎn)生，公鑰發(fā)送給CA中心形成數(shù)字證書(shū)，私鑰解密經(jīng)數(shù)字證書(shū)加密后的信息；密鑰加解密模塊負(fù)責(zé)對(duì)接受到的密鑰信息進(jìn)行簽名認(rèn)證和解密處理；密鑰存儲(chǔ)管理模塊存儲(chǔ)與數(shù)字證書(shū)匹配的私鑰信息。通過(guò)對(duì)車(chē)端、移動(dòng)終端、路側(cè)設(shè)施端通信消息進(jìn)行加密處理，確保云端消息可靠傳輸。

PKI服務(wù)器主要由根證書(shū)管理模塊、長(zhǎng)期證書(shū)管理模塊、系統(tǒng)參數(shù)存儲(chǔ)模塊構(gòu)成。根證書(shū)管理模塊負(fù)責(zé)存儲(chǔ)CA 中心下發(fā)的根證書(shū)，根證書(shū)是使用CA 中心時(shí)從其下載的內(nèi)容，代表通信主體對(duì)CA中心的信任；長(zhǎng)期證書(shū)管理模塊存儲(chǔ)CA中心為通信主體下發(fā)的數(shù)字證書(shū)，包括設(shè)備證書(shū)DC、注冊(cè)證書(shū)EC、通信證書(shū)CC；系統(tǒng)參數(shù)存儲(chǔ)模塊負(fù)責(zé)存儲(chǔ)通信中加密算法所使用的各種參數(shù)。通過(guò)對(duì)CA認(rèn)證系統(tǒng)頒發(fā)的證書(shū)、通信參數(shù)進(jìn)行存儲(chǔ)、管理，使得CA中心作為受信任第三方，承擔(dān)通信中公鑰加密的合法性檢驗(yàn)。

其他模塊包括用戶車(chē)輛信息存儲(chǔ)模塊、硬件安全模塊、云防火墻模塊。硬件安全模塊是專為保護(hù)加密密鑰生成、存儲(chǔ)和管理而設(shè)計(jì)的專用加密處理器，為世界上具有最高安全意識(shí)的組織保護(hù)其加密基礎(chǔ)設(shè)施，其作為PKI 服務(wù)體系的一部分，實(shí)現(xiàn)證書(shū)加密的高可用性；云防火墻為用戶提供互聯(lián)網(wǎng)邊界網(wǎng)絡(luò)訪問(wèn)控制，同時(shí)基于流量嵌入多種安全能力，實(shí)現(xiàn)訪問(wèn)管控與安全防御的集成化與自動(dòng)化。

（2）智能汽車(chē)安全應(yīng)用服務(wù)器

智能汽車(chē)安全應(yīng)用服務(wù)器由智能汽車(chē)應(yīng)用系統(tǒng)、汽車(chē)遠(yuǎn)程服務(wù)提供商系統(tǒng)、云平臺(tái)通信接口構(gòu)成[21]。智能汽車(chē)應(yīng)用系統(tǒng)為車(chē)輛提供車(chē)輛信息查詢、車(chē)輛開(kāi)車(chē)鎖車(chē)服務(wù)、云端信息推送等服務(wù)。

汽車(chē)遠(yuǎn)程服務(wù)提供商系統(tǒng)主要負(fù)責(zé)與原始設(shè)備廠商進(jìn)行溝通的接口，上接汽車(chē)、車(chē)載設(shè)備制造商、網(wǎng)絡(luò)運(yùn)營(yíng)商，下接內(nèi)容提供商，為云端提供用戶信息，確保注冊(cè)用戶身份真實(shí)性。

云平臺(tái)通信接口作為云端與外界進(jìn)行消息通信端口，云端可以通過(guò)基站向手機(jī)端下發(fā)信息，也可以通過(guò)RSU 與車(chē)輛間接消息轉(zhuǎn)發(fā)。用戶可通過(guò)車(chē)載移動(dòng)蜂窩網(wǎng)絡(luò)直接與云端通信，也可通過(guò)所屬區(qū)域內(nèi)的路側(cè)設(shè)施接入云端完成與云端互聯(lián)。

2.2 路側(cè)系統(tǒng)端詳細(xì)設(shè)計(jì)

如圖5 所示，車(chē)聯(lián)網(wǎng)安全體系路測(cè)系統(tǒng)RSS（road side system）架構(gòu)由路側(cè)感知單元、路側(cè)計(jì)算單元（multiaccess edge computing）MEC、路側(cè)通信單元RSU、安全芯片eSE構(gòu)成。路側(cè)計(jì)算單元MEC處理來(lái)自路側(cè)感知單元信息，并將處理結(jié)果發(fā)送給路側(cè)通信單元，將感知結(jié)果傳輸給云端、車(chē)端、移動(dòng)終端[22-23]。路側(cè)系統(tǒng)嵌入安全芯片加密通信過(guò)程，確保信息不會(huì)被泄露和惡意篡改。

圖5 車(chē)聯(lián)網(wǎng)安全體系路側(cè)系統(tǒng)Fig.5 Roadside system of security system of Internet of Vehicles

（1）路側(cè)感知、計(jì)算、通信單元

路側(cè)感知單元感知現(xiàn)場(chǎng)狀況記錄信息。路側(cè)計(jì)算單元MEC 對(duì)接收到的信息進(jìn)行分析、處理、識(shí)別，并及時(shí)將信息發(fā)送給RSU并最終傳輸?shù)狡渌薣24]。

路側(cè)通信單元RSU分為通信模塊、安全模塊、設(shè)備認(rèn)證與管理模塊。通信模塊負(fù)責(zé)消息傳輸工作，RSU接收來(lái)組MEC 信息后，通過(guò)廣播形式傳輸給管轄范圍內(nèi)車(chē)載單元，通過(guò)蜂窩移動(dòng)網(wǎng)絡(luò)、藍(lán)牙等方式將信息上傳至云端平臺(tái)；安全模塊負(fù)責(zé)RSU設(shè)施安全，防止惡意行為入侵導(dǎo)致處理信息泄露；設(shè)備認(rèn)證、管理模塊對(duì)上述基礎(chǔ)設(shè)施進(jìn)行維護(hù)和管理工作。

（2）安全芯片eSE

路側(cè)系統(tǒng)安全芯片負(fù)責(zé)維護(hù)消息傳遞的機(jī)密性，防止非法分子竊聽(tīng)機(jī)密信息。密鑰生成加密模塊通過(guò)加密算法生成公、私鑰密碼對(duì)；密鑰、證書(shū)存儲(chǔ)模塊對(duì)CA下發(fā)證書(shū)與私鑰進(jìn)行存儲(chǔ)；身份認(rèn)證模塊負(fù)責(zé)驗(yàn)證證書(shū)合法性，利用CA中心生成的公鑰進(jìn)行證書(shū)簽名認(rèn)證。

2.3 移動(dòng)終端詳細(xì)設(shè)計(jì)

如圖6所示，車(chē)聯(lián)網(wǎng)安全體系移動(dòng)終端架構(gòu)主要由移動(dòng)終端UI界面、移動(dòng)終端安全服務(wù)組件、本地手機(jī)安全保護(hù)組件、可信執(zhí)行環(huán)境構(gòu)成。通過(guò)為移動(dòng)終端內(nèi)置安全服務(wù)組件，保障手機(jī)與各端通信消息機(jī)密性，通過(guò)在手機(jī)端運(yùn)行可信執(zhí)行環(huán)境，確保手機(jī)系統(tǒng)漏洞和惡意軟件的入侵。

圖6 車(chē)聯(lián)網(wǎng)安全體系移動(dòng)終端架構(gòu)Fig.6 Mobile terminals of security system of Internet of Vehicles

（1）移動(dòng)終端UI界面

手機(jī)移動(dòng)UI 界面是智能手機(jī)設(shè)備與云端進(jìn)行交互、提供車(chē)輛服務(wù)的接口，負(fù)責(zé)手機(jī)端APP 注冊(cè)、登陸、車(chē)輛信息查詢操作。用戶向手機(jī)端提供本人身份信息，并與TSP交通管理部門(mén)所記錄數(shù)據(jù)進(jìn)行比對(duì)，驗(yàn)證通過(guò)即可完成賬號(hào)注冊(cè)，并利用指紋、人臉、短信等手段進(jìn)行用戶登陸。

（2）移動(dòng)終端安全服務(wù)組件

移動(dòng)終端安全服務(wù)組件由藍(lán)牙、移動(dòng)、NFC 通信組件和安全芯片eSE 構(gòu)成。藍(lán)牙、移動(dòng)、NFC 通信組件完成手機(jī)端與外界通信方式手段，其中移動(dòng)通信適合遠(yuǎn)距離聯(lián)網(wǎng)通信，藍(lán)牙常用于中近距離通信，而NFC常用于手機(jī)端與其他端近場(chǎng)通信，主要應(yīng)用于無(wú)互聯(lián)網(wǎng)環(huán)境下的消息傳輸。

安全芯片eSE 負(fù)責(zé)保障手機(jī)端安全通信。特別說(shuō)明其中PKI 系統(tǒng)管理模塊完成根證書(shū)、數(shù)字證書(shū)下載，證書(shū)信息查詢，協(xié)助CA中心完成手機(jī)端傳輸信息加密工作。

（3）本地手機(jī)保護(hù)組件和可信執(zhí)行環(huán)境

本地手機(jī)保護(hù)組件與可信執(zhí)行環(huán)境保障手機(jī)處于安全運(yùn)行環(huán)境之中。權(quán)限控制組件限制訪問(wèn)者查看權(quán)限，防止惡意用戶隨意操作系統(tǒng)；人臉識(shí)別、指紋識(shí)別、安全識(shí)別軟件確保只有通過(guò)身份認(rèn)證用戶登陸系統(tǒng)；可信執(zhí)行環(huán)境TEE（trusted execution environmen）針對(duì)移動(dòng)設(shè)備的開(kāi)放環(huán)境，通過(guò)硬件隔離技術(shù)以保證TEE系統(tǒng)運(yùn)行在獨(dú)立的環(huán)境中并且與現(xiàn)有的操作系統(tǒng)并行運(yùn)行，確保移動(dòng)設(shè)備處于安全環(huán)境之中。

2.4 車(chē)端詳細(xì)設(shè)計(jì)

如圖7所示，車(chē)聯(lián)網(wǎng)安全體系車(chē)端架構(gòu)主要由車(chē)身單元、安全防火墻、安全芯片eSE構(gòu)成，通過(guò)在車(chē)端內(nèi)置安全芯片保障車(chē)端與其他各端通信安全，通過(guò)筑造車(chē)端防火墻，嚴(yán)格遵守全球車(chē)輛信息安全標(biāo)準(zhǔn)，為車(chē)主隱私安全保駕護(hù)航。

圖7 車(chē)聯(lián)網(wǎng)安全體系車(chē)端架構(gòu)Fig.7 Car end architecture of security system of Internet of Vehicles

（1）車(chē)身單元

車(chē)身單元核心為T(mén)-BOX 組件，其作為車(chē)內(nèi)部和外界互聯(lián)的接口，T-BOX實(shí)現(xiàn)車(chē)輛內(nèi)部元件與外界各端互聯(lián)[25]。T-BOX 對(duì)外消息傳輸通過(guò)藍(lán)牙、WIFI、4G/5G 方式與外界進(jìn)行雙向通信；對(duì)內(nèi)通信主要通過(guò)CAN 的BUS 總線，以Ethernet 協(xié)議形式向內(nèi)傳輸外界消息，消息在經(jīng)過(guò)中央網(wǎng)關(guān)后通過(guò)CAN 總線最終下發(fā)到各個(gè)ECU 單元，ECU 單元根據(jù)消息信息對(duì)車(chē)輛開(kāi)展指令操作[26]。IVI是車(chē)載娛樂(lè)系統(tǒng)，能夠?qū)崿F(xiàn)車(chē)輛故障檢測(cè)、輔助駕駛等功能。

（2）安全芯片eSE與安全防火墻

車(chē)端安全芯片eSE與其他端安全芯片構(gòu)造類似，負(fù)責(zé)車(chē)端信息安全加密、處理、存儲(chǔ)與身份認(rèn)證。安全芯片通過(guò)UART 接口與藍(lán)牙、WIFI 等通信模塊傳輸數(shù)據(jù)與指令；藍(lán)牙、WIFI等通信模塊通過(guò)SPI總線與T-BOX、IVI傳輸數(shù)據(jù)與指令。

安全防火墻保障車(chē)內(nèi)部處于可信環(huán)境中，防止不法用戶入侵車(chē)輛內(nèi)部盜取機(jī)密數(shù)據(jù)。

3 LTE-V2X數(shù)字簽名體系詳細(xì)設(shè)計(jì)

作為全球化產(chǎn)業(yè)體系，本課題所涉及各家單位需要與國(guó)際技術(shù)接軌，因此本研究車(chē)聯(lián)網(wǎng)數(shù)字簽名系統(tǒng)以IEEE1609.2 為基礎(chǔ)，結(jié)合最新LTE-V2X 通信標(biāo)準(zhǔn)的技術(shù)特點(diǎn)和大規(guī)模商用的實(shí)際需求來(lái)進(jìn)行規(guī)劃。本研究基于歐盟的CCSM架構(gòu)和美國(guó)的SCMS框架為背景，在結(jié)合國(guó)內(nèi)管理體統(tǒng)同時(shí)充分考慮LTE-V2X技術(shù)的網(wǎng)聯(lián)能力實(shí)現(xiàn)對(duì)V2X數(shù)字簽名體系高效管理。基于LTE-V2X數(shù)字簽名系統(tǒng)架構(gòu)如圖8所示。

圖8 基于LTE-V2X數(shù)字簽名系統(tǒng)架構(gòu)Fig.8 Architecture of digital signature system based on LTE-V2X

3.1 數(shù)字證書(shū)類型

基于LTE-V2X 車(chē)聯(lián)網(wǎng)通信證書(shū)包括根證書(shū)RC、注冊(cè)證書(shū)EC、匿名通信證書(shū)CC和設(shè)備證書(shū)DC：

（1）根證書(shū)（root certificate）：根證書(shū)是整個(gè)V2X 數(shù)字簽名系統(tǒng)的可信基點(diǎn)，每一個(gè)EC、CC和DC證書(shū)都使用EC私鑰簽名，保障證書(shū)可信性。

（2）設(shè)備初始化證書(shū)（device certificate）：此證書(shū)為傳統(tǒng)X.509格式證書(shū)，用于車(chē)輛與注冊(cè)系統(tǒng)之間身份認(rèn)證及通信保護(hù)，同時(shí)為車(chē)聯(lián)網(wǎng)系統(tǒng)提供可信的車(chē)輛身份信息和參與通信所需的參數(shù)配置。

（3）注冊(cè)證書(shū)（enrollment certificate）：IEEE1609.2格式證書(shū)，由注冊(cè)CA 頒發(fā)機(jī)構(gòu)生成，定義V2X 體系中車(chē)輛業(yè)務(wù)權(quán)限，用于通信證書(shū)CC的申請(qǐng)。

（4）通信證書(shū)（communication certificate）：IEEE1609.2格式證書(shū)，V2X 數(shù)組簽名系統(tǒng)在下載注冊(cè)證書(shū)EC 后會(huì)向通信授權(quán)證書(shū)頒發(fā)機(jī)構(gòu)CCA 申請(qǐng)通信證書(shū)，此證書(shū)即為后續(xù)各端通信過(guò)程中用于加解密消息，進(jìn)行身份認(rèn)證的數(shù)字證書(shū)。

設(shè)備證書(shū)由汽車(chē)廠商負(fù)責(zé)初始化與更新維護(hù)，注冊(cè)證書(shū)由交通管理部門(mén)TSP 負(fù)責(zé)，通信證書(shū)由CA 中心即證書(shū)頒發(fā)中心負(fù)責(zé)。三種證書(shū)相互配合工作如圖9 所示，詳細(xì)說(shuō)明見(jiàn)3.3與3.4節(jié)。

圖9 證書(shū)類型及下載流程Fig.9 Certificate type and its download process

3.2 根證書(shū)管理

根證書(shū)作為整個(gè)V2X 數(shù)字簽名系統(tǒng)的可信基點(diǎn)，道路交通管理的參與各方需要根據(jù)實(shí)際的管理流程建立共同信任的根證書(shū)系統(tǒng)。國(guó)內(nèi)的道路交通管理部門(mén)采用全國(guó)集中式管理模式，雖然不同管理部門(mén)可能會(huì)使用不同的根證書(shū)，但同一管理部門(mén)內(nèi)部可以建立單一跟證書(shū)系統(tǒng)。由于國(guó)內(nèi)管理車(chē)輛信息的架構(gòu)基本是確定的，不會(huì)頻繁增加或刪除V2X數(shù)字簽名根證書(shū)信息，因此國(guó)內(nèi)的LTE-V2X 系統(tǒng)可能為單一根證書(shū)系統(tǒng)，或者包含有限相互信任的多根證書(shū)模式。在本研究中LTEV2X根證書(shū)管理可以簡(jiǎn)化為三個(gè)主要機(jī)構(gòu)，具體如圖8所示：

（1）策略機(jī)構(gòu)（policy agency）：策略機(jī)構(gòu)PA由V2X根證書(shū)組成，負(fù)責(zé)各個(gè)根證書(shū)安全策略的管理與協(xié)調(diào)，為各個(gè)根證書(shū)之間建立互信機(jī)制。

（2）根證書(shū)（root CA）：不同交通管理部門(mén)不同根證書(shū)通過(guò)策略機(jī)構(gòu)PA建立互相機(jī)制，每個(gè)RCA代表自己負(fù)責(zé)范圍內(nèi)子證書(shū)的可信基點(diǎn)。

（3）可信證書(shū)列表CTL：可信證書(shū)列表記錄被信任的數(shù)字證書(shū)。PA 定期將CTL 推送給各個(gè)RCA，并簽發(fā)給各個(gè)RCA域內(nèi)設(shè)備或服務(wù)器站點(diǎn)。根據(jù)數(shù)字證書(shū)等級(jí)不同，可信列表分為CTL_1 和CTL_2，CTL_1 負(fù)責(zé)記錄各個(gè)服務(wù)器的根證書(shū)，CTL_2記錄OBU、RSU或基站的根證書(shū)或次級(jí)數(shù)字證書(shū)。

根證書(shū)管理部門(mén)作為最高安全級(jí)別模塊，在本課題中處在一個(gè)不提供聯(lián)網(wǎng)功能的高安全環(huán)境中。

3.3 車(chē)輛初始化、注冊(cè)管理

（1）車(chē)輛初始化

車(chē)聯(lián)網(wǎng)通信中，數(shù)字證書(shū)是通信節(jié)點(diǎn)身份的唯一憑證，每一個(gè)節(jié)點(diǎn)在通信之前需要?jiǎng)?chuàng)建證書(shū)[27]。實(shí)際車(chē)輛管理過(guò)程中，整車(chē)廠商負(fù)責(zé)車(chē)輛生產(chǎn)和初始化，遠(yuǎn)程服務(wù)提供商TSP（本車(chē)聯(lián)網(wǎng)體系中TSP 為交通管理部門(mén)）負(fù)責(zé)車(chē)輛注冊(cè)，為車(chē)輛分配V2X業(yè)務(wù)權(quán)限。

車(chē)輛初始化過(guò)程見(jiàn)圖8，OEMCA 為獨(dú)立于V2X 數(shù)字簽名系統(tǒng)的設(shè)備證書(shū)DC 簽名系統(tǒng)，整車(chē)廠商基于OEMCA 為車(chē)輛頒發(fā)包含車(chē)輛V2X 業(yè)務(wù)屬性等信息在內(nèi)的設(shè)備證書(shū)DC，DC 為后續(xù)V2X 業(yè)務(wù)流程提供初始信任憑證。DC 證書(shū)頒發(fā)是一個(gè)定制化過(guò)程，車(chē)廠采用極高安全級(jí)別保障初始化流程安全可信，并在車(chē)輛生命周期內(nèi)完成DC證書(shū)維護(hù)與撤銷。

（2）車(chē)輛注冊(cè)

車(chē)輛注冊(cè)過(guò)程見(jiàn)圖9 的1～6 所示，車(chē)輛注冊(cè)機(jī)構(gòu)見(jiàn)圖8 所示。為了確保OEMCA 根證書(shū)被V2X 數(shù)字簽名系統(tǒng)信任，策略機(jī)構(gòu)PA 相應(yīng)RCA 會(huì)對(duì)OEMCA 進(jìn)行審計(jì)。認(rèn)證通過(guò)后會(huì)將OEMCA 根證書(shū)加到可信證書(shū)列表CTL 并發(fā)布到對(duì)應(yīng)區(qū)域內(nèi)的注冊(cè)授權(quán)服務(wù)（AUTH）。

CTL 添加可信的OEMCA 根證書(shū)后，車(chē)輛通過(guò)LTE網(wǎng)絡(luò)Uu 接口向AUTH 發(fā)送DC 證書(shū)并根據(jù)根證書(shū)審計(jì)其合法性，建立安全通道。如果用戶初次申請(qǐng)EC，交通管理部門(mén)記錄發(fā)送的用戶、車(chē)輛基本隱私信息到AUTH數(shù)據(jù)庫(kù)，為車(chē)輛頒發(fā)注冊(cè)證書(shū)EC。如果已經(jīng)存在與之對(duì)應(yīng)用戶信息則驗(yàn)證新發(fā)送的信息與存儲(chǔ)信息一致性，相同則更新或重新發(fā)放EC證書(shū)。

（3）安全性分析

DC 證書(shū)在車(chē)輛出廠時(shí)配置完成，因此在初次申請(qǐng)EC證書(shū)時(shí)DC證書(shū)絕對(duì)保密，存儲(chǔ)到AUTH數(shù)據(jù)庫(kù)中用戶車(chē)輛信息隱私性得以保護(hù)。EC證書(shū)的更新撤銷基于DC 證書(shū)重復(fù)上述流程，即使遭遇中間人攻擊導(dǎo)致DC證書(shū)泄露，攻擊者也需要獲得隱私性極高的車(chē)輛用戶信息才可通過(guò)一致性檢測(cè)，因此該方案有效防止中間人攻擊。

由于EC 證書(shū)申請(qǐng)或者更新周期較長(zhǎng)，且此過(guò)程需要保護(hù)用戶、車(chē)輛信息隱私，因此初始化系統(tǒng)、注冊(cè)系統(tǒng)在本課題中布置在高安全防護(hù)能力的私有云部署，僅提供可信用戶的訪問(wèn)。

3.4 通信證書(shū)CC頒發(fā)、撤銷管理

（1）CC頒發(fā)過(guò)程

通信證書(shū)CC作為車(chē)聯(lián)網(wǎng)安全體系中使用最頻繁的證書(shū)，負(fù)責(zé)通信各方傳遞信息的加密工作。采用通信證書(shū)完成數(shù)字信封打包工作，實(shí)現(xiàn)通信雙方身份認(rèn)證工作；通過(guò)通信證書(shū)CC 提供的公鑰和各端存儲(chǔ)的私鑰完成消息的安全傳輸，防止非法行為發(fā)生。

通信證書(shū)頒發(fā)過(guò)程如圖9的6～12所示，通信證書(shū)管理機(jī)構(gòu)如圖8 所示。由于通信證書(shū)頒發(fā)中心安全性相較交通管理部門(mén)TSP 較低，為了保護(hù)用戶車(chē)輛信息隱私，申請(qǐng)、更新CC 證書(shū)過(guò)程中身份認(rèn)證步驟由TSP 負(fù)責(zé)，阻止非法越權(quán)的證書(shū)申請(qǐng)行為，同時(shí)避免通信證書(shū)管理系統(tǒng)對(duì)車(chē)輛隱私信息的訪問(wèn)和處理。如圖9所示，為保障EC 證書(shū)和用戶車(chē)輛信息隱私，TSP 會(huì)生成一對(duì)公私鑰用于CC證書(shū)申請(qǐng)中車(chē)輛身份認(rèn)證過(guò)程。其中公鑰加密EC 證書(shū)和用戶車(chē)輛身份信息，TSP 利用私鑰解密信息審計(jì)EC證書(shū)合法性，判斷用戶信息一致性，完成CC證書(shū)申請(qǐng)工作。CC證書(shū)由于頻繁的更新和使用，因此通常使用LDAP服務(wù)器記錄證書(shū)存儲(chǔ)信息。

（2）CC撤銷過(guò)程

當(dāng)用戶私鑰遺忘、泄漏、過(guò)期時(shí)，用戶身份信息發(fā)生變更時(shí)，通信證書(shū)CC需要進(jìn)行撤銷過(guò)程[28]，具體如圖10所示。

如圖10 中⑤所示，在審核通過(guò)后，CC 注冊(cè)中心獲取原CC 證書(shū)標(biāo)識(shí)序號(hào)，通過(guò)查詢LDAP 數(shù)據(jù)庫(kù)判斷原證書(shū)有效性。在確認(rèn)有效性后，CCA中心將原CC證書(shū)標(biāo)識(shí)號(hào)更新為撤銷狀態(tài)，并更新LDAP 數(shù)據(jù)庫(kù)中CRL（certificate revocation list）列表和證書(shū)信息，同時(shí)將CCA中心密鑰庫(kù)中生成原CC證書(shū)密鑰對(duì)刪除。

圖10 通信證書(shū)CC撤銷階段Fig.10 Revocation phase of digital certificate

（3）安全性分析

在DSRC技術(shù)體系中，由于證書(shū)申請(qǐng)和下載需要與V2X 應(yīng)用消息競(jìng)爭(zhēng)無(wú)線通道資源，導(dǎo)致業(yè)務(wù)上相互干擾。LTE-V2X技術(shù)所提供的網(wǎng)聯(lián)能力優(yōu)勢(shì)，使得對(duì)大量CC 證書(shū)安全頒發(fā)成為可能，利用LTE 網(wǎng)絡(luò)高速可靠的處理能力，完成對(duì)CC證書(shū)生命周期內(nèi)安全管理[29]。

由于通信證書(shū)CC 頻繁注冊(cè)、更新、撤銷特性，在分布式混合云的部署架構(gòu)中，通信證書(shū)管理系統(tǒng)應(yīng)性能優(yōu)先，部署在分布式的公有云上。

4 安全性分析

4.1 基于CC證書(shū)車(chē)聯(lián)網(wǎng)各端身份認(rèn)證保障

當(dāng)車(chē)輛獲得CC 證書(shū)與其他端進(jìn)行信息交互時(shí)，被CA認(rèn)證過(guò)的合法車(chē)輛在接受消息之前會(huì)驗(yàn)證消息發(fā)送方的CC證書(shū)，本文設(shè)計(jì)身份認(rèn)證過(guò)程，通過(guò)非對(duì)稱密鑰加密技術(shù)與數(shù)字摘要技術(shù)[30-32]，保障通信雙方身份真實(shí)性。如圖11所示，數(shù)字簽名是保證發(fā)送信息的完整性，認(rèn)證發(fā)送者身份防止抵賴行為發(fā)生。發(fā)送方通過(guò)散列函數(shù)從發(fā)送數(shù)據(jù)中提取出摘要并利用自己私鑰加密形成數(shù)字簽名，通過(guò)將數(shù)字簽名、A的證書(shū)、明文進(jìn)行打包形成電子簽名包。發(fā)送者利用對(duì)稱密鑰加密電子簽名包，同時(shí)利用接收方公鑰加密對(duì)稱密鑰，加密后的電子包和對(duì)稱密鑰組合形成數(shù)字信封并發(fā)送給接收方。接收方利用自己私鑰解密對(duì)稱密鑰并利用對(duì)稱密鑰得到電子簽名包。接收方利用簽名包中A的通信證書(shū)CC中公鑰進(jìn)行簽名認(rèn)證得到發(fā)送方的數(shù)字摘要A。接收方對(duì)數(shù)據(jù)包中明文通過(guò)同樣散列函數(shù)得到的摘要B 并與摘要A 進(jìn)行對(duì)比，來(lái)判斷消息是否被篡改，最終進(jìn)行高效身份認(rèn)證保障。

圖11 通信各端身份認(rèn)證保障流程Fig.11 Identity authentication stage

4.2 基于CC證書(shū)數(shù)據(jù)防篡改性保障

由于CC證書(shū)在整個(gè)數(shù)字簽名體系中起到至關(guān)重要地位，CC證書(shū)自身安全性分析和基于CC證書(shū)數(shù)據(jù)防篡改性保障十分重要。如圖12 為通信證書(shū)CC 的初始安全配置與加密通信過(guò)程所示。圖中①～④過(guò)程為通信證書(shū)CC安全生成過(guò)程。在經(jīng)過(guò)EC證書(shū)身份認(rèn)證后，發(fā)送方A 生成一對(duì)公私鑰。其中UISM 安全芯片存儲(chǔ)私鑰PriKeyA、通信證書(shū)CC，完成車(chē)端公私鑰生成功能，PubKeyA生成A的CC證書(shū)。利用PriKeyB對(duì)PubKeyA簽名形成CC證書(shū)數(shù)字簽名，PubKeyB驗(yàn)證簽名確保CC證書(shū)合法性[33-34]。

圖12 通信證書(shū)CC初始安全配置與加密通信過(guò)程Fig.12 Initial security configuration phase and encrypted communication process

圖中⑤～⑦為基于通信證書(shū)CC 加密通信過(guò)程。接受者B 利用CC 證書(shū)中公鑰加密信息，發(fā)送者A 利用PriKeyA解密信息完成安全通信過(guò)程。通信證書(shū)CC格式按照IEEE1609.2 標(biāo)準(zhǔn)制定，包括用戶公開(kāi)密鑰、用戶名、簽發(fā)機(jī)構(gòu)名稱和簽發(fā)機(jī)構(gòu)數(shù)字簽名。

整個(gè)過(guò)程中PriKeyA、PriKeyB安全存儲(chǔ)在各端，用于解密和驗(yàn)證簽名，因此有效保障通信安全，防止各種中間人、中繼攻擊等。

5 結(jié)束語(yǔ)

與DSRC 系統(tǒng)相比，LTE-V2X 技術(shù)特點(diǎn)在車(chē)輛與云端的高可靠以及低時(shí)延的連接能力，因此可以利用云平臺(tái)計(jì)算能力在簡(jiǎn)化系統(tǒng)架構(gòu)的同時(shí)為V2X業(yè)務(wù)提供較高安全防護(hù)能力。本文以分布式的混合云架構(gòu)作為L(zhǎng)TE-V2X 數(shù)字簽名系統(tǒng)基礎(chǔ)架：CTL 與根證書(shū)處在一個(gè)不提供聯(lián)網(wǎng)功能的高安全域；整車(chē)廠商的安全系統(tǒng)及V2X注冊(cè)系統(tǒng)處于一個(gè)具有嚴(yán)格訪問(wèn)控制的私有云系統(tǒng)，為車(chē)輛及用戶的隱私信息提供全生命周期的高安全保護(hù)；通信證書(shū)頒發(fā)系統(tǒng)以公有云或邊緣云的方式為車(chē)輛提供短時(shí)有效的通信證書(shū)授權(quán)服務(wù)，基于LTE 的高可靠網(wǎng)絡(luò)能力確保海量通信證書(shū)處理的服務(wù)質(zhì)量。

通過(guò)設(shè)計(jì)基于LTE-V2X 數(shù)字簽名車(chē)聯(lián)網(wǎng)安全架構(gòu)，分別從車(chē)端、云端、移動(dòng)終端、路側(cè)系統(tǒng)端、CA 認(rèn)證中心端詳細(xì)闡述消息通信主體，為本研究承擔(dān)課題的各家合作廠商提供加密通信方案與各端架構(gòu)設(shè)計(jì)。通過(guò)將全生命周期安全保障機(jī)制融于架構(gòu)設(shè)計(jì)中，有效保障各端對(duì)惡意行為安全防護(hù)與通信安全。基于身份認(rèn)證、加密通信的C-V2X車(chē)聯(lián)網(wǎng)體系成為未來(lái)車(chē)聯(lián)網(wǎng)發(fā)展的趨勢(shì)與主流，車(chē)聯(lián)網(wǎng)體系需進(jìn)一步探尋安全、可信加密認(rèn)證環(huán)境，加強(qiáng)與安全產(chǎn)業(yè)合作，推動(dòng)形成安全可信、深度融合、智能創(chuàng)新的車(chē)聯(lián)網(wǎng)通信體系。