基于零信任的大規(guī)模車聯(lián)網(wǎng)安全模型研究

許盛偉，田 宇，鄧 燁，劉昌赫

（北京電子科技學(xué)院，北京 100070）

0 引 言

隨著互聯(lián)網(wǎng)的發(fā)展，人們可以通過車聯(lián)網(wǎng)[1-3]實(shí)現(xiàn)對(duì)車輛的遠(yuǎn)程控制及訪問，極大地方便了人車交互。但由于車聯(lián)網(wǎng)脫胎于互聯(lián)網(wǎng)，互聯(lián)網(wǎng)中存在的安全問題在車聯(lián)網(wǎng)中仍然存在；此外由于車輛在使用的過程中自身存在一定危險(xiǎn)性，這更加凸顯了車聯(lián)網(wǎng)安全防護(hù)的重要性。車聯(lián)網(wǎng)安全可以分為車內(nèi)網(wǎng)安全以及車際互聯(lián)網(wǎng)安全，這其中包括網(wǎng)絡(luò)通信安全、網(wǎng)絡(luò)終端安全等問題。目前傳統(tǒng)的網(wǎng)絡(luò)安全模型多基于角色、屬性、任務(wù)或工作流的訪問控制，這些傳統(tǒng)的訪問控制模型以邊界防護(hù)為主要思想，在車聯(lián)網(wǎng)終端數(shù)量、種類都爆炸式發(fā)展的場(chǎng)景下，由于傳統(tǒng)防護(hù)邊界的存在，這些訪問控制模型會(huì)出現(xiàn)安全性不夠、策略過于復(fù)雜等問題，導(dǎo)致車輛和人、其他車輛、路邊單元、云服務(wù)平臺(tái)之間傳遞消息時(shí)可能遭到竊聽、篡改、阻斷，造成多方隱私泄露，甚至造成嚴(yán)重的交通事故。零信任[4-5]網(wǎng)絡(luò)的實(shí)質(zhì)是在具有身份、設(shè)備屬性的訪問主體與包含各種數(shù)據(jù)資源、應(yīng)用資源的訪問客體之間，根據(jù)訪問需要臨時(shí)建立的動(dòng)態(tài)可信安全訪問體系。零信任網(wǎng)絡(luò)的實(shí)現(xiàn)方法是以受限資源安全保護(hù)需要為出發(fā)點(diǎn)，以身份認(rèn)證為前提，以持續(xù)信任評(píng)估和動(dòng)態(tài)訪問控制為手段，最終實(shí)現(xiàn)訪問主體與訪問客體之間的安全訪問控制。車聯(lián)網(wǎng)終端同樣是網(wǎng)絡(luò)攻擊者的目標(biāo)之一，用戶終端、車聯(lián)終端、云計(jì)算平臺(tái)可能在遭到攻擊后產(chǎn)生數(shù)據(jù)泄露、拒絕服務(wù)等問題。同時(shí)車聯(lián)網(wǎng)的到來使得道路交通系統(tǒng)的終端海量化、異構(gòu)化的問題更加突出，也造成了大規(guī)模的安全邊界模糊，使得安全方面面臨重大挑戰(zhàn)。針對(duì)道路交通系統(tǒng)中終端海量、通信時(shí)延低容忍、安全等級(jí)要求高、部分終端計(jì)算能力弱等問題，本文提出一種基于零信任的大規(guī)模車聯(lián)網(wǎng)安全模型。

1 車聯(lián)網(wǎng)安全模型

如圖1 所示，零信任車聯(lián)網(wǎng)模型由用戶平面、控制平面、數(shù)據(jù)平面[6]組成。用戶平面直接與用戶進(jìn)行交互，對(duì)用戶進(jìn)行身份識(shí)別、認(rèn)證，獲取用戶訪問時(shí)的各種身份屬性、網(wǎng)絡(luò)屬性、設(shè)備屬性，用于評(píng)價(jià)用戶的真實(shí)性、可信性，憑借用戶屬性數(shù)據(jù)確保用戶與系統(tǒng)之間交互的安全性?？刂破矫鏋橛脩籼峁┦跈?quán)服務(wù)，根據(jù)用戶屬性、訪問控制策略對(duì)用戶授予權(quán)限。數(shù)據(jù)平面由網(wǎng)絡(luò)安全設(shè)備組成，控制模型的流量交互。

圖1 車聯(lián)網(wǎng)零信任模型

1.1 車聯(lián)網(wǎng)用戶平面

車聯(lián)網(wǎng)用戶平面通過數(shù)字身份管理，結(jié)合統(tǒng)一身份標(biāo)識(shí)，達(dá)到“分級(jí)分域、授權(quán)共享、本域認(rèn)證、跨域通行”的身份管理目標(biāo)，實(shí)現(xiàn)用戶數(shù)字身份管理、用戶身份驗(yàn)證、權(quán)限管理等功能。數(shù)字身份管理模型如圖2 所示。

圖2 數(shù)字身份管理模型整體架構(gòu)

數(shù)字身份管理模塊在證書或標(biāo)識(shí)的基礎(chǔ)上建立身份信息的注冊(cè)、簽發(fā)、驗(yàn)證、共享發(fā)布功能，并收集用戶屬性值。用戶身份驗(yàn)證將根據(jù)用戶屬性、標(biāo)識(shí)密碼體系和證書管理，規(guī)范鑒別用戶身份，通過用戶屬性動(dòng)態(tài)計(jì)算信任值，量化用戶可信任程度，實(shí)現(xiàn)異構(gòu)設(shè)備鑒別與身份認(rèn)證。權(quán)限管理模塊與控制平面的引擎進(jìn)行對(duì)接，將控制層面的策略執(zhí)行結(jié)果反饋至用戶，實(shí)現(xiàn)了用戶身份權(quán)限信息的分發(fā)、共享和推送。

為了應(yīng)對(duì)車聯(lián)網(wǎng)中多級(jí)身份信息管理模型復(fù)雜的問題，在數(shù)字身份管理模型中添加與外部系統(tǒng)之間的連接關(guān)系以及內(nèi)部系統(tǒng)的連接關(guān)系，以此設(shè)計(jì)了一種分級(jí)分域的車聯(lián)網(wǎng)數(shù)字身份服務(wù)云平臺(tái)，從而使各級(jí)各域的車聯(lián)網(wǎng)身份管理系統(tǒng)信息同步。車聯(lián)網(wǎng)數(shù)字身份服務(wù)云平臺(tái)如圖3 所示。

圖3 車聯(lián)網(wǎng)數(shù)字身份服務(wù)云平臺(tái)

為了滿足道路交通系統(tǒng)中終端海量、異構(gòu)的問題，平臺(tái)使用分級(jí)分域策略，在身份管理上根據(jù)管理職責(zé)和范圍進(jìn)行分域管理，使得各個(gè)單位機(jī)構(gòu)實(shí)現(xiàn)海量終端分解化，實(shí)現(xiàn)分布式數(shù)字身份管理模型的構(gòu)建。平臺(tái)采用扁平化網(wǎng)格化的數(shù)字身份管理系統(tǒng)連接方案?？紤]到在道路交通系統(tǒng)海量異構(gòu)終端的數(shù)字身份管理模型中存在多種實(shí)體，實(shí)現(xiàn)海量終端的扁平化網(wǎng)格化的管理即實(shí)現(xiàn)分級(jí)管理、層層履職、橫向到邊、縱向到底、縱橫交錯(cuò)、全面覆蓋。所有連接方式實(shí)現(xiàn)受限制的按需連接和無限制的直連相結(jié)合，保證連接的安全可控和高效迅速，滿足道路交通系統(tǒng)在連接方式上的需求。

連接協(xié)議采用國(guó)密SM2、SM3、SM4 算法[7]保證連接的真實(shí)性、完整性、機(jī)密性，以及協(xié)議的抗重放、抗抵賴，并對(duì)隱私信息進(jìn)行保護(hù)，實(shí)現(xiàn)道路交通終端之間互認(rèn)互信互通。由于不同終端之間算力差別巨大，平臺(tái)將提供證書、標(biāo)識(shí)加密、輕量級(jí)等多種加密方式。例如，車輛終端與道路交通基礎(chǔ)設(shè)施通信時(shí)車輛終端使用V2I 安全通信；車輛終端與其他交通基礎(chǔ)設(shè)施通信時(shí)車輛終端采用國(guó)密SSL 協(xié)議安全通信；車輛終端與其他交通基礎(chǔ)設(shè)施內(nèi)部應(yīng)用均采用密碼應(yīng)用中間件實(shí)現(xiàn)安全通信與身份驗(yàn)證；管理平臺(tái)內(nèi)部采用安全網(wǎng)關(guān)進(jìn)行通信。

1.2 車聯(lián)網(wǎng)控制平面

車聯(lián)網(wǎng)控制平面是整個(gè)車聯(lián)網(wǎng)模型的控制中心，在模型初始策略以及系統(tǒng)管理員的干預(yù)下依靠用戶平面的各種數(shù)據(jù)對(duì)用戶進(jìn)行訪問控制，并將控制平面的策略下放給數(shù)據(jù)平面執(zhí)行。此外，控制平面還為用戶提供加密通信所需的密鑰、臨時(shí)憑證、臨時(shí)端口等參數(shù)，具有安全參數(shù)基礎(chǔ)設(shè)施的屬性。為了解決以上功能實(shí)現(xiàn)中存在的道路交通海量終端異構(gòu)的問題，平面在典型道路交通系統(tǒng)架構(gòu)上采用“云-管-邊-端”分級(jí)分域的安全防護(hù)體系框架，框架基于國(guó)產(chǎn)商用密碼等多種密碼技術(shù)搭建，例如IBC 標(biāo)識(shí)密碼、數(shù)字證書服務(wù)技術(shù)和對(duì)稱密鑰分散技術(shù)等，提供貫穿“云-管-邊-端”四個(gè)層面的道路交通系統(tǒng)安全服務(wù)?？蚣苋鐖D4 所示。

圖4 “云-管-邊-端”身份認(rèn)證服務(wù)體系框架圖

1.2.1 “云-管-邊-端”訪問控制服務(wù)體系

控制平面中的信任評(píng)估引擎設(shè)在“云-管”層面上。信任評(píng)估引擎是控制平面的大腦，為模型中的用戶、實(shí)體、終端提供授權(quán)服務(wù)。信任評(píng)估引擎根據(jù)用戶平面中的用戶信任值等因素，結(jié)合設(shè)備、應(yīng)用等因素，針對(duì)用戶的每次請(qǐng)求，動(dòng)態(tài)產(chǎn)生評(píng)估結(jié)果，為策略授權(quán)引擎提供評(píng)判依據(jù)。信任評(píng)估引擎在控制平面維護(hù)用戶集、角色集兩個(gè)集合，兩個(gè)集合之間存在映射關(guān)系，引擎將為每個(gè)用戶分配一個(gè)角色。用戶集中包含訪問用戶屬性、信任值、訪問終端類型等因素，信任評(píng)估引擎根據(jù)用戶集以及訪問過程中的端口、協(xié)議、傳輸路徑等信息進(jìn)行實(shí)時(shí)分析，最終為訪問用戶動(dòng)態(tài)分配角色。

策略授權(quán)引擎設(shè)在“管-邊”層面上，實(shí)現(xiàn)對(duì)訪問授權(quán)請(qǐng)求的動(dòng)態(tài)授權(quán)分析，將分析結(jié)果上傳至用戶層面告知用戶，并將分析結(jié)果下放至數(shù)據(jù)層面的策略執(zhí)行引擎執(zhí)行。策略授權(quán)引擎在控制平面維護(hù)角色集、權(quán)限集兩個(gè)集合，兩個(gè)集合之間存在映射關(guān)系，每個(gè)角色都具有一個(gè)或多個(gè)權(quán)限子集所包含的權(quán)限。

1.2.2 “云-管-邊-端”安全參數(shù)基礎(chǔ)設(shè)施

模型在端側(cè)采用標(biāo)識(shí)密碼體系或?qū)ΨQ密鑰分散體系提供高性能、輕量級(jí)的安全接入認(rèn)證服務(wù)，在“云-管-邊”側(cè)采用數(shù)字證書體系，便于管理和兼容已有的基礎(chǔ)設(shè)施。

數(shù)據(jù)平面通過密碼基礎(chǔ)設(shè)備為模型提供加密功能，包括密碼管理與服務(wù)平臺(tái)，提供所有的密碼服務(wù)，包括密碼服務(wù)以及密鑰服務(wù)等，具體如密鑰生成、數(shù)據(jù)加密運(yùn)算、數(shù)據(jù)解密運(yùn)算、簽名運(yùn)算、驗(yàn)簽運(yùn)算等。

1.3 車聯(lián)網(wǎng)數(shù)據(jù)平面

車聯(lián)網(wǎng)數(shù)據(jù)平面執(zhí)行上層控制平面的指令，在控制平面通過訪問用戶的請(qǐng)求后，數(shù)據(jù)平面接收訪問用戶的流量。策略執(zhí)行引擎作為數(shù)據(jù)平面的中樞接收策略授權(quán)引擎的指令并指揮網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備落實(shí)對(duì)用戶流量的授權(quán)。數(shù)據(jù)平面由網(wǎng)絡(luò)軟件、設(shè)備組成，負(fù)責(zé)對(duì)數(shù)據(jù)資源進(jìn)行處理，其中安全網(wǎng)關(guān)南向?qū)榆嚶?lián)網(wǎng)終端及設(shè)備，北向?qū)咏尤氲臉I(yè)務(wù)應(yīng)用系統(tǒng)，提供中間通道功能，控制零信任車聯(lián)網(wǎng)模型的流量交互。

為了解決道路交通中海量異構(gòu)終端資源數(shù)據(jù)不同步的問題，模型采用分級(jí)分域的資源數(shù)據(jù)同步協(xié)議。道路交通系統(tǒng)跨地域、跨層級(jí)數(shù)據(jù)同步協(xié)議結(jié)構(gòu)示意圖如圖5 所示，A 節(jié)點(diǎn)為上級(jí)服務(wù)系統(tǒng)，A1、A2、A3 為下級(jí)管理服務(wù)系統(tǒng)，B為同層次不同系統(tǒng)節(jié)點(diǎn)，B1、B2 同理。域內(nèi)的節(jié)點(diǎn)可以直接連接，若信息跨域則必須通過中心節(jié)點(diǎn)。

圖5 分級(jí)分域數(shù)據(jù)同步結(jié)構(gòu)示意圖

數(shù)據(jù)同步協(xié)議遵守“逐層向上、按需轉(zhuǎn)發(fā)”的要求。資源數(shù)據(jù)在代理轉(zhuǎn)發(fā)時(shí)會(huì)以產(chǎn)生道路交通數(shù)據(jù)的節(jié)點(diǎn)為起點(diǎn)，根據(jù)當(dāng)前系統(tǒng)級(jí)聯(lián)關(guān)系向上傳遞數(shù)據(jù)至上級(jí)節(jié)點(diǎn)系統(tǒng)直至根節(jié)點(diǎn)，之后根節(jié)點(diǎn)向下級(jí)節(jié)點(diǎn)以及不同層次節(jié)點(diǎn)系統(tǒng)同步，最終根節(jié)點(diǎn)及其相關(guān)節(jié)點(diǎn)數(shù)據(jù)完成同步。當(dāng)?shù)缆方煌〝?shù)據(jù)節(jié)點(diǎn)的同級(jí)節(jié)點(diǎn)收到數(shù)據(jù)同步信號(hào)時(shí)，會(huì)首先判斷本節(jié)點(diǎn)是否需要完成數(shù)據(jù)同步，如果需要?jiǎng)t直接完成數(shù)據(jù)同步業(yè)務(wù)；否則會(huì)根據(jù)本節(jié)點(diǎn)系統(tǒng)配置的向上數(shù)據(jù)同步層級(jí)參數(shù)，逐級(jí)向上進(jìn)行數(shù)據(jù)同步。

2 模型分析

本文中的車聯(lián)網(wǎng)模型結(jié)合了零信任思想，與傳統(tǒng)的訪問控制模型相比，對(duì)網(wǎng)絡(luò)威脅的抵抗能力有所提高。與基于角色的車聯(lián)網(wǎng)訪問控制模型[8-9]相比，使用零信任架構(gòu)的訪問控制模型為用戶動(dòng)態(tài)分配角色，實(shí)現(xiàn)了細(xì)粒度的動(dòng)態(tài)授權(quán)。與基于屬性的訪問控制[10-11]相比，本模型解決了實(shí)體屬性難以設(shè)置的問題，將屬性與角色相結(jié)合，避免了復(fù)雜的策略配置。與基于任務(wù)和工作流的訪問控制模型[12]相比，本模型有著近似細(xì)粒度的表現(xiàn)，并通過動(dòng)態(tài)評(píng)估訪問主體的方式加強(qiáng)了對(duì)訪問主體的控制力度。此外，針對(duì)目前道路交通系統(tǒng)海量異構(gòu)終端的問題，本模型相較于傳統(tǒng)車聯(lián)網(wǎng)采用了分級(jí)分域的思想，實(shí)現(xiàn)了扁平化、網(wǎng)格化的管理，有效地實(shí)現(xiàn)了大規(guī)模異構(gòu)設(shè)備的安全管理以及不同設(shè)備之間信息的互聯(lián)互通。

3 結(jié) 語(yǔ)

本文提出了一種零信任架構(gòu)的海量異構(gòu)終端的車聯(lián)網(wǎng)安全模型，基于零信任架構(gòu)下的用戶平面、控制平面、數(shù)據(jù)平面構(gòu)建了數(shù)字身份管理模型、“云-管-邊-端”訪問控制服務(wù)體系和安全參數(shù)基礎(chǔ)設(shè)施、分級(jí)分域數(shù)據(jù)同步模型，解決了傳統(tǒng)車聯(lián)網(wǎng)中存在的安全問題，以及大規(guī)模車聯(lián)網(wǎng)中終端海量化、異構(gòu)化所導(dǎo)致的終端難以互聯(lián)互通的問題。