C-V2X车联网信息安全探索与实践|大唐高鸿 胡金玲

第三届 国际汽车智能共享出行大会（SMC 2021）于2021年12月15-16日和12月30日分别以线上和线下形式在广州市花都区举办，大唐高鸿 车联网首席专家兼事业部副总经理 胡金玲，分享了题为“C-V2X车联网信息安全探索与实践”的演讲报告。

以下为演讲实录：

大家好，我是大唐高鸿的胡金玲，很高兴参加今天的论坛活动，我分享的题目是“C-V2X车联网信息安全探索与实践”。

当前随着信息通信技术的应用和发展，我们的汽车也变得越来越聪明，电动化、网联化、智能化成为未来产业发展的一个技术趋势，新兴的技术一方面给我们带来了便利和新的体验，但是另一方面，汽车的电子电气系统越来越复杂，在汽车的网络安全，数据安全以及用户隐私保护方面，我们面临的安全风险也进一步增加。

汽车一旦被远程操控或者是恶意攻击，不仅会带来人身安全和财产安全，严重的时候也会影响到国家和社会的安全。为了应对这样的一个形势，车联网安全成为当前关注的热点，我们国家也出台了一系列的相关政策，来规范和研究车联网安全问题。比如说2017年9月的时候国务院成立了国家制造强国领导小组的车联网产业发展专委会，是我们国家车联网发展顶层设计和统筹规划的一个部门，其中就把健全车联网安全管理制度和标准体系以及加强检测评估和安全保障作为重点工作任务在推进。

2018年工信部发布的车联网发展行动计划中也就加强车联网安全管理做出了系统的部署。在2020年发改委，网信办还有工信部等11个部门也联合发布了《智能网联汽车创新发展战略》，其中也推动构建全面高效的智能网联汽车网络安全体系，在2020年的11月国务院也发布了《新能源产业发展规划（2021-2035）》，其中也明确了，健全网络安全管理的制度。

配套的国家政策，在今年发布了四项基础性的国家标准，其中可以看一下《汽车信息安全通用技术要求》主要是发挥制南星的作用，从汽车信息安全风险的危害和诱因，以及系统性防御策略，从保护对象的真实性、保密性、完整性、可用性、访问可控性、抗抵赖性、可预防性等八个维度明确了通用技术要求。在《车载信息交互系统信息安全技术要求及测试方法》也适用于整车企业，零部件和软件供应商等进行车载信息交互的安全设计开发和测试验证。还有《汽车网关信息安全技术要求及测试方法》以及《电动汽车远程服务与管理系统信息安全技术要求和测试方法》，也都是对通信数据的信息安全提出了相应的要求以及测试的检验的方法。

工信部今年也发布了《车联网网络安全标准体系的建设指南》，从六大部分，包括总体与基础工芯的技术，以及终端与设施安全，网联通信安全，数据安全，应用服务安全，安全保障与支撑等方面，都做出了这样的标准规划的部署，因为车联网其中通信是非常重要的部分，在中国通信标准化协会，就是CCSA也已经开展了一系列的车联网安全标准的制定，包括车联网网络安全设备的安全通用技术与测试要求，还有基于LTE的车联网通信安全技术要求，证书管理体系，安全认证的测试方法，以及车辆异常行为管理等几个重要的行标都在制订的过程中。前面两个已经发布了。

前面是对车联网安全的宏观形势做了介绍，后面会深入地讨论一下这个C-V2X车联网的安全，因为C-V2X是基于蜂窝通信的车联网的通信的技术的方案，是包括从终端到网络这样的通信的基础上增加了终端，就是我们的车和车，车和人以及车和路侧的基础设施的直通的特性，通信的整体的解决方案，我们从技术演进上，C-V2X是包括现在正在产业化和推动的LTE-V2X标准以及演进版本，就是基于5G NR-V2X这样的新的技术。

因为我们今天的重点还是说车联网的安全，实际上在我们的通信安全的过程中，我们首先是车联网技术利用交通参与者之间的信息交互来实现安全效率以及绿色环保等终极的目标，因此我们对消息的真实性、完整性、可用性，都是非常重要的关注点。我们在车联网里面，我们对用户的隐私，以及防跟踪等等，都是我们重点关注的特性。

刚才我们说到C-V2X包括通信的这个模式，这块就是传统的4G、5G的安全和架构有相应的安全和保护的机制，从协议分层上是从介入层的安全，包括互联网安全和应用层的安全都有相应的机制和方式的。

刚才我们也提到，这个C-V2X为了支持车联网比较独特的应用，是引入了车辆之间或者是车和人，车和基础设施之间的终端的技术，这个终端的直通之后增加了新的接口，安全的风险也是增加了，从设计的直通链路的同时就是对安全问题，也是做了系统的规划和设计，就是从左边的图可以看到，车辆之间，车辆和路测设施之间发生消息都是需要进行签名的。然后车辆终端还有路测设施和CE之间获取证书也是保障有一个安全的通信的机制。总体而言，这个直联通信的部分是采用了应用层的签名和验签，以及基于PKI的证书体系来保证这样的直通链路通信的安全。

这张图其实是可以看一下，PC5直通安全的风险示例，其实也是信息安全中非常常见的一类的攻击，就是叫做假冒终端的攻击，这是整个车联网通信的系统中，需要保证对任何一个参与者的合法可信的身份，要进行识别，这样的一个机制，如果有一些不法的分子，想对网络进行攻击，是需要一定的识别机制的。

这个前面可以看到，因为刚才讲了，这个直通通信上发送信息是需要进行签名，然后接受方需要验签的，这里可以更详细深入说一下这个过程，就是以道路的基本安全消息为例来讲，我们通常会用车辆之间发送BSM消息来戳一些紧急的碰撞避免，还有环岛预警等等这样的应用来提升车辆的安全。

在这个过程中，我必须保证这个消息，我得知道是可信合法的渠道发出来的，可以从左边的图来讲，发送消息的时候要签名，那么假如说A车和B车通信，A和B发送消息的时候，A要签名，B来检验这个签名，但是这个时候不能解决前后一张图就是提到的这个假冒终端的问题，假如说用C的车辆冒充，说我是车辆A，我也签名了，我把这个，比如说采用网络攻击获取的签名信息，这个车辆没有办法识别，因此，我们是引用了一个叫做权威可信的第三方，就是这个图右边的这个CA，就相当于A和B他们在通信的过程中，签名的这个证书要经过这个权威的第三方的机构进行背书，这样子就能够解决刚才提到的这个假冒终端的问题。

所以，我们也是通过这样的证书的体系，有一个可信的第三方机构给这个车辆，通信的终端，给他发送相应的证书，这个车辆签名的时候就有这个权威机构发放的证书来做这样的签名，这样之后，接收方首先会校验一下A车权威机构发放的证书，然后校验这个签名信息，从而规避了假冒终端的这一类型的攻击问题。

这块我们可以概括总结一下，我们直通链路可信的通信机制建立跟传统的蜂窝机制是不同的。我们采用了基于PKI架构的签名和验签的机制，当然了，因为我们整个车联网的体系，要支持丰富多样的，不同的应用，同时刚才我们也提到了，在车联网的应用的过程中，车辆的隐私保护也是非常重要的，因此我们是基于PKI这样的机制设计了一整套的证书的管理的架构，可以看到这个图左边，首先有一个注册的CA，就是这个车辆也好，路测的ICU会向注册的CA申请一个注册的证书，这个主要是用于身份的标识，然后从这个车辆的角度来讲，因为这个车辆可能是经常运动的，我们在这个车辆通行的过程中，要使用的是这样的证书来进行消息的签名，这样子从而规避被跟踪等等，假如说你是一个固定的证书的话，可能有不法分子破获了这样的证书，通过这样的方式对这个用户的跟踪，从而窥探大家的隐私等等。所以设计了一整套的证书，就是车辆在发送消息的过程中，通常隔一段时间，这个签名的消息使用的证书就会发生一些变化。

刚才也提到，因为我们还是车联网支持丰富的应用的，比如说路测可以发放地图的消息，红绿灯的消息，针对不同的应用，也有相应的证书，也是要表明我是一个合法可信的设备发出，这里还有一个主要的实体叫做证书撤销的CA，这块的话，我们可以在后面，因为我待会会讲异常行为检测。

前面可以看到，就是这张主要是简单的一个示意，可以让大家看一下，采用证书发送和接收的流程，对刚才前面讲的这个链路的安全保障有一个更直观的认识。可以看到刚才说的，发送方要进行签名发送消息，首先会有一些信息，包括CA的证书，还有一个列表，车辆要发送消息前肯定要向CA申请一个注册证书，表明他的合法身份，根据这个证书申请一系列的证书，这些证书都申请好之后，在发送消息的时候，会采用这种算法，在我发送的消息要进行一个签名，表明我是车辆发出的，然后在发送之前要进行编码调制，然后就是发送信息。接收方是相反的过程，首先是接收到这个消息之后，看到的就是一些解码的操作，首先要进行证书的验证的工作，就是包括采用解密的算法，然后跟他自己手上的一个证书对比是不是一致，如果是一致的话，这个消息就是有效的，然后用证书去解这样的顺序，然后接收获取这样的数据，可以看到这跟前面讲的，是两步验证的工作。

这张图是我们之前在实际项目里的一个整体申请的流程，放在这里，让大家有一个直观的认识。就是这个车辆装了这个通信设备就会申请一个注册证书，在发送消息之前，需要申请刚才说到的，为了实现隐私保护，要申请这样的一系列的证书，在申请的消息中，会带着车辆的OBO的注册证书，以及他的一个标识，发给匿名的CA，这个CA就根据需要，生成了一系列的证书，在这个证书响应消息里把这些消息发给车辆，这个车辆在后续的发送消息的过程中就可以动态调整，使用这样的证书。

接下来我们再看一个安全风险的示例，前面讲的是识别这个用户的合法的身份，其实是类似我可能这个车辆已经有一个合法身份了，但是如果这个车辆出现故障，或者是被恶意攻击了，发送的内容上出现一些问题，比如说我们在常见的网络攻击，就是某一些节点被黑客恶意操纵了，就会发送虚假的信息，导致系统异常，或者是系统不可用，就是这样的场景。应对这种情况，我们也是有相应的机制，我在前面提到了，在这个系统里有一个异常行为检测的机制，包括这个异常行为的定义，分类分级，相应的流程，刚才讲的系统的端侧，还有CA侧，对异常行为有一个清晰的定义，然后在实现异常行为检测机制有以下几个步骤，在终端侧要对异常行为有一定的检测的机制，发现了异常事件之后会触发上报的流程，就是端侧把这个情况上报到异常行为检测的CA，然后通过权级的异常行为判断之后会生成一个证书的列表，就是我们刚才前面那个图里有一个证书撤销的CA的机构。

我们还是从之前做项目的实现的流程来看，这样更直观一些，就是证书撤销的CA，会实时检测异常情况，发现有出现异常行为的终端，就会生成相应的证书列表，发给之前的列表标注为撤销的单子，把撤销单子也是会周期性地发给车辆，车辆在他自己的端侧会存储相应的证书撤销列表，然后这个车辆在刚才说到的对签名进行验证的过程中，如果发现使用的证书是位于证书撤销列表里面的，会标注是非法的消息，这样从而把这个系统中出现的异常的行为，这样的终端剔除。

当前车联网在产业上也是得到了快速的发展，从这个车联网的安全上，我们发现还是存在一些有待进一步解决的问题，包括我们在这里提到的一个跨行业的互认和跨地区的互认，有待进一步的完善，在技术标准上也有一个PKI这样的机制解决这样的问题，就是我们刚才也说到了，我们都会有一个第三方的可信的CA的机制来给系统里的终端发放证书，当然我们现在有不同的多个系统之间，就是我们建立一个可信根证书的列表，我们有这样的管理机构，刚才说到的不同的机构，比如说汽车和交通，分别都有自己的安全证书的发放的机构，那么我们在他们之间，我们希望建立一种互认的关系，最终实现端侧之间的互联互通。

也是为了推进把车联网的安全体系的发展，今年工信部也是启动了开展车联网电子认证与安全试点的工作，试点工作包括了四个方向，就是车和车的通信，车和云的通信，车和路的通信，车和设备的通信，四个方面都要实现刚才提到的一系列的安全的机制。今年这个试点工作已经有60多家单位报名了，工信部也是经过了公示，有60多家单位报名和入选，目前在进行相应的试点工作。

接下来我们就是简单地介绍一下大唐高鸿以及在车联网安全方面的工作。大唐高鸿是中信科集团下面的车联网业务的骨干企业，因为大唐也是最早提出C-V2X通信技术的标准的，目前我们也是相应的技术标准，产业推动核心的企业。

我们也是业内最早推出C-V2X车规级的模组量产的企业，目前很多车联网示范试点的设备，都是基于我们的DMD3A模组开发的设备。当然了，我们也是提供整机设备的，包括OBU和RSU，OBU和RSU都是集成了高性能的硬件的安全的芯片，支持我们的算法。支持刚才讲到的一整套的安全签名和验签的过程，保证车联网安全通信机制的安全。

前面也说了，因为大唐是最早参与C-V2X相关的基于技术标准工作，我们从设计PC5就是直通的接口考虑安全问题，我们也是牵头参与了一系列的LTE，V2X的相关的信息安全相关的标准，近期也在参加汽标委做的《智能网联汽车通用要求》的编写工作，这个也是解决当前车联网安全，数据安全，网络安全这样的热点问题。

前面也讲到了，今年工信部开展了车联网安全试点的安全工作，有60多家单位入选，大唐高鸿也是作为合作伙伴支持11家业主协同单位参加这样的试点工作。这里就是举了一个示例，在武汉智能网联汽车的示范区开展的车联网安全的工作，因为武汉也是我们工信部重点推出的车联网的示范区，也是国内第一个部署V2X CA平台的示范区，这个项目也是进行了两期，在道路上70多公里部署了C-V2X的路测设备，支持新增的智能公交的设备，这样子的一些环境部署，我们在这个示范区部署了车路协同的设备，以及刚才说到的CA平台，目前这个CA平台包括刚才提到的注册证书，应用证书，可以支持这个示范区里目前接入这个系统的终端设备之间的多厂家设备的互联互通，以及相应的安全的签名验签的机制，从而保证车联网的信息通信的安全，从而更好地服务车联网的目标。

我今天就分享这些，谢谢大家！