第三屆 國際汽車智能共享出行大會（SMC 2021）于2021年12月15-16日和12月30日分別以線上和線下形式在廣州市花都區(qū)舉辦，大唐高鴻 車聯(lián)網(wǎng)首席專家兼事業(yè)部副總經(jīng)理 胡金玲，分享了題為“C-V2X車聯(lián)網(wǎng)信息安全探索與實(shí)踐”的演講報告。

以下為演講實(shí)錄：

大家好，我是大唐高鴻的胡金玲，很高興參加今天的論壇活動，我分享的題目是“C-V2X車聯(lián)網(wǎng)信息安全探索與實(shí)踐”。

當(dāng)前隨著信息通信技術(shù)的應(yīng)用和發(fā)展，我們的汽車也變得越來越聰明，電動化、網(wǎng)聯(lián)化、智能化成為未來產(chǎn)業(yè)發(fā)展的一個技術(shù)趨勢，新興的技術(shù)一方面給我們帶來了便利和新的體驗(yàn)，但是另一方面，汽車的電子電氣系統(tǒng)越來越復(fù)雜，在汽車的網(wǎng)絡(luò)安全，數(shù)據(jù)安全以及用戶隱私保護(hù)方面，我們面臨的安全風(fēng)險也進(jìn)一步增加。

汽車一旦被遠(yuǎn)程操控或者是惡意攻擊，不僅會帶來人身安全和財產(chǎn)安全，嚴(yán)重的時候也會影響到國家和社會的安全。為了應(yīng)對這樣的一個形勢，車聯(lián)網(wǎng)安全成為當(dāng)前關(guān)注的熱點(diǎn)，我們國家也出臺了一系列的相關(guān)政策，來規(guī)范和研究車聯(lián)網(wǎng)安全問題。比如說2017年9月的時候國務(wù)院成立了國家制造強(qiáng)國領(lǐng)導(dǎo)小組的車聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展專委會，是我們國家車聯(lián)網(wǎng)發(fā)展頂層設(shè)計和統(tǒng)籌規(guī)劃的一個部門，其中就把健全車聯(lián)網(wǎng)安全管理制度和標(biāo)準(zhǔn)體系以及加強(qiáng)檢測評估和安全保障作為重點(diǎn)工作任務(wù)在推進(jìn)。

2018年工信部發(fā)布的車聯(lián)網(wǎng)發(fā)展行動計劃中也就加強(qiáng)車聯(lián)網(wǎng)安全管理做出了系統(tǒng)的部署。在2020年發(fā)改委，網(wǎng)信辦還有工信部等11個部門也聯(lián)合發(fā)布了《智能網(wǎng)聯(lián)汽車創(chuàng)新發(fā)展戰(zhàn)略》，其中也推動構(gòu)建全面高效的智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全體系，在2020年的11月國務(wù)院也發(fā)布了《新能源產(chǎn)業(yè)發(fā)展規(guī)劃（2021-2035）》，其中也明確了，健全網(wǎng)絡(luò)安全管理的制度。

配套的國家政策，在今年發(fā)布了四項(xiàng)基礎(chǔ)性的國家標(biāo)準(zhǔn)，其中可以看一下《汽車信息安全通用技術(shù)要求》主要是發(fā)揮制南星的作用，從汽車信息安全風(fēng)險的危害和誘因，以及系統(tǒng)性防御策略，從保護(hù)對象的真實(shí)性、保密性、完整性、可用性、訪問可控性、抗抵賴性、可預(yù)防性等八個維度明確了通用技術(shù)要求。在《車載信息交互系統(tǒng)信息安全技術(shù)要求及測試方法》也適用于整車企業(yè)，零部件和軟件供應(yīng)商等進(jìn)行車載信息交互的安全設(shè)計開發(fā)和測試驗(yàn)證。還有《汽車網(wǎng)關(guān)信息安全技術(shù)要求及測試方法》以及《電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全技術(shù)要求和測試方法》，也都是對通信數(shù)據(jù)的信息安全提出了相應(yīng)的要求以及測試的檢驗(yàn)的方法。

工信部今年也發(fā)布了《車聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系的建設(shè)指南》，從六大部分，包括總體與基礎(chǔ)工芯的技術(shù)，以及終端與設(shè)施安全，網(wǎng)聯(lián)通信安全，數(shù)據(jù)安全，應(yīng)用服務(wù)安全，安全保障與支撐等方面，都做出了這樣的標(biāo)準(zhǔn)規(guī)劃的部署，因?yàn)檐嚶?lián)網(wǎng)其中通信是非常重要的部分，在中國通信標(biāo)準(zhǔn)化協(xié)會，就是CCSA也已經(jīng)開展了一系列的車聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的制定，包括車聯(lián)網(wǎng)網(wǎng)絡(luò)安全設(shè)備的安全通用技術(shù)與測試要求，還有基于LTE的車聯(lián)網(wǎng)通信安全技術(shù)要求，證書管理體系，安全認(rèn)證的測試方法，以及車輛異常行為管理等幾個重要的行標(biāo)都在制訂的過程中。前面兩個已經(jīng)發(fā)布了。

前面是對車聯(lián)網(wǎng)安全的宏觀形勢做了介紹，后面會深入地討論一下這個C-V2X車聯(lián)網(wǎng)的安全，因?yàn)镃-V2X是基于蜂窩通信的車聯(lián)網(wǎng)的通信的技術(shù)的方案，是包括從終端到網(wǎng)絡(luò)這樣的通信的基礎(chǔ)上增加了終端，就是我們的車和車，車和人以及車和路側(cè)的基礎(chǔ)設(shè)施的直通的特性，通信的整體的解決方案，我們從技術(shù)演進(jìn)上，C-V2X是包括現(xiàn)在正在產(chǎn)業(yè)化和推動的LTE-V2X標(biāo)準(zhǔn)以及演進(jìn)版本，就是基于5G NR-V2X這樣的新的技術(shù)。

因?yàn)槲覀兘裉斓闹攸c(diǎn)還是說車聯(lián)網(wǎng)的安全，實(shí)際上在我們的通信安全的過程中，我們首先是車聯(lián)網(wǎng)技術(shù)利用交通參與者之間的信息交互來實(shí)現(xiàn)安全效率以及綠色環(huán)保等終極的目標(biāo)，因此我們對消息的真實(shí)性、完整性、可用性，都是非常重要的關(guān)注點(diǎn)。我們在車聯(lián)網(wǎng)里面，我們對用戶的隱私，以及防跟蹤等等，都是我們重點(diǎn)關(guān)注的特性。

剛才我們說到C-V2X包括通信的這個模式，這塊就是傳統(tǒng)的4G、5G的安全和架構(gòu)有相應(yīng)的安全和保護(hù)的機(jī)制，從協(xié)議分層上是從介入層的安全，包括互聯(lián)網(wǎng)安全和應(yīng)用層的安全都有相應(yīng)的機(jī)制和方式的。

剛才我們也提到，這個C-V2X為了支持車聯(lián)網(wǎng)比較獨(dú)特的應(yīng)用，是引入了車輛之間或者是車和人，車和基礎(chǔ)設(shè)施之間的終端的技術(shù)，這個終端的直通之后增加了新的接口，安全的風(fēng)險也是增加了，從設(shè)計的直通鏈路的同時就是對安全問題，也是做了系統(tǒng)的規(guī)劃和設(shè)計，就是從左邊的圖可以看到，車輛之間，車輛和路測設(shè)施之間發(fā)生消息都是需要進(jìn)行簽名的。然后車輛終端還有路測設(shè)施和CE之間獲取證書也是保障有一個安全的通信的機(jī)制?？傮w而言，這個直聯(lián)通信的部分是采用了應(yīng)用層的簽名和驗(yàn)簽，以及基于PKI的證書體系來保證這樣的直通鏈路通信的安全。

這張圖其實(shí)是可以看一下，PC5直通安全的風(fēng)險示例，其實(shí)也是信息安全中非常常見的一類的攻擊，就是叫做假冒終端的攻擊，這是整個車聯(lián)網(wǎng)通信的系統(tǒng)中，需要保證對任何一個參與者的合法可信的身份，要進(jìn)行識別，這樣的一個機(jī)制，如果有一些不法的分子，想對網(wǎng)絡(luò)進(jìn)行攻擊，是需要一定的識別機(jī)制的。

這個前面可以看到，因?yàn)閯偛胖v了，這個直通通信上發(fā)送信息是需要進(jìn)行簽名，然后接受方需要驗(yàn)簽的，這里可以更詳細(xì)深入說一下這個過程，就是以道路的基本安全消息為例來講，我們通常會用車輛之間發(fā)送BSM消息來戳一些緊急的碰撞避免，還有環(huán)島預(yù)警等等這樣的應(yīng)用來提升車輛的安全。

在這個過程中，我必須保證這個消息，我得知道是可信合法的渠道發(fā)出來的，可以從左邊的圖來講，發(fā)送消息的時候要簽名，那么假如說A車和B車通信，A和B發(fā)送消息的時候，A要簽名，B來檢驗(yàn)這個簽名，但是這個時候不能解決前后一張圖就是提到的這個假冒終端的問題，假如說用C的車輛冒充，說我是車輛A，我也簽名了，我把這個，比如說采用網(wǎng)絡(luò)攻擊獲取的簽名信息，這個車輛沒有辦法識別，因此，我們是引用了一個叫做權(quán)威可信的第三方，就是這個圖右邊的這個CA，就相當(dāng)于A和B他們在通信的過程中，簽名的這個證書要經(jīng)過這個權(quán)威的第三方的機(jī)構(gòu)進(jìn)行背書，這樣子就能夠解決剛才提到的這個假冒終端的問題。

所以，我們也是通過這樣的證書的體系，有一個可信的第三方機(jī)構(gòu)給這個車輛，通信的終端，給他發(fā)送相應(yīng)的證書，這個車輛簽名的時候就有這個權(quán)威機(jī)構(gòu)發(fā)放的證書來做這樣的簽名，這樣之后，接收方首先會校驗(yàn)一下A車權(quán)威機(jī)構(gòu)發(fā)放的證書，然后校驗(yàn)這個簽名信息，從而規(guī)避了假冒終端的這一類型的攻擊問題。

這塊我們可以概括總結(jié)一下，我們直通鏈路可信的通信機(jī)制建立跟傳統(tǒng)的蜂窩機(jī)制是不同的。我們采用了基于PKI架構(gòu)的簽名和驗(yàn)簽的機(jī)制，當(dāng)然了，因?yàn)槲覀冋麄€車聯(lián)網(wǎng)的體系，要支持豐富多樣的，不同的應(yīng)用，同時剛才我們也提到了，在車聯(lián)網(wǎng)的應(yīng)用的過程中，車輛的隱私保護(hù)也是非常重要的，因此我們是基于PKI這樣的機(jī)制設(shè)計了一整套的證書的管理的架構(gòu)，可以看到這個圖左邊，首先有一個注冊的CA，就是這個車輛也好，路測的ICU會向注冊的CA申請一個注冊的證書，這個主要是用于身份的標(biāo)識，然后從這個車輛的角度來講，因?yàn)檫@個車輛可能是經(jīng)常運(yùn)動的，我們在這個車輛通行的過程中，要使用的是這樣的證書來進(jìn)行消息的簽名，這樣子從而規(guī)避被跟蹤等等，假如說你是一個固定的證書的話，可能有不法分子破獲了這樣的證書，通過這樣的方式對這個用戶的跟蹤，從而窺探大家的隱私等等。所以設(shè)計了一整套的證書，就是車輛在發(fā)送消息的過程中，通常隔一段時間，這個簽名的消息使用的證書就會發(fā)生一些變化。

剛才也提到，因?yàn)槲覀冞€是車聯(lián)網(wǎng)支持豐富的應(yīng)用的，比如說路測可以發(fā)放地圖的消息，紅綠燈的消息，針對不同的應(yīng)用，也有相應(yīng)的證書，也是要表明我是一個合法可信的設(shè)備發(fā)出，這里還有一個主要的實(shí)體叫做證書撤銷的CA，這塊的話，我們可以在后面，因?yàn)槲掖龝v異常行為檢測。

前面可以看到，就是這張主要是簡單的一個示意，可以讓大家看一下，采用證書發(fā)送和接收的流程，對剛才前面講的這個鏈路的安全保障有一個更直觀的認(rèn)識。可以看到剛才說的，發(fā)送方要進(jìn)行簽名發(fā)送消息，首先會有一些信息，包括CA的證書，還有一個列表，車輛要發(fā)送消息前肯定要向CA申請一個注冊證書，表明他的合法身份，根據(jù)這個證書申請一系列的證書，這些證書都申請好之后，在發(fā)送消息的時候，會采用這種算法，在我發(fā)送的消息要進(jìn)行一個簽名，表明我是車輛發(fā)出的，然后在發(fā)送之前要進(jìn)行編碼調(diào)制，然后就是發(fā)送信息。接收方是相反的過程，首先是接收到這個消息之后，看到的就是一些解碼的操作，首先要進(jìn)行證書的驗(yàn)證的工作，就是包括采用解密的算法，然后跟他自己手上的一個證書對比是不是一致，如果是一致的話，這個消息就是有效的，然后用證書去解這樣的順序，然后接收獲取這樣的數(shù)據(jù)，可以看到這跟前面講的，是兩步驗(yàn)證的工作。

這張圖是我們之前在實(shí)際項(xiàng)目里的一個整體申請的流程，放在這里，讓大家有一個直觀的認(rèn)識。就是這個車輛裝了這個通信設(shè)備就會申請一個注冊證書，在發(fā)送消息之前，需要申請剛才說到的，為了實(shí)現(xiàn)隱私保護(hù)，要申請這樣的一系列的證書，在申請的消息中，會帶著車輛的OBO的注冊證書，以及他的一個標(biāo)識，發(fā)給匿名的CA，這個CA就根據(jù)需要，生成了一系列的證書，在這個證書響應(yīng)消息里把這些消息發(fā)給車輛，這個車輛在后續(xù)的發(fā)送消息的過程中就可以動態(tài)調(diào)整，使用這樣的證書。

接下來我們再看一個安全風(fēng)險的示例，前面講的是識別這個用戶的合法的身份，其實(shí)是類似我可能這個車輛已經(jīng)有一個合法身份了，但是如果這個車輛出現(xiàn)故障，或者是被惡意攻擊了，發(fā)送的內(nèi)容上出現(xiàn)一些問題，比如說我們在常見的網(wǎng)絡(luò)攻擊，就是某一些節(jié)點(diǎn)被黑客惡意操縱了，就會發(fā)送虛假的信息，導(dǎo)致系統(tǒng)異常，或者是系統(tǒng)不可用，就是這樣的場景。應(yīng)對這種情況，我們也是有相應(yīng)的機(jī)制，我在前面提到了，在這個系統(tǒng)里有一個異常行為檢測的機(jī)制，包括這個異常行為的定義，分類分級，相應(yīng)的流程，剛才講的系統(tǒng)的端側(cè)，還有CA側(cè)，對異常行為有一個清晰的定義，然后在實(shí)現(xiàn)異常行為檢測機(jī)制有以下幾個步驟，在終端側(cè)要對異常行為有一定的檢測的機(jī)制，發(fā)現(xiàn)了異常事件之后會觸發(fā)上報的流程，就是端側(cè)把這個情況上報到異常行為檢測的CA，然后通過權(quán)級的異常行為判斷之后會生成一個證書的列表，就是我們剛才前面那個圖里有一個證書撤銷的CA的機(jī)構(gòu)。

我們還是從之前做項(xiàng)目的實(shí)現(xiàn)的流程來看，這樣更直觀一些，就是證書撤銷的CA，會實(shí)時檢測異常情況，發(fā)現(xiàn)有出現(xiàn)異常行為的終端，就會生成相應(yīng)的證書列表，發(fā)給之前的列表標(biāo)注為撤銷的單子，把撤銷單子也是會周期性地發(fā)給車輛，車輛在他自己的端側(cè)會存儲相應(yīng)的證書撤銷列表，然后這個車輛在剛才說到的對簽名進(jìn)行驗(yàn)證的過程中，如果發(fā)現(xiàn)使用的證書是位于證書撤銷列表里面的，會標(biāo)注是非法的消息，這樣從而把這個系統(tǒng)中出現(xiàn)的異常的行為，這樣的終端剔除。

當(dāng)前車聯(lián)網(wǎng)在產(chǎn)業(yè)上也是得到了快速的發(fā)展，從這個車聯(lián)網(wǎng)的安全上，我們發(fā)現(xiàn)還是存在一些有待進(jìn)一步解決的問題，包括我們在這里提到的一個跨行業(yè)的互認(rèn)和跨地區(qū)的互認(rèn)，有待進(jìn)一步的完善，在技術(shù)標(biāo)準(zhǔn)上也有一個PKI這樣的機(jī)制解決這樣的問題，就是我們剛才也說到了，我們都會有一個第三方的可信的CA的機(jī)制來給系統(tǒng)里的終端發(fā)放證書，當(dāng)然我們現(xiàn)在有不同的多個系統(tǒng)之間，就是我們建立一個可信根證書的列表，我們有這樣的管理機(jī)構(gòu)，剛才說到的不同的機(jī)構(gòu)，比如說汽車和交通，分別都有自己的安全證書的發(fā)放的機(jī)構(gòu)，那么我們在他們之間，我們希望建立一種互認(rèn)的關(guān)系，最終實(shí)現(xiàn)端側(cè)之間的互聯(lián)互通。

也是為了推進(jìn)把車聯(lián)網(wǎng)的安全體系的發(fā)展，今年工信部也是啟動了開展車聯(lián)網(wǎng)電子認(rèn)證與安全試點(diǎn)的工作，試點(diǎn)工作包括了四個方向，就是車和車的通信，車和云的通信，車和路的通信，車和設(shè)備的通信，四個方面都要實(shí)現(xiàn)剛才提到的一系列的安全的機(jī)制。今年這個試點(diǎn)工作已經(jīng)有60多家單位報名了，工信部也是經(jīng)過了公示，有60多家單位報名和入選，目前在進(jìn)行相應(yīng)的試點(diǎn)工作。

接下來我們就是簡單地介紹一下大唐高鴻以及在車聯(lián)網(wǎng)安全方面的工作。大唐高鴻是中信科集團(tuán)下面的車聯(lián)網(wǎng)業(yè)務(wù)的骨干企業(yè)，因?yàn)榇筇埔彩亲钤缣岢鯟-V2X通信技術(shù)的標(biāo)準(zhǔn)的，目前我們也是相應(yīng)的技術(shù)標(biāo)準(zhǔn)，產(chǎn)業(yè)推動核心的企業(yè)。

我們也是業(yè)內(nèi)最早推出C-V2X車規(guī)級的模組量產(chǎn)的企業(yè)，目前很多車聯(lián)網(wǎng)示范試點(diǎn)的設(shè)備，都是基于我們的DMD3A模組開發(fā)的設(shè)備。當(dāng)然了，我們也是提供整機(jī)設(shè)備的，包括OBU和RSU，OBU和RSU都是集成了高性能的硬件的安全的芯片，支持我們的算法。支持剛才講到的一整套的安全簽名和驗(yàn)簽的過程，保證車聯(lián)網(wǎng)安全通信機(jī)制的安全。

前面也說了，因?yàn)榇筇剖亲钤鐓⑴cC-V2X相關(guān)的基于技術(shù)標(biāo)準(zhǔn)工作，我們從設(shè)計PC5就是直通的接口考慮安全問題，我們也是牽頭參與了一系列的LTE，V2X的相關(guān)的信息安全相關(guān)的標(biāo)準(zhǔn)，近期也在參加汽標(biāo)委做的《智能網(wǎng)聯(lián)汽車通用要求》的編寫工作，這個也是解決當(dāng)前車聯(lián)網(wǎng)安全，數(shù)據(jù)安全，網(wǎng)絡(luò)安全這樣的熱點(diǎn)問題。

前面也講到了，今年工信部開展了車聯(lián)網(wǎng)安全試點(diǎn)的安全工作，有60多家單位入選，大唐高鴻也是作為合作伙伴支持11家業(yè)主協(xié)同單位參加這樣的試點(diǎn)工作。這里就是舉了一個示例，在武漢智能網(wǎng)聯(lián)汽車的示范區(qū)開展的車聯(lián)網(wǎng)安全的工作，因?yàn)槲錆h也是我們工信部重點(diǎn)推出的車聯(lián)網(wǎng)的示范區(qū)，也是國內(nèi)第一個部署V2X CA平臺的示范區(qū)，這個項(xiàng)目也是進(jìn)行了兩期，在道路上70多公里部署了C-V2X的路測設(shè)備，支持新增的智能公交的設(shè)備，這樣子的一些環(huán)境部署，我們在這個示范區(qū)部署了車路協(xié)同的設(shè)備，以及剛才說到的CA平臺，目前這個CA平臺包括剛才提到的注冊證書，應(yīng)用證書，可以支持這個示范區(qū)里目前接入這個系統(tǒng)的終端設(shè)備之間的多廠家設(shè)備的互聯(lián)互通，以及相應(yīng)的安全的簽名驗(yàn)簽的機(jī)制，從而保證車聯(lián)網(wǎng)的信息通信的安全，從而更好地服務(wù)車聯(lián)網(wǎng)的目標(biāo)。

我今天就分享這些，謝謝大家！