車聯網數字證書認證體系總體規劃思考

唐明環 閆瑞澤 彭浩楠 王 聰

(中國工業互聯網研究院 北京 100102)

車聯網是一項具有戰略意義的系統工程,是國家汽車產業轉型升級、由大變強的重要突破口,是關聯眾多重點領域協同創新、構建新型交通運輸體系的重要載體.隨著互聯網、人工智能、云計算和大數據等技術的應用,汽車的智能化、聯網化程度越來越高,已變成名副其實的萬物互聯時代的智能終端設備[1-3].通過更加開放的車內通信、車車通信、車人通信、車路通信、車和基礎設施通信等方式,車聯網極大地增加了汽車上路行駛中信息的交互,給用戶帶來更加良好的駕乘體驗.同時,智能網聯也為各個終端與車聯網運營服務間的通信安全、身份認證提出了新的要求.

車聯網V2X直連通信面臨消息偽造、篡改、重放等風險[4-5],當前國內主機廠對車聯網安全建設的需求日益緊迫,安全建設應貫穿整個網聯汽車的全生命周期.車聯網數字證書認證(certification authentication, CA)體系的規劃是車聯網安全建設的重要組成元素,構建基于公鑰基礎設施(public key infrastructure, PKI)機制的車聯網CA體系,可實現V2X設備間的安全認證和安全通信,保障駕乘安全.對V2X通信技術大規模產業化應用后的持續安全運行、管理起到支撐作用,對促進車聯網產業發展具有重要意義.

密碼為保護信息安全而生,是網絡安全的核心要件,是產業發展的基礎支撐.黨的十八大以來,構建自主可控信息技術體系,我國在重要領域網絡和信息系統大力推進商用密碼應用,取得了重大突破.建立基于商用密碼算法的車聯網CA體系,將促進商用密碼算法在車聯網行業的融合應用,以商用密碼算法應用支撐網絡安全,提升國家基礎信息安全保障能力[6-7].

1 車聯網CA體系發展存在的問題

我國車聯網CA體系建設處于起步階段.CCSA標準《基于LTE的車聯網無線通信技術 安全證書管理系統技術要求》[8]規定了LTE V2X安全證書技術要求、安全證書管理系統架構及建立互信的安全機制.該標準采用證書信任列表(certificate trusted list, CTL)方式實現CA間的互信,數字證書中默認采用商用密碼算法.V2X“跨整車、跨通信終端、跨芯片模組、跨安全平臺”(簡稱“四跨”)大規模先導應用示范活動陸續開展,活動中的CA平臺基于該標準開展了互聯互通應用示范驗證.通過跨廠商CA子系統的搭建與接入以及與其他根CA的V2X安全認證平臺信任互通,為活動中的車輛、路側設備及對應的多種應用場景的演示奠定了信息安全基礎.

具體實現上,信任列表管理器(trusted list manager, TLM)創建和維護CTL,CTL包含了全部受信任CA的證書,不同CA之間通過統一的CTL實現互信,從而建立多CA之間的信任關系[9].TLM在新增、更新和撤銷CA證書時對CTL進行更新,使用TLM簽名私鑰對CTL進行簽名,并通過專用通道將CTL下發至信任域內所有信任體,如圖1所示.美國安全憑證管理系統(security credential management system, SCMS)[10-11]和歐洲合作式智能交通系統安全憑證管理系統(C-ITS security credential management system, CCMS)[12-13]都采用基于CTL的方式實現CA系統間的互信認證.

圖1 通過證書信任列表實現多個根CA互認

同時,采用CTL實現CA互信的方式也存在一系列問題.一是多TLM情況無法打通信任鏈.采用TLM管理信任列表的技術方案建立在TLM唯一的前提下,由于V2X安全認證體系中存在不同車企或者不同的行業根CA,無法保證根CA的唯一性,所以增加TLM解決多個可信任根CA之間的互信關系.但是如果出現多個TLM的情況,依然可能存在無法打通信任鏈的情況.二是TLM的管控程度相對松散.TLM對下級CA的約束較弱,可能出現行業內各個CA機構之間無序競爭,造成市場混亂和資源浪費,不利于車聯網產業發展.三是不利于國家V2X證書管理體系的形成.V2X應用幾乎涵蓋了人、車、路、云等所有的道路交通參與者,目前不同行業都有各自的信息安全系統及證書管理系統,不同行業間信息系統互聯互通不暢.目前,適用于V2X的證書管理架構尚未達成共識,未形成統一的管理、協調、互認機制.行業內沒有一個權威、可信任的機構將目前出現的各個中間CA聯通和管理起來,內部的不統一進一步造成了與其他行業建立互信關系更加困難的局面.

車聯網CA體系的另一種實現方式是行業由一個權威的根CA簽發證書,行業內的所有子CA都在同一個根CA下管理.通過此方式建立V2X CA信任鏈[14],由根層的策略生成器(policy generator, PG)生成全局信任鏈文件(global certificate chain file, GCCF),各下級CA系統中的注冊中心(registration authority, RA)同步GCCF,并根據GCCF形成本地信任鏈文件(local certificate chain file, LCCF),然后將LCCF下發到終端,以此確保不同車企的車輛能夠直接互相驗證消息的證書,進而驗證簽名.根CA實現架構如圖2所示:

圖2 一個根CA管理全部數字證書

行業根CA可由行業車聯網管理部門負責運營維護,所有的證書由統一的根CA作為信任錨點,不存在CA間的互認問題,管理和驗證流程都比較高效.各行業建立統一的根CA,跨行業互信只需要根CA間達成互信關系,并將互信關系更新下發到下級CA,易于實現跨行業互信.然而,由于當前業界采用CTL實現V2X互信的機制已具備一定的實踐基礎和應用規模,根CA的方式推廣起來存在一定的難度.信任列表和根CA實現方式對比如表1所示:

表1 信任列表和根CA實現方式對比

2 兼容信任列表的根CA總體規劃

鑒于以上問題,綜合考慮國內車聯網CA體系的建設現狀以及行業長遠發展需要,在“統一管理+兼容技術”思路的指導下,本文提出“根CA+信任列表”綜合規劃[15-16].一方面通過根CA對行業內部CA進行集中、高效的管控;另一方面打通整個車聯網行業的V2X CA體系,確保來自不同管理實體的車輛及設施之間的互聯互通.考慮到對車端應用可能帶來的性能影響,信任鏈層次盡量控制在2層以內,同時在車端校驗過程中支持行業標準中已經實現的證書信任列表的機制,構建車聯網行業根的兩級根CA和證書信任列表兼容設計.

如圖3所示,車聯網CA體系總體架構為“1個中心,3個平臺”.“1個中心”是指以策略管理中心為牽引,“3個平臺”分別指信任平臺、管理平臺和數據平臺.策略管理中心接受行業和密碼管理部門的領導,落實相關法律法規和制度要求,形成安全策略,指導整個體系的運轉.3個平臺構建起從信任實現、持續管理到數據匯聚三位一體的安全信任基礎設施,實現車聯網CA體系的主體功能.通過策略管理中心牽引,信任、管理、數據協同,車聯網CA體系服務于二級運營中心及智能網聯汽車.

圖3 車聯網數字證書認證體系架構

2.1 策略管理中心

V2X業務涉及到車人、車車、車路、車云等多種復雜的交互場景及主機廠商、車、道路、交通設施、行人等多種主體.各主管部門要求、管理模式和側重各不相同,車聯網CA體系的規劃、建設、運營和管理需要統一考慮業務模式、管理模式和技術實現等要素,確保具備指導車聯網行業PKI體系健康有序發展的能力.

策略管理中心主要負責接收國家及行業管理要求,結合V2X的業務特點,匯總和梳理國家及行業主管部門的政策法規、制度要求和標準規范等,立足于行業管理和服務,制定車聯網CA體系相關的安全策略,指導信任平臺、管理平臺和數據平臺業務的正常運行,指導車聯網行業信任管理工作的正常開展.同時,策略管理中心通過向二級運營中心下發與其相關的安全策略,指導二級運營中心的安全運行.

策略管理中心制定的安全策略主要包括密碼算法配置、數字證書格式、數字簽名格式、密鑰生命周期管理、隱私信息保護、證書應用范圍和下級CA安全基線等.策略管理中心制定生成的策略,采用標準規范、管理制度、技術要求等形式輸出,是信任、管理和數據平臺運行的依據和準則,是車聯網二級運營中心正常有序運轉的指導.同時,策略管理中心接受管理平臺反饋的針對策略層面執行的問題并進行分析研判,進一步修正和完善策略管理中心制定的策略,更好地指導車聯網二級運營中心的正常運行.

2.2 信任平臺

信任平臺主要包括根CA系統和目錄服務系統.根CA系統為下級CA系統提供入根服務、簽發證書信任列表,通過目錄服務系統的快速發布功能,實現證書信任列表、證書黑名單/異常行為的發布.同時,信任平臺通過數據平臺匯總的證書信息,形成中央證書庫,為管理分析提供數據支撐.

信任平臺基于策略管理中心發布的策略,對V2X業務下級CA提供互聯互通服務.信任平臺采用樹狀信任體系的技術路線實現二級運營中心不同機構的互聯互通.基于樹狀信任體系的管理模式可以根據證書發放對象管理部門的不同,在根CA下設置多個下級策略CA,每個下級策略CA只負責發放與其管理部門策略要求相匹配的數字證書,實現V2X業務中數字證書的精細化管理.信任平臺主要組成部分包括根CA服務、可信根證書列表(trusted root certificate list, TRCL)服務、中央證書庫及黑名單.

根CA服務:作為信任體系的源頭,通過根CA系統生成自簽名的根證書,為下級CA簽發二級運營中心證書,對二級運營中心進行集中管理.

TRCL服務:為了保證和現有《基于LTE的車聯網無線通信技術安全證書管理系統技術要求》等標準體系證書信任列表模式之間的兼容性,信任平臺同時提供證書信任列表服務,方便V2X業務的過渡和推進.

中央證書庫:中央證書庫主要匯總下級CA發放的數字證書,為管理工作的開展提供數據支撐.

黑名單:針對二級運營中心本身、二級運營中心發放的數字證書是否被注銷發布黑名單信息.其中二級運營中心證書注銷黑名單信息由根CA系統發布,二級運營中心發放的數字證書是否被注銷的黑名單信息由二級運營中心發布,相關數據匯總到信任平臺.

2.3 管理平臺

管理平臺基于策略管理中心制定的安全策略及數據平臺提供的數據,針對根CA、二級運營中心運行狀態、服務運行狀態實現全面監控.管理平臺對二級運營中心匯總的運營數據開展分析,與策略管理中心下發的安全策略進行比對,發現安全策略執行不到位的地方,督促二級運營中心整改,提升其安全水平,并為V2X業務中的責任追溯、糾紛取證等提供依據和支撐.管理平臺主要組成部分包括密碼服務監控、運行狀態監控、合規性監控、責任追溯及取證、態勢感知及安全運營管控.

密碼服務監控:主要針對車聯網CA體系根CA、V2X二級運營中心對外提供的密碼服務運行狀態進行監控.

運行狀態監控:主要針對車聯網CA體系各個組成部分、V2X二級運營中心的運行狀態進行監控.

合規性監控:主要針對V2X二級運營中心建設、運營和應用環節中的密碼算法、數字證書格式、數據格式、隱私保護、密鑰保護等關鍵點進行合規性監測,確保V2X二級運營中心運行的合規性.

責任追溯及取證:當V2X業務發生糾紛時,基于車聯網CA體系及V2X二級運營中心收集匯總的數據,提供數字證書相關環節的責任追溯及取證服務.

態勢感知:基于車聯網CA體系及V2X二級運營中心收集匯總的數據進行分析,基于網絡安全情報、大數據分析、風險模型等技術及時發現安全隱患,通過及時處置提升網絡安全水平.

安全運營管控:當識別到二級運營CA或終端設備存在違規操作時,通過安全運營管控功能,對二級運營CA或終端設備進行管理控制.控制二級運營CA的主要手段為違規公告,將二級運營CA的信任域從TRCL中摘除,控制終端設備的主要手段為通知二級運營中心簽發證書吊銷列表(certificate revocation list, CRL).

2.4 數據平臺

數據平臺是車聯網CA體系的數據核心,和二級運營中心之間通過數據同步技術定時同步,匯總二級運營中心運行狀態數據、日志數據、證書應用相關數據、網絡安全相關數據.數據平臺采用分布式數據存儲架構,為信任平臺、管理平臺的運行提供數據支撐,信任平臺和管理平臺依托數據平臺對相關數據進行多維度分析,實施精準管理、風險及時發現和處置.數據平臺主要功能包括數據采集、數據存儲、數據分析及數據展現.

2.5 兼容擴展性設計

車聯網數字證書認證體系的應用核心為根CA系統,考慮到與現有標準和業務應用的兼容性,為根CA系統作雙重定位:一是車聯網行業根,為二級運營中心的各類CA系統簽發信任鏈;二是作為信任列表管理器TLM,為所有可信任的上級CA、平級CA、下級CA等各級根CA提供無差別的信任證書列表.車聯網CA體系的設計除了可以滿足當前的車聯網應用外,還保留3個層次的兼容擴展設計,保障本設計的向上級信任域擴展、平級信任域擴展以及面向車聯網應用側的兼容擴展,如圖4所示.

圖4 車聯網數字證書認證體系兼容性設計

2.5.1 面向上級根CA的信任鏈模式設計

車聯網行業根CA當前處于行業根模式,獨立建設,尚未接入上級根.但從結構設計角度來講,由于在車聯網安全體系設計過程中采用了入根的信任模型,保障該體系可以自由向上級CA,即上級根CA系統通過信任鏈的方式進行擴展,擴展過程支持國家的技術標準規范要求.

2.5.2 面向其他行業根CA的擴展設計

車聯網的行業應用除了以車為核心外,路側設備和交通基礎設施也是整個業務數據流轉的關鍵設備,這些設備同樣是整個車聯網應用體系的主要組成部分.考慮到設備歸口管理和建設的問題,在未來的車聯網數字證書認證體系需要對其他行業根CA進行擴展兼容,由于是平級信任域,可以考慮通過上級根形成完整的信任鏈或者通過證書信任列表的模型進行擴展融合.

2.5.3 面向車聯網應用側的信任鏈/證書信任列表服務

車聯網的應用側是應用的主要承載部分,不論信任域之間如何擴展兼容,在應用側的設計應做到無感設計,減少對業務平臺和設備的影響.車聯網數字證書認證體系設計中提供信任鏈/證書信任列表服務,通過智能化判定,各類應用主體和客體都可以通過服務的方式調用信任服務,而將信任域的各級耦合關系進行黑盒化處理,做到對各類應用場景的支持,而不需要額外付出開發成本.

3 結 語

本文基于車聯網CA體系標準及其驗證情況、行業發展現狀,分析對比了基于CTL和根CA的車聯網CA體系建設方式,提出了兼容信任列表的根CA總體規劃,并分析了向上級信任域、平級信任域及應用側的兼容擴展設計思路.同時,本文所述規劃思路接入上級信任域、二級運營中心后信任鏈層次增加,可能導致V2X通信時延增大,需在實踐中進行全盤規劃,控制好信任鏈層級.