“首届全国商用密码应用优秀案例详解”系列宣传——第3期:基于商用密码的V2X通信安全认证防护系统SCMS
前言
为深入贯彻落实《密码法》,推动商用密码技术在工业和信息化行业领域的融合应用,工业和信息化部密码应用研究中心组织开展了“首届全国商用密码应用优秀案例征集”工作,并评审选出15项优秀案例。
同时,为持久发挥本次活动的产业促进效能,现开展“首届全国商用密码应用优秀案例详解 ”系列宣传,宣传活动将对获评案例进行逐项解析,便于广大从业者参考学习。
本期宣传为第3期,内容为:基于商用密码的V2X通信安全认证防护系统SCMS
一、案例综述
(一)案例背景
2021年7月工信部起草《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》强调车联网安全能力建设,针对V2X通信,推进基于PKI的安全认证与审计技术。2021年9月,工信部发布《关于加强车联网网络安全和数据安全工作的通知》中提到要加强车联网网络安全防护,保障车联网通信安全,要求企业建立车联网身份认证和安全信任机制,强化车载通信设备、路侧通信设备、服务平台等安全通信能力,采取身份认证、加密传输等必要的技术措施,防范通信信息伪造、数据篡改、重放攻击等安全风险,保障车与车、车与路、车与云、车与设备等场景通信安全。鼓励相关企业、机构接入工业和信息化部车联网安全信任根管理平台,协同推动跨车型、跨设施、跨企业互联互认互通。
(二)案例简介
基于商用密码的V2X通信安全认证防护系统SCMS最早实现了与IEEE、ETSI等国际标准的接轨,通过此平台实现C-V2X安全认证体系方案设计、建设,建立PKI信任体系,实现基于V2X技术的通信单元交互安全,实现身份认证、安全传输、数据完整性、有效性等安全特性,解决当前车与车、车与路边单元等V2X体系内攻击漏洞以及安全隐患,建立一个安全的网络运行环境。目前已为C-V2X“新四跨”先导应用示范活动、北京高级别自动驾驶示范区等持续提供服务,可支持大量的V2X直连通信应用场景,全面适配多种V2X终端设备,同时本系统可实现终端跨信任域的互联互通,提高通信的安全及效率。
行业挑战
(一)《V2X车辆管理白皮书》指出,V2X通信具有跨行业的特点,目前产业所关注的焦点是如何打通行业内的信任。工业和信息化部车联网安全信任根管理平台TRCLA提供了这样的平台,但TRCLA长期离线,降低TRCL更新频率,减少离线TRCLA的操作,提高安全性,不接受企业直接向TRCLA申请接入。为保护TRCLA的安全性,国汽智联的V2X通信安全认证防护系统SCMS中包含了ROOT CA模块,直接接入TRCLA,车企、示范区等接入ROOT CA模块,最终实现跨信任域的身份认证,保障多品牌车辆的安全互联互通,构建车车通信安全保障能力。
(二)终端设备的第一张身份证书的认证授权至关重要,因为它需要为后续假名证书及应用证书申请提供签名。本系统对认证授权机构创新设计,开发出了设备配置管理系统(DCM),可根据认证设备的序列号或X.509证书的方式对终端的身份确认,保障了注册证书签发的安全性。
(三)车辆终端在道路行驶中,使用假名证书签发主动安全消息,攻击者会根据假名证书模拟车主的行驶路线,追踪车主的位置。为了防止车主隐私泄露,本系统设计了每周为车主颁发20张假名证书,假名证书每5分钟随意变换使用。同时,本系统采用了密钥衍生、链接值及密钥重构技术,极大的保护了车辆隐私并减少了假名证书申请和下载的交互次数。
项目实施情况
(一)总体技术架构图及介绍
总体架构参考OSI七层网络模型思想,自下而上,传递密码基础服务能力的基础上,结合云平台自身特点及密码应用基本要求,使平台基础业务模块能够高 效、集约化地调用密码功能。总体架构既体现出密码服务的技术特点,又兼顾了相应的密钥管理和安全管理规范。
图1 SCMS系统架构图
此SCMS系统可以实现V2X设备向ECA申请注册证书、向PCA申请假名证书、向ACA申请应用证书,同时支持将异常终端的注册证书放入黑名单,将证书撤销列表提供给CRL服务实体,V2X设备或其他证书管理实体通过此接口从CRL服务实体下载或检查证书撤销列表等服务。
(二)应用场景架构图及讲解
V2X一期应用有安全、效率、信息服务3大类,分为前向碰撞预警、交叉路口碰撞预警、左转辅助、盲区预警/变道辅助、逆向超车预警、紧急制动预警、异常车辆提醒、车辆失控预警、道路危险状况提示、限速预警、闯红灯预警、弱势交通参与者碰撞预警、绿波车速引导、车内标牌、前方拥堵提醒、紧急车辆提醒、汽车近场支付17个场景。这些应用场景的通信都是基于PC5的一对多广播的方式直连通信,这种通信方式使得消息容易受到消息的伪造、消息的篡改、终端的伪造等外界攻击。
攻击场景案例1:一个非官方的路侧设备伪造红绿灯发送错误的交通信号消息,车辆收到假消息后采取错误行动导致交通混乱。
图2 伪造红绿灯的交通示意图
攻击场景案例2:一个普通车辆伪造救护车或警车等特种车辆,向红绿灯发送绿灯保持消息,导致交通效率降低。
图3 伪造特种车辆的交通示意图
为解决以上问题,车辆及路侧设备在终端生成密钥对并向本案例SCMS系统申请证书,可为车辆及路侧设备签发证书并通过ROOTCA下发安全信任文件,从而车辆及路测设备发出的消息使用证书公钥对应的私钥签名,保障了信息的完整性、不可否认性。整体架构如下图所示。
图4 SCMS系统应用架构图
商用密码技术在本案例中发挥的作用主要体现在保障数据传输真实性、完整性及行为抗抵赖保障方案。
图5 商用密码应用情况图
本案例SCMS系统解决了V2X消息的真实性、完整性及行为抗抵赖,具体流程如下:
1、V2X消息发送者在终端本地生成国密公私钥对,并构造身份证书的申请请求,用私钥签名,发送到SCMS系统。
2、SCMS系统审核身份证书请求的合法性,若判断为合法请求,将用SCMS系统中的ECA模块签发EC证书并返回给终端。
3、终端生成密钥扩展因子,构造假名证书申请请求并用EC证书对应的私钥签名发送到SCMS系统。
4、SCMS确认假名证书请求的合法性后,经过一系列操作得到假名证书完整公钥和私钥因子,SCMS系统中的PCA模块使用完整公钥签发假名证书,加密扩展公钥加密假名证书及私钥因子得到加密文件,并用SCMS系统中的PCA模块对加密文件签名得到PC-Zip。终端请求按照规定时间下载假名证书,在本地重构私钥得到完整私钥。
5、当终端要发送BSM消息时,首先对BSM消息进行哈希运算得到哈希值,使用假名证书公钥对应的私钥对哈希值签名,将BSM消息、哈希值、假名证书组成SPDU消息一同广播出去。
6、消息接收者接收到BSM消息后,用本地的证书链验证证书的有效性,确认证书有效后,用证书的公钥验签SPDU签名,验签通过后证明了消息发送者的完整性、真实性和不可否认性。
实施效果
(一)经过大规模验证,SCMS系统可保障V2X通信的数据安全传输,具备极高的推广意义
国汽智联的基于商用密码的V2X通信安全认证防护体系SCMS案例已在工信部身份认证和安全信任试点项目中得到充分的应用,同时也将此案例应用到了北京市高级别自动驾驶示范区,通过大规模的测试,从实践中验证了本系统可解决V2X通信中数据传输的真实性、完整性、不可否认性要求。国汽智联的基于商用密码的V2X通信安全认证防护体系SCMS也验证了CCSA标准YD/T 3957-2021《基于LTE的车联网无线通信技术 安全证书管理系统技术要求》,为其他CA厂商在车联网通信安全系统开发工作提供极高的示范参考价值。
(二)开发异常行为管理功能,具备极高的行业领先性及示范意义
国汽智联的基于商用密码的V2X通信安全认证防护体系SCMS案例,具备异常行为管理的功能。其中异常行为管理模块主要负责接收来自车辆上报的异常行为报告,通过分析、识别车联网系统中的异常行为者并通过撤销其通信证书的方式将异常行为者从系统中删除。当前,国汽智联的SCMS案例的异常行为管理模块在国内处于领先地位,为其他厂家开发类似功能可提供技术支持。
(三)实现跨行业跨品牌的互联互通
国汽智联的基于商用密码的V2X通信安全认证防护体系SCMS案例的ROOTCA模块加入了工信部TRCLA身份认证平台,同时实现了多个车企、示范区的ICA接入ROOTCA,保障了多品牌车辆的安全通信,构建PC5通信安全。目前已接入约17家企业接入,解决国内73% V2X相关业务的跨行业跨品牌互联互通问题。
