前言：今年9月8日，工業(yè)和信息化部公布了車聯(lián)網(wǎng)身份認(rèn)證和安全信任試點(diǎn)項(xiàng)目名單，發(fā)布了《車聯(lián)網(wǎng)身份認(rèn)證和安全信任試點(diǎn)技術(shù)指南(1.0)》，旨在通過試點(diǎn)工作全面提升車聯(lián)網(wǎng)產(chǎn)業(yè)的信息安全建設(shè)，包括“車與云安全通信”“車與車安全通信”“車與路安全通信”“車與設(shè)備安全通信”四大方向。試點(diǎn)指南的發(fā)布，圍繞著車聯(lián)網(wǎng)安全，勢(shì)必將帶來新一波的技術(shù)及創(chuàng)新應(yīng)用升級(jí)。

　　（一）車聯(lián)網(wǎng)安全發(fā)展需求

　　2018年12月，中央經(jīng)濟(jì)工作會(huì)議首次提出“新基建”這一概念。在“新基建”中的5G、人工智能、區(qū)塊鏈、物聯(lián)網(wǎng)等技術(shù)成為構(gòu)建智慧交通設(shè)施的重要內(nèi)容。車聯(lián)網(wǎng)作為智慧交通的核心技術(shù)，承載著推進(jìn)交通運(yùn)輸網(wǎng)、信息網(wǎng)和新能源網(wǎng)融合發(fā)展的關(guān)鍵使命。時(shí)至今日，在我國加快推進(jìn)“交通強(qiáng)國”與“新基建”等頂層設(shè)計(jì)的作用下，車聯(lián)網(wǎng)標(biāo)準(zhǔn)體系已經(jīng)初步建立，產(chǎn)業(yè)鏈初具雛形，相關(guān)企業(yè)具有較高技術(shù)實(shí)力，已具備大規(guī)模部署及產(chǎn)業(yè)化的條件。

　　與此同時(shí)，隨著《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》的出臺(tái)，車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全問題也逐漸受到重視。當(dāng)前車聯(lián)網(wǎng)就像早期的互聯(lián)網(wǎng)，網(wǎng)絡(luò)安全和數(shù)據(jù)安全手段仍處于探索起步階段。一方面，車聯(lián)網(wǎng)系統(tǒng)缺乏適宜的安全認(rèn)證手段。另一方面，車聯(lián)網(wǎng)系統(tǒng)缺乏適宜的數(shù)據(jù)保護(hù)手段。車聯(lián)網(wǎng)行業(yè)必須未雨綢繆，提前建立一套有效的信息安全防護(hù)機(jī)制。

　　車聯(lián)網(wǎng)系統(tǒng)不但要求低時(shí)延的信息交互能力，還需要高可靠的信息安全防護(hù)水平。首先，車聯(lián)網(wǎng)系統(tǒng)的開放性存在大量的攻擊面，惡意車輛或路邊設(shè)施可通過發(fā)送虛假數(shù)據(jù)或篡改接收到的數(shù)據(jù)來干擾車聯(lián)網(wǎng)系統(tǒng)，從而導(dǎo)致網(wǎng)絡(luò)癱瘓、數(shù)據(jù)泄露甚至影響人身安全。其次，由于車聯(lián)網(wǎng)會(huì)收集攝像頭圖像、視頻剪輯、生物特征數(shù)據(jù)、車輛位置、行駛速度和日期、車主或乘客數(shù)據(jù)、導(dǎo)航歷史記錄等個(gè)人敏感信息，數(shù)據(jù)活動(dòng)目前又缺乏管控和審計(jì)手段，因此存在個(gè)人隱私信息泄露的風(fēng)險(xiǎn)。再次，智能網(wǎng)聯(lián)汽車還會(huì)收集周圍的場(chǎng)景和重要地理信息數(shù)據(jù)，如果關(guān)鍵地理信息泄露的話，還會(huì)威脅國家安全。

　　(二)車聯(lián)網(wǎng)系統(tǒng)安全風(fēng)險(xiǎn)分析

　　車聯(lián)網(wǎng)系統(tǒng)整體包含云、管、邊、端四個(gè)方面，系統(tǒng)架構(gòu)如圖1所示。下面章節(jié)將從車載終端、路側(cè)設(shè)備、網(wǎng)絡(luò)通信、云控平臺(tái)等方面論述車聯(lián)網(wǎng)系統(tǒng)面臨的安全風(fēng)險(xiǎn)。

　　圖1 車聯(lián)網(wǎng)系統(tǒng)分層架構(gòu)圖

　?。?）車載終端風(fēng)險(xiǎn)

　　V2X車載終端具備多種接口，實(shí)現(xiàn)與云端、路側(cè)、車內(nèi)進(jìn)行通信，除了具備導(dǎo)航功能還為車輛無人駕駛提供眾多道路信息，接收云端控制指令。所以車載終端也是黑客攻擊的重要節(jié)點(diǎn)。

　　設(shè)備安全風(fēng)險(xiǎn)包含：系統(tǒng)漏洞暴露風(fēng)險(xiǎn)、固件逆向風(fēng)險(xiǎn)、OTA升級(jí)風(fēng)險(xiǎn)、應(yīng)用軟件風(fēng)險(xiǎn)以及數(shù)據(jù)泄露風(fēng)險(xiǎn)等。黑客可通過控制設(shè)備生成或發(fā)送錯(cuò)誤的V2X消息或者警告，從而誤導(dǎo)周邊的車輛作出錯(cuò)誤的判斷，導(dǎo)致交通事故的發(fā)生。另外車載終端在物理上會(huì)有多個(gè)訪問接口，攻擊者可能通過訪問接口近場(chǎng)進(jìn)行入侵，植入惡意代碼，控制車載終端的行為。

　?。?）路側(cè)設(shè)備風(fēng)險(xiǎn)

　　V2X路側(cè)設(shè)備終端是車路協(xié)同運(yùn)行的重要核心節(jié)點(diǎn)，可通過有線接口連接信號(hào)燈等基礎(chǔ)交通設(shè)備以及云控平臺(tái)。黑客可通過這些接口對(duì)路側(cè)設(shè)備發(fā)起攻擊，影響交通安全。

　　路側(cè)設(shè)備安全風(fēng)險(xiǎn)包括：終端環(huán)境風(fēng)險(xiǎn)、系統(tǒng)漏洞風(fēng)險(xiǎn)、OTA升級(jí)風(fēng)險(xiǎn)、非法接入風(fēng)險(xiǎn)。

　　（3）網(wǎng)絡(luò)通信安全風(fēng)險(xiǎn)

　　C-V2X場(chǎng)景下的網(wǎng)絡(luò)通信主要通過將Uu接口和PC5接口相互結(jié)合，彼此互相支撐，保證通信的可靠性。

　　a）蜂窩通信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

　　由于無線環(huán)境中的外部不可控因素引發(fā)的安全風(fēng)險(xiǎn)，針對(duì)蜂窩網(wǎng)絡(luò)面臨的主要風(fēng)險(xiǎn)包括：信息竊聽和篡改、信令重放、偽基站等風(fēng)險(xiǎn)；

　　黑客可通過偽基站干擾無線信號(hào),讓終端通信降級(jí),連接至不安全的2G/3G/4G網(wǎng)絡(luò)中?？赏ㄟ^仿冒合法終端身份接入系統(tǒng)占用網(wǎng)絡(luò)資源，偽造業(yè)務(wù)數(shù)據(jù)，影響系統(tǒng)運(yùn)行。

　　黑客可通過中間人攻擊方式竊聽傳輸中的網(wǎng)絡(luò)數(shù)據(jù)，獲取用戶隱私信息，造成信息泄露。

　　黑客可通過篡改或重放網(wǎng)絡(luò)傳輸中的數(shù)據(jù)造成資源耗盡、業(yè)務(wù)中斷，甚至造成重大網(wǎng)絡(luò)交通事故。

　　b）PC5直連通信接口安全風(fēng)險(xiǎn)

　　PC5直連通信作為車路協(xié)同場(chǎng)景下車-車通信和車-路通信的主要通信方式，在專用頻段上通過直連、廣播、網(wǎng)絡(luò)調(diào)度的形式實(shí)現(xiàn)低時(shí)延、高容量、高可靠的通信。同樣面臨著隱私泄露、信息竊取、信息篡改等安全風(fēng)險(xiǎn)。

　　黑客可利用PC5通信接口廣播和開放性，入侵合法的終端或者偽造終端發(fā)送虛假惡意信息造成網(wǎng)絡(luò)阻塞，影響車聯(lián)網(wǎng)業(yè)務(wù)正常運(yùn)行。

　　黑客可通過PC5接口竊聽業(yè)務(wù)信息，獲取用戶位置等個(gè)人隱私信息，造成隱私泄露。

　　c）5G網(wǎng)絡(luò)切片安全風(fēng)險(xiǎn)

　　隨著5G技術(shù)的快速發(fā)展在車聯(lián)網(wǎng)安全領(lǐng)域的落地應(yīng)用，5G網(wǎng)能夠分成不同的網(wǎng)絡(luò)切片，可以細(xì)分適用于車聯(lián)網(wǎng)的不同應(yīng)用場(chǎng)景，通過網(wǎng)絡(luò)切片管理為每一個(gè)業(yè)務(wù)組織形成一個(gè)虛擬化的專用網(wǎng)絡(luò)。潛在的安全風(fēng)險(xiǎn)點(diǎn)集中體現(xiàn)在：切片中共享的通用網(wǎng)絡(luò)接口、管理接口、切片之間的接口、切片的選擇與管理。這些接口存在被非法調(diào)用的風(fēng)險(xiǎn)，一旦非法的攻擊者通過這些接口訪問業(yè)務(wù)功能服務(wù)器，濫用網(wǎng)絡(luò)設(shè)備，非法獲取包括用戶標(biāo)識(shí)在內(nèi)的隱私數(shù)據(jù)，給用戶標(biāo)識(shí)安全性、數(shù)據(jù)機(jī)密性與完性、網(wǎng)絡(luò)功能可用性帶來影響。

　　（4）V2X云控平臺(tái)安全

　　云控平臺(tái)集成了地理信息服務(wù)和通信服務(wù)，為車輛、個(gè)人車主、道路信息提供了強(qiáng)大的功能，包括車輛道路救援、導(dǎo)航、智能交通管控等，大部分的車聯(lián)網(wǎng)云控平臺(tái)放在了使用公有云平臺(tái)的服務(wù)器上，也面臨與傳統(tǒng)云平臺(tái)同樣的安全威脅。同時(shí)，云控平臺(tái)與多接入邊緣計(jì)算單元（MEC）、車載終端（OBU）實(shí)時(shí)通信，面臨著形式各異的攻擊威脅。所以車聯(lián)網(wǎng)云控平臺(tái)比傳統(tǒng)云服務(wù)平臺(tái)面臨更多的攻擊面，遭到的攻擊危害也更嚴(yán)重，如暴利破解、拒絕服務(wù)、信息泄露、SQL注入等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

　　（三）車聯(lián)網(wǎng)安全防護(hù)策略

　　(1）通過基于PKI的車聯(lián)網(wǎng)通信安全身份認(rèn)證機(jī)制實(shí)現(xiàn)設(shè)備間的安全認(rèn)證和安全通信

　　采用基于公鑰基礎(chǔ)設(shè)施（PKI）的安全系統(tǒng)所提供的數(shù)字證書并應(yīng)用數(shù)字簽名技術(shù)，可以防止非法身份車輛發(fā)送虛假、偽造消息?；跀?shù)字證書技術(shù)可以對(duì)消息的真實(shí)性進(jìn)行保護(hù)；使用基于非對(duì)稱加密體系的數(shù)字證書和數(shù)字簽名技術(shù)可以對(duì)抗針對(duì)直連端口傳送消息的偽造、篡改和重放等攻擊。如圖2，基于PKI認(rèn)證的車聯(lián)網(wǎng)設(shè)備安全通信系統(tǒng)示意圖。

　　圖2 基于PKI認(rèn)證的車聯(lián)網(wǎng)設(shè)備安全通信系統(tǒng)示意圖

　　(2）通過假名證書和加密算法保護(hù)用戶的隱私

　　為避免泄露車輛行駛軌跡，車輛在發(fā)送車輛安全信息（BSM）消息時(shí)使用假名證書（PC）提供數(shù)字簽名的保護(hù)，并利用密碼技術(shù)隱藏車載終端（OBU）或車輛的身份信息，以保護(hù)用戶的隱私。為了進(jìn)一步確保假名證書注冊(cè)機(jī)構(gòu)無法關(guān)聯(lián)用戶身份信息，可由認(rèn)證授權(quán)機(jī)構(gòu)（AAA）完成相應(yīng)的認(rèn)證與授權(quán)操作，V2X設(shè)備通過認(rèn)證授權(quán)機(jī)構(gòu)（AAA）簽發(fā)的授權(quán)憑證(如：令牌等)向假名證書機(jī)構(gòu)（PCA）申請(qǐng)假名證書（PC）。假名證書機(jī)構(gòu)（PCA）還會(huì)向車載終端（OBU)簽發(fā)多個(gè)有效期相同的假名證書；車載終端（OBU）依據(jù)假名證書（PC）使用策略，定期更換用于消息簽名的證書。

　　(3）通過異常行為檢測(cè)和證書撤銷機(jī)制確保車聯(lián)網(wǎng)應(yīng)用安全

　　構(gòu)建異常行為終端管理機(jī)制，設(shè)置異常行為管理機(jī)構(gòu)（MA）用于接收車輛異常行為報(bào)告并進(jìn)行過濾、分類分級(jí)、關(guān)聯(lián)分析，最終判定所采取的解決措施。對(duì)于危害性較大的車輛將其證書添加到證書撤銷列表，撤銷該設(shè)備參與V2X通信的憑證，限制其造成進(jìn)一步危害的能力。

　　(4）建立與汽車電子標(biāo)識(shí)相關(guān)聯(lián)的車聯(lián)網(wǎng)設(shè)備身份標(biāo)識(shí)體系實(shí)現(xiàn)車輛管理

　　車輛管理是公安交通管理的重要組成部分，而其中開展機(jī)動(dòng)車登記、檢驗(yàn)合格標(biāo)志核發(fā)，協(xié)同有關(guān)部門監(jiān)督機(jī)動(dòng)車安全技術(shù)檢驗(yàn)是其重點(diǎn)工作內(nèi)容。車聯(lián)網(wǎng)設(shè)備身份標(biāo)識(shí)應(yīng)具備唯一、不易篡改/偽造、方便公安部門進(jìn)行管理和識(shí)讀等特征，以滿足公安交通管理工作實(shí)際需求。

　　而汽車電子標(biāo)識(shí)是由國家公安部制定并予以推廣，用于全國車輛真實(shí)身份識(shí)別的系統(tǒng)。該系統(tǒng)由公安部交通管理局統(tǒng)一標(biāo)準(zhǔn)，統(tǒng)一推行，統(tǒng)一管理，與汽車車輛號(hào)牌并存，并且法律效力等同于車輛號(hào)牌，是汽車的電子身份證，具備防偽、防篡改、防拆、識(shí)讀速度快、可多標(biāo)簽同時(shí)讀寫等特性。

　　建立與汽車電子標(biāo)識(shí)相關(guān)聯(lián)的車聯(lián)網(wǎng)設(shè)備身份標(biāo)識(shí)體系不僅方便公安部門實(shí)現(xiàn)對(duì)V2X車輛的智能管理，還可以借助汽車電子標(biāo)識(shí)輔助完成對(duì)車輛身份的認(rèn)證，簡化V2X車輛/設(shè)備廠商的出廠初始化配置。

　　傳統(tǒng)的V2X設(shè)備授權(quán)認(rèn)證方式實(shí)現(xiàn)了對(duì)V2X設(shè)備的認(rèn)證，但未與車輛尤其是車主形成關(guān)聯(lián)關(guān)系。而借助汽車電子標(biāo)識(shí)可實(shí)現(xiàn)V2X設(shè)備、車輛、車主的綁定，更有利于實(shí)現(xiàn)對(duì)車輛及責(zé)任人的管理。比如：當(dāng)檢測(cè)到異常行為車輛，車聯(lián)網(wǎng)V2X安全認(rèn)證體系只能鎖定V2X設(shè)備，可能無法確定該設(shè)備用在哪臺(tái)車上，也無法聯(lián)系到車主，而當(dāng)車聯(lián)網(wǎng)設(shè)備身份標(biāo)識(shí)體系與汽車電子標(biāo)識(shí)形成了關(guān)聯(lián)，管理部門可以方便的聯(lián)系到車主，追究其責(zé)任或者通知其對(duì)設(shè)備進(jìn)行維護(hù)。

　　(5）建立對(duì)車聯(lián)網(wǎng)系統(tǒng)組成單元的安全檢測(cè)

　　安全檢測(cè)綜合運(yùn)用安全分析、模擬環(huán)境搭建、檢測(cè)評(píng)估技術(shù)等手段針對(duì)車聯(lián)網(wǎng)終端(TBOX\RSU\GW\MEC等）、網(wǎng)絡(luò)通信、OTA、APP、云端平臺(tái)等開展車聯(lián)網(wǎng)安全的檢測(cè)。

　　a）車聯(lián)網(wǎng)終端檢測(cè)：硬件檢測(cè)、系統(tǒng)安全、第三方庫、應(yīng)用安全、固件檢測(cè)、代碼檢測(cè)試、惡意代碼防護(hù)、內(nèi)存防護(hù)、存儲(chǔ)安全等；

　　b）網(wǎng)絡(luò)通信測(cè)試：對(duì)通信協(xié)議、傳輸加密、設(shè)備識(shí)別等進(jìn)行安全檢測(cè)；

　　c）OTA檢測(cè)：數(shù)據(jù)包加密、完整性校驗(yàn)等

　　d）APP檢測(cè)：反調(diào)試保護(hù)、防逆向、 越獄檢測(cè)、非法應(yīng)用安裝防護(hù)等

　　e）云端平臺(tái)檢測(cè)：跨站腳本、SQL注入、指令注入、越權(quán)訪問、日志安全、主機(jī)安全、抗DDOS等。

　　(四）邊緣區(qū)塊鏈在車聯(lián)網(wǎng)的應(yīng)用前景

　　區(qū)塊鏈（BC）集分布式存儲(chǔ)、點(diǎn)對(duì)點(diǎn)傳輸、共識(shí)機(jī)制、智能合約、加密算法等技術(shù)為一體，具備分布式、數(shù)據(jù)防篡改、可追溯、柔性監(jiān)管等特點(diǎn)，是一種在數(shù)據(jù)協(xié)作場(chǎng)景下建立多方互信的分布式賬本技術(shù)。區(qū)塊鏈自誕生起就與基礎(chǔ)設(shè)施這個(gè)概念緊密關(guān)聯(lián)，能夠作為車聯(lián)網(wǎng)的底層數(shù)字基礎(chǔ)設(shè)施，對(duì)車聯(lián)網(wǎng)數(shù)據(jù)進(jìn)行共識(shí)計(jì)算、冗余存儲(chǔ)和可信驗(yàn)證，以此保障車聯(lián)網(wǎng)系統(tǒng)的一致性、可用性和安全性。區(qū)塊鏈通過共識(shí)機(jī)制在車聯(lián)網(wǎng)設(shè)備之間建立信任基礎(chǔ)，實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)的數(shù)據(jù)傳遞；通過智能合約實(shí)現(xiàn)鏈上數(shù)據(jù)真實(shí)性驗(yàn)證和審計(jì)，加強(qiáng)車聯(lián)網(wǎng)應(yīng)用和數(shù)據(jù)安全管理；通過安全硬件（HSM等）來確保數(shù)據(jù)可信上鏈，對(duì)鏈上鏈下交通數(shù)據(jù)進(jìn)行交叉核驗(yàn)，進(jìn)一步提升車聯(lián)網(wǎng)的服務(wù)質(zhì)量；通過激勵(lì)機(jī)制來優(yōu)化車聯(lián)網(wǎng)中數(shù)據(jù)質(zhì)量和資源調(diào)度，從而促進(jìn)汽車行業(yè)數(shù)據(jù)開放與數(shù)據(jù)協(xié)作。

　　區(qū)塊鏈技術(shù)可以為車聯(lián)網(wǎng)行業(yè)提供身份認(rèn)證和信任機(jī)制，基于數(shù)字身份管理，可為車聯(lián)網(wǎng)系統(tǒng)帶來“元素”級(jí)別的可信唯一身份標(biāo)識(shí)，就像是為人體的細(xì)胞進(jìn)行標(biāo)定一樣，將設(shè)備的全生命周期信息存儲(chǔ)在分布式賬本上，并在鏈上完成證書申請(qǐng)、證書頒發(fā)、簽名驗(yàn)簽、證書吊銷等流程的關(guān)鍵信息記錄，實(shí)現(xiàn)車輛生產(chǎn)、車輛登記、產(chǎn)權(quán)管理、車主身份認(rèn)證、車聯(lián)網(wǎng)設(shè)備認(rèn)證等環(huán)節(jié)可控可追溯。基于可信身份認(rèn)證和安全機(jī)制的基礎(chǔ)上，車聯(lián)網(wǎng)系統(tǒng)可融合多源傳感設(shè)備的采集信息，對(duì)交通環(huán)境進(jìn)行實(shí)時(shí)更新，給自動(dòng)駕駛車輛提供更加準(zhǔn)確和實(shí)時(shí)的信息。而且駕駛員可以不用擔(dān)心個(gè)人隱私的問題，因?yàn)閰^(qū)塊鏈可通過結(jié)合隱私增強(qiáng)協(xié)議，可在車輛發(fā)送數(shù)據(jù)時(shí)提供匿名性和不可追蹤性，保護(hù)交通參與者的隱私。在此之上，可信的身份認(rèn)證和安全隱私，也將為脫敏后的車聯(lián)網(wǎng)大數(shù)據(jù)的二次利用提供了法律和道德的基礎(chǔ)。

　　(五）綜述

　　本文通過介紹車聯(lián)網(wǎng)發(fā)展至今面臨的身份認(rèn)證和安全信任方面的問題和訴求，分別講述了“人-車-路-網(wǎng)-云”鏈路之間的安全隱患，提出了通過傳統(tǒng)的集中式CA認(rèn)證和隱私保護(hù)機(jī)制策略來保障車聯(lián)網(wǎng)安全，最后討論了邊緣區(qū)塊鏈技術(shù)在車聯(lián)網(wǎng)的應(yīng)用前景。車聯(lián)網(wǎng)作為“新基建”里面融合了5G、人工智能、大數(shù)據(jù)、區(qū)塊鏈等前沿技術(shù)的新興產(chǎn)業(yè)，在中國乃至世界規(guī)模龐大的數(shù)智化建設(shè)需求中，前途無限，未來一片藍(lán)海。

　　作者簡介

　　吳冬升，博士，高新興科技集團(tuán)股份有限公司高級(jí)副總裁，國家級(jí)企業(yè)技術(shù)中心(高新興)副主任，對(duì)5G、車聯(lián)網(wǎng)、物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能、數(shù)字化轉(zhuǎn)型、智慧城市有深刻洞察。獲得2020年吳文俊人工智能科學(xué)技術(shù)獎(jiǎng)二等獎(jiǎng)。

　　鄭廷釗，高新興科技集團(tuán)股份有限公司智能網(wǎng)聯(lián)事業(yè)部副總經(jīng)理，主要研究方向?yàn)?G、車聯(lián)網(wǎng)、物聯(lián)網(wǎng)、人工智能、數(shù)字化轉(zhuǎn)型、智慧城市等。

       ※本文刊于a&s《安全&自動(dòng)化》CHINA版249期電子雜志