>>返回主页
IMT-2020(5G)推进组C-V2X工作组中国移动研究院安全技术研究所所长彭晋:发布《LTE-V2X安全技术白皮书》

2019-07-18 13:55

vbox12118_C09A2359_135750_small.JPG

  各位领导、专家,下午好!很高兴今天能够有机会代表C-V2X工作组介绍一下《LTE—V2X安全技术白皮书》。这个是C-V2X工作组进行好几次的讨论,大家对LTE的安全、车联网的安全形成共识之后,希望探讨一些车联网安全问题,并且引出将来要做的一些方向。

  整个峰会是一个5G峰会,今天在讲LTE的V2X,显得有些过时,但是因为安全问题是一个比较稳重的问题,尤其是车联网,不仅仅是技术的问题,也关注到安全。希望下一次有机会跟大家分享5G安全相关的东西。

  首先看一下LTE也好,5G也好,网络对智能网联车的作用。现在在讲车的智能,需要对外部环境作出一些响应。如何感知外部环境,一种方式是用眼睛去看,对车来说,对智能网联车来说,可以用激光雷达的方式感知周围环境。

  还有一种方式是我们去听,在网络上面把周围车的信息和云端的信息等等通过网络的方式传递给车,这是一种听的方式。

  这两种方式都对车的智能化和网联化有非常重要的作用,通过网络能够为车提供更强的道路安全,能够提供更高的交通效率,也能够对自动驾驶提供一个更好的支持。

  所以,车联网的安全目标,如果定位为让车更好地听,我们的目标就非常清晰。应该让车听得到且听得真,它听到的所有消息都应该是真实的,这里面就关系到了安全的三个要素,包括精密性、完整性和可用性。在整个车联网的体系里面,参与的实体包括车、行人、路边基础设施,也包括云边的平台,里面提出的安全需求包括有安全的认证,是谁发出的消息,对消息的真实性进行检查,且要保证车和人的隐私不被泄漏。

  整个车的通信接口分成两个部分,一个是PC5的接口,,就是车在路上和周围的车和路边的基础设施的接口。还有一个接口是Uu口,就是车和宏网,蜂窝网的通信接口。

  车联网的消息包括哪些呢,从PC5和Uu口来说,我们在车上可以远程通话,可以收听网络广播,另外也可以接收一些基本的信息,我的速度,我的路径,广播一些前方的信号灯的信息,路段是不是有一些维修的信息,所有的信息都会通过这两个接口进行交互。

  先谈一下蜂窝口的安全性。移动通信网从2G一直发展到LTE,再展望未来的5G,蜂窝口的Uu口的安全性一直是通过一些精密性和完整性的算法保证的。这些算法从2G的A3、A5的算法,一直都在不断演进。整个算法演进过程中间是一个攻防对抗的过程,一些老的算法被公开、被破解,被更强的计算机破解。比如我们谈到的2G的算法在2016年的时候已经通过几块GPU就可以达到秒破的境界。

  但是到3G的时候,我们换用了一个叫做Kasumi的算法增强整个网络的安全性。Kasumi在2015年被理论破解,实际破解比较难,只是在数学上被理论破解。所以在4G上我们采用了AES、SNOW 3G和ZUC,还没有被轻易地破解,能够保证移动通信网的空中接口是相当安全的。

  5G的安全标准第一个版本已经冻结了,在5G的时候我们会沿用AES、SNOW 3G和ZUC保证安全性。

  整个5G网络在架构上还提供一些安全支持。在整个网络里面有两个安全锚点,一个是在手机的SIM卡里面,是有一个不能被读取的功能,另外在根锚点里面,这里面有两个密钥,可以保护网络里面传输的信令和用户传输信息,保证用户的安全性,整个网络安全就建立在这样一对对称的安全密钥上面。

  但是车联网上面还有安全平台,所以在跟其他安全平台通信的时候,这个安全性是通过互联网进行保证或者IP的通信来保证的。我们可以有IPSEC和TLS安全通道,当然也可以做到端到端的安全,可以用类似于GBA这样的机制,在第三方应用协商出一些密钥来,用这些密钥保证安全性。

  刚才讲到的是大网的安全,还有一个接口就是PC5的接口,就是车和车,还有车碰到了路上的行人,还有车和路边的基础设施安全接口的保证。

  因为这个安全关联是非常随机的,不像刚才谈到的整个移动无线网的安全是有一个锚点的,但是对于这种Nethawk的网络没有事先建立的安全机制,因为我的卡和我在路上别的车的卡互相是不能通信的,不能读取信息的。这个时候会采用证书的机制,会把一些数字证书预制到车里面,这些车通过这些预制证书对它所发出的消息进行数字清零。

  证书的预制性主要通过PKI保证,后面给一个范例,如果一个车要发消息给别的车,关于我的速度和相对位置等等,会在后面有一个签名,保证这个信息是由车签名发的,而不是人签发的。伪基站的供给出现在车联网,会有很多虚假的信息将会严重影响车的通信和车的安全性。

  如果一个车要发信息,需要什么样的安全性能。这里引用了3GPP的安全模型,3GPP制定车的安全模型的时候,认为车可以在一个局部范围要跟周围175个车进行通信,每秒钟一个车要发出10条消息,所以大概一个车每秒钟要发出1750条消息,都需要一个芯片对它进行数字签名,保证它的完整性。再加上我们还要验证书等等,所以现在大概需要一个芯片完成2400次签名,大概有这样一个性能的要求。

  签名的真实性如何保证。这个里面就是对一个消息进行盖章,但是怎么保证这个章是真的,这个通过多层的CA体系来保证。

  这里面这个图是现在美国的交通部还有欧洲,还有我们其实都在研究怎么用一个多层的PKI的体系保证消息的真实性。

  这里有很多的CA机构包括注册机构,这个是用来登记车主本身相关信息的,包括匿名机构要发匿名证书的,保证车发出信息的时候,不会暴露它的信息,所以会发很多的信息。按照美国的想法应该给一个车发3000个证书,每个车每周会发20个证书,不断地替换着用,保证车的信息不被泄漏。

  所以整个CA体系安全性要能够保证一级一级的消息签名是经过权威机构认证的,且还不能够泄漏相关的信息。这个里面用橘色的消息圈出来的是中国和欧盟将会采用的实体,白色虚线表示的是美国交通部会采用的实体。整个体系的设计是在安全、隐私和效率方面寻找一些新的平衡。

  证书如何提供给车,刚才提到了要用证书签名保证消息的真实性,但是证书如何提供给车,有几种方式。

  一种,车会生产一些信息,而且会生产一些私钥,CA机构离线给它一些证书,把这个证书预制到车里面。这个过程是由车厂在生产线上完成的,会把一些预制证书安装在车里面,会有相关环境安全的要求,来做预制。

  还有一种方式就是手机上的SIM卡,因为每个车都要有紧急通讯的需求,我们可以把证书放在手机的SIM卡里面。

  第三种方式利用车里面的USIM和运营商网络建立一个安全通道,有了这个安全通道之后,可以向车发送证书。一个车在路上跑的时候,要预制几千张证书的时候,这个通道就比较有效地解决证书发放的问题。

  刚才提到了车的安全的问题,Uu口、PC5口。车的安全从通信安全到端到端的安全,这里面有侵入式的入侵,还有非侵入式的入侵等等,所以整个车联网的安全是端到端的综合考虑安全问题。

  安全是一个快照,它还是一个过程,整个安全是需要运营的。整个车联网将来运转起来以后,会采集到很多车联网安全的数据,也会采集到很多攻击数据。事后会把这些数据拿来进行综合分析,建立起一整套的车联网安全运维的过程,一个过程所需要的态势感知还有应急处置等等。

  以上就是我们除了考虑接口安全,还要考虑每一个网元的安全,且要考虑过程的安全。

  后续工作组正在开展一些测试和验证,就是对整个车联网的证书体系,包括它的精密性、完整性的保护、签名等等展示一些测试,我们测试看看是不是在故障车辆提醒、交叉路口碰撞预警,前向碰撞预警,道路危险状况提示,闯红灯预警,车速限制预警等等的,看看是不是会有这种状况,还能不能正常运转,后续我们会进行测试找到它的问题。

  总结一下,整个车联网的安全,后续还需要推动产业各个环节的沟通,因为刚才提到了,我们要建立多级证书体系,其实是跟它的业务模式、管理机制相关的,要形成我国的PKI的管理方案,完善它的技术细节和管理标准,还要开展安全测试验证,验证技术方案和协同模式,为后续优化提供参考。另外还会关注一下未来网络新技术的演进方向,包括边缘计算等等对车联网的影响。

  这些就是参与编写白皮书的参与单位,感谢相关单位的专家的共同努力来完成这本白皮书。

  谢谢大家!

  

0