张相雨 吴宇飞 李 岩 赵万里
(中汽数据(天津)有限公司 天津 300112)(中国汽车技术研究中心有限公司 天津 300300)(zhangxiangyu@catarc.ac.cn)
随着V2X(vehicle to everything)技术的演进和自动驾驶级别的不断提高,越来越多的联网应用出现在车上,车与外界的通信频率和通信数据量与日俱增,车联网成为汽车未来发展的必然趋势[1].目前,很多量产车型已经实现车云通信、手机控车和OTA(over-the-air technology)升级等功能,部分具备V2X功能的车型将进一步实现车车、车路、车人的直联通信[2-4].相比传统汽车,车联网中的汽车将更多的自身信息暴露在互联网环境中,而互联网本身开放性的特点导致安全性无法得到保证.对于电脑、手机等联网终端,遭遇信息泄露或黑客攻击会造成不同规模的经济损失,而如果汽车受到信息化攻击,将直接威胁司乘和行人的生命安全,造成不可估量的生命财产损失.2018年10月,英国1辆特斯拉钥匙的无线信号被捕获并解析出其中密码,最终被顺利窃走[5].2020年6月,本田汽车受到Ekans勒索软件攻击,内部各汽车平台受到不同程度影响[6].据Upstream Security发布的2020年《汽车信息安全报告》统计,自2016年至2020年初,汽车信息安全事件发生量增长了6倍,预计未来信息化安全问题将进一步增加[5].伴随着汽车与外界交互信息量越来越大,一旦发生信息安全事故,不仅会对事故车辆本身和司乘造成威胁,而且会扩展到其他车辆及云平台,严重时将给整个社会的公共安全造成威胁.
利用身份认证技术可有效解决车联网通信中的安全威胁,保证通信机密性、完整性、不可否认性.身份认证技术具体应用包括PKI(public key infrastructure),IBC(identity-based cryptograph),CPK(combined public key),其中PKI是应用最多、适应范围最广的技术[7-9].PKI技术的核心是构建统一的CA(certification authority)认证系统,通过为OBU(on board unit)、RSU(road side unit)和云平台等签发身份证书,保证通信双方或多方的合法性和安全性[10-11].
CA证书在车联网中的应用主要体现在数据流中,无法让人形象了解在汽车实际通信中证书的应用过程;且随着智能网联汽车通信安全需求的逐步升级,CA证书应用的重要性不断提升,越来越多的车联网参与方想加入CA证书应用体系中,但传统汽车行业供应商对CA证书了解较少;车联网通信参与方众多,不同通信场景涉及具体的CA证书种类和流程各不相同,为了让人们更加形象直观了解车联网通信中CA证书保障安全通信的运作机制,本文提出了一种基于V2X CA的车联网微缩展示平台.
V2X CA车联网微缩展示平台(如图1所示),由基础设施层、数据资源层、系统应用层和场景演示层组成.
图1 微缩展示平台架构图
基础设施层包括智能微缩车和智能交通场景沙盘.其中智能微缩车包括运动控制模块、定位模块、通信模块和车端证书管理模块.智能交通场景沙盘模拟V2X车联网下的各种场景及主要交通要素.
1.1.1 运动控制模块
运动控制模块能够实现微缩车姿态、位置控制,使微缩车在智能交通场景沙盘上按预定轨迹行驶运动.运动控制模块内嵌智能控制算法,具有全程路径规划、断点续航、自主控制、远程控制等功能.
1) 全程路径规划:根据沙盘轨道及预设展示场景,设定每段行程的速度、启停时间.
2) 断点续航:若因故障导致系统重启,可自动读取断点位置,继续未完成的路程.
3) 自主控制:微缩展示平台展示分为全自动和手动2种模式,当选择全自动模式时,微缩车按预设行程自主巡航,完成所有路径行驶.
4) 远程控制:当微缩展示平台展示模式为手动时,可在可视化系统端手动选择演示的场景,进而控制微缩车在沙盘上的运动及停留时间.
1.1.2 定位模块
定位模块实现微缩车在沙盘上的位置感知,为路径规划和导航提供数据支撑.沙盘上定位方式分为电磁定位、光学定位和电子标识定位,在该微缩展示平台中选择电磁定位[12].即在沙盘上铺设磁轨,使微缩车巡磁行驶.在特定位置设置标签,利用标签读取器读取标签,进而确定微缩车在磁轨及沙盘上的位置.
1.1.3 通信模块
通信模块实现微缩车数据与证书管理系统、路侧设备等外界数据的通信交互.通信技术模拟实际的C-V2X(cellular vehicle-to-everything),采用我国认可度较高的5G-V2X[13-14].微缩车和沙盘上的主要设施(包括充电桩、红绿灯、LED屏等)配置相应通信模组.
1.1.4 车载证书管理模块
车载证书管理模块实现微缩车的证书申请、证书注销和证书交互使用功能.车载证书管理模块与运动控制模块等其他模块集成在一起.涉及到的证书交互场景包括证书申请、车车交互、车云交互、车路交互、车人交互、证书撤销等.
1.1.5 智能交通场景沙盘
智能交通场景沙盘包括道路网、停车场、环形高架桥、汽车产线、充电桩、红绿灯、LED警示牌、儿童模型、十字路口、丁字路口、城市建筑、绿植等.沙盘灯光等设备控制由可视化系统统一管理.
数据资源层存储微缩展示平台中的主要数据类,包括证书申请指令、证书交互信息、证书撤销信息、微缩车位置坐标、运动速度和运动方向、充电桩信息、红绿灯信息、LED屏幕信息等数据.
系统应用层指该微缩展示平台为实现功能配备的主要软件系统,包括可视化系统、证书管理系统.
1.3.1 可视化系统
可视化系统能够实现对微缩车及智能交通场景沙盘的统筹监控与综合管理,形象化重现整个智慧交通实时运行状态,实现智能沙盘运行状态的统计以及数字证书使用状态的实时监测与可视化展示.
1) 展示平台常态介绍.在非证书展示期间持续轮播对系统的介绍,包括微缩车介绍、沙盘介绍、往期证书交互视频等.
2) 展示期间可视化.在证书使用展示期间,将微缩车在沙盘上的实时位置映射到可视化系统中,把各场景实际的证书申请、交互等抽象数据流形象化展示.
3) 控制中心.继承微缩展示平台控制中心,实现平台状态监测、演示启停控制、沙盘状态控制等综合管理.
1.3.2 证书管理系统
微缩展示平台模拟对接汽车行业根CA,通过ICA(intermediate ca)设置独立的证书管理系统测试环境,下设ECA(enrolment certificate authority)子系统、ACA(application certificate authority)子系统、PCA(pseudonym certificate authority)子系统和MA(misbehavior authority).
1) ECA子系统:为微缩车和智能交通场景沙盘上的关键路侧设备颁发ECA证书,该证书包含使用者的关键信息.
2) ACA子系统:路侧设备在获取ECA证书后,向ACA子系统申请ACA证书,该证书用于路侧设备与微缩车的通信交互.
3) PCA子系统:微缩车在获取ECA证书后,向PCA子系统申请PCA证书,该证书不含微缩车的敏感信息,直接用于V2X交互.
4) MA:统一管理CRL(certificate revocation list)列表,实现证书失效或过期之后的吊销.
V2X场景下的通信场景主要包括V2V(vehicle to vehicle)、V2I(vehicle to infrastructure)、(vehicle to person)、V2C(vehicle to cloud)[15].结合V2X CA证书展示需要,增加证书申请和证书注销2个场景.
微缩展示平台内的证书申请指微缩车和路侧设备申请相应证书.如图2所示,微缩车证书包括ECA证书和PCA证书,如图3所示,路侧设备证书包括ECA证书和ACA证书.
图2 微缩车证书申请签发流程
图3 路侧设备证书申请签发流程
2.1.1 微缩车ECA证书申请
微缩车行驶至证书申请场景点位,发起CA证书申请.微缩车利用自身VIN码等信息生产P10,通过通信模块发送至证书管理系统,证书管理系统的CA机构验证P10合法性,通过后签发CA证书并通过通信模块下发给微缩车,微缩车保存CA证书至车载证书管理模块.可视化系统动画展示微缩车CA证书申请过程.
2.1.2 微缩车PCA证书的申请
微缩车获得ECA证书后可申请PCA证书,微缩车通过通信模块将ECA证书发给证书管理系统的PCA机构,验证合法性后签发多张PCA证书并发给微缩车,微缩车的车载证书管理模块保存PCA证书.可视化系统动画展示微缩车PCA证书的申请过程.
2.1.3 路侧设备ECA证书的申请
智能交通场景沙盘上的路侧设备包括充电桩、红绿灯、LED屏等,本微缩展示平台选取充电桩作为路侧设备申请证书场景.在微缩车申请证书完成后开始触发充电桩ECA证书申请,充电桩将本身编码等特征信息生成P10并发给证书管理系统,证书管理系统的ECA机构验证通过后签发ECA证书给充电桩.可视化系统动画展示充电桩ECA证书的申请过程.
2.1.4 路侧设备ACA证书的申请
本微缩展示平台选取充电桩申请证书场景,在颁发ECA证书后,充电桩把它发送至证书管理系统的ACA机构申请ACA证书.ACA证书机构验证ECA证书有效后为充电桩颁发ACA证书,充电桩接收并保存ACA证书.可视化系统动画展示充电桩ACA证书的申请过程.
在车车交互场景中可实现车与车直连通信,车车交互的场景可选择会车、超车、转弯、排队、路口等多种.在该微缩展示平台中(如图4所示),车车交互设置在无红绿灯的十字路口,2辆直行车通过PCA证书通信依次通过路口.
图4 车车交互场景示意图
1) 微缩展示平台设置2辆微缩车,其中1辆主车具备演示所有场景的功能,另1辆副车具备配合主车演示车车交互的功能.副车设置在车车交互的路口等待主车到达车车交互演示场地,在配合演示完后回到初始位置等待.
2) 副车行驶的车道设置为环形高架桥,方便在完成演示后回到初始位置.
3) 在车车交互场景中设置定位点,当主车行驶至定位点时,通知副车由静止状态启动前进.
4) 在副车启动时,将与路口的距离信息用PCA证书签名后向外广播,主车接收到副车的广播后首先进行验签解密,得出副车至路口的距离.主车将副车至路口的距离与自身当前位置至路口的距离比较,根据交通法规应让行距离路口近的副车,则通知副车“请优先通过路口”,并用自身的PCA证书签名.副车在接收到主车的消息后经验签解密,得到安全可信的“请优先通过路口”消息.至此,副车取得优先通过路口权力,减速缓慢通过无红绿灯十字路口.在副车安全通过路口后,向外广播“已通过”消息并用自身PCA证书签名,随后经环形高架桥行驶至初始位置.主车在向副车发出消息后,减速行至停车线等待.在接到副车“已通过”消息后验签解密,确定可信后主车起步缓慢通过路口,进入下一个演示场景.
5) 可视化系统展示车车交互过程中证书使用动画,并模拟展示出微缩车车速和行进姿态.
车路交互指车与路侧设备直接交互通信,如图5所示,选取红绿灯、充电桩和LED警示牌作为路侧设备的交互对象.
图5 车路交互场景示意图
1) 在微缩车行驶到与红绿灯交互场景时,微缩车通知红绿灯可以开始演示.红绿灯初始状态为红灯,在接收到演示指令后开始红灯倒计时,红绿灯向外广播红灯状态及剩余时间,并用ACA证书加密信息,以每2秒1次频率外播.微缩车一旦接收到红绿灯剩余时间消息后,首先验签解密,获取实际时间,然后根据微缩车至路口距离调整速度,以期不停车通过红绿灯.可视化系统演示红绿灯剩余时间和证书交互过程.
2) 在微缩车行驶到与充电桩交互场景时,微缩车通知充电桩可以开始演示.该微缩展示平台设置2台充电桩,其中1台充电桩A已颁发V2XACA证书,另1台充电桩B无V2XACA证书.2台充电桩同时向外广播可服务的消息,充电桩A经ACA证书加密,充电桩B广播的信息无证书签名.微缩车同时接收2台充电桩广播的消息,忽略无证书的充电桩,对充电桩A的消息验签解密,通过后行驶至充电桩A前面表示充电.微缩车向充电桩A发送请求充电信息并用PCA证书签名,充电桩A接收到微缩车消息验签后停止向外广播可服务信息.可视化系统展示证书交互过程,并演示充电.充电完成后微缩车驶出该区域,并通知充电桩B停止广播.可视化系统展示充电桩广播和与微缩车证书交互过程.
3) 在微缩车行驶到与LED警示牌交互场景时,微缩车通知LED警示牌可以开始演示.LED警示牌开始向外广播“前方学校,减速慢行”消息并经ACA证书签名.微缩车接收到LED警示牌消息后首先验签解密,通过后降低车速通过.在微缩车离开该区域后通知LED警示牌停止演示,LED警示牌停止向外广播消息.可视化系统展示证书交互流程和微缩车速度变化.
车人交互指车与人直接交互,实现远程控车、行人提醒等功能.由于人类无法直接发送数字信息,所以车人交互通常指车与人的穿戴设备之间的通信.如图6所示,该微缩展示平台选取车与儿童智能手表、车与车钥匙2种交互场景.
图6 车人交互场景示意图
1) 当微缩车行驶至车与儿童智能手表交互场景时,微缩车通知儿童手表可以开始演示.儿童手表持续向外广播“注意儿童”及所处位置消息,经ACA证书签名.微缩车持续接收儿童手表的广播消息,验签解密后获取儿童模型所在位置,结合自身位置计算出与儿童模型的距离,减速通过.当与儿童模型的距离超出设定的安全阈值时,微缩车恢复原速向下一场景行驶,同时通知儿童手表停止广播.可视化系统展示交互过程中的证书使用过程,并展示儿童模型与微缩车的实时距离和车速.
2) 微缩车与车钥匙交互场景设置在所有演示场景的倒数第2个,在微缩车完成前一个场景停车后,驾驶员带着车钥匙远离微缩车.由于驾驶员未主动锁车,微缩车的车载证书管理模块持续监听,当车钥匙离开车超过设定安全阈值时,向微缩车发送“锁车”消息并经CA证书签名.微缩车在接收到车钥匙的锁车指令后首先验签解密,通过后执行锁车指令,微缩车指示灯闪烁后熄灭.同时微缩车向车钥匙发送“已锁车”消息并经CA证书签名,钥匙接收到后认为锁车完成,否则每隔一段时间向微缩车发送锁车指令.可视化系统展示驾驶员携带车钥匙离开微缩车的距离、发送锁车指令时的证书交互过程.
车云交互指V2X中车与云端直接通信,从云端获取导航地图、升级包等数据,并上传车端状态和请求信息,是应用频率最多的交互场景之一.如图7所示,本微缩展示平台选取OTA升级场景.
1) 微缩车在定位系统检测到进入车云交互场景后,通知云端(可视化系统)可以开始本场景演示.云端向微缩车下发车端版本信息请求指令,并用CA证书签名.
2) 微缩车通信模块接收到带签名的消息后首先验签解密,通过后得到版本信息请求消息.微缩车将车端版本号用CA证书签名后发给云端.
3) 云端接收到带签名的车端版本号,验签通过后和最新的版本号对比,若有新版本,则将新的升级包用CA证书签名并下发至微缩车.
4) 微缩车接收到带签名的升级包后验签解密,获得最新的升级包.在微缩车检测到所有场景结束停止演示时,安装升级包.该升级包在该微缩展示平台中为控制微缩车指示灯闪烁频率的一段程序,每次车云交互都会升级,升级完后指示灯闪烁频率发生变化,方便从微缩车端直观感受OTA升级效果.
5) 可视化系统演示车云交互过程中证书交互动画,并模拟展示出微缩车升级后指示灯变化.
证书撤销指V2X中对已颁发的证书作撤销处理,停止其继续使用,保证证书的真实性和时效性.如图8所示,本微缩展示平台选取因超出有效期撤销和因异常行为撤销2种场景.同时为了保证不会因证书申请展示而使证书越来越多,为下次演示作初始化准备.
图8 证书撤销场景示意图
1) 微缩车PCA证书在签发时设置的短有效期,证书管理系统检测到PCA证书过期后将其添加到CRL证书作废列表中,不再信任该证书签名的消息.车端证书管理模块在PCA证书过期后自动删除,腾出存储空间准备接收新证书.证书撤销过程是微缩车静止状态下完成的,可视化系统需演示该过程中证书管理系统和车端证书管理模块的证书撤销过程.
2) 在该微缩展示平台中车路协同场景选取了车与充电桩的交互,在演示结束后因触发异常通信,需将充电桩的ACA证书撤销.证书管理系统MA检测到充电桩异常后将颁发的ACA证书加入CRL证书撤销列表,不再信任该证书签名的消息.充电桩将ACA证书删除.证书撤销过程是充电桩静止状态下完成的,可视化系统需演示该过程中证书管理系统和充电桩证书撤销过程.
根据我国V2X技术落地时间表,预计2030年迎来泛汽车行业万物互联时代,端管云搭建高效可靠信道,车云、车人、车路、车车直接互联互通互信.作为保障V2X通信安全的重要手段,V2X CA需提前布局规划,降低车联网基础设施投资成本,提高一次建设效率.本文提出的基于V2X CA的车联网微缩展示平台可形象展示CA证书在车联网各场景中保证安全通信的工作原理,有助于推动车联网参与各方设施对V2X CA证书的应用,推动车联网信息安全的发展进步.