1、前言車聯網產業是汽車、電子、信息通信、道路交通運輸等行業深度融合的新型產業形態，已成為我國戰略性新興產業的重要發展方向，是目前跨領域、綜合性的研究熱點。目前我國已將車聯網產業上升到國家戰略高度，產業政策持續利好。我國車聯網產業化進程逐步加快，形成了包括通信芯片、通信模組、終端設備、整車制造、運營服務、測試認證、高精度定位及地圖服務等較為完整的產業鏈生態。車聯網的功能安全、網絡安全、隱私和數據安全是構建車聯網應用的關鍵環節。根據中國通信學會組織各專業委員會開展前沿報告的工作安排，通信設備制造技術委員會在 2018 年組織我國車聯網產學研用各領域專家撰寫了車聯網技術、標準與產業發展態勢前沿報告1，

2、在業界反響熱烈。2019 年在此基礎上根據車聯網技術和產業的發展情況，通信設備制造技術委員會繼續組織專家撰寫了車聯網安全技術與標準發展態勢前沿報告。本報告分析了車聯網安全的全球發展態勢和我國發展現狀，對車聯網安全技術與產業發展態勢和技術預見進行了預測，探討了車聯網安全面臨的重大難題，提出了技術和產業政策建議。報告內容涉及面廣，可作為高校、研究機構以及汽車、交通、通信、互聯網、集成電路等行業的技術產業發展參考，也可作為政府部門制定政策的參考。中國通信學會通信設備制造技術委員會主任委員： 2019 年 12 月目錄TOC o 1-1 h z u HYPERLINK l _TOC_250030 縮略

3、語1 HYPERLINK l _TOC_250029 一、車聯網安全研究概述3 HYPERLINK l _TOC_250028 二、全球發展態勢5 HYPERLINK l _TOC_250027 （一）綜述5 HYPERLINK l _TOC_250026 （二）車聯網安全管理系統發展態勢8 HYPERLINK l _TOC_250025 （三）車聯網安全信任錨點模型發展態勢10 HYPERLINK l _TOC_250024 （四）車聯網隱私保護技術發展態勢12 HYPERLINK l _TOC_250023 （五）車聯網安全監管發展態勢14 HYPERLINK l _TOC_250022

4、（六）車聯網安全標準15 HYPERLINK l _TOC_250021 三、我國發展態勢17 HYPERLINK l _TOC_250020 （一）車聯網安全管理系統發展態勢17 HYPERLINK l _TOC_250019 （二）車聯網安全管理系統產業實踐19 HYPERLINK l _TOC_250018 （三）車聯網安全監管21 HYPERLINK l _TOC_250017 （四）車聯網安全標準22 HYPERLINK l _TOC_250016 四、技術預見23 HYPERLINK l _TOC_250015 （一）5G 車聯網安全技術23 HYPERLINK l _TOC_25

5、0014 （二）車聯網與邊緣計算融合的安全24 HYPERLINK l _TOC_250013 （三）車聯網通信設備認證及安全交互技術25 HYPERLINK l _TOC_250012 （四）車聯網安全管理系統增強技術26 HYPERLINK l _TOC_250011 （五）可信計算在車聯網中的應用27 HYPERLINK l _TOC_250010 （六）基于區塊鏈理念的車聯網及安全技術27 HYPERLINK l _TOC_250009 五、工程難題28 HYPERLINK l _TOC_250008 （一）滿足車聯網安全需求的安全芯片28 HYPERLINK l _TOC_25000

6、7 （二）車聯網相關的安全算法29 HYPERLINK l _TOC_250006 （三）車聯網業務管理模式30 HYPERLINK l _TOC_250005 六、政策建議30 HYPERLINK l _TOC_250004 （一）加強車聯網安全總體規劃部署和頂層設計30 HYPERLINK l _TOC_250003 （二）加快頒布國家車聯網安全相關的法律法規和有關政策31 HYPERLINK l _TOC_250002 （三）落實責任，加強協作31 HYPERLINK l _TOC_250001 （四）推進自主關鍵技術研發31 HYPERLINK l _TOC_250000 參考文獻31

7、縮略語3GPPThe 3rd Generation Partnership Project第三代合作伙伴項目5GAA5G Automotive Association5G 汽車協會ADASAdvanced Driver Assistant System先進駕駛輔助系統C-ITSChina ITS industry Alliance中國智能交通產業聯盟C-V2XCellular V2X基于蜂窩的車聯網CACertificate Authority認證中心CCMSC-ITS Security Credential Management SystemCCSAChina Communications

8、Standards AssociationC-ITS 安全證書管理系統中國通信標準化協會CPACertificate Policy Authority證書策略管理機構CPOCCentral Point of Contact聯絡中心點DSRCDirect Short-Range Communication直接短距離通信ECAEnrolment Certificate Authority注冊證書認證機構ECCElliptic Curve Cryptography橢圓曲線密碼算法ECTLEuropean Certificate Trust List歐洲證書信任列表ETSIEuropean Telec

9、ommunications Standards Institute歐洲電信標準化協會GBAGeneric Bootstrapping Architecture通用引導架構GCCFGlobal Certificate Chain File全球證書鏈文件IEEEInstitute of Electrical and Electronics Engineers電氣和電子工程師協會IPInternet Protocol互聯網協議IPSecInternet Protocol Security互聯網協議安全ISOInternational Standards Organization國際標準化組織ITSI

10、ntelligent Transportation System智能交通系統ITU-TInternational Telecommunication Union-Telecommunication國際電信聯盟-電信標準化局LALinkage Authority鏈接認證機構LOPLocation Obscurer Proxy位置模糊處理代理LTELong Term Evolution長期演進LTE-V2XLong Term Evolution V2X基于LTE 的車聯網NHTSANational Highway Traffic Safety Administration美國高速交通安全管理局OB

11、UOn Board Unit車載單元PCAPseudonym Certificate Authority假名證書認證機構PKIPublic Key Infrastructure公鑰基礎設施RCARoot Certificate Authority根證書認證機構RSURoadside Unit路側單元SAESociety of Automotive Engineers汽車工程學會SCMSSubscriber Credential Management System簽約用戶信用狀管理系統TLMTrust List Manager信任列表管理者TLSTransport Layer Security傳

12、輸層安全V2XVehicle to Everything車聯網V2IVehicle to Infrastructure車到基礎設施V2NVehicle to Network車到網絡V2PVehicle to Pedestrian車到人V2VVehicle to Vehicle車到車WAVEWireless Access Vehicular Environment無線接入車載環境一、 車聯網安全研究概述車聯網是以車內網、車際網和車載移動互聯網為基礎，按照約定的通信協議和數據交互標準，在車與車（V2V）、車與路邊設施（V2I）、 車與行人（V2P）以及車與網絡（V2N）之間進行無線通信和數據交換與

13、共享的網絡系統。它通過人車路網之間的實時感知與協同來實現智能交通管理、智能動態信息服務和智能車輛控制的一體化， 向用戶提供道路安全、交通效率提升和信息娛樂等各類服務，滿足人們交通信息消費的需要。目前，全球范圍內普遍接受的 V2X（X：車、路、行人以及網絡） 車聯網通信技術主要包括專用短程通信 IEEE 802.11p/DSRC（Dedicated Short Range Communication）技術和基于移動蜂窩通信系統的 C-V2X（Cellular-V2X）技術。其中 C-V2X2包括 LTE-V2X 和NR-V2X，LTE-V2X3是大唐最早在 2013 年提出的概念，并于 2017

14、 年在 3GPP 形成國際標準。由于通信標準的持續演進，在產業發展過程中，將基于蜂窩通信的車聯網技術統稱為 C-V2X，涵蓋了當前正在研究的新空增強車聯網技術，即 NR-V2X。與傳統網絡系統相比， 車聯網系統有著新的系統組成、新的通信場景，這些在系統安全性及用戶隱私保護方面帶來了新的需求與挑戰。車聯網設備主要包括車聯網終端和路側設備。從車聯網終端角度， 由于車聯網終端集成了導航、移動辦公、車輛控制、輔助駕駛等功能， 導致車載終端更容易成為黑客攻擊的目標，造成信息泄露，車輛失控 等重大安全問題。因此車載終端面臨著比傳統終端更大的安全風險。車載終端存在的多個物理訪問接口和無線連接訪問接口使車載終

15、端容易受到欺騙、入侵和控制的安全威脅，同時車載終端本身還存在訪問控制風險、固件逆向風險、不安全升級風險、權限濫用風險、系統漏洞暴露風險、應用軟件風險和數據篡改和泄露風險。從路側設備的角度，由于路側設備是車聯網系統的核心單元，它的安全關系到車輛、行人和道路交通的整體安全，主要面臨非法接入、運行環境風險、設備漏洞、遠程升級風險和部署維護風險。車聯網的通信包括車內系統的通信和車與車、車與路、車與網絡等的車聯網通信，對于車內系統而言，LTE V2X 車載終端是車輛系統中的一個功能節點。而對于 LTE V2X 車載終端而言，車內系統是LTE V2X 車載終端的執行器，包含了車內所有與其交互的電子電氣系統

16、。從車聯網通信角度，LTE-V2X 技術包括蜂窩網通信場景和短距離直連通信場景的通信技術。在蜂窩網通信場景下，LTE V2X 車聯網繼承了傳統 LTE 網絡系統面臨的安全風險，存在假冒終端、假冒網絡、信令/數據竊聽和信令/數據篡改/重放等安全風險。在短距離直連通信場景下，LTE V2X 系統除了面臨假冒網絡、信令竊聽、信令篡改/重放等安全信令面安全風險外，還面臨著虛假信息、假冒終端、信息篡改/重放和隱私泄露等用戶面安全風險。從車內通信角度， 由于車內系統通過車內網絡（如 CAN 總線網絡、車載以太網等）與車載終端相聯，使整個車內系統暴露在外部不安全的環境中，車內系統面臨假冒節點、接口惡意調用和

17、指令竊聽/篡改/重放等風險。車聯網應用主要包括基于云平臺的業務應用以及基于PC5/V5 接口的直連通信業務應用?；谠破脚_的應用以蜂窩網通信為基礎，繼承了“云、管、端”模式現有的安全風險，包括假冒用戶、假冒業務服務器、非授權訪問、數據安全等。直連通信應用以網絡層 PC5 廣播通道為基礎，主要面臨偽造/篡改/竊聽信息和用戶隱私泄露等安全風險。車聯網數據來源廣泛、種類眾多，各種類型的數據在生成、傳輸、存儲、使用、丟棄或銷毀等各個階段，在終端、網絡、業務平臺等各個層面均面臨非法訪問、非法篡改、用戶隱私泄露等安全風險。為了應對上述的安全風險和挑戰，車聯網系統需要對消息來源進行認證，保證消息的合法性；支

18、持對消息的完整性及抗重放保護，確保消息在傳輸時不被偽造、篡改、重放；根據業務需求支持對消息的機密性保護，確保消息在傳輸時不被竊聽，防止用戶敏感信息泄露； 支持對終端真實身份標識及位置信息的隱藏，防止用戶隱私泄露。本報告分析了車聯網安全技術和標準在全球的發展態勢和我國 發展現狀，對車聯網安全技術與標準發展態勢和技術預見進行了預測， 探討了車聯網安全在工程建設中的重大難題，提出了技術和產業政策 建議。報告內容涉及面廣，可作為高校、研究機構以及汽車、交通、通信、互聯網、集成電路等行業的技術產業發展參考，也可作為政府 部門制定政策的參考。二、 全球發展態勢（一）綜述LTE-V2X 是為了支持基本道路安

19、全等車聯網業務需求,在蜂窩架構基礎上，擴展了終端直連通信特性。3GPP 標準組織在現有 LTE 網絡的基礎之上引入了 V2X 控制功能網元，對車聯網終端及業務進行管控，并對上層業務提供方提供服務支撐，滿足業務需要。在此網絡架構下，LTE V2X 系統安全分為蜂窩通信場景和直連通信場景的安全。(7)(5)(2)(4)(2)歸屬網絡車載終端(8)(3)LTE-UuLTE V2X網聯汽車USIM卡1)(4)(6)(3)(1)服務網絡LTE接入網(1)V2X控制功能(6)(6)LTE V2X業務提供方應用車內系統歸屬環境蜂窩網應用層蜂窩通信場景下的安全架構（如圖 1 所示）與 LTE 的安全架構類似，

20、包括網絡接入安全、網絡域安全、認證與密鑰管理、車聯網接入安全、車聯網業務能力開放安全、網絡安全能力開放、應用層安全和車內系統及接口安全。其中網絡接入安全、網絡域安全、認證與密鑰管理和網絡安全能力開放繼承了 LTE 網絡現有安全機制。車聯業務接入安全是車聯網系統新增的安全域，對于 LTE 網絡而言屬于應用層安全。它在終端與其歸屬網絡的 V2X 控制功能之間提供雙向認證，對終端身份提供機密性保護；在終端與 V2X 控制功能之間對配置數據提供傳輸時的完整性保護、機密性保護和抗重放保護。車聯業務能力開放安全也是車聯網系統新增的安全域，保證對上層應用提供LTE V2X 業務能力開放過程中的接入及數據傳輸

21、安全。它可采取類似于網絡域安全的方法來保護，在不同安全域之間采用 IPSec、TLS 等安全機制為業務提供雙向認證、加密、完整性保護和抗重放的安全保障。圖 1 蜂窩移動通信場景下 LTE-V2X 安全架構5應用(3)交通專網應用(2)(2)(5)車內系統車載終端(1)LTE V2X終端僅對于RSU(4)公共網絡PC5/V5(5)LTE V2X網聯汽車USIM卡USIM卡僅對于UE型RSU業務云平臺交通信號控制系統LTE V2X網聯汽車/RSU/行人直連通信場景下的 LTE-V2X 系統安全架構（如圖 2 所示）包括網絡層安全、安全能力支撐、應用層安全、車內系統及接口安全和外部網絡域安全。根據

22、3GPP 組織的 REL14 的規范，終端在網絡層不采取任何機制對 PC5 接口上廣播發送的直連通信數據進行安全保護， 數據的傳輸安全完全在應用層 V5 接口保障。網絡層僅提供標識更新機制對用戶隱私進行保護。終端通過隨機動態改變源端用戶層二標識和源 IP 地址，防止用戶身份標識信息在 PC5 廣播通信的過程中遭到泄露、被攻擊者跟蹤。網絡層向應用層提供安全能力支撐，采取用戶標識跨層同步機制確保源端用戶層二標識、源 IP 地址與應用層標識同步更新，防止由于網絡層與應用層用戶身份標識更新的不同步，導致用戶標識關聯信息被攻擊者獲取，用戶隱私信息遭到泄露。圖 2 直連通信場景下的 LTE-V2X 安全架

23、構5因此對于 PC5/V5 直連通信接口，LTE V2X 系統主要依靠應用層安全來解決安全風險。目前，車聯網系統在應用層主要考慮采用數字證書的方法實現業務消息的安全保護，相應地系統需要部署 CA 基礎設施實現數字證書全生命周期的管理。通信交互時，車聯網終端使用數字證書對將要發送的業務消息進行簽名，對所接收到的業務消息進行驗簽，從而保證消息的完整性以及業務消息來源的合法性。（二）車聯網安全管理系統發展態勢IEEE 1609 系列協議是 WAVE 的高層協議，其中 IEEE1609.2 定義了 WAVE 的安全消息格式及處理過程，是一種較為成熟的車聯網安全標準，它借鑒了傳統 PKI 系統的體系結構

24、，通過證書鏈實現終端互信。車聯網證書管理系統中每個模塊通過網絡交換有效信息，協同工作，共同對外提供安全服務，主要模塊有：Root CA（根 CA，RCA）RCA 是所有 CA 的管理者，也是可信系統的中心，以分層的方式為下級 CA 頒發證書。根 CA 的操作與運行需要在隔離的安全環境中，并且需要確保根 CA 服務器為離線狀態，以防遭遇來自互聯網的攻擊。Enrollment CA（注冊 CA，ECA）ECA 為終端頒發準入證書，只有獲得準入證書的終端設備才可接入系統，并且通過網絡申請車聯網證書管理系統的其他服務。Pseudonym CA（假名 CA，PCA）PCA 負責頒發設備的短時匿名證書。設

25、備之間通過匿名證書實現可信的信息交互。目前美國和歐洲均在 IEEE1609.2 的基礎上根據各自的實際情況和管理需求設計了相應的車聯網安全管理系統。SCMS 系統是美國針對 V2X 應用層安全設計的一套證書管理系統，包含了證書頒發、證書撤銷、終端安全信息收集、數據管理、異常分析等一系列與安全相關的功能，以此確保 V2X 的安全通訊，其主要結構如圖 3 所示。圖 3SCMS 系統架構20CCMS 是歐洲針對合作式智能交通設計的一套證書管理系統，主要結構如圖 4 所示。CCMS 考慮不同的信任模型，允許一個或多個根CA 存在，可以實現單根 CA、交叉認證、橋接 CA 和證書信任列表等多種證書管理模

26、式。圖 4 CCMS 系統架構15（三）車聯網安全信任錨點模型發展態勢在車聯網證書管理系統中信任錨點在車聯網安全中扮演著非常重要的角色，所有車載終端授權和通信的安全性取決于信任錨的安全性。在車聯網證書管理系統中，共同的信任錨點是根證書頒發機構， 根節點是車聯網中受信任的實體，允許其自己頒發自簽名證書。使用車聯網證書管理系統的所有設備，以及系統中所有關聯的網絡功能， 都必須通過某種安全手段來建立對根 CA 的合法性和完整性的信任（即未發生損害）。常用的信任錨點管理機制是保護信任 CA 列表的可信列表。例如可以作為預配置的一部分，通過安全的初始過程（例如帶外證書下載）為車輛OBU 提供根 CA 列

27、表。美國的 SCMS 系統有一個管理組件負責對策略和根進行管理， 如圖 5 所示。SCMS 的根 CA 管理包括一系列選舉人，這些選舉人是認可或撤銷根CA 證書并認可或撤銷選舉人證書的受信任的設備和組織。選舉人和根 CA 是信任錨點系統的一部分。此選舉人機制可提供針對單點故障風險的保護，由于大多數選舉人可以撤銷或認可另一個選舉人證書或根 CA 證書，因此 SCMS 允許采用標準化方式交換系統中的任何 CA 證書。SCMS 系統使用SCMS 管理器來確認根CA 的可信度。同時SCMS 管理器還包括策略生成器，負責維護策略文件以及包含所有信任鏈的全局證書鏈文件（GCCF）。圖 5 美國 SCMS

28、系統的可信錨點模型9在歐洲，車聯網證書管理系統CCMS 使用信任列表管理器（TLM） 作為可信錨點，可以認可或撤銷根 CA，這些根 CA 放置在歐洲證書信任列表（ECTL）上，并由與 TLM 相關的 CPOC 分發，如圖 6 所示。CCMS 使用 C-ITS 證書策略頒發機構（CPA），其作用是任命 TLM并確認 TLM 可以信任 CPA 批準運行的根 CA。根 CA 的可信度記錄在由TLM 簽署的歐洲中央信任列表（ECTL）中。圖 6 歐洲可信錨點管理實體9（四）車聯網隱私保護技術發展態勢車聯網應用的隱私包括位置隱私、用戶數據隱私和用戶身份隱私。車聯網應用不僅能夠為駕駛者提供道路周邊基礎設施

29、和導航信息，還 能對車輛位置及其他相關信息進行詳細記錄。在車聯網中，用戶的身 份隱私和位置隱私相互關聯，密不可分，攻擊者通過身份信息可以追 蹤到車輛的位置信息，通過車輛的位置信息可以追蹤到車輛的行駛軌 跡，進而可以揭示用戶的身份信息。所以在車聯網通信中既要保護車 輛的身份隱私，也要保護車輛的位置隱私。2017 年，美國眾議院通過了確保車輛演化的未來部署和研究安全法案。不同于以往的“非強制性”規定,該法案屬于首次從聯邦層面規制自動駕駛的法案。法案要求自動駕駛汽車的開發者需制定數據的隱私保護計劃,且禁止生產商在沒有隱私保護計劃的情況下銷售自動駕駛汽車。法案規定隱私政策需明確以下內容：（1）信息被收

30、集、使用、分享和存儲的方法；（2）提供給車主或使用者關于該類信息收集、使用、分享和存儲的選擇；（3）生產商關于車主或使用者數據最小化、去標識化,及保留方面的做法；（4）隱私保護的要求如何延伸適用于分享使用數據的主體的做法。歐盟 GDPR 關于個人數據保護的規定將統一適用于自動駕駛數據中的個人數據。在行業自律層面，2014 年，汽車制造商聯盟(Alliance of Automobile Manufacturers)和全球汽車制造商協會(Association of Global Automakers)為汽車技術和服務制定了 7 條隱私保護原則,涉及透明性、選擇性、尊重情景、數據最小化、數據安全

31、、完整性和可取性、可責性等;另外規定，只有在基于與消費者的合同、經消費者同意或為了履行法律要求的情況下才可與第三方共享個人數據。目前車聯網中主要是通過對車載終端的通信證書采用匿名的方式來保護用戶標識，并根據設定的邏輯更換所使用的通信證書來達到保護用戶隱私的目的。為了平衡匿名證書數量與隱私保護間的矛盾，美國的 SCMS 系統選擇每周頒發 20 張匿名證書，并且規定當移動距離大于 2 千米且移動時間超過 5 分鐘時需更換一次匿名證書。在更換證書的同時，終端同步更換設備的 MAC 地址，從而防止攻擊者利用設備的 MAC 地址對用戶進行實時跟蹤。為了防止攻擊者描繪用戶的歷史軌跡， SCMS 系統規定匿

32、名證書的有效時間為一周，超過一周需使用下一批匿名證書。同時，匿名證書在使用前以加密方式存儲，防止設備被入侵后匿名證書被非法獲取。在服務端，SCMS 系統設計采用位置模糊化代理（LOP）將所有終端設備的地址進行替代處理，從而使 SCMS 系統中的其他單元無法獲取終端設備的準確位置信息。為了防止 LOP 對服務請求信息進行監聽，終端設備的服務請求數據采用加密方式發送，由 LOP 轉發給 RA，RA 可對接收到的密文請求數據解密并進行相應的處理。為了保護用戶隱私，SCMS 對系統側服務單元提出了嚴格的匿名管控標準，要求系統中的任何單一服務設備均無法根據自身獲取的信息獨立判斷出兩張匿名證書是否將頒發給

33、同一個終端使用，切斷匿名證書間的關聯性。為此，SCMS 系統采用兩個LA 服務器，防止單一LA 服務器通過鏈接值擴展來確定證書關系。此外，在匿名證書申請過程中，在 RA 處設計了洗牌模式，防止 PCA 獲取確切的終端信息。RA 在收到終端設備的匿名證書請求后將其擴展，并將多個終端擴展后的請求進行統一的洗牌處理，最后再發送給 PCA 申請證書。歐洲匿名證書預裝載的時間最多為三個月，有效期不超過一周， 并行有效的最大數量為每個節點最多 100 個證書，同時匿名證書中不包含任何可能將主題與其真實身份相關聯的名稱或信息。（五）車聯網安全監管發展態勢目前，美國、英國、德國等國家陸續發布與智能網聯汽車與自

34、動駕駛相關的法律法案，力圖從國家層面細化涉及汽車全生命周期各參與體的網絡安全責任，加強對車聯網安全的重視程度。美國 2016 年公布自動駕駛汽車政策，將高度自動駕駛汽車的安全部署任務分為四大部分，包括自動駕駛汽車性能指南、州政策模式、現行監管方式和監管新工具與權力。美國交通部道路交通安全管理局（NHTSA）在 2017 年 8 月發布了新版聯邦自動駕駛系統指南：安全愿景 2.0，要求汽車廠商采取措施應對網絡威脅和網絡漏洞，對車輛輔助系統進行網絡安全評估。英國要求汽車制造商承擔起包括抵御網絡攻擊、對抗黑客在內的一系列網絡安全責任。2017 年 8 月，英國政府發布智能網聯汽車網絡安全關鍵原則，提

35、出包括頂層設計、風險管理與評估、產品售后服務與應急響應機制、整體安全性要求、系統設計、軟件安全管理、數據安全、彈性設計在內的 8 大方面關鍵原則。將網絡安全責任拓展到供應鏈上的每個主體，并強調在汽車全生命周期內考慮網絡安全問題。德國在 2017 年 6 月頒布了道路交通法第八修正案與自動駕駛道德準則。道路交通法第八修正案原則性規定了自動駕駛的定義、駕駛人的責任與義務、駕駛數據的記錄等內容，為自動駕駛各方利益主體規定了權利義務邊界，提出政府監管方向。自動駕駛道德準則作為全球第一個自動駕駛行業的道德準則，通過在道路安全與出行便利、個人保護與功利主義、人身權益或財產權益等方面確立優先原則，為自動駕駛

36、所產生的道德和價值問題立下規矩。（六）車聯網安全標準目前國際上各大標準組織積極進行車聯網安全的研究和標準化工作，均設立了專門的安全工作組開展車聯網安全標準的研制工作， 為車聯網安全的發展提供必要的理論依據。國際標準化組織 ISO 是負責除電工電子領域外的國際標準化工作的非政府性國際組織，其下屬道路車輛技術委員會（TC22）成立SC32/WG11 Cybersecurity 信息安全工作組，聯合美國汽車工程師協會（SAE）共同開展信息安全國際標準 ISO 21434 Road Vehicles Cybersecurity engineering 的制定工作。該標準旨在定義整個車聯網產業鏈中使用的

37、通用術語，明確車聯網中關鍵網絡安全問題，設定車輛網絡安全工程的最低標準，并為相關監管機構提供參考。ISO/IEC JTC1 SC27（信息安全、網絡空間安全和隱私保護技術委員會）的WG3（安全評估、測試和規范工作組）中，基于 ISO/IEC 15408 的網聯汽車信息安全測評準則標準研究項目，旨在基于 ISO/IEC 15408 標準，分析網聯汽車面臨的安全威脅和安全目標，提出安全要求和安全功能組件。美國汽車工程師協會（SAE）中的汽車電子系統安全委員會負責汽車電子系統網絡安全方面的標準化工作，制定了全球第一個關于汽車電子系統網絡安全的指南性文件J3061 Cybersecurity Guid

38、ebook for Cyber-Physical Vehicle Systems，該文件定義了完整的生命周期過程框架，將網絡安全貫穿了從概念階段到生產、運營、服務和退役的所有生命周期，為開發具有網絡安全要求的汽車電子系統提供了重要的依據。該文件為車輛系統提供了網絡安全的基本指導原則，為后續的車聯網安全的標準化工作奠定了基礎。國際電信聯盟（ITU-T）SG17 工作組已經開展了對智能交通以及聯網汽車安全的研究工作。有 12 個標準項目，包括：軟件升級、安全威脅、異常檢測、數據分類、V2X 通信安全、邊緣計算、車內以太網安全等。目前已經正式發布的標準有 X.1373 Secure software

39、 update capability for intelligent transportation system communication devices，這個標準通過適當的安全控制措施，為遠程更新服務器和車輛之間提供軟件安全的更新方案，并且定義了安全更新的流程和內容建議，該標準正在修訂中。目前，ITU-T 在研的標準有 Securityguidelines for V2X communication systems for determination，SecurityRequirements of Categorized Data in V2X Communication 和 Securi

40、ty threats in connected vehicles，主要圍繞 V2X 面臨的安全威脅和安全需求，提出相應的安全指南，該標準已經凍結，即將發布。聯合國世界車輛法規協調論壇（WP.29）成立了汽車信息安全任務組（TFCS/OTA），提出了關于網絡安全和信息保護措施的指南草案，并正在以該任務組提交的研究報告為基礎，制定汽車信息安全專用國際法規。為實施更為安全的保護，ETSI 中的 ITS 技術委員會制定了相應的技術規范，該技術規范主要包括安全架構、安全服務、安全管理、隱私保護等方面。3GPP SA3 在REL 14 開始進行 LTE-V2X 安全的研究和標準化工作， 形成了 3GPP

41、TS 33.185 Security aspect for LTE support of Vehicle-to-Everything (V2X) services 標準規范，規定了 LTE-V2X 的安全架構以及安全機制。目前 3GPP SA3 在REL 17 開始研究eV2X 的安全，主要圍繞 5G-V2X 的安全需求和安全關鍵問題進行研究。三、 我國發展態勢（一）車聯網安全管理系統發展態勢為了實現車聯網終端之間的安全認證和安全通信，我國的車聯網系統使用基于公鑰證書的 PKI 機制確保終端間的安全認證和安全通信,通過采用數字簽名和加密等技術手段實現車聯網終端之間消息的安全通信。因此需要車聯網

42、安全管理系統來實現證書頒發、證書撤銷、終端安全信息收集、數據管理、異常分析等一系列與安全相關的功能， 確保車聯網應用安全。車聯網安全管理系統是車聯網安全通信的重要組成部分，包括注冊 CA、V2V 假名 CA、V2I 授權 CA 和證書撤銷 CA 等，車聯網安全管理系統的架構及可信模型與我國車聯網業務及其管理模式緊密相關。根據我國車聯網發展情況及業務需求，可以看出我國的車聯網安全管理系統會存在兩種可能的架構，即集中式管理架構和分布式管理架構。授權CA證書撤銷CA注冊CA服務機構路側設備(RSU)車載設備(OBU)V2I授權CAV2X假名CAV2X通信CA圖 7集中式車聯網安全管理系統架構5圖 7

43、 給出了集中式車聯網安全管理系統架構。該架構采用單一根CA 的方式，部署統一的 CA 體系結構，所有的子 CA 都在同一個根CA 下管理。根 CA 可由車聯網管理責任部門負責運營維護。這種部署方式適用于對車聯網有明確主管責任部門進行統一管理的場景。集中式部署的優點是所有的證書由統一的根 CA 管理，管理比較簡單， 缺點是不能重用現有的 CA 系統，需要重新建立新的 CA 體系。圖 8 給出了分布式車聯網安全管理系統架構，該架構通過 CA 之間的交叉認證實現可信的 PKI 體系?？尚抨P系授權CA證書撤銷CA注冊CA服務機構路側設備(RSU)車載設備(OBU)V2I授權CAV2X假名CA圖 8 分

44、布式安全基礎設施部署方式5分布式部署方案不需要有共同的根 CA，不同的業務可以設置不同的根 CA，但需要在不同的根 CA 之間建立互信關系。這種部署方式適用于多部門共同對車聯網進行管理和維護的場景。這種方式的優點是容易對接現有的管理機制，可在現有 CA 系統中增加相應的功能即可。缺點是需要執行交叉認證，增加了消息長度和消息處理時延。需要注意的是，不管使用哪種部署方案，頒發證書的 CA 都需要具備很高的安全性。攻擊者可能可以從不安全的 CA 系統獲得 CA 頒發的有效證書，進而發送惡意構造的 V2X 消息，造成嚴重的后果， 如車輛碰撞等交通事故。頒發證書的CA 應根據當前業界的最佳實踐， 通過第

45、三方評估認證等方式，證明自身的安全性和公信力。（二）車聯網安全管理系統產業實踐車聯網安全管理系統是車聯網商業化部署應用的重要保障。車聯網“人-車-路-云”通信過程中需要對車載設備、路側基礎設施等參與主體的身份合法性進行安全認證，避免車聯網設備因黑客攻擊，誤導車輛做出錯誤判斷，甚至導致車輛碰撞等危害事件發生。目前國內相關單位持續開展 V2X 通信安全研究和標準制定，國家標準化管理委員會在 2019 年 5 月發布了國標GB/T 37376-2019交通運輸 數字證書格式、GB/T 37374-2019智能交通 數字證書應用接口規范和GB/T 37373-2019智能交通 數據安全服務。中國通信標

46、準化協會（CCSA）完成了行標基于 LTE 的車聯網通信安全技術要求、車聯網信息服務 數據安全技術要求、車聯網無線通信安全技術指南、車聯網信息服務 用戶個人信息保護要求和車聯網信息服務平臺安全防護要求的制定。同時，CCSA、C-ITS 和全國汽車標準化技術委員會正在制定多部 V2X 通信安全標準，眾多企業已經依據標準開展了車聯網通信安全的測試驗證活動。2018 年 4 月，中國信息通信科技集團有限公司（中國信科）發布了業內首個車聯網安全管理系統，該系統實現了注冊 CA、V2V 假名 CA、V2I 授權 CA 和證書撤銷 CA 等功能，實現了車聯網注冊證書、匿名證書、應用證書和證書撤銷列表的管理

47、，實現了車聯網安全的驗證。2019 年 8 月，國汽（北京）智能網聯汽車研究院有限公司搭建的VSS 系統眾測平臺正式對外開放。VSS 是針對V2X 通信設計構建的安全認證防護系統，是推廣 V2X 應用不可或缺的組成部分。VSS 包括根 CA、中間證書 CA、注冊證書 CA、消息證書 CA 和受理服務器AS。2019 年 10 月 22 日到 24 日，由 IMT-2020（5G）推進組 C-V2X 工作組、中國智能網聯汽車產業創新聯盟、中國汽車工程學會、上海國際汽車城（集團）有限公司共同主辦的 C-V2X“四跨”互聯互通應用展示，重點演示了車聯網通信安全身份認證機制，實現“跨芯片模組、跨終端、

48、跨整車、跨安全平臺”的全方位演示。演示活動應用場景和安全機制全面依照國內 LTE-V2X 標準體系進行技術開發，由中國信科和國汽智聯搭建的車聯網安全管理平臺為車載通信終端OBU 和路側終端RSU 提供通信證書，實現 V2V、V2I 直連安全通信， 綜合演示車聯網通信安全機制。（三）車聯網安全監管近兩年，我國陸續頒布車聯網相關的法規政策，安全作為車聯網的重要組成部分，在相應的法規政策中都被著重提出，從安全管理和安全技術層面都有相應的規定和要求。2017 年 6 月 1 日開始實施的中華人民共和國網絡安全法，明確要求網絡運營者履行網絡安全保護義務，依照法律、行政法規的規定和國家標準的強制性要求，采

49、取技術措施和其他必要措施，保障網絡安全、穩定運行。有效應對網絡安全事件，防范網絡違法犯罪活動， 維護網絡數據的完整性、保密性和可用性。加強行業自律，制定網絡安全行為規范，指導會員加強網絡安全保護，提高網絡安全保護水平， 促進行業健康發展。2018 年 6 月，工信部和國家標準化管理委員共同頒布了國家車聯網產業標準體系建設指南，在智能網聯汽車標準體系的通用規范中，規劃了信息安全類（編號 204）的標準體系。在遵從信息安全通用要求的基礎上，以保障車輛安全、穩定、可靠運行為核心，主要針對車輛及車載系統通信、數據、軟硬件安全，從整車、系統、關鍵節點以及車輛與外界接口等方面提出風險評估、安全防護與測試評

50、價要求，防范對車輛的攻擊、侵入、干擾、破壞和非法使用以及意外事故。在信息通信標準體系的網絡與數據安全部分，涉及安全體系架構、通信安全、數據安全、網絡安全防護、安全監控、應急管理等方面的標準。2018 年 1 月，發改委組織起草了智能汽車創新發展戰略（征求意見稿），明確提出構建全面高效的智能汽車信息安全體系，保障車聯網網絡安全產業的健康有序發展。明確提出完善信息安全管理聯動機制，明確相關主體的安全管理責任，定期開展安全監督檢查；從云、管、端全方位加強信息安全系統防護能力；加強數據安全防護管理。建立智能汽車數據全生命周期的安全管理機制，加強數據安全監督檢查，開展數據風險、數據出境安全等評估工作，加

51、強管理制度建設。在 PKI 管理方面，2009 年頒布的電子認證服務管理辦法明確了對電子認證服務提供者實施監督管理的方法，包括提供電子認證服務機構的資質要求、電子認證服務許可申請流程等。（四）車聯網安全標準為了適應車聯網的發展，TC114、TC260、CCSA、C-ITS 等都設立了車聯網安全相關工作組，加速研制車聯網安全標準，重點關注車聯網無線通信安全和數據安全。全國汽車標準化技術委員會（簡稱汽標委）下屬的智能網聯汽車分技術委員會（TC114）負責歸口管理我國智能網聯汽車領域的國家標準和行業標準，成立了先進駕駛輔助系統（ADAS）標準工作組、信息安全、自動駕駛等工作組。2017 年，汽標委正

52、式成立汽車信息安全標準工作組，已完成汽車信息安全通用技術要求、車載網關信息安全技術要求、汽車信息交互系統信息安全技術要求等 3 項汽車信息安全基礎標準和電動汽車遠程管理與服務系統信息安全技術要求、電動汽車充電信息安全技術要求等 2 項行業急需標準的預研工作，并向國家標準化管理委員會提交了推薦性國家標準立項申請。全國信息技術安全標準化技術委員會（信安標委）TC260 是國家標準化管理委員會的直屬標準化技術委員會。2017 年 7 月，TC260 立項了與車聯網安全相關的強制性國家標準項目信息安全技術網絡產品和服務安全通用要求。中國通信標準化協會（CCSA）長期致力于車聯網系列標準的制定，研制的車

53、聯網安全相關標準涵蓋車聯網安全的方方面面，目前， CCSA 已經完成了行標基于 LTE 的車聯網通信安全技術要求、車聯網信息服務 數據安全技術要求、車聯網無線通信安全技術指南、車聯網信息服務 用戶個人信息保護要求和車聯網信息服務平臺安全防護要求的制定，正在研制的車聯網安全相關標準有基于LTE 的車聯網無線通信技術 安全證書管理系統技術要求、基于LTE 的車聯網無線通信技術 安全認證測試方法。四、 技術預見（一）5G 車聯網安全技術隨著蜂窩通信技術的不斷發展，LTE V2X 車聯網也將朝向 NR V2X 技術方向演進。5G 在車輛聯網領域的應用主要體現在道路環境感知、遠程駕駛、編隊駕駛等方面，車

54、輛聯網系統的實現需要依靠強大的通信能力來依賴和支持。5G 的低延遲、高可靠性特性及大容量的通信設備，使車輛聯網的發展和應用更加可靠和迅速。NR V2X 車聯網業務具有不同的安全等級和安全需求，例如編隊駕駛場景中車聯網消息將只在編隊中傳播，編隊之外的車輛不應收到 處理編隊的消息，因此在這種場景下車聯網系統應該考慮支持機密性。因此 NR V2X 車聯網安全除了繼承了 5G 網絡的安全風險和挑戰外，還面臨著新的安全需求。NR V2X 車聯網為了支持更多的車聯網業務和場景，在 PC5 接口上引入了單播和組播模式，因此需要相應的安全機制來保證車聯網消息的完整性、機密性和抗重放攻擊，同時也需要研究相應的隱

55、私保護機制來保證 5G 車聯網的安全。（二）車聯網與邊緣計算融合的安全邊緣計算是 5G 網絡中實現低時延業務的使能技術之一，可以提供對車聯網基礎通信能力的支持。同時邊緣計算還可以對車聯網的其它前瞻性應用場景，如交叉口信號燈控制參數優化、區域內高精度地圖的實時加載、區域內自動駕駛車輛的調度等提供支持，因此車聯網將與邊緣計算技術相結合，形成分層、多級邊緣計算體系，滿足高速、低時延車聯網業務處理及響應的需要。但是邊緣計算的數據處理實時性、數據多源異構性、終端資源受限性和接入設備復雜性，使得傳統云計算環境的安全機制不再適用于邊緣設備產生的海量數據的安全防護，邊緣計算的數據存儲安全、共享安全、計算安全、

56、傳輸和隱私保護等問題成為邊緣計算模型必須面對的安全挑戰。車聯網與邊緣計算融合的體系架構需要針對數據安全、身份認證、隱私保護和訪問控制提出相應的安全機制，保證車聯網業務的安全開 展。傳統的網絡與業務的信任模型不能適應新的業務模式，例如邊緣 計算與車聯網應用之間的信任關系缺失會導致攻擊者接管用戶服務， 因此需要研究車聯網業務與邊緣計算之間新的信任模式，滿足邊緣計 算系統與車聯網系統共生融合的部署方式。（三）車聯網通信設備認證及安全交互技術為了確保車聯網業務中消息來源的真實性、內容的完整性、防止消息重放，采用數字證書通過數字簽名/驗簽的方式對車聯網業務消息進行保護。為了實現上述機制，車聯網終端需要完

57、成設備初始化， 以安全的方式完成密碼公私鑰對、數字證書等敏感參數的初始配置。該過程對設備安全生產環境有著較為嚴格的要求，給車企及 C-V2X 終端生產企業帶來了新的挑戰。目前車聯網設備的初始安全配置過程主要是由車輛生產企業在生產線上完成，對終端設備廠商有較高的安全生產要求，需要根據車聯網的安全要求對生產線進行改造。特別是終端設備公私鑰對的產生以及登記注冊證書的申請對于生產線有更加嚴苛的安全要求。企業不僅面臨著生產線、生產流程升級改造的問題，同時還面臨著安全生產合規、安全審計、安全信任關系構建、安全成本管控等多方面難題。因此需要更為有效的車聯網通信設備認證及安全交互方法，滿足車企對車聯網設備初始

58、安全配置的需要。3GPP 定義的GBA（Generic Bootstrapping Architecture，通用引導架構）框架提供了一種基于移動通信網絡和用戶卡的通用認證和會話密鑰管理機制，可以為應用層業務提供完整的安全認證及應用層會話通道加密服務。因此如何將 GBA 框架應用在車聯網安全體系下是目前研究的熱點，車聯網安全管理系統通過引入 GBA 機制，可以在不需要根證書的情況下安全地進行多證書的安全導入，有助于建立證書間的互信機制，以解決隸屬于不同 CA 管理系統的節點間消息驗證及互通的問題。（四）車聯網安全管理系統增強技術車聯網安全管理系統支持對車聯網設備進行證書的安全發放、使用和撤銷，

59、當車聯網安全管理系統檢測到惡意的車聯網設備時需要將其證書撤銷，或者當車聯網設備發生故障或者報廢時，需要將頒發給車聯網設備的證書撤銷。因此，車聯網設備的異常行為檢測和報告是車聯網安全管理系統的重要組成部分。目前異常行為檢測包括本地的異常行為檢測和后臺安全運營中 心的全局異常行為檢測。本地的異常行為檢測可以通過車聯網設備檢 查接收到的安全消息的完整性、可靠性和正確性，以及結合車輛的傳 感器信息進行分析、判斷。由于本地異常行為檢測僅能在時間和空間 上提供有限的信息，因此只依靠本地的檢測不足以可靠地識別攻擊者， 因此需要依賴于后臺安全運營中心的全局檢測，后臺安全運營中心的 全局異常行為檢測可以通過實時

60、對車載智能終端設備的系統資源、應 用行為、網絡連接以及 CAN 總線接口的監測，結合云端的安全大數據進行分析，發現并定位車載終端中的異常行為，并根據預置策略執 行阻斷，實現基于終端檢測與響應技術（ Endpoint Detection and Response）的車載智能終端動態防護。例如，車聯網安全管理系統既 可以識別、處置來自車聯網設備的異常請求，也可以通過依靠威脅情 報和大數據能力，創建并持續學習不同場景、不同工況下的車聯網行 為模型，根據行為模型對監測到的異常行為進行安全分析，對異常行 為可造成的汽車信息安全事件進行告警、預測和處置，從而建立起檢 測車聯網設備異常行為的能力。但是目前這