2020-12-07 13:02:168730人阅读
11月30日,由工信部、北京市政府共同主办的2020年中国网络安全产业高峰论坛在京举办,本次论坛以“新基建 新网安 新产业”为主题,设置了开幕式及车联网安全发展等4场主题分论坛,并发布了2020年网络安全技术应用试点示范项目。百度安全和信长城(北京仁信科)联合申报的“基于国密算法的车联网/C-V2X通信安全基础设施应用”获选此次的试点示范项目。
今年2月,国家发改委、中央网信办等11部委联合发文《智能网联汽车创新发展战略》,为推进车联网的发展与治理就重点提到“构建全面高效的智能汽车网联安全体系”。基于车用无线通信技术(Vehicle to Everything, V2X)在车辆监控、路径规划、自动驾驶等愈发复杂的应用场景下,暴露出越来越多越来越多与车有关的网络安全风险,发生有多起车辆乃至汽车废弃零部件被攻击或破解的案例,使相关的终端设备安全、数据安全与隐私安全都面临着全新挑战。
V2X交互的信息模式包含车与车之间、车与路之间、车与人之间、车与网络之间等多种模式。在2019年由IMT-2020(5G)推进组C-V2X工作组等机构共同举办的C-V2X“四跨”互联互通应用示范活动,便在国内实现了“跨芯片模组、跨终端、跨整车、跨安全平台”的测试标准,不同往年“跨通信模组、跨终端、跨整车”的“三跨”,进一步涵盖了通信安全防护机制。信长城作为2019年“四跨”测试的安全支撑单位之一,为多家OBU(On board Unit,车载单元)厂商和主机厂提供身份认证安全系统、高速安全芯片和安全SDK等安全产品和服务。且该测试在今年再度扩展了相关技术和标准,提出“跨芯片模组、跨终端、跨整车、跨安全平台+高精度地图和定位”的“新四跨”验证标准,正是在此次入选工信部试点示范项目的解决方案助力下,百度Apollo成为国内首家通过2020年“新四跨”测试的厂商。
百度安全与信长城联合申报的基于国密算法的车联网/C-V2X通信安全基础设施应用(又称“V2X PKI系统建设方案”),其核心虽依托于公钥密码的理论与技术,但在数字证书的实现上有别于传统的X509证书,采用的是匹配V2X特征后优化的证书,在运维管理、业务运营等功能上需要多个运营主体的协同,所以它不仅仅是一个简单的PKI(Public Key Infrastructure,公钥基础设施)系统建设,而是基于V2X环境融合了安全策略、运维管理、业务运营、标准规范、法律法规等一整套完善的基础设施应用。其中,结合了信长城所具有的高速密码运算服务优势,得以实现全网维度下的V2X PKI安全认证业务共同运营,并在带宽资源有限的情况下,可靠性不受影响。
在20年的网络攻防与隐私安全实战经验下,百度安全此次与信长城联合开发的V2X PKI系统建设方案中,采用“中心集中建设,多方分布配置”的信任体系,即在体系内只集中建设一套根CA(Root Certificate Authority,根证书授权),作为V2X PKI信任的根节点,其他CA(Certificate Authority,证书授权,)证书均隶属于该根证书信任节点之下。与此同时,根CA采用离线运行的模式,仅在签发根证书、签发下级CA证书时运行,其他情况下处于关机状态。它的服务器更是位于严格受控的屏蔽机房中,密钥使用HSM(Hardware Security Module,硬件安全模块)保护并备份,并进行严格的人员访问控制和审计,以保障V2X的业务安全。
策略中心与MA(Misbehavior Authority,异常管理)在此V2X PKI系统建设方案中,为OBU和RSU(Road Side Unit,路侧单元)在初始化时就预置了全网的根CA证书、所有ECA(Enrollment CA,注册证书授权)证书和所有AA(Authorization Authority,假名证书授权)证书,当CA证书更新或新增时,可通过策略中心统一更新,从而使任意AA下签发的假名证书均能通过“根CA-AA-EECert”证书链进行验证,以此实现不同厂商生产的OBU和RSU能互信互认。另一方面,通过ECA、AA颁发注册证书和假名证书,配合假名证书短有效期持续交替使用,在面对攻击者时可保证车主的匿名隐私;而在针对CA运营者和监管者,通过不同的验证技术可实现不同的匿名隐私策略;但在基于肇事逃逸车辆时,根据极其严苛的业务运营规范,仅执法人员可通过将匿名证书关联的注册证书查找到,再通过注册证书查询车辆和车主的实名信息,从而实现匿名环境下的实名追责。
众所周知,在智慧城市与汽车行业发展新四化(电动化、网联化、智能化、共享化)的趋势下,V2X是一个有着超长产业链的新蓝海,包含了整车厂商、OBU厂商、RSU厂商、通信模组厂商、移动通信运营商、数字认证运营服务商、安全芯片厂商等一系列产业实体,V2X通信安全的发展将有益于车联网的商业化落地,进而带动产业规模化联动,为各方带来稳定可观的经济效益。百度安全此次联合信长城研发的基于国密算法的车联网/C-V2X通信安全基础设施应用,作为工信部试点示范项目,力图推动车联网的安全生态建设,希冀在科技不断发展的变革下为行业带来明确的价值,切合百度安全“以技术开源、专利共享、标准驱动为理念”的初心。
更为重要的是,由于国内汽车行业起步较晚,关键环节的核心产品往往来自国外,网联汽车领域也长期沿用国外密码算法体系及相关标准,在行业生态中具有隐患,且限制了国产密码产业发展。而百度安全与信长城联合研发的V2X PKI体系的安全芯片使用国产密码算法,拥有巨大的设备用户量,可以有效提高我国自主安全的密码设备相关技术与产品自主研发能力,深化国产密码算法在网联汽车领域中的应用,有效形成国产密码构筑信息安全基础的良好示范效应。