车联网身份及密钥管理应用方案（24页 PPT）

微信扫码，打开到小程序

车联网身份及密钥管理应用方案 目录 1. 国家政策和规 范 2. 车联网安全框架 3. 车联网密码应用方案 4. 车联网案例应用汇总 1.1 车联网安全性事 件 南卡罗莱纳大 学实现对 TMPS 系统的 攻击与实现利 用 OBD 接 口 控 制汽车 USENIX 安全会 议汽车攻击面分 析报告 DEFCON 短信解 锁斯巴鲁傲虎 DEFCON 会议 上，通过 OBD 控制福特翼虎， 丰田普锐斯 BLACKHAT 曝 光多款汽车的 电子系统存在 安全风险 360 破 解 特 斯 拉 Jeep Cherokee 被远 程控制 USENIX 上，实现利 用 OBD 设备对汽车 的 远程控制 360 公司破解比亚迪 汽车 科恩实验室实现对 特斯拉的远程入侵 DEFCON 上， 360 公司实现对特 斯 拉汽车自动驾驶系 统的攻击 2010 2011 2012 2013 2014 2015 2016/2017 1.2 车联网安全的相关规 范 国家法规 及政策 行业标准 及建议 国际标准 参考 国家标准（密码相关）  GM/T 0009 《 SM2 密码算法使用规范》  GM/T 0015 《基于 SM2 密码算法证书格式规 范  GM/T 0031 《安全电子签章密码技术规范》  GM/T 0034 《基于 SM ２的证书认证技术规 范》  GM/T 0054 《信息系统密码应用基本要求》 国际相关标准（密码相关）  美国 RSA 相关 PKCS 系列规范  国际电信联盟的 ITU-T X.509 规范  IETF 组织的公钥基础设施 PKIX 规范 等 4 影响车联网密码应用的相关法律和政策  《中华人民共和国网络安全法》  《关键信息基础设施安全保护条例》 --- 定义交通相关领域属于关键基础设施  《中共中央办公厅 2015 年 4 号文件》 --- 推进国密算法在交通相关领域应用  《中华人民共和国密码法草案》 --- 明确密码的应用方法和主管机构  《网络安全等级保护基本要求》  《智能网联汽车信息安全白皮书》 --- 明确车厂车联网运营商的防护责任和要求 1.2 车联网国内相关密码应用标 准 5 国 内 序号 名称 负责机构 发布时间 1 《国家车联网产业标准体系建设指南（智能网联汽车）》 工业部、国标委 2017/12/27 2 T/ITS 《基于公众电信网的联网汽车信息安全技术要求》 智能交通产业联盟 2017/12/10 3 《车联网信息安全防护指南》 TIAA 2017/02/28 4 《 2017 年智能网联汽车信息安全白皮书》 中国汽车工程协会 2017/6/12 5 GB 《汽车信息安全通用技术规范 》 汽车标委会 (NTCAS) 2018 年 6 GB/T 《汽车远程信息服务通信终端安全规范》 7 GB/T 《车载 T BOX 信息安全技术要求》 2019 2020 1.3 密钥在车联网应用中的意 义 6 密钥协商 非对称协商密钥 OTA 升级 包 合法性和完整性 终端和云端安全 通信和身份认证 终端和终端安全通 信和身份认证 敏感数据 公钥加密 用户控车指令 不可否认性 空中升级数据 完整性 / 真实 性 车端 / 总线数 据 传输机密性 车端及零配件 身份认证 对称 / 非对 称 密钥基础 设施 1.4 密钥应用形 态常见的密码模块  加密芯片  智能密码钥匙  明确的边界  加密机  加密软件 OpenSSL Crypto Module 数据输入 数据输出 控制输入 状态输 出 电源 模块 边界 7 1.4 密钥应用等级要求（ 1-4 级） 参见国家标准：《 GMT 0028-2014 密码模块安全技术要求》 安全目标  安全功能  授权控制  非授权访问的检测  运行状态指示  核准的工作模式  错误检测  敏感参数保护  设计分发和实现 11 个安全 域 ( 元 素 )  密码模块规格  密码模块接口  角色、服务和鉴 别  软件 / 固件安全  运行环境  物理安全  非入侵式安全  敏感安全参数管 理  自测试  生命周期保障  对其他攻击的缓 解 8 1.4 密钥应用与车联网平台的关 系 TSP 系 统 OTA 系 统 MES 系 统 密钥管理 通信加密 指令鉴别 数据完整 设备和身 份识别 非对称 / 对称密钥 管 理 PKI/KMS 系统 车联网联接平台 9 2. 车联网安全应用通用框 架 四级框架：根据安全防护涉及车联网业务划分 10 移动终端 服务平台 移动终端 路边单元 Level 4: ECU/ 传感器 / 执 行器 Level 3 ： 网关 （ OTA ） Level1: 云服务 / 移动终端 / 路边 单元 网关 ADAS 感知 Level 2: 接口设备 / 外部 感知 ADAS 感 知 服务平台 2. 车联网安全防护框 架 安全防护的基本要求 3.1 车联网密码应用方案的基本思 路 Level 1 Level 4 Level 2 Level 3 Level 3 外联服务 TSP/ 控制中心 CAN 总线 终端 T-BOX 互联网 3G/4G 远程解锁 自动升降窗 空调送风 T-BOX Server 运营商 物联网网络 核心 业 务 Level 2 •身份标识表达、管理混乱（自建，第三方） •第三方 CA 签发的身份标识通用，离线签发和导入，易 被 用于其他车企；且标识变更依赖第三方 •第三方 CA 合规、合法性不确定 远程通 信 •认证方式简单，易被破解 •缺乏终端对车厂外联服务的身份校验 •网络易被入侵，遭受恶意代码攻击 近场通信 •供应商可拿到身份标识证书进行备份，将证书导入任 意 T-BOX ，无法标识 T-BOX 的唯一性，且无法形成对 T- BOX 的有效管理 •指令易被破解，影响行车安全（易被黑客冒充控 制中心发布恶意指令） ECU 安全 •影响正品配件销售（车主自行破解升级） 车机 HU FOTA •远程接收非法或恶意软件 / 更新包，间接影响汽车 / 行 车 安全 •手机与车机双向控制指令截获、篡改，影响行车安全 •获取虚假车辆控制单元状态 •服务端和客户端无法确认双方真实身份 •传输非法指令；正常指令被获取、篡改 链路安全 3.2 车联网身份及密钥管理的应用方 案 OTA 防 护 ECU 安 全 数字钥匙 非对称 / 对称密 码 基础设施 标准化 车载 安全网关 安全方案群 下行指令 安全 其他方案 3.2.1PKI/CA 信任体系设 计 传统 PKI/CA 设计： 一般采用两级信任域设计， 根一般离线，而面向车联 网各类实体的 CA 在线运行。 V2X 互联 PKI/CA 设计： 考虑不同实体通信过程 中 的隐私保护问题，还 会额 外考虑建设假名类信任域， 防止相关信息泄露。 公钥 根 CA 证 书 签名者 ID: 根 CA 证书的 ID 私钥 根 CA 公钥 签名者 ID: 长期 CA 证书 ID 私钥 长期 CA 根 CA 的签名者 ID 公钥 假名 CA 证 书 签名者 ID: 假名 CA 证书 ID 私钥 假名 CA 根 CA 的签名者 ID 公钥 长期证书 签名者 ID: 长期证书 ID 私钥 长期 CA 的签名者 ID 公钥 假名证书 签名者 ID: 假名证书 ID 私钥 假名 CA 的签名者 ID 分发 长期 CA 证 书 分发 分发 分发 3.2.2 车联网身份及密钥管理应用 -- 身份管 理 为所有通信实体颁发身份 配合主机厂产线系统进行匹配 配合零配件供应商进行流程定 制 配合 4S 店进行在线管理 车载 T-BOX 车厂 车厂根证书 车厂原根证 书（第三方 / 自建 CA 签 发） 车厂根证书 车厂原根证书 新身份标识证 旧书身份标识 证 外联服务书 车厂根证书 车厂原根证书 签名（身份标识） 证加书密证书 旧身份标识证书 车机 HU T-BOX Server 车厂根证书 车厂原根证书 签名（身份标识） 证加书密证书 旧身份标识证书 车厂根证书 车厂原根证书 新身份证书 旧身份证书 16 3.2.3 车联网身份及密钥管理应用—认证加 密 移动终端 APP 根证书 模块证书 汽车控制中心 根证书 模块证书 汽车 ECU 单 元 根证书 模块证书 安全加密通道 操作指令 核心单元控制指令 非核心单元控制指令 ECU 单元操作指令 娱乐系统指令 汽车启动关闭指令 远程系统升级指令 车窗控制指令 汽车状态查看指令 安全加密通道 强身份认证 车厂 / 第三方服务 强身份认证  端到端强身份认证，保证接入安全性；  分层实施有机结合，解决各子系统的安全问题；  基于数字证书的双向身份认证，提供身份合法性依据；  核心单元控制指令和非核心单元控制指令须智能区分；  核心单元指令必须由车厂数据中心监管并下发；  某些涉及系统娱乐等非核心单元指令可由第三方服务商下发； 基于强身份认证建立安全加密通道，最终实现移动终端对车的安全远程控制 指令安全下发 4.1 车机安全应用架 构 一是系统本身可能存在内核漏洞； 二是系统存在被攻击者安装恶意应用的风险； 17 三是第三方应用可能存在安全漏洞，存在信息 泄露、数据存储、应用鉴权等风险 整车车 载控制 器网络 网 关 器网络 1 微控制单元 汽车电子开放系统及 其接口 Linux 4G 模组 WIFI 车载控制 器网络 2 车载控制器网络 车载 娱乐 系统 无线 模块 全球 定位 PV 后 台 第三方 APN1 APN2 远程通信模块 车载控制 通用异 步收发 传输器 通用输 入 / 输 出接口 4G 天 线 安全数字输 入输出卡 通用异步收发传输器 通用串 行总线 GPS 天线 车身、基础数据、控 制指令 娱乐、导航数据 4.2 车载 OTA 应用方 案 OTA 服务平台：为车载终端提供 OTA 服务。 终端 OTA 安全组件：对升级包进行合法性 验证，适配安全升级流程 软件提供商：原始固件升级软件包发布者。 安全服务平台：为 OTA 服务平台提供安 全 服务，包括密钥证书管理服务，数据 加密 服务，数字签名服务等。 软件升级包 OTA 服务平台 软件提供商 安全服务平台 加密机 T-Box OTA 安全组件 网关 OTA 安全组件 软件升级包 ECU ECU ECU …… 软件升级包 FOTA CAN CAN SE Provider 安全元件提供商 4.3 数字钥匙应用架 构 TSM ：可信服务管理器，创建管理连接 移动 UI ： OEM/TSM 和智能设备之间的接口 安全组件 SE ：安全存储在智能设备上 SE Provider: SE 的所有者，它提供对 TSM 的 SE 访问。 SE 提供商代理： SE 提供商的 SE 访问接口。 SE 提供商可以通过专有接口 / 功能访问它。 TUI ：可信用户界面。它通常是 TEE 的一部分。 TEE ：可信执行环境。在主机应用程序处理 器上安全的应用程序 OEM Backend 主机厂后台 可信执行 环境 TUI SE provider Agent 安全元件 （ eSE ， eUICC ） BLE NFC 可信服务管理 移动应用 UI SE Provider Proprietary 主机厂私有协议 主机厂私有协议 4.4.1V2X 应用目标和规 范 LTE-V2X/ 3GPP Release 14 PC5 DSRC/IEEE 1609 密码应用范围：  DSRC 短程通信应用  LTE 蜂窝通信应用  LTE 车车直连通信应 用 4.4.2V2X 安全应用框 架 通信由三个组成部分：车辆、路侧设施和后台服务 安全子系统为车载通信和外部的 V2X 通信提供保护，并通过硬件安全模块（ HSM ）存储密 码 证书、加速密码算法。 路侧设施与车辆具有相同的架构，为车辆通信和固定点之间的通信提供网关功能 广域无线 ( 移动 ) 通信 基础设施 点对点通信 车 | 车 通 信 车辆 板载设备 安全子系统 硬件安全模块 车 | 路 通 信 路边单元 板载设备 安全子系统 硬件安全模块 服务平台 应用更新服务 …… 安全基础设施 公钥基础设施 (PKI) 根证书管理 (RCA) 长期证书管理 (LTCA) 假名证书管理 (PCA) 4.4.3 V2X 安全应用框 架 内部通信：如传感器数据、命令 和信号等，需要进行安全传输以 确保数据不会被篡改； 外部通信：接收方至少需要验证 发送方的真实性和授权特性，以 及所传输数据的完整性； 安全信息：对车辆和路侧设施存 储、交换的数据进行保护，包括 安全存储、安全软件、隐私保护、 数据一致性、数据合理性等。 道路安全 道路交通效率 舒适与灵活性 应用 管理 设施 网络传输 接入 内部通信 外部通信 安全 安全通信 内部通信 外部通信 安全信息 安全软件 数据一致性 和有效性 安全存储 隐私保护 安全管理 证书管理 安全设施管理 安全分析 审计 监控分析 日志分析 安全和隐私策略 策略存储 策略管理 策略执行 密 码 操 作 4.5 车联网应用案例汇总及公司简 介  覆盖政府、金融电信、军工军队、央企等 车联网密码应用先行者：  长春一汽车联网 PKI 项目  长安汽车智能网联数字证书项目  威马汽车车联网 PKI 项目  江铃车联网 PKI 安全项目  泛亚汽车 ECU 软件签名系统项目  比亚迪密码应用标准项目  东风汽车密码应用标准项目  …. …… --- 中国密码应用领航者 IDC 数据： IAM 密码市场占有率连续十年第一 密码应用案例 5000+ 以上 国内首批商用密码定点生产单位之一 国内唯一通过云 PKI 密码项目的主要承建单位 国家公民因私电子护照、国家互联网身份认证项 目 的主要承建单位、国家密码标准的主要召集单位 国家强制视频安全标注 GB35114 的主要参与单位 国家级信息安全共性实验室组建单位、国家视频 实验室成员单位、云安全联盟理事单位 谢谢！