一、车联网安全需求分析
当前,随着以“智能化(自动驾驶)、联网化(车联网)、清洁化(新能源)、共享化”为代表的汽车“新四化”加速发展,车联网V2X技术成为技术发展趋势,我国已将车联网产业上升到国家战略高度,产业政策持续利好。车联网技术标准体系已经从国家标准层面完成顶层设计,越来越引起产业链的重视。
1、车联网安全关系到联网汽车安全和个人信息安全
车联网V2X实现车辆的联网同时会将车辆以及人直接暴露于网络,其系统的组成架构、通信场景对系统安全保障、用户隐私保护等方面提出了新的需求与挑战。应支持对消息的完整性及抗重放保护,防止消息被篡改、重放;根据需要可支持消息的机密性,保证消息在传输时不被窃听,防止用户私密信息泄露。
2、车联网安全承载了政府监管部门的监管以及业务需求
国家政府监管部门对车辆的监管一直受到法律以及政策的支持,也存在于我们的日常用车生活中,包括电子车牌,ETC电子收费等等。研究发现,车辆业务相关的的一些安全载体多采用独立硬件形式,少部分采用软件实现或者TEE方式,硬件安全载体分属于不同的政府监管部门或者行业机构。
其中eSIM应用负责用户身份鉴权,确认联网用户身份是否合法,鉴权过程是在是在网络和SIM卡之间进行的,而鉴权时间一般是在移动终端登记入网和呼叫时。
电子车牌应用,相当于车辆的“身份证”,通过V2X通信对各辆机动车电子车牌上的数据进行采集或写入,达到各类综合交通管理的目的。
V2X应用,智能网联车V2X通信时,身份认证以及加密通信的服务。
OBE-SAM,即ETC电子收费的鉴权认证模块,可以与路测单元RSU通信认证实现电子收费。
重型柴油车T-BOX SE,由生态环境部环境科学研究院主导,主要是为了实时监测大型柴油车尾气排放,并通过基于SE安全模块的PKI技术防止数据伪造。
随着智能网联车时代的到来,车载设备(OBU/T-BOX)为了实现多业务需求,需要融合V2X车联网的新兴安全需求,也要提供融合国家政府监管部门安全载体的整体方案。
二、目前车联网安全硬件载体存在的HSM的问题
车载设备(OBU/T-BOX)一些涉及到密码算法的应用,部分采用软件实现或者TEE方式实现,短期来看部署灵活,升级也方便。但是非硬件实现安全级别不够,而且无法和国家政府监管部门安全载体经行融合。
也有部分安全密码采用硬件载体的方案,这种以美国,欧洲等为代表。例如将可信计算启动TPM,移动网络入网鉴权eSIM,V2X的消息签名验签密钥存储等使用硬件HSM,而更丰富的业务密码需求则交给TEE。
以上的两种方案显然没有充分考虑中国的实际情况,国家政府监管部门安全载体安全需求才是主体,我们在规划车载设备(OBU/T-BOX)联网安全时一定要实现多业务融合需求,但是全硬件实现会是最终解决方案么?根据上表的不完全统计,车载终端的HSM多达七八种,如果都独立运行会导致车载终端设计冗杂,成本升高,可靠性降低。
可以预想将来的车载终端设备外挂多颗安全芯片载体!
三、车联网复合HSM解决方案
假如定义一种高性能eSIM(车联网复合HSM),统一硬件载体,统一接口通信,支撑多应用。前面提到的问题在技术层面将迎刃而解。
在HW层使用高性能大容量的安全密码芯片作为载体,在硬件层之上开发平台OS,提供统一的调度接口,并实现多应用的逻辑隔离。
在AP主控内部,基于统一的HSM API接口,实现各个业务应用的SDK,从而实现多应用的支持,复合HSM为V2X消息认证,电信eSIM,ETC电子收费,电子车牌,汽车尾气监测HSM等提供统一的算法支持。
四、实施可行性
车联网复合HSM方案在技术上是一种集约化,同时保证不同应用安全的方案。但是该方案在可行性方面也存在一些问题,例如多政府监管部门的沟通协同,“车联网复合HSM”的发行安全保障等,硬件HSM平台的性能支撑等。
1、多政府监管部门的沟通协同
该“车联网复合HSM”能够帮助原有业务顺利接入车联网V2X平台,符合未来技术趋势,也是多政府建管部门安全业务接入车联网技术的必经之路。不影响原有的行业技术规范前提下,可以逐个主管单位试点调试。移动运营商的UICC曾经在移动支付中做过融合尝试,将电信SIM功能和央行的PBOC支付功能融合到一张SWP SIM卡上。在复合HSM应用中,也可以由移动运营商牵头,定义高性能eSIM产品,提供移动网络接入服务+安全框架服务。
2、发行过程的安全保障
如果将多个应用建立在一个平台platform上面,如何保证各个应用安全独立互不影响,在发行过程中初始化个人化的密钥如何传递灌装都是涉及到安全的的根本问题。首先,需要平台platform保持各个应用独立,例如遵循GP规范实现。其次发行过程可以由第三方角色保证,卡商具有金融,交通,电信等多种发行资质的角色,技术上有方案,法律上有保证。各个应用主体可以将初始化数据提供卡商,由卡商完成不同的应用初始化。另外也可以通过移动运营商USIM的GBA机制,实现安全通道,为其他的应用证书/密钥空发提供技术支撑。
移动运营商通过GBA通道将C-V2X证书安全配置在通信模组及OBU终端上,实现了设备安全的“一键配置”。
3、车联网复合HSM芯片支持
车联网复合HSM融合了多种安全应用,不同的应用调用密码算法,存储空间,通信接口时间具有随机性,所以需要考虑对数据并发响应的支持。
通信带宽,例如V2X应用的验签一项,对通信接口的吞吐速率就要1.2Mbps,这就决定了在电信运营商SIM应用,高速公路收费ETC OBE-SAM应用领域广泛使用的ISO7816接口性能是无法满足的,至少要使用SPI或者USB等通信接口。
算法性能,按照车联网节点饱和数量175 辆计算,每个节点对外消息发送频率为10 条/秒,那么保守计算对V2X HSM的验签性能要求要达到>2400 次/秒(参考 3GPP TR 36.885 Study on LTE-based V2X services)。
存储空间,支持多个应用需要代码存储空间,需要数据存储空间存储文件,密钥,证书等,flash存储空间至少要在1M以上。
幸运的是,国内一些芯片厂商已经完成符合需求的芯片产品,例如天津国芯的CCP903T-L,上海芯钛的M2000,信大捷安的XDSM3275等,实现车联网复合HSM方案,需要产业链上下游通力合作,用一种安全级别高,成本低,方案简单的解决方案为车联网安全提供一种思路。
本文作者:天津国芯科技有限公司 李煜 ; 中国移动研究院 刘辉
