LTE-V2X車聯網安全體系架構及安全營運管理

1、 車聯網系統體系架構

車聯網是以車内網、車際網和車載移動網際網路（車雲網）為基礎，按照約定的通信協定和資料互動标準，在車-X（X：車、路、行人及網際網路等）之間，進行無線通訊和資訊交換的大系統網絡；車聯網（V2X）體系架構包含感覺層、網絡層和應用層，與之相對應，業界稱之為“端、管、雲”。

                                                                        圖1. 車内網、車際網與車雲網

• 感覺層：感覺交通資訊、天氣狀況、路況等資訊。
• 網絡層：通過無線通訊技術、衛星定位導航系統來實作和網際網路的連接配接，完成大量資料傳輸、分析和處理，實作互相通信和遠端控制的目的。
• 應用層：資料回報，并根據網絡層的管道開發各類軟體應用，如地圖導航服務。

                                                                     圖2. LTE-V2X車聯網系統體系架構示意圖

何為“端、管、雲”？

• “端”- 車聯網的“器官”，包括車載終端和道路基礎設施等；
• “管”- 車聯網的“神經”和“血脈”，即傳輸網絡，用于實作車與車、車與人、車與路側單元（RSU）以及車與雲的互聯互通；
• “雲”- 車聯網的“大腦”，即車聯網雲平台，為車聯網提供雲端算力和服務内容。

2、LTE-V2X車聯網系統安全風險

LTE-V2X車聯網系統包含端、管、雲三大方面；是以與之相對應從終端層（車載終端、路側裝置）、網絡層（網絡通信）和應用層（業務應用）三個層面來解析LTE-V2X車聯網系統面臨的安全風險。

2.1  終端層

1）車載終端 - 安全風險

a、接口層面安全風險

• 車載終端一般存在多個實體通路接口，攻擊者可能通過暴露的實體通路接口植入有問題的硬體或更新有惡意的程式，對車載終端進行入侵和控制。
• 車載終端通常有多個無線連接配接通路接口，攻擊者可以通過無線接入方式對車載終端進行欺騙、入侵和控制；

b、裝置層面安全風險

裝置層面安全風險包含：通路控制風險、固件逆向風險、不安全更新風險、權限濫用風險、系統漏洞暴露風險、應用軟體風險以及資料篡改和洩露風險等。

2）路側裝置（RSU）- 安全風險

路側裝置面臨的風險主要包含：

• 非法接入：RSU通常通過有線接口與交通基礎設施及業務雲平台互動。黑客可以利用這些接口接入RSU裝置，非法通路裝置資源并對其進行操作和控制，進而造成覆寫區域内交通資訊混亂。
• 運作環境風險：與車載終端類似，RSU中也會駐留和運作多種應用、提供多種服務，也會出現敏感操作和資料被篡改、被僞造和被非法調用的風險。
• 裝置漏洞：路側裝置及其附件可能存在安全漏洞，導緻路側裝置被安全控制、入侵或篡改。
• 遠端更新風險：通過非法的遠端固件更新可以修改系統的關鍵代碼，破壞系統的完整性。
• 部署維護風險：路側裝置固定在部署位置後，可能由人為因素或交通事故、風、雨等自然原因導緻調試端口或通信接口暴露或者部署位置變動，降低了路側裝置實體安全防禦能力，使破壞和控制成為可能。

2.2 網絡層

1）網絡通信 - 安全風險

a、 蜂窩通信接口（Uu）

蜂窩通信接口場景下的安全風險：假冒終端、僞基站、信令/資料竊聽、信令/資料篡改/重放等；

• 非法終端可以假冒合法終端的身份接入營運商的蜂窩網絡，占用網絡資源，擷取網絡服務。
• 假冒合法終端身份，發送僞造的網絡信令或業務資料資訊，影響系統的正常運作。
• 攻擊者部署虛假的LTE網絡基站并通過發射較強的無線信号吸引終端選擇并接入，造成網絡資料中斷，直接危害車聯網業務安全。
• 利用LTE-Uu接口的開放性以及網絡傳輸鍊路上的漏洞，攻擊者可以竊聽車聯網終端與網絡間未經保護直接傳輸的網絡信令/業務資料

b、 直連通信接口（PC5）

短距離直連通信場景下的安全風險：虛假資訊、假冒終端、資訊篡改/重放、隐私洩露等；

• 利用PC5無線接口的開放性，攻擊者可以通過合法的終端及使用者身份接入系統并且對外惡意釋出虛假資訊
• 攻擊者可以利用非法終端假冒合法車聯網終端身份，接入直連通信系統，并發送僞造的業務資訊；
• 攻擊者可篡改或重放合法使用者發送的業務資訊。
• 攻擊者可以監聽擷取廣播發送的使用者辨別、位置等敏感資訊，進而造成使用者身份、位置等隐私資訊洩露；

2.3 應用層

1）業務應用 – 安全風險

LTE-V2X業務應用包括基于雲平台的業務應用以及基于PC5/V5接口的直連通信業務應用。

a、基于雲平台的業務應用 - 以蜂窩通信為基礎；面臨的安全風險包括：假冒使用者、假冒業務伺服器、非授權通路、資料安全等。

•  攻擊者可以假冒車聯網合法使用者身份接入業務伺服器，擷取業務服務；
• 非法業務提供商可以假冒車聯網合法業務提供商身份部署虛假業務伺服器，騙取終端使用者登入，獲得使用者資訊。
• 在未經通路控制的情況下，非法使用者可以随意通路系統業務資料，調用系統業務功能，使系統面臨着資訊洩露及功能濫用的風險。
• 業務資料在傳輸、存儲、處理等過程中面臨着篡改、洩露等安全風險；

b、 直連通信業務應用 - 以網絡層PC5廣播通道為基礎，在應用層通過V5接口實作，面臨的安全風險包括：假冒使用者、消息篡改/僞造/重放、隐私洩露、消息風暴等安全風險。

利用PC5/V5無線接口的開放性：

• 攻擊者可以假冒合法使用者身份釋出虛假的、僞造的業務資訊，篡改、重放真實業務資訊，造成業務資訊失真、嚴重影響車聯網業務安全；
•  攻擊者可以在V5接口上竊聽傳輸的業務資訊，擷取使用者身份、位置、業務參數等敏感資料，造成使用者隐私洩露；
• 攻擊者還可以通過大量發送垃圾資訊的方式形成消息風暴，使終端處理資源耗盡，導緻業務服務中斷。

3、LTE-V2X車聯網系統安全架構

3.1 蜂窩通信場景系統安全架構

                                                                    圖3. 蜂窩移動通信場景下LTE-V2X安全架構

蜂窩通信場景下，LTE-V2X車聯網系統安全架構包含如下八個安全域：

（1） 網絡接入安全：車聯網終端接入到LTE網絡的信令及資料安全，包括接入層安全和非接入層安全。

（2） 網絡域安全：LTE系統網元之間信令及資料互動安全，包括LTE接入網與服務網絡之間，服務網絡與歸屬網絡之間的安全互動。

（3） 認證及密鑰管理：車聯網終端與LTE網絡的接入認證及密鑰管理。

（4） 車聯網業務接入安全：車聯網終端與V2X控制功能之間的安全。

（5） 車聯網業務能力開放安全：V2X控制功能與LTE-V2X業務提供方之間的安全。

（6） 網絡安全能力開放：LTE系統向應用層開放網絡層安全能力，提供雙向身份認證及密鑰協商服務。

（7） 應用層安全：車聯網終端應用和LTE-V2X業務提供方在應用層提供的資料通信安全和使用者隐私安全。

3.2  直連通信場景系統安全架構

                                                             圖4. 直連通信場景下的LTE-V2X安全架構

直連通信場景下，LTE-V2X車聯網系統安全架構包含如下五個安全域：

（1） 網絡層安全：車聯網終端在網絡層提供的資料通信安全和使用者隐私安全。

（2） 安全能力支撐：網絡層向應用層提供的安全能力支撐，保護使用者隐私資訊。

（3） 應用層安全：車聯網終端在應用層提供的資料通信安全和使用者隐私安全。

（4） 車内系統及接口安全：車内系統與車載終端之間資料通信安全和使用者隐私安全。

（5） 外部網絡域安全：RSU裝置與其他網絡域裝置之間的接入及資料互動安全。

3、車聯網安全營運與管理

車聯網安全營運及管理體系是一套完整的系統安全解決方案，基本結構如下圖所示，它從采集、檢測、發現、評估、調查和響應等環節對車聯網安全事件進行生命周期的檢測和管理。

                                                                        圖5. 車聯網安全營運及管理體系

車聯網安全營運與管理體系包含以下三個層次：

1）資料采集層

資料采集層主要負責車聯網安全事件及V2X應用異常行為的采集。該層收集各類安全事件，包括：入侵檢測和防禦（IDPS）事件、車内各子產品的安全事件、OEM和需提供內建商（OEM&SI）提供的安全事件和其他途徑擷取的安全事件，并上報到安全營運管理平台。該平台将收集和存儲上報的大量資訊安全相關資訊。

2）資料處理層

資料處理層主要負責車聯網安全事件的分析和處理。除了從資料采集層收集資訊外，該層還會從第三方收集車聯網安全情報，然後進行分析、去重，并結合曆史威脅及威脅情報，降低事件的誤報率，通過安全事件處理機制，派發工單，對安全事件進行處理。

3） 可視化層

可視化層主要負責車聯網威脅和風險的可視化呈現，這部分給營運人員呈現一個威脅可讀、可視、可感覺的平台，對曆史安全事件進行留存，便于事件調查、分析和驗證。

參考資料：

1. 車聯網安全技術與标準發展态勢前沿報告（中國通信學會）

2. LTE-V2X安全技術（IMT-2020（5G）推進組）