智能网联汽车商用密码应用解决方案

1.1.1 方案概述

为了应对XXX车型搭载V2X功能后在跨企业的车车、车路等车路协同通信场景中由于网络信任体系缺失引发的信息安全问题，需要建立基于V2X车路协同通信场景的V2X 安全证书管理系统，构建统一的车、路、云、端身份认证体系，保障与不同企业的车辆在通信过程中的安全互认。

V2X安全证书认证管理系统（Security Certificate Management System，简称SCMS）建设，实现V2X通信中的身份认证、安全传输、数据完整性、有效性等安全特性，解决当前车与车、车与路边单元、车与云、车与人通信的安全隐患，为智能网联汽车应用发展建立一个安全的网络运行环境。

1. 方案背景

在二十大报告中，“安全”一词也被多次提及，在经济领域包括要确保粮食、能源资源、重要产业链供应链安全。

车联网安全风险突出、安全威胁严重，安全形势亟待改善，安全防护水平急需提升。主要面临以下几个风险：

（1）通常车路端设备常年暴露在户外、野外等情况，车联网的安全更加容易受到安全威胁，轻则造成汽车失窃、个人隐私数据泄露，重则造成汽车失控，危害人员生命安全。

（2）目前我国C-V2X直连通信标准体系已初步形成，制定了一系列适用于C-V2X的技术标准，但是在车云、路云场景中仍使用的是传统的X.509公钥证书体系来实现V2N通信安全，这在已不适应在车联网高速直连场景的应用需求。

（3）工业互联网信息系统比如车联网服务平台、车联网数据等服务平台大部分部署于云端，还面临着来自云上安全风险的威胁。

（4）方案基于密码技术解决了以上几个车联网应用的痛点，并且在车联网应用上率先通过了密评，是工业互联领域国产密码有效应用的、具有示范性的案例。同时方案还具备以下几个特点：

Ø工业互联密码服务模式，快速覆盖全车系

Ø工业互联多场景密码应用，车云网一体化安全

Ø工业互联建立跨控制器间加密信道，实现车内通信安全

Ø工业互联构建统一的多算法多协议的密码服务平台

Ø工业互联实现AUTOSAR协议国密改造，推动自主可控

Ø工业互联发挥密码特性，应用整车数据安全

2. 方案简介

上汽零束 OTA、TSP、数据工厂、SOA开发者平台等车联业务平台的安全、可靠、稳定的 运行，需满足密码评定三级和等级保护三级的合规性需求。为了深入推进上海市重要领域密码应用，进一步提升重要网络和信息系统的安全防护能力，依据国家密码管理局《信息安全等级保护商用密码管理办法》，上海市密码管理局下 发了《信息安全等级保护商用密码技术应用指南》(以下简称《应用指南》)。《应用指南》提到了，重要网络和信息系统应当采用国产密码进行保护，密码应用系统方案属于安全方案的有机组成部分，选用的商用密码产品应当是国家密码管理局部分准予销售的产品。

为了落实和贯彻国家密码管理局和上海密码管理局等国家有关部门信息安全工作要求，全面完善信息安全防护体系，提高整体信息安全防护水平。系统建设需要满足《信息系统安全等级保护基本要求》(以下简称《基本要求》)，在《基本要求》中，采用密码技术，多数安全功能(如身份鉴别、访问控制、数据完整性、数据保密性、抗抵赖等)为了获得更高的强度，均要基于密码技术，为了保证信息系统整体安全防护能力，应建立基于密码技术的统一支撑平台，支持高强度身份鉴别、访问控制、数据完整性、数据保密性、抗抵赖等安全功能的实现。对于涉及到身份的真实性、行为的抗抵赖、内容的机密性和完整性的要求项，密码技术都可以直接或间接地提供支持。

3. 方案目标

（1）总体目标

通过部署V2X安全证书管理系统，实现：以《基于LTE的车联网通信技术安全证书管理系统技术要求》为标准，建立车-路协同互认的C-V2X通信加密保护和安全认证体系，配合推动车联网C-V2X产业加速落地，构筑下一代安全、高效的智慧出行生活。

（2）功能目标

通过 V2X PKI 信息安全体系的建设，实现对所有参与车-路协同业务实体对象的强身份表达；

保障车机设备与路侧设备信息传递的敏捷性、完整性，并实现车和路侧设备的隐私数据不被泄漏。

（3）技术目标

搭建V2X-PKI认证体系，并能根据需要及时颁发注册证书、假名证书、应用证书、身份证书；

能对证书状态进行定期维护和发布；

注册证书、假名证书、应用证书、身份证书生命周期管理；

路侧单元与车载单元通信前基于V2X证书执行强身份认证；

在保证路侧单元与车载单元通信数据实时传递的同时，实现传输数据的完整性、机密性和可靠性保护，避免中间人攻击；

在保证路侧单元与车载单元通信数据实时传递的同时，依托假名证书池技术实现传输数据的隐私性保护，避免被非授权设备定向跟踪。

1.1.2 方案实施概况

1. 方案总体架构

上汽集团基于传统PKI技术和V2X PKI技术建设了工业互联网可信体系，涵盖云管端上的可信标识、身份认证、加解密、安全存储和密钥管理等。

图6-0  集团密码服务体系

该架构实现了车载端到车云端软硬件一体化的整体解决方案。红色部分为本次建设的密码服务平台和车端安全芯片提供了基础的密码支撑服务。

l云安全服务平台：基于密码服务平台为车联网应用提供完整的云端系统安全解决方案，全面支撑车联网下的V2N车云认证、FOTA安全、数字钥匙、第三方内容认证等应用安全需求。

l车载安全子系统（VSS）：基于安全芯片（Mizar M系列）的商用密码计算能力为各类车载控制器（ECU）提供完善的安全子系统功能，支撑车辆控制器的安全管理、软件保护、安全通信SecOC等应用安全需求。

2.技术路线

（1）密码服务平台

密码服务平台逻辑架构由密码资源池、密码机虚拟层、密码服务层、密码服务接口和平台管系统等构成。

图6-1密码服务平台

（1）通用密码服务功能

通用密码服务基于虚拟密码机，通过标准API接口为业务应用加密/解密、签名/验签、杂凑运算、消息鉴别码产生和验证、密钥管理等通用密码服务。

（2）典型密码服务功能

Ø安全认证网关服务：安全认证网关服务在工业互联环境中，围绕通信

网络传输安全、安全区域边界及应用安全支撑等方面实现基于数字证书的身份认证与访问控制。

Ø签名验签服务：签名验签服务具有数据加解密、签名、验签、MAC、杂凑、数字信封、数字证书管理等功能，支持SM2/SM3/SM4国密算法。

Ø存储加解密服务：存储加密服务为应用提供本地设备一样访问远端或云端的存储路径，本地应用产生的数据通过安全加密存储网关以密文形式上传到对应存储设备。

Ø数据库加解密服务：数据库加解密服务提供数据库软件进行整库加密的能力。对于数据库软件提供存储时进行信息加密，读取时进行信息解密的机制。

（2）车载安全子系统

车载安全子系统包含安全管理模块、密码引擎模块、安全配置模块，在基础模块之上支撑了车载应用安全模块。基于车规级安全芯片的国密计算能力，可支持车云认证及车云通道的建立、Secure FOTA、OBD接口的安全诊断、车内安全通信SecOC、车控指令的加密传输、车辆防盗检测等安全场景下的商用密码的应用需求。

图6-2车载安全子系统

安全模块

l芯片管理：SS通过安全芯片的密码计算能力对外提供基础的安全存储、密钥管理、密码算法等功能。芯片支持SM2/SM3/SM4算法。

l密钥管理：统一管理SeoOC通信，车控指令加解密，应用数据传输，车辆防盗等业务所需的对称密钥，包括密钥的生成、导出、变更、销毁。

l安全存储：使用VSS内部的加密算法，对系统业务密钥和敏感数据做安全存储。

l安全SDK：车载安全子系统提供的安全接口如下图所示：

图6-3车载安全子系统接口

3.工业互联典型应用场景

（1）FOTA车云安全

在FOTA流程中面临的风险主要包括传输风险和升级包篡改风险，车载安全支撑系统配合云端OTA服务器完成安全FOTA，为FOTA升级的安全提供保障。

图6-4  FOTA安全

（2）OBD诊断安全

由于通常CAN总线不加密不认证，攻击者可以轻易伪造CAN总线报文或者获取车辆敏感数据，OBD诊断接口安全也是当前主机厂关注的要点。车载安全支撑系统支持OBD诊断接口接入设备的身份认证，为OBD诊断接口的安全提供保障。认证流程如下图所示：

图6-5  OBD诊断安全

（3）C-V2X应用安全

图6-6  C-V2X

如上图所示，为保障V2X场景下设备间的安全认证和安全通信，基于国密SM2算法的PKI机制，并采用数字签名等技术手段实施V2V（车-车）/V2I（车-基础设施）/V2P（车-行人）直连通信安全。将数字身份认证技术应用于车联网通信中，实现车载设备、路侧设备、应用服务商等各个角色的相互认证，保证通信消息来源的真实性，有效做到防重放、防止中间人攻击、防止身份假冒等。为依托车联网通信技术实现的安全预警和效率提升等车联网应用提供关键的基础安全保障。

1.1.3 下一步实施计划

后续将在现有认证的服务模式下，深化服务内容，结合跨域交易的业务情况，提供跨域签章、跨域签名等更深层次的安全保障服务，实现进一步的安全服务。通过商用密码技术与V2X技术深度结合的典型应用，通过部署满足商用密码技术和管理要求的V2X安全证书管理系统SCMS，以国家通信行业标准《基于LTE的车联网通信技术安全证书管理系统技术要求》为指导，建立了车联网联汽车试验场地车-路协同互认的LTE-V2X通信加密保护和安全认证体系，推动了车网联汽车试验场地智能网联V2X产业加速落地，构筑了下一代安全、高效的智慧出行生活示范应用。在各通信实体身份认证、数据校验及保护等方面本案例都充分利用了商用密码高安全、高效率、高可用等特性，实现了V2X通信安全防护的业务要求，为国内车网联建设提供了可参考、可复制的先行经验，其未来前景可期。

1.1.4 方案创新点和实施效果

1.先进性

（1）工业互联密码服务模式，快速覆盖全车系

与传统面向单车单厂建立一套独立的密码服务体系模式不同，我们采用云密码多租户的服务模式，系统架构上具备的弹性部署能力和应用对接的标准化能力的特色，可以适应各种企业规模。既可以适用单个车机厂，也可以适应整个集团下所有车机厂。

可以为集团建立了一套整体的密码服务架构，其中不同的车厂可以看做不同的租户，不同的车型看做不同的应用，通过系统的弹性部署能力，快速创建多租户多应用的方式，将密码支撑能力快速复制到多车厂，或者多车型，最终达到覆盖全车系的效果。

（2）工业互联多场景密码应用，车云网一体化安全

方案面向车、云、网三个维度提供了一个完整的解决方案。在云端，通过密管平台可以快速建立了一个密码支撑体系，基于云应用的模式，可以实现对应用快速部署密码服务支撑的能力，应用通过低代码的标准化的接口，可以快速批量对接密码服务能力。

在车端，车载安全方案通过M系列安全芯片将安全能力进行了全链路的覆盖，涵盖了包括车载中央网关、T-Box网联部件、车内娱乐系统、智能座舱、智驾域控制、电控单元、电机控制单元、车身控制模块以及空调控制等控制设备，并且通过统一的开发接口，可以快速复制对接新车型，可以快速为车身安全赋能，属于早期具备了在行业中进行全链路国产密码应用推广能力的方案。目前，已经定点应用于上海的两家大型汽车厂（OEM）。

（3）工业互联建立跨控制器间加密信道，实现车内通信安全

车端侧，基于安全芯片建立的车载安全子系统的密码支撑能力相对更广泛的覆盖了整车部件。在场景上，从安全启动，到车内模块之间的通讯，包括模块之间的车云认证；在OTA远程升级安全、远程诊断防火墙、安全虚拟车钥匙等业务中证书的签名、验证都使用国密SM2、SM3算法代替国际算法ECC和SHA；在车内通信、车控指令、应用数据、安全数据传输等使用对称密钥的业务场景，全面使用国密算法SM4代替AES等国际算法，实现了自主可控。

2.创新点

（1）工业互联构建统一的多算法多协议密码服务平台

方案构建了统一的多算法多协议的服务平台，可以基于统一的管理界面对人、车、终端进行证书管理；在整个密码服务生态里面，兼容了不同体系，包括传统的X509，V2X PKI体系。密码支撑能力覆盖了多个协议，包含了面向车云的协议，面向端到端的C-V2X直连协议，面向车内的AUTOSAR协议。

（2）工业互联实现AUTOSAR协议国密改造，推动自主可控

汽车开放系统架构（AUTomotive Open System Architecture）是一家致力于制定汽车电子软件标准的联盟。各伙伴公司携手合作，致力于为汽车工业开发一个开放的、标准化的软件架构。AUTOSAR这个架构有利于车辆电子系统软件的交换与更新，因此应用的非常广泛，很多全世界行业大厂都是AUTOSAR成员。

我们在工业互联场景里实现了AUTOSAR对国密协议的底层支持。在AUTOSAR架构的SecOC通信组件中，将加解密运算和验证接口替换为VSS车载安全子系统中的国密SM4算法接口，完成国密与AUTOSAR的底层支持。

（3）工业互联发挥密码特性，应用整车数据安全

把握汽车数据的法规需求，制定汽车数据安全分类分级制度规范，按照数据全生命周期，从汽车数据采集、传输、存储、利用、共享、出境、销毁、备份恢复等环节分别明确汽车数据安全需求。通过商用密码技术构建零束的汽车数据安全技术防护体系，防范数据泄露、篡改、滥用等风险，全面保障汽车数据安全合规。

3.标准符合性

根据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》，本方案的密码支撑目标是终端、用户与云上系统之间的“设备和计算安全”、“应用和数据安全”以及“网络和通信安全”。

4. 实施效果

（1）工业互联场景下车载密码应用合规要求

本方案于2022.5.20日过密评。属于工业互联网行业中通过密评比较早的企业。对于同类的规划具有相当的示范作用。在集团里，既有传统的PKI，又有新兴的V2X PKI系统，既有软件的密码模块，又有车规级的安全芯片，既有移动端的安全风险，又有云的安全风险。这样一个复杂的场景中，我们探索出了一个满足合规的解决方案，在集团这里得到了较好验证和应用，对处于同样类型的企业具备相当的示范效应。

（2）工业互联全面全域提升整车安全性

VSS车载安全子系统在车辆各类控制器（ECU）上的安全部署以构建一个完整的防护体系，支撑车辆控制器的各类安全需求，包括有车辆身份认证、远程安全通信、安全固件升级、安全诊断防火墙、车内安全通信以及车控指令加密等。该产品无需车企或者零部件供应商改动原先的硬件单元，而只需要在相关控制芯片中加入算法包实现通信安全。因此相较于其他硬件安全方案的部署，VSS软件产品在诸如底盘、动力、车身控制等成熟度较高的车辆电子电气域中有着较为明显的优势与竞争力。

（3）推动工业互联各领域车厂密码应用落地

密码服务平台基于云原生理念，面向车企各部门的应用系统，提供“即申请，即调用，即服务”的密码基础服务，从实际效果反馈，简化上云的复杂度，降低上云成本，降低上云对接时间，基于该模式的密码应用已经在上海电子政务XC云上得到了广泛应用，在实际应用中，因为接口的标准性，同一家开发商的多个应用均可以批量复制，实现短时间快速对接了大量的应用。另外弹性按需申请的模式，也大量节约了密码服务建设费用和使用费用。同时因使用费用降低，得到了更广泛的应用，带来安全性也产生了巨大的社会效益。

（4）建设工业互联上海V2X根体系

建立了上海的V2X 根体系，实现上海范围内不同主机厂车辆，不同V2X PKI体系的互通互信。其中V2X 业务体系已对接工信部全国V2X PKI根体系的能力，可支持各类车联应用对全国范围的覆盖，可助力国家统一大市场的宏观规划。

（5）加快推动软件定义汽车，助力汽车新零售模式