IMT20205G推进组LTEV2X安全技术白皮书2019725页

IMT-2020(5G)推进组LTE-V2X安全技术白皮书目录1概述2LTE-V2X车联网系统安全风险3LTE-V2X车联网系统安全需求4LTE-V2X车联网系统安全架构及机制5总结与展望6主要贡献单位P1P2P6P8P21P22IMT-2020(5G)推进组LTE-V2X安全技术白皮书IMT-2020(5G)推进组于2013年2月由中国工业和信息化部、国家发展和改革委员会、科学技术部联合推动成立，组织架构基于原IMT-Advanced推进组，成员包括中国主要的运营商、制造商、高校和研究机构。推进组是聚合中国产学研用力量、推动中国第五代移动通信技术研究和开展国际交流与合作的主要平台。IMT-2020(5G)推进组LTE-V2X安全技术白皮书C-V2X是基于蜂窝（Cellular）通信演进形成的车用无线通信技术（VehicletoEverything,V2X）技术，可提供Uu接口（蜂窝通信接口）和PC5接口（直连通信接口）。基于LTE网络的V2X通信技术作为C-V2X现阶段主要解决方案,引起了国内外政府、汽车、芯片、电子设备及网络设备、交通管理、电信运营、业务服务以及学术界等各行业的广泛关注,得到了全球运营商、汽车厂商的普遍支持。LTE-V2X车联网系统的组成架构、通信场景对系统安全保障、用户隐私保护等方面提出了新的需求与挑战。本白皮书在安全风险分析的基础上，深入研究LTE-V2X车联网系统信息安全需求及机制，同时结合我国实际情况，试验性提出车联网安全基础设施部署方案，为我国LTE-V2X商用系统实际部署以及LTE-V2X车联网业务数据安全和用户隐私保护方案提供参考。1概述1IMT-2020(5G)推进组LTE-V2X安全技术白皮书2LTE-V2X车联网系统安全风险2LTE-V2X车联网系统包含云、管、端几大方面，系统架构如图2-1所示。本节从网络通信、业务应用、车载终端、路侧设备等方面论述LTE-V2X车联网系统面临的安全风险。图2-1LTE-V2X车联网系统示意图2.1网络通信2.1.1蜂窝通信接口蜂窝通信接口场景下，LTE-V2X车联网系统继承了传统LTE网络系统面临的安全风险，主要有假冒终端、伪基站、信令/数据窃听、信令/数据篡改/重放等。在未经保护的情况下，非法终端可以假冒合法终端的身份接入运营商的蜂窝网络，占用网络资源，获取网络服务。同时，假冒合法终端身份，发送伪造的网络信令或业务数据信息,影响系统的正常运行。攻击者部署虚假的LTE网络基站并通过发射较强的无线信号吸引终端选择并接入，造成网络数据IMT-2020(5G)推进组LTE-V2X安全技术白皮书3连接中断，直接危害车联网业务安全。利用LTE-Uu接口的开放性以及网络传输链路上的漏洞，攻击者可以窃听车联网终端与网络间未经保护直接传输的网络信令/业务数据，获取有价值的用户信息，例如短消息、车辆标识、状态、位置等，造成用户隐私泄露；攻击者可以发起中间人攻击，篡改车联网终端与网络间未保护直接传输的网络信令/业务数据，或者重新发送过期的网络信令/业务数据，导致网络服务中断或者业务数据错误，出现异常的行为及结果，危害LTE-V2X车联网业务安全。2.1.2直连通信接口不论是基站集中式调度模式（Mode3）还是终端分布式调度模式（Mode4），直连传输的用户数据均在专用频段上通过PC5接口广播发送，因此短距离直连通信场景下LTE-V2X车联网系统在用户面面临着虚假信息、假冒终端、信息篡改/重放、隐私泄露等安全风险。利用PC5无线接口的开放性，攻击者可以通过合法的终端及用户身份接入系统并且对外恶意发布虚假信息；攻击者可以利用非法终端假冒合法车联网终端身份，接入直连通信系统，并发送伪造的业务信息；攻击者可以篡改或者重放合法用户发送的业务信息，这些都将影响车联网业务的正常运行，严重危害周边车辆及行人的道路交通安全。此外，利用PC5无线接口的开放性，攻击者可以监听获取广播发送的用户标识、位置等敏感信息，进而造成用户身份、位置等隐私信息泄露。严重时，用户车辆可能被非法跟踪，直接威胁着用户的人身安全。除了用户面数据交互，Mode3模式下车联网终端及UE型路侧设备还需接收LTEeNB基站下发的无线资源调度指令。因此，在Mode3模式下V2X系统同样面临着：伪基站、信令窃听、信令篡改/重放等安全风险。2.2业务应用LTE-V2X业务应用包括基于云平台的业务应用以及基于PC5/V5接口的直连通信业务应用。基于云平台的应用以蜂窝通信为基础，在流程、机制等方面与移动互联网通信模式相同，自然继承了“云、管、端”模式现有的安全风险，包括假冒用户、假冒业务服务器、非授权访问、数据安全等。在未经认证的情况下，攻击者可以假冒车联网合法用户身份接入业务服务器，获取业务服务；非法业务提供商可以假冒车联网合法业务提供商身份部署虚假业务服务器，骗取终端用户登录，获得用户信息。在未经访问控制的情况下，非法用户可以随意访问系统业务数据，调用系统业务功能，使系统面临着信息泄露及功能滥用的风险。业务数据在传输、存储、处理等过程中面临着篡改、泄露等安IMT-2020(5G)推进组LTE-V2X安全技术白皮书4全风险。直连通信应用以网络层PC5广播通道为基础，在应用层通过V5接口实现，该场景下主要面临着假冒用户、消息篡改/伪造/重放、隐私泄露、消息风暴等安全风险。利用PC5/V5无线接口的开放性，攻击者可以假冒合法用户身份发布虚假的、伪造的业务信息，篡改、重放真实业务信息，造成业务信息失真，严重影响车联网业务安全；同时，攻击者可以在V5接口上窃听传输的业务信息，获取用户身份、位置、业务参数等敏感数据，造成用户隐私泄露；此外，攻击者还可通过大量发送垃圾信息的方式形成消息风暴，使终端处理资源耗尽，导致业务服务中断。2.3车载终端车载终端承载了大量功能，除了传统的导航能力，近年来更是集成了移动办公、车辆控制、辅助驾驶等功能。功能的高度集成也使得车载终端更容易成为黑客攻击的目标，造成信息泄露，车辆失控等重大安全问题。因此车载终端面临着比传统终端更大的安全风险。1、接口层面安全风险车载终端可能存在多个物理访问接口，在车辆的供应链、销售运输、维修维护等环节中，攻击者可能通过暴露的物理访问接口植入有问题的硬件或升级有恶意的程序，对车载终端进行入侵和控制。另外，车载终端通常有多个无线连接访问接口，攻击者可以通过无线接入方式对车载终端进行欺骗、入侵和控制。如通过卫星或基站定位信号、雷达信号进行欺骗，无钥匙进入系统入侵等。2、设备层面安全风险访问控制风险：当车载终端内、车载终端与其它车载系统间缺乏适当的访问控制和隔离措施时，会使车辆整体安全性降低。固件逆向风险：攻击者可能通过调试口提取系统固件进行逆向分析。设备的硬件结构、调试引脚、Wi-Fi系统、串口通信、MCU（MicrocontrollerUnit）固件、CAN总线数据、T-BOX指纹特征等均可能被逆向分析，进而利用分析结果对终端系统进行进一步攻击。不安全升级风险：黑客可能引导系统加载未授权代码并执行，达到篡改系统、植入后门、关闭安全功能等目的。权限滥用风险：应用软件可能获得敏感系统资源并实施恶意行为（如GPS跟踪，后台录音等），给行车安全和用户信息保护带来了很大的安全隐患。系统漏洞暴露风险：如果系统版本升级不及时，已知漏洞未及时修复，黑客可能通过已有的漏洞IMT-2020(5G)推进组LTE-V2X安全技术白皮书5利用代码或者工具能够对终端系统进行攻击。例如，黑客可能利用漏洞提权或关闭安全功能，发送大量伪造的数据包，对车载终端进行拒绝服务攻击。应用软件风险：车载终端上软件很多来自外部，可能缺少良好的编码规范，存在安全漏洞。不安全的软件一旦安装到设备上，很容易被黑客控制。数据篡改和泄露风险：关键系统服务和应用内的数据对辅助驾驶和用户对车况判断非常关键。数据被篡改可能导致导航位置错误、行车路径错误、车附属传感内容错误，车载应用的相关内容不正确。内容数据的泄露同样会造成诸多安全问题和隐患。2.4路侧设备路侧设备是LTE-V2X车联网系统的核心单元，它的安全关系到车辆、行人和道路交通的整体安全。它所面临的主要安全风险如下：1、非法接入：RSU通常通过有线接口与交通基础设施及业务云平台交互。黑客可以利用这些接口接入RSU设备，非法访问设备资源并对其进行操作和控制，从而造成覆盖区域内交通信息混乱。攻击者甚至还能通过被入侵或篡改的路侧设备发起反向攻击，入侵整个交通专用网络及应用系统，在更大范围内危害整个系统的安全。2、运行环境风险：与车载终端类似，RSU中也会驻留和运行多种应用、提供多种服务，也会出现敏感操作和数据被篡改、被伪造和被非法调用的风险。3、设备漏洞：路侧设备及其附件（智能交通摄像头等终端）可能存在安全漏洞，导致路侧设备被远程控制、入侵或篡改。4、远程升级风险：通过非法的远程固件升级可以修改系统的关键代码，破坏系统的完整性。黑客可通过加载未授权的代码并执行来篡改系统、关闭安全功能，导致路侧设备被远程控制、入侵或篡改。5、部署维护风险：路侧设备固定在部署位置后，可能由于部署人员的失误，或交通事故、风、雨等自然原因导致调试端口或通信接口暴露或者部署位置变动，降低了路侧设备物理安全防御能力，使破坏和控制成为可能。IMT-2020(5G)推进组LTE-V2X安全技术白皮书6本节从网络通信、业务应用、车载终端和路侧设备三个方面讨论LTE-V2X车联网系统安全需求。3.1网络通信LTE-V2X网络通信安全包含蜂窝通信接口通信安全和直连通信接口通信安全，在系统设计时应满足如下安全需求：蜂窝通信接入过程中，终端与服务网络之间应支持双向认证，确认对方身份的合法性；蜂窝通信过程中，终端与服务网络应对LTE网络信令支持加密、完整性以及抗重放保护，对用户数据支持加密保护，确保传输过程信息中不被窃听、伪造、篡改、重放；直连通信过程中，系统应支持对消息来源的认证，保证消息的合法性；支持对消息的完整性及抗重放保护，确保消息在传输时不被伪造、篡改、重放；应根据需要支持对消息的机密性保护，确保消息在传输时不被窃听，防止用户敏感信息泄露；直连通信过程中，系统应支持对真实身份标识及位置信息的隐藏，防止用户隐私泄露。3.2业务应用基于云平台的业务应用与移动互联网“云、管、端”的业务交互模式相同，故其安全需求与现有网络业务应用层安全需求基本一致，需确保业务接入者及服务者身份的真实性、业务内容访问的合法性、数据存储、传输的机密性及完整性，平台操作维护管理的有效性，并做好日志审计确保可追溯性。基于直连通信的业务应用具有新的特点，需要满足传输带宽、处理实时性等各方面要求，由此要求安全附加信息尽量精简，运算处理时间尽量压缩，以满足车联网业务快速响应的特点。在业务消息的传输过程中，系统还应：支持数据源的认证，保证数据源头的合法性，防止假冒终端或伪造的数据信息；应支持对消息的完整性及抗重放保护，防止消息被篡改、重放；根据需要可支持消息的机密性，保证消息在传输时不被窃听，防止用户私密信息泄露；应支持对终端真实身份标识及位置信息的隐藏，防止用户隐私泄露。3LTE-V2X车联网系统安全需求IMT-2020(5G)推进组LTE-V2X安全技术白皮书73.3车载终端和路侧设备车载终端和UE型RSU具有很多共同的安全需求，其内容涉及到硬件设计、系统权限管理、运行环境安全、资源安全管理等方面，主要安全需求如下：•车载终端和UE型路侧设备应注意有线和无线接口的安全防护。设备应具有完备的接入用户权限管理体系，对登录用户做可信验证并且合理分配用户权限，根据不同用户权限进行不同操作处理。另外，关键芯片的型号及具体管脚功能，敏感数据的通信线路应尽量隐蔽。•车载终端和UE型路侧设备应具备对敏感数据的存储和运算进行隔离的能力。•车载终端和UE型路侧设备应支持系统启动验证功能，固件升级验证功能，程序更新和完整性验证功能以及环境自检功能，确保基础运行环境的安全。•车载终端和UE型路侧设备应支持访问控制和权限管理功能，确保系统接口