基于零信任的大規(guī)模車聯(lián)網(wǎng)安全模型研究

許盛偉，田 宇，鄧 燁，劉昌赫

（北京電子科技學院，北京 100070）

0 引 言

隨著互聯(lián)網(wǎng)的發(fā)展，人們可以通過車聯(lián)網(wǎng)[1-3]實現(xiàn)對車輛的遠程控制及訪問，極大地方便了人車交互。但由于車聯(lián)網(wǎng)脫胎于互聯(lián)網(wǎng)，互聯(lián)網(wǎng)中存在的安全問題在車聯(lián)網(wǎng)中仍然存在；此外由于車輛在使用的過程中自身存在一定危險性，這更加凸顯了車聯(lián)網(wǎng)安全防護的重要性。車聯(lián)網(wǎng)安全可以分為車內(nèi)網(wǎng)安全以及車際互聯(lián)網(wǎng)安全，這其中包括網(wǎng)絡通信安全、網(wǎng)絡終端安全等問題。目前傳統(tǒng)的網(wǎng)絡安全模型多基于角色、屬性、任務或工作流的訪問控制，這些傳統(tǒng)的訪問控制模型以邊界防護為主要思想，在車聯(lián)網(wǎng)終端數(shù)量、種類都爆炸式發(fā)展的場景下，由于傳統(tǒng)防護邊界的存在，這些訪問控制模型會出現(xiàn)安全性不夠、策略過于復雜等問題，導致車輛和人、其他車輛、路邊單元、云服務平臺之間傳遞消息時可能遭到竊聽、篡改、阻斷，造成多方隱私泄露，甚至造成嚴重的交通事故。零信任[4-5]網(wǎng)絡的實質(zhì)是在具有身份、設備屬性的訪問主體與包含各種數(shù)據(jù)資源、應用資源的訪問客體之間，根據(jù)訪問需要臨時建立的動態(tài)可信安全訪問體系。零信任網(wǎng)絡的實現(xiàn)方法是以受限資源安全保護需要為出發(fā)點，以身份認證為前提，以持續(xù)信任評估和動態(tài)訪問控制為手段，最終實現(xiàn)訪問主體與訪問客體之間的安全訪問控制。車聯(lián)網(wǎng)終端同樣是網(wǎng)絡攻擊者的目標之一，用戶終端、車聯(lián)終端、云計算平臺可能在遭到攻擊后產(chǎn)生數(shù)據(jù)泄露、拒絕服務等問題。同時車聯(lián)網(wǎng)的到來使得道路交通系統(tǒng)的終端海量化、異構(gòu)化的問題更加突出，也造成了大規(guī)模的安全邊界模糊，使得安全方面面臨重大挑戰(zhàn)。針對道路交通系統(tǒng)中終端海量、通信時延低容忍、安全等級要求高、部分終端計算能力弱等問題，本文提出一種基于零信任的大規(guī)模車聯(lián)網(wǎng)安全模型。

1 車聯(lián)網(wǎng)安全模型

如圖1 所示，零信任車聯(lián)網(wǎng)模型由用戶平面、控制平面、數(shù)據(jù)平面[6]組成。用戶平面直接與用戶進行交互，對用戶進行身份識別、認證，獲取用戶訪問時的各種身份屬性、網(wǎng)絡屬性、設備屬性，用于評價用戶的真實性、可信性，憑借用戶屬性數(shù)據(jù)確保用戶與系統(tǒng)之間交互的安全性。控制平面為用戶提供授權(quán)服務，根據(jù)用戶屬性、訪問控制策略對用戶授予權(quán)限。數(shù)據(jù)平面由網(wǎng)絡安全設備組成，控制模型的流量交互。

圖1 車聯(lián)網(wǎng)零信任模型

1.1 車聯(lián)網(wǎng)用戶平面

車聯(lián)網(wǎng)用戶平面通過數(shù)字身份管理，結(jié)合統(tǒng)一身份標識，達到“分級分域、授權(quán)共享、本域認證、跨域通行”的身份管理目標，實現(xiàn)用戶數(shù)字身份管理、用戶身份驗證、權(quán)限管理等功能。數(shù)字身份管理模型如圖2 所示。

圖2 數(shù)字身份管理模型整體架構(gòu)

數(shù)字身份管理模塊在證書或標識的基礎上建立身份信息的注冊、簽發(fā)、驗證、共享發(fā)布功能，并收集用戶屬性值。用戶身份驗證將根據(jù)用戶屬性、標識密碼體系和證書管理，規(guī)范鑒別用戶身份，通過用戶屬性動態(tài)計算信任值，量化用戶可信任程度，實現(xiàn)異構(gòu)設備鑒別與身份認證。權(quán)限管理模塊與控制平面的引擎進行對接，將控制層面的策略執(zhí)行結(jié)果反饋至用戶，實現(xiàn)了用戶身份權(quán)限信息的分發(fā)、共享和推送。

為了應對車聯(lián)網(wǎng)中多級身份信息管理模型復雜的問題，在數(shù)字身份管理模型中添加與外部系統(tǒng)之間的連接關(guān)系以及內(nèi)部系統(tǒng)的連接關(guān)系，以此設計了一種分級分域的車聯(lián)網(wǎng)數(shù)字身份服務云平臺，從而使各級各域的車聯(lián)網(wǎng)身份管理系統(tǒng)信息同步。車聯(lián)網(wǎng)數(shù)字身份服務云平臺如圖3 所示。

圖3 車聯(lián)網(wǎng)數(shù)字身份服務云平臺

為了滿足道路交通系統(tǒng)中終端海量、異構(gòu)的問題，平臺使用分級分域策略，在身份管理上根據(jù)管理職責和范圍進行分域管理，使得各個單位機構(gòu)實現(xiàn)海量終端分解化，實現(xiàn)分布式數(shù)字身份管理模型的構(gòu)建。平臺采用扁平化網(wǎng)格化的數(shù)字身份管理系統(tǒng)連接方案。考慮到在道路交通系統(tǒng)海量異構(gòu)終端的數(shù)字身份管理模型中存在多種實體，實現(xiàn)海量終端的扁平化網(wǎng)格化的管理即實現(xiàn)分級管理、層層履職、橫向到邊、縱向到底、縱橫交錯、全面覆蓋。所有連接方式實現(xiàn)受限制的按需連接和無限制的直連相結(jié)合，保證連接的安全可控和高效迅速，滿足道路交通系統(tǒng)在連接方式上的需求。

連接協(xié)議采用國密SM2、SM3、SM4 算法[7]保證連接的真實性、完整性、機密性，以及協(xié)議的抗重放、抗抵賴，并對隱私信息進行保護，實現(xiàn)道路交通終端之間互認互信互通。由于不同終端之間算力差別巨大，平臺將提供證書、標識加密、輕量級等多種加密方式。例如，車輛終端與道路交通基礎設施通信時車輛終端使用V2I 安全通信；車輛終端與其他交通基礎設施通信時車輛終端采用國密SSL 協(xié)議安全通信；車輛終端與其他交通基礎設施內(nèi)部應用均采用密碼應用中間件實現(xiàn)安全通信與身份驗證；管理平臺內(nèi)部采用安全網(wǎng)關(guān)進行通信。

1.2 車聯(lián)網(wǎng)控制平面

車聯(lián)網(wǎng)控制平面是整個車聯(lián)網(wǎng)模型的控制中心，在模型初始策略以及系統(tǒng)管理員的干預下依靠用戶平面的各種數(shù)據(jù)對用戶進行訪問控制，并將控制平面的策略下放給數(shù)據(jù)平面執(zhí)行。此外，控制平面還為用戶提供加密通信所需的密鑰、臨時憑證、臨時端口等參數(shù)，具有安全參數(shù)基礎設施的屬性。為了解決以上功能實現(xiàn)中存在的道路交通海量終端異構(gòu)的問題，平面在典型道路交通系統(tǒng)架構(gòu)上采用“云-管-邊-端”分級分域的安全防護體系框架，框架基于國產(chǎn)商用密碼等多種密碼技術(shù)搭建，例如IBC 標識密碼、數(shù)字證書服務技術(shù)和對稱密鑰分散技術(shù)等，提供貫穿“云-管-邊-端”四個層面的道路交通系統(tǒng)安全服務。框架如圖4 所示。

圖4 “云-管-邊-端”身份認證服務體系框架圖

1.2.1 “云-管-邊-端”訪問控制服務體系

控制平面中的信任評估引擎設在“云-管”層面上。信任評估引擎是控制平面的大腦，為模型中的用戶、實體、終端提供授權(quán)服務。信任評估引擎根據(jù)用戶平面中的用戶信任值等因素，結(jié)合設備、應用等因素，針對用戶的每次請求，動態(tài)產(chǎn)生評估結(jié)果，為策略授權(quán)引擎提供評判依據(jù)。信任評估引擎在控制平面維護用戶集、角色集兩個集合，兩個集合之間存在映射關(guān)系，引擎將為每個用戶分配一個角色。用戶集中包含訪問用戶屬性、信任值、訪問終端類型等因素，信任評估引擎根據(jù)用戶集以及訪問過程中的端口、協(xié)議、傳輸路徑等信息進行實時分析，最終為訪問用戶動態(tài)分配角色。

策略授權(quán)引擎設在“管-邊”層面上，實現(xiàn)對訪問授權(quán)請求的動態(tài)授權(quán)分析，將分析結(jié)果上傳至用戶層面告知用戶，并將分析結(jié)果下放至數(shù)據(jù)層面的策略執(zhí)行引擎執(zhí)行。策略授權(quán)引擎在控制平面維護角色集、權(quán)限集兩個集合，兩個集合之間存在映射關(guān)系，每個角色都具有一個或多個權(quán)限子集所包含的權(quán)限。

1.2.2 “云-管-邊-端”安全參數(shù)基礎設施

模型在端側(cè)采用標識密碼體系或?qū)ΨQ密鑰分散體系提供高性能、輕量級的安全接入認證服務，在“云-管-邊”側(cè)采用數(shù)字證書體系，便于管理和兼容已有的基礎設施。

數(shù)據(jù)平面通過密碼基礎設備為模型提供加密功能，包括密碼管理與服務平臺，提供所有的密碼服務，包括密碼服務以及密鑰服務等，具體如密鑰生成、數(shù)據(jù)加密運算、數(shù)據(jù)解密運算、簽名運算、驗簽運算等。

1.3 車聯(lián)網(wǎng)數(shù)據(jù)平面

車聯(lián)網(wǎng)數(shù)據(jù)平面執(zhí)行上層控制平面的指令，在控制平面通過訪問用戶的請求后，數(shù)據(jù)平面接收訪問用戶的流量。策略執(zhí)行引擎作為數(shù)據(jù)平面的中樞接收策略授權(quán)引擎的指令并指揮網(wǎng)關(guān)等網(wǎng)絡設備落實對用戶流量的授權(quán)。數(shù)據(jù)平面由網(wǎng)絡軟件、設備組成，負責對數(shù)據(jù)資源進行處理，其中安全網(wǎng)關(guān)南向?qū)榆嚶?lián)網(wǎng)終端及設備，北向?qū)咏尤氲臉I(yè)務應用系統(tǒng)，提供中間通道功能，控制零信任車聯(lián)網(wǎng)模型的流量交互。

為了解決道路交通中海量異構(gòu)終端資源數(shù)據(jù)不同步的問題，模型采用分級分域的資源數(shù)據(jù)同步協(xié)議。道路交通系統(tǒng)跨地域、跨層級數(shù)據(jù)同步協(xié)議結(jié)構(gòu)示意圖如圖5 所示，A 節(jié)點為上級服務系統(tǒng)，A1、A2、A3 為下級管理服務系統(tǒng)，B為同層次不同系統(tǒng)節(jié)點，B1、B2 同理。域內(nèi)的節(jié)點可以直接連接，若信息跨域則必須通過中心節(jié)點。

圖5 分級分域數(shù)據(jù)同步結(jié)構(gòu)示意圖

數(shù)據(jù)同步協(xié)議遵守“逐層向上、按需轉(zhuǎn)發(fā)”的要求。資源數(shù)據(jù)在代理轉(zhuǎn)發(fā)時會以產(chǎn)生道路交通數(shù)據(jù)的節(jié)點為起點，根據(jù)當前系統(tǒng)級聯(lián)關(guān)系向上傳遞數(shù)據(jù)至上級節(jié)點系統(tǒng)直至根節(jié)點，之后根節(jié)點向下級節(jié)點以及不同層次節(jié)點系統(tǒng)同步，最終根節(jié)點及其相關(guān)節(jié)點數(shù)據(jù)完成同步。當?shù)缆方煌〝?shù)據(jù)節(jié)點的同級節(jié)點收到數(shù)據(jù)同步信號時，會首先判斷本節(jié)點是否需要完成數(shù)據(jù)同步，如果需要則直接完成數(shù)據(jù)同步業(yè)務；否則會根據(jù)本節(jié)點系統(tǒng)配置的向上數(shù)據(jù)同步層級參數(shù)，逐級向上進行數(shù)據(jù)同步。

2 模型分析

本文中的車聯(lián)網(wǎng)模型結(jié)合了零信任思想，與傳統(tǒng)的訪問控制模型相比，對網(wǎng)絡威脅的抵抗能力有所提高。與基于角色的車聯(lián)網(wǎng)訪問控制模型[8-9]相比，使用零信任架構(gòu)的訪問控制模型為用戶動態(tài)分配角色，實現(xiàn)了細粒度的動態(tài)授權(quán)。與基于屬性的訪問控制[10-11]相比，本模型解決了實體屬性難以設置的問題，將屬性與角色相結(jié)合，避免了復雜的策略配置。與基于任務和工作流的訪問控制模型[12]相比，本模型有著近似細粒度的表現(xiàn)，并通過動態(tài)評估訪問主體的方式加強了對訪問主體的控制力度。此外，針對目前道路交通系統(tǒng)海量異構(gòu)終端的問題，本模型相較于傳統(tǒng)車聯(lián)網(wǎng)采用了分級分域的思想，實現(xiàn)了扁平化、網(wǎng)格化的管理，有效地實現(xiàn)了大規(guī)模異構(gòu)設備的安全管理以及不同設備之間信息的互聯(lián)互通。

3 結(jié) 語

本文提出了一種零信任架構(gòu)的海量異構(gòu)終端的車聯(lián)網(wǎng)安全模型，基于零信任架構(gòu)下的用戶平面、控制平面、數(shù)據(jù)平面構(gòu)建了數(shù)字身份管理模型、“云-管-邊-端”訪問控制服務體系和安全參數(shù)基礎設施、分級分域數(shù)據(jù)同步模型，解決了傳統(tǒng)車聯(lián)網(wǎng)中存在的安全問題，以及大規(guī)模車聯(lián)網(wǎng)中終端海量化、異構(gòu)化所導致的終端難以互聯(lián)互通的問題。