V2X安全体系演示活动“跨PKI”方案开发者手册0708

  • 格式:pdf
  • 大小:435.11 KB
  • 文档页数:15

V2X安全体系演示活动“跨PKI”方案开发者手册 国汽(北京)智能网联汽车研究院有限公司 2019年7月 国汽(北京)智能网联汽车研究院有限公司

2 目录 1 背景介绍 ................................................................................................................................... 3 2 整体架构及组成单元 ............................................................................................................... 3 3 证书类型 ................................................................................................................................... 4 4 演示场景及相应证书格式说明 ............................................................................................... 5 5 证书申请车云交互流程 ........................................................................................................... 5 5.1申请注册证书 ..................................................................................................................... 5 5.2申请通信证书及下载通信证书 ......................................................................................... 8 5.3 接口及调用 ...................................................................................................................... 11 6 OBU签名验签模块与V2X协议栈的接口 ............................................................................ 13 6.1 SPDU .................................................................................................................................. 13 6.2 接口及调用 ...................................................................................................................... 14 国汽(北京)智能网联汽车研究院有限公司

3 1 背景介绍

V2X安全体系演示系统其目的仅为测试和演示。 测试及演示所产生的数据,为本次活动的发起者所有。 对系统的滥用和攻击将被记录和追责。

2 整体架构及组成单元

Intermediate CA

…… OEM1Access ServerMisbehaviour AuthorityLong Term CAEnrollment CAPseudonym CAIntermediate CARCA管理V2X Root CAPolicy GeneratorOEM2Access ServerMisbehaviour AuthorityLong Term CA

Enrollment CAPseudonym CA

Intermediate CA

直连通信蜂窝通信网络连接证书签发

其他CARoot CA

……

Misbehaviour Authority

 车载单元(On Board Unit,OBU):车辆的V2X通信终端设备,需要从云端系统获得数字证书以保证通信安全。  根CA(Root Certificate Authority,RCA):V2X安全认证防护体系的信任根,用于向下级子CA签发证书。  注册CA(Enrollment Certificate Authority,ECA):向OBU颁发使用V2X通信的注册证书EC,EC将用于申请PC。  消息CA(Pseudonym Certificate Authority,PCA):向OBU颁发用于签发道路行驶安全消息(Basic Safety Message,BSM)的消息证书PC。  中间CA(Intermediate Certificate Authority,ICA):作为各家车厂连接V2X应国汽(北京)智能网联汽车研究院有限公司 4 用根CA的中间节点。  接入服务器(Access Server,AS):OBU连接云端整体系统的门户,负责对车辆身份的鉴别和把各类请求分配给不同的后端服务器。  异常管理CA(MA):签发已发布的证书撤销列表(Certificate Revocation List,CRL)。(*本次演示不部署MA,不演示证书撤销等相关功能。)  策略中心(Policy Generator):定义策略和配置文件。

3 证书类型 ⚫ 根证书(Root Certificate):PKI系统根CA的自签证书。 ⚫ 注册证书(Enrollment Certificate):OBU使用V2X通信系统的身份标识证书,供管理V2X通信系统接入车辆使用。设备使用该证书申请用于签发V2X各种消息的证书。 ⚫ 消息证书(Pseudonym Certificate):OBU用于签发其播发的BSM的证书。在某个时间段内(例如1周)OBU拥有多个(例如20个)有效证书,并存放在证书池中。OBU在某个时间段内(例如5分钟)从证书池随机选取1个证书,用于签发BSM消息,以避免行驶轨迹被跟踪导致隐私泄露。 国汽(北京)智能网联汽车研究院有限公司

5 4 演示场景及相应证书格式说明

PC证书格式参考GB/T 37376,其中签名公钥不推荐使用X-only,可以采取标准中列出的其它方式。

5 证书申请车云交互流程 车辆OBU中有预置的数字证书,证书格式可以为X.509,或者GB/T 37376格式;该证书为V2X安全认证防护体系所信任的CA颁发。车辆也可以使用GBA方式获得初始信任,所使用的GBA服务提供商需与V2X安全认证防护体系信息共享。

5.1申请注册证书 基本流程: 国汽(北京)智能网联汽车研究院有限公司

6 图一. 申请注册证书流程 主要流程描述如下:

✓ OBU生成SM2密钥对,生成注册证书请求,使用长期证书或自签名方式对证书申请报文进行签名;

✓ AS接受证书请求报文,验证注册证书请求签名有效性; ✓ 验证通过,请求ECA为车辆签发注册证书; ✓ AS将注册证书返回车辆端; ✓ 车辆端调用接口完成注册证书写入。 请求类型:HTTP POST。 Content-Type: application/octet-stream 输入:注册证书请求,ASN.1编码。

ASOBUECA2:注册证书申请请求4:注册证书申请6:注册证书申请应答7:注册证书申请应答

1:生成注册证书申请请求并签名3:验证注册证书申请请求5:注册证书签发

8:注册证书写入国汽(北京)智能网联汽车研究院有限公司

7 --EC请求 SignedEeEnrollmentCertRequest ::= SecuredMessage (WITH COMPONENTS {..., payload (WITH COMPONENTS {..., signedCertificateRequest (CONTAINING SignedCertificateRequest (WITH COMPONENTS {..., signer (WITH COMPONENTS { self|certificate -- LTC }) tbs (ScopedEeEnrollmentCertRequest) }) ) }) })

输出:注册证书请求响应,ASN.1编码。 --EC响应 SignedEeEnrollmentCertResponse ::= SecuredMessage (WITH COMPONENTS {..., payload (WITH COMPONENTS {..., signedData (WITH COMPONENTS {..., tbs (WITH COMPONENTS {..., data (CONTAINING ScopedEeEnrollmentCertResponse) }) }) }) })