V2X安全体系演示活动“跨PKI”方案开发者手册0708
- 格式:pdf
- 大小:435.11 KB
- 文档页数:15
V2X安全体系演示活动“跨PKI”方案开发者手册 国汽(北京)智能网联汽车研究院有限公司 2019年7月 国汽(北京)智能网联汽车研究院有限公司
2 目录 1 背景介绍 ................................................................................................................................... 3 2 整体架构及组成单元 ............................................................................................................... 3 3 证书类型 ................................................................................................................................... 4 4 演示场景及相应证书格式说明 ............................................................................................... 5 5 证书申请车云交互流程 ........................................................................................................... 5 5.1申请注册证书 ..................................................................................................................... 5 5.2申请通信证书及下载通信证书 ......................................................................................... 8 5.3 接口及调用 ...................................................................................................................... 11 6 OBU签名验签模块与V2X协议栈的接口 ............................................................................ 13 6.1 SPDU .................................................................................................................................. 13 6.2 接口及调用 ...................................................................................................................... 14 国汽(北京)智能网联汽车研究院有限公司
3 1 背景介绍
V2X安全体系演示系统其目的仅为测试和演示。 测试及演示所产生的数据,为本次活动的发起者所有。 对系统的滥用和攻击将被记录和追责。
2 整体架构及组成单元
Intermediate CA
…… OEM1Access ServerMisbehaviour AuthorityLong Term CAEnrollment CAPseudonym CAIntermediate CARCA管理V2X Root CAPolicy GeneratorOEM2Access ServerMisbehaviour AuthorityLong Term CA
Enrollment CAPseudonym CA
Intermediate CA
直连通信蜂窝通信网络连接证书签发
其他CARoot CA
……
Misbehaviour Authority
车载单元(On Board Unit,OBU):车辆的V2X通信终端设备,需要从云端系统获得数字证书以保证通信安全。 根CA(Root Certificate Authority,RCA):V2X安全认证防护体系的信任根,用于向下级子CA签发证书。 注册CA(Enrollment Certificate Authority,ECA):向OBU颁发使用V2X通信的注册证书EC,EC将用于申请PC。 消息CA(Pseudonym Certificate Authority,PCA):向OBU颁发用于签发道路行驶安全消息(Basic Safety Message,BSM)的消息证书PC。 中间CA(Intermediate Certificate Authority,ICA):作为各家车厂连接V2X应国汽(北京)智能网联汽车研究院有限公司 4 用根CA的中间节点。 接入服务器(Access Server,AS):OBU连接云端整体系统的门户,负责对车辆身份的鉴别和把各类请求分配给不同的后端服务器。 异常管理CA(MA):签发已发布的证书撤销列表(Certificate Revocation List,CRL)。(*本次演示不部署MA,不演示证书撤销等相关功能。) 策略中心(Policy Generator):定义策略和配置文件。
3 证书类型 ⚫ 根证书(Root Certificate):PKI系统根CA的自签证书。 ⚫ 注册证书(Enrollment Certificate):OBU使用V2X通信系统的身份标识证书,供管理V2X通信系统接入车辆使用。设备使用该证书申请用于签发V2X各种消息的证书。 ⚫ 消息证书(Pseudonym Certificate):OBU用于签发其播发的BSM的证书。在某个时间段内(例如1周)OBU拥有多个(例如20个)有效证书,并存放在证书池中。OBU在某个时间段内(例如5分钟)从证书池随机选取1个证书,用于签发BSM消息,以避免行驶轨迹被跟踪导致隐私泄露。 国汽(北京)智能网联汽车研究院有限公司
5 4 演示场景及相应证书格式说明
PC证书格式参考GB/T 37376,其中签名公钥不推荐使用X-only,可以采取标准中列出的其它方式。
5 证书申请车云交互流程 车辆OBU中有预置的数字证书,证书格式可以为X.509,或者GB/T 37376格式;该证书为V2X安全认证防护体系所信任的CA颁发。车辆也可以使用GBA方式获得初始信任,所使用的GBA服务提供商需与V2X安全认证防护体系信息共享。
5.1申请注册证书 基本流程: 国汽(北京)智能网联汽车研究院有限公司
6 图一. 申请注册证书流程 主要流程描述如下:
✓ OBU生成SM2密钥对,生成注册证书请求,使用长期证书或自签名方式对证书申请报文进行签名;
✓ AS接受证书请求报文,验证注册证书请求签名有效性; ✓ 验证通过,请求ECA为车辆签发注册证书; ✓ AS将注册证书返回车辆端; ✓ 车辆端调用接口完成注册证书写入。 请求类型:HTTP POST。 Content-Type: application/octet-stream 输入:注册证书请求,ASN.1编码。
ASOBUECA2:注册证书申请请求4:注册证书申请6:注册证书申请应答7:注册证书申请应答
1:生成注册证书申请请求并签名3:验证注册证书申请请求5:注册证书签发
8:注册证书写入国汽(北京)智能网联汽车研究院有限公司
7 --EC请求 SignedEeEnrollmentCertRequest ::= SecuredMessage (WITH COMPONENTS {..., payload (WITH COMPONENTS {..., signedCertificateRequest (CONTAINING SignedCertificateRequest (WITH COMPONENTS {..., signer (WITH COMPONENTS { self|certificate -- LTC }) tbs (ScopedEeEnrollmentCertRequest) }) ) }) })
输出:注册证书请求响应,ASN.1编码。 --EC响应 SignedEeEnrollmentCertResponse ::= SecuredMessage (WITH COMPONENTS {..., payload (WITH COMPONENTS {..., signedData (WITH COMPONENTS {..., tbs (WITH COMPONENTS {..., data (CONTAINING ScopedEeEnrollmentCertResponse) }) }) }) })