Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/TR 29181-8 — 智能交通系统 — 协作式ITS — 第8部分:安全
关于协作式智能交通系统安全架构、PKI和隐私保护的技术报告
ISO/TR 29181-8 简介
ISO/TR 29181-8 是 ISO 29181 系列技术报告的一部分,涵盖协作式智能交通系统(C-ITS)。第8部分专门讨论协作式 ITS 通信的安全问题,包括车对车(V2V)、车对基础设施(V2I)、车对行人(V2P)和车对网络(V2N)的交互。作为技术报告,它为理解适用于 C-ITS 部署的安全威胁、信任模型、密码机制和隐私保护技术提供了咨询性框架。
C-ITS 中的安全与传统 IT 安全有根本性不同,原因是应用的 safety-critical 性质、参与者的高移动性、实时消息验证的需求以及系统极其庞大的规模(可能涉及数百万车辆和路侧单元)。ISO/TR 29181-8 探讨了这些独特挑战,并提供了在安全、隐私和运营效率之间取得平衡的安全架构指导。
C-ITS 安全架构师在设计安全策略和技术实现时应将 ISO/TR 29181-8 作为基础文件。技术报告中提出的威胁分类法有助于确保全面覆盖协作式 ITS 环境特有的攻击向量。
安全威胁态势与信任模型
ISO/TR 29181-8 识别并分类了与 C-ITS 相关的安全威胁。下表总结了主要威胁类别及其对系统设计的影响。
| 威胁类别 | 示例 | 潜在影响 | 主要缓解措施 | 优先级 |
|---|---|---|---|---|
| 消息伪造 | 伪造CAM/DENM消息、虚假危险警告 | 碰撞、交通中断 | 数字签名(ECDSA)、PKI | 严重 |
| 消息重放 | 捕获合法消息后重新发送 | 错误交通状态感知 | 时间戳 + 新鲜度检查 | 严重 |
| 身份冒充/Sybil攻击 | 伪造多个车辆身份 | 交通操控、优先级滥用 | PKI证书、硬件安全模块 | 高 |
| 隐私侵犯/跟踪 | 通过广播消息长期跟踪车辆运动 | 法规不合规、用户担忧 | 假名证书、频繁更换密钥 | 高 |
| 拒绝服务 | 信道干扰、证书撤销洪泛 | 系统不可用、安全功能丧失 | 速率限制、频率分集 | 中 |
| 内部实体行为异常 | 路侧单元被攻陷、恶意管理机构 | 大范围信任侵蚀 | 异常行为检测、撤销 | 高 |
欧洲 C-ITS 部署(C-Roads 平台)以及美国和亚洲的类似项目已采用与 ISO/TR 29181-8 框架高度一致的安全架构。早期与该技术报告保持一致可降低运营部署中进行昂贵的安全重新设计的风险。
公钥基础设施与证书管理
ISO/TR 29181-8 的重要部分专门讨论支持 C-ITS 安全所需的公钥基础设施(PKI)。技术报告描述了一个分层 PKI 模型,包含签发长期注册证书的注册机构和签发短期假名证书(用于保护隐私的消息签名)的授权机构。证书管理生命周期包括注册、授权、更新、暂停和撤销,所有这些都必须在互联网规模上以低延迟运行,以支持实时的 V2X 通信。
报告讨论了特定的证书格式(基于 IEEE 1609.2 和 ETSI TS 103 097)、椭圆曲线密码学的使用(ECDSA,使用曲线 P-256 或 brainpoolP256r1),以及即使在带宽受限环境中也能高效分发的证书撤销列表(CRL)的设计。隐私方面尤为重要:假名证书必须足够频繁地更换以防止长期跟踪,同时保持足够长的有效期以避免过多的证书管理开销。
早期 C-ITS 部署中一个常见的安全设计错误是假名更换频率不足。ISO/TR 29181-8 提供了根据每个部署领域的具体隐私要求和威胁模型确定适当假名有效期的指导。
隐私保护与法规合规
ISO/TR 29181-8 解决了安全(需要可验证身份)与隐私(需要匿名性)之间的张力。技术报告应对这一挑战的方法是使用短寿命假名证书,结合有条件的披露机制,允许授权实体(如拥有适当法律授权的执法机构)在事故调查或责任认定需要时将假名解析为真实身份。这在法律上可辩护的方式中平衡了问责与隐私的竞争性要求。
报告还讨论了遵守 GDPR 和 ePrivacy 指令等数据保护法规的问题,认识到 C-ITS 部署处理的定位数据在许多司法管辖区属于个人数据。
部署没有 ISO/TR 29181-8 所述隐私保护架构的 C-ITS 系统,会使运营方面临重大的监管和声誉风险。车辆轨迹数据是高度敏感的个人信息,处理不当可能导致 GDPR 第83条下的巨额罚款。
常见问题解答
问:ISO/TR 29181-8 与 ETSI TS 102 941(C-ITS 安全信任模型)有何关系?
答:ISO/TR 29181-8 提供了高层咨询框架,而 ETSI TS 102 941 提供了欧洲 C-ITS PKI 的规范性技术规范。两份文件互为补充——ISO 技术报告解释了”为什么”,ETSI 技术规范说明了欧洲部署背景下的”怎么做”。
问:ISO/TR 29181-8 是否涉及 C-ITS 的后量子密码学?
答:技术报告承认当前椭圆曲线密码学面临的量子计算威胁,并建议 C-ITS 安全架构应具备密码敏捷性,允许随着后量子标准的成熟进行密码算法迁移。
问:在 ISO/TR 29181-8 框架中,如何检测和撤销行为异常的车辆?
答:报告描述了一个异常行为检测系统,该系统监控接收到的消息是否存在异常模式(位置不一致、速度不合理、消息频率违规)。当确认异常行为后,违规证书被添加到分发给所有 C-ITS 参与者的 CRL 中。
问:ISO/TR 29181-8 的安全原则能否应用于非 ITS 协作系统,如智慧城市?
答:可以。许多安全概念——轻量级 PKI、基于假名的隐私保护、异常行为检测和密码敏捷性——适用于其他协作式信息物理系统,其中大量移动实体在安全关键背景下通信。
📥 标准文件下载
暂无下载文件
