随着车辆内部计算能力和连接能力的大规模引入，我们的汽车与越来越多的设备、服务器、应用程序和服务相连。各种技术包括5G和蓝牙、Wi-Fi和NFC。然而，在交换数据或参与交易之前，了解连接的另一端是什么或是谁是很重要的。

　　根据不同的环境，我们每个人都有多个身份，称为数字标识符或数字ID。例如，我们的手机数字ID是我们的电话号码，而在支付环境中，我们的身份是我们的信用卡号码。同样，汽车在各种场景下都有多种身份。

　　除了身份识别(即为个人或对象分配唯一的ID)，身份验证阶段也是强制性的，以确保远程实体是其声称的实体。最后，具有给定ID的已验证实体通常会根据其角色、状态或服务级别与一组权限相关联。与经过身份验证的ID相关联的权限是实现增值服务和创新业务模式的强大方式。

　　在本文中，我们将通过三个具体的示例来回顾汽车市场中的数字ID、身份验证和权限的概念：

　　用于打开和启动发动机的汽车钥匙的数字化

　　电动汽车(EV)充电订阅

　　汽车和相关基础设施之间的点对点通信(也称为V2X通信)

　　对于每个用例，我们将描述相关的网络安全风险以及潜在黑客可能发起的攻击。

　　显然，风险不仅仅出现在数字化。汽车盗窃一直是个问题。然而，随着工业规模的网络攻击的可能性，也带来了新的风险。绝大多数黑客的动机是经济利益。因此，为网络罪犯勒索金钱的巨大创造力做好准备可能是明智的。偷车勒索软件会使车辆无法使用，欺诈性电动汽车充电会带来不正确的账单或个人数据转售，这只是我们新的网络世界中潜在的攻击中的一小部分。

　　由于交通生态系统是现代社会的支柱之一，建立一个值得信赖且具有网络弹性的环境符合集体利益。否则，它将成为任何潜在黑客、间谍或恐怖分子的重点目标，汽车制造商的品牌形象可能会受到不可挽回的损害。

　　我们将介绍一些安全机制，用于为联网汽车、电动汽车和汽车行业的许多新创新部署安全可靠的服务。

　　汽车数字ID使用案例

　　数字汽车钥匙

　　汽车钥匙已经从普通的金属钥匙发展为所谓的钥匙扣，可以与汽车进行无线通信，从而打开汽车。然而，钥匙扣必须交给任何需要使用汽车的人，并且不能附加特定的权限。后面是汽车钥匙的虚拟化，或者数字汽车钥匙。数字汽车钥匙可以存储在智能手机中，只需将智能手机放在门把手上即可打开汽车。最新型号允许智能手机放在口袋或包中无缝使用。

　　一旦汽车钥匙被数字化，就可以很容易地在家庭成员的智能手机之间共享，而不需要传递实体钥匙。此外，与钥匙扣相比，智能手机是与个人相关的个人设备，人们已经离不开它。然后，可以很容易地将特定权限与个人司机联系起来。对于一个家庭共享的汽车，年轻司机可能被允许在短时间内使用汽车，或者快递员可以临时进入后备箱，只为了送一个包裹。

　　在家庭环境之外，数字汽车钥匙的优势对于汽车租赁车队管理来说更为明显。数字钥匙允许汽车租赁公司减少摩擦，消除所有钥匙处理过程，同时能够销售额外的汽车选择或更精确地控制租车的授权司机，例如，只有持证或年龄合适的司机。此外，车队经理将能够为特定任务分配司机到特定车辆。例如，远程搬家公司经理可以根据不同地区项目需求，轻松地将司机与不同大小的车辆相匹配。

　　为了实现这项服务，由于汽车连接联盟® (CCC) 的努力，创建了一个名为 CCC 数字密钥 (CCC DK) 的标准。其原理是智能且简单的：每辆汽车和智能手机都被分配一个CCC数字 ID，使汽车和智能手机之间能够进行相互认证，以实现单次访问，同时“解锁”与汽车用户相关的特定权限。

　　司机在使用该服务之前，只需注册数字车钥匙平台，以证明其身份。虽然CCC标准不使用生物识别技术进行验证，但添加这一额外的安全层可以提供非常强大的身份验证步骤，该步骤可用于许多其他行业，包括银行和电信。这一身份验证步骤对于确保司机是与特定智能手机相关联的人至关重要。

　　在驾驶员一侧，CCC DK可以存储在其他智能设备中，如可穿戴设备(智能手表)、非接触式卡(用于电话备份目的)或任何其他电子设备(例如在包裹递送终端中)。

　　与数字汽车钥匙相关的主要网络风险

　　一种常见的网络威胁是简单提取数字密钥(例如，从智能手机中提取)。如果发生这种情况，黑客可以使用数字密钥冒充有效用户偷车。可以通过临时访问手机进行攻击，甚至更糟的是远程攻击。对于丢失或被盗的设备，也可能提取其数字钥匙，重要的是确保设备所有者经过身份验证。这通常是目前智能手机的情况，它提供了各种身份验证形式因素，包括生物识别。事实上，这种情况可能类似于Apple Pay或Samsung Pay等服务的信用卡数字化。现在，手机安全级别足够高，信用卡发卡机构认为数字化风险是可以接受的。然而，数字密钥的风险更高：支付交易的最大金额总是有限制的，风险管理是信用卡发卡机构核心业务的一部分。对于汽车，汽车的价值受到威胁(通常远高于信用卡交易)，风险管理将由卡所有者和其保险公司承担。

　　车内的数字钥匙(确保智能手机和汽车之间的相互认证)也必须得到保护，免受远程或本地网络攻击。当汽车停在公共且无人监控的地方时，局部袭击尤其令人担忧。与放置在车主身边的智能手机相比，夜间对停放的汽车发动袭击的可能性更大。

　　除了数字钥匙的提取，现有的对智能钥匙的攻击可能会转移到手机或可穿戴设备上：中继攻击。顾名思义，中继攻击包括通过在电话侧中继汽车信息和在汽车侧中继电话信息，打开停在远离电话的汽车。这是由一对无线通信的攻击设备完成的，它们在电话上充当汽车，在汽车上充当电话。这种网络攻击扩大了手机和汽车之间的通信范围，但不会改变身份验证流量。在实践中，这种攻击对于不需要驾驶员动作的智能钥匙(又称被动进入被动启动或PEPS)来说相对常见。

　　这种攻击的典型场景是当一辆车停在房子的停车位上，车主把钥匙扣掉在前门附近。为了减轻移动设备的这种风险，第一代数字钥匙只使用非常短的通信(近场通信或NFC)，就像用于数字支付一样。然而，这并不能提供PEPS的便利性。在随后的版本中，引入了蓝牙通信，但与一种名为UWB(超宽带)的新无线技术相结合，该技术允许以高达几厘米的精度检查汽车和手机之间的距离。通过这种设置，可以挫败中继攻击。

　　电动汽车充电

　　电动汽车市场正在蓬勃发展，毫无疑问，由于气候变化问题和监管，未来几十年，越来越多的电动汽车将取代内燃机汽车。剩下的唯一问题是：以什么速度?由于几乎所有国家都在努力遵循《巴黎协定》在温室气体排放方面的规定，因此消除所有潜在障碍以使客户大规模采用电动汽车非常重要。除了价格和自主性之外，电动汽车充电已被确定为最终用户的痛点。

　　如今，在旅行时，电动汽车车主不仅必须找到一个可用的(且功能齐全的)充电站，而且还必须能够支付交易费用。这就是麻烦的开始。市场上充斥着各种不兼容的解决方案，从智能手机应用程序到经典的信用卡支付，包括与各种订阅相关的非接触式徽章。

　　为了简化当前的混乱和复杂性，下一步是让电动汽车用户能够从一家电动移动服务提供商(eMSP)进行独特的订阅，并在月底收到所有充电的汇总账单，包括所有接入的充电站。这类似于手机通信，我们与移动网络运营商(MNO)签订了一份合同，同时能够在全球旅行，无缝使用国外移动网络，并且仍然由我们的家庭网络运营商(漫游)计费。

　　ISO标准15118(又称即插即用充电)使电动汽车充电的这一愿景成为现实。根据ISO 15118，汽车和充电站被分配了数字ID，这些ID通过电力电缆(也称为电力线通信或PLC)进行交换，从而实现了每次汽车插入时都能透明地执行相互认证。在第二步中，汽车会提供额外的认证证明，以证明它与有效的eMSP订阅相关联。在任何充电站为电动汽车充电就像在国外登陆时打开手机一样顺利。

　　为了实现这项服务，生态系统的每个元素(汽车、充电站、eMSP)都有一个数字ID。在进行任何充电交易之前，都会在这些元素之间进行身份验证，并且权限可以进一步与合同相关联，以授予充电优先权、服务水平协议、免费停车时间等。

　　与即插即用相关的主要网络风险

　　如果用手机打开汽车可以与移动支付用例进行比较，那么上述电动汽车充电场景可以与GSM订阅用例进行比较。一个不同之处在于，订阅的数字ID不包含在手机的SIM卡中，而是包含在车内。主要威胁之一是提取与eMSP订阅相关的凭据并将其注入另一辆车。并且权限可以进一步与合同相关联，以授予充电优先权、服务水平协议、免费停车时间等。除了财务损失外，这种攻击还会降低对即插即用生态系统的信任水平，减缓其采用和部署增值服务的速度。

　　如果说交通是我们现代社会的重要组成部分，那么电网就是充电站的基石。至关重要的是，电动汽车和充电站的大规模部署不会损害其可靠性。如果黑客成功控制了数千辆汽车，一个已确定的风险将是同时启动过多的电动汽车充电会话。电网可能会失去平衡，导致大停电。几年前，世界目睹了针对一些国家电网的网络攻击导致长期停电，这表明这种情况远非理论上的。考虑到灾难性的影响和造成的巨大破坏，关键和重要的运营商正成为网络攻击者的重点目标。

　　V2X通信

　　V2X通信包括汽车之间(车对车，或V2V)以及汽车与基础设施之间(V2I)的直接通信。所有这些通信都被称为直接(或设备到设备)，因为它们不经过任何移动网络基础设施，允许在蜂窝网络覆盖范围之外进行通信，并且具有低延迟。已经为V2X设计了许多用例。尽管V2X的主要目的是提高道路安全性，但它也可能减少拥堵，并允许更动态的交通管理。我们在下面回顾三个V2X的使用示例。

　　V2V的典型用例是避免碰撞。为此，每辆车将每秒广播10次其位置、速度、方向和其他一些参数，如紧急制动。周围的所有车辆都将接收到这些数据，并使用它们来构建交通的动态模型，并检测潜在的碰撞。例如，如果我车前的卡车挡住了需要紧急制动的车辆，V2X技术会提前警告我，甚至自动开始让我的车减速。

　　V2I通信也将用于安全目的。例如，可以在临时道路工程或事故标志上安装限速和高级警告广播设备。这些信息将绕过车辆(并显示在仪表板或平视显示器(HUD))提前几百米接收信息，与仅外部路标相比，这增加了驾驶员做出反应的时间。

　　至于交通改善，红绿灯可以在状态变化之前广播延迟，这可以帮助驾驶员调整速度，避免刹车或极端速度变化。通过提前警告和正确的速度调整，司机可以及时到达绿灯，而不用停车，有助于保持交通畅通。这个应用程序被称为信号相位和时间(SPaT)。

　　V2X通信开始在欧盟、日本和中国部署。它们也在美国进行了广泛的讨论和测试。适用的标准因地区而异，欧洲的推动力是欧洲电信标准化协会(ETSI)，北美的领导者是电气和电子工程师协会(IEEE)。

　　在幕后，必须为每辆车和基础设施元素分配一个数字ID。显然，一个节点广播的所有数据在被周围的其他节点处理之前都必须经过身份验证。这将防止创建由假节点传输的假消息。在这种情况下，权限也很有帮助：例如，接近交通灯的紧急车辆将被立即识别出来，并将其状态切换为绿色，同时保持附近的交通灯为红色，以避免碰撞。

　　与V2X通信相关的主要网络风险

　　没有必要审查恶意信息(如不存在的事故或幽灵车路线)引起的交通基础设施全面冻结的危险。对于V2X通信而言，更具体的是数据隐私保护的重要性。

　　网络风险是显而易见的：每辆车都会不断广播自己的位置，这使其成为追踪城镇或地区的完美工具。幸运的是，这种威胁从第一天起就被考虑到了，并通过标准得到了缓解。首先，如果汽车具有与V2X通信相关的长期数字ID，则这些ID不会用于公开广播的消息。取而代之的是使用短期ID(即通常有效期为一周的假名)。此外，每辆车都有一组假名(通常最多100个)，这些假名在整个行程中随机使用，即使在短时间内也很难被跟踪。这种在隐私、安全和实施成本之间的权衡已经公开讨论过，现在被认为是可以接受的。

　　粗略估计，每周为数百万辆汽车分配大约100个假名，每年将产生数十亿个数字ID和相关证书。为了适应这一数量，需要开发非常具体的V2X解决方案，以提供高度的可扩展性、弹性，当然还有安全性。

　　构建汽车数字信任的安全解决方案

　　鉴于上述网络风险，很明显，必须内置隐私和安全解决方案，以实现车主、车队经理、汽车服务提供商、电子出行用户和政府实体的信任。这将促进一个健康安全的汽车生态系统，在其中可以部署创新服务，并为社会带来有弹性的基础设施。

　　在深入了解可以为汽车生态系统部署的各种安全机制的具体细节之前，让我们指出为“按设计构建安全”方法论而实施的一般原则。

　　主要目的是使车辆网络的攻击成本更高和难以实现，以阻止它们。为此，安全机制将努力使自动、大规模和远程网络攻击变得非常困难。如果成功，这种策略将使攻击者只有一个选择：进行需要物理访问设备的针对性攻击。由此产生的成本效益比可能会让黑客望而却步。

　　由于零风险是不存在的，所以总会有一些残余风险，这可能是由于预防这些风险的代价是不可接受的，也可能是由于事后发现的技术漏洞。无论如何，重要的是要承认这些风险，并建立机制，以尽快检测到攻击并触发阻止传播的响应。

　　在本节的其余部分中，我们将介绍主要的安全机制，以可信的方式管理数字ID的生命周期，安全地存储ID(无论是在设备中还是在后端)，并实时监控汽车生态系统的基础设施安全。

　　数字ID和证书的可信管理

　　在所有讨论的用例中，必须为各个参与者创建强大且多样化的数字ID，以便稍后使用相关凭据进行相互身份验证。这将实现数据完整性和机密性保护。底层的安全和加密技术是非常多样的，因此，任何证书管理解决方案都必须应对这种多样性，并随着更多的技术(如后量子密码学)的出现而经得起未来考验，这一点非常重要。

　　泰雷兹(Thales)提出了可信密钥管理器(TKM)的解决方案。它是专门为汽车和移动市场量身定制的，该市场有一些重要要求。首先，汽车制造的物流链很复杂，当众多供应商制造汽车零部件时，需要创建和注入ID/证书。然后，在下游，当汽车上路时，或者当维修中心的嵌入式计算机必须更换时，需要更新ID和证书。

　　简单地说，TKM可以被视为连接所有汽车制造商合作伙伴的安全枢纽，允许在整个车辆生命周期内对所有数字ID进行平稳管理。泰雷兹TKM利用下述硬件安全模块(HSM)为汽车基础设施提供最先进的保护。

　　数字ID和证书的安全存储

　　如前所述，网络威胁的一个反复出现的问题是可能从汽车或手机中提取证书。部署的技术应该能够抵御这种攻击，即使攻击者可以长时间物理访问设备，并且能够在实验室中将其拆除。能够在这种情况下抵御攻击的解决方案被称为防篡改。除了高水平的抗攻击能力外，技术提供商还必须能够以透明的方式证明其安全声明。这被称为安全保证，通常通过ISO 15408(也称为通用标准)或FIPS 140等标准化方案下的第三方产品认证来实现。

　　这些问题在支付、移动电信甚至电子护照等主权身份等其他市场都是众所周知的。在所有这些市场中，泰雷兹都提供经过认证的防篡改解决方案，并将其应用于汽车和移动领域。

　　在嵌入式方面，称为安全元件(SE)的安全芯片已经存在于手机或其他可穿戴设备中，可以用来安全存储数字密钥。这些SE也被引入了汽车嵌入式计算机或道路基础设施中，如充电站、道路标志等。安全元件是一种防篡改环境，可以作为保险库安全存储非常敏感的数据，如数字汽车钥匙。作为基于微处理器的平台，它们还承载着加密应用程序，这些应用程序仅向授权的应用程序和人员提供数据和设备访问。它代表了针对物理和远程攻击的高级别安全性。

　　在后端方面，各种服务器也需要数字ID来保护关键基础设施和敏感数据，进行安全更新，以及访问和管理嵌入汽车或其他设备的证书。由于管理的端点数量和性能限制，需要极其强大的硬件，提供高计算能力、高防篡改特性和认证。这些产品被称为硬件安全模块(HSM)，是专门设计用于执行复杂加密操作和保护数据中心中常规使用的加密密钥的专用设备。

　　泰雷兹Luna HSM符合国际安全标准(FIPS 140-2 Level 3，Common Criteria(CC)EAL4+)，并为公钥基础设施(PKI)提供硬件信任根，公钥基础设施通常用于向所有设备颁发ID，无论其复杂性或规模如何。Luna HSM使汽车制造商能够通过始终在硬件中生成、管理和存储，高熵或“不可破解”的加密密钥来保护其生产流程和资产，从而确保通信和数据的安全。

　　强大的访问控制确保汽车资源只对被授予访问权限的人可用，设备身份验证确保每个物联网设备都具有唯一的身份，以在设备的整个生命周期中跟踪设备，与设备安全通信，并在设备出现意外行为时撤销特权。最后，Luna HSM保护代码签名密钥，从而又确保设备固件更新和补丁的真实性和完整性。

　　监控基础设施安全

　　最后，设计多种安全机制来管理数字ID，将其部署到产品中，并认为工作已经完成，这将是愚蠢的。安全是一个永无止境的过程，解决方案的现场部署只是故事的开始。

　　新的攻击技术每天都在出现。新的漏洞不断被发现，软件也在不断部署。为了应对残余风险和新出现的风险，需要网络安全解决方案来监督大型IT和OT基础设施，检测实时事件或攻击，根据其危险性进行分类，并采取适当的反应以获得更好的效果。

　　泰雷兹提供此类安全运营中心(SOC)，这些中心由一流的网络安全组件组成，用于360°网络监督：了解威胁环境的特定部门威胁情报，IT和OT探测器的实时攻击检测，人工智能(AI)辅助的大数据分析，用于搜寻和检测未知攻击。由于网络安全不仅仅是技术问题，而且人类专业知识至关重要，泰雷兹拥有一大批全天候的全球网络专家，他们能够熟练地管理和控制潜在危机并做出适当反应。

　　泰雷兹提供此类由一流网络安全组件组成的安全运营中心(SOC)，用于360°网络监督：特定于行业的威胁情报，以了解威胁环境;IT和OT探测的实时攻击检测;人工智能(AI)辅助的大数据分析，用于寻找和检测未知攻击。由于网络安全不仅是技术问题，人的专业知识至关重要，泰雷兹拥有大量全球网络专家，他们可以全天候提供服务，能够熟练地管理和控制潜在危机并做出适当反应。

　　用汽车数字ID建立数字信任

　　在本白皮书中，我们描述了如何使用汽车中的多个数字ID，以及更广泛的交通生态系统来部署安全可信的服务，尽管存在一些不可避免的风险。得益于专用于汽车和运输行业的各种安全产品和服务，泰雷兹提供了合适的产品来帮助降低这些风险，因此最终消费者可以从创新的新功能中受益，而整个社会将受益于一个有弹性的、安全的基础设施。

　　关于泰雷兹

　　您所依赖保护您隐私的人员依赖泰雷兹来保护他们的数据。在数据安全方面，组织面临着越来越多的决定性时刻。无论是制定加密战略、转移到云端还是满足合规要求，您都可以依靠泰雷兹来确保您的数字化转型。

　　决定性的技术为了决定性的时刻。

　　关于安策

　　SafePloy安策从事信息安全业务超过20年，是泰雷兹Thales(原Imperva，Gemalto，Vormetric，SafeNet，Aladdin，Rainbow)等公司在中国区的合作伙伴，为云、应用、数据、身份等提供安全保护的能力和技术支持能力，为在中国地区经营和出海开拓业务的企业，提供本地化的可信、可控、又合规的数据安全策略。

随着车辆内部计算能力和连接能力的大规模引入，我们的汽车与越来越多的设备、服务器、应用程序和服务相连。各种技术包括5G和蓝牙、Wi-Fi和NFC。然而，在交换数据或参与交易之前，了解连接的另一端是什么或是谁是很重要的。