许盛伟，田 宇，邓 烨，刘昌赫

（北京电子科技学院，北京 100070）

0 引 言

随着互联网的发展，人们可以通过车联网[1-3]实现对车辆的远程控制及访问，极大地方便了人车交互。但由于车联网脱胎于互联网，互联网中存在的安全问题在车联网中仍然存在；此外由于车辆在使用的过程中自身存在一定危险性，这更加凸显了车联网安全防护的重要性。车联网安全可以分为车内网安全以及车际互联网安全，这其中包括网络通信安全、网络终端安全等问题。目前传统的网络安全模型多基于角色、属性、任务或工作流的访问控制，这些传统的访问控制模型以边界防护为主要思想，在车联网终端数量、种类都爆炸式发展的场景下，由于传统防护边界的存在，这些访问控制模型会出现安全性不够、策略过于复杂等问题，导致车辆和人、其他车辆、路边单元、云服务平台之间传递消息时可能遭到窃听、篡改、阻断，造成多方隐私泄露，甚至造成严重的交通事故。零信任[4-5]网络的实质是在具有身份、设备属性的访问主体与包含各种数据资源、应用资源的访问客体之间，根据访问需要临时建立的动态可信安全访问体系。零信任网络的实现方法是以受限资源安全保护需要为出发点，以身份认证为前提，以持续信任评估和动态访问控制为手段，最终实现访问主体与访问客体之间的安全访问控制。车联网终端同样是网络攻击者的目标之一，用户终端、车联终端、云计算平台可能在遭到攻击后产生数据泄露、拒绝服务等问题。同时车联网的到来使得道路交通系统的终端海量化、异构化的问题更加突出，也造成了大规模的安全边界模糊，使得安全方面面临重大挑战。针对道路交通系统中终端海量、通信时延低容忍、安全等级要求高、部分终端计算能力弱等问题，本文提出一种基于零信任的大规模车联网安全模型。

1 车联网安全模型

如图1 所示，零信任车联网模型由用户平面、控制平面、数据平面[6]组成。用户平面直接与用户进行交互，对用户进行身份识别、认证，获取用户访问时的各种身份属性、网络属性、设备属性，用于评价用户的真实性、可信性，凭借用户属性数据确保用户与系统之间交互的安全性。控制平面为用户提供授权服务，根据用户属性、访问控制策略对用户授予权限。数据平面由网络安全设备组成，控制模型的流量交互。

图1 车联网零信任模型

1.1 车联网用户平面

车联网用户平面通过数字身份管理，结合统一身份标识，达到“分级分域、授权共享、本域认证、跨域通行”的身份管理目标，实现用户数字身份管理、用户身份验证、权限管理等功能。数字身份管理模型如图2 所示。

图2 数字身份管理模型整体架构

数字身份管理模块在证书或标识的基础上建立身份信息的注册、签发、验证、共享发布功能，并收集用户属性值。用户身份验证将根据用户属性、标识密码体系和证书管理，规范鉴别用户身份，通过用户属性动态计算信任值，量化用户可信任程度，实现异构设备鉴别与身份认证。权限管理模块与控制平面的引擎进行对接，将控制层面的策略执行结果反馈至用户，实现了用户身份权限信息的分发、共享和推送。

为了应对车联网中多级身份信息管理模型复杂的问题，在数字身份管理模型中添加与外部系统之间的连接关系以及内部系统的连接关系，以此设计了一种分级分域的车联网数字身份服务云平台，从而使各级各域的车联网身份管理系统信息同步。车联网数字身份服务云平台如图3 所示。

图3 车联网数字身份服务云平台

为了满足道路交通系统中终端海量、异构的问题，平台使用分级分域策略，在身份管理上根据管理职责和范围进行分域管理，使得各个单位机构实现海量终端分解化，实现分布式数字身份管理模型的构建。平台采用扁平化网格化的数字身份管理系统连接方案。考虑到在道路交通系统海量异构终端的数字身份管理模型中存在多种实体，实现海量终端的扁平化网格化的管理即实现分级管理、层层履职、横向到边、纵向到底、纵横交错、全面覆盖。所有连接方式实现受限制的按需连接和无限制的直连相结合，保证连接的安全可控和高效迅速，满足道路交通系统在连接方式上的需求。

连接协议采用国密SM2、SM3、SM4 算法[7]保证连接的真实性、完整性、机密性，以及协议的抗重放、抗抵赖，并对隐私信息进行保护，实现道路交通终端之间互认互信互通。由于不同终端之间算力差别巨大，平台将提供证书、标识加密、轻量级等多种加密方式。例如，车辆终端与道路交通基础设施通信时车辆终端使用V2I 安全通信；车辆终端与其他交通基础设施通信时车辆终端采用国密SSL 协议安全通信；车辆终端与其他交通基础设施内部应用均采用密码应用中间件实现安全通信与身份验证；管理平台内部采用安全网关进行通信。

1.2 车联网控制平面

车联网控制平面是整个车联网模型的控制中心，在模型初始策略以及系统管理员的干预下依靠用户平面的各种数据对用户进行访问控制，并将控制平面的策略下放给数据平面执行。此外，控制平面还为用户提供加密通信所需的密钥、临时凭证、临时端口等参数，具有安全参数基础设施的属性。为了解决以上功能实现中存在的道路交通海量终端异构的问题，平面在典型道路交通系统架构上采用“云-管-边-端”分级分域的安全防护体系框架，框架基于国产商用密码等多种密码技术搭建，例如IBC 标识密码、数字证书服务技术和对称密钥分散技术等，提供贯穿“云-管-边-端”四个层面的道路交通系统安全服务。框架如图4 所示。

图4 “云-管-边-端”身份认证服务体系框架图

1.2.1 “云-管-边-端”访问控制服务体系

控制平面中的信任评估引擎设在“云-管”层面上。信任评估引擎是控制平面的大脑，为模型中的用户、实体、终端提供授权服务。信任评估引擎根据用户平面中的用户信任值等因素，结合设备、应用等因素，针对用户的每次请求，动态产生评估结果，为策略授权引擎提供评判依据。信任评估引擎在控制平面维护用户集、角色集两个集合，两个集合之间存在映射关系，引擎将为每个用户分配一个角色。用户集中包含访问用户属性、信任值、访问终端类型等因素，信任评估引擎根据用户集以及访问过程中的端口、协议、传输路径等信息进行实时分析，最终为访问用户动态分配角色。

策略授权引擎设在“管-边”层面上，实现对访问授权请求的动态授权分析，将分析结果上传至用户层面告知用户，并将分析结果下放至数据层面的策略执行引擎执行。策略授权引擎在控制平面维护角色集、权限集两个集合，两个集合之间存在映射关系，每个角色都具有一个或多个权限子集所包含的权限。

1.2.2 “云-管-边-端”安全参数基础设施

模型在端侧采用标识密码体系或对称密钥分散体系提供高性能、轻量级的安全接入认证服务，在“云-管-边”侧采用数字证书体系，便于管理和兼容已有的基础设施。

数据平面通过密码基础设备为模型提供加密功能，包括密码管理与服务平台，提供所有的密码服务，包括密码服务以及密钥服务等，具体如密钥生成、数据加密运算、数据解密运算、签名运算、验签运算等。

1.3 车联网数据平面

车联网数据平面执行上层控制平面的指令，在控制平面通过访问用户的请求后，数据平面接收访问用户的流量。策略执行引擎作为数据平面的中枢接收策略授权引擎的指令并指挥网关等网络设备落实对用户流量的授权。数据平面由网络软件、设备组成，负责对数据资源进行处理，其中安全网关南向对接车联网终端及设备，北向对接接入的业务应用系统，提供中间通道功能，控制零信任车联网模型的流量交互。

为了解决道路交通中海量异构终端资源数据不同步的问题，模型采用分级分域的资源数据同步协议。道路交通系统跨地域、跨层级数据同步协议结构示意图如图5 所示，A 节点为上级服务系统，A1、A2、A3 为下级管理服务系统，B为同层次不同系统节点，B1、B2 同理。域内的节点可以直接连接，若信息跨域则必须通过中心节点。

图5 分级分域数据同步结构示意图

数据同步协议遵守“逐层向上、按需转发”的要求。资源数据在代理转发时会以产生道路交通数据的节点为起点，根据当前系统级联关系向上传递数据至上级节点系统直至根节点，之后根节点向下级节点以及不同层次节点系统同步，最终根节点及其相关节点数据完成同步。当道路交通数据节点的同级节点收到数据同步信号时，会首先判断本节点是否需要完成数据同步，如果需要则直接完成数据同步业务；否则会根据本节点系统配置的向上数据同步层级参数，逐级向上进行数据同步。

2 模型分析

本文中的车联网模型结合了零信任思想，与传统的访问控制模型相比，对网络威胁的抵抗能力有所提高。与基于角色的车联网访问控制模型[8-9]相比，使用零信任架构的访问控制模型为用户动态分配角色，实现了细粒度的动态授权。与基于属性的访问控制[10-11]相比，本模型解决了实体属性难以设置的问题，将属性与角色相结合，避免了复杂的策略配置。与基于任务和工作流的访问控制模型[12]相比，本模型有着近似细粒度的表现，并通过动态评估访问主体的方式加强了对访问主体的控制力度。此外，针对目前道路交通系统海量异构终端的问题，本模型相较于传统车联网采用了分级分域的思想，实现了扁平化、网格化的管理，有效地实现了大规模异构设备的安全管理以及不同设备之间信息的互联互通。

3 结 语

本文提出了一种零信任架构的海量异构终端的车联网安全模型，基于零信任架构下的用户平面、控制平面、数据平面构建了数字身份管理模型、“云-管-边-端”访问控制服务体系和安全参数基础设施、分级分域数据同步模型，解决了传统车联网中存在的安全问题，以及大规模车联网中终端海量化、异构化所导致的终端难以互联互通的问题。