国产精品成人久久久久久久,亚洲日产乱码一区

中汽數(shù)據(jù)CA助力汽車數(shù)字證書應用規(guī)范驗證

隨著智能網(wǎng)聯(lián)汽車的飛速發(fā)展，網(wǎng)絡安全得到了業(yè)界的廣泛關注，越來越多的整車廠、零部件供應商、軟件供應商等汽車產業(yè)鏈企業(yè)使用數(shù)字證書來保證車云、車路、車車、車人等各車聯(lián)網(wǎng)場景下的網(wǎng)絡通信安全，如何驗證汽車各產業(yè)鏈企業(yè)在開展數(shù)字證書應用時的安全性是急需解決的問題。

《汽車數(shù)字證書應用規(guī)范》標準的制定旨在指導汽車產業(yè)鏈企業(yè)開展汽車數(shù)字證書安全應用的全流程設計、功能實現(xiàn)及驗證評估。標準從汽車數(shù)字證書通用要求、證書申請、證書存儲、證書更新、證書應用以及車車、車路、車云通信場景和軟件保護要求等幾個方面對汽車數(shù)字證書應用進行規(guī)范,并制定了相應的試驗方法，對汽車數(shù)字證書應用進行試驗驗證，如下圖所示。

中汽數(shù)據(jù)CA以《汽車數(shù)字證書應用規(guī)范》為基準，形成包括根證書和信任鏈初始化、數(shù)字證書申請和灌裝、數(shù)字證書存儲安全、數(shù)字證書有效期及更新、數(shù)字證書有效性、車-云通信身份認證、車-車/車-路通信身份認證、軟件保護等八個部分組成的汽車數(shù)字證書應用驗證清單并明確每個部分的驗證內容、驗證條件和驗證方法。

通過聯(lián)合多家車企開展汽車數(shù)字證書應用驗證，發(fā)現(xiàn)車企在X509數(shù)字證書安全設計、使用和合規(guī)性上比較成熟，整體安全性較高，能夠充分發(fā)揮數(shù)字證書在身份認證、信息完整性、機密性和不可否認性方面的安全作用，對車云安全通信、OTA簽名、遠程控制等典型應用起到安全保護作用。

但同時也發(fā)現(xiàn)當前車企在應用數(shù)字證書時存在以下幾個問題：

1.數(shù)字證書有效性驗證不夠全面

部分車企在對證書有效性進行檢測時，只檢測了證書合法性和有效期，未使用CRL或OCSP檢查證書是否處于正常狀態(tài)；對證書的密鑰用法和關鍵擴展項未進行有效檢查，會存在終端證書可以再簽發(fā)下級證書的風險。

2.數(shù)字證書有效期設計不合理

對于SSL服務端證書和車端數(shù)字證書，其有效期時間存在過長的風險。按照CA/B組織的要求，將在2024年實施90天有效期的SSL證書有效期，而目前很多車企的SSL證書特別是自建CA簽發(fā)的服務器證書，明顯超出該時限要求；車端證書考慮到其更新變化情況較小，可以簽署10年長期證書，但不能簽署過長比如30年期限，因為按照量子計算的發(fā)展趨勢，2035年左右會過渡到后量子密碼算法，如果證書簽發(fā)太長有效期存在被破解的風險。

3.車云安全通信TLS協(xié)議配置存在風險

在車云通信中，使用TLS協(xié)議已成為車企的標配。但在TLS協(xié)議的配置使用中，存在著不安全配置的情況。包括仍開啟不安全的協(xié)議版本如TLS1.0、TLS1.1協(xié)議；使用不安全的密碼算法套件，包括密鑰交換中使用RSA算法，加密算法中使用AES_128_CBC；沒有啟用前向加密機制等。這些不安全的配置可能成為被攻擊的切入點。

中汽數(shù)據(jù)CA將持續(xù)推進汽車數(shù)字證書應用規(guī)范標準的驗證和制定工作，不斷完善汽車數(shù)字證書應用驗證方案，為行業(yè)合法、合規(guī)、安全的應用數(shù)字證書提供服務。誠邀行業(yè)同仁加入中汽數(shù)據(jù)CA汽車數(shù)字證書應用工作中，共同推動汽車數(shù)字證書應用安全合規(guī)發(fā)展，為我國智能網(wǎng)聯(lián)汽車的通信安全貢獻力量。

聯(lián)系人

張旺

電話：15922090958

郵箱：zhangwang2021@catarc.ac.cn

分享到...