C-ITS中应急车辆自动优先通行权与铁路联锁固件完整性检查

### C-ITS中应急车辆自动优先通行权与铁路联锁固件完整性检查 #### 1. C-ITS中应急车辆自动优先通行权相关情况 在C-ITS（协同式智能交通系统）中，应急车辆能够借助其提供的新型信息与通信服务，向基础设施组件或其他联网道路使用者请求优先通行权，从而减少应对紧急情况时的时间损失。然而，网络攻击和破坏行为可能会对这些场景构成重大风险，比如攻击者获取用于优先通行的凭证。 ##### 1.1 风险评估 基于攻击向量，通过确定每个攻击场景的可能性、严重性和检测概率来进行实际的风险评估。由于缺乏能提供可靠数据的大规模C-ITS实际应用案例，很多情况下难以将各项得分精确确定为一个数字，因此使用了数值范围。对于风险优先级得分范围特别宽的情况，还在相关专家研讨会上进行了讨论以缩小范围。 在该示例用例中，风险优先级得分最高的攻击向量适用于以下流程步骤： | 流程步骤 | 描述 | | --- | --- | | PS - 002 | 接收“道路和车道拓扑” | | PS - 003 | 处理“道路和车道拓扑” | | PS - 006 | 接收“信号相位和定时” | 一般来说，路边基础设施受损带来的风险高于车载单元受损的风险。路边基础设施由于更容易被触及，更易受到篡改，但它由基础设施提供商管理，操作可能会很快被发现。不过，成功的攻击可能会影响众多其他道路使用者，因此往往比针对单个车辆车载单元的攻击更严重。 ##### 1.2 应对措施 相关标准和指南提出了一些对策以降低（网络）威胁带来的风险。此外，在相关项目中还定义了额外的对策，具体如下： - **系统强化**：对ITS - S进行系统强化，即移除ITS - S执行预定任务时并非绝对必要的所有软件组件和功能。 - **安全软件开发技术**：使用安全的软件开发技术（如输入验证和清理）来开发ITS - S软件。 - **安全级别验证**：通过渗透测试和代码审查等方式验证所达到的安全级别，确保所采取的措施得到有效实施。 - **异常检测**：针对流程步骤PS - 006中的攻击向量，可对路边单元（RSU）进行异常检测。利用能自动报告RSU和车载单元（OBU）之间通信流量异常的系统，可更高效地检测对路边基础设施的攻击。例如，在高峰时段，如果RSU几分钟内未收到过往车辆OBU发出的通用感知消息（CAMs），可能触发警报，这可能表明发生了拒绝服务攻击。 #### 2. 铁路联锁固件完整性检查 随着5G通信、边缘和远边缘计算等数字化技术和基础设施在医疗和铁路等安全相关及安全关键领域的应用日益广泛，网络安全攻击的攻击面也在不断扩大。 ##### 2.1 铁路CCS系统现状 欧洲铁路署（ERA）在2018年对10个国家的现有指挥、控制和信号（CCS）系统进行了研究，以助力欧洲铁路交通管理系统（ERTMS）的部署。ERTMS旨在取代欧洲不同的国家列车控制和指挥系统。相关标准对CCS系统在铁路应用中的安全和功能安全进行了规定，但在平台信任方面，即硬件、固件和软件在维护、补丁、更新和系统配置过程中的完整性保证方面，相关规范有所欠缺。 过去，铁路CCS系统是针对特定应用、组件和接口的供应商特定实现，以符合国家规范，这使得从网络空间攻击这些系统较为困难。但随着欧洲新的互操作性规范的出台以及降低旧继电器系统成本的需求，新的标准化CCS系统将应运而生。虽然供应商已经在这些系统上实现了远程维护，但这些是受公钥基础设施保护的专有解决方案。 ##### 2.2 可信计算概念 - **可信系统定义**：可信系统能为其上运行的工作负载提供可信执行环境（TEE），并且其完整性可以被确定。可信执行环境通过以下一个或多个