車載資通訊系統安全堪慮　 VDTLS強化車間通訊保密

車載資通訊系統易遭入侵

車載資通訊系統中大部分的車輛與基礎設施(V2I)應用，都需要安全機制來避免在溝通過程中的侵犯隱私權、竊聽、訊息偽造、身分假造和其他種種攻擊方式。在V2I裡，每個車載單元(OBU)通常只跟同區域的路側單元(RSU)溝通，並不會跨區溝通；此外，每個會談(Session)時間也都很短，因此只需要輕量(Light-weight)通訊協定如使用者資料封包協議(UDP)即可滿足。

路側單元和車載單元間的無線溝通，在本質上就不安全(圖1)，因為在訊號範圍內的任何人，都可以聽到、攔截、竄改訊息內容，或者假冒身分並捏造訊息。因此，安全的車外使用者資料封包協議之資料傳遞溝通機制是非常需要的，而車用數據包傳遞層安全(Vehicular Datagram Transport Layer Security, VDTLS)就是針對車外使用者資料封包協議之安全所發展的系統。

資料來源：Telcordia 圖1　車間通訊之架構

VDTLS嚴防惡意攻擊

一般來說，VDTLS主要是為了達到以下幾項功能和目的所設計。首先，便是端對端通訊安全(Secured End-to-End Sessions)。此安全通訊協定應該要保證一個安全、端對點、應用層的使用者資料封包協議通話期。每個應用都能讓使用者設定安全參數、建立和管理自己的安全通話期。一個安全的使用者資料封包協議通話期牽涉的要素包括伺服器和客戶端的相互認證、支持大量資料加密與安全參數設定的協議，以及支持大量訊息完整性的保護和訊息完整性參數的協議等。

其次則是快速通話建立(Session Establishment)。因為車輛多半移動快速，且停留在同一個路側設備(RSE)區域內的時間很短，所以車載單元和路側單元之間的通話建立過程必須非常快速。VDTLS藉由減少通話建立的訊息交握次數，達成快速通話建立的功能。

而支持包括雙向通訊(Unidirectional)和單向無對話(Session-less)的多種通訊方式，也是VDLTS設計的目的所在。為了達到高效率，可以使用對稱性私鑰及公鑰來進行資料加密，也希望藉此保護車輛隱私權。另外，減少通話建立的握手(Handshake)次數或減少廣播訊息，也可達到時間與頻寬效率。而若能在既有安全通訊協定基礎上發展，例如IETF DTLS與TLS這類因應車載特性所發展出的車載安全資通訊協定，更是關注焦點。同理，不改變車載短距通訊協定如IEEE 1609.2亦是業界所樂見。

雖然每個應用程式都應該讓使用者對某個通話期有設定安全參數的彈性，但在兩個不同情境裡，互相的身分認證(Mutual Authentication)都是需要的，因此一般建議會希望能同時支持多個應用。圖2說明同一個路側設備同時執行兩個不同應用程式之架構。

資料來源：Telcordia 圖2　同一路側設備執行應用程式之架構圖

其他目的尚包括同時支援多個通話，尤其路側設備必須有能力對不同車載設備(OBE)的不同應用程式，全部都建立各自獨立的溝通通話期。亦即安全保護不只是在車載設備對路側設備而已，而是車載設備對路側設備上所執行的應用程式。

VDTLS應用潛力待開發

VDTLS是因應車載資通訊環境而提出的安全使用者資料封包協議，並具有隱私權保護、防止竊聽、訊息偽造、身分假造和避免其他攻擊。同時也是一種藉由延伸IETF DTLS與整合公鑰密碼演算法IBE的安全通訊協定。VDTLS省去了傳統憑證管理所需的訊息交換，同時消除一些相關的冗餘工作。但雖然減少了通話建立的握手訊息資料量，卻需要更多通訊時間，將是未來需要改進的方向。

展望未來，VDTLS可望將其功能擴展至車間通訊應用，並且增加廣播和群播功能，應用到車隊管理，並計畫將VDTLS推進至IEEE WAVE 1609國際標準組織中。無論如何，VDTLS尚有許多應用可被開發，用以提供更安全的車載通訊，為用路人帶來更安全與舒適的駕駛環境。

(本文作者任職於資策會新興智慧技術研究所)