Establishment von Safety und Trust im V2X-Ökosystem

Die Anforderungen an die Authentifizierung stellen eine Herausforderung für die Privatsphäre insbesondere für Fahrzeuge, Radfahrer und Fußgänger dar. Dadurch würde es beispielsweise für die Verkehrsinfrastruktur (z.B. Ampeln) möglich, Bewegungsprofile vorbeifahrender Fahrzeuge zu erstellen. Daher wird ein zweistufiger Ansatz für die Registrierung von End-Entitäten definiert, der zu deren Pseudonymisierung führt.

• Erster Schritt: Die Anmeldung einer End-Entität über eine RootCA stellt die grundsätzliche Teilnahmebefugnis am V2X-Ökosystem sicher. Die RootCA generiert ein „Enrollment-Zertifikat“, das der End-Entität eine eindeutige ID zuordnet.
• Zweiter Schritt: Mit dem ausgestellten „Enrollment-Zertifikat“ kann die End-Entität eine Anzahl von Berechtigungstickets/Zertifikaten (Authorization) anfordern. Diese Tickets haben eine Gültigkeit von etwa einer Woche. In diesem Zeitraum verwendet die End-Entität die Tickets zufällig, um V2X-Nachrichten zu signieren. Der Empfänger kann die Tickets weder miteinander noch mit einer spezifischen End-Entität verknüpfen.
• Die Implementierung dieses Mechanismus unterscheidet sich etwas zwischen EU und USA/CN.
• Für die Nutzung der Berechtigungstickets werden verschiedene Strategien diskutiert, zum Beispiel ein Ticket für eine Distanz von zwei Kilometern oder für fünf Minuten zu verwenden, bevor zu einem anderen Ticket gewechselt wird. Dieser Mechanismus ist wichtig für die spätere Diskussion über den Vertrauensaufbau zwischen End-Entitäten. Mit jedem Ticketwechsel präsentiert sich die übertragende Entität als neue Instanz. Deshalb sollte die Wechselfrequenz der Tickets nicht zu hoch gewählt werden.

Die erfolgreiche Anmeldung und Autorisierung einer End-Entität signalisiert den anderen Teilnehmern des V2X-Netzwerks, dass diese End-Entität den lokalen V2X-Standards entspricht und die erforderlichen Systemprofile implementiert hat. Daher gibt eine erfolgreich authentifizierte End-Entität einen Hinweis darauf, dass die empfangenen Daten die grundlegenden Qualitätsanforderungen von V2X erfüllen.

Framework zur Erkennung von Fehlverhalten (Misbehavior Detection)

Fehlverhalten kann sowohl durch fehlerhafte Geräte als auch durch böswillige Akteure verursacht werden. Fehlfunktionierende Geräte können falsche Daten liefern, zum Beispiel eine GPS-Position. Die Ursache der Fehlfunktion könnte ein defektes Gerät, eine falsche Implementierung oder ein Verhalten in spezifischen Randfällen sein.

Bei böswilligen Akteuren kann zwischen zwei Arten von Angreifern unterschieden werden:

• „Böswillige“ V2X-Geräte mit notwendiger Hardware, Software und gültigen V2X-Anmeldeinformationen, die es ihnen ermöglichen, gefälschte Informationen in das V2X-Netzwerk und in andere „ahnungslose“ Geräte einzuspeisen.
• Externe Angreifer, die die Umgebung manipulieren, um Sensoren zu Fehlfunktionen zu veranlassen oder Sensoren dazu zu bringen, Daten falsch zu lesen.

Die potenzielle Präsenz von Fehlverhalten macht es notwendig, dass das Ego-Fahrzeug die empfangenen Daten lokal überprüft. Verschiedene Methoden könnten verwendet werden, um eingehende Daten zu validieren:

• Überprüfung der Protokollparameter
• Überprüfung der Plausibilität von Werten gegenüber Schwellenwerten, zum Beispiel Geschwindigkeit < 400 km/h
• Überprüfung der Konsistenz von Daten mit vorherigen Nachrichten, zum Beispiel Richtungsänderung um 90° in Millisekunden
• Datenabgleich mit externen Daten, zum Beispiel Positionierung in HD-Karten
• Datenabgleich mit internen Sensordaten und dem Umgebungsmodell

Aus Sicht des Netzwerkbetriebs ist es wünschenswert, eine große Anzahl fehlerhafter oder kompromittierter Geräte aus dem V2X-Netzwerk zu eliminieren. Andernfalls würden diese bereits bekannten Probleme die Integrität des Netzwerks beeinträchtigen.

Um solche Umstände zu erkennen, werden in den verschiedenen Regionen Standards entwickelt, um die Meldung von Fehlverhalten in den Endgeräten und die Behandlung dieser Berichte durch zentrale Behörden (Misbehavior Authorities) zu definieren. Mechanismen zum Widerruf von Endgeräten sind bereits definiert. Die Erkennung und Behebung von Fehlverhalten sind jedoch mit Kosten verbunden. Für das Fahrzeug zeigt beispielsweise die frühe Implementierung in China, dass das Aktualisieren von Sperrlisten für End-Entitäten im Fahrzeug bis zu 25% der Nachrichten, die mit dem Security-Backend ausgetauscht werden, und 90% der Datenmenge ausmachen kann.

Auch mit dem Rahmenwerk zur Erkennung von Fehlverhalten bleibt die Frage für das Ego-Fahrzeug, inwieweit die empfangenen Daten vertrauenswürdig sind und in sicherheitskritischen Funktionen verwendet werden können.

Ihre Expertinnen und Experten bei msg

Sind Sie in der dynamischen Welt der V2X-Kommunikation, Konnektivität und des autonomen Fahrens aktiv? Dann verstehen Sie sicherlich die Komplexität und die Herausforderungen, die diese Technologien mit sich bringen. Die Expertinnen und Experten von msg sind hier, um Sie auf Ihrem Weg zu begleiten und Ihre individuellen Bedürfnisse zu erfüllen.

Unser umfangreiches Fachwissen im Bereich Systems Engineering – einschließlich Architektur, Sicherheit und Security – sowie im Testing von modernen, hochgradig verteilten Fahrzeugarchitekturen, ermöglicht es uns, Sie bei der Entwicklung und Implementierung von Cloud-basierten Remote-ADAS-Lösungen umfassend zu unterstützen. Wir helfen Ihnen nicht nur bei der Konzeption, sondern auch bei der Absicherung dieser Funktionen, um die Vision des autonomen Fahrens Wirklichkeit werden zu lassen.

Darüber hinaus bringen wir unsere Kompetenzen in den Bereichen Machine Learning und Analytics ein, um die umfangreichen Datensätze, die bei der Entwicklung dieser fortschrittlichen Technologien anfallen, effektiv zu analysieren und zu nutzen. Diese Fähigkeiten sind entscheidend, um die Zuverlässigkeit und Sicherheit der Fahrfunktionen zu gewährleisten.