/

ISO/TS 21177:2019 高度道路交通システム—信頼できるデバイス間の安全なセッション確立と認証のためのITSステーションセキュリティサービス | ページ 3

※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。

序章

このドキュメントは、ソースの信頼性と、 信頼できるデバイス 間で行われるアプリケーション アクティビティの機密性と完全性を保証するために必要な ITS ステーション セキュリティ サービスに関するものです。

2 つのデバイス間の信頼関係を図 1 に示します。2 つのデバイスは信頼できる方法で連携します。つまり、オプションの明示的な双方向保護を使用して情報を交換します。

図 1 —信頼できるデバイスの相互接続

ISO 21217 によると、ITS ステーション ユニット (ITS-SU)、つまり ITS ステーション (ITS-S) 機能の物理的な実装は信頼できるデバイスであり、ITS-SU は ITS ステーション通信ユニット (ITS -SCU) であり、ITS ステーション内ネットワークを介して相互接続されています。したがって、ITS-SCU は、信頼できるデバイスと呼ばれる ITS-SU の最小の物理エンティティです。

注 1 ISO 21217 は、ISO 21217 の前身である EN 302 665 [15]の機能を完全にカバーしています。

注 2 ITS-SU は、ISO 24102-2 [5]および ISO 17419 で指定された異なる ITS-SCU 構成および管理センターに各 ITS-SCU がリンクされている、異なるベンダーの ITS-SCU で構成することができます。同じ ITS-SU の ITS-SCU 間の通信は、ISO 24102-4 [7]で指定されています。欧州のC-ITS規制は、「ITS-SCU構成および管理センター」を「C-ITSステーションオペレータ」と呼んでおり、これはC-ITSステーションの操作を担当するエンティティを意味する。 C-ITS ステーション オペレータは、単一の C-ITS ステーション (固定またはモバイル)、または複数の固定 C-ITS ステーションまたは複数のモバイル ITS ステーションで構成される C-ITS インフラストラクチャの運用を担当できます。

ITS 通信ネットワークにおける通信ノードの 4 つの実装コンテキストは、ITS ステーションおよび通信アーキテクチャ ISO 21217 で特定されています。個人、車両、道端、または中央。これらの ITS-SU は、ISO 21217 で要求される ITS で保護された通信ノードであり、持続可能性、交通安全、輸送効率などに関連するさまざまな ITS サービスに参加しています。

過去 10 年間で、車載ネットワーク (IVN) やインフラストラクチャ/ロードサイド ネットワーク (IRN) などのセンサーおよび制御ネットワーク (SCN) からのデータへの安全なアクセスを必要とする ITS サービスが登場し、その一部は安全なローカル アクセスを必要とします。タイムクリティカルな情報へ。図 2 および 3 を参照してください。

図2 —独自のIRNに接続された路側ITS-SUの例

図3 —独自のIRNに接続された車両ITS-SUの例

ITS ドメインでの信頼は、主に ISO 21217 で導入された ITS Station Communication Unit (ITS-SCU) 間のものです。図 4 を参照してください。

図 4 — ITS-SU 内の ITS-SCU の相互接続

ITS SCU は、ITS ステーションの内部ネットワークを介して相互接続されます。このドキュメントで指定されている基本的なセキュリティ手段を適用すると、ITS SCU は相互に信頼します。さらに、ITS-SCU 間で交換されるプロトコル データ ユニットは、暗号化などの追加手段によってさらに保護される場合があります。同じ ITS-SU の ITS-SCU 間のセキュアな通信の主なアプリケーション ドメインは、ISO 24102-4 [7]で規定された局内管理通信を使用した ISO 24102-1 [4]で規定されたローカル局管理です。

ITS ドメインでの信頼は、ISO 21217 で導入された ITS-SU 間でも同様です。図 5 を参照してください。

図 5 — ITS SU の相互接続

このドキュメントで指定された基本的なセキュリティ手段を適用することで、ITS-SU は安全なアプリケーション セッションを確立できます。セッションの確立には、セッション パートナーに関するアプリオリな知識が必要であるか、または ISO 22418 [3]で指定されたサービス アナウンスによって達成できます。さらに、メッセージのブロードキャストは、ISO/TS 16460 [1]で指定され、ISO 22418 [3]で使用されるサービス アドバタイズ メッセージ (SAM) に適用される、そのようなメッセージの送信者を認証することによって保護されます。さらに、メッセージの暗号化など、他のセキュリティ手段を適用することもできます。

ITS ドメインにおけるさらなる信頼関係は、1 つまたは複数の ITS-SCU で構成される ITS-SU と、センサーおよび制御ネットワーク (SCN) の間です。信頼は、図 6 に示されているように、インターフェイスにセキュリティ手段を適用することによって達成されます。詳細は、このドキュメントで指定されています。

図6 — ITS-SUとセンサーおよび制御ネットワーク間のインターフェース

図 6 に示されているインターフェイスは、スタンドアロン デバイスである場合もあれば、ITS-SU に統合されている場合もあれば、SCN の一部である場合もあります。 SCN の例としては、「車載ネットワーク」(IVN) と「インフラストラクチャ/路側ネットワーク」(IRN) があります。

これらの ITS サービスの関連するユースケースは、主に規制要件と ITS の運用上のニーズから導き出されたもので、次のようなものがあります。

  • 衝突回避、緊急電子ブレーキ ライト、イベント判定など、人命および財産の安全を確保するためのタイム クリティカルな車両関連データへのリアルタイム アクセスを保護します。
  • 交差点の相互作用、渋滞の回避、動的な優先順位など、効率的なアプリケーション (交通管理) のための詳細なリアルタイム データへのローカル アクセスを保護します。
  • 欧州の「一般データ保護規則」(GDPR) [16]に準拠した個人データの保護。
  • 動的排出ゾーン(欧州委員会が資金を提供するプロジェクト チーム PT 1705 内で現在 CEN TC 278 で標準化されている管理ゾーン)、排出量に基づく交差点の優先順位、対話型の最適な車両設定など、持続可能性アプリケーション向けの認証済みリアルタイム データへのローカル アクセス燃料消費を最小限に抑えます。

近接する ITS-SU 間でタイム クリティカルな情報をリアルタイムで交換することが不可欠であると現在確認されて[ITSサービスの多くのユース ケースがあり、その数はさらに増える]う。最終的に、特定のエリア内のすべての ITS-SU がこれらの分散サービスに関与できることが重要です。これにより、車両の ITS-SU が車両データにリアルタイムでアクセスできるようになり、路側の ITS-SU がインフラストラクチャ データにリアルタイムでアクセスできるようになる必要があります。すべての ITS-SU は、安全なソフトウェア更新が可能である必要があります。

ISO 21217 によると、ITS-SU の ITS-SCU は、厳密には ISO 21217 で指定されたアーキテクチャに準拠していないデバイスと通信できます。セキュリティ対策は、ITS-SCU とそのような外部デバイスとの間で共有する必要があります。このような外部デバイスの例としては、インターネット内のノード、またはセンサーおよび制御ネットワーク内のノードがあります。このドキュメントでは、ITS-SU で動作する ITS-S アプリケーション プロセスが認証局 (CA) によって証明書と共に発行され、CA が信頼できる第三者であるという前提で行われます。 ITS-S アプリケーション プロセスが存在する場合、ITS-S アプリケーション プロセスが存在する ITS-SU がそのアプリケーションの最小セキュリティ要件を満たしていることを確認します。これにより、ITS-S アプリケーション プロセスが有効な証明書を所有していることを確認するピア ITS-S アプリケーション プロセスは、ITS-S アプリケーション プロセスが実際に安全で信頼できるものであるというレベルの保証を得ることができます。

したがって、このドキュメントの主題は 3 つあります。

  • 1)同じ ITS-SU の異なる ITS-SCU で実行されている ITS-S アプリケーション プロセス間の信頼を有効にするための ITS ステーション セキュリティ サービスを指定します。つまり、ITS-SCU 内の信頼も考慮して、信頼できる処理プラットフォームを確立します。
    • 他のアプリケーションのアクションからのアプリケーションの保護。
    • 共有情報の保護;
    • 通信ソフトウェアやハードウェアなどの共有処理リソースの保護。これには、優先順位付けや制限付きアクセスの方法が含まれます。

  • 2)同じ ITS-SU 上で実行される ITS-S アプリケーション プロセス間の信頼を有効にするための ITS ステーション セキュリティ サービスを指定します。

  • 3)これらの ITS セキュリティ サービスを拡張して、ITS-SCU と、センサーおよび制御ネットワークの一部であるデバイスとの間の信頼を有効にします。

注記 3この文書の主題は、将来の版で拡張される予定です。

このようなセキュリティ サービスには、たとえば次のような基本的なセキュリティ機能が含まれます。

  • a)認証と認可;
  • b)守秘義務とプライバシー。
  • c)データの完全性
  • d)否認防止。

通信に関連するタスクは次のとおりです。

  • a) ISO 22418 [3]で指定されたサービス通知などに基づいて、双方向通信用の安全なセッションを確立する。
  • b) CAM, DENM, BSM, SPAT, MAP, FSAM, WSA などのブロードキャスト メッセージの送信者を認証する。
  • c)メッセージの暗号化。

注記 4通信に関連する上記のタスク b) および c) は、他の規格ですでに指定されています (たとえば、IEEE Std. 1609.2™ および ETSI TC ITS の関連規格を参照)

Introduction

This document is about ITS station security services required to ensure the authenticity of the source and confidentiality and integrity of application activities taking place between trusted devices .

The trust relation between two devices is illustrated in Figure 1. Two devices cooperate in a trusted way, i.e. exchange information with optional explicit bi-directional protection.

Figure 1—Interconnection of trusted devices

According to ISO 21217, an ITS station unit (ITS-SU), i.e. the physical implementation of the ITS station (ITS-S) functionality, is a trusted device, and an ITS-SU may be composed of ITS station communication units (ITS-SCU) that are interconnected via an ITS station-internal network. Thus an ITS-SCU is the smallest physical entity of an ITS-SU that is referred to as a trusted device.

NOTE 1 ISO 21217 fully covers the functionality of EN 302 665[15], which is a predecessor of ISO 21217.

NOTE 2 An ITS-SU can be composed of ITS-SCUs from different vendors where each ITS-SCU is linked to a different ITS-SCU configuration and management centre specified in ISO 24102-2 [5] and ISO 17419. Station-internal management communications between ITS-SCUs of the same ITS-SU is specified in ISO 24102-4 [7]. European C-ITS regulation refers to the"ITS-SCU configuration and management centre" as"C-ITS station operator" meaning the entity responsible for the operation of a C-ITS station. The C-ITS station operator can be responsible for the operation of one single C-ITS station (fixed or mobile), or a C-ITS infrastructure composed of a number of fixed C-ITS stations, or a number of mobile ITS-Stations.

Four implementation contexts of communication nodes in ITS communications networks are identified in the ITS station and communication architecture ISO 21217, each comprised of ITS-station units (ITS-SU) taking on a particular role; personal, vehicular, roadside, or central. These ITS-SUs are ITS-secured communication nodes as required in ISO 21217 that participate in a wide variety of ITS services related to, e.g. sustainability, road safety and transportation efficiency.

Over the last decade, ITS services have arisen that require secure access to data from Sensor and Control Networks (SCN), e.g. from In-Vehicle Networks (IVN) and from Infrastructure/Roadside Networks (IRN), some of which require secure local access to time-critical information; see Figures 2 and 3.

Figure 2—Example of a roadside ITS-SU connected with proprietary IRN

Figure 3—Example of a vehicle ITS-SU connected with proprietary IRN

Trust in the ITS domain primarily is between ITS Station Communication Units (ITS-SCUs) introduced in ISO 21217; see Figure 4.

Figure 4—Interconnection of ITS-SCUs in an ITS-SU

ITS-SCUs are interconnected via an ITS station-internal network. Applying basic security means specified in this document, the ITS-SCUs trust each other. Additionally, protocol data units exchanged between ITS-SCUs may be further protected by additional means, e.g. applying encryption. Major application domains of secure communications between ITS-SCUs of the same ITS-SU are local station management specified in ISO 24102-1 [4] using station-internal management communications specified in ISO 24102-4 [7].

Trust in the ITS domain further is between ITS-SUs introduced in ISO 21217; see Figure 5.

Figure 5—Interconnection of ITS-SUs

Applying basic security means specified in this document, the ITS-SUs can establish secure application sessions. Establishment of sessions either needs a-priori knowledge about a session partner or can be achieved by means of service announcement specified in ISO 22418[3]. Further on, broadcast of messages is secured by means of authenticating the sender of such a message, applicable for the service advertisement message (SAM) specified in ISO/TS 16460 [1] and used in ISO 22418[3]. Additionally, other security means may be applied, e.g. encryption of messages.

A further trust relation in the ITS domain is between an ITS-SU consisting of one or several ITS-SCUs and a sensor and control network (SCN). Trust is achieved by applying security means in an interface as illustrated in Figure 6 with details specified in this document.

Figure 6—Interface between ITS-SU and sensor and control network

The interface presented in Figure 6 may be a stand-alone device, or may be integrated in the ITS-SU, or may be part of the SCN. Examples of SCNs are"In-Vehicle Networks" (IVN) and"Infrastructure/Roadside Networks" (IRN).

Related use cases of these ITS services have largely been derived from regulatory requirements and ITS operational needs, and they include:

  • secure real-time access to time-critical vehicle-related data for safety of life and property applications, e.g. collision avoidance, emergency electronic brake light and event determination;
  • secure local access to detailed real-time data for efficiency applications (traffic management), e.g. intersection interaction, congestion avoidance, dynamic priorities;
  • protection of private data, e.g. in compliance with the European"General Data Protection Regulation" (GDPR)[16];
  • local access to certified real-time data for sustainability applications, e.g. dynamic emission zones (controlled zones as currently standardized in CEN TC 278 within the Project Team PT 1705 funded by the European Commission), intersection priorities based on emissions, interactive optimum vehicle settings to minimize fuel consumption.

There are many use cases of ITS services currently identified where real-time exchange of time-critical information between ITS-SUs in close proximity is essential, and the number will grow, see e.g. the US National ITS Reference Architecture[17]. It is critical that ultimately all ITS-SUs in a given area are able to be engaged in these distributed services. This, in turn, requires vehicle ITS-SUs to have real-time access to vehicle data, and roadside ITS-SUs to have real-time access to infrastructure data. All ITS-SUs need being capable of secure software updates.

According to ISO 21217, an ITS-SCU of an ITS-SU can communicate with devices that, in a strict sense, are not compliant with the architecture specified in ISO 21217. However, in order to have trusted communications, a certain minimum level of security measures must be shared between an ITS-SCU and such an external device. Examples of such external devices are a node in the Internet, or a node in a sensor and control network. In this document, the assumption is made that ITS-S application processes operating on ITS-SUs are issued with certificates by a Certificate Authority (CA), and that the CA is a trusted third party in the sense that before issuing the certificate to the ITS-S application process, it ensures that the ITS-SU on which the ITS-S application process is resident meets the minimum security requirements for that application. This allows peer ITS-S application processes which observe that an ITS-S application process possesses a valid certificate to have a level of assurance that the ITS-S application process is in fact secure and trustworthy.

The subject of this document thus is three-fold:

  • 1) Specify ITS station security services for enabling trust between ITS-S application processes running on different ITS-SCUs of the same ITS-SU, i.e. establishing a trusted processing platform, considering also trust inside an ITS-SCU:
    • protection of applications from the actions of other applications;
    • protection of shared information;
    • protection of shared processing resources such as communications software and hardware, which includes methods of prioritisation and restricted access.

  • 2) Specify ITS station security services for enabling trust between ITS-S application processes running on the same ITS-SU.

  • 3) Extend these ITS security services for enabling trust between an ITS-SCU and devices being part of a sensor and control network.

NOTE 3 It is intended to extend the subject of this document in future editions.

Such security services include e.g. the basic security features of:

  • a) authentication and authorisation;
  • b) confidentiality and privacy;
  • c) data integrity;
  • d) non-repudiation.

Tasks related to communications are:

  • a) establishing secure sessions for bi-directional communications, e.g. based on service advertisement specified in ISO 22418[3];
  • b) authenticating a sender of broadcast messages, e.g. CAM, DENM, BSM, SPaT, MAP, FSAM, WSA;
  • c) encrypting messages.

NOTE 4 Tasks b) and c) above related to communications are already specified in other standards, see e.g. IEEE Std. 1609.2™ and several related standards from ETSI TC ITS.

ISO PDF プレビュー