22.11.2021

Misbehaviour Detection: Vertrauenswürdige V2X-Kommunikation

Vernetzte Mobilität, die dem Credo bestmöglicher Funktions- und Verkehrssicherheit (Safety) folgt, wird erst möglich durch Vehicle-to-Everything (V2X)-Kommunikation, dem Datenaustausch von Fahrzeugen untereinander und mit der Verkehrsinfrastruktur. V2X versorgt die vernetzten Fahrzeuge ständig mit einer großen Menge an Informationen, um sie, automatisiert oder nicht, zu verkehrsgerechten Entscheidungen zu führen. Die Cybersicherheit der V2X-Kommunikation ist dabei von zentraler Bedeutung. Denn eine zielführender V2X-Datenaustausch setzt voraus, dass die Information genau, vertrauenswürdig und vor Missbrauch geschützt sind.

PKI-Systeme für Europa und Nordamerika

Bild 1: Das Credential Management System stellt die Infrastruktur für eine abgesicherte V2X-Kommunikation.

Um Datensicherheit und Privatsphäre (Privacy) zu gewährleisten, benötigt V2X-Kommunikation eine Public-Key-Infrastruktur (PKI) – das Security Credential Management System (SCMS) für Nordamerika (NA) und das Cooperative Intelligent Transportation System Credential Management System (CCMS) für Europa (EU). Diese PKI-Systeme stellen pseudonyme Zertifikate aus, die es den kommunizierenden Fahrzeugen und Verkehrsanlagen erlauben, nur autorisierte Sender als vertrauenswürdig zu identifizieren. SCMS und CCMS werden längst in zahlreichen V2X-Pilotprojekten eingesetzt und sollen das Security-Gerüst für künftige nationale V2X-Infrastrukturen stellen. (Bild 1)

Einen kritischen Aspekt indes gilt es künftig noch in die Betrachtung und Ausgestaltung des Credential-einzubeziehen: Misbehaviour Detection, die Erkennung von Fehlverhalten im V2X-Netzwerk. Solch ein Fehlverhalten liegt immer dann vor, wenn unzulässige Nachrichten gesendet werden – entweder missbräuchlich, um Schaden anzurichten oder sich einen Vorteil auf der Straße zu verschaffen, oder aufgrund einer Fehlkonfiguration oder Fehlfunktion. Idealerweise wird ein Fahrzeug, das sich solch eines anomalen oder missbräuchlichen Verhaltens schuldig macht, indem es falsche Daten überträgt (z. B. falscher Standort oder Geschwindigkeit des Fahrzeugs, Vortäuschung mehrerer Fahrzeuge zwecks Manipulation der Ampelschaltung, Falschinformationen über andere Entitäten), aktiv aus dem V2X-Netzwerk entfernt werden, bis die Ursache seines Fehlverhaltens ermittelt und behoben ist.

Misbehaviour Detection: Erkennung von Missbrauch und Anomalien

Noch gibt es für den V2X-Sektor keinen vollständigen Katalog von Verhaltensweisen, die als verdächtig oder als Fehlverhalten eingestuft werden können. Es gibt jedoch Anhaltspunkte, die helfen können, ein potenziell schädliches V2X-Gerät zu erkennen:

  • Verwendung abgelaufener oder falscher Zertifikate (z. B. falsche Berechtigung, Geofence)
  • Senden von Nachrichten mit falschen Signaturen, ungültigen oder gültigen gefälschten Daten (z. B. Uhrzeit, Standort, Versionsnummer)
  • Senden von Nachrichten mit gefälschten und nicht autorisierten Informationen (z. B. um Vorrang zu erlangen)

In diesen Fällen verwendet oder sendet ein V2X-System durchgehend Informationen, die der Standardvalidierung nicht standhalten oder mit den Sensormessdaten des Empfängers nicht im Einklang stehen. Misbehaviour Detection fällt hier vergleichsweise leicht, da das Fehlverhalten auf Basis einer einzelnen Beobachtung erkannt und gemeldet werden kann. Darüber hinaus lassen sich Daten aus mehreren Quellen kombinieren, um einen Missbrauch oder eine Störung zu verifizieren.

Misbehaviour Authority: Analyse und Korrelation der Meldungen

Wenngleich es also noch kein standardisiertes Verfahren, mit dem eine Misbehaviour Authority (MA) im Backend eine Serie von Meldungen verlässlich als Fehlverhalten klassifizieren kann, stehen ihr hierfür dennoch verschiedene Instrumente zur Verfügung: So kann die MA etwa Meldungen mehrerer Absender aus dem gleichen geografischen Umkreis korrelieren, um festzustellen, ob die Meldungen womöglich demselben Fahrzeug zuzuordnen sind. Oder sie sucht charakteristische Merkmale in den gemeldeten Nachrichten, die einen potenziellen Zusammenhang herstellen – die Misbehaviour Reports werden nach übereinstimmenden Anomalien gescannt, um sie dann zur gemeinsamen Quelle zurückzuverfolgen.

Sobald die MA die Misbehaviour Reports gemäß ihrer vermeintlichen Zugehörigkeit zu bestimmten Fahrzeugen eingruppiert hat, kontaktiert sie die entsprechenden PKI-Komponenten, um ihre Erkenntnisse zu validieren. Auf diesem Wege kann die MA ihre Abfragen dann weiter verfeinern oder entscheiden, ob tatsächlich ein Missbrauch oder eine Störung vorliegen.

Bild 2: In einer Misbehaviour Authority (MA) laufen erkannte Anomalien zusammen, werden zur gemeinsamen Quelle zurückverfolgt und so als tatsächliches Fehlverhalten verifiziert bevor die Revokationsliste entsprechend ergänzt wird.

Sperr- und Revokationsprozess

Ein erkanntes, bestätigtes Fehlverhalten löst dann den Sperr- und Revokationsprozess aus. Beim Sperren wird das Registrierungszertifikat des Fahrzeugs für ungültig erklärt, eine Authentifizierung bei der Registration Authority (RA) zum Anfordern und Herunterladen von pseudonymen Zertifikaten ist dann nicht mehr möglich. Auf Anweisung der Misbehaviour Authority werden Verknüpfungsinformationen, welche das Registrierungszertifikat mit den fehlerhaften Pseudonymen assoziieren, von PKI-Komponenten ausgetauscht, um das betroffene System zu sperren. Bei dem nordamerikanischen PKI-System wird zusätzlich das Zertifikat mit entsprechenden Verkettungsinformation zu den anderen Pseudonymen des betroffenen Systems auf die Revokationsliste gesetzt. Der Onboard Unit des Fahrzeugs werden in der Folge keine Dienste mehr angeboten; das Herunterladen von zuvor angeforderten Pseudonymen oder die Anforderung neuer Pseudonyme wird unterbunden. Kurz gesagt, das Fahrzeug auf der Sperrliste kann nicht mehr mit den PKI-Komponenten kommunizieren.

Allerdings kann das Sperren nicht verhindern, dass ein Fahrzeug Pseudonyme verwendet, die es bereits heruntergeladen hat. Um andere Verkehrsteilnehmer im V2X-Netz darüber zu informieren, dass bestimmte Pseudonyme widerrufen wurden, muss daher die Revokationsliste um die Verknüpfungsinformationen des gesperrten Fahrzeugs ergänzt werden.

Sicheres V2X-Ökosystem

Im Rahmen der künftigen engmaschigen V2X-Kommunikation und seiner Public-Key-Infrastruktur werden neue Anwendungsfälle entstehen, die möglicherweise über die derzeitigen Definitionen für Fehlverhalten hinausreichen. Ein gut durchdachtes System sollte den sicheren Einsatz und die Integration neuer Technologien erleichtern und sie nicht einschränken. Zudem gehen viele V2X-Anwendungen über den einfachen Datenaustausch hinaus und ermöglichen es den Verkehrsteilnehmern, proaktiv Verhaltensänderungen bei anderen Verkehrsteilnehmern und in der Infrastruktur zu fordern (z.B. die Vorrangschaltung für Einsatzfahrzeuge). Aus diesen Gründen werden ein schlüssiges Konzept für Misbehaviour Detection und dessen Implementierung eine wichtige Rolle übernehmen.