李 峰，陳 新

(北京汽車研究總院有限公司，北京101320)

0 引言

車輛直連通信技術(shù)V2X(Vehicle to Everything)的應(yīng)用為車輛提供了與周圍道路交通參與者之間的實時通信能力，可以有效優(yōu)化交通效率，降低交通事故的發(fā)生比例。但由于直連通信是以廣播方式在公共頻道上進行信息發(fā)送，面臨著兩個主要的信息安全問題：(1)消息接收者如何驗證廣播消息的真實性；(2)消息發(fā)送者如何有效保護隱私信息。傳統(tǒng)的PKI技術(shù)的特點是為發(fā)送者提供唯一有效的身份認證憑據(jù)，能夠保證消息來源的真實性，但是卻無法保護發(fā)送者的隱私；同時，復(fù)雜的證書結(jié)構(gòu)及算法導致過高的安全開銷，也無法滿足V2X業(yè)務(wù)的性能要求。因此，需要根據(jù)V2X應(yīng)用的業(yè)務(wù)特點建立專用的V2X PKI技術(shù)體系來滿足V2X應(yīng)用的安全需求。

1 V2X PKI認證體系現(xiàn)狀分析

V2X的早期標準基于IEEE802.11的底層通信協(xié)議，在此基礎(chǔ)上形成了以IEEE1609.2[1]為基礎(chǔ)的V2X信息安全體系。IEEE1609.2主要定義了V2X應(yīng)用中的安全實體及不同安全實體之間的安全通信機制，包括針對不同實體的證書類型及安全消息的格式定義。

由于不同國家和地區(qū)在管理模式上的差異，IEEE1609.2并沒有對V2X證書的管理機制提出特定的建議。以政府為主導的美國和以汽車廠商為主要推動者的歐盟各自在IEEE1609.2的基礎(chǔ)上發(fā)展出了具有自身特色的V2X PKI管理體系：安全憑證管理系統(tǒng)SCMS(Security Credential Management System)[2]和協(xié)作式智能交通系統(tǒng)安全證書管理系統(tǒng)CCMS(Cooperative-ITS security Certificate Management System)[3]。

1.1 安全憑證管理系統(tǒng)SCMS

SCMS是由美國交通部牽頭，汽車及安全行業(yè)自愿參與的針對V2V/V2I信息安全的技術(shù)驗證項目，其主要目的是以小規(guī)模的試點來探索V2X證書管理中的安全流程及隱私保護機制，因此架構(gòu)上考慮同時抵御來自外部及內(nèi)部的攻擊，確保SCMS系統(tǒng)中的任一組件都無法獨立將頒發(fā)給同一設(shè)備的不同匿名證書完全關(guān)聯(lián)。如圖1所示，完整的SCMS架構(gòu)包括6個主要部分：

(1)策略及技術(shù)管理：負責管理PKI系統(tǒng)的整體安全策略及技術(shù)路線，維護全局策略文件(GPF)以及包含所有信任證書的全局證書鏈文件(GCCF)。

(2)根證書管理：基于選民機制為SCMS系統(tǒng)建立可靠的信任根，并在根證書失效的情況下安全地重建系統(tǒng)。

(3)本地管理：基于根證書為具體的 PKI證書域頒發(fā)本地子證書，主要包括一個中間CA證書以及基于此頒發(fā)的注冊CA和匿名CA。

(4)注冊管理：由注冊CA為 V2X設(shè)備頒發(fā)注冊證書并分配相應(yīng)的業(yè)務(wù)權(quán)限。

(5)匿名證書管理：匿名CA基于設(shè)備注冊證書EC的有效性及權(quán)限配置為V2X車載設(shè)備批量頒發(fā)匿名證書，證書密鑰由系統(tǒng)基于設(shè)備在初次申請時提供的種子密鑰進行擴展，每一批證書都會對應(yīng)到一個關(guān)聯(lián)值。

(6)匿名證書吊銷：異常行為管理機構(gòu)MA與SCMS系統(tǒng)內(nèi)其他子系統(tǒng)合作確定V2X車載設(shè)備的異常狀態(tài)。MA將與異常設(shè)備對應(yīng)的關(guān)聯(lián)值發(fā)布到證書吊銷列表(CRL)來實現(xiàn)對設(shè)備內(nèi)所有未到期匿名證書的批量注銷。

1.2 協(xié)作式智能交通系統(tǒng)安全證書管理系統(tǒng)CCMS

圖1 SCMS架構(gòu)

CCMS的架構(gòu)主要考慮歐盟基于成員國的分散管理架構(gòu)、V2X業(yè)務(wù)的大規(guī)模部署要求以及歐盟GDPR隱私保護需求，在設(shè)計上加強根證書的準入機制管理，關(guān)注V2X功能全面部署情況下的技術(shù)限制及系統(tǒng)性能要求。CCMS架構(gòu)如圖2所示，其主要包括以下幾個部分：

(1)可信證書列表管理 TLM：CCMS通過一個專門的策略機構(gòu)PA來對V2X根證書進行審核并通過可信證書列表管理者TLM簽發(fā)全局的根證書列表CTL，對根證書的進入和退出實行嚴格的集中管理機制。

(2)初始安全憑證 BC：每個車載 V2X設(shè)備在初始化過程中都會獲得一個終身不變的標識ID并生成一對公私鑰，形成一個設(shè)備自簽名證書BC。

(3)注冊機構(gòu)EA：根證書直接管理注冊機構(gòu)EA，減少PKI系統(tǒng)的證書層級。EA基于對設(shè)備BC認證為車輛設(shè)備頒發(fā)注冊證書EC并定義其業(yè)務(wù)權(quán)限。

(4)授權(quán)機構(gòu)AA：授權(quán)機構(gòu)負責為車輛頒發(fā)用于簽發(fā)消息的匿名授權(quán)證書AT，授權(quán)機構(gòu)不保存車輛的隱私信息，依賴注冊機構(gòu)EA對AT申請進行審核確認。

(5)匿名證書吊銷：AA必須與EA合作才能夠共同確認異常車輛真實信息。由于在V2X業(yè)務(wù)大規(guī)模部署的情況下，證書撤銷列表CRL會快速增長而導致設(shè)備驗證消息簽名的性能下降，因此CCSM主要通過對異常設(shè)備EC的黑名單管理機制阻止設(shè)備獲得新的匿名授權(quán)證書，對異常設(shè)備內(nèi)部已下載的未過期匿名證書則等待其自然過期失效，不考慮基于CRL的主動撤銷機制。

2 LTE-V2X PKI系統(tǒng)架構(gòu)探討

2.1 LTE-V2X PKI系統(tǒng)特點

圖2 CCMS架構(gòu)

目前用于V2X通信的主流技術(shù)包括專用短程通信 DSRC(Dedicated Short Range Communication)技術(shù)和基于蜂窩移動通信系統(tǒng)的C-V2X(Cellular Vehicle to Everything)技術(shù)(包括 LTE-V2X 和 5G NR-V2X)，其中LTE-V2X是基于4G技術(shù)實現(xiàn)通信，以LTE蜂窩網(wǎng)絡(luò)為V2X基礎(chǔ)的車聯(lián)網(wǎng)專有協(xié)議。美國和歐盟的V2X技術(shù)均基于IEEE802.11的DSRC技術(shù)，國內(nèi)LTE-V2X系統(tǒng)雖然有著與其類似的消息認證及用戶隱私保護需求，但是證書管理的具體實現(xiàn)機制有所不同：

(2)集中的政府管理架構(gòu)：V2X PKI系統(tǒng)的管理機制與道路交通的管理體系密切相關(guān)，與美國和歐盟基于州或成員國的分散管理體系不同，國內(nèi)是一個相對集中的管理架構(gòu)。工業(yè)與信息化部、公安部、交通部不同程度地參與到交通管理流程，其中工信部主要負責車輛及道側(cè)設(shè)備的生產(chǎn)過程中的管理，公安部和交通部則負責車輛及道側(cè)設(shè)備在使用過程中的管理。車輛及道側(cè)設(shè)備從生產(chǎn)到使用的過程中存在一個管理責任的銜接，需要各方建立相互的信任機制。

(3)個人隱私保護需求：國內(nèi)在車輛及個人用戶隱私保護方面的焦點在于對個人用戶隱私信息的搜集、存儲以及分享方面的合規(guī)性要求[5]。與此同時，嚴格的監(jiān)管要求也需要V2X業(yè)務(wù)的管理方在車輛出現(xiàn)異常行為時能夠快速定位用戶的真實身份。

2.2 LTE-V2X PKI系統(tǒng)架構(gòu)建議

作為全球化產(chǎn)業(yè)體系，汽車整車業(yè)務(wù)需要考慮與國際技術(shù)的接軌，因此國內(nèi)的LTE-V2X PKI系統(tǒng)也應(yīng)以IEEE1609.2為基礎(chǔ)，結(jié)合LTE-V2X的技術(shù)特點以及大規(guī)模商用的實際需求來進行規(guī)劃。本文建議基于歐盟的CCSM架構(gòu)進行相應(yīng)的調(diào)整，在適應(yīng)國內(nèi)管理體系的同時充分利用LTE-V2X技術(shù)的網(wǎng)聯(lián)能力來實現(xiàn)對V2X證書的高效管理。圖3為建議的V2X PKI系統(tǒng)架構(gòu)。

2.3 LTE-V2X PKI系統(tǒng)主要流程

2.3.1 根證書管理

根證書是整個V2X PKI系統(tǒng)的可信基點，道路交通管理的參與各方需要根據(jù)實際的管理流程建立共同信任的根證書系統(tǒng)。SCMS和CCMS都需要考慮存在不確定的V2X PKI的根證書提供者，地方政府、聯(lián)盟成員國、安全組織以及汽車制造商都有可能獨立建設(shè)V2X PKI根證書并為V2X設(shè)備頒發(fā)證書。

國內(nèi)的道路交通管理部門采用全國性的集中管理模式，雖然不同的管理部門之間可能不會使用同一個根證書，但同一管理部門內(nèi)部則可以建立全國性的單一根證書體系?？紤]到具有根證書建設(shè)權(quán)限的管理機構(gòu)基本是確定的，不會頻繁增加或刪除V2X PKI根證書信息，因此并不需要建立類似于SCMS的投票機制或CCMS的TLM管理機制來專門對根證書的加入與退出進行可信管理。

國內(nèi)的LTE-V2X PKI系統(tǒng)可能為單一根證書模式，或包含有限的互相信任的若干根證書的多根模式，因此可以將LTE-V2X PKI系統(tǒng)的根證書管理部分簡化為三個主要的機構(gòu)：

(1)策略機構(gòu)(PA)：策略機構(gòu)負責各個根證書安全策略的管理與協(xié)調(diào)。在單根證書模式下，PA與根證書RCA是合一的；在多根證書模式下，PA由多個根證書管理機構(gòu)組成，為多個根證書建立互信機制。

在常溫(293 K)下取質(zhì)量為m=0.01 g磁性纖維素加入體積10 mL初始濃度C0=50 mg·L-1的pH為7的亞甲基藍溶液中，振蕩吸附，在不同時間間隔內(nèi)取樣測量。由圖4可以看出，磁性纖維素對亞甲基藍的吸附在前10 min時，吸附容量快速增加，10 min后吸附容量緩慢增加且趨于平衡，120 min后吸附容量基本達到平衡，因此選擇最佳吸附時間為2 h。

(2)根證書(RCA)：如果存在若干個全國性 RCA，則各根證書之間通過策略機構(gòu)PA的協(xié)調(diào)實現(xiàn)交叉互信。

(3)可信證書列表(CTL)：PA定期向各個RCA推送可信證書列表(CTL)，由RCA簽發(fā)給證書域內(nèi)的設(shè)備或服務(wù)器站點。CTL分為兩個系列：CTL_1包含所有可信的內(nèi)部及外部根證書，發(fā)布給PKI架構(gòu)中各服務(wù)器；CTL_2包含可信的V2X根證書或次級CA證書，發(fā)布給V2X車載終端及道側(cè)設(shè)備。

2.3.2 車輛初始化與注冊

實際的車輛管理過程中，車輛的生產(chǎn)與注冊由不同的實體進行管理。整車生產(chǎn)廠商負責車輛的生產(chǎn)和初始化；交通管理機構(gòu)負責車輛的注冊，為車輛頒發(fā)V2X注冊證書(EC)并分配相應(yīng)的V2X業(yè)務(wù)權(quán)限。

圖3 建議的V2X PKI系統(tǒng)架構(gòu)

SCMS系統(tǒng)建議由整車廠商在生產(chǎn)過程中完成車輛的注冊，與車輛生產(chǎn)與注冊管理分離的管理機制不相適應(yīng)；CCMS利用設(shè)備的初始證書BC實現(xiàn)了生產(chǎn)與注冊過程的分離，但BC的自簽名屬性決定需要額外流程才能確認未注冊車輛的真實信息。同時，一旦車輛注冊證書失效，需要重新進行初始化才能夠下載新的注冊證書，會導致產(chǎn)生額外的車輛召回成本。

因此，在圖3的架構(gòu)中，引入了一個獨立于V2X PKI系統(tǒng)的設(shè)備證書PKI系統(tǒng)(OEMCA)，整車廠商在生產(chǎn)過程中基于OEMCA為車輛頒發(fā)包含車輛V2X業(yè)務(wù)屬性等信息在內(nèi)的設(shè)備證書(DC)，DC為后續(xù)的V2X業(yè)務(wù)流程提供初始的信任憑證。

設(shè)備初始證書的頒發(fā)過程是一個完全定制化的過程，整車廠商確保初始化流程安全可信，并在車輛設(shè)備生命周期內(nèi)負責設(shè)備證書DC的維護及更新。

為了確保V2X PKI證書系統(tǒng)對整車OEMCA的信任，策略機構(gòu)PA需要對OEMCA進行審計?？尚诺腛EMCA根證書會被添加到可信證書列表CTL_1并發(fā)布到相應(yīng)的注冊授權(quán)服務(wù)(AUTH)，支持注冊機構(gòu)對車輛設(shè)備證書DC的認證過程。

車輛在注冊V2X業(yè)務(wù)時，首先通過LTE網(wǎng)絡(luò)Uu接口向AUTH提交設(shè)備證書DC進行認證并建立安全通信通道，注冊授權(quán)服務(wù)(AUTH)基于此安全通道搜集并保存車輛及用戶的隱私信息，校驗注冊請求的有效性并向證書注冊機構(gòu)(ECA)為車輛申請注冊證書(EC)。在EC過期或更換 ECA時，車輛基于同樣的流程重新注冊，無需對車輛重新進行初始化。

由于OEMCA和注冊系統(tǒng)均采集了車輛設(shè)備的隱私信息，因此二者應(yīng)基于具有高安全防護能力的私有云系統(tǒng)進行部署。

2.3.3 授權(quán)證書管理

匿名授權(quán)證書主要在具有隱私保護需求的場景下實現(xiàn)對車輛隱私的保護，V2X PKI系統(tǒng)會為車輛在同一個時間段頒發(fā)多個同時有效的無關(guān)聯(lián)的匿名授權(quán)證書，車輛通過不斷切換證書進行V2X消息簽發(fā)的方式來隱藏自己的真實信息，避免車輛被跟蹤并重建軌跡。V2X證書管理流程中一個重要的隱私安全就是要避免單個系統(tǒng)可以將匿名證書與實際車輛進行關(guān)聯(lián)，SCMS及CCMS在流程上都對此做出了有針對性的設(shè)計，本文中的架構(gòu)采用與CCMS一致的機制。

由于匿名授權(quán)證書短期性的特點，需要在設(shè)備上預(yù)先保存可用于多個連續(xù)時間段的證書來保證業(yè)務(wù)的連續(xù)性。預(yù)存證書的時間跨度越長，設(shè)備與后臺的交互所占資源越低，但設(shè)備被侵入的風險也越大，因此需要基于相應(yīng)的V2X技術(shù)實現(xiàn)來選擇最佳的證書預(yù)存策略。在DSRC技術(shù)體系中，由于證書的申請和下載需要與V2X應(yīng)用消息競爭無線通道資源，導致業(yè)務(wù)上的互相干擾，因此SCMS及CCMS都推薦設(shè)備內(nèi)預(yù)置較長時間所需的匿名授權(quán)證書，二者的推薦配置如表1所示。

表1 SCMS與CCSM的匿名授權(quán)證書安全配置

由表1可以看到，在確認設(shè)備異常之后，SCMS系統(tǒng)的安全目標是在不超過三周之內(nèi)基于CRL更新的機制完成對被侵入設(shè)備上所有證書的注銷，這種機制存在兩個主要的問題：(1)需要建立鏈接值管理機制實現(xiàn)匿名授權(quán)證書的批量注銷，增加額外的系統(tǒng)成本；(2)在V2X設(shè)備大規(guī)模部署的情況下，CRL長度的快速增長會導致設(shè)備安全性能的下降。為避免這兩個問題，CCMS限定CRL僅用于特定證書的注銷管理，對于大量的短期有效的匿名授權(quán)證書則等待其自然過期。但在當前配置條件下，設(shè)備在確認異常后仍然可以在長達數(shù)月的時間內(nèi)簽發(fā)消息，雖然可以利用業(yè)務(wù)層的消息真實性校驗機制來進行風險緩沖，V2X業(yè)務(wù)仍然存在較大的安全隱患，因此需要進一步對預(yù)置匿名證書的數(shù)量進行優(yōu)化配置。

LTE-V2X技術(shù)所提供的網(wǎng)聯(lián)能力上的優(yōu)勢，使得對匿名授權(quán)證書的安全優(yōu)化成為可能。根據(jù)LTE-V2X技術(shù)的Uu接口性能的發(fā)展，可以分兩個階段來優(yōu)化匿名授權(quán)證書的安全機制：長期而言，隨著車輛網(wǎng)聯(lián)能力的進一步提高，在5G網(wǎng)絡(luò)下采用實時的在線證書狀態(tài)協(xié)議(OCSP)方案與CRL相結(jié)合的機制，在控制設(shè)備本地CRL長度的同時，實時撤銷設(shè)備異常后本地存儲的未過期匿名授權(quán)證書；在目前階段，建議利用LTE網(wǎng)絡(luò)高速可靠的處理能力，優(yōu)化匿名授權(quán)證書的配置策略，將風險控制在可接受的水平。

在不使用CRL進行匿名授權(quán)證書注銷的情況下，如果要達到與SCMS相當?shù)陌踩繕?，車載OBU設(shè)備內(nèi)預(yù)置的匿名授權(quán)證書的數(shù)量應(yīng)當壓縮到兩周的使用量，從而將設(shè)備被侵入后V2X系統(tǒng)面臨安全風險的窗口時間控制在兩周以內(nèi)。在這一配置策略下，車輛必須每周都向PKI系統(tǒng)預(yù)先申請下周所需的匿名授權(quán)證書，系統(tǒng)應(yīng)具備足夠的處理能力以支持V2X的大規(guī)模商業(yè)應(yīng)用。按照目前國內(nèi)1.8億的私家車保有量考慮，由表2可見即使在所有車輛都具備V2X功能的極端情況下，證書系統(tǒng)平均每秒處理的證書申請也低于6 000個。參考同樣具有高安全要求并采用分布式混合云部署方式的銀行業(yè)務(wù)系統(tǒng)，招商銀行目前已經(jīng)可以達到每秒3.2萬筆的峰值處理能力[7]。通過合理規(guī)劃PKI系統(tǒng)的部署方案及車輛匿名證書的更新策略，完全可以滿足車輛按周進行匿名授權(quán)證書更新的業(yè)務(wù)模式。

表2 LTE-V2X PKI系統(tǒng)處理能力要求

基于分布式云平臺部署的匿名授權(quán)系統(tǒng)在帶來性能優(yōu)勢的同時也引入了一定的用戶隱私保護上的安全風險[8]，V2X PKI在整體架構(gòu)上應(yīng)盡可能避免匿名授權(quán)系統(tǒng)對用戶隱私數(shù)據(jù)的直接訪問及存儲。因此，在分布式混合云的部署架構(gòu)中，匿名授權(quán)證書管理系統(tǒng)應(yīng)性能優(yōu)先，部署在分布式的公有云；注冊證書管理系統(tǒng)應(yīng)安全優(yōu)先，建議基于私有云進行部署。在匿名授權(quán)證書的申請中，注冊證書管理系統(tǒng)直接對匿名授權(quán)證書申請中的設(shè)備信息及業(yè)務(wù)權(quán)限進行審核，阻止非法越權(quán)的證書申請行為，同時避免匿名授權(quán)證書管理系統(tǒng)對車輛隱私信息的訪問和處理。

2.3.4 證書類型

在上文提到的架構(gòu)中，V2X終端設(shè)備中需要安裝三類證書：

(1)設(shè)備證書(DC)：此證書為傳統(tǒng)的 X.509格式證書，用于車輛與注冊系統(tǒng)之間的身份認證及通信保護，同時為V2X系統(tǒng)提供可信的設(shè)備身份信息及V2X業(yè)務(wù)能力配置參數(shù)，有效期通常大于5年。

(2)注冊證書(EC)：IEEE1609.2格式證書，定義車輛的V2X業(yè)務(wù)權(quán)限，用于匿名授權(quán)證書的申請，有效期1年。

(3)匿名授權(quán)證書(PC)：IEEE1609.2格式證書，用于簽發(fā)V2X消息，有效期1周。

其中設(shè)備證書DC為新引入的證書，整車廠商負責設(shè)備證書的初始化及更新維護。三種證書的下載流程和相互關(guān)系如圖4所示。

3 結(jié)束語

圖4 證書類型及下載流程

與DSRC系統(tǒng)相比，LTE-V2X技術(shù)的特點在于車輛與云端的高可靠以及低時延的連接能力，因此可以利用云平臺計算能力在簡化系統(tǒng)架構(gòu)的同時為V2X業(yè)務(wù)提供較高的安全防護能力。本文建議以分布式的混合云架構(gòu)作為LTE-V2X PKI系統(tǒng)的基礎(chǔ)架構(gòu)：CTL與根證書處在一個不提供聯(lián)網(wǎng)功能的高安全域；整車廠商的安全系統(tǒng)及V2X注冊系統(tǒng)處于一個具有嚴格訪問控制的私有云系統(tǒng)，為車輛及用戶的隱私信息提供全生命周期的高安全保護；匿名授權(quán)系統(tǒng)以公有云或邊緣云的方式為車輛提供短時有效的匿名授權(quán)服務(wù)，基于LTE的高可靠低時延網(wǎng)絡(luò)能力確保海量匿名證書處理的服務(wù)質(zhì)量。

V2X業(yè)務(wù)的復(fù)雜性決定了V2X的PKI安全系統(tǒng)流程的復(fù)雜性。本文基于CCMS架構(gòu)，結(jié)合LTE-V2X技術(shù)特點及國內(nèi)的交通管理體系與合規(guī)要求，針對具有隱私安全需求的車輛的V2X證書管理流程進行分析，通過對系統(tǒng)架構(gòu)、管理流程以及配置參數(shù)的優(yōu)化，在適應(yīng)國內(nèi)業(yè)務(wù)需要的基礎(chǔ)上充分利用LTE-V2X技術(shù)優(yōu)勢簡化系統(tǒng)架構(gòu)，并同時提升整體的安全防護能力。但是，由于未來V2X業(yè)務(wù)管理體系的不確定性，這一架構(gòu)仍然存在需要進一步細化和優(yōu)化的地方：

(1)策略機構(gòu)(PA)：在多根證書的機制下，如何建立PA，以何種機制在不同的根證書中建立相互信任機制還需要根據(jù)具體的管理模式來細化。

(2)整車廠商證書系統(tǒng)(OEMCA)：部分整車廠商并不具備建立自主證書系統(tǒng)的能力，這一能力的建設(shè)還存在不確定性。在這一方面，運營商基于LTEUICC的GBA認證服務(wù)也是一個可選的替代方案。

(3)注冊授權(quán)服務(wù)(AUTH)：注冊授權(quán)服務(wù)在車輛的注冊過程中會搜集、存儲以及處理用戶和車輛的隱私數(shù)據(jù)，一旦系統(tǒng)被侵入，用戶隱私就面臨被泄露的風險。因此未來需要進一步加強注冊授權(quán)服務(wù)系統(tǒng)的安全防護能力。

(4)匿名授權(quán)證書注銷：如何確認V2X設(shè)備是否出現(xiàn)異常，對于及時的證書注銷至關(guān)重要，這一機制本身的復(fù)雜性決定需要一個持續(xù)的設(shè)計及優(yōu)化過程。

本文中的系統(tǒng)架構(gòu)主要從主機廠商角度出發(fā)，基于LTE-V2X業(yè)務(wù)管理的流程及場景對已有的成熟架構(gòu)進行優(yōu)化，能夠有效解決傳統(tǒng)PKI體系面臨的發(fā)送者隱私保護和計算開銷太大的問題。隨著LTE-V2X業(yè)務(wù)場景的逐步落地、管理模式的不斷成熟以及技術(shù)能力的進一步提升，這一安全架構(gòu)還存在進一步的優(yōu)化可能。