CN106454825A - 一种车联网环境下车辆辅助认证方法 - Google Patents

Abstract

本发明公开了一种车联网环境下车辆辅助认证方法。本方法结合交通实际情况，建立计算资源索引，车辆初次认证，车辆二次认证。本方法采用交通车辆跟驰理论，现行成熟的DSRC通信测距技术，车辆普遍装备的OBU，加密机制为RSA，和门限分配方案，把认证计算过程分配给行驶车辆上的OBU，借此分担大规模车联网计算压力，实现车联网环境下低沉本高效率认证。同时本方法把临时证书分段存储在车群自组网中，方便二次认证。

Description

一种车联网环境下车辆辅助认证方法

技术领域

本发明涉及主要涉及车联网安全认证，属于车联网通信认证领域。

背景技术

“万物互联”是未来智慧城市物联网重要特征，车联网作为物联网重要组成部分，随着物联网迅速发展，车联网在不久的将来也会大规模运用。安全和隐私问题一直是网络安全的核心问题，车联网安全关系到交通安全，在交通安全的基础上，保证交通通畅，高效运行。

现行的认证通常把认证计算过程集中在集中安全中心，未考虑交通实际情况，并且认证过程需要计算资源。当交通量较小，车流密度较低时，传统认证方式满足认证需求，但是当大规模接入时，需要大量计算资源，中心面临计算压力，导致认证过程缓慢，严重影响正常的网络接入，降低效率，如果配备更多更先进的计算资源则会增加成本，并且高峰认证时段只是暂时性的，闲时时段，增配的计算模块闲置，造成资源浪费，不利于车联网大范围快速推广。

发明内容

本发明目的为了应对车联网大规模应用中大规模车辆安全认证耗时耗力的问题，采用现有车载设备以及通信技术，提供一种车联网环境下车辆辅助认证方法。针对交通实际情况，把认证过程中的计算任务分配给道路上行驶车辆的OBU(On Board Unit车载单元)，分担大规模车联网认证的计算压力，实现低沉本高效率认证。

一种车联网环境下车辆辅助认证方法，包括以下几个步骤：

步骤一：根据实际交通情况，建立关于待认证车辆OBU计算资源索引；

步骤二：行驶车辆进行初次认证；

步骤三：行驶车辆进行二次认证；

本发明的优点在于：

(1)本发明方法在车联网环境下，针对道路车流密度、运行速度等特征，把认证计算任务分发给车群内其他车辆OBU，RSU(Road Side Unit路侧单元)主要负责传输和判断，不负责主要计算任务，极大减少RSU的计算压力。

(2)本发明方法中将认证临时证书分段加密存储在车群中，在证书时限内，车辆二次认证通过DSRC(Dedicated Short Range Communication专用短程通信技术)向周围车群里的车辆请求，获得完整证书即通过认证。

(3)本发明方法利用现有设备OBU计算存储能力和成熟的通信技术DSRC，不需要额外的增加设备资源，就能高效率实现整个认证过程，节约成本。

附图说明

图1为本发明方法认证示意图。

图2为本方法资源的结构组成示意图。

图3 ResP和ResU的分类过程原理图。

图4进行初步认证流程图。

图5进行二次认证流程图。

图6车群更新存储的认证信息示意图。

具体实施方式

下面将结合附图和实施例对本发明作进一步的详细说明。

本发明的一种车联网环境下车辆辅助认证方法，如图1所示，包括以下几个步骤：

步骤一：根据实际交通情况，建立关于待认证车辆OBU计算资源索引；

实际交通环境中，车辆的驾驶情况复杂，车辆速度，车流密度，车辆DSRC(Dedicated Short Range Communications专用短程通信技术)通信范围内车群本身数量不停变化，这样的变化要有对应的OBU计算资源分配策略。

本发明的车群内车辆采用Ad-Hoc(点对点)模式方式组网，每辆车载OBU的计算能力和存储能力视为相同。

本发明主要利用待认证车辆V的DSRC通信范围内车辆来进行分布式计算认证。车群内所有的车辆OBU计算模块资源(ResA)可以根据车辆V的DSRC通信距离远近分为：优先OBU计算资源(ResP)和一般OBU计算资源(ResU)。车辆V的资源索引库中，ResP指在V认证过程时间段内，一直在DSRC通信范围内的车辆，ResP作为OBU计算模块被优先检索到。ResU则是车群中里V较远，不能保证在验证过程中一直在DSRC通信范围内的车辆，ResU作为ResP的备选。因此有：

针对实际交通情况复杂多变，DSRC通信传输不稳定情况，本发明将ResP和ResU中的OBU计算资源分为：完整计算资源(记作PF或UF)和部分计算资源(记作PS或者US)。其中完整计算资源由待认证车辆V根据车群数量随机选取ResP和ResU中的OBU计算资源而来，数量不多，负责认证过程中完整计算任务。部分计算资源则是ResP和ResU中除完整计算资源以外的计算资源，数量较多，负责部分计算任务，不掌控完整内容。

为保证本发明方法的鲁棒性，除非ResP和ResU都为空的特殊情况，否则应至少有数量为1的PF或者UF来负责完整计算任务，以防实际驾驶情况中，负责部分计算的计算资源DSRC通信故障。

如图2所示，具体有如下关系：

ResP＝{PF₁,PF₂,…RF_n}∪{PS₁,PS₂,...PS_m}

ResU＝{UF₁,UF₂,…UF_p}∪{US₁,US₂,...US_q}

其中：

i，j为任意正数。

即表明每一个OBU计算模块都独立。

根据上述内容对车群内车辆OBU计算资源分类，在实际交通中，对待认证车辆V周围车辆建立计算资源索引。

通常情况下，从待认证车辆V记其车速为前后方向上看，一列单车道车队驾驶情况可以由跟驰模型描述，其中跟驰模型的一般表达式：

X_n(t)表示t时刻车辆n的位置

X_n+1(t)表示t时刻车辆n+1的位置

为t时刻车辆n的速度

为t时刻车辆n+1的速度

为t+T时刻车辆n的加速度

α，m，l均为常数，T为时间常数

其中称作为灵敏度

本公式主要表达意义为：反应＝灵敏度×刺激，根据上述跟驰模型，计算前后车的速度，距离，由于DSRC的传输距离有限(20m半径范围左右，本方法取R＝10m)，本方法需要车辆V同前后车辆进行DSRC通信，传输计算认证分配的任务和认证结果。

通畅在车流稳定，车流密度适中，驾驶员情绪稳定情况下，可以取m＝0，l＝0，得到线性跟驰模型:

λ为灵敏度

m，l可根据不同的实际交通情况，驾驶员的心态采用不同的值，具体取值如下表：

根据本车速度，加速度，求出前车速度和后车速度在验证时间δ内，若则V_n+1∈ResP，否则V_n+1∈ResU，(δ为常数，表示验证时间，可由大量实验得出；r表示估算距离；R为常数，表示安全距离，V_n+1表示前后方向上某一待估算车辆)；

对于左右车道上的车辆，在整条路上平均车速稳定且符合道路规定要求时，根据计算旁侧车道上车速，车行驶距离，计算有效距离，结合余弦定理和跟驰模型：

其中：与不属于同一车道车辆速度，作为相对于车辆V左右车道上的车速。

d为瞬时两车之间的直线距离；

θ为瞬时两车连接直线同行驶方向的夹角；

若r≤R，V₀∈ResP，否则V₀∈ResU；

当车没有明显的运动规律时，采用DSRC测距技术多次测得验证时间段δ内车辆V和周围车辆V_c的平均距离为r；其中，当V_c∈ResP，否则V_c∈ResU。

步骤二：行驶车辆进行初次认证

本发明采用RSA加密机制和Shamir的(k，n)门限分配机制。

RSA加密机制是由MIT的RonaId Rivist、Adi Shamir和Len AdIemar于l978年提出并开发的第一个可逆的密码体制，可用于加密和数字签名，其算法成为目前被广泛接受且被实现的通用公钥加密方法。RSA利用分解为素数很难的特性，避免破解。事实上，1024位以上RSA基本不可能被破解，可以认为安全可靠。

其RSA具体步骤为：

1)选取大素数p，q，计算N＝pq，N公开；

2)计算φ(N)＝(p-1)(q-1)，φ(N)保密；

3)随机e，使得1<e<φ(N),并且gcd(e,φ(N))＝1；

4)计算d，d≡e^-1(modφ(N))；

5)私钥SK＝(N,d)，公钥PK＝(N,e)

6)加密c＝m^e(mod N)，解密m＝c^d(mod N)；

车辆V在CA注册时获得与其ID_v对应的私钥SK_v＝(N,d)，公钥PK_v＝(N,e)由CA(Certificate Authority权威证书机构，本发明最高授权机构)保存并在验证时交付TA(Trust Authority可信机构，相当于系统管理员)。

Shamir的(k，n)门限方案，则是设r是一个素数，s∈Z_r是由n个参与者i(i＝1，…，n)所共享的秘密，并且r大于s和n，选取k-1阶多项式f(x)∈Z_r[x]，使得f(0)＝s，且s_i＝f(i)(mod r)，利用拉格朗日插值公式可以重构多项式：

则可以恢复秘密s＝f(0)。

本发明行驶车辆初次认证过程有以下步骤：

步骤1：待认证车辆V向RSU(Road Side Unit路侧单元)请求认证，TA(TrustAuthority，相当于系统管理员，可以存在多个TA)判断V是否为初次认证，如果判断为初次认证，转至步骤2。如果为二次认证则转至步骤三：行驶车辆进行二次认证。

步骤2：RSU中的TA根据车V建立的计算资源索引向本车群进行任务广播，其他车辆OBU计算模块做好计算准备；

步骤3：车辆V上OBU根据TA得到的策略通过DSRC向周围车辆发送分布计算任务，OBU计算模块车辆OBU进行计算，得到正确的计算结果汇集到车辆V；

步骤4：车辆V把得到的结果发送TA，TA通过认证，记录认证通过信息，分配V临时假名作为标识，并且提供相应的车联网服务；

步骤5：车辆认证通过后，TA生成车辆V临时认证信息证书，分段加密保存发送给除待认证车辆V以外的车群车辆中。

车联网环境下，待认证车辆V和RSU可轻松获得交通运行指标，道路平均车速，交通密度，道路通行能力等交通信息。根据这些实际实时的交通指标，有不同的道路状态，结合道路状态对于车辆初次认证过程中步骤3进行详细说明：

结合图4对于初次认证步骤3进行详细说明：

本发明规定道路状态1：在实际交通运行指标为畅通，车流密度较低，车速较快时；

本发明规定道路状态2：交通运行指标为轻度拥堵或者拥堵，车流密度较大，车速较慢时；

1)待认证车辆V的RSU收到索引，首先判断ResP是否为空，当ResP不为空时，将认证校验内容M_RSU通过门限方案分拆为n(k<m或者q)个共享M₁，M₂，…M_k，并且通过可信通道发送给发给PS₁，PS₂，…PS_m或者US₁,US₂,...US_q，同时将整个计算任务发给PF_i，防止部分OBU计算模块丢失故障，导致无法得到完整校验内容。道路状态1时：k≤0.6m或者0.6q；道路状态2：k≥0.8m或者0.8q。

2)TA将车辆V的公钥PK_v＝(N,e)发送给车群辅助认证车辆，当符合道路状态1时，TA公钥发送次数应不小于3次，道路状态2时，则在2次以内，辅助认证车辆根据不同状态进行信息整合，其OBU计算模块利用获得公钥对M_i进行加密，加密过程为：

C_i＝M_i ^e(mod N)

3)计算过程结束，OBU通信模块通过DSRC将C_i发送给V，当符合道路状态1时，OBU发送C_i次数应不小于3次，道路状态2时，则在2次以内，V对其利用私钥进行解密，过程为：

M_i＝C_i ^d(mod N)

4)V收集到的认证结果，得到任意k个不同的M，这里不妨取前k个得到M₁，M₂，…M_k，再利用Shamir(k，n)门限方案将其恢复：

5)其中：i，j为正整数，并有f(i)＝M_i，f(j)＝M_j；f(0)＝M_RSU；r是大素数。车辆V发送M_V至TA进行判断，若M_V＝M_RSU则通过认证。道路状态1时：车辆将M_V发至TA次数大于3次，只要有一次完整正确即通过认证，道路状态2时，则少于2次。

6)结果不一致则V再次发送计算任务。当不通过情况达到一定次数n时，则由RSU的TA将本车信息发送给CA(Certificate Authority权威证书机构，本发明最高授权机构)，允许车辆V与CA进行最终RSA认证，若通过认证，则CA给RSU的TA发送认证结果，RSU提供相关车联网服务。若仍然无法通过认证，CA将车辆V加入限制接入黑名单，并且把ID，MAC地址，车主信息等移交监管部门处理。

7)当ResP为空，判断ResU是否为空，当ResU不为空时，采用上述ResP处理相同策略进行认证过程。

8)当ResU为空时，则表明此时是极少数的特殊情况，车辆V周围没有OBU计算模块，道路上车辆密度较小，属于交通畅通状态，则可以由V直接向CA发送认证申请，进行认证。

步骤三：行驶车辆进行二次认证；

车辆首次认证通过后，由TA生成临时证书，将证书分段加密存储在PS和US，同时将整个证书RSA加密方式存储在PF或UF中，将证书以分段和整体的形式分别存储，也是为了增强整个系统的鲁棒性，部分丢失故障发生时，只要有完整证书即可。

结合图5二次认证步骤：

1)在证书的有效时间内，当时车辆V申请二次认证时，首先车辆V向RSU申请认证。

2)RSU根据V的认证记录，判断是否符合二次认证要求。判断车辆V符合二次认证时，则RSU的TA向车群ResA广播，要求车群里做好二次认证准备。

3)车辆V根据索引，车辆V通过DSRC直接跟车群内车辆通信，通过RSA解密获得存储在车群里的车辆OBU上的完整证书即通过认证，并且向TA登记，RSU再次为车辆V提供车联网服务。

4)无法获得完整证书则转至初次认证。

结合图6，实际交通中，车群内的车辆经常会变动，会有车辆离开或加入车群自组网，当车群中某些车辆离开自组网后，则可将认证信息通过网络发送给车群中的其他车辆或者新加入车辆，这样保证认证信息完整保存在车群中。

Claims (5)

1.一种车联网环境下车辆辅助认证方法，包括以下几个步骤：

步骤一：根据实际交通情况，建立关于待认证车辆车载单元OBU计算资源索引；

步骤二：行驶车辆进行初次认证

步骤三：行驶车辆进行二次认证。

2.根据权利要求1所述的一种车联网环境下车辆辅助认证方法，所述的步骤一具体为：

设车群内车辆采用Ad-Hoc模式方式组网，每辆车载OBU的计算能力和存储能力相同；

车群内所有的车辆OBU计算模块资源记作：ResA，根据车辆V的专用短程通信技术DSRC通信距离远近分为：优先OBU计算资源记作：ResP和一般OBU计算资源记作：ResU；车辆V的资源索引库中，ResP为车辆V认证过程时间段内，一直在DSRC通信范围内的车辆，ResP作为OBU计算模块被优先检索到；ResU为V认证过程时间段内，没有一直在DSRC通信范围内的车辆，ResU作为ResP的备选；

则：

其中表示为空集；

将ResP和ResU中的OBU计算资源分为：完整计算资源和部分计算资源，完整计算资源记作：PF或UF，部分计算资源记作：PS或者US；完整计算资源为待认证车辆V根据车群数量随机选取ResP和ResU中的OBU计算资源得到；部分计算资源为ResP和ResU中除完整计算资源以外的计算资源；

除ResP和ResU都为空的情况，应至少有数量为1的PF或者UF负责完整计算任务；

具体有如下关系：

ResP＝{PF₁,PF₂,...RF_n}∪{PS₁,PS₂,...PS_m}

ResU＝{UF₁,UF₂,...UF_p}∪{US₁,US₂,...US_q}

其中：PF_i，UF_i表示为负责完整计算任务的计算资源；PS_i，US_i负责部分计算任务的计算资源；

其中：i，j为任意正整数；

根据上述内容对车群内车辆OBU计算资源分类，对待认证车辆V记其车速为周围车辆建立计算资源索引；

设一列单车道车队驾驶情况采用跟驰模型描述：

X_n(t)表示t时刻车辆n的位置

X_n+1(t)表示t时刻车辆n+1的位置

为t时刻车辆n的速度

为t时刻车辆n+1的速度

为t+T时刻车辆n的加速度

α，m，l均为常数，T为时间常数

其中称作为灵敏度

根据跟驰模型，计算前后车的速度、距离，车辆V同前后车辆进行DSRC通信，传输计算认证分配的任务和认证结果；

取m＝0，l＝0，得到线性跟驰模型:

其中：λ为灵敏度

m，l根据不同的实际交通情况和驾驶员的心态采用不同的值，具体取值如下表：

根据本车速度，加速度，求出前车速度和后车速度在验证时间δ内，若则V_n+1∈ResP，否则V_n+1∈ResU，δ为常数，表示验证时间；r表示估算距离；R为常数，表示安全距离，V_n+1表示某一待估算车辆；

对于左右车道上的车辆，在整条路上平均车速稳定且符合道路规定要求时，根据计算旁侧车道上车速，车行驶距离，计算有效距离，结合余弦定理和跟驰模型：

其中：与不属于同一车道车辆速度，作为相对于车辆V左右车道上的车速；

d为瞬时两车之间的直线距离；

θ为瞬时两车连接直线同行驶方向的夹角；

若r≤R，V₀∈ResP，否则V₀∈ResU；

当车没有明显的运动规律时，采用DSRC测距技术多次测得验证时间段δ内车辆V和周围车辆V_c的平均距离为r；其中，当V_c∈ResP，否则V_c∈ResU。

3.根据权利要求1所述的一种车联网环境下车辆辅助认证方法，所述的步骤二中采用RSA加密机制和Shamir的(k，n)门限分配机制，k，n均为常数，具体为：

步骤1：待认证车辆V向路侧单元RSU请求认证，系统管理员TA判断V是否为初次认证，如果判断为初次认证，转至步骤2；如果为二次认证则转至步骤三；

步骤2：RSU中的TA根据车V建立的计算资源索引向本车群进行任务广播，其他车辆OBU计算模块做好计算准备；

步骤3：车辆V上OBU根据TA得到的策略通过DSRC向周围车辆发送分布计算任务，OBU计算模块车辆OBU进行计算，得到正确的计算结果汇集到车辆V；

步骤4：车辆V把得到的结果发送TA，TA通过认证，记录认证通过信息，分配V临时假名作为标识，并且提供相应的车联网服务；

步骤5：车辆认证通过后，TA生成车辆V临时认证信息证书，分段加密保存发送给除待认证车辆V以外的车群车辆中。

4.根据权利要求1所述的一种车联网环境下车辆辅助认证方法，所述的步骤二中的步骤3中：

设定道路状态1：k≤0.6m或者0.6q；

道路状态2：k≥0.8m或者0.8q，k<m或者q；

q，m均表示计数下标，为常数；

具体步骤为：

(1)待认证车辆V的RSU收到索引，首先判断ResP是否为空，当ResP不为空时，将认证校验内容M_RSU通过Shamir(k，n)()门限方案分拆为n个共享M₁，M₂，…M_n，并且通过可信通道发送给发给PS₁，PS₂，…PS_m或者US₁,US₂,…US_q，同时将整个计算任务发给PF_i，其中：k为门限值，常数；n为参与分配者数目，常数，M_i为M_RSU被分拆后的内容；

(2)TA将车辆V的公钥PK_v＝(N,e)，N＝p×q，p，q为极大素数；φ(N)＝(p-1)(q-1)，e为随机数，满足1<e<φ(N)，gcd(e,φ(N))＝1，发送给车群辅助认证车辆，当符合道路状态1时，TA公钥发送次数应不小于3次，道路状态2时，则在2次以内，辅助认证车辆根据不同状态进行信息整合，其OBU计算模块利用获得公钥对M_i进行加密，加密过程为：

C_i＝M_i ^e(mod N)

其中：C_i为对应M_i加密后的内容；

(3)计算过程结束，OBU通信模块通过DSRC将C_i发送给V，当符合道路状态1时，OBU发送C_i次数应不小于3次，道路状态2时，则在2次以内，V对其利用私钥进行解密，过程为：

M_i＝C_i ^d(mod N)

其中：d≡e^-1(modφ(N))

(4)V收集到的认证结果，得到任意k个不同的，这里不妨设前k个为M₁，M₂，…M_k，再利用Shamir(k，n)门限方案将其恢复：

其中：i，j为正整数，并有f(i)＝M_i，f(j)＝M_j；f(0)＝M_RSU；r是大素数；

(5)车辆V发送M_V至TA进行判断，若M_V＝M_RSU则通过认证；道路状态1时：车辆将M_V发至TA次数大于3次，只要有一次完整正确即通过认证，道路状态2时，则少于2次；

(6)结果不一致则V再次发送计算任务；当不通过情况达到次数n时，则由RSU的TA将本车信息发送给权威证书机构CA，允许车辆V与CA进行最终RSA认证，若通过认证，则CA给RSU的TA发送认证结果，RSU提供相关车联网服务；若仍然无法通过认证，CA将车辆V加入限制接入黑名单，并且把ID，MAC地址，车主信息移交监管部门处理；

(7)当ResP为空，判断ResU是否为空，当ResU不为空时，采用上述ResP处理相同策略进行认证过程；

(8)当ResU为空时，车辆V周围没有OBU计算模块，由V直接向CA发送认证申请，进行认证。

5.根据权利要求1所述的一种车联网环境下车辆辅助认证方法，所述的步骤三具体包括：

车辆首次认证通过后，由TA生成临时证书，将证书分段加密存储在PS和US，同时将整个证书RSA加密方式存储在PF或UF中；

具体步骤为：

(1)在证书的有效时间内，当时车辆V申请二次认证时，首先车辆V向RSU申请认证；

(2)RSU根据V的认证记录，判断是否符合二次认证要求；判断车辆V符合二次认证时，则RSU的TA向车群ResA广播，要求车群里做好二次认证准备；

(3)车辆V根据索引，车辆V通过DSRC直接跟车群内车辆通信，通过RSA解密获得存储在车群里的车辆OBU上的完整证书即通过认证，并且向TA登记，RSU再次为车辆V提供车联网服务；

(4)无法获得完整证书则转至初次认证；

当车群中某些车辆离开自组网后，则可将认证信息通过网络发送给车群中的其他车辆或者新加入车辆。