CN109688111A - 一种适应v2x通信的车辆身份认证系统和方法 - Google Patents

Abstract

本发明涉及一种适应V2X通信的车辆身份认证系统和方法。该系统的一具体实施例包括：IC服务端，CC服务端；IC服务端将车辆的身份认证请求发送至第一CA服务端，第一CA服务端对身份认证请求进行验证，向IC服务端返回验证结果；若验证通过，则IC服务端集群向CC服务端发送生成通信凭证的请求指令；CC服务端基于请求指令生成所述通信凭证，将生成的通信凭证通过IC服务端返回至车辆，以实现对车辆的身份认证。本发明既能充分平衡可认证性和隐私保护，又能满足V2X通信高动态性、高随机性、低时延要求等特点，保证整体V2X通信安全体系能够高效地可靠地服务V2X通信，并可以指导车厂简单明确的形成V2X通信车辆端的安全模块。

Description

一种适应V2X通信的车辆身份认证系统和方法

技术领域

本发明涉及V2X通信技术领域，尤其涉及适应V2X通信的车辆身份认证系统和方法。

背景技术

V2X(Vehicle to Everything)技术是车辆与外界直接通信的方式，不依赖于运营商的网络，也区别于蓝牙、Wi-Fi等短距离通信。V2X是智能网联汽车的一项关键技术。V2X包括车辆与车辆(Vehicle to Vehicle，V2V)、车辆与路侧设施(V2I)等多种通信主体参与，相对于路侧设施和网络设备的信息安全防护水平及可信程度，V2V通信安全性往往是最为关注的焦点，特别是V2V通信的高动态性、高随机性、地域广阔等多种场景和对车主的隐私保护要求，需要综合防护信息的可认证性和完整性。V2X传递的很多信息是关于道路紧急状况、拥堵状态和安全事故的，必须保证消息是合法设备所发出的，而且没有被篡改或者重放。可认证性一般要基于用户的身份进行鉴别，而直接使用车辆或者所有者的信息，又可能造成用户隐私泄露。

欧洲提出了注册证书(Enrolment Credentials，EC)和授权证书(AuthorizationTicket，AT)为关键的数字证书解决方案。EC可以证明用户的身份，并保证其真实性；为了兼顾隐私保护，使用AT对消息进行签名，AT的时效短、更迭快，可以避免隐私信息的泄露。这个方案由车辆侧相应模块和基础设施侧的服务共同构成。图1表示申请EC的过程，图2表示基于EC申请AT的过程。图1中Invoke Enrolment(调用注册)、Request Enrolment(申请注册)和Process Authentication(进程认证)都是车辆侧的相应软件实现，而Enrol Station(登记站)和Authenticate Station(认证站)都属于平台侧。车辆通过出具自己在生产阶段就预置的身份标识信息通过平台侧的检验，并获得EC用于后续申请通信用的AT。图2中的ITSStation Agent(站点代理)和Station Authorization Manager(站点授权管理器)均为车辆端的应用，负责发起和传递AT申请；A-Ticket Distributor(AT分发)和EnrolmentCredentials Verifier(EC验证)用来对提出申请的车辆进行身份验证并根据验证结果分发AT。该流程已经由ETSI进行了相关的标准化工作，比起欧洲早期专门研究V2X通信安全的PRESERVE项目所提出的解决方案更加具体细致，并且通过使用AT，避免了证书使用过程中较为繁琐的CRL管理部分。该方案存在的问题有：1)只有申请AT流程说明，并没有提出针对不同场景如何保证AT能够申请成功的解决方案。车辆在行驶的过程中需要AT进行通信，很可能存在网络覆盖等问题导致的无法成果申请AT的情况；2)在申请EC、申请AT的过程中，只出现了功能模块的名字，具体这些功能模块如何部署并没有细化。例如Enrol Station和A-Ticket Distributor是否集中部署没有明确。因此，方案落地时，车辆端的开发存在不确定性，很难配置各流程涉及的网络侧信息，例如需要连接的服务器域名等等。因此标准与具体实施存在一定的差距。

中国通信标准化协会制定的《基于LTE网络的车联网通信安全总体技术要求》也对V2X通信的安全性进行了规范。这套标准中使用了Enrollment Authority(EA)和Authorization Authority(AA)作为基础设施侧的主要服务单元。并将基础设施侧各单元与车辆、路测设施等通信单元的关系和车辆生产者的关系和交互统一呈现，如图3所示。该技术方案的缺点有：1)通信证书没有针对使用场景设计。这项规定参考了交通部正在编制的相关标准，但是交通部标准重点是考虑路侧设施的需求，路侧设施没有隐私保护需求，不需要频繁更换通信证书；而且路侧设施之间通过固定网络互相连接，通信质量相对可靠。因此，交通部规范使用证书是针对交通路侧设施安全需求和通信场景的，并非针对车车通信。2)EA如何部署也没有明确，是集中还是分区域？如何实现负载均衡？这些问题的悬而未决，不利于整车厂开发车辆端的安全模块。

因此，急需能够满足V2X通信低时延、密钥需求量大的要求，并且可以缓解没有网络覆盖所导致的通信证书无法获得的问题的技术方案。

发明内容

本发明要解决的技术问题在于，针对现有技术中的缺陷，提供了一种适应V2X通信的车辆身份认证系统和方法。

本发明的适应V2X通信的车辆身份认证系统，包括：IC服务端，CC服务端；其中，

IC服务端将车辆的身份认证请求发送至第一CA服务端，以获取对所述身份认证请求进行验证的验证结果；

若验证结果为验证通过，则IC服务端集群向CC服务端发送生成通信凭证的请求指令；

CC服务端基于所述请求指令生成所述通信凭证，将生成的所述通信凭证发送至则IC服务端；IC服务端将所述通信凭证返回至所述车辆，以实现对所述车辆的身份认证。

可选地，IC服务端为IC服务器集群，和/或，CC服务端是CC服务器集群。

可选地，IC服务端还用于：向CC服务端发送生成通信凭证的请求指令之前，从各个CC服务器中筛选负荷最小和/或计算内存最大的CC服务器作为目标CC服务器，以将所述请求指令发送至所述目标CC服务器。

可选地，CC服务端还用于：基于所述请求指令生成所述通信凭证之后，确定所述通信凭证的时效。

可选地，若CC服务端基于所述请求指令生成至少两个通信凭证，则所述至少两个通信凭证的时效依次递增。

可选地，本发明的适应V2X通信的车辆身份认证系统还包括：第二CA服务端，用于对IC服务端、CC服务端和第一CA服务端进行认证。

本发明的适应V2X通信的车辆身份认证方法，包括：

通过IC服务端将车辆的身份认证请求发送至第一CA服务端，以获取对所述身份认证请求进行验证的验证结果；

若验证结果为验证通过，则通过IC服务端向CC服务端发送生成通信凭证的请求指令，以使CC服务端基于所述请求指令生成所述通信凭证；

通过IC服务端将生成的所述通信凭证返回至所述车辆，从而实现对所述车辆的身份认证。

可选地，IC服务端为IC服务器集群，和/或，CC服务端是CC服务器集群。

可选地，向CC服务端发送生成通信凭证的请求指令之前，从各个CC服务器中筛选负荷最小和/或计算内存最大的CC服务器作为目标CC服务器，以将所述请求指令发送至所述目标CC服务器。

可选地，基于所述请求指令生成所述通信凭证之后，确定所述通信凭证的时效。

可选地，若基于所述请求指令生成至少两个通信凭证，则所述至少两个通信凭证的时效依次递增。

可选地，将车辆的身份认证请求发送至IC服务端之前，确认所述车辆的证书池中的通信凭证的数量小于预设阈值。

实施本发明具有以下有益效果：既能够充分平衡可认证性和隐私保护，又能够满足V2X通信高动态性、高随机性、低时延要求等特点。将IC服务器集群集中部署，省去了车辆连接IC服务器时的自行寻找最优接入IC服务器的逻辑，满足密钥需求量大的要求，且便于车辆端V2X安全模块的配置。采用证书池和设定通信凭证的预设阈值的方法，有效地避免了由于网络连接等原因造成的申请/发放通信凭证不及时的状况，同时通信凭证发放的时延敏感度降低，可以减轻对CC服务器性能的要求，用较低的投入实现较高的可靠性。本发明能够保证整体V2X通信安全体系能够高效地可靠地服务V2X通信，并可以指导车厂简单明确的形成V2X通信车辆端的安全模块。

附图说明

图1是现有技术中申请EC的过程；

图2是现有技术中基于EC申请AT的过程；

图3是目前车联网授权体系的构成及数据流示意图；

图4是本发明实施例的适应V2X通信的车辆身份认证系统的主要组成示意图；

图5是本发明实施例的适应V2X通信的车辆身份认证系统的体系架构示意图；

图6是本发明实施例的适应V2X通信的车辆身份认证方法的主要流程示意图；

图7是本发明可选实施例的适应V2X通信的车辆身份认证方法的流程示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

根据本发明的一个方面，提供一种适应V2X通信的车辆身份认证系统。

图4是本发明实施例的适应V2X通信的车辆身份认证系统的主要组成示意图。如图4所示，根据本发明的适应V2X通信的车辆身份认证系统400包括：IC(InvolvementCredentials，参与资格)服务端401，CC(Communication Credentials，通信凭证)服务端402；其中，

IC服务端401将车辆的身份认证请求发送至第一CA服务端403，以获取对所述身份认证请求进行验证的验证结果；

3若验证结果为验证通过，则IC服务端401向CC服务端402发送生成通信凭证的请求指令；

CC服务端402基于所述请求指令生成所述通信凭证，将生成的所述通信凭证发送至则IC服务端401；IC服务端401将所述通信凭证返回至所述车辆，以实现对所述车辆的身份认证。

CC服务端402是指用于生成通信凭证的服务端，IC服务端401是指用于确认车辆是否有参与资格的服务端。IC服务端401将车辆的身份认证请求发送至第一CA服务端403，第一CA服务端403对身份认证请求进行验证后，向IC服务端401返回验证结果。若验证结果为验证通过，表明车辆具有参与资格；否则，表面车辆没有参与资格。若车辆有参与资格，则IC服务端401向CC服务端402发送生成通信凭证的请求指令以生成通信凭证；若车辆没有参与资格，则IC服务端401可以向车辆返回提示信息，以提醒车辆无参与资格。

第一CA(Certificate Authority，认证授权)服务端403可使用车辆生产商提供的CA服务器，其可以在车辆出厂前为车辆零部件预置V2X模块的身份证书，用于对车辆的身份信息进行认证。该模块中可以存放车辆的身份证书，用来证明该车辆和车辆中的V2X模块的合法性，并起到身份标识的作用。这类身份证书类似于VIN(Vehicle IdentificationNumber，车辆识别码)，起到唯一标识一个车辆的作用。当然，身份证书也可以包含更多信息。身份证书可以定期更换，也可以永久使用。

车辆向IC服务端401发送的身份认证请求中可以携带能够唯一代表该车辆的身份标识信息，例如身份证书的哈希值(HASH)和车厂标识(ID)等，作为自己的身份证明。IC服务端401将接收到的身份标识信息发给相应的第一CA服务端403(例如生产该车辆的厂商对应的CA服务器)请求验证。

本发明既能够充分平衡可认证性和隐私保护，又能够满足V2X通信高动态性、高随机性、低时延要求等特点。

对于IC服务端的设置，可以按照地域部署，车辆总是连接地理位置最近的IC服务器。但是由于车辆的高动态性，可能造成某个时间点某地的IC服务器相对繁忙，而其他IC服务器当时负荷又较小。因此，单纯从地域判断接入的IC服务器并不能实现系统性能的最优化。基于此，本发明中的IC服务端可以为IC服务器集群。将IC服务器集群集中部署，省去了车辆连接IC服务器时的自行寻找最优接入IC服务器的逻辑，满足密钥需求量大的要求，且便于车辆端V2X安全模块的配置。

CC服务端也可以是CC服务器集群。与采用一个CC服务器相比，采用CC服务器集群能够提高响应IC服务端的速度，满足V2X通信高动态性、高随机性、低时延要求等特点。

IC服务端还可以用于：向CC服务端发送生成通信凭证的请求指令之前，从各个CC服务器中筛选负荷最小和/或计算内存最大的CC服务器作为目标CC服务器，以将所述请求指令发送至所述目标CC服务器。如此，能够进一步提高响应IC服务端的速度，满足V2X通信高动态性、高随机性、低时延要求等特点。

CC服务端还可以用于：基于所述请求指令生成所述通信凭证之后，确定所述通信凭证的时效。时效是指在一定时期内能够发生的效用，例如，通信凭证A的时效是5分钟，则通信凭证A在生成之后的5分钟内有效，超过5分钟之后，通信凭证A失效。如此，一方面能够保证车辆中各个通信凭证的时效性，提高通信安全，另一方面，当车辆中有多个通信凭证时，便于根据各个通信凭证的时效对各个通信凭证进行管理。

若CC服务端基于所述请求指令生成至少两个通信凭证，为了保证这若干个通信凭证被依次使用，则所述至少两个通信凭证的时效可以依次递增。例如共发送n张凭证，凭证1的时效为当前时间T+Δ，凭证2的时效为当前时间T+2Δ，凭证3的时效为当前时间T+3Δ，依次类推，直到凭证n时效为当前时间T+nΔ。Δ代表时间段，例如3分钟、5分钟、10分钟等。

如图5所示，本发明的适应V2X通信的车辆身份认证系统400还可以包括：第二CA服务端404，用于对IC服务端401、CC服务端402和第一CA服务端403进行认证。由于第一CA服务端403通常为整车厂自主维护，而道路上需要进行车车通信的车辆往往来自不同车厂，因此需要建设第二CA服务端，即汽车行业层面的CA中心(如图5中所示的汽车行业ROOT CA)，也叫根CA，实现各车厂信息的互联互通。图5是本发明实施例的适应V2X通信的车辆身份认证系统的体系架构示意图，如图5所示，当车辆向IC服务端提出加入V2X通信的请求时，IC服务器可以向经过汽车行业ROOT CA签名的车厂CA服务器查询车辆提交信息的真实性。ROOT CA也为IC服务端和CC服务端签名，表明这些提供服务的系统是可信的。当各个车厂的CA服务端和IC服务端和CC服务端都被同一个ROOT CA签名后，才能保证各服务端之间互相可信。

如上所述，在图5示出的可选实施例中，适应V2X通信的车辆身份认证系统400还可以包括用于认证和授权行业ROOT CA的国家级ROOT CA405，以便于对该行业进行管理。适应V2X通信的车辆身份认证系统400还可以包括其他行业ROOT CA 406(例如公安、交通等)，以便于使用复杂通信场景。当然，适应V2X通信的车辆身份认证系统400还可以包括监控服务器407和信用管理服务器408等，以便于管理和控制CC服务端。

第一CA服务端403与第二CA服务端404、第二CA服务端404与IC服务端401、CC服务端402之间可以通过传统通信网络(例如无线射频、电话网络等)连接，安全可靠，用来交互传送验证请求以及验证结果。IC服务器与车辆之间可以通过蜂窝通信网络无线连接，用来传送申请信息及获得参与资格和通信凭证等参数，以及车辆向IC服务端报告异常车辆。车辆与车辆之间可以通过V2X通信无线连接，传送包含签名信息和身份证书的V2X消息。

本发明还提供了一种适应V2X通信的车辆身份认证方法。

图6是本发明实施例的适应V2X通信的车辆身份认证方法的主要流程示意图。如图6所示，根据本发明的适应V2X通信的车辆身份认证方法，包括：

步骤S601、通过IC服务端将车辆的身份认证请求发送至第一CA服务端，以获取对所述身份认证请求进行验证的验证结果；所述身份认证请求包括：所述车辆的身份标识；

步骤S602、若验证结果为验证通过，则通过IC服务端向CC服务端发送生成通信凭证的请求指令，以使CC服务端基于所述请求指令生成所述通信凭证；

步骤S603、通过IC服务端将生成的所述通信凭证返回至所述车辆，从而实现对所述车辆的身份认证。

本发明既能够充分平衡可认证性和隐私保护，又能够满足V2X通信高动态性、高随机性、低时延要求等特点。

对于IC服务端的设置，可以按照地域部署，车辆总是连接地理位置最近的IC服务器。但是由于车辆的高动态性，可能造成某个时间点某地的IC服务器相对繁忙，而其他IC服务器当时负荷又较小。因此，单纯从地域判断接入的IC服务器并不能实现系统性能的最优化。基于此，本发明中的IC服务端可以为IC服务器集群。将IC服务器集群集中部署，省去了车辆连接IC服务器时的自行寻找最优接入IC服务器的逻辑，满足密钥需求量大的要求，且便于车辆端V2X安全模块的配置。

CC服务端也可以是CC服务器集群。与采用一个CC服务器相比，采用CC服务器集群能够提高响应IC服务端的速度，满足V2X通信高动态性、高随机性、低时延要求等特点。

向CC服务端发送生成通信凭证的请求指令之前，本发明的方法还可以包括：从各个CC服务器中筛选负荷最小和/或计算内存最大的CC服务器作为目标CC服务器，以将所述请求指令发送至所述目标CC服务器。如此，能够进一步提高响应IC服务端的速度，满足V2X通信高动态性、高随机性、低时延要求等特点。

本发明的方法还可以包括：基于所述请求指令生成所述通信凭证之后，确定所述通信凭证的时效。时效是指在一定时期内能够发生的效用，例如，通信凭证A的时效是5分钟，则通信凭证A在生成之后的5分钟内有效，超过5分钟之后，通信凭证A失效。如此，一方面能够保证车辆中各个通信凭证的时效性，提高通信安全，另一方面，当车辆中有多个通信凭证时，便于根据各个通信凭证的时效对各个通信凭证进行管理。

若CC服务端基于所述请求指令生成至少两个通信凭证，为了保证这若干个通信凭证被依次使用，则所述至少两个通信凭证的时效可以依次递增。例如共发送n张凭证，凭证1的时效为当前时间T+Δ，凭证2的时效为当前时间T+2Δ，凭证3的时效为当前时间T+3Δ，依次类推，直到凭证n时效为当前时间T+nΔ。Δ代表时间段，例如3分钟、5分钟、10分钟等。

可选地，将车辆的身份认证请求发送至IC服务端之前，还可以确认所述车辆的证书池中的通信凭证的数量小于预设阈值。在车辆端设计证书池，其中保存多张通信凭证。这里的通信凭证可以是身份证书，也可以是能够起到跟身份证书同样的身份标识作用的密钥对。当证书池内的通信凭证数量小于预设阈值时，车辆端就会提出身份认证请求，基础设施侧会在验证车辆的身份信息后，向车辆发送一定数量的通信凭证，使证书池内的通信凭证数量达到预设阈值或者超过预设阈值。采用证书池和设定通信凭证的预设阈值的方法，有效地避免了由于网络连接等原因造成的申请/发放通信凭证不及时的状况，同时通信凭证发放的时延敏感度降低，可以减轻对CC服务器性能的要求，用较低的投入实现较高的可靠性。

图7是本发明可选实施例的适应V2X通信的车辆身份认证方法的流程示意图。以车辆间通信为例，适应V2X通信的车辆身份认证方法的流程包括：

步骤1：当车辆检测证书池内通信凭证数量小于预设阈值N时，向IC服务器集群提交身份认证请求，并将由车厂CA服务器(即第一CA服务端)预置的身份证书的HASH值(哈希值)和车厂ID等信息同时上传，作为自己的身份证明；

步骤2：IC服务器集群将接收到的HASH转发给相应的车厂CA服务器请求验证；

步骤3：IC服务器集群接收车厂CA服务器返回验证结果；

步骤4：如果验证结果为验证通过，IC服务器集群将向当前最佳状态的CC服务器发送生成通信凭证的指令。最佳状态指负荷最小且算力充沛；

步骤5：CC服务器将生成的若干通信凭证返回给IC服务器集群。为了保证这若干通信凭证被依次使用，其时效采取递增形式，例如共发送n张凭证，凭证1时效为当前时间T+Δ，凭证2时效为当前时间T+2Δ，凭证3时效为当前时间T+3Δ，依次类推，直到凭证n时效为当前时间T+nΔ；

步骤6：IC服务器集群将所有根据本次请求生成的通信凭证返回给车辆。

综上所述，既能够充分平衡可认证性和隐私保护，又能够满足V2X通信高动态性、高随机性、低时延要求等特点。将IC服务器集群集中部署，省去了车辆连接IC服务器时的自行寻找最优接入IC服务器的逻辑，满足密钥需求量大的要求，且便于车辆端V2X安全模块的配置。采用证书池和设定通信凭证的预设阈值的方法，有效地避免了由于网络连接等原因造成的申请/发放通信凭证不及时的状况，同时通信凭证发放的时延敏感度降低，可以减轻对CC服务器性能的要求，用较低的投入实现较高的可靠性。本发明能够保证整体V2X通信安全体系能够高效地可靠地服务V2X通信，并可以指导车厂简单明确的形成V2X通信车辆端的安全模块。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种适应V2X通信的车辆身份认证系统，其特征在于，包括：IC服务端，CC服务端；其中，

IC服务端将车辆的身份认证请求发送至第一CA服务端，以获取对所述身份认证请求进行验证的验证结果；

若验证结果为验证通过，则IC服务端向CC服务端发送生成通信凭证的请求指令；

CC服务端基于所述请求指令生成所述通信凭证，将生成的所述通信凭证发送至则IC服务端；IC服务端将所述通信凭证返回至所述车辆，以实现对所述车辆的身份认证。

2.根据权利要求1所述的系统，其特征在于，所述IC服务端为IC服务器集群，和/或，所述CC服务端为CC服务器集群。

3.根据权利要求2所述的系统，其特征在于，所述IC服务端还用于：向CC服务端发送生成通信凭证的请求指令之前，从各个CC服务器中筛选负荷最小和/或计算内存最大的CC服务器作为目标CC服务器，以将所述请求指令发送至所述目标CC服务器。

4.根据权利要求1所述的系统，其特征在于，所述CC服务端还用于：基于所述请求指令生成所述通信凭证之后，确定所述通信凭证的时效。

5.根据权利要求4所述的系统，其特征在于，若所述CC服务端基于所述请求指令生成至少两个通信凭证，则所述至少两个通信凭证的时效依次递增。

6.根据权利要求1所述的系统，其特征在于，所述系统还包括：第二CA服务端，用于对所述IC服务端、CC服务端和第一CA服务端进行认证。

7.一种适应V2X通信的车辆身份认证方法，其特征在于，包括如下步骤：

1)通过IC服务端将车辆的身份认证请求发送至第一CA服务端，以获取对所述身份认证请求进行验证的验证结果；

2)若验证结果为验证通过，则通过IC服务端向CC服务端发送生成通信凭证的请求指令，以使CC服务端基于所述请求指令生成所述通信凭证；

3)所述CC服务端通过IC服务端将生成的所述通信凭证返回至所述车辆，从而实现对所述车辆的身份认证。

8.根据权利要求7所述的方法，其特征在于，还包括：基于所述请求指令生成所述通信凭证之后，确定所述通信凭证时效的步骤。

9.根据权利要求8所述的方法，其特征在于，若基于所述请求指令生成至少两个通信凭证，则所述至少两个通信凭证的时效依次递增。

10.根据权利要求7所述的方法，其特征在于，还包括：将车辆的身份认证请求发送至IC服务端之前，确认所述车辆的证书池中的通信凭证的数量小于预设阈值。