CN110769393B - 一种车路协同的身份认证系统及方法 - Google Patents
一种车路协同的身份认证系统及方法 Download PDFInfo
- Publication number
- CN110769393B CN110769393B CN201911079285.1A CN201911079285A CN110769393B CN 110769393 B CN110769393 B CN 110769393B CN 201911079285 A CN201911079285 A CN 201911079285A CN 110769393 B CN110769393 B CN 110769393B
- Authority
- CN
- China
- Prior art keywords
- vehicle
- certificate
- terminal
- authentication
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/44—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Abstract
本发明提供一种车路协同的身份认证系统,其可以降低证书管理与存储开销,实现车路协同车辆节点身份的强认证,发生争议事件时快速追溯车端真实身份。其包括:路侧终端、车载终端,车载终端、路侧终端分别与认证服务器通信连接,认证服务器中包括根CA、认证CA、匿名CA;其还包括私钥生成中心PKG、安全模块、汽车电子标识;对于不同的车路协同节点使用不同的身份认证机制,路侧终端和需要隐私保护的车载终端使用PKI身份认证机制,无需隐私保护的车载终端使用IBC身份认证机制,且对于车载终端,增加唯一标识车辆可信数字身份的汽车电子标识,以实现车辆身份强认证。同时本发明还公开了车路协同的身份认证方法。
Description
技术领域
本发明涉及智能交通控制技术领域,具体为一种车路协同的身份认证系统及方法。
背景技术
车路协同是采用先进的无线通信和新一代互联网等技术,全方位实施车与车之间、车路之间动态实时信息交互,并在全时空动态交通信息采集与融合的基础上开展车辆主动安全控制和道路协同管理。车路协同场景下接收到的各种消息,特别是针对紧急状况、安全事件等消息,必须保证是从合法的节点发出的。车路协同系统的合法节点包括车载终端(On board Unit,OBU)、路侧终端(Road Side Unit,RSU);日常通信中,RSU与OBU进行通讯,实现车辆身份识别、电子扣分等等服务。通常,RSU接收到OBU发出的消息,或者管理服务器接收到RSU、OBU发出的消息后,首要的任务是对消息来源身份进行合法性认证。
现有交通管理体系中,车载终端中包括需要隐私保护的终端、无需隐私保护的终端,需要隐私保护的车载终端包括普通私家车等等非公用车辆,无需隐私保护的车载终端包括救护车、公交车、消防车等等公用车辆;现有技术中,实现身份认证最常用的方法是使用PKI(Public Key Infrastructure)体系,通过CA构建统一的信任体系,而在平衡隐私保护问题上常用多CA级联与匿名证书方式,即所有的车辆都使用证书方式进行通信;这种策略存在几个问题:第一,由于匿名证书需要定期更新,造成证书体量过于庞大,增加了证书管理与存储的开销;第二,在日趋复杂的车路协同环境下,OBU存在挪用盗用的风险,因此OBU证书并不能作为车辆身份的强凭证。
发明内容
为了解决现有技术中,匿名身份认证体系存在开销较大、且安全性不足的问题,本发明提供一种车路协同的身份认证系统,其可以降低证书管理与存储开销,实现车路协同车辆节点身份的强认证,发生争议事件时快速追溯车端真实身份。同时本发明还公开了车路协同的身份认证方法。
本发明的技术方案是这样的:一种车路协同的身份认证系统,其包括:路侧终端、车载终端,所述车载终端、所述路侧终端分别与认证服务器通信连接,所述认证服务器中包括根CA、认证CA、匿名CA;所述认证CA,用于为所述路侧终端、需要隐私保护的所述车载终端颁发永久证书,同时提供身份认证服务;所述匿名CA,用于为需要隐私保护的所述车载终端颁发临时证书,同时维护永久证书与临时证书对应关系表;所述根CA为认证CA与匿名CA提供根认证服务;其特征在于:
其还包括私钥生成中心PKG、安全模块、汽车电子标识;
所述汽车电子标识用于唯一标识车辆合法身份;所述车载终端通信连接射频读写器;所述车载终端通过所述射频读写器识读所述汽车电子标识;
所述安全模块包括内嵌在所述路侧终端中的路侧安全模块、内嵌在所述车载终端中的车载安全模块;所述路侧安全模块、所述车载安全模块分别与所述路侧终端、所述车载终端通信连接,向所述路侧终端、所述车载终端提供快速验签密码服务;
所述路侧安全模块中保存了所述路侧终端的路侧设备唯一序列号及其签名、安全证书、密钥;所述车载安全模块中保存了所述车载终端对应的所述汽车电子标识卡号及其签名、安全证书、密钥;
所述私钥生成中心PKG分别与所述车载终端、所述汽车电子标识通信连接。
其进一步特征在于:
所述安全模块中包括支持国密算法的安全芯片,基于国密SM9算法实现加密解密功能,基于国密SM2、SM3算法实现签名验签功能;
所述车载终端、所述路侧终端分别通过运营商4G-5G网络、以太网络与所述认证服务器中的认证CA、匿名CA、以及所述私钥生成中心PKG通信连接。
一种车路协同的身份认证方法,其包括以下步骤:
S1:在认证服务器中建设根CA、认证CA、匿名CA,部署认证CA服务器及认证CA密码机、匿名CA服务器及匿名CA密码机;
生成认证CA证书公私钥、匿名CA证书公私钥,且公开认证CA证书公钥、匿名CA证书公钥;
其特征在于,其还包括以下步骤:
S2:搭建私钥生成中心PKG;
在所述私钥生成中心PKG中预先生成签名主密钥,并且保存签名主私钥,公开系统参数、签名主公钥;
S3:在车载终端与路侧终端中保存所述认证CA证书公钥、所述匿名CA证书公钥、所述私钥生成中心PKG公开的系统参数、签名主公钥;
S4:所述车载终端、所述路侧终端执行预注册:
需要隐私保护的所述车载终端在内嵌的车载安全模块中生成车载终端固定公私钥对;使用车载终端固定私钥对所述汽车电子标识卡号KH1进行签名后,保存卡号KH1与其签名值到所述车载安全模块中;
无需隐私保护的所述车载终端在内嵌的所述车载安全模块中生成车载终端临时公私钥对;使用车载终端临时私钥对所述汽车电子标识卡号KH1进行签名后,保存卡号KH1与其签名值到所述车载安全模块中;
所述路侧终端在内嵌的路侧安全模块中生成路侧终端固定公私钥对;使用路侧终端固定私钥对路侧设备唯一序列号进行签名,保存所述路侧设备唯一序列号与其签名值到路侧安全模块中;
S5:所述车载终端、所述路侧终端向所述认证CA、所述私钥生成中心PKG申请证书或密钥;
如果所述发送端为无需隐私保护的所述车载终端,则执行步骤S7;
否则,则执行步骤S6;
S6:需隐私保护的所述车载终端、所述路侧终端分别使用所述认证CA证书公钥对自身的申请文件加密后,把数据发往所述认证CA,向所述认证CA申请证书;
S7:无需隐私保护的所述车载终端获取存储在所述车载安全模块中的所述汽车电子标识卡号KH1及其签名;
S8:无需隐私保护的所述车载终端通过射频读写器读取汽车电子标识的卡号KH2;
使用所述车载终端临时私钥对所述汽车电子标识的卡号KH2进行签名;
S9:将KH1、KH1签名、KH2、KH2签名与车载终端临时公钥提交所述私钥生成中心PKG;
S10:所述私钥生成中心PKG使用所述车载终端临时公钥验证KH1签名和KH2签名,并且比对KH1和KH2;验证通过后且经过比对KH1和KH2一致,基于所述汽车电子标识卡号KH1、所述私钥生成中心PKG公开的系统参数及签名主公钥,生成签名私钥;
S11:使用所述车载终端临时公钥对所述签名私钥加密后得到签名私钥密文,发给所述车载终端;
S12:所述车载终端使用所述车载终端临时私钥对收到的所述签名私钥密文进行解密,得到所述签名私钥;
S13:所述车载终端将所述签名私钥存储到所述车载安全模块中,本次认证操作结束。
步骤S6中,需隐私保护的所述车载终端、所述路侧终端向所述认证CA申请证书的操作,当申请由所述车载终端提出时,执行步骤a1;否则,当申请由所述路侧终端提出时执行步骤a3;
a1:所述车载终端获取存储在所述车载安全模块中的汽车电子标识卡号KH1及其签名,通过射频读写器识读汽车电子标识卡号KH2,使用所述车载终端固定私钥对所述汽车电子标识的卡号KH2进行签名,生成车辆永久证书申请文件;
a2:所述车载终端使用所述认证CA证书公钥对所述车辆永久证书申请文件、KH2及其签名、KH1及其签名进行加密后,提交认证CA;由所述认证CA生成证书;
a3:所述路侧终端获取存储在所述路侧安全模块中的所述路侧设备唯一序列号及其签名,生成路侧终端永久证书申请文件;
a4:所述路侧终端使用所述认证CA证书公钥,对所述路侧终端永久证书申请文件、所述路侧设备唯一序列号进行加密后,提交认证CA;由所述认证CA生成证书;
步骤a2、a4中,由所述认证CA生成证书的操作,包括如下步骤:
b1:所述认证CA接到申请后,确认申请的发送端;
如果所述发送端为所述路侧终端,则执行步骤b2;
如果所述发送端为所述车载终端,则执行步骤b4;
b2:所述认证CA使用自己的私钥对接到的数据解密后,使用路侧终端固定公钥验证所述路侧终端永久证书申请文件中的路侧设备唯一序列号的签名;验证通过并核查路侧设备唯一序列号后,所述认证CA使用认证CA证书私钥对所述路侧终端永久证书申请文件进行签名,生成路侧终端永久证书;
把所述路侧终端永久证书发送给所述路侧终端;
b3:所述路侧终端使用所述认证CA证书公钥验证所述路侧终端永久证书,验证通过后保存所述路侧终端永久证书到路侧安全模块中;本次认证操作结束;
b4:所述认证CA使用自己的私钥对接收到的数据解密后,使用车载终端固定公钥对KH1的签名及KH2的签名进行验证;验证后比较KH1与KH2,二者一致则调用认证CA密码机;所述认证CA密码机使用卡号加解密密钥对汽车电子标识卡号对称加密得到卡号密文,将所述卡号密文嵌入到所述车辆永久证书申请文件中;使用所述认证CA证书私钥对所述车辆永久证书申请文件签名,生成所述车辆永久证书;
把所述车辆永久证书发送给所述车载终端;
b5:所述车载终端使用所述认证CA证书公钥验证所述车辆永久证书,验证通过后保存所述车辆永久证书到所述车载安全模块中;
b6:所述车载安全模块随机生成临时公私钥对、车辆临时证书申请文件;
b7:使用车载终端固定私钥对所有的所述车辆临时证书申请文件签名,得到车载终端签名结果;
b8:所述车载安全模块将所有所述车辆临时证书申请文件、所述车载终端签名结果、所述车辆永久证书一起作为所述车辆临时证书的请求数据提交到所述匿名CA,申请车辆临时证书;
b9:所述匿名CA保存所述车辆永久证书,将所述车辆临时证书的请求数据转发给所述认证CA;
b10:所述认证CA使用所述认证CA证书公钥验证所述车辆永久证书;验证通过后,从证书中解析出卡号密文,所述认证CA密码机使用卡号加解密密钥对卡号密文解密得到汽车电子标识卡号明文,验证卡号通过后,使用车辆永久证书公钥验证所述车辆临时证书申请文件签名;验证通过后,设置判断结果为:允许匿名CA颁发车辆临时证书;验证不通过,则设置判断结果为:不允许匿名CA颁发车辆临时证书;
b11:使用所述匿名CA证书公钥加密所述判断结果;
b12:使用所述认证CA私钥对所述判断结果的密文进行签名;
b13:将所述判断结果的密文及密文签名发送给匿名CA;
b14:所述匿名CA使用所述认证CA证书公钥验证所述判断结果的密文签名;
验证通过后,使用所述匿名CA的私钥解密所述判断结果的密文得到所述判断结果的明文;
验证不通过则停止认证操作;
b15:确认所述判断结果的明文的内容,如果所述判断结果为:允许匿名CA颁发车辆临时证书,则执行a16;否则停止认证操作;
b16:所述匿名CA使用自己的私钥对所有所述车辆临时证书申请文件签名生成所述车辆临时证书;
b17:所述匿名CA保存所述车辆永久证书与车辆临时证书对应关系,将所有的所述车辆临时证书发给所述车载终端;
b18:所述车载终端使用所述匿名CA证书公钥验证所有的所述车辆临时证书,验证通过后保存所有的所述车辆临时证书到所述车载安全模块中;本次认证操作结束;
其还包括下述内容:
c1:发送消息时:所述路侧终端使用所述路侧终端固定私钥对消息签名;需要隐私保护的所述车载终端使用所述车辆临时证书对应的临时私钥对消息签名;无需隐私保护的所述车载终端使用存储在所述车载安全模块中的所述签名私钥对消息签名;
c2:接收消息时:所述路侧终端,使用所述认证CA证书公钥验证所述路侧终端永久证书,然后使用所述路侧终端永久证书的公钥验证消息签名;对于需要隐私保护的所述车载终端,使用所述匿名CA证书公钥验证所述车辆临时证书,然后所述车辆临时证书的公钥验证消息签名;对于无需隐私保护的所述车载终端,使用所述汽车电子标识卡号作为身份标识验证消息签名;
c3:身份追溯时,管理平台将可疑消息发送到匿名CA,得到可疑消息对应的所述车辆临时证书、所述车辆永久证书;将可疑消息对应的所述车辆永久证书发送所述认证CA,所述认证CA解密永久证书中的所述汽车电子标识卡号对应的所述卡号密文,得到明文的所述汽车电子标识卡号,从而获取到车辆真实身份;
需隐私保护的所述车载终端按照预设的周期,重复步骤b6~b18,向所述匿名CA申请更新所述车辆临时证书。
本发明提供的一种车路协同的身份认证系统及认证方法,通过使用汽车电子标识(electronic registration identification of the motor vehicle,ERI)、私钥生成中心PKG,把不需要匿名认证的车载终端分离出来,基于IBC(Identity-Based Cryptograph,身份标识的密码系统)技术,把汽车电子标识的卡号作为消息发送接收时的公钥,利用汽车电子标识的卡号在私钥生成中心PKG进行加密生成签名私钥作为消息发送接收时的私钥;因为不需要匿名认证的车载终端不需要申请和交换证书,从而简化了密码系统管理的复杂性,且不需要通过PKI体系进行额外的计算和存储,降低了整个系统的开销。用户的私钥由系统中的私钥生成中心PKG使用标识私钥生成算法计算生成,而在交管系统中,私钥生成中心PKG设置于有监管的应用环境,确保了身份认证系统的安全等级。同时,与OBU不同,汽车电子标识是具备防拆卸功能的,所以通过汽车电子标识的卡号作为车载终端的认证标识,无论是需要匿名的车载终端还是无需匿名的车载终端,在进行签名之前都需要识别汽车电子标识的卡号,确保了认证系统的安全性。由现有的PKI体系和IBC技术集合,构成了多源融合的认证体系,不但降低了了认证系统的证书管理与存储开销,且提高了身份认证的安全等级。系统还设置了分别在车载终端和路侧终端中设置安全模块,其包括支持国密算法的安全芯片构成的,通过安全模块存储所有的证书与密钥,进一步的保证了安全等级,且通过支持国密算法的安全芯片从硬件上确保快速处理消息验证,加速了整个认证系统的计算速度。
附图说明
图1为本发明车路协同身份认证系统结构示意图;
图2为无需隐私保护的车载终端申请密钥的流程示意图;
图3为路侧终端申请证书的流程示意图;
图4为需要隐私保护的车载终端申请证书的流程示意图;
图5为本发明的车路协同多源融合的认证体系结构示意图。
具体实施方式
如图1~图5所示,本发明包括一种车路协同的身份认证系统,其包括:路侧终端1、车载终端2,车载终端2、路侧终端1分别与认证服务器通信连接;路侧终端1一般安装在信号机上,用于广播红绿灯信号与路况等消息,接收车辆与其他路侧终端广播消息;车载终端2安装在车联网中的车辆上,用于广播车况消息,接收路侧终端1、其他车辆终端广播的消息;车载终端2、路侧终端1分别通过运营商4G-5G网络、以太网络与认证服务器中的认证CA 4、匿名CA 5、以及私钥生成中心PKG 6通信连接。
车载终端2在初始化时需要提交车辆类型、使用性质等信息,认证系统根据车辆信息来判断是否需要隐私保护。具体实施时,通过广播消息中是否包含证书来判断,广播信息中含证书,即对应的车载终端需要隐私保护,广播信息中不含证书,即对应的车载终端无需隐私保护。
认证服务器中包括根CA 3、认证CA 4、匿名CA 5;认证CA 4,用于为路侧终端1、需要隐私保护的车载终端2颁发永久证书,同时提供身份认证服务;匿名CA 5,用于为需要隐私保护的车载终端2颁发临时证书,同时维护永久证书与临时证书对应关系表;根CA 3为认证CA 4与匿名CA 5提供根认证服务。
私钥生成中心PKG 6用于为无需隐私保护的车载终端2生成签名密钥,同时提供签名所需的主密钥、公开系统参数等服务;私钥生成中心PKG 6与车载终端2通信连接;
PKG选择合适的系统公开参数,主要包括曲线识别符、椭圆曲线基域、椭圆曲线方程参数a和b、扭曲线参数、曲线阶的素因子和余因子、嵌入次数、群G1和G2、双线性对识别符,并生成随机数作为PKG的签名主私钥,计算出PKG的签名主公钥,PKG保存签名主私钥、公开系统参数与签名主公钥。
汽车电子标识9用于唯一标识车辆合法身份;射频读写器10与车载终端2通信连接,用于向车载终端2提供识读汽车电子标识9的服务;射频读写器10安装在车联网中的车辆上,汽车电子标识9黏贴在每个车辆的前挡风玻璃上。
不同于可以拆卸的车载终端2,汽车电子标识9是无法从车辆上拆卸的,通过视频读写器10进行数据读取;汽车电子标识9内部安全存储车辆相关信息,由加密密钥加密保护,对汽车电子标识9的读写操作均需获得相应的权限,包括访问权限与读写口令,因此无法伪造、篡改、窃听车辆真实身份;通过汽车电子标识9使每个车辆的身份具有不可修改的唯一性,提高了认证系统的安全性。
安全模块包括内嵌在路侧终端1中的路侧安全模块8、内嵌在车载终端2中的车载安全模块7;路侧安全模块8、车载安全模块7分别与路侧终端1、车载终端2通信连接,向路侧终端1、车载终端2提供快速验签密码服务;安全模块中至少包括一块支持国密算法的安全芯片,通常采用多安全芯片并行处理方式执行密码算法,基于国密SM9算法实现加密解密功能、基于国密SM2、SM3算法实现签名验签功能;路侧终端1都有一个路侧设备唯一序列号,该序列号能唯一标识路侧终端1,在路侧终端1入网前将该序列号写入路侧安全模块8,使用硬件安全模块固定私钥对路侧设备唯一序列号签名并保存签名值,即路侧安全模块8中保存了路侧终端1的路侧设备唯一序列号及其签名、安全证书、密钥;车载安全模块7中保存了车载终端2对应的汽车电子标识9卡号及其签名、安全证书、密钥;
安全模块为一个硬件嵌入到路侧终端1、车载终端2中,提供安全的签名验签环境,并安全的存储证书/身份标识和密钥,基于现有技术中的具有自主知识产权的国产密码算法运算服务,实现车路协同高并发、低时延的消息验证;国密安全芯片中集成了SM1、SM2 、SM3 、SM4和SM9等多种信息安全算法,其实现加密计算是通过芯片本身直接实现的,针对无需隐私保护的车载终端2,签名所需的密钥均保存在车载安全模块7中,所有消息的签名与验签操作均在车载安全模块7中执行,从硬件上提高系统的计算速度。
一种车路协同的身份认证方法,其包括以下步骤:
S1:在认证服务器中建设根CA 3、认证CA 4、匿名CA 5,部署认证CA 4服务器及认证CA 4密码机、匿名CA 5服务器及匿名CA 5密码机;
生成认证CA 4证书公私钥、匿名CA 5证书公私钥,且公开认证CA 4证书公钥、匿名CA 5证书公钥;
S2:搭建私钥生成中心PKG 6;
在私钥生成中心PKG 6中预先生成签名主密钥,并且保存签名主私钥,公开系统参数、签名主公钥;
S3:在车载终端2与路侧终端1中保存认证CA 4证书公钥、匿名CA 5证书公钥、私钥生成中心PKG 6公开的系统参数、签名主公钥;
S4:车载终端2、路侧终端1执行预注册:
需要隐私保护的车载终端2在内嵌的车载安全模块7中生成车载终端2固定公私钥对;使用车载终端2固定私钥对汽车电子标识9卡号KH1进行签名后,保存卡号KH1与其签名值到车载安全模块7中;
无需隐私保护的车载终端2在内嵌的车载安全模块7中生成车载终端2临时公私钥对;使用车载终端2临时私钥对汽车电子标识9卡号KH1进行签名后,保存卡号KH1与其签名值到车载安全模块7中;
路侧终端1在内嵌的路侧安全模块8中生成路侧终端1固定公私钥对;使用路侧终端1固定私钥对路侧设备唯一序列号进行签名,保存路侧设备唯一序列号与其签名值到路侧安全模块8中;
S5:车载终端2、路侧终端1向认证CA 4、私钥生成中心PKG 6申请证书或密钥;
如果发送端为无需隐私保护的车载终端2,则执行步骤S7;
否则,则执行步骤S6;
S6:需隐私保护的车载终端2、路侧终端1分别使用认证CA 4证书公钥对自身的申请文件加密后,把数据发往认证CA 4,向认证CA 4申请证书;
S7:无需隐私保护的车载终端2获取存储在车载安全模块7中的汽车电子标识9卡号KH1及其签名;
S8:无需隐私保护的车载终端2通过射频读写器10读取汽车电子标识9的卡号KH2;
使用车载终端2临时私钥对汽车电子标识9的卡号KH2进行签名;
S9:将KH1、KH1签名、KH2、KH2签名与车载终端2临时公钥提交私钥生成中心PKG 6;
S10:私钥生成中心PKG 6使用车载终端2临时公钥验证KH1签名和KH2签名;验证通过并比对KH1和KH2一致后,基于汽车电子标识9卡号KH1、私钥生成中心PKG 6公开的系统参数及签名主公钥,生成签名私钥;
S11:使用车载终端2临时公钥对签名私钥加密后得到签名私钥密文,发给车载终端2;
S12:车载终端2使用车载终端2临时私钥对收到的签名私钥密文进行解密,得到签名私钥;
S13:车载终端2将签名私钥存储到车载安全模块7中,本次认证操作结束。
无需隐私保护的车辆,如:指救护车、工程抢险车、消防救援车、公交车等,这类车辆只需认证身份合法即可接收广播消息;在本发明的技术方案中,证书及密钥申请过程中,所有的车载终端与路侧终端都向认证CA申请永久证书,需要隐私保护的车载终端向匿名CA申请临时证书,无需隐私保护的车载终端向PKG中心申请签名密钥,PKG中心根据所述汽车电子标识的卡号生成签名密钥并通过安全通道下发到车载终端;需要隐私保护的车辆与无需隐私保护的车辆分开处理,针对无需隐私保护的车辆,基于IBC的技术的PKG中心,使用汽车电子标识卡号做用户的公钥,其无需申请和交换证书,与现有的PKI体系相比,大大减少了系统中证书体量,降低了整个系统的证书管理与存储的开销。
步骤S6中,需隐私保护的车载终端2、路侧终端1向认证CA 4申请证书、密钥的操作,当申请由车载终端2提出时,执行步骤a1;否则,当申请由路侧终端1提出时执行步骤a3;
a1:车载终端2获取存储在车载安全模块7中的汽车电子标识9卡号KH1及其签名,通过射频读写器10识读汽车电子标识9卡号KH2,使用车载终端2固定私钥对汽车电子标识9的卡号KH2进行签名,生成车辆永久证书申请文件;
a2:车载终端2使用认证CA 4证书公钥对车辆永久证书申请文件、KH2及其签名、KH1及其签名进行加密后,提交认证CA 4;由认证CA 4生成证书;
a3:路侧终端1获取存储在路侧安全模块8中的路侧设备唯一序列号及其签名,生成路侧终端1永久证书申请文件;
a4:路侧终端1使用认证CA 4证书公钥,对路侧终端1永久证书申请文件、路侧设备唯一序列号进行加密后,提交认证CA 4;由认证CA 4生成证书。
步骤a2、a4中,由认证CA 4生成证书的操作,包括如下步骤:
b1:认证CA 4接到申请后,确认申请的发送端;
如果发送端为路侧终端1,则执行步骤b2;
如果发送端为车载终端2,则执行步骤b4;
b2:认证CA 4使用自己的私钥对接到的数据解密后,使用路侧终端1固定公钥验证路侧终端1永久证书申请文件中的路侧设备唯一序列号的签名;验证通过并核查路侧设备唯一序列号后,认证CA 4使用认证CA 4证书私钥对路侧终端1永久证书申请文件进行签名,生成路侧终端1永久证书;
把路侧终端1永久证书发送给路侧终端1;
b3:路侧终端1使用认证CA 4证书公钥验证路侧终端1永久证书,验证通过后保存路侧终端1永久证书到路侧安全模块8中;本次认证操作结束;
b4:认证CA 4使用自己的私钥对接收到的数据解密后,使用车载终端2固定公钥对KH1的签名及KH2的签名进行验证;验证后比较KH1与KH2,二者一致则调用认证CA 4密码机;认证CA 4密码机使用卡号加解密密钥对汽车电子标识9卡号对称加密得到卡号密文,将卡号密文嵌入到车辆永久证书申请文件中;使用认证CA 4证书私钥对车辆永久证书申请文件签名,生成车辆永久证书;
把车辆永久证书发送给车载终端2;
b5:车载终端2使用认证CA 4证书公钥验证车辆永久证书,验证通过后保存车辆永久证书到车载安全模块7中;
b6:车载安全模块7随机生成临时公私钥对、车辆临时证书申请文件;
b7:使用车载终端2固定私钥对所有的车辆临时证书申请文件签名,得到车载终端2签名结果;
b8:车载安全模块7将所有车辆临时证书申请文件、车载终端2签名结果、车辆永久证书一起作为车辆临时证书的请求数据提交到匿名CA 5,申请车辆临时证书;
b9:匿名CA 5保存车辆永久证书,将车辆临时证书的请求数据转发给认证CA 4;
b10:认证CA 4使用认证CA 4证书公钥验证车辆永久证书;验证通过后,认证CA密码机使用卡号加解密密钥对车辆永久证书中的卡号密文解密得到汽车电子标识卡号明文,验证卡号通过后使用车辆永久证书公钥验证车辆临时证书申请文件签名;验证通过后,设置判断结果为:允许匿名CA 5颁发车辆临时证书;验证不通过,则设置判断结果为:不允许匿名CA 5颁发车辆临时证书;
b11:使用匿名CA 5证书公钥加密判断结果;
b12:使用认证CA 4私钥对判断结果的密文进行签名;
b13:将判断结果的密文及密文签名发送给匿名CA 5;
b14:匿名CA 5使用认证CA 4证书公钥验证判断结果的密文签名;
验证通过后,使用匿名CA 5的私钥解密判断结果的密文得到判断结果的明文;
验证不通过则停止认证操作;
b15:确认判断结果的明文的内容,如果判断结果为:允许匿名CA 5颁发车辆临时证书,则执行b16;否则停止认证操作;
b16:匿名CA 5使用自己的私钥对所有车辆临时证书申请文件签名生成车辆临时证书;
b17:匿名CA 5保存车辆永久证书与车辆临时证书对应关系,将所有的车辆临时证书发给车载终端2;
b18:车载终端2使用匿名CA 5证书公钥验证所有的车辆临时证书,验证通过后保存所有的车辆临时证书到车载安全模块7中;本次认证操作结束;
需隐私保护的车载终端2按照预设的周期,重复步骤b6~b18,向匿名CA 5申请更新车辆临时证书。
路侧终端1与需要隐私保护的车载终端2向认证CA 4提交证书申请文件,认证CA 4调用密码机对证书申请文件签名并生成证书发到终端。对于车载终端2,认证CA 4在签发证书前需要核实存储于车载安全模块7的汽车电子标识卡号与射频读写器10实时获取的汽车电子标识卡号是否一致,通过后认证CA对汽车电子标识卡号加密得到密文并嵌入车载终端永久证书中,在身份追溯时认证CA 4解密永久证书中的汽车电子标识卡号密文得到明文卡号信息。需要隐私保护的车载终端2向匿名CA 5提交证书申请文件,匿名CA 5调用密码机对证书申请文件签名并生成证书发到终端。同时,匿名CA 5维护车载终端永久证书与临时证书的对应关系,在身份追溯时由临时证书获取到对应的永久证书。车载终端2的临时证书需要定期更新,按照普通车辆通行情况,一周需要50个证书,车载终端2每次向匿名CA 5申请50个证书,每次发送消息时随机选择一个证书使用。路侧终端1与需要隐私保护的车载终端2的认证过程中,通过比较预先存储的汽车电子标识的卡号与实时获取的卡号是否一致,来确认当前的路侧终端1和车载终端2是否为申请证书的终端,确认卡号一致、即申请证书的终端和接收证书的终端一致,认证CA 4才签发证书,避免了OBU被挪用盗用的风险,实现车路协同车辆节点身份的强认证。
通过本发明的认证系统进行消息传递的过程如下:
c1:发送消息时:路侧终端1使用路侧终端1固定私钥对消息签名;需要隐私保护的车载终端2使用车辆临时证书对应的临时私钥对消息签名;无需隐私保护的车载终端2使用存储在车载安全模块7中的签名私钥对消息签名;
(c1-1)针对路侧终端1:路侧终端1在广播消息时使用路侧永久证书对应的固定私钥,调用路侧安全模块8的SM2签名服务对广播消息签名,并将消息原文、消息签名及路侧永久证书作为消息广播;
(c1-2)针对需要隐私保护的车载终端2:车载终端2在广播消息前随机选择一个车辆临时证书作为当前使用证书,使用选择好的临时证书对应的临时私钥,调用内嵌的车载安全模块7的SM2签名服务对广播消息签名,并将消息原文、消息签名及临时证书作为消息广播,其中为防止攻击者猜测证书使用规则,使用轮盘赌算法选择临时证书;
(c1-3)针对无需隐私保护的车载终端2:车载终端2使用PKG中心下发的签名私钥、签名主公钥及公开系统参数,调用内嵌的车载安全模块7的SM9签名服务对广播消息签名,并将消息原文、消息签名及汽车电子标识卡号作为消息广播;
c2:接收消息时:路侧终端1,使用认证CA 4证书公钥验证路侧终端1永久证书,然后使用路侧终端1永久证书的公钥验证消息签名;对于需要隐私保护的车载终端2,使用匿名CA 5证书公钥验证车辆临时证书,然后车辆临时证书的公钥验证消息签名;对于无需隐私保护的车载终端2,使用汽车电子标识9卡号作为身份标识验证消息签名;
(c2-1)针对路侧端广播消息,先验证路侧端永久证书有效性,验证通过后接收方调用路侧安全模块8的SM2验签服务,使用认证CA证书公钥验证路侧端永久证书,验证通过后使用路侧端永久证书公钥对消息签名进行验证,进而确认路侧端广播消息来源身份合法性;
(c2-2)针对需要隐私保护的车载终端广播消息,先验证车辆临时证书有效性,验证通过后接收方调用内嵌的车载安全模块7的SM2验签服务,使用匿名CA证书公钥验证车辆临时证书,验证通过后使用车辆临时证书对消息签名进行验证,进而确认车端广播消息来源身份合法性。
(c2-3)针对无需隐私保护的车载终端广播消息,调用内嵌的车载安全模块7的SM9验签服务,使用汽车电子标识卡号、签名主公钥验证消息签名,进而确认车端广播消息来源身份合法性。
c3:身份追溯时,管理平台将可疑消息发送到匿名CA 5,得到可疑消息对应的车辆临时证书、车辆永久证书;将可疑消息对应的车辆永久证书发送认证CA 4,认证CA 4解密永久证书中的汽车电子标识9卡号对应的卡号密文,得到明文的汽车电子标识9卡号,从而获取到车辆真实身份;
例如,一辆存在故意恶作剧行为的车辆,在前方道路发生安全事故后,篡改消息为未发生事故,并将该消息广播,接收到的车辆信任了该消息,未能及时避让导致二次事故的发生。那么在这起事件中,交管执法者需要抓住这辆嫌疑车,但由于广播消息中使用的都是匿名证书,因此需要从匿名证书中追溯到车辆的真实身份,其详细步骤如下:
对于隐私保护的车辆,当车路协同场景中发生争议事件时,公安交管部门提取可疑车辆广播消息,由于消息是随机选择的临时证书对应的私钥签名,且临时证书中不包含车辆任何信息,无法直接获取到车辆真实身份。此时将消息发送到匿名CA 5,由匿名CA 5使用匿名CA证书公钥验证消息中的车辆临时证书,验证通过后使用车辆临时证书公钥验证消息签名,验证通过后确认该消息确实由拥有该车辆临时证书与私钥的车辆广播。之后匿名CA 5根据维护的车辆临时证书与车辆永久证书对应关系,获取该车辆的永久证书并转发到认证CA 4;认证CA 4使用认证CA证书公钥验证车辆永久证书,验证通过后调用认证CA密码机使用卡号加解密密钥对永久证书中的汽车电子标识卡号密文进行对称解密,得到汽车电子标识卡号明文,将该卡号直接返回给公安交管部门,由公安交管部门查询汽车电子标识发行管理系统获得车辆信息。
如图5所示,车路协同多源融合的身份认证体系中,本发明的技术方案是一种基于PKI身份认证机制和IBC身份认证机制的混合身份认证机制,建立身份认证管理中心,包含:认证CA、匿名CA以及PKG中心,提供证书服务、安全存储、身份管理、密码服务等功能。对于不同的车路协同节点使用不同的身份认证机制,路侧节点(即:路侧终端)和需要隐私保护的车辆节点(即:车载终端)使用PKI身份认证机制,无需隐私保护的车辆节点使用IBC身份认证机制,且对于车辆节点,增加唯一标识车辆可信数字身份的汽车电子标识,以实现车辆身份强认证。其中,在路侧节点和车辆节点内嵌硬件安全模块,实现了密钥的安全生成、存储及算法硬件加速,硬件安全模块以密码服务接口的形式为路侧节点和车辆节点提供安全加密、数字签名等密码服务。考虑国家战略发展需要及自主可控需求,本体系中密码算法均采用具有自主知识产权的国产密码算法。
Claims (6)
1.一种车路协同的身份认证系统,其包括:路侧终端、车载终端,所述车载终端、所述路侧终端分别与认证服务器通信连接,所述认证服务器中包括根CA、认证CA、匿名CA;所述认证CA,用于为所述路侧终端、需要隐私保护的所述车载终端颁发永久证书,同时提供身份认证服务;所述匿名CA,用于为需要隐私保护的所述车载终端颁发临时证书,同时维护永久证书与临时证书对应关系表;所述根CA为认证CA与匿名CA提供根认证服务;其特征在于:
其还包括私钥生成中心PKG、安全模块、汽车电子标识;
所述汽车电子标识用于唯一标识车辆合法身份;所述车载终端通信连接射频读写器;所述车载终端通过所述射频读写器识读所述汽车电子标识;
所述安全模块包括内嵌在所述路侧终端中的路侧安全模块、内嵌在所述车载终端中的车载安全模块;所述路侧安全模块、所述车载安全模块分别与所述路侧终端、所述车载终端通信连接,向所述路侧终端、所述车载终端提供快速验签密码服务;
所述路侧安全模块中保存了所述路侧终端的路侧设备唯一序列号及其签名、安全证书、密钥;所述车载安全模块中保存了所述车载终端对应的所述汽车电子标识卡号及其签名、安全证书、密钥;
所述私钥生成中心PKG分别与所述车载终端、所述汽车电子标识通信连接;
由所述认证CA生成证书的操作,包括如下步骤:
b1:所述认证CA接到申请后,确认申请的发送端;
如果所述发送端为所述路侧终端,则执行步骤b2;
如果所述发送端为所述车载终端,则执行步骤b4;
b2:所述认证CA使用自己的私钥对接到的数据解密后,使用路侧终端固定公钥验证所述路侧终端永久证书申请文件中的路侧设备唯一序列号的签名;验证通过并核查路侧设备唯一序列号后,所述认证CA使用认证CA证书私钥对所述路侧终端永久证书申请文件进行签名,生成路侧终端永久证书;
把所述路侧终端永久证书发送给所述路侧终端;
b3:所述路侧终端使用所述认证CA证书公钥验证所述路侧终端永久证书,验证通过后保存所述路侧终端永久证书到路侧安全模块中;本次认证操作结束;
b4:所述认证CA使用自己的私钥对接收到的数据解密后,使用车载终端固定公钥对KH1的签名及KH2的签名进行验证;验证后比较KH1与KH2,二者一致则调用认证CA密码机;所述认证CA密码机使用卡号加解密密钥对汽车电子标识卡号对称加密得到卡号密文,将所述卡号密文嵌入到所述车辆永久证书申请文件中;使用所述认证CA证书私钥对所述车辆永久证书申请文件签名,生成所述车辆永久证书;
把所述车辆永久证书发送给所述车载终端;
b5:所述车载终端使用所述认证CA证书公钥验证所述车辆永久证书,验证通过后保存所述车辆永久证书到所述车载安全模块中;
b6:所述车载安全模块随机生成临时公私钥对、车辆临时证书申请文件;
b7:使用车载终端固定私钥对所有的所述车辆临时证书申请文件签名,得到车载终端签名结果;
b8:所述车载安全模块将所有所述车辆临时证书申请文件、所述车载终端签名结果、所述车辆永久证书一起作为所述车辆临时证书的请求数据提交到所述匿名CA,申请车辆临时证书;
b9:所述匿名CA保存所述车辆永久证书,将所述车辆临时证书的请求数据转发给所述认证CA;
b10:所述认证CA使用所述认证CA证书公钥验证所述车辆永久证书;验证通过后,从证书中解析出卡号密文,所述认证CA密码机使用卡号加解密密钥对卡号密文解密得到汽车电子标识卡号明文,验证卡号通过后,使用车辆永久证书公钥验证所述车辆临时证书申请文件签名;验证通过后,设置判断结果为:允许匿名CA颁发车辆临时证书;验证不通过,则设置判断结果为:不允许匿名CA颁发车辆临时证书;
b11:使用所述匿名CA证书公钥加密所述判断结果;
b12:使用所述认证CA私钥对所述判断结果的密文进行签名;
b13:将所述判断结果的密文及密文签名发送给匿名CA;
b14:所述匿名CA使用所述认证CA证书公钥验证所述判断结果的密文签名;
验证通过后,使用所述匿名CA的私钥解密所述判断结果的密文得到所述判断结果的明文;
验证不通过则停止认证操作;
b15:确认所述判断结果的明文的内容,如果所述判断结果为:允许匿名CA颁发车辆临时证书,则执行a16;否则停止认证操作;
b16:所述匿名CA使用自己的私钥对所有所述车辆临时证书申请文件签名生成所述车辆临时证书;
b17:所述匿名CA保存所述车辆永久证书与车辆临时证书对应关系,将所有的所述车辆临时证书发给所述车载终端;
b18:所述车载终端使用所述匿名CA证书公钥验证所有的所述车辆临时证书,验证通过后保存所有的所述车辆临时证书到所述车载安全模块中;本次认证操作结束。
2.根据权利要求1所述一种车路协同的身份认证系统,其特征在于:所述安全模块中包括支持国密算法的安全芯片,基于国密SM9算法实现加密解密功能,基于国密SM2、SM3算法实现签名验签功能。
3.根据权利要求1所述一种车路协同的身份认证系统,其特征在于:所述车载终端、所述路侧终端分别通过运营商4G-5G网络、以太网络与所述认证服务器中的认证CA、匿名CA、以及所述私钥生成中心PKG通信连接。
4.基于权利要求1所述一种车路协同的身份认证系统实现的一种车路协同身份认证方法,其包括以下步骤:
S1:在认证服务器中建设根CA、认证CA、匿名CA,部署认证CA服务器及认证CA密码机、匿名CA服务器及匿名CA密码机;
生成认证CA证书公私钥、匿名CA证书公私钥,且公开认证CA证书公钥、匿名CA证书公钥;
其特征在于,其还包括以下步骤:
S2:搭建私钥生成中心PKG;
在所述私钥生成中心PKG中预先生成签名主密钥,并且保存签名主私钥,公开系统参数、签名主公钥;
S3:在车载终端与路侧终端中保存所述认证CA证书公钥、所述匿名CA证书公钥、所述私钥生成中心PKG公开的系统参数、签名主公钥;
S4:所述车载终端、所述路侧终端执行预注册:
需要隐私保护的所述车载终端在内嵌的车载安全模块中生成车载终端固定公私钥对;使用车载终端固定私钥对所述汽车电子标识卡号KH1进行签名后,保存卡号KH1与其签名值到所述车载安全模块中;
无需隐私保护的所述车载终端在内嵌的所述车载安全模块中生成车载终端临时公私钥对;使用车载终端临时私钥对所述汽车电子标识卡号KH1进行签名后,保存卡号KH1与其签名值到所述车载安全模块中;
所述路侧终端在内嵌的路侧安全模块中生成路侧终端固定公私钥对;使用路侧终端固定私钥对路侧设备唯一序列号进行签名,保存所述路侧设备唯一序列号与其签名值到路侧安全模块中;
S5:所述车载终端、所述路侧终端向所述认证CA、所述私钥生成中心PKG申请证书或密钥;
如果所述发送端为无需隐私保护的所述车载终端,则执行步骤S7;
否则,则执行步骤S6;
S6:需隐私保护的所述车载终端、所述路侧终端分别使用所述认证CA证书公钥对自身的申请文件加密后,把数据发往所述认证CA,向所述认证CA申请证书;
S7:无需隐私保护的所述车载终端获取存储在所述车载安全模块中的所述汽车电子标识卡号KH1及其签名;
S8:无需隐私保护的所述车载终端通过射频读写器读取汽车电子标识的卡号KH2;
使用所述车载终端临时私钥对所述汽车电子标识的卡号KH2进行签名;
S9:将KH1、KH1签名、KH2、KH2签名与车载终端临时公钥提交所述私钥生成中心PKG;
S10:所述私钥生成中心PKG使用所述车载终端临时公钥验证KH1签名和KH2签名,并且比对KH1和KH2;验证通过后且经过比对KH1和KH2一致,基于所述汽车电子标识卡号KH1、所述私钥生成中心PKG公开的系统参数及签名主公钥,生成签名私钥;
S11:使用所述车载终端临时公钥对所述签名私钥加密后得到签名私钥密文,发给所述车载终端;
S12:所述车载终端使用所述车载终端临时私钥对收到的所述签名私钥密文进行解密,得到所述签名私钥;
S13:所述车载终端将所述签名私钥存储到所述车载安全模块中,本次认证操作结束;
步骤S6中,需隐私保护的所述车载终端、所述路侧终端向所述认证CA申请证书的操作,当申请由所述车载终端提出时,执行步骤a1;否则,当申请由所述路侧终端提出时执行步骤a3;
a1:所述车载终端获取存储在所述车载安全模块中的汽车电子标识卡号KH1及其签名,通过射频读写器识读汽车电子标识卡号KH2,使用所述车载终端固定私钥对所述汽车电子标识的卡号KH2进行签名,生成车辆永久证书申请文件;
a2:所述车载终端使用所述认证CA证书公钥对所述车辆永久证书申请文件、KH2及其签名、KH1及其签名进行加密后,提交认证CA;由所述认证CA生成证书;
a3:所述路侧终端获取存储在所述路侧安全模块中的所述路侧设备唯一序列号及其签名,生成路侧终端永久证书申请文件;
a4:所述路侧终端使用所述认证CA证书公钥,对所述路侧终端永久证书申请文件、所述路侧设备唯一序列号进行加密后,提交认证CA;由所述认证CA生成证书;
步骤a2、a4中,由所述认证CA生成证书的操作,包括如下步骤:
b1:所述认证CA接到申请后,确认申请的发送端;
如果所述发送端为所述路侧终端,则执行步骤b2;
如果所述发送端为所述车载终端,则执行步骤b4;
b2:所述认证CA使用自己的私钥对接到的数据解密后,使用路侧终端固定公钥验证所述路侧终端永久证书申请文件中的路侧设备唯一序列号的签名;验证通过并核查路侧设备唯一序列号后,所述认证CA使用认证CA证书私钥对所述路侧终端永久证书申请文件进行签名,生成路侧终端永久证书;
把所述路侧终端永久证书发送给所述路侧终端;
b3:所述路侧终端使用所述认证CA证书公钥验证所述路侧终端永久证书,验证通过后保存所述路侧终端永久证书到路侧安全模块中;本次认证操作结束;
b4:所述认证CA使用自己的私钥对接收到的数据解密后,使用车载终端固定公钥对KH1的签名及KH2的签名进行验证;验证后比较KH1与KH2,二者一致则调用认证CA密码机;所述认证CA密码机使用卡号加解密密钥对汽车电子标识卡号对称加密得到卡号密文,将所述卡号密文嵌入到所述车辆永久证书申请文件中;使用所述认证CA证书私钥对所述车辆永久证书申请文件签名,生成所述车辆永久证书;
把所述车辆永久证书发送给所述车载终端;
b5:所述车载终端使用所述认证CA证书公钥验证所述车辆永久证书,验证通过后保存所述车辆永久证书到所述车载安全模块中;
b6:所述车载安全模块随机生成临时公私钥对、车辆临时证书申请文件;
b7:使用车载终端固定私钥对所有的所述车辆临时证书申请文件签名,得到车载终端签名结果;
b8:所述车载安全模块将所有所述车辆临时证书申请文件、所述车载终端签名结果、所述车辆永久证书一起作为所述车辆临时证书的请求数据提交到所述匿名CA,申请车辆临时证书;
b9:所述匿名CA保存所述车辆永久证书,将所述车辆临时证书的请求数据转发给所述认证CA;
b10:所述认证CA使用所述认证CA证书公钥验证所述车辆永久证书;验证通过后,从证书中解析出卡号密文,所述认证CA密码机使用卡号加解密密钥对卡号密文解密得到汽车电子标识卡号明文,验证卡号通过后,使用车辆永久证书公钥验证所述车辆临时证书申请文件签名;验证通过后,设置判断结果为:允许匿名CA颁发车辆临时证书;验证不通过,则设置判断结果为:不允许匿名CA颁发车辆临时证书;
b11:使用所述匿名CA证书公钥加密所述判断结果;
b12:使用所述认证CA私钥对所述判断结果的密文进行签名;
b13:将所述判断结果的密文及密文签名发送给匿名CA;
b14:所述匿名CA使用所述认证CA证书公钥验证所述判断结果的密文签名;
验证通过后,使用所述匿名CA的私钥解密所述判断结果的密文得到所述判断结果的明文;
验证不通过则停止认证操作;
b15:确认所述判断结果的明文的内容,如果所述判断结果为:允许匿名CA颁发车辆临时证书,则执行a16;否则停止认证操作;
b16:所述匿名CA使用自己的私钥对所有所述车辆临时证书申请文件签名生成所述车辆临时证书;
b17:所述匿名CA保存所述车辆永久证书与车辆临时证书对应关系,将所有的所述车辆临时证书发给所述车载终端;
b18:所述车载终端使用所述匿名CA证书公钥验证所有的所述车辆临时证书,验证通过后保存所有的所述车辆临时证书到所述车载安全模块中;本次认证操作结束。
5.根据权利要求4所述一种车路协同的身份认证方法,其特征在于:需隐私保护的所述车载终端按照预设的周期,重复步骤b6~b18,向所述匿名CA申请更新所述车辆临时证书。
6.根据权利要求4所述一种车路协同的身份认证方法,其特征在于:其还包括下述内容:
c1:发送消息时:所述路侧终端使用所述路侧终端固定私钥对消息签名;需要隐私保护的所述车载终端使用所述车辆临时证书对应的临时私钥对消息签名;无需隐私保护的所述车载终端使用存储在所述车载安全模块中的所述签名私钥对消息签名;
c2:接收消息时:所述路侧终端,使用所述认证CA证书公钥验证所述路侧终端永久证书,然后使用所述路侧终端永久证书的公钥验证消息签名;对于需要隐私保护的所述车载终端,使用所述匿名CA证书公钥验证所述车辆临时证书,然后所述车辆临时证书的公钥验证消息签名;对于无需隐私保护的所述车载终端,使用所述汽车电子标识卡号作为身份标识验证消息签名;
c3:身份追溯时,管理平台将可疑消息发送到匿名CA,得到可疑消息对应的所述车辆临时证书、所述车辆永久证书;将可疑消息对应的所述车辆永久证书发送所述认证CA,所述认证CA解密永久证书中的所述汽车电子标识卡号对应的所述卡号密文,得到明文的所述汽车电子标识卡号,从而获取到车辆真实身份。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911079285.1A CN110769393B (zh) | 2019-11-07 | 2019-11-07 | 一种车路协同的身份认证系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911079285.1A CN110769393B (zh) | 2019-11-07 | 2019-11-07 | 一种车路协同的身份认证系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110769393A CN110769393A (zh) | 2020-02-07 |
| CN110769393B true CN110769393B (zh) | 2021-12-24 |
Family
ID=69336658
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911079285.1A Active CN110769393B (zh) | 2019-11-07 | 2019-11-07 | 一种车路协同的身份认证系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110769393B (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021159488A1 (en) * | 2020-02-14 | 2021-08-19 | Qualcomm Incorporated | A method of vehicle permanent id report triggering and collecting |
| CN113347133B (zh) * | 2020-02-18 | 2023-04-28 | 华为技术有限公司 | 车载设备的认证方法及装置 |
| CN111479244B (zh) * | 2020-05-08 | 2022-02-11 | 郑州信大捷安信息技术股份有限公司 | 一种v2i车联网身份认证系统及方法 |
| CN113765668A (zh) * | 2020-06-03 | 2021-12-07 | 广州汽车集团股份有限公司 | 一种车辆数字证书在线安装方法及车辆数字证书管理装置 |
| CN112131572B (zh) * | 2020-08-31 | 2022-12-27 | 华为技术有限公司 | 车载设备的控制方法、车载设备及车辆系统 |
| CN112217793B (zh) * | 2020-09-07 | 2022-11-11 | 中国电力科学研究院有限公司 | 一种适用于电力物联网的跨体系信任管理系统 |
| CN112347453B (zh) * | 2020-11-11 | 2022-05-24 | 公安部交通管理科学研究所 | 一种汽车电子标识内嵌nfc芯片的数据安全写入方法及系统 |
| CN112423298B (zh) * | 2020-11-25 | 2022-01-18 | 公安部交通管理科学研究所 | 一种道路交通信号管控设施身份认证系统及方法 |
| CN112738763B (zh) * | 2020-12-25 | 2023-03-14 | 高新兴智联科技有限公司 | 一种基于汽车电子标识的v2x路侧设备及车辆辨认方法 |
| CN112738761B (zh) * | 2020-12-25 | 2023-03-14 | 高新兴智联科技有限公司 | 一种汽车电子标识与v2x认证结合方法 |
| CN112434325B (zh) * | 2021-01-27 | 2021-05-11 | 南京芯驰半导体科技有限公司 | 数据高速加解密方法及车载单元 |
| CN113452764B (zh) * | 2021-06-17 | 2022-02-18 | 北京邮电大学 | 一种基于sm9的车联网v2i双向认证方法 |
| CN114283583B (zh) * | 2021-12-28 | 2023-08-29 | 阿波罗智联(北京)科技有限公司 | 用于车路协同的方法、车载智能终端、云控平台和系统 |
| CN114154135B (zh) * | 2022-02-07 | 2022-05-24 | 南京理工大学 | 基于国密算法的车联网通信安全认证方法、系统及设备 |
| CN115225318B (zh) * | 2022-06-09 | 2023-12-22 | 广东省智能网联汽车创新中心有限公司 | 一种基于车载终端的车载以太网动态登录鉴权方法及系统 |
| CN115118440B (zh) * | 2022-08-29 | 2023-01-20 | 北京智芯微电子科技有限公司 | 终端数字身份的写入方法及系统 |
| CN115361243B (zh) * | 2022-10-24 | 2023-01-10 | 广州万协通信息技术有限公司 | 安全芯片的无人驾驶信息交互方法及安全芯片装置 |
| CN117062079B (zh) * | 2023-10-12 | 2023-12-15 | 中汽智联技术有限公司 | 数字证书签发方法、设备和存储介质 |
Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011026092A1 (en) * | 2009-08-31 | 2011-03-03 | Telcordia Technologies, Inc. | System and method for detecting and evicting malicious vehicles in a vehicle communications network |
| CN102594844A (zh) * | 2012-03-29 | 2012-07-18 | 杨涛 | 一个基于数字重签名和可追溯技术的隐私保护认证系统 |
| CN102970682A (zh) * | 2012-12-10 | 2013-03-13 | 北京航空航天大学 | 一种应用于可信移动终端平台的直接匿名证明方法 |
| CN103414699A (zh) * | 2013-07-23 | 2013-11-27 | 北京星网锐捷网络技术有限公司 | 客户端证书认证方法、服务器和客户端 |
| CN103986687A (zh) * | 2013-02-07 | 2014-08-13 | 电信科学技术研究院 | 一种实现车联网设备授权管理的方法、设备及系统 |
| CN104182786A (zh) * | 2014-07-14 | 2014-12-03 | 公安部交通管理科学研究所 | 对超高频电子标签存储区域实现分区管理的安全控制装置 |
| CN105284091A (zh) * | 2014-05-08 | 2016-01-27 | 华为技术有限公司 | 一种证书获取方法和设备 |
| CN105516119A (zh) * | 2015-12-03 | 2016-04-20 | 西北师范大学 | 基于代理重签名的跨域身份认证方法 |
| CN106131059A (zh) * | 2016-08-23 | 2016-11-16 | 河海大学 | 一种基于无证书聚合签名的车联网条件隐私保护方法与系统 |
| CN106936789A (zh) * | 2015-12-30 | 2017-07-07 | 上海格尔软件股份有限公司 | 一种使用双证书进行认证的应用方法 |
| CN107395359A (zh) * | 2017-07-17 | 2017-11-24 | 深圳市大恒数据安全科技有限责任公司 | 一种电子数据固证方法、终端及系统 |
| CN108401243A (zh) * | 2018-02-23 | 2018-08-14 | 广州大学 | 车载自组网消息认证方法与系统 |
| CN108471351A (zh) * | 2018-06-27 | 2018-08-31 | 西南交通大学 | 基于无证书聚合签名的车联网认证与密钥协商方法 |
| WO2018160863A1 (en) * | 2017-03-01 | 2018-09-07 | Apple Inc. | System access using a mobile device |
| CN108833081A (zh) * | 2018-06-22 | 2018-11-16 | 中国人民解放军国防科技大学 | 一种基于区块链的设备组网认证方法 |
| CN108924147A (zh) * | 2018-07-17 | 2018-11-30 | 中国联合网络通信集团有限公司 | 通信终端数字证书签发的方法、服务器以及通信终端 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9455838B2 (en) * | 2014-12-10 | 2016-09-27 | Red Hat, Inc. | Creating a digital certificate for a service using a local certificate authority having temporary signing authority |
-
2019
- 2019-11-07 CN CN201911079285.1A patent/CN110769393B/zh active Active
Patent Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011026092A1 (en) * | 2009-08-31 | 2011-03-03 | Telcordia Technologies, Inc. | System and method for detecting and evicting malicious vehicles in a vehicle communications network |
| CN102594844A (zh) * | 2012-03-29 | 2012-07-18 | 杨涛 | 一个基于数字重签名和可追溯技术的隐私保护认证系统 |
| CN102970682A (zh) * | 2012-12-10 | 2013-03-13 | 北京航空航天大学 | 一种应用于可信移动终端平台的直接匿名证明方法 |
| CN103986687A (zh) * | 2013-02-07 | 2014-08-13 | 电信科学技术研究院 | 一种实现车联网设备授权管理的方法、设备及系统 |
| CN103414699A (zh) * | 2013-07-23 | 2013-11-27 | 北京星网锐捷网络技术有限公司 | 客户端证书认证方法、服务器和客户端 |
| CN105284091A (zh) * | 2014-05-08 | 2016-01-27 | 华为技术有限公司 | 一种证书获取方法和设备 |
| CN104182786A (zh) * | 2014-07-14 | 2014-12-03 | 公安部交通管理科学研究所 | 对超高频电子标签存储区域实现分区管理的安全控制装置 |
| CN105516119A (zh) * | 2015-12-03 | 2016-04-20 | 西北师范大学 | 基于代理重签名的跨域身份认证方法 |
| CN106936789A (zh) * | 2015-12-30 | 2017-07-07 | 上海格尔软件股份有限公司 | 一种使用双证书进行认证的应用方法 |
| CN106131059A (zh) * | 2016-08-23 | 2016-11-16 | 河海大学 | 一种基于无证书聚合签名的车联网条件隐私保护方法与系统 |
| WO2018160863A1 (en) * | 2017-03-01 | 2018-09-07 | Apple Inc. | System access using a mobile device |
| CN107395359A (zh) * | 2017-07-17 | 2017-11-24 | 深圳市大恒数据安全科技有限责任公司 | 一种电子数据固证方法、终端及系统 |
| CN108401243A (zh) * | 2018-02-23 | 2018-08-14 | 广州大学 | 车载自组网消息认证方法与系统 |
| CN108833081A (zh) * | 2018-06-22 | 2018-11-16 | 中国人民解放军国防科技大学 | 一种基于区块链的设备组网认证方法 |
| CN108471351A (zh) * | 2018-06-27 | 2018-08-31 | 西南交通大学 | 基于无证书聚合签名的车联网认证与密钥协商方法 |
| CN108924147A (zh) * | 2018-07-17 | 2018-11-30 | 中国联合网络通信集团有限公司 | 通信终端数字证书签发的方法、服务器以及通信终端 |
Non-Patent Citations (5)
| Title |
|---|
| A Secure Key Management Scheme for Heterogeneous Secure Vehicular Communication Systems;LEI Ao等;《ZTE Communications》;20160625;全文 * |
| Jetzabel Serna ; Roberto Morales ; Manel Medina ; Jesus Luna.《Trustworthy communications in Vehicular Ad Hoc NETworks》.《2014 IEEE World Forum on Internet of Things (WF-IoT)》.2014, * |
| VANETs中保护隐私的认证协议研究与进展;何明星等;《西华大学学报(自然科学版)》;20120730(第04期);全文 * |
| 基于PKI的交通运输信任体系框架;梅新明等;《公路交通科技(应用技术版)》;20160415(第04期);全文 * |
| 车载自组织网匿名接入认证机制研究综述;高天寒等;《网络与信息安全学报》;20160815(第08期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110769393A (zh) | 2020-02-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110769393B (zh) | 一种车路协同的身份认证系统及方法 | |
| TWI779139B (zh) | 車輛虛擬鑰匙生成使用方法及其系統以及使用者終端 | |
| CN109076078B (zh) | 用以建立和更新用于安全的车载网络通信的密钥的方法 | |
| US7742603B2 (en) | Security for anonymous vehicular broadcast messages | |
| US7734050B2 (en) | Digital certificate pool | |
| CN111865919B (zh) | 一种基于v2x的数字证书申请方法及系统 | |
| KR101521412B1 (ko) | 인증기반 메시지 집계 프로토콜 관리시스템 | |
| CN110289958B (zh) | 一种车联网身份认证方法及系统 | |
| CN110365486B (zh) | 一种证书申请方法、装置及设备 | |
| CN102907039A (zh) | 通信系统、车载终端、路侧装置 | |
| CN112039951A (zh) | 车辆蓝牙钥匙的安全分发方法、装置、系统及存储介质 | |
| CN113596778A (zh) | 一种基于区块链的车联网节点匿名认证方法 | |
| KR20200091689A (ko) | 차량 통신을 위한 보안 관리 시스템, 그것의 동작 방법, 및 그것을 포함하는 차량 통신 서비스 제공 시스템의 메시지 처리 방법 | |
| CN105577613A (zh) | 一种密钥信息的发送和接收方法、设备及系统 | |
| CN111539496A (zh) | 车辆信息二维码生成方法、二维码车牌、认证方法及系统 | |
| CN113572795B (zh) | 一种车辆安全通信方法、系统及车载终端 | |
| CN114327532A (zh) | 一种基于数字签名和加密的汽车ota升级信息安全实现方法 | |
| CN114339680B (zh) | 一种v2x系统及安全认证方法 | |
| CN113765667A (zh) | 一种匿名证书申请、设备认证方法、设备、装置及介质 | |
| CN101471775B (zh) | Wimax系统中MS与BS的认证方法 | |
| CN112866240B (zh) | 一种车联网的安全通信方法和设备 | |
| CN112423298B (zh) | 一种道路交通信号管控设施身份认证系统及方法 | |
| CN114360107A (zh) | 用于多用户多车辆的智能车钥匙方法及系统 | |
| CN113676330A (zh) | 一种基于二级密钥的数字证书申请系统及方法 | |
| CN112738761B (zh) | 一种汽车电子标识与v2x认证结合方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |