CN112055330A - 一种基于5g的v2x车联网安全通信系统及方法 - Google Patents

Abstract

本发明涉及一种基于5G的V2X车联网安全通信系统及方法，包括云端、车辆端、路侧端、行人端，车辆端、路侧端和行人端个数和至少为两个；云端包括证书服务器、云端安全模块及车联网服务器；车辆端包括车辆端短距离直接通信模块、车辆端5G通信模块、车辆端安全模块及车辆端控制模块；路侧端包括路侧端短距离直接通信模块、路侧端5G通信模块、路侧端安全模块及路侧端控制模块；行人端包括行人端短距离直接通信模块、行人端5G通信模块、行人端安全模块及行人端控制模块；根据5G和V2X车联网特点实现了V2X车联网身份认证和组安全加密通信，使得进行V2X车联网身份认证及组安全加密通信既安全可靠，又简单高效。

Description

一种基于5G的V2X车联网安全通信系统及方法

技术领域

本发明属于V2X车联网通信技术领域，具体涉及一种可以实现V2X车联网安全加密通信的基于5G的V2X车联网安全通信系统及方法。

背景技术

车用无线通信技术(Vehicle to Everything,V2X)是将车辆与一切事物相连接的新一代信息通信技术，是一系列车载通讯技术的总称。V2X主要包括车与车(Vehicle toVehicle,V2V)、车与交通路侧基础设施之间(Vehicle to Infrastructure,V2I)、车与行人(Vehicle to Pedestrian,V2P)、车与网络(Vehicle to Network,V2N)等几种模式。V2X是未来智能交通的关键技术，它可以通过通讯获得实时路况、道路信息、行人信息等一系列交通信息，提高驾驶安全性、减少拥堵、提高交通效率、提供车载娱乐信息等。

然而，在V2X为车辆、交通路侧基础设施和行人(以下将车辆、交通路侧基础设施和行人简称为V2X通信各方)之间的通信带来方便快捷实用的同时，也存在着不可忽视的安全隐患。比如，V2X通信各方身份被假冒、各方之间传输的信息被窃听、篡改、重放等，这些安全威胁很可能造成重大事故、严重经济损失或其它不良影响、给相关用户的生命、财产安全和隐私带来严重威胁。同时，在V2X车联网环境中，V2X通信各方本身所拥有存储资源和处理能力有限(如数据及通信的处理能力、存储能力等)，并且也不可能在各方内预知和预置用于认证的所有可能的(可能是无限多)的其它各方的公钥证书或公钥。

作为新一代移动通信技术，5G不仅用于人与人之间的通信，还用于人与物以及物与物之间的通信，从而实现真正的万物互联。5G在技术上规划了三大应用场景：eMBB(增强型移动宽带)、mMTC(海量机器类通信)和URLLC(超高可靠、超低时延通信)，以应对垂直应用对大带宽数据传输、海量网络连接、超低时延控制的需求。

如何根据V2V车联网的上述特点和问题，结合云端的计算和存储资源通常都配置得比V2X通信各方更强大的实际情况，并利用超高可靠、超低时延通信的5G及C-V2X通信技术，进行V2X车联网的安全加密通信，是目前急需解决的问题。

发明内容

本发明的目的在于克服现有技术的不足而提供一种能够使得V2X车联网通信既安全可靠，又简单高效的基于5G的V2X车联网安全通信系统及方法，

为了实现上述目的，本发明所采用的技术方案是：

一种基于5G的V2X车联网安全通信系统，包括云端、零个或至少一个车辆端、零个或至少一个路侧端、零个或至少一个行人端，其中，所述车辆端、所述路侧端和所述行人端的总个数之和至少为两个；所述云端包括证书服务器、云端安全模块以及分别与所述证书服务器和所述云端安全模块连接的车联网服务器；所述车辆端包括车辆端短距离直接通信模块、车辆端5G通信模块、车辆端安全模块以及分别与所述车辆端短距离直接通信模块、所述车辆端5G通信模块和所述车辆端安全模块连接的车辆端控制模块；所述路侧端包括路侧端短距离直接通信模块、路侧端5G通信模块、路侧端安全模块以及分别与所述路侧端短距离直接通信模块、所述路侧端5G通信模块和所述路侧端安全模块连接的路侧端控制模块；所述行人端包括行人端短距离直接通信模块、行人端5G通信模块、行人端安全模块以及分别与所述行人端短距离直接通信模块、所述行人端5G通信模块和所述行人端安全模块连接的行人端控制模块；

当所述车辆端个数不为零时，所述云端的车联网服务器通过5G网络与相应的所述车辆端的车辆端5G通信模块通信接连，以实现所述云端与所述车辆端之间的双向通信；当所述路侧端个数不为零时，所述云端的车联网服务器通过5G网络与相应的路侧端的路侧端5G通信模块通信接连，以实现所述云端与所述路侧端之间的双向通信；当所述行人端个数不为零时，所述云端的车联网服务器通过5G网络与相应的行人端的行人端5G通信模块通信接连，以实现所述云端与所述行人端之间的双向通信；

所述总个数之和至少为两个的所述车辆端、所述路侧端与所述行人端之间通过对应的所述车辆端短距离直接通信模块、所述路侧端短距离直接通信模块和所述行人端短距离直接通信模块相互通信连接，以实现相互通信；所述车辆端短距离直接通信模块、所述路侧端短距离直接通信模块和所述行人端短距离直接通信模块之间采用C-V2X PC5短距离直接通信接口进行通信；

所述云端安全模块、所述车辆端安全模块、所述路侧端安全模块和所述行人端安全模块用于提供密码服务功能和安全存储功能；所述密码服务功能包括随机数生成、签名验签运算、加解密运算、会话密钥生成和杂凑运算；所述车联网服务器调用由所述云端安全模块提供的相应密码服务功能；所述车辆端控制模块、路侧端控制模块和所述行人端控制模块分别调用由所述车辆端安全模块、路侧端安全模块和所述行人端安全模块提供的相应密码服务功能和安全存储功能；

所述证书服务器分别为所述云端、所述车辆端、所述路侧端和所述行人端生成并保存相应的公钥证书，通过离线方式将所述云端的公钥证书中的公钥分别写入所述车辆端的车辆端安全模块、所述路侧端的路侧端安全模块和所述行人端的行人端安全模块内；所述云端的云端安全模块、所述车辆端的车辆端安全模块、所述路侧端的路侧端安全模块和所述行人端的行人端安全模块各自保存与其相应公钥证书中的公钥相对应的私钥。

进一步的，所述基于5G的V2X车联网安全通信系统通过如下步骤实现，具体步骤包括准备阶段、组会话密钥协商阶段和组安全加密通信阶段；

准备阶段：

所述总个数之和至少为两个的所述车辆端、所述路侧端与所述行人端均作为安全通信组会话密钥协商的成员，统一用VRP_i表示，其中i＝1,2,…,n；n为大于1的自然数；在所述车辆端的车辆端安全模块内设置车辆端组会话密钥安全存储区，在所述路侧端的路侧端安全模块内设置路侧端组会话密钥安全存储区，在所述行人端的行人端安全模块内设置行人端组会话密钥安全存储区；所述车辆端组会话密钥安全存储区、所述路侧端组会话密钥安全存储区和所述行人端组会话密钥安全存储区统一用KZ_i表示，其中i＝1,2,…,n；n为大于1的自然数；

取大素数p和有限域GF_p上的椭圆曲线EC，BP为EC上的基点，BP∈EC，BP的阶是素数PN，HA是GF_p上的无碰撞单向散列函数；ID_i为VRP_i的标识；每个VRP_i随机选取s_i∈[1,PN-1]作为其私钥，其对应的公钥为g_i＝s_iBP；通过离线方式将g_i传送给所述云端的证书服务器，或者通过所述云端的公钥证书中的公钥对g_i加密后通过5G网络经所述云端的车联网服务器在线发送给所述证书服务器，然后，所述证书服务器使用g_i为该VRP_i生成并保存相应的公钥证书；||表示拼接操作；SIG_i表示用VRP_i的私钥s_i进行签名；PE_i表示用VRP_i的公钥g_i进行加密；PE_c表示用云端的公钥进行加密；所述云端生成一个随机数因子k_c；VERFAIL为验证失败标识；VERSUCC为验证成功标识；

组会话密钥协商阶段：组会话密钥协商包括下列步骤：

步骤1)，对每个VRP_i，随机选取e_i∈[1,PN-1]，随机选取f_i∈[1,PN-1],对每个j＝1,2,…,n,j≠i，VRP_i用其私钥s_i对f_i进行签名，得到SIG_i(f_i),然后用所述云端的公钥证书内的云端公钥对ID_i、f_i和j进行加密，得到PE_c(ID_i||f_i||j)；然后VRP_i将{PE_c(ID_i||f_i||j)||SIG_i(f_i)}通过5G网络发送给所述云端；所述云端在收到VRP_i发来的{PE_c(ID_i||f_i||j)||SIG_i(f_i)}后，用所述云端的私钥对PE_c(ID_i||f_i||j)进行解密，得到ID_i、f_i和j，所述云端再根据ID_i用VRP_i的公钥g_i对SIG_i(f_i)进行验签运算，并将得到的f_i与前述用云端的私钥对PE_c(ID_i||f_i||j)进行解密得到的f_i进行比对，若该两f_i值不相同，则验证失败，所述云端向VRP_i发送验证失败标识VERFAIL，组会话密钥协商过程终止；若该两f_i值相同，则表示验证通过，然后，所述云端再根据j用VRP_j的公钥g_j与f_i计算生成f_ig_j，所述云端用VRP_i的公钥g_i对f_ig_j、j和k_c进行加密运算，得到PE_i(f_ig_j||j||k_c)；所述云端将PE_i(f_ig_j||j||k_c)发送给VRP_i；VRP_i收到PE_i(f_ig_j||j||k_c)后，用自身私钥s_i对PE_i(f_ig_j||j||k_c)解密，得到f_ig_j、j和k_c；VRP_i计算Q_i、X_i,j和Y_i,j，其中，Q_i＝e_iBP，X_i,j＝f_iBP，Y_i,j＝Q_i+f_ig_j，Q_i、X_i,j和Y_i,j均为椭圆曲线EC上的点；用Z_i,j表示X_i,j与Y_i,j这一对椭圆曲线EC上的点，即Z_i,j＝(X_i,j,Y_i,j)；VRP_i根据j将Z_i,j发送给VRP_j，其中，j＝1,2,…,n,j≠i；

步骤2)，VRP_j收到Z_i,j，其中，i＝1,2,…,n,i≠j，计算X_j和Y_j,其中：

然后再计算K_j,其中：

由上式可知，K_j为椭圆曲线EC上的点，设其横坐标与纵坐标分别为x_j和y_j，

则：

接下来，VRP_j计算T_j,其中，T_j＝HA(x_j||y_j||k_c)，然后把T_j发送给每个VRP_i，其中i＝1,2,…,n,i≠j；

每个VRP_i在收到所有T_j后，其中j＝1,2,…,n,j≠i，进行判断，若所有收到的T_j＝HA(x_j||y_j||k_c)的值都与VRP_i自身计算的T_i＝HA(x_i||y_i||k_c)相同，则每个VRP_i将组会话密钥设置为T,其中T＝HA(x_i||y_i||k_c)；VRP_i将组会话密钥T保存于KZ_i；

组安全加密通信阶段：

成功协商建立组会话密钥后，各个VRP_i之间，其中i＝1,2,…,n；n为大于1的自然数，就可以使用所述组会话密钥T进行组安全加密通信。

更进一步的，在所述组会话密钥协商阶段的步骤1)中的VRP_i根据j将Z_i,j发送给VRP_j之前，VRP_i先将Z_i,j进行HA杂凑运算，得到HA(Z_i,j),然后用自身私钥s_i对HA(Z_i,j)进行签名，得到SIG_i(HA(Z_i,j))；然后，VRP_i将{Z_i,j||SIG_i(HA(Z_i,j))}发送给VRP_j；然后，在所述组会话密钥协商阶段的步骤2)中，VRP_j收到{Z_i,j||SIG_i(HA(Z_i,j))}，其中，i＝1,2,…,n,i≠j，在计算X_j和Y_j前，VRP_j先将{Z_i,j||SIG_i(HA(Z_i,j))||i}通过5G网络发送给所述云端；所述云端在收到VRP_j发来的{Z_i,j||SIG_i(HA(Z_i,j))||i}后，再根据i用VRP_i的公钥g_i对SIG_i(HA(Z_i,j))进行验签运算，得到HA(Z_i,j)，然后再将收到的Z_i,j进行HA杂凑运算得到HA(Z_i,j)，然后所述云端将两个HA(Z_i,j)进行比较，若不相同，则验证失败，所述云端向VRP_j发送验证失败标识VERFAIL，组会话密钥协商过程终止；若该两HA(Z_i,j)值相同，则表示验证通过，所述云端向VRP_j发送验证成功标识VERSUCC；VRP_j在收到所述云端发送来的验证成功标识VERSUCC后，继续计算X_j和Y_j。

进一步的，所述云端调用所述密码服务功能具体是指所述云端的车联网服务器调用由所述云端的云端安全模块提供的相应密码服务功能；

当所述车辆端个数不为零时，所述云端通过5G网络与所述车辆端进行双向通信具体是指所述云端的车联网服务器与所述车辆端的车辆端控制模块经所述车辆端5G通信模块通过5G网络进行双向通信，所述车辆端调用所述密码服务功能和安全存储功能具体是指所述车辆端的车辆端控制模块调用由所述车辆端的车辆端安全模块所提供的相应密码服务功能和安全存储功能；

当所述路侧端个数不为零时，所述云端通过5G网络与所述路侧端进行双向通信具体是指所述云端的车联网服务器与所述路侧端的路侧端控制模块经所述路侧端5G通信模块通过5G网络进行双向通信，所述路侧端调用所述密码服务功能和安全存储功能具体是指所述路侧端的路侧端控制模块调用由所述路侧端的路侧端安全模块所提供的相应密码服务功能和安全存储功能；

当所述行人端个数不为零时，所述云端通过5G网络与所述行人端进行双向通信具体是指所述云端的车联网服务器与所述行人端的行人端控制模块经所述行人端5G通信模块通过5G网络进行双向通信，所述行人端调用所述密码服务功能和安全存储功能具体是指所述行人端的行人端控制模块调用由所述行人端的行人端安全模块所提供的相应密码服务功能和安全存储功能；

所述总个数之和至少为两个的所述车辆端、所述路侧端与所述行人端相互通信具体是指所述车辆端的车辆端控制模块、所述路侧端的路侧端控制模块和所述行人端的行人端控制模块分别通过对应的所述车辆端的车辆端短距离直接通信模块、所述路侧端的路侧端短距离直接通信模块和所述行人端的行人端短距离直接通信模块之间的通信连接所实现的相互通信；

所述车辆端短距离直接通信模块、所述路侧端短距离直接通信模块和所述行人端短距离直接通信模块之间采用C-V2X PC5短距离直接通信接口进行通信；所述车辆端安全模块、所述路侧端安全模块、所述行人端安全模块和所述云端安全模块均为安全智能芯片，所述安全智能芯片支持的商用密码算法包括SM1、SM2和SM3中的至少一种，支持的国际常用密码算法包括3DES、AES、RSA、SHA-1和SHA-256中的至少一种；所述安全智能芯片支持存储数字证书；所述安全智能芯片提供安全存储区域，支持重要信息的安全存储；所述安全智能芯片支持随机数的生成；所述证书服务器维护证书撤销列表，提供证书撤销列表查询功能。

基于上述的基于5G的V2X车联网安全通信系统，本发明还提供了一种基于5G的V2X车联网安全通信方法，具体包括包括准备阶段、组会话密钥协商阶段和组安全加密通信阶段；

准备阶段具体包括如下步骤：

所述总个数之和至少为两个的所述车辆端、所述路侧端与所述行人端均作为安全通信组会话密钥协商的成员，统一用VRP_i表示，其中i＝1,2,…,n；n为大于1的自然数；在所述车辆端的车辆端安全模块内设置车辆端组会话密钥安全存储区，在所述路侧端的路侧端安全模块内设置路侧端组会话密钥安全存储区，在所述行人端的行人端安全模块内设置行人端组会话密钥安全存储区；所述车辆端组会话密钥安全存储区、所述路侧端组会话密钥安全存储区和所述行人端组会话密钥安全存储区统一用KZ_i表示，其中i＝1,2,…,n；n为大于1的自然数；

取大素数p和有限域GF_p上的椭圆曲线EC，BP为EC上的基点，BP∈EC，BP的阶是素数PN，HA是GF_p上的无碰撞单向散列函数；ID_i为VRP_i的标识；每个VRP_i随机选取s_i∈[1,PN-1]作为其私钥，其对应的公钥为g_i＝s_iBP；通过离线方式将g_i传送给所述云端的证书服务器，或者通过所述云端的公钥证书中的公钥对g_i加密后通过5G网络经所述云端的车联网服务器在线发送给证书服务器，然后，所述证书服务器使用g_i为该VRP_i生成并保存相应的公钥证书；||表示拼接操作；SIG_i表示用VRP_i的私钥s_i进行签名；PE_i表示用VRP_i的公钥g_i进行加密；PE_c表示用云端的公钥进行加密；所述云端生成一个随机数因子k_c；VERFAIL为验证失败标识；VERSUCC为验证成功标识；

组会话密钥协商阶段具体包括下列步骤：

步骤1)，对每个VRP_i，随机选取e_i∈[1,PN-1]，随机选取f_i∈[1,PN-1],对每个j＝1,2,…,n,j≠i，VRP_i用其私钥s_i对f_i进行签名，得到SIG_i(f_i),然后用所述云端的公钥证书内的云端公钥对ID_i、f_i和j进行加密，得到PE_c(ID_i||f_i||j)；然后VRP_i将{PE_c(ID_i||f_i||j)||SIG_i(f_i)}通过5G网络发送给所述云端；所述云端在收到VRP_i发来的{PE_c(ID_i||f_i||j)||SIG_i(f_i)}后，用所述云端的私钥对PE_c(ID_i||f_i||j)进行解密，得到ID_i、f_i和j，所述云端再根据ID_i用VRP_i的公钥g_i对SIG_i(f_i)进行验签运算，并将得到的f_i与前述用云端的私钥对PE_c(ID_i||f_i||j)进行解密得到的f_i进行比对，若该两f_i值不相同，则验证失败，所述云端向VRP_i发送验证失败标识VERFAIL，组会话密钥协商过程终止；若该两f_i值相同，则表示验证通过，然后，所述云端再根据j用VRP_j的公钥g_j与f_i计算生成f_ig_j，所述云端用VRP_i的公钥g_i对f_ig_j、j和k_c进行加密运算，得到PE_i(f_ig_j||j||k_c)；所述云端将PE_i(f_ig_j||j||k_c)发送给VRP_i；VRP_i收到PE_i(f_ig_j||j||k_c)后，用自身私钥s_i对PE_i(f_ig_j||j||k_c)解密，得到f_ig_j、j和k_c；VRP_i计算Q_i、X_i,j和Y_i,j，其中，Q_i＝e_iBP，X_i,j＝f_iBP，Y_i,j＝Q_i+f_ig_j，Q_i、X_i,j和Y_i,j均为椭圆曲线EC上的点；用Z_i,j表示X_i,j与Y_i,j这一对椭圆曲线EC上的点，即Z_i,j＝(X_i,j,Y_i,j)；VRP_i根据j将Z_i,j发送给VRP_j，其中，j＝1,2,…,n,j≠i；

步骤2)，VRP_j收到Z_i,j，其中，i＝1,2,…,n,i≠j，计算X_j和Y_j,其中：

然后再计算K_j,其中：

由上式可知，K_j为椭圆曲线EC上的点，设其横坐标与纵坐标分别为x_j和y_j，

则：

接下来，VRP_j计算T_j,其中，T_j＝HA(x_j||y_j||k_c)，然后把T_j发送给每个VRP_i，其中i＝1,2,…,n,i≠j；

每个VRP_i在收到所有T_j后，其中j＝1,2,…,n,j≠i，进行判断，若所有收到的T_j＝HA(x_j||y_j||k_c)的值都与VRP_i自身计算的T_i＝HA(x_i||y_i||k_c)相同，则每个VRP_i将组会话密钥设置为T,其中T＝HA(x_i||y_i||k_c)；VRP_i将组会话密钥T保存于KZ_i；

组安全加密通信阶段具体包括如下步骤：

成功协商建立组会话密钥后，各个VRP_i之间，其中i＝1,2,…,n；n为大于1的自然数，就可以使用所述组会话密钥T进行组安全加密通信了。

进一步的，在所述组会话密钥协商阶段的步骤1)中的VRP_i根据j将Z_i,j发送给VRP_j之前，VRP_i先将Z_i,j进行HA杂凑运算，得到HA(Z_i,j),然后用自身私钥s_i对HA(Z_i,j)进行签名，得到SIG_i(HA(Z_i,j))；然后，VRP_i将{Z_i,j||SIG_i(HA(Z_i,j))}发送给VRP_j；然后，在所述组会话密钥协商阶段的步骤2)中，VRP_j收到{Z_i,j||SIG_i(HA(Z_i,j))}，其中，i＝1,2,…,n,i≠j，在计算X_j和Y_j前，VRP_j先将{Z_i,j||SIG_i(HA(Z_i,j))||i}通过5G网络发送给所述云端；所述云端在收到VRP_j发来的{Z_i,j||SIG_i(HA(Z_i,j))||i}后，再根据i用VRP_i的公钥g_i对SIG_i(HA(Z_i,j))进行验签运算，得到HA(Z_i,j)，然后再将收到的Z_i,j进行HA杂凑运算得到HA(Z_i,j)，然后所述云端将两个HA(Z_i,j)进行比较，若不相同，则验证失败，所述云端向VRP_j发送验证失败标识VERFAIL，组会话密钥协商过程终止；若该两HA(Z_i,j)值相同，则表示验证通过，所述云端向VRP_j发送验证成功标识VERSUCC；VRP_j在收到所述云端发送来的验证成功标识VERSUCC后，继续计算X_j和Y_j。

进一步的，所述云端调用所述密码服务功能具体是指所述云端的车联网服务器调用由所述云端的云端安全模块提供的相应密码服务功能；

当所述车辆端个数不为零时，所述云端通过5G网络与所述车辆端进行双向通信具体是指所述云端的车联网服务器与所述车辆端的车辆端控制模块经所述车辆端5G通信模块通过5G网络进行双向通信，所述车辆端调用所述密码服务功能和安全存储功能具体是指所述车辆端的车辆端控制模块调用由所述车辆端的车辆端安全模块所提供的相应密码服务功能和安全存储功能；

当所述路侧端个数不为零时，所述云端通过5G网络与所述路侧端进行双向通信具体是指所述云端的车联网服务器与所述路侧端的路侧端控制模块经所述路侧端5G通信模块通过5G网络进行双向通信，所述路侧端调用所述密码服务功能和安全存储功能具体是指所述路侧端的路侧端控制模块调用由所述路侧端的路侧端安全模块所提供的相应密码服务功能和安全存储功能；

当所述行人端个数不为零时，所述云端通过5G网络与所述行人端进行双向通信具体是指所述云端的车联网服务器与所述行人端的行人端控制模块经所述行人端5G通信模块通过5G网络进行双向通信，所述行人端调用所述密码服务功能和安全存储功能具体是指所述行人端的行人端控制模块调用由所述行人端的行人端安全模块所提供的相应密码服务功能和安全存储功能；

所述总个数之和至少为两个的所述车辆端、所述路侧端与所述行人端相互通信具体是指所述车辆端的车辆端控制模块、所述路侧端的路侧端控制模块和所述行人端的行人端控制模块分别通过对应的所述车辆端的车辆端短距离直接通信模块、所述路侧端的路侧端短距离直接通信模块和所述行人端的行人端短距离直接通信模块之间的通信连接所实现的相互通信；

所述车辆端短距离直接通信模块、所述路侧端短距离直接通信模块和所述行人端短距离直接通信模块之间采用C-V2X PC5短距离直接通信接口进行通信；所述车辆端安全模块、所述路侧端安全模块、所述行人端安全模块和所述云端安全模块均为安全智能芯片，所述安全智能芯片支持的商用密码算法包括SM1、SM2和SM3中的至少一种，支持的国际常用密码算法包括3DES、AES、RSA、SHA-1和SHA-256中的至少一种；所述安全智能芯片支持存储数字证书；所述安全智能芯片提供安全存储区域，支持重要信息的安全存储；所述安全智能芯片支持随机数的生成；所述证书服务器维护证书撤销列表，提供证书撤销列表查询功能。

本发明具有如下积极效果：

本发明所提供的一种基于5G的V2X车联网安全通信系统及方法，充分利用了云端的计算和存储资源通常配置得比V2X通信各方更强大的实际情况，通过在云端存储V2X通信各方的公钥证书和公钥，解决了V2X通信各方存储资源有限、同时也不可能在各方内预置用于认证的所有可能的(可能是无限多)的其它各方的公钥证书或公钥的问题；通过基于椭圆曲线的组会话密钥协商，在V2X通信各方之间建立用于安全通信的组会话密钥，解决了在V2X车联网环境中，V2X通信各方之间相互安全通信的问题；通过在组会话密钥协商过程中，通过超高可靠超低时延通信的5G网络由云端来执行各参与方之间的协商信息认证，并向各方返回认证结果，另外，还由云端参与各参与方的公钥相关的计算工作，解决了组会话密钥协商过程中的身份认证的问题和在云端集中的存储V2X通信各方的公钥的使用问题。同时，由于引进了云端来执行各参与方之间的协商信息认证并由云端提供一个用于生成组会话密钥的因子，这相当于增加了一个参数和维度，使可能的攻击者更难于进行攻击，从而进一步增加了整个组会话密钥协商过程的安全性。

综上所述，本发明所提供的一种基于5G的V2X车联网安全通信系统及方法，根据5G和V2X车联网的特点，实现了V2X车联网身份认证和组安全加密通信，有效地解决了现有技术安全性不足的问题，使得进行V2X车联网身份认证及组安全加密通信既安全可靠，又简单高效，具有突出的实质性特点和显著的进步。

附图说明

图1为本发明一个实施例的基于5G的V2X车联网安全通信系统的架构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处描述的具体实施例仅用以解释本发明，并不用于限定本发明。

如图1所示，本发明实施例提供了一种基于5G的V2X车联网安全通信系统，包括云端、零个或至少一个车辆端、零个或至少一个路侧端、零个或至少一个行人端，其中，所述车辆端、所述路侧端和所述行人端的总个数之和至少为两个；所述云端包括证书服务器、云端安全模块以及分别与所述证书服务器和所述云端安全模块连接的车联网服务器；所述车辆端包括车辆端短距离直接通信模块、车辆端5G通信模块、车辆端安全模块以及分别与所述车辆端短距离直接通信模块、所述车辆端5G通信模块和所述车辆端安全模块连接的车辆端控制模块；所述路侧端包括路侧端短距离直接通信模块、路侧端5G通信模块、路侧端安全模块以及分别与所述路侧端短距离直接通信模块、所述路侧端5G通信模块和所述路侧端安全模块连接的路侧端控制模块；所述行人端包括行人端短距离直接通信模块、行人端5G通信模块、行人端安全模块以及分别与所述行人端短距离直接通信模块、所述行人端5G通信模块和所述行人端安全模块连接的行人端控制模块；

当所述车辆端个数不为零时，所述云端的车联网服务器通过5G网络与相应的车辆端的车辆端5G通信模块通信接连，以实现所述云端与所述车辆端之间的双向通信；当所述路侧端个数不为零时，所述云端的车联网服务器通过5G网络与相应的路侧端的路侧端5G通信模块通信接连，以实现所述云端与所述路侧端之间的双向通信；当所述行人端个数不为零时，所述云端的车联网服务器通过5G网络与相应的行人端的行人端5G通信模块通信接连，以实现所述云端与所述行人端之间的双向通信；

所述总个数之和至少为两个的所述车辆端、所述路侧端与所述行人端之间通过对应的所述车辆端短距离直接通信模块、所述路侧端短距离直接通信模块和所述行人端短距离直接通信模块相互通信连接，以实现相互通信；所述车辆端短距离直接通信模块、所述路侧端短距离直接通信模块和所述行人端短距离直接通信模块之间采用C-V2X PC5短距离直接通信接口进行通信；

所述云端安全模块、所述车辆端安全模块、所述路侧端安全模块和所述行人端安全模块用于提供密码服务功能和安全存储功能；所述密码服务功能包括随机数生成、签名验签运算、加解密运算、会话密钥生成和杂凑运算；所述车联网服务器调用由所述云端安全模块提供的相应密码服务功能；所述车辆端控制模块、路侧端控制模块和所述行人端控制模块分别调用由所述车辆端安全模块、路侧端安全模块和所述行人端安全模块提供的相应密码服务功能和安全存储功能；

所述证书服务器分别为所述云端、所述车辆端、所述路侧端和所述行人端生成并保存相应的公钥证书，通过离线方式将所述云端的公钥证书中的公钥分别写入所述车辆端的车辆端安全模块、所述路侧端的路侧端安全模块和所述行人端的行人端安全模块内；所述云端的云端安全模块、所述车辆端的车辆端安全模块、所述路侧端的路侧端安全模块和所述行人端的行人端安全模块各自保存与其相应公钥证书中的公钥相对应的私钥。

本发明通过在车辆、交通路侧基础设施和行人等V2X通信各方之间采用基于椭圆曲线的密码体制协商出用于通信加密的组会话密钥，然后在各方通信时使用该组会话密钥对通信内容进行加密保护；组会话密钥协商的过程中，所述云端、所述车辆端、所述路侧端和所述行人端相互交互完成认证和协商。

椭圆曲线密码学，是一种建立公开密钥加密的算法，基于椭圆曲线数学。椭圆曲线在密码学中的使用是在1985年由Neal Koblitz和Victor Miller分别独立提出的。椭圆曲线密码学依赖于被广泛承认的解决椭圆曲线离散对数问题的困难性上，对应有限域上椭圆曲线的群。椭圆曲线密码具有安全性能高，处理速度快，带宽要求低和存储空间小等特点。

在本实施例中，所述基于5G的V2X车联网安全通信系统还通过如下步骤实现，具体包括准备阶段、组会话密钥协商阶段和组安全加密通信阶段；

准备阶段：

所述总个数之和至少为两个的所述车辆端、所述路侧端与所述行人端均作为安全通信组会话密钥协商的成员，统一用VRP_i表示，其中i＝1,2,…,n；n为大于1的自然数；在所述车辆端的车辆端安全模块内设置车辆端组会话密钥安全存储区，在所述路侧端的路侧端安全模块内设置路侧端组会话密钥安全存储区，在所述行人端的行人端安全模块内设置行人端组会话密钥安全存储区；所述车辆端组会话密钥安全存储区、所述路侧端组会话密钥安全存储区和所述行人端组会话密钥安全存储区统一用KZ_i表示，对应于VRP_i，其中i＝1,2,…,n；n为大于1的自然数；

取大素数p和有限域GF_p上的椭圆曲线EC，BP为EC上的基点，BP∈EC，BP的阶是素数PN；HA是GF_p上的无碰撞单向散列函数；为安全起见，PN取大于256位的素数，HA的散列值大于256位；ID_i为VRP_i的标识；每个VRP_i随机选取s_i∈[1,PN-1]作为其私钥，其对应的公钥为g_i＝s_iBP；通过离线方式将g_i传送给所述云端的所述证书服务器，或者通过所述云端的公钥证书中的公钥对g_i加密后通过5G网络经所述云端的车联网服务器在线发送给所述证书服务器，然后，所述证书服务器使用g_i为该VRP_i生成并保存相应的公钥证书；||表示拼接操作；SIG_i表示用VRP_i的私钥s_i进行签名；PE_i表示用VRP_i的公钥g_i进行加密；PE_c表示用云端的公钥进行加密；所述云端生成一个随机数因子k_c；VERFAIL为验证失败标识；VERSUCC为验证成功标识；

组会话密钥协商阶段：组会话密钥协商包括下列步骤：

步骤1)，对每个VRP_i，随机选取e_i∈[1,PN-1]，随机选取f_i∈[1,PN-1],对每个j＝1,2,…,n,j≠i，VRP_i用其私钥s_i对f_i进行签名，得到SIG_i(f_i),然后用所述云端的公钥证书内的云端公钥对ID_i、f_i和j进行加密，得到PE_c(ID_i||f_i||j)；然后VRP_i将{PE_c(ID_i||f_i||j)||SIG_i(f_i)}通过5G网络发送给所述云端；所述云端在收到VRP_i发来的{PE_c(ID_i||f_i||j)||SIG_i(f_i)}后，用所述云端的私钥对PE_c(ID_i||f_i||j)进行解密，得到ID_i、f_i和j，所述云端再根据ID_i用VRP_i的公钥g_i对SIG_i(f_i)进行验签运算，并将得到的f_i与前述用云端的私钥对PE_c(ID_i||f_i||j)进行解密得到的f_i进行比对，若该两f_i值不相同，则验证失败，所述云端向VRP_i发送验证失败标识VERFAIL，组会话密钥协商过程终止；若该两f_i值相同，则表示验证通过，然后，所述云端再根据j用VRP_j的公钥g_j与f_i计算生成f_ig_j，所述云端用VRP_i的公钥g_i对f_ig_j、j和k_c进行加密运算，得到PE_i(f_ig_j||j||k_c)；所述云端将PE_i(f_ig_j||j||k_c)发送给VRP_i；VRP_i收到PE_i(f_ig_j||j||k_c)后，用自身私钥s_i对PE_i(f_ig_j||j||k_c)解密，得到f_ig_j、j和k_c；VRP_i计算Q_i、X_i,j和Y_i,j，其中，Q_i＝e_iBP，X_i,j＝f_iBP，Y_i,j＝Q_i+f_ig_j，Q_i、X_i,j和Y_i,j均为椭圆曲线EC上的点；用Z_i,j表示X_i,j与Y_i,j这一对椭圆曲线EC上的点，即Z_i,j＝(X_i,j,Y_i,j)；VRP_i根据j将Z_i,j发送给VRP_j，其中，j＝1,2,…,n,j≠i；

步骤2)，VRP_j收到Z_i,j，其中，i＝1,2,…,n,i≠j，计算X_j和Y_j,其中：

然后再计算K_j,其中：

由上式可知，K_j为椭圆曲线EC上的点，设其横坐标与纵坐标分别为x_j和y_j，

则：

接下来，VRP_j计算T_j,其中，T_j＝HA(x_j||y_j||k_c)，然后把T_j发送给每个VRP_i，其中i＝1,2,…,n,i≠j；

每个VRP_i在收到所有T_j后，其中j＝1,2,…,n,j≠i，进行判断，若所有收到的T_j＝HA(x_j||y_j||k_c)的值都与VRP_i自身计算的T_i＝HA(x_i||y_i||k_c)相同，则每个VRP_i将组会话密钥设置为T,其中T＝HA(x_i||y_i||k_c)；VRP_i将组会话密钥T保存于KZ_i；

组安全加密通信阶段：

成功协商建立组会话密钥后，各个VRP_i之间，其中i＝1,2,…,n；n为大于1的自然数，就可以使用所述组会话密钥T进行组安全加密通信了。

在一个实施例中，在所述组会话密钥协商阶段的步骤1)中的VRP_i根据j将Z_i,j发送给VRP_j之前，VRP_i先将Z_i,j进行HA杂凑运算，得到HA(Z_i,j),然后用自身私钥s_i对HA(Z_i,j)进行签名，得到SIG_i(HA(Z_i,j))；然后，VRP_i将{Z_i,j||SIG_i(HA(Z_i,j))}发送给VRP_j；然后，在所述组会话密钥协商阶段的步骤2)中，VRP_j收到{Z_i,j||SIG_i(HA(Z_i,j))}，其中，i＝1,2,…,n,i≠j，在计算X_j和Y_j前，VRP_j先将{Z_i,j||SIG_i(HA(Z_i,j))||i}通过5G网络发送给所述云端；所述云端在收到VRP_j发来的{Z_i,j||SIG_i(HA(Z_i,j))||i}后，再根据i用VRP_i的公钥g_i对SIG_i(HA(Z_i,j))进行验签运算，得到HA(Z_i,j)，然后再将收到的Z_i,j进行HA杂凑运算得到HA(Z_i,j)，然后所述云端将两个HA(Z_i,j)进行比较，若不相同，则验证失败，所述云端向VRP_j发送验证失败标识VERFAIL，组会话密钥协商过程终止；若该两HA(Z_i,j)值相同，则表示验证通过，所述云端向VRP_j发送验证成功标识VERSUCC；VRP_j在收到所述云端发送来的验证成功标识VERSUCC后，继续计算X_j和Y_j。

在一个实施例中，所述云端调用所述密码服务功能具体是指所述云端的车联网服务器调用由所述云端的云端安全模块提供的相应密码服务功能；

当所述车辆端个数不为零时，所述云端通过5G网络与所述车辆端进行双向通信具体是指所述云端的车联网服务器与所述车辆端的车辆端控制模块经所述车辆端5G通信模块通过5G网络进行双向通信，所述车辆端调用所述密码服务功能和安全存储功能具体是指所述车辆端的车辆端控制模块调用由所述车辆端的车辆端安全模块所提供的相应密码服务功能和安全存储功能；

当所述路侧端个数不为零时，所述云端通过5G网络与所述路侧端进行双向通信具体是指所述云端的车联网服务器与所述路侧端的路侧端控制模块经所述路侧端5G通信模块通过5G网络进行双向通信，所述路侧端调用所述密码服务功能和安全存储功能具体是指所述路侧端的路侧端控制模块调用由所述路侧端的路侧端安全模块所提供的相应密码服务功能和安全存储功能；

当所述行人端个数不为零时，所述云端通过5G网络与所述行人端进行双向通信具体是指所述云端的车联网服务器与所述行人端的行人端控制模块经所述行人端5G通信模块通过5G网络进行双向通信，所述行人端调用所述密码服务功能和安全存储功能具体是指所述行人端的行人端控制模块调用由所述行人端的行人端安全模块所提供的相应密码服务功能和安全存储功能；

所述总个数之和至少为两个的所述车辆端、所述路侧端与所述行人端相互通信具体是指所述车辆端的车辆端控制模块、所述路侧端的路侧端控制模块和所述行人端的行人端控制模块分别通过对应的所述车辆端的车辆端短距离直接通信模块、所述路侧端的路侧端短距离直接通信模块和所述行人端的行人端短距离直接通信模块之间的通信连接所实现的相互通信；

所述车辆端短距离直接通信模块、所述路侧端短距离直接通信模块和所述行人端短距离直接通信模块之间采用C-V2X PC5短距离直接通信接口进行通信；所述车辆端安全模块、所述路侧端安全模块、所述行人端安全模块和所述云端安全模块均为安全智能芯片，所述安全智能芯片支持的商用密码算法包括SM1、SM2和SM3中的至少一种，支持的国际常用密码算法包括3DES、AES、RSA、SHA-1和SHA-256中的至少一种；所述安全智能芯片支持存储数字证书；所述安全智能芯片提供安全存储区域，支持重要信息的安全存储；所述安全智能芯片支持随机数的生成；所述证书服务器维护证书撤销列表，提供证书撤销列表查询功能。

所述C-V2X中的C是指蜂窝(Cellular)，它是基于3G/4G/5G等蜂窝网通信技术演进形成的车用无线通信技术，包含了两种通信接口：一种是车、人、路之间的短距离直接通信接口(PC5)，另一种是终端和基站之间的通信接口(Uu)，可实现长距离和更大范围的可靠通信。C-V2X是基于3GPP全球统一标准的通信技术，包含LTE-V2X和5G-V2X，从技术演进角度讲，LTE-V2X支持向5G-V2X平滑演进。

基于上述的基于5G的V2X车联网安全通信系统，本发明实施例还提供了一种基于5G的V2X车联网安全通信方法，可应用于如图1所示的环境中，包括包括准备阶段、组会话密钥协商阶段和组安全加密通信阶段；

准备阶段具体包括如下步骤：

所述总个数之和至少为两个的所述车辆端、所述路侧端与所述行人端均作为安全通信组会话密钥协商的成员，统一用VRP_i表示，其中i＝1,2,…,n；n为大于1的自然数；在所述车辆端的车辆端安全模块内设置车辆端组会话密钥安全存储区，在所述路侧端的路侧端安全模块内设置路侧端组会话密钥安全存储区，在所述行人端的行人端安全模块内设置行人端组会话密钥安全存储区；所述车辆端组会话密钥安全存储区、所述路侧端组会话密钥安全存储区和所述行人端组会话密钥安全存储区统一用KZ_i表示，对应于VRP_i，其中i＝1,2,…,n；n为大于1的自然数；

取大素数p和有限域GF_p上的椭圆曲线EC，BP为EC上的基点，BP∈EC，BP的阶是素数PN，HA是GF_p上的无碰撞单向散列函数；为安全起见，PN取大于256位的素数，HA的散列值大于256位；ID_i为VRP_i的标识；每个VRP_i随机选取s_i∈[1,PN-1]作为其私钥，其对应的公钥为g_i＝s_iBP；通过离线方式将g_i传送给所述云端的证书服务器，或者通过所述云端的公钥证书中的公钥对g_i加密后通过5G网络经所述云端的车联网服务器在线发送给所述证书服务器，然后，所述证书服务器使用g_i为该VRP_i生成并保存相应的公钥证书；||表示拼接操作；SIG_i表示用VRP_i的私钥s_i进行签名；PE_i表示用VRP_i的公钥g_i进行加密；PE_c表示用云端的公钥进行加密；所述云端生成一个随机数因子k_c；VERFAIL为验证失败标识；VERSUCC为验证成功标识；

组会话密钥协商阶段具体包括下列步骤：

步骤1)，对每个VRP_i，随机选取e_i∈[1,PN-1]，随机选取f_i∈[1,PN-1],对每个j＝1,2,…,n,j≠i，VRP_i用其私钥s_i对f_i进行签名，得到SIG_i(f_i),然后用所述云端的公钥证书内的云端公钥对ID_i、f_i和j进行加密，得到PE_c(ID_i||f_i||j)；然后VRP_i将{PE_c(ID_i||f_i||j)||SIG_i(f_i)}通过5G网络发送给所述云端；所述云端在收到VRP_i发来的{PE_c(ID_i||f_i||j)||SIG_i(f_i)}后，用所述云端的私钥对PE_c(ID_i||f_i||j)进行解密，得到ID_i、f_i和j，所述云端再根据ID_i用VRP_i的公钥g_i对SIG_i(f_i)进行验签运算，并将得到的f_i与前述用云端的私钥对PE_c(ID_i||f_i||j)进行解密得到的f_i进行比对，若该两f_i值不相同，则验证失败，所述云端向VRP_i发送验证失败标识VERFAIL，组会话密钥协商过程终止；若该两f_i值相同，则表示验证通过，然后，所述云端再根据j用VRP_j的公钥g_j与f_i计算生成f_ig_j，所述云端用VRP_i的公钥g_i对f_ig_j、j和k_c进行加密运算，得到PE_i(f_ig_j||j||k_c)；所述云端将PE_i(f_ig_j||j||k_c)发送给VRP_i；VRP_i收到PE_i(f_ig_j||j||k_c)后，用自身私钥s_i对PE_i(f_ig_j||j||k_c)解密，得到f_ig_j、j和k_c；VRP_i计算Q_i、X_i,j和Y_i,j，其中，Q_i＝e_iBP，X_i,j＝f_iBP，Y_i,j＝Q_i+f_ig_j，Q_i、X_i,j和Y_i,j均为椭圆曲线EC上的点；用Z_i,j表示X_i,j与Y_i,j这一对椭圆曲线EC上的点，即Z_i,j＝(X_i,j,Y_i,j)；VRP_i根据j将Z_i,j发送给VRP_j，其中，j＝1,2,…,n,j≠i；

步骤2，VRP_j收到Z_i,j，其中，i＝1,2,…,n,i≠j，计算X_j和Y_j,其中：

然后再计算K_j,其中：

由上式可知，K_j为椭圆曲线EC上的点，设其横坐标与纵坐标分别为x_j和y_j，

则：

接下来，VRP_j计算T_j,其中，T_j＝HA(x_j||y_j||k_c)，然后把T_j发送给每个VRP_i，其中i＝1,2,…,n,i≠j；

每个VRP_i在收到所有T_j后，其中j＝1,2,…,n,j≠i，进行判断，若所有收到的T_j＝HA(x_j||y_j||k_c)的值都与VRP_i自身计算的T_i＝HA(x_i||y_i||k_c)相同，则每个VRP_i将组会话密钥设置为T,其中T＝HA(x_i||y_i||k_c)；VRP_i将组会话密钥T保存于KZ_i；

组安全加密通信阶段具体包括如下步骤：

成功协商建立组会话密钥后，各个VRP_i之间，其中i＝1,2,…,n；n为大于1的自然数，就可以使用所述组会话密钥T进行组安全加密通信。

在一个实施例中，在所述组会话密钥协商阶段的步骤1)中的VRP_i根据j将Z_i,j发送给VRP_j之前，VRP_i先将Z_i,j进行HA杂凑运算，得到HA(Z_i,j),然后用自身私钥s_i对HA(Z_i,j)进行签名，得到SIG_i(HA(Z_i,j))；然后，VRP_i将{Z_i,j||SIG_i(HA(Z_i,j))}发送给VRP_j；然后，在所述组会话密钥协商阶段的步骤2)中，VRP_j收到{Z_i,j||SIG_i(HA(Z_i,j))}，其中，i＝1,2,…,n,i≠j，在计算X_j和Y_j前，VRP_j先将{Z_i,j||SIG_i(HA(Z_i,j))||i}通过5G网络发送给所述云端；所述云端在收到VRP_j发来的{Z_i,j||SIG_i(HA(Z_i,j))||i}后，再根据i用VRP_i的公钥g_i对SIG_i(HA(Z_i,j))进行验签运算，得到HA(Z_i,j)，然后再将收到的Z_i,j进行HA杂凑运算得到HA(Z_i,j)，然后所述云端将两个HA(Z_i,j)进行比较，若不相同，则验证失败，所述云端向VRP_j发送验证失败标识VERFAIL，组会话密钥协商过程终止；若该两HA(Z_i,j)值相同，则表示验证通过，所述云端向VRP_j发送验证成功标识VERSUCC；VRP_j在收到所述云端发送来的验证成功标识VERSUCC后，继续计算X_j和Y_j。

在一个实施例中，所述云端调用所述密码服务功能具体是指所述云端的车联网服务器调用由所述云端的云端安全模块提供的相应密码服务功能；

当所述车辆端个数不为零时，所述云端通过5G网络与所述车辆端进行双向通信具体是指所述云端的车联网服务器与所述车辆端的车辆端控制模块经所述车辆端5G通信模块通过5G网络进行双向通信，所述车辆端调用所述密码服务功能和安全存储功能具体是指所述车辆端的车辆端控制模块调用由所述车辆端的车辆端安全模块所提供的相应密码服务功能和安全存储功能；

当所述路侧端个数不为零时，所述云端通过5G网络与所述路侧端进行双向通信具体是指所述云端的车联网服务器与所述路侧端的路侧端控制模块经所述路侧端5G通信模块通过5G网络进行双向通信，所述路侧端调用所述密码服务功能和安全存储功能具体是指所述路侧端的路侧端控制模块调用由所述路侧端的路侧端安全模块所提供的相应密码服务功能和安全存储功能；

当所述行人端个数不为零时，所述云端通过5G网络与所述行人端进行双向通信具体是指所述云端的车联网服务器与所述行人端的行人端控制模块经所述行人端5G通信模块通过5G网络进行双向通信，所述行人端调用所述密码服务功能和安全存储功能具体是指所述行人端的行人端控制模块调用由所述行人端的行人端安全模块所提供的相应密码服务功能和安全存储功能；

所述总个数之和至少为两个的所述车辆端、所述路侧端与所述行人端相互通信具体是指所述车辆端的车辆端控制模块、所述路侧端的路侧端控制模块和所述行人端的行人端控制模块分别通过对应的所述车辆端的车辆端短距离直接通信模块、所述路侧端的路侧端短距离直接通信模块和所述行人端的行人端短距离直接通信模块之间的通信连接所实现的相互通信；

所述车辆端短距离直接通信模块、所述路侧端短距离直接通信模块和所述行人端短距离直接通信模块之间采用C-V2X PC5短距离直接通信接口进行通信；所述车辆端安全模块、所述路侧端安全模块、所述行人端安全模块和所述云端安全模块均为安全智能芯片，所述安全智能芯片支持的商用密码算法包括SM1、SM2和SM3中的至少一种，支持的国际常用密码算法包括3DES、AES、RSA、SHA-1和SHA-256中的至少一种；所述安全智能芯片支持存储数字证书；所述安全智能芯片提供安全存储区域，支持重要信息的安全存储；所述安全智能芯片支持随机数的生成；所述证书服务器维护证书撤销列表，提供证书撤销列表查询功能。

所述C-V2X中的C是指蜂窝(Cellular)，它是基于3G/4G/5G等蜂窝网通信技术演进形成的车用无线通信技术，包含了两种通信接口：一种是车、人、路之间的短距离直接通信接口(PC5)，另一种是终端和基站之间的通信接口(Uu)，可实现长距离和更大范围的可靠通信。C-V2X是基于3GPP全球统一标准的通信技术，包含LTE-V2X和5G-V2X，从技术演进角度讲，LTE-V2X支持向5G-V2X平滑演进。

上面结合附图对本发明的实施方式作了详细说明，但是本发明并不限于上述实施方式，在本领域的普通技术人员所具备的知识范围内，还可以在不脱离本发明宗旨的前提下作出各种变化，这些都属于本发明的保护范围。因此，本发明的保护范围应以所附权利要求为准。

Claims (7)

1.一种基于5G的V2X车联网安全通信系统，包括云端、零个或至少一个车辆端、零个或至少一个路侧端、零个或至少一个行人端，其特征在于：

所述车辆端、所述路侧端和所述行人端的总个数之和至少为两个；所述云端包括证书服务器、云端安全模块以及分别与所述证书服务器和所述云端安全模块相连接的车联网服务器；

所述车辆端包括车辆端短距离直接通信模块、车辆端5G通信模块、车辆端安全模块以及分别与所述车辆端短距离直接通信模块、所述车辆端5G通信模块和所述车辆端安全模块相连接的车辆端控制模块；

所述路侧端包括路侧端短距离直接通信模块、路侧端5G通信模块、路侧端安全模块以及分别与所述路侧端短距离直接通信模块、所述路侧端5G通信模块和所述路侧端安全模块相连接的路侧端控制模块；

所述行人端包括行人端短距离直接通信模块、行人端5G通信模块、行人端安全模块以及分别与所述行人端短距离直接通信模块、所述行人端5G通信模块和所述行人端安全模块相连接的行人端控制模块；

当所述车辆端个数不为零时，所述云端的所述车联网服务器通过5G网络与相应的车辆端的车辆端5G通信模块通信相接连，以实现所述云端与所述车辆端之间的双向通信；当所述路侧端个数不为零时，所述云端的所述车联网服务器通过5G网络与相应的路侧端的路侧端5G通信模块通信相接连，以实现所述云端与所述路侧端之间的双向通信；当所述行人端个数不为零时，所述云端的所述车联网服务器通过5G网络与相应的行人端的行人端5G通信模块通信相接连，以实现所述云端与所述行人端之间的双向通信；

所述总个数之和至少为两个的所述车辆端、所述路侧端与所述行人端之间通过对应的所述车辆端短距离直接通信模块、所述路侧端短距离直接通信模块和所述行人端短距离直接通信模块相互通信相连接，以实现相互通信；

所述云端安全模块、所述车辆端安全模块、所述路侧端安全模块和所述行人端安全模块用于提供密码服务功能和安全存储功能；所述密码服务功能包括随机数生成、签名验签运算、加解密运算、会话密钥生成和杂凑运算；所述车联网服务器调用由所述云端安全模块提供的相应密码服务功能；所述车辆端控制模块、路侧端控制模块和所述行人端控制模块分别调用由所述车辆端安全模块、路侧端安全模块和所述行人端安全模块提供的相应密码服务功能和安全存储功能；

所述证书服务器分别为所述云端、所述车辆端、所述路侧端和所述行人端生成并保存相应的公钥证书，通过离线方式将所述云端的公钥证书中的公钥分别写入所述车辆端的所述车辆端安全模块、所述路侧端的所述路侧端安全模块和所述行人端的所述行人端安全模块内；所述云端的云端安全模块、所述车辆端的车辆端安全模块、所述路侧端的路侧端安全模块和所述行人端的行人端安全模块各自保存与其相应公钥证书中的公钥相对应的私钥。

2.根据权利要求1所述的基于5G的V2X车联网安全通信系统，其特征在于：所述基于5G的V2X车联网安全通信系统通过如下步骤实现，具体步骤包括准备阶段、组会话密钥协商阶段和组安全加密通信阶段；

准备阶段：

所述总个数之和至少为两个的所述车辆端、所述路侧端与所述行人端均作为安全通信组会话密钥协商的成员，统一用VRP_i表示，其中i＝1,2,…,n；n为大于1的自然数；在所述车辆端的车辆端安全模块内设置车辆端组会话密钥安全存储区，在所述路侧端的路侧端安全模块内设置路侧端组会话密钥安全存储区，在所述行人端的行人端安全模块内设置行人端组会话密钥安全存储区；所述车辆端组会话密钥安全存储区、所述路侧端组会话密钥安全存储区和所述行人端组会话密钥安全存储区统一用KZ_i表示，其中i＝1,2,…,n；n为大于1的自然数；

取大素数p和有限域GF_p上的椭圆曲线EC，BP为EC上的基点，BP∈EC，BP的阶是素数PN，HA是GF_p上的无碰撞单向散列函数；ID_i为VRP_i的标识；每个VRP_i随机选取s_i∈[1,PN-1]作为其私钥，其对应的公钥为g_i＝s_iBP；通过离线方式将g_i传送给所述云端的所述证书服务器，或者通过所述云端的公钥证书中的公钥对g_i加密后通过5G网络经所述云端的所述车联网服务器在线发送给所述证书服务器，然后，所述证书服务器使用g_i为该VRP_i生成并保存相应的公钥证书；||表示拼接操作；SIG_i表示用VRP_i的私钥s_i进行签名；PE_i表示用VRP_i的公钥g_i进行加密；PE_c表示用云端的公钥进行加密；所述云端生成一个随机数因子k_c；VERFAIL为验证失败标识；VERSUCC为验证成功标识；

组会话密钥协商阶段:组会话密钥协商阶段包括下列步骤：

步骤1)，对每个VRP_i，随机选取e_i∈[1,PN-1]，随机选取f_i∈[1,PN-1],对每个j＝1,2,…,n,j≠i，VRP_i用其私钥s_i对f_i进行签名，得到SIG_i(f_i),然后用所述云端的公钥证书内的云端公钥对ID_i、f_i和j进行加密，得到PE_c(ID_i||f_i||j)；然后VRP_i将{PE_c(ID_i||f_i||j)||SIG_i(f_i)}通过5G网络发送给所述云端；所述云端在收到VRP_i发来的{PE_c(ID_i||f_i||j)||SIG_i(f_i)}后，用所述云端的私钥对PE_c(ID_i||f_i||j)进行解密，得到ID_i、f_i和j，所述云端再根据ID_i用VRP_i的公钥g_i对SIG_i(f_i)进行验签运算，并将得到的f_i与前述用云端的私钥对PE_c(ID_i||f_i||j)进行解密得到的f_i进行比对，若该两f_i值不相同，则验证失败，所述云端向VRP_i发送验证失败标识VERFAIL，组会话密钥协商过程终止；若该两f_i值相同，则表示验证通过，然后，所述云端再根据j用VRP_j的公钥g_j与f_i计算生成f_ig_j，所述云端用VRP_i的公钥g_i对f_ig_j、j和k_c进行加密运算，得到PE_i(f_ig_j||j||k_c)；所述云端将PE_i(f_ig_j||j||k_c)发送给VRP_i；VRP_i收到PE_i(f_ig_j||j||k_c)后，用自身私钥s_i对PE_i(f_ig_j||j||k_c)解密，得到f_ig_j、j和k_c；VRP_i计算Q_i、X_i,j和Y_i,j，其中，Q_i＝e_iBP，X_i,j＝f_iBP，Y_i,j＝Q_i+f_ig_j，Q_i、X_i,j和Y_i,j均为椭圆曲线EC上的点；用Z_i,j表示X_i,j与Y_i,j这一对椭圆曲线EC上的点，即Z_i,j＝(X_i,j,Y_i,j)；VRP_i根据j将Z_i,j发送给VRP_j，其中，j＝1,2,…,n,j≠i；

步骤2)，VRP_j收到Z_i,j，其中，i＝1,2,…,n,i≠j，计算X_j和Y_j,其中：

然后再计算K_j,其中：

由上式可知，K_j为椭圆曲线EC上的点，设其横坐标与纵坐标分别为x_j和y_j，

则：

接下来，VRP_j计算T_j,其中，T_j＝HA(x_j||y_j||k_c)，然后把T_j发送给每个VRP_i，其中i＝1,2,…,n,i≠j；

每个VRP_i在收到所有T_j后，其中j＝1,2,…,n,j≠i，进行判断，若所有收到的T_j＝HA(x_j||y_j||k_c)的值都与VRP_i自身计算的T_i＝HA(x_i||y_i||k_c)相同，则每个VRP_i将组会话密钥设置为T,其中T＝HA(x_i||y_i||k_c)；VRP_i将组会话密钥T保存于KZ_i；

组安全加密通信阶段：

成功协商建立组会话密钥后，各个VRP_i之间，其中i＝1,2,…,n；n为大于1的自然数，就可以使用所述组会话密钥T进行组安全加密通信。

3.根据权利要求2所述的基于5G的V2X车联网安全通信系统，其特征在于：在所述组会话密钥协商阶段的步骤1)中的VRP_i根据j将Z_i,j发送给VRP_j之前，VRP_i先将Z_i,j进行HA杂凑运算，得到HA(Z_i,j),然后用自身私钥s_i对HA(Z_i,j)进行签名，得到SIG_i(HA(Z_i,j))；然后，VRP_i将{Z_i,j||SIG_i(HA(Z_i,j))}发送给VRP_j；然后，在所述组会话密钥协商阶段的步骤2)中，VRP_j收到{Z_i,j||SIG_i(HA(Z_i,j))}，其中，i＝1,2,…,n,i≠j，在计算X_j和Y_j前，VRP_j先将{Z_i,j||SIG_i(HA(Z_i,j))||i}通过5G网络发送给所述云端；所述云端在收到VRP_j发来的{Z_i,j||SIG_i(HA(Z_i,j))||i}后，再根据i用VRP_i的公钥g_i对SIG_i(HA(Z_i,j))进行验签运算，得到HA(Z_i,j)，然后再将收到的Z_i,j进行HA杂凑运算得到HA(Z_i,j)，然后所述云端将两个HA(Z_i,j)进行比较，若不相同，则验证失败，所述云端向VRP_j发送验证失败标识VERFAIL，组会话密钥协商过程终止；若该两HA(Z_i,j)值相同，则表示验证通过，所述云端向VRP_j发送验证成功标识VERSUCC；VRP_j在收到所述云端发送来的验证成功标识VERSUCC后，继续计算X_j和Y_j。

4.根据权利要求1、2或3所述的基于5G的V2X车联网安全通信系统，其特征在于：所述云端调用所述密码服务功能具体是指所述云端的车联网服务器调用由所述云端的云端安全模块提供的相应密码服务功能；

当所述车辆端个数不为零时，所述云端通过5G网络与所述车辆端进行双向通信具体是指所述云端的车联网服务器与所述车辆端的车辆端控制模块经所述车辆端5G通信模块通过5G网络进行双向通信，所述车辆端调用所述密码服务功能和安全存储功能具体是指所述车辆端的车辆端控制模块调用由所述车辆端的车辆端安全模块所提供的相应密码服务功能和安全存储功能；

当所述路侧端个数不为零时，所述云端通过5G网络与所述路侧端进行双向通信具体是指所述云端的车联网服务器与所述路侧端的路侧端控制模块经所述路侧端5G通信模块通过5G网络进行双向通信，所述路侧端调用所述密码服务功能和安全存储功能具体是指所述路侧端的路侧端控制模块调用由所述路侧端的路侧端安全模块所提供的相应密码服务功能和安全存储功能；

当所述行人端个数不为零时，所述云端通过5G网络与所述行人端进行双向通信具体是指所述云端的车联网服务器与所述行人端的行人端控制模块经所述行人端5G通信模块通过5G网络进行双向通信，所述行人端调用所述密码服务功能和安全存储功能具体是指所述行人端的行人端控制模块调用由所述行人端的行人端安全模块所提供的相应密码服务功能和安全存储功能；

所述总个数之和至少为两个的所述车辆端、所述路侧端与所述行人端相互通信具体是指所述车辆端的车辆端控制模块、所述路侧端的路侧端控制模块和所述行人端的行人端控制模块分别通过对应的所述车辆端的车辆端短距离直接通信模块、所述路侧端的路侧端短距离直接通信模块和所述行人端的行人端短距离直接通信模块之间的通信连接所实现的相互通信；

所述车辆端短距离直接通信模块、所述路侧端短距离直接通信模块和所述行人端短距离直接通信模块之间采用C-V2X PC5短距离直接通信接口进行通信；所述车辆端安全模块、所述路侧端安全模块、所述行人端安全模块和所述云端安全模块均为安全智能芯片，所述安全智能芯片支持的商用密码算法包括SM1、SM2和SM3中的至少一种，支持的国际常用密码算法包括3DES、AES、RSA、SHA-1和SHA-256中的至少一种；所述安全智能芯片支持存储数字证书；所述安全智能芯片提供安全存储区域，支持重要信息的安全存储；所述安全智能芯片支持随机数的生成；所述证书服务器维护证书撤销列表，提供证书撤销列表查询功能。

5.一种如权利要求1所述的基于5G的V2X车联网安全通信系统的基于5G的V2X车联网安全通信方法，其特征在于：该方法包括准备阶段、组会话密钥协商阶段和组安全加密通信阶段；

准备阶段具体包括如下步骤：

所述总个数之和至少为两个的所述车辆端、所述路侧端与所述行人端均作为安全通信组会话密钥协商的成员，统一用VRP_i表示，其中i＝1,2,…,n；n为大于1的自然数；在所述车辆端的车辆端安全模块内设置车辆端组会话密钥安全存储区，在所述路侧端的路侧端安全模块内设置路侧端组会话密钥安全存储区，在所述行人端的行人端安全模块内设置行人端组会话密钥安全存储区；所述车辆端组会话密钥安全存储区、所述路侧端组会话密钥安全存储区和所述行人端组会话密钥安全存储区统一用KZ_i表示，其中i＝1,2,…,n；n为大于1的自然数；

取大素数p和有限域GF_p上的椭圆曲线EC，BP为EC上的基点，BP∈EC，BP的阶是素数PN，HA是GF_p上的无碰撞单向散列函数；ID_i为VRP_i的标识；每个VRP_i随机选取s_i∈[1,PN-1]作为其私钥，其对应的公钥为g_i＝s_iBP；通过离线方式将g_i传送给所述云端的所述证书服务器，或者通过所述云端的公钥证书中的公钥对g_i加密后通过5G网络经所述云端的车联网服务器在线发送给证书服务器，然后，所述证书服务器使用g_i为该VRP_i生成并保存相应的公钥证书；||表示拼接操作；SIG_i表示用VRP_i的私钥s_i进行签名；PE_i表示用VRP_i的公钥g_i进行加密；PE_c表示用云端的公钥进行加密；所述云端生成一个随机数因子k_c；VERFAIL为验证失败标识；VERSUCC为验证成功标识；

组会话密钥协商阶段具体包括下列步骤：

步骤1)，对每个VRP_i，随机选取e_i∈[1,PN-1]，随机选取f_i∈[1,PN-1],对每个j＝1,2,…,n,j≠i，VRP_i用其私钥s_i对f_i进行签名，得到SIG_i(f_i),然后用所述云端的公钥证书内的云端公钥对ID_i、f_i和j进行加密，得到PE_c(ID_i||f_i||j)；然后VRP_i将{PE_c(ID_i||f_i||j)||SIG_i(f_i)}通过5G网络发送给所述云端；所述云端在收到VRP_i发来的{PE_c(ID_i||f_i||j)||SIG_i(f_i)}后，用所述云端的私钥对PE_c(ID_i||f_i||j)进行解密，得到ID_i、f_i和j，所述云端再根据ID_i用VRP_i的公钥g_i对SIG_i(f_i)进行验签运算，并将得到的f_i与前述用云端的私钥对PE_c(ID_i||f_i||j)进行解密得到的f_i进行比对，若该两f_i值不相同，则验证失败，所述云端向VRP_i发送验证失败标识VERFAIL，组会话密钥协商过程终止；若该两f_i值相同，则表示验证通过，然后，所述云端再根据j用VRP_j的公钥g_j与f_i计算生成f_ig_j，所述云端用VRP_i的公钥g_i对f_ig_j、j和k_c进行加密运算，得到PE_i(f_ig_j||j||k_c)；所述云端将PE_i(f_ig_j||j||k_c)发送给VRP_i；VRP_i收到PE_i(f_ig_j||j||k_c)后，用自身私钥s_i对PE_i(f_ig_j||j||k_c)解密，得到f_ig_j、j和k_c；VRP_i计算Q_i、X_i,j和Y_i,j，其中，Q_i＝e_iBP，X_i,j＝f_iBP，Y_i,j＝Q_i+f_ig_j，Q_i、X_i,j和Y_i,j均为椭圆曲线EC上的点；用Z_i,j表示X_i,j与Y_i,j这一对椭圆曲线EC上的点，即Z_i,j＝(X_i,j,Y_i,j)；VRP_i根据j将Z_i,j发送给VRP_j，其中，j＝1,2,…,n,j≠i；

步骤2)，VRP_j收到Z_i,j，其中，i＝1,2,…,n,i≠j，计算X_j和Y_j,其中：

然后再计算K_j,其中：

由上式可知，K_j为椭圆曲线EC上的点，设其横坐标与纵坐标分别为x_j和y_j，

则：

接下来，VRP_j计算T_j,其中，T_j＝HA(x_j||y_j||k_c)，然后把T_j发送给每个VRP_i，其中i＝1,2,…,n,i≠j；

每个VRP_i在收到所有T_j后，其中j＝1,2,…,n,j≠i，进行判断，若所有收到的T_j＝HA(x_j||y_j||k_c)的值都与VRP_i自身计算的T_i＝HA(x_i||y_i||k_c)相同，则每个VRP_i将组会话密钥设置为T,其中T＝HA(x_i||y_i||k_c)；VRP_i将组会话密钥T保存于KZ_i；

组安全加密通信阶段具体包括如下步骤：

成功协商建立组会话密钥后，各个VRP_i之间，其中i＝1,2,…,n；n为大于1的自然数，就可以使用所述组会话密钥T进行组安全加密通信。

6.根据权利要求5所述的基于5G的V2X车联网安全通信方法，其特征在于：在所述组会话密钥协商阶段的步骤1)中的VRP_i根据j将Z_i,j发送给VRP_j之前，VRP_i先将Z_i,j进行HA杂凑运算，得到HA(Z_i,j),然后用自身私钥s_i对HA(Z_i,j)进行签名，得到SIG_i(HA(Z_i,j))；然后，VRP_i将{Z_i,j||SIG_i(HA(Z_i,j))}发送给VRP_j；然后，在所述组会话密钥协商阶段的步骤2)中，VRP_j收到{Z_i,j||SIG_i(HA(Z_i,j))}，其中，i＝1,2,…,n,i≠j，在计算X_j和Y_j前，VRP_j先将{Z_i,j||SIG_i(HA(Z_i,j))||i}通过5G网络发送给所述云端；所述云端在收到VRP_j发来的{Z_i,j||SIG_i(HA(Z_i,j))||i}后，再根据i用VRP_i的公钥g_i对SIG_i(HA(Z_i,j))进行验签运算，得到HA(Z_i,j)，然后再将收到的Z_i,j进行HA杂凑运算得到HA(Z_i,j)，然后所述云端将两个HA(Z_i,j)进行比较，若不相同，则验证失败，所述云端向VRP_j发送验证失败标识VERFAIL，组会话密钥协商过程终止；若该两HA(Z_i,j)值相同，则表示验证通过，所述云端向VRP_j发送验证成功标识VERSUCC；VRP_j在收到所述云端发送来的验证成功标识VERSUCC后，继续计算X_j和Y_j。

7.根据权利要求5或6所述的基于5G的V2X车联网安全通信方法，其特征在于：所述云端调用所述密码服务功能具体是指所述云端的车联网服务器调用由所述云端的云端安全模块提供的相应密码服务功能；

当所述车辆端个数不为零时，所述云端通过5G网络与所述车辆端进行双向通信具体是指所述云端的车联网服务器与所述车辆端的车辆端控制模块经所述车辆端5G通信模块通过5G网络进行双向通信，所述车辆端调用所述密码服务功能和安全存储功能具体是指所述车辆端的车辆端控制模块调用由所述车辆端的车辆端安全模块所提供的相应密码服务功能和安全存储功能；

当所述路侧端个数不为零时，所述云端通过5G网络与所述路侧端进行双向通信具体是指所述云端的车联网服务器与所述路侧端的路侧端控制模块经所述路侧端5G通信模块通过5G网络进行双向通信，所述路侧端调用所述密码服务功能和安全存储功能具体是指所述路侧端的路侧端控制模块调用由所述路侧端的路侧端安全模块所提供的相应密码服务功能和安全存储功能；

当所述行人端个数不为零时，所述云端通过5G网络与所述行人端进行双向通信具体是指所述云端的车联网服务器与所述行人端的行人端控制模块经所述行人端5G通信模块通过5G网络进行双向通信，所述行人端调用所述密码服务功能和安全存储功能具体是指所述行人端的行人端控制模块调用由所述行人端的行人端安全模块所提供的相应密码服务功能和安全存储功能；

所述总个数之和至少为两个的所述车辆端、所述路侧端与所述行人端相互通信具体是指所述车辆端的车辆端控制模块、所述路侧端的路侧端控制模块和所述行人端的行人端控制模块分别通过对应的所述车辆端的车辆端短距离直接通信模块、所述路侧端的路侧端短距离直接通信模块和所述行人端的行人端短距离直接通信模块之间的通信连接所实现的相互通信；

所述车辆端短距离直接通信模块、所述路侧端短距离直接通信模块和所述行人端短距离直接通信模块之间采用C-V2X PC5短距离直接通信接口进行通信；所述车辆端安全模块、所述路侧端安全模块、所述行人端安全模块和所述云端安全模块均为安全智能芯片，所述安全智能芯片支持的商用密码算法包括SM1、SM2和SM3中的至少一种，支持的国际常用密码算法包括3DES、AES、RSA、SHA-1和SHA-256中的至少一种；所述安全智能芯片支持存储数字证书；所述安全智能芯片提供安全存储区域，支持重要信息的安全存储；所述安全智能芯片支持随机数的生成；所述证书服务器维护证书撤销列表，提供证书撤销列表查询功能。

Images