CN112351427B - 轨道交通中的通信方法、设备和存储介质 - Google Patents

轨道交通中的通信方法、设备和存储介质 Download PDF

Info

Publication number
CN112351427B
CN112351427B CN202110015566.1A CN202110015566A CN112351427B CN 112351427 B CN112351427 B CN 112351427B CN 202110015566 A CN202110015566 A CN 202110015566A CN 112351427 B CN112351427 B CN 112351427B
Authority
CN
China
Prior art keywords
control device
key
control
public key
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110015566.1A
Other languages
English (en)
Other versions
CN112351427A (zh
Inventor
陈哲祥
孙小龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility Technologies Beijing Co Ltd
Original Assignee
Siemens Mobility Technologies Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility Technologies Beijing Co Ltd filed Critical Siemens Mobility Technologies Beijing Co Ltd
Priority to CN202110015566.1A priority Critical patent/CN112351427B/zh
Publication of CN112351427A publication Critical patent/CN112351427A/zh
Application granted granted Critical
Publication of CN112351427B publication Critical patent/CN112351427B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/42Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for mass transport vehicles, e.g. buses, trains or aircraft

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Computer Security & Cryptography (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明实施例涉及轨道交通中的通信方法和设备以及存储介质。该通信方法应用于轨道交通控制系统,所述轨道交通控制系统包括第一控制设备和第二控制设备,所述方法包括:所述第一控制设备利用第一私钥基于轨道交通传输信息进行数字签名处理,得到安全认证消息;所述第一控制设备向所述第二控制设备发送所述安全认证消息;所述第二控制设备利用第一公钥基于所述安全认证消息进行身份认证,其中,所述第一公钥和所述第一私钥形成非对称密钥。本发明实施例的方案提高了控制设备之间的通信的安全性。

Description

轨道交通中的通信方法、设备和存储介质
技术领域
本发明实施例涉及轨道交通领域,尤其涉及轨道交通中安全通信的通信方法、设备和存储介质。
背景技术
在基于通信的列车自动控制系统(Communication based Train Control,CBTC)轨道交通信号系统中,车地之间、区域控制设备之间以及车辆间的通信关系到整个系统的运行效率。通常,基于有线连接的通信的稳定性较高,但是会受到地理条件的限制,无线通信连接方式极大地减小了地理条件的限制对上述通信方式提出了,但是提出了通信安全问题成为新的挑战。
但是,现有技术中的诸如区域控制设备(Zone Controller,ZC)、车载控制设备(Vehicle on-board Controller,VOBC)等控制设备之间的通信安全性还存在提高的空间。
发明内容
本发明的一个目标在于提供了一种通信方法,应用于轨道交通控制系统,所述轨道交通控制系统包括第一控制设备和第二控制设备,所述方法包括:所述第一控制设备利用第一私钥基于轨道交通传输信息进行数字签名处理,得到安全认证消息; 所述第一控制设备向所述第二控制设备发送所述安全认证消息; 所述第二控制设备利用所述第一公钥进行基于所述安全认证消息的身份认证,以便得到所述轨道交通传输信息,其中,所述第一公钥和所述第一私钥形成非对称密钥对。
由于第一公钥和第一私钥形成非对称密钥对,因此利用第一私钥进行数字签名处理得到的安全认证消息能够基于第一公钥进行身份验证,从而在第一控制设备进行数字签名处理,并且第二控制设备进行身份验证时,实现了第一控制设备与第二控制设备之间的通信的安全性。
在本发明的另一实现方式中,所述第一控制设备利用第一私钥基于轨道交通传输信息进行数字签名处理,得到安全认证消息,包括:所述第一控制设备利用第一私钥进行基于轨道交通传输信息的数字签名,得到第一安全代码;所述第一控制设备利用第二公钥对所述第一安全代码和所述轨道交通传输信息加密,得到所述安全认证消息,其中,所述第二控制设备利用所述第一公钥进行基于所述安全认证消息的身份认证,包括:所述第二控制设备利用第二私钥对所述安全认证消息进行解密,得到所述第一安全代码和所述轨道交通传输信息,其中,所述第二公钥和第二私钥形成非对称密钥对;通过利用所述第二公钥对所述第一安全代码进行解密,以匹配解密的结果与所述轨道交通传输信息。
由于第二公钥和第二私钥形成非对称密钥对,因此在第一控制设备处采用第二公钥加密得到的消息仅能在第二控制设备处利用其私钥进行解密,从而进一步实现了第一控制设备与第二控制设备之间的通信安全性。
在本发明的另一实现方式中,所述第一控制设备利用第一私钥进行基于轨道交通传输信息的数字签名,得到第一安全代码,包括:所述第一控制设备基于所述轨道交通传输信息进行数字摘要,得到数字摘要结果;所述第一控制设备利用所述第一私钥对所述数字摘要结果进行非对称加密,得到所述第一安全代码。
数字摘要能够保证数字签名处理的可靠性,同时减小了传输数据量,提高了通信效率。
在本发明的另一实现方式中,所述轨道交通控制系统还包括中央密钥服务器,所述第一控制设备和所述第二控制设备均为在所述中央密钥服务器中注册的第一区域控制设备和第二区域控制设备,其中,所述方法还包括:所述中央密钥服务器确定所述第一区域控制设备与所述第二区域控制设备为具有通信伙伴关系的邻近区域控制设备;所述中央密钥服务器向所述第一区域控制设备和第二区域控制设备中的一者分配另一者的公钥。
由于中央密钥服务器实现了不同区域控制设备之间的公钥的分配,因此提高了公钥分配的安全性,并且提高了公钥管理的效率。
在本发明的另一实现方式中,所述第一控制设备向所述第二控制设备发送所述安全认证消息,包括:当目标车辆从所述第一控制设备的控制区域移动到所述第二控制设备的控制区域时,所述第一控制设备向所述第二控制设备发送所述安全认证消息。
由于每个控制设备在其控制区域能够对目标车辆进行更高效的控制,因此目标车辆从第一控制设备的控制区域移动到第二控制设备的控制区域时,可以继续采用第二控制设备对目标车辆进行高效地控制,本示例在高效控制的基础上,实现了安全的区域控制切换。
在本发明的另一实现方式中,所述第一控制设备和所述第二控制设备均为设置在不同车辆中的车载控制设备,其中,所述第一控制设备利用第一私钥基于轨道交通传输信息进行数字签名处理,得到安全认证消息,包括:所述第一控制设备利用第一私钥对基于地址信息的数字摘要进行签名处理,得到第二安全代码;所述第一控制设备将其未加密的身份信息与所述第二安全代码确定为用于连接发现的数字签名消息。
由于地址信息通常为传输消息中携带的信息,因此基于地址信息连同未加密的身份信息进行数字签名处理,提高了数据处理效率。此外,由于连接发现的数字签名消息在第一控制设备与第二控制设备之间的通信建立之前生成,因此采用第一私钥与第一公钥仍然保证了控制设备之间的通信安全性。
在本发明的另一实现方式中,所述第二控制设备利用所述第一公钥进行基于所述安全认证消息的身份认证,包括:所述第二控制设备在本地存储的指示通信伙伴设备身份信息与地址信息之间的映射关系中,对所述未加密的身份信息进行查询,得到所述第一公钥;所述第二控制设备利用所述第一公钥对所述第二安全代码进行解密,得到基于所述地址信息的数字摘要。
由于地址信息通常为传输消息中携带的信息,并且指示通信伙伴设备身份信息与地址信息之间的映射关系便于进行查询,因此基于地址信息连同未加密的身份信息进行数字签名处理,提高了数据处理效率。
在本发明的另一实现方式中,所述方法还包括:如果所述第二控制设备未查询到所述第一控制设备的身份信息,或数字签名的校验没有通过则丢弃所述用于连接发现的数字签名消息。
由于第二控制设备未查询到第一控制设备的身份信息表明第一控制设备不属于通信伙伴,因此丢弃用于连接发现的数字签名消息有利于节省通信资源。
在本发明的另一实现方式中,所述方法还包括:如果所述第二控制设备查询到所述第一控制设备的身份信息,则向所述第一控制设备发送连接请求消息,其中,所述第一控制设备利用第一私钥基于轨道交通传输信息进行数字签名处理,得到安全认证消息,包括:所述第一控制设备响应所述连接请求消息,利用所述第一私钥对连接响应信息进行数字签名,得到第三安全代码;所述第一控制设备利用第二公钥对所述第三安全代码和所述连接响应信息加密,得到所述安全认证消息。
由于第二控制设备查询到第一控制设备的身份信息表明第一控制设备属于通信伙伴,因此向第一控制设备发送连接请求消息,并且建立通信连接,有利于实现及时的通信。
在本发明的另一实现方式中,所述第一控制设备和所述第二控制设备分别为车载控制设备与区域控制设备,所述方法还包括:基于本地存储的车载地图,确定当前区域控制设备为所述第二控制设备,其中,所述车载地图指示所述车载控制设备与多个区域控制设备之间的实时位置关系,其中,所述第一控制设备向所述第二控制设备发送所述安全认证消息,包括:基于所述车载控制设备与所述当前区域控制设备之间的轨旁网络,向所述当前区域控制设备发送所述安全认证消息。
由于本地存储的车载地图指示所述车载控制设备与多个区域控制设备之间的实时位置关系,因此经由轨旁网络与当前区域控制设备进行了通信,因此,提高了通信控制的实时性。
在本发明的另一实现方式中,所述第一控制设备和所述第二控制设备中的任一者可以为所述轨道交通控制系统的车载控制设备和区域控制设备中的任一者。
本发明的另一个目标在于提供了一种通信方法,应用于轨道交通控制系统中的第一控制设备,所述方法包括:利用第一私钥基于轨道交通传输信息进行数字签名处理,得到安全认证消息; 向所述轨道交通控制系统中的第二控制设备发送所述安全认证消息,以便所述第二控制设备利用所述第一公钥进行基于所述安全认证消息的身份认证,得到所述轨道交通传输信息,其中,所述第一公钥和所述第一私钥形成非对称密钥对。
由于第一公钥和第一私钥形成非对称密钥对,因此利用第一私钥进行数字签名处理得到的安全认证消息能够基于第一公钥进行身份验证,从而在第一控制设备进行数字签名处理,并且第二控制设备进行身份验证时,实现了第一控制设备与第二控制设备之间的通信的安全性。
本发明的又一个目标在于提供了一种通信方法,应用于轨道交通控制系统中的第一控制设备,所述方法包括:接收所述轨道交通控制系统中的第二控制设备发送的安全认证消息,所述安全认证消息在所述第二控制设备处利用第二私钥进行数字签名处理得到;利用所述第二公钥进行基于所述安全认证消息的身份认证,其中,所述第二公钥和所述第二私钥形成非对称密钥对。
由于第一公钥和第一私钥形成非对称密钥对,因此利用第一私钥进行数字签名处理得到的安全认证消息能够基于第一公钥进行身份验证,从而在第一控制设备进行数字签名处理,并且第二控制设备进行身份验证时,实现了第一控制设备与第二控制设备之间的通信的安全性。
在本发明的另一实现方式中,所述方法还包括:从所述轨道交通控制系统中的中央服务器接收所述第二公钥,所述第二公钥由所述第二控制设备生成,所述中央服务器在所述第二控制设备注册时获取所述第二公钥。
在本发明的另一实现方式中,所述方法还包括:向所述轨道交通控制系统中的中央服务器发送公钥请求,以便所述第二控制设备响应所述公钥请求确定所述第二公钥。
本发明的又一个目标在于提供了一种通信方法,应用于轨道交通控制系统中的中央密钥服务器,包括:确定控制设备注册信息,所述控制设备注册信息包括所述轨道交通控制系统中的多个控制设备的标识及其所属的运行线路信息;基于所述控制设备注册信息,确定多个通信设备组,其中,每个通信设备组中的各个控制设备属于同一运行线路。
由于中央密钥服务器实现了不同区域控制设备之间的公钥的分配,因此提高了公钥分配的安全性,并且提高了公钥管理的效率。
在本发明的另一实现方式中,所述方法还包括:在每个通信设备组中的各个控制设备之间分发各自生成的非对称密钥对中的公钥,以便在该通信设备组中的两个控制设备之间能够利用非对称密钥对进行通信。
在本发明的另一实现方式中,所述确定控制设备注册信息,包括:利用所述多个控制设备的非对称密钥对的公钥,对所述多个控制设备进行注册,得到所述控制设备注册信息。
由于中央密钥服务器实现了不同控制设备的注册,能够进一步提高公钥分配的安全性,并且提高公钥管理的效率。
在本发明的另一实现方式中,所述基于所述控制设备注册信息,确定多个通信设备组,包括:基于所述控制设备注册信息,确定所述多个控制设备的通信伙伴映射关系;基于通信伙伴映射关系,配置所述多个通信设备组。
由于中央密钥服务器实现了基于不同通信设备组的控制设备之间的通信认证,能够进一步提高公钥分配的安全性,并且提高公钥管理的效率。
在本发明的另一实现方式中,所述方法还包括:基于所述控制设备注册信息,确定所述多个控制设备中目标区域密钥服务器所管理的一组控制设备;向所述区域密钥服务器发送所述一组控制设备各自的非对称密钥对的公钥。
本发明的又一个目标在于提供了一种通信方法,应用于轨道交通控制系统中的区域密钥服务器,包括:获取本地管理区域内的目标车载控制设备的公钥请求; 响应所述公钥请求,根据所述本地管理区域内的多个区域控制设备与所述车载控制设备之间的通信伙伴关系,确定所述多个区域控制设备中的目标区域控制设备; 将所述目标区域控制设备的非对称密钥对的公钥发送到所述目标车载控制设备,并且将所述目标车载控制设备的非对称密钥对的公钥发送到所述目标区域控制设备。
由于区域密钥服务器实现了同一区域内的控制设备之间的公钥的分配,因此提高了公钥分配的安全性,并且提高了公钥管理的效率。此外,避免了当中央密钥服务器出现故障而带来的不便。
在本发明的另一实现方式中,所述方法还包括:从中央密钥服务器获取与所述目标车载控制设备属于同一区域的其他车载控制设备的非对称密钥对的公钥;向所述目标车载控制设备转发所述其他车载控制设备的非对称密钥对的公钥,以便所述目标车载控制设备与所述其他车载控制设备通信。
本发明的又一个目标在于提供了一种控制设备,应用于轨道交通控制系统,包括:处理模块,利用第一私钥基于轨道交通传输信息进行数字签名处理,得到安全认证消息;发送模块,向所述轨道交通控制系统中的第二控制设备发送所述安全认证消息,以便所述第二控制设备利用所述第一公钥进行基于所述安全认证消息的身份认证,得到所述轨道交通传输信息,其中,所述第一公钥和所述第一私钥形成非对称密钥对。
本发明的又一个目标在于提供了一种控制设备,应用于轨道交通控制系统,包括:接收模块,接收所述轨道交通控制系统中的第二控制设备发送的安全认证消息,所述安全认证消息在所述第二控制设备处利用第二私钥进行数字签名处理得到;认证模块,利用所述第二公钥进行基于所述安全认证消息的身份认证,其中,所述第二公钥和所述第二私钥形成非对称密钥对。
本发明的又一个目标在于提供了一种中央密钥服务器,应用于轨道交通控制系统,包括:第一确定模块,确定控制设备注册信息,所述控制设备注册信息包括所述轨道交通控制系统中的多个控制设备的标识及其所属的运行线路信息;第二确定模块,基于所述控制设备注册信息,确定多个通信设备组,其中,每个通信设备组中的各个控制设备属于同一运行线路。
本发明的又一个目标在于提供了一种区域密钥服务器,应用于轨道交通控制系统,包括:获取模块,获取本地管理区域内的车载控制设备的公钥请求;确定模块,响应所述公钥请求,根据所述本地管理区域内的多个区域控制设备与所述车载控制设备之间的通信伙伴关系,确定所述多个区域控制设备中的目标区域控制设备;发送模块,将所述目标区域控制设备的非对称密钥对的公钥发送到所述车载控制设备,并且将所述车载控制设备的非对称密钥对的公钥发送到所述目标区域控制设备。
本发明的又一个目标在于提供了一种电子设备,包括:一个或多个处理器、通信接口、存储器和通信总线、以及一个或多个程序,其中,所述一个或多个处理器、所述通信接口、所述存储器通过所述通信总线完成相互间的通信,一个或多个程序被存储在所述存储器中,并且被配置为由所述一个或多个处理器执行根据第二方面至第五方面中的任一方面所述的方法。
本发明的又一个目标在于提供了一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制包括所述存储介质的设备执行根据第二方面至第五方面中的任一方面所述的方法。
本发明的又一个目标在于提供了一种计算机程序产品,所述计算机程序产品被有形地存储在计算机可读介质上并且包括计算机可读指令,所述计算机可执行指令在被执行时使至少一个处理器执行根据第二方面至第五方面中的任一方面所述的方法。
由于第一公钥和第一私钥形成非对称密钥对,因此利用第一私钥进行数字签名处理得到的安全认证消息能够基于第一公钥进行身份验证,从而在第一控制设备进行数字签名处理,并且第二控制设备进行身份验证时,实现了第一控制设备与第二控制设备之间的通信的安全性。
附图说明
以下附图仅旨在于对本发明做示意性说明和解释,并不限定本发明的范围。其中,
图1为一个典型示例的轨道交通控制系统的示意图;
图2为本发明的一个实施例的通信方法的示意性流程图;
图3为本发明的另一实施例的通信方法的示意性交互图;
图4为本发明的另一实施例的通信方法的示意性交互图;
图5为本发明的另一实施例的通信方法的示意性交互图;
图6为本发明的另一实施例的通信方法的示意性流程图;
图7为本发明的另一实施例的通信方法的示意性流程图;
图8为本发明的另一实施例的通信方法的示意性流程图;
图9为本发明的另一实施例的通信方法的示意性流程图;
图10为本发明的另一实施例的控制设备的示意性框图;
图11为本发明的另一实施例的控制设备的示意性框图;
图12为本发明的另一实施例的中央密钥服务器的示意性框图;
图13为本发明的另一实施例的区域密钥服务器的示意性框图;以及
图14为本发明的另一实施例的电子设备的示意性框图。
附图标记列表:
210:第一控制设备利用第一私钥基于轨道交通传输信息进行数字签名处理,得到安全认证消息;
220:第一控制设备向第二控制设备发送安全认证消息;
230:第二控制设备利用第一公钥基于安全认证消息进行身份认证,其中,第一公钥和第一私钥形成非对称密钥;
610:利用第一私钥基于轨道交通传输信息进行数字签名处理,得到安全认证消息;
620:向轨道交通控制系统中的第二控制设备发送安全认证消息,以便第二控制设备利用第一公钥进行基于安全认证消息的身份认证,得到轨道交通传输信息,其中,第一公钥和第一私钥形成非对称密钥对;
710:接收轨道交通控制系统中的第二控制设备发送的安全认证消息,安全认证消息在第二控制设备处利用第二私钥进行数字签名处理得到
720:利用第二公钥进行基于安全认证消息的身份认证,其中,第二公钥和第二私钥形成非对称密钥对;
810:确定控制设备注册信息,控制设备注册信息包括轨道交通控制系统中的多个控制设备的标识及其所属的运行线路信息;
820:基于控制设备注册信息,确定多个通信设备组,其中,每个通信设备组中的各个控制设备属于同一运行线路;
910:获取本地管理区域内的目标车载控制设备的公钥请求;
920:响应公钥请求,根据本地管理区域内的多个区域控制设备与车载控制设备之间的通信伙伴关系,确定多个区域控制设备中的目标区域控制设备;
930:将目标区域控制设备的非对称密钥对的公钥发送到目标车载控制设备,并且将目标车载控制设备的非对称密钥对的公钥发送到目标区域控制设备;
1010:处理模块;1020:发送模块;
1110:接收模块;1120:认证模块;
1210:第一确定模块;1220:第二确定模块;
1310:获取模块;1320:确定模块;1330:发送模块;
1410:处理器;1420:通信接口;1430:存储器;1440:通信总线。
具体实施方式
为了对本发明实施例的技术特征、目的和效果有更加清楚的理解,现对照附图说明本发明实施例的具体实施方式。图1为一个典型示例的轨道交通控制系统的示意图。如图所示,在轨道线路103上示例性地运行有两个轨道车辆104。轨道车辆104上安装有车载控制设备101。区域控制设备102对应于轨道线路103安装,例如,安装在轨道线路103上的特定的站点附近。应理解,可以对应于轨道线路103的每个站点设置区域控制设备102,也可以针对部分站点设置区域控制设备102,本实施例对此不作限定。
具体而言,不同的区域控制设备102之间可以进行有线或无线通信,不同的轨道车辆104之间可以利用车载控制设备101进行通信。车载控制设备101与区域控制设备102之间也可以进行通信。由于轨道车辆104在行驶或停车时需要进行各种控制。因此,各个控制设备之间的高效并且安全的通信显得尤为重要。
图2为本发明的一个实施例的通信方法的示意性流程图。图2的通信方法应用于轨道交通控制系统,轨道交通控制系统包括第一控制设备和第二控制设备。应理解,第一控制设备和第二控制设备中的任一者可以为区域控制设备(Zone Controller,ZC)、车载控制设备(Vehicle on-board Controller,VOBC)等控制设备。换言之,第一控制设备为车载控制设备和区域控制设备中的一者,第二控制设备为车载控制设备和区域控制设备中的另一者。如图2所示,该方法包括:
210:第一控制设备利用第一私钥基于轨道交通传输信息进行数字签名处理,得到安全认证消息。
应理解,文中的数字签名处理可以为基于非对称密钥对的任意方式的数字签名。非对称密钥可以为诸如RSA、Elgamal、背包算法、Rabin、D-H或ECC中的任一种密钥算法。文中的轨道交通传输信息包括但不限于与轨道交通相关的控制信息、指示信息、以及其其他传输信息等。此外,可以直接对轨道交通传输信息进行数字签名,也可以对轨道交通传输信息进行预处理,得到预处理结果,然后对预处理结果进行数字签名。预处理可以包括数字摘要处理等运算,例如,可以包括诸如MD4或MD5的任意方式的哈希运算。
具体而言,数字签名与验证过程可以为:第一控制设备对报文(轨道交通传输信息的示例)进行数字摘要计算,以提取第一报文指纹,第一控制设备用第一私钥对报文指纹进行非对称加密,得到第一安全代码,第一安全代码加到报文尾部一起发送。
另外,第二控制设备收到带有签名信息的报文后,采用第一公钥对第一安全代码进行解密得到报文指纹,同时第二控制设备也对报文数据进行数字摘要计算得到第二报文指纹,并且对比第一报文指纹和第二报文指纹,如果两者一致则通过验证。
还应理解,第一控制设备可以生成包括第一公钥和第一私钥的非对称密钥对,并且将第一公钥预先发送到第二控制设备。或者,第二控制设备经由人工或其他通信途径获取第一公钥。例如,该非对称密钥对也可以由其他控制设备生成,或者,利用独立的密钥发生器生成,对应于第一控制设备。例如,可以通过安全方式将第一私钥提供给第一控制设备,并且将第一公钥提供给第二控制设备。
220:第一控制设备向第二控制设备发送安全认证消息。
应理解,可以采用任何通信协议发送安全认证消息,例如,可以采用移动通信协议、无线局域网通信信息等发送安全认证消息。
230:第二控制设备利用第一公钥基于安全认证消息进行身份认证,其中,第一公钥和第一私钥形成非对称密钥。
应理解,第一公钥可以存储在第二控制设备的本地。此外,可以利用第一公钥直接解密安全认证消息进行身份认证,也可以基于利用第一公钥进行解密后得到的信息,进一步进行解密或匹配等安全处理。
由于第一公钥和第一私钥形成非对称密钥对,因此利用第一私钥进行数字签名处理得到的安全认证消息能够基于第一公钥进行身份验证,从而在第一控制设备进行数字签名处理,并且第二控制设备进行身份验证时,实现了第一控制设备与第二控制设备之间的通信的安全性。
在本发明的另一实现方式中,第一控制设备利用第一私钥基于轨道交通传输信息进行数字签名处理,得到安全认证消息,包括:第一控制设备利用第一私钥进行基于轨道交通传输信息的数字签名,得到第一安全代码;第一控制设备利用第二公钥对第一安全代码和轨道交通传输信息加密,得到安全认证消息,其中,第二控制设备利用第一公钥进行基于安全认证消息的身份认证,包括:第二控制设备利用第二私钥对安全认证消息进行解密,得到第一安全代码和轨道交通传输信息,其中,第二公钥和第二私钥形成非对称密钥对;通过利用第二公钥对第一安全代码进行解密,以匹配解密的结果与轨道交通传输信息。
由于第二公钥和第二私钥形成非对称密钥对,因此在第一控制设备处采用第二公钥加密得到的消息仅能在第二控制设备处利用其私钥进行解密,从而进一步实现了第一控制设备与第二控制设备之间的通信安全性。
在本发明的另一实现方式中,第一控制设备利用第一私钥进行基于轨道交通传输信息的数字签名,得到第一安全代码,包括:第一控制设备基于轨道交通传输信息进行数字摘要,得到数字摘要结果;第一控制设备利用第一私钥对数字摘要结果进行非对称加密,得到第一安全代码。
数字摘要能够保证数字签名处理的可靠性,同时减小了传输数据量,提高了通信效率。
在本发明的另一实现方式中,轨道交通控制系统还包括中央密钥服务器,第一控制设备和第二控制设备均为在中央密钥服务器中注册的第一区域控制设备和第二区域控制设备,其中,该方法还包括:中央密钥服务器确定第一区域控制设备与第二区域控制设备为具有通信伙伴关系的邻近区域控制设备;中央密钥服务器向第一区域控制设备和第二区域控制设备中的一者分配另一者的公钥。
由于中央密钥服务器实现了不同区域控制设备之间的公钥的分配,因此提高了公钥分配的安全性,并且提高了公钥管理的效率。
在本发明的另一实现方式中,第一控制设备向第二控制设备发送安全认证消息,包括:当目标车辆从第一控制设备的控制区域移动到第二控制设备的控制区域时,第一控制设备向第二控制设备发送安全认证消息。
由于每个控制设备在其控制区域能够对目标车辆进行更高效的控制,因此目标车辆从第一控制设备的控制区域移动到第二控制设备的控制区域时,可以继续采用第二控制设备对目标车辆进行高效地控制,本示例在高效控制的基础上,实现了安全的区域控制切换。
在本发明的另一实现方式中,第一控制设备和第二控制设备均为设置在不同车辆中的车载控制设备,其中,第一控制设备利用第一私钥基于轨道交通传输信息进行数字签名处理,得到安全认证消息,包括:第一控制设备利用第一私钥对基于地址信息的数字摘要进行签名处理,得到第二安全代码;第一控制设备将其未加密的身份信息与第二安全代码确定为用于连接发现的数字签名消息。
由于地址信息通常为传输消息中携带的信息,因此基于地址信息连同未加密的身份信息进行数字签名处理,提高了数据处理效率。此外,由于连接发现的数字签名消息在第一控制设备与第二控制设备之间的通信建立之前生成,因此采用第一私钥与第一公钥仍然保证了控制设备之间的通信安全性。
在本发明的另一实现方式中,第二控制设备利用第一公钥进行基于安全认证消息的身份认证,包括:第二控制设备在本地存储的指示通信伙伴设备身份信息与地址信息之间的映射关系中,对未加密的身份信息进行查询,得到第一公钥;第二控制设备利用第一公钥对第二安全代码进行解密,得到基于地址信息的数字摘要。
由于地址信息通常为传输消息中携带的信息,并且指示通信伙伴设备身份信息与地址信息之间的映射关系便于进行查询,因此基于地址信息连同未加密的身份信息进行数字签名处理,提高了数据处理效率。
在本发明的另一实现方式中,该方法还包括:如果第二控制设备未查询到第一控制设备的身份信息,或数字签名的校验没有通过则丢弃用于连接发现的数字签名消息。
由于第二控制设备未查询到第一控制设备的身份信息表明第一控制设备不属于通信伙伴,因此丢弃用于连接发现的数字签名消息有利于节省通信资源。
在本发明的另一实现方式中,该方法还包括:如果第二控制设备查询到第一控制设备的身份信息,则向第一控制设备发送连接请求消息,其中,第一控制设备利用第一私钥基于轨道交通传输信息进行数字签名处理,得到安全认证消息,包括:第一控制设备响应连接请求消息,利用第一私钥对连接响应信息进行数字签名,得到第三安全代码;第一控制设备利用第二公钥对第三安全代码和连接响应信息加密,得到安全认证消息。
由于第二控制设备查询到第一控制设备的身份信息表明第一控制设备属于通信伙伴,因此向第一控制设备发送连接请求消息,并且建立通信连接,有利于实现及时的通信。
在本发明的另一实现方式中,第一控制设备和第二控制设备分别为车载控制设备与区域控制设备,该方法还包括:基于本地存储的车载地图,确定当前区域控制设备为第二控制设备,其中,车载地图指示车载控制设备与多个区域控制设备之间的实时位置关系,其中,第一控制设备向第二控制设备发送安全认证消息,包括:基于车载控制设备与当前区域控制设备之间的轨旁网络,向当前区域控制设备发送安全认证消息。
由于本地存储的车载地图指示车载控制设备与多个区域控制设备之间的实时位置关系,因此经由轨旁网络与当前区域控制设备进行了通信,因此,提高了通信控制的实时性。
具体而言,轨旁网络可以包括诸如无线局域网或移动通信网络的移动网络等,或者,采用同轴电缆、双绞线和光纤来连接的有线计算机网络等。
在本发明的另一实现方式中,第一控制设备和第二控制设备中的任一者可以为轨道交通控制系统的车载控制设备和区域控制设备中的任一者。
图3为本发明的另一实施例的通信方法的示意性交互图。如图所示,第一控制设备110和第二控制设备120分别为车载控制设备和区域控制设备。
在步骤310中,车载控制设备VOBC对轨道交通传输信息进行MD4哈希计算,得到哈希计算结果,然后使用本地存储的私钥对哈希计算结果进行加密。
在步骤320中,车载控制设备将私钥加密的哈希计算结果作为安全代码添加到控制消息中。然后,将控制消息连同安全代码使用区域控制设备ZC的公钥进行加密,得到安全认证消息。
在步骤330中,车载控制设备将安全认证消息发送到区域控制设备。
在步骤340中,区域控制设备ZC收到安全认证消息后,采用自身的私钥对其进行解密,得到控制消息及其安全代码。
在步骤350中,区域控制设备重新计算该轨道交通传输信息的MD4哈希计算结果,如果区域控制设备ZC重新计算得到的MD4哈希计算结果与解密后的安全代码一致,则表明该轨道交通传输信息来自车载控制设备VOBC,从而实现了身份验证。
图4为本发明的另一实施例的通信方法的示意性交互图。如图所示,第一控制设备110和第二控制设备120分别为第一区域控制设备和第二区域控制设备。
在步骤410中,第一区域控制设备对轨道交通传输信息进行MD4哈希计算,得到哈希计算结果,然后使用本地存储的私钥对哈希计算结果进行加密。
在步骤420中,第一区域控制设备将私钥加密的哈希计算结果作为安全代码添加到控制消息中。然后,将控制消息连同安全代码使用第二区域控制设备ZC的公钥进行加密,得到安全认证消息。
在步骤430中,第一区域控制设备将安全认证消息发送到第二区域控制设备。
在步骤440中,第二区域控制设备ZC收到安全认证消息后,采用自身的私钥对其进行解密,得到控制消息及其安全代码。
在步骤450中,第二区域控制设备重新计算该轨道交通传输信息的MD4哈希计算结果,如果第二区域控制设备ZC重新计算得到的MD4哈希计算结果与解密后的安全代码一致,则表明该轨道交通传输信息来自第一区域控制设备,从而实现了身份验证。
图5为本发明的另一实施例的通信方法的示意性交互图。如图所示,第一控制设备110和第二控制设备120分别为第一车载控制设备和第一车载控制设备。
在步骤510中,第一车载控制设备对轨道交通传输信息进行MD4哈希计算,得到哈希计算结果,然后使用本地存储的私钥对哈希计算结果进行加密。
在步骤520中,第一车载控制设备将私钥加密的哈希计算结果作为安全代码添加到控制消息中。然后,将控制消息连同安全代码使用第二车载控制设备的公钥进行加密,得到安全认证消息。
在步骤530中,第一车载控制设备将安全认证消息发送到第二车载控制设备。
在步骤540中,第二车载控制设备收到安全认证消息后,采用自身的私钥对其进行解密,得到控制消息及其安全代码。
在步骤550中,第二车载控制设备重新计算该轨道交通传输信息的MD4哈希计算结果,如果第二车载控制设备重新计算得到的MD4哈希计算结果与解密后的安全代码一致,则表明该轨道交通传输信息来自第一车载控制设备,从而实现了身份验证。
图6为本发明的另一实施例的通信方法的示意性框图。图6的通信方法应用于轨道交通控制系统中的第一控制设备,包括:
610:利用第一私钥基于轨道交通传输信息进行数字签名处理,得到安全认证消息。
620:向轨道交通控制系统中的第二控制设备发送安全认证消息,以便第二控制设备利用第一公钥进行基于安全认证消息的身份认证,得到轨道交通传输信息,其中,第一公钥和第一私钥形成非对称密钥对。
由于第一公钥和第一私钥形成非对称密钥对,因此利用第一私钥进行数字签名处理得到的安全认证消息能够基于第一公钥进行身份验证,从而在第一控制设备进行数字签名处理,并且第二控制设备进行身份验证时,实现了第一控制设备与第二控制设备之间的通信的安全性。
图7为本发明的一个实施例的通信方法的示意性流程图。图7的通信方法应用于轨道交通控制系统中的第一控制设备。该方法包括:
710:接收轨道交通控制系统中的第二控制设备发送的安全认证消息,安全认证消息在第二控制设备处利用第二私钥进行数字签名处理得到。
720:利用第二公钥进行基于安全认证消息的身份认证,其中,第二公钥和第二私钥形成非对称密钥对。
由于第一公钥和第一私钥形成非对称密钥对,因此利用第一私钥进行数字签名处理得到的安全认证消息能够基于第一公钥进行身份验证,从而在第一控制设备进行数字签名处理,并且第二控制设备进行身份验证时,实现了第一控制设备与第二控制设备之间的通信的安全性。
在本发明的另一实现方式中,该方法还包括:从轨道交通控制系统中的中央服务器接收第二公钥,第二公钥由第二控制设备生成,中央服务器在第二控制设备注册时获取第二公钥。
在本发明的另一实现方式中,该方法还包括:向轨道交通控制系统中的中央服务器发送公钥请求,以便第二控制设备响应公钥请求确定第二公钥。
图8为本发明的一个实施例的通信方法的示意性流程图。图8的方法应用于轨道交通控制系统中的中央密钥服务器。该方法包括:
810:确定控制设备注册信息,控制设备注册信息包括轨道交通控制系统中的多个控制设备的标识及其所属的运行线路信息。
820:基于控制设备注册信息,确定多个通信设备组,其中,每个通信设备组中的各个控制设备属于同一运行线路。
由于中央密钥服务器实现了不同区域控制设备之间的公钥的分配,因此提高了公钥分配的安全性,并且提高了公钥管理的效率。
在本发明的另一实现方式中,该方法还包括:在每个通信设备组中的各个控制设备之间分发各自生成的非对称密钥对中的公钥,以便在该通信设备组中的两个控制设备之间能够利用非对称密钥对进行通信。
在本发明的另一实现方式中,确定控制设备注册信息,包括:利用多个控制设备的非对称密钥对的公钥,对多个控制设备进行注册,得到控制设备注册信息。
由于中央密钥服务器实现了不同控制设备的注册,能够进一步提高公钥分配的安全性,并且提高公钥管理的效率。
在本发明的另一实现方式中,基于控制设备注册信息,确定多个通信设备组,包括:基于控制设备注册信息,确定多个控制设备的通信伙伴映射关系;基于通信伙伴映射关系,配置多个通信设备组。
由于中央密钥服务器实现了基于不同通信设备组的控制设备之间的通信认证,能够进一步提高公钥分配的安全性,并且提高公钥管理的效率。
在本发明的另一实现方式中,该方法还包括:基于控制设备注册信息,确定多个控制设备中目标区域密钥服务器所管理的一组控制设备;向区域密钥服务器发送一组控制设备各自的非对称密钥对的公钥。
在本发明的另一实现方式中,向区域密钥控制器发送密钥发送指令,密钥发送指令指示区域密钥控制器向一组控制设备中的每个控制器设备发送其他设备各自的非对称密钥对的公钥。
在本发明的另一实现方式中,多个运行线路中包括共用车载控制设备,其中,向区域密钥控制器发送密钥发送指令,包括:向多个区域密钥控制器发送各自的密钥发送指令,密钥发送指令中包括指示共用车载控制设备是否处于相应运行线路的指示信息,以便相应运行线路的区域控制器根据指示信息与共用车载控制设备进行通信。
由于相应运行线路的区域密钥控制器根据指示信息与共用车载控制设备进行通信,因此避免了诸如多个区域控制器对共用车载控制器的误控制,从而提高了多个运行线路的管控效率。
图9为本发明的一个实施例的通信方法的示意性流程图。图9的方法应用于轨道交通控制系统中的区域密钥服务器。该方法包括:
910:获取本地管理区域内的目标车载控制设备的公钥请求。
920:响应公钥请求,根据本地管理区域内的多个区域控制设备与车载控制设备之间的通信伙伴关系,确定多个区域控制设备中的目标区域控制设备。
930:将目标区域控制设备的非对称密钥对的公钥发送到目标车载控制设备,并且将目标车载控制设备的非对称密钥对的公钥发送到目标区域控制设备。
由于区域密钥服务器实现了同一区域内的控制设备之间的公钥的分配,因此提高了公钥分配的安全性,并且提高了公钥管理的效率。此外,避免了当中央密钥服务器出现故障而带来的不便。
在本发明的另一实现方式中,该方法还包括:从中央密钥服务器获取与目标车载控制设备属于同一区域的其他车载控制设备的非对称密钥对的公钥;向目标车载控制设备转发其他车载控制设备的非对称密钥对的公钥,以便目标车载控制设备与其他车载控制设备通信。
图10为本发明的一个实施例的控制设备的示意性框图。图10的设备为轨道交通控制系统中的第一控制设备,该设备包括:
处理模块1010,利用第一私钥基于轨道交通传输信息进行数字签名处理,得到安全认证消息。
发送模块1020,向轨道交通控制系统中的第二控制设备发送安全认证消息,以便第二控制设备利用第一公钥进行基于安全认证消息的身份认证,得到轨道交通传输信息,其中,第一公钥和第一私钥形成非对称密钥对。
图11为本发明的一个实施例的控制设备的示意性框图。图11的设备为轨道交通控制系统中的第一控制设备,该设备包括:
接收模块1110,接收轨道交通控制系统中的第二控制设备发送的安全认证消息,安全认证消息在第二控制设备处利用第二私钥进行数字签名处理得到。
认证模块1120,利用第二公钥进行基于安全认证消息的身份认证,其中,第二公钥和第二私钥形成非对称密钥对。
在本发明的另一实现方式中,接收模块还用于:从轨道交通控制系统中的中央服务器接收第二公钥,第二公钥由第二控制设备生成,中央服务器在第二控制设备注册时获取第二公钥。
在本发明的另一实现方式中,该设备还包括:发送模块,向轨道交通控制系统中的中央服务器发送公钥请求,以便第二控制设备响应公钥请求确定第二公钥。
图12为本发明的一个实施例的中央密钥服务器的示意性框图。图12的中央密钥服务器应用于轨道交通控制系统,该服务器包括:
第一确定模块1210,确定控制设备注册信息,控制设备注册信息包括轨道交通控制系统中的多个控制设备的标识及其所属的运行线路信息。
第二确定模块1220,基于控制设备注册信息,确定多个通信设备组,其中,每个通信设备组中的各个控制设备属于同一运行线路。
在本发明的另一实现方式中,该服务器还包括:分发模块,在每个通信设备组中的各个控制设备之间分发各自生成的非对称密钥对中的公钥,以便在该通信设备组中的两个控制设备之间能够利用非对称密钥对进行通信。
在本发明的另一实现方式中,第一确定模块具体用于:利用多个控制设备的非对称密钥对的公钥,对多个控制设备进行注册,得到控制设备注册信息。
在本发明的另一实现方式中,第二确定模块具体用于:基于控制设备注册信息,确定多个控制设备的通信伙伴映射关系;基于通信伙伴映射关系,配置多个通信设备组。
在本发明的另一实现方式中,该服务器还包括:第三确定模块,基于控制设备注册信息,确定多个控制设备中目标区域密钥服务器所管理的一组控制设备;发送模块,向区域密钥服务器发送一组控制设备各自的非对称密钥对的公钥。
图13为本发明的一个实施例的区域密钥服务器的示意性框图。图13的区域密钥服务器应用于轨道交通控制系统,该服务器包括:
获取模块1310,获取本地管理区域内的目标车载控制设备的公钥请求;
确定模块1320,响应公钥请求,根据本地管理区域内的多个区域控制设备与车载控制设备之间的通信伙伴关系,确定多个区域控制设备中的目标区域控制设备;
发送模块1330,将目标区域控制设备的非对称密钥对的公钥发送到目标车载控制设备,并且将目标车载控制设备的非对称密钥对的公钥发送到目标区域控制设备。
在本发明的另一实现方式中,该服务器还包括:获取模块,从中央密钥服务器获取与目标车载控制设备属于同一区域的其他车载控制设备的非对称密钥对的公钥;转发模块,向目标车载控制设备转发其他车载控制设备的非对称密钥对的公钥,以便目标车载控制设备与其他车载控制设备通信。
图14为本发明的另一实施例的电子设备的示意性框图。图14的电子设备可以应用于具有分布式天线的接入点。分布式天线具有多个天线端口。该电子设备包括:一个或多个处理器1410、通信接口1420、存储器1430和通信总线1440、以及一个或多个程序,其中,一个或多个处理器1410、通信接口1420、存储器1430通过通信总线1440完成相互间的通信,一个或多个程序被存储在存储器1430中,并且被配置为由一个或多个处理器1410执行上述各个实施例的通信方法。
本发明实施例还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时控制包括存储介质的设备执行上述各个实施例的通信方法。
本发明实施例还提供了一种计算机程序产品,所述计算机程序产品被有形地存储在计算机可读介质上并且包括计算机可读指令,所述计算机可执行指令在被执行时使至少一个处理器执行诸如上述各个实施例所述的通信方法。
需要说明的是,本发明的计算机存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读介质例如可以但不限于是电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储介质(RAM)、只读存储介质(ROM)、可擦式可编程只读存储介质(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储介质(CD-ROM)、光存储介质件、磁存储介质件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输配置为由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、天线、光缆、RF等等,或者上述的任意合适的组合。
应当理解,虽然本发明是按照各个实施例描述的,但并非每个实施例仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
以上仅为本发明实施例示意性的具体实施方式,并非用以限定本发明实施例的范围。任何本领域的技术人员,在不脱离本发明实施例的构思和原则的前提下所作的等同变化、修改与结合,均应属于本发明实施例保护的范围。

Claims (25)

1.一种通信方法,应用于轨道交通控制系统,所述轨道交通控制系统包括多个通信设备组,所述多个通信设备组由中央密钥服务器通过多个控制设备的通信伙伴映射关系确定,每个通信设备组中包括第一控制设备和第二控制设备,所述第一控制设备为车载控制设备和区域控制设备中的一者,所述第二控制设备为所述车载控制设备和所述区域控制设备中的另一者,第一私钥和第一公钥由所述第一控制设备生成,所述第一公钥由所述第一控制设备发送到所述中央密钥服务器,所述方法包括:
所述第二控制设备从管理该通信设备组的区域密钥控制设备接收所述第一公钥,所述第一公钥由所述区域密钥控制设备根据所述通信伙伴映射关系确定,所述第一公钥由所述中央密钥服务器发送到所述区域密钥控制设备;
所述第一控制设备利用所述第一私钥基于轨道交通传输信息进行数字签名处理,得到安全认证消息(210);
所述第一控制设备向所述第二控制设备发送所述安全认证消息(220);
所述第二控制设备利用所述第一公钥进行基于所述安全认证消息的身份认证,以便得到所述轨道交通传输信息,其中,所述第一公钥和所述第一私钥形成非对称密钥对(230)。
2.根据权利要求1所述的方法,其中,所述第一控制设备利用第一私钥基于轨道交通传输信息进行数字签名处理,得到安全认证消息,包括:
所述第一控制设备利用第一私钥进行基于所述轨道交通传输信息的数字签名,得到第一安全代码;
所述第一控制设备利用第二公钥对所述第一安全代码和所述轨道交通传输信息加密,得到所述安全认证消息,其中,所述第二控制设备利用所述第一公钥进行基于所述安全认证消息的身份认证,包括:
所述第二控制设备利用第二私钥对所述安全认证消息进行解密,得到所述第一安全代码和所述轨道交通传输信息,其中,所述第二公钥和第二私钥形成非对称密钥对;
通过利用所述第二公钥对所述第一安全代码进行解密,以匹配解密的结果与所述轨道交通传输信息。
3.根据权利要求2所述的方法,其中,所述第一控制设备利用第一私钥进行基于轨道交通传输信息的数字签名,得到第一安全代码,包括:
所述第一控制设备基于所述轨道交通传输信息进行数字摘要,得到数字摘要结果;
所述第一控制设备利用所述第一私钥对所述数字摘要结果进行非对称加密,得到所述第一安全代码。
4.根据权利要求1所述的方法,其中,所述轨道交通控制系统还包括中央密钥服务器,所述第一控制设备和所述第二控制设备均为在所述中央密钥服务器中注册的第一区域控制设备和第二区域控制设备,其中,所述方法还包括:
所述中央密钥服务器确定所述第一区域控制设备与所述第二区域控制设备为具有通信伙伴关系的邻近区域控制设备;
所述中央密钥服务器向所述第一区域控制设备和第二区域控制设备中的一者分配另一者的公钥。
5.根据权利要求4所述的方法,其中,所述第一控制设备向所述第二控制设备发送所述安全认证消息,包括:
当目标车辆从所述第一控制设备的控制区域移动到所述第二控制设备的控制区域时,所述第一控制设备向所述第二控制设备发送所述安全认证消息。
6.根据权利要求1所述的方法,其中,所述第一控制设备和所述第二控制设备均为设置在不同车辆中的车载控制设备,其中,所述第一控制设备利用第一私钥基于轨道交通传输信息进行数字签名处理,得到安全认证消息,包括:
所述第一控制设备利用第一私钥对基于地址信息的数字摘要进行签名处理,得到第二安全代码;
所述第一控制设备将其未加密的身份信息与所述第二安全代码确定为用于连接发现的安全认证消息,其中,所述第二控制设备利用所述第一公钥进行基于所述安全认证消息的身份认证,包括:
所述第二控制设备在本地存储的指示通信伙伴设备身份信息与地址信息之间的映射关系中,对所述未加密的身份信息进行查询,得到所述第一公钥;
所述第二控制设备利用所述第一公钥对所述第二安全代码进行解密,得到基于所述地址信息的数字摘要。
7.根据权利要求6所述的方法,其中,所述方法还包括:
如果所述第二控制设备未查询到所述第一控制设备的身份信息,或数字签名的校验没有通过则丢弃所述用于连接发现的安全认证消息。
8.根据权利要求1所述的方法,其中,所述方法还包括:
如果所述第二控制设备查询到所述第一控制设备的身份信息,则向所述第一控制设备发送连接请求消息,其中,所述第一控制设备利用第一私钥基于轨道交通传输信息进行数字签名处理,得到安全认证消息,包括:
所述第一控制设备响应所述连接请求消息,利用所述第一私钥对连接响应信息进行数字签名,得到第三安全代码;
所述第一控制设备利用第二公钥对所述第三安全代码和所述连接响应信息加密,得到所述安全认证消息。
9.根据权利要求1所述的方法,其中,所述第一控制设备和所述第二控制设备分别为车载控制设备与区域控制设备,所述方法还包括:
基于本地存储的车载地图,确定当前区域控制设备为所述第二控制设备,其中,所述车载地图指示所述车载控制设备与多个区域控制设备之间的实时位置关系,其中,
所述第一控制设备向所述第二控制设备发送所述安全认证消息,包括:
基于所述车载控制设备与所述当前区域控制设备之间的轨旁网络,向所述当前区域控制设备发送所述安全认证消息。
10.根据权利要求1-9中的任一项所述的方法,其中,所述第一控制设备和所述第二控制设备中的任一者可以为所述轨道交通控制系统的车载控制设备和区域控制设备中的任一者。
11.一种通信方法,适用于轨道交通控制系统,所述轨道交通控制系统包括多个通信设备组,所述多个通信设备组由中央密钥服务器通过多个控制设备的通信伙伴映射关系确定,每个通信设备组中包括第一控制设备和第二控制设备,所述第一控制设备为车载控制设备和区域控制设备中的一者,所述第二控制设备为所述车载控制设备和所述区域控制设备中的另一者,第一私钥和第一公钥由所述第一控制设备生成,所述第一公钥由所述第一控制设备发送到所述中央密钥服务器,所述方法应用于所述第一控制设备,所述方法包括:
利用所述第一私钥基于轨道交通传输信息进行数字签名处理,得到安全认证消息(610);
向所述第二控制设备发送所述安全认证消息,以便所述第二控制设备利用所述第一公钥进行基于所述安全认证消息的身份认证,以便得到所述轨道交通传输信息,其中,所述第一公钥和所述第一私钥形成非对称密钥对(620),其中,所述第一公钥由所述第二控制设备从管理该通信设备组的区域密钥控制设备接收,所述第一公钥由所述区域密钥控制设备根据所述通信伙伴映射关系确定,所述第一公钥由所述中央密钥服务器发送到所述区域密钥控制设备。
12.一种通信方法,适用于轨道交通控制系统,所述轨道交通控制系统包括多个通信设备组,所述多个通信设备组由中央密钥服务器通过多个控制设备的通信伙伴映射关系确定,每个通信设备组中包括第一控制设备和第二控制设备,所述第一控制设备为车载控制设备和区域控制设备中的一者,所述第二控制设备为所述车载控制设备和所述区域控制设备中的另一者,第二私钥和第二公钥由所述第二控制设备生成,所述第二公钥由所述第二控制设备发送到所述中央密钥服务器,所述方法应用于所述第一控制设备,所述方法包括:
接收所述第二控制设备发送的安全认证消息,所述安全认证消息在所述第二控制设备处利用所述第二私钥进行数字签名处理得到(710);
利用所述第二公钥进行基于所述安全认证消息的身份认证,其中,所述第二公钥和所述第二私钥形成非对称密钥对(720),其中,所述第二公钥由所述第一控制设备从管理该通信设备组的区域密钥控制设备接收,所述第二公钥由所述区域密钥控制设备根据所述通信伙伴映射关系确定,所述第二公钥由所述中央密钥服务器发送到所述区域密钥控制设备。
13.根据权利要求12所述的方法,其中,所述方法还包括:
从所述轨道交通控制系统中的中央服务器接收所述第二公钥,所述第二公钥由所述第二控制设备生成,所述中央服务器在所述第二控制设备注册时获取所述第二公钥。
14.根据权利要求13所述的方法,其中,所述方法还包括:
向所述轨道交通控制系统中的中央服务器发送公钥请求,以便所述第二控制设备响应所述公钥请求确定所述第二公钥。
15.一种通信方法,应用于轨道交通控制系统中的中央密钥服务器,包括:
利用所述轨道交通控制系统中的多个控制设备的非对称密钥对的公钥,对所述多个控制设备进行注册,得到所述控制设备注册信息,所述控制设备注册信息包括所述多个控制设备的标识及其所属的运行线路信息(810);
基于所述控制设备注册信息,确定所述多个控制设备的通信伙伴映射关系;
基于通信伙伴映射关系,配置多个通信设备组,其中,每个通信设备组中的各个控制设备属于同一运行线路(820);
基于所述控制设备注册信息,确定所述多个控制设备中目标区域密钥服务器所管理的一组控制设备;
向所述区域密钥服务器发送所述一组控制 设备各自的非对称密钥对的公钥。
16.根据权利要求15所述的方法,其中,所述方法还包括:
向所述区域密钥控制器发送密钥发送指令,所述密钥发送指令指示所述区域密钥控制器向所述一组控制设备中的每个控制器设备发送其他设备各自的非对称密钥对的公钥。
17.根据权利要求16所述的方法,其中,多个运行线路中包括共用车载控制设备,其中,所述向所述区域密钥控制器发送密钥发送指令,包括:
向多个所述区域密钥控制器发送各自的密钥发送指令,所述密钥发送指令中包括指示所述共用车载控制设备是否处于相应运行线路的指示信息,以便所述相应运行线路的区域控制器根据所述指示信息与所述共用车载控制设备进行通信。
18.一种通信方法,应用于轨道交通控制系统中的区域密钥服务器,所述轨道交通控制系统包括多个通信设备组,所述多个通信设备组由中央密钥服务器通过多个控制设备的通信伙伴映射关系确定,所述方法包括:
获取本地管理区域内的目标车载控制设备的公钥请求(910);
响应所述公钥请求,根据所述本地管理区域内的每个通信设备组中的多个区域控制设备与所述车载控制设备之间的通信伙伴映射关系,确定所述多个区域控制设备中的目标区域控制设备(920);
将所述目标区域控制设备的非对称密钥对的公钥发送到所述目标车载控制设备,并且将所述目标车载控制设备的非对称密钥对的公钥发送到所述目标区域控制设备(930),其中,所述非对称密钥对的公钥由所述区域密钥服务器从所述中央密钥服务器获得。
19.根据权利要求18所述的方法,其中,所述方法还包括:
从中央密钥服务器获取与所述目标车载控制设备属于同一区域的其他车载控制设备的非对称密钥对的公钥;
向所述目标车载控制设备转发所述其他车载控制设备的非对称密钥对的公钥,以便所述目标车载控制设备与所述其他车载控制设备通信。
20.一种控制设备,适用于轨道交通控制系统,所述轨道交通控制系统包括多个通信设备组,所述多个通信设备组由中央密钥服务器通过多个控制设备的通信伙伴映射关系确定,每个通信设备组中包括第一控制设备和第二控制设备,所述第一控制设备为车载控制设备和区域控制设备中的一者,所述第二控制设备为所述车载控制设备和所述区域控制设备中的另一者,第一私钥和第一公钥由所述第一控制设备生成,所述第一公钥由所述第一控制设备发送到所述中央密钥服务器,所述控制设备为所述第一控制设备,包括:
处理模块(1010),利用所述第一私钥基于轨道交通传输信息进行数字签名处理,得到安全认证消息;
发送模块(1020),向所述轨道交通控制系统中的第二控制设备发送所述安全认证消息,以便所述第二控制设备利用所述第一公钥进行基于所述安全认证消息的身份认证,得到所述轨道交通传输信息,其中,所述第一公钥和所述第一私钥形成非对称密钥对,其中,所述第一公钥由所述第二控制设备从管理该通信设备组的区域密钥控制设备接收,所述第一公钥由所述区域密钥控制设备根据所述通信伙伴映射关系确定,所述第一公钥由所述中央密钥服务器发送到所述区域密钥控制设备。
21.一种控制设备,适用于轨道交通控制系统,所述轨道交通控制系统包括多个通信设备组,所述多个通信设备组由中央密钥服务器通过多个控制设备的通信伙伴映射关系确定,每个通信设备组中包括第一控制设备和第二控制设备,所述第一控制设备为车载控制设备和区域控制设备中的一者,所述第二控制设备为所述车载控制设备和所述区域控制设备中的另一者,第二私钥和第二公钥由所述第二控制设备生成,所述第二公钥由所述第二控制设备发送到所述中央密钥服务器,所述控制设备为所述第一控制设备,包括:
接收模块(1110),接收所述轨道交通控制系统中的第二控制设备发送的安全认证消息,所述安全认证消息在所述第二控制设备处利用所述第二私钥进行数字签名处理得到;
认证模块(1120),利用所述第二公钥进行基于所述安全认证消息的身份认证,其中,所述第二公钥和所述第二私钥形成非对称密钥对,其中,所述第二公钥由所述第一控制设备从管理该通信设备组的区域密钥控制设备接收,所述第二公钥由所述区域密钥控制设备根据所述通信伙伴映射关系确定,所述第二公钥由所述中央密钥服务器发送到所述区域密钥控制设备。
22.一种中央密钥服务器,应用于轨道交通控制系统,包括:
第一确定模块(1210),利用所述轨道交通控制系统中的多个控制设备的非对称密钥对的公钥,对所述多个控制设备进行注册,得到所述控制设备注册信息,所述控制设备注册信息包括所述多个控制设备的标识及其所属的运行线路信息;
第二确定模块(1220),基于所述控制设备注册信息,确定所述多个控制设备的通信伙伴映射关系;并且基于通信伙伴映射关系,配置多个通信设备组,其中,每个通信设备组中的各个控制设备属于同一运行线路;
第三确定模块,基于所述控制设备注册信息,确定所述多个控制设备中目标区域密钥服务器所管理的一组控制设备;
发送模块,向所述区域密钥服务器发送所述一组控制设备各自的非对称密钥对的公钥。
23.一种区域密钥服务器,应用于轨道交通控制系统,所述轨道交通控制系统包括多个通信设备组,所述多个通信设备组由中央密钥服务器通过多个控制设备的通信伙伴映射关系确定,所述区域密钥服务器包括:
获取模块(1310),获取本地管理区域内的车载控制设备的公钥请求;
确定模块(1320),响应所述公钥请求,根据所述本地管理区域内的每个通信设备组中的多个区域控制设备与所述车载控制设备之间的通信伙伴映射关系,确定所述多个区域控制设备中的目标区域控制设备;
发送模块(1330),将所述目标区域控制设备的非对称密钥对的公钥发送到所述车载控制设备,并且将所述车载控制设备的非对称密钥对的公钥发送到所述目标区域控制设备,其中,所述非对称密钥对的公钥由所述区域密钥服务器从所述中央密钥服务器获得。
24.一种电子设备,包括:
一个或多个处理器(1410)、通信接口(1420)、存储器(1430)和通信总线(1440)、以及一个或多个程序,其中,所述一个或多个处理器(1410)、所述通信接口(1420)、所述存储器(1430)通过所述通信总线(1440)完成相互间的通信,一个或多个程序被存储在所述存储器(1430)中,并且被配置为由所述一个或多个处理器(1410)执行:
根据权利要求11的通信方法;
或者,根据权利要求12-14中任一项所述的通信方法;
或者,根据权利要求15-17中任一项所述的通信方法;
或者,根据权利要求18所述的通信方法;
或者,根据权利要求19所述的通信方法。
25.一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制包括所述存储介质的设备执行:
根据权利要求11的通信方法;
或者,根据权利要求12-14中任一项所述的通信方法;
或者,根据权利要求15-17中任一项所述的通信方法;
或者,根据权利要求18所述的通信方法;
或者,根据权利要求19所述的通信方法。
CN202110015566.1A 2021-01-07 2021-01-07 轨道交通中的通信方法、设备和存储介质 Active CN112351427B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110015566.1A CN112351427B (zh) 2021-01-07 2021-01-07 轨道交通中的通信方法、设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110015566.1A CN112351427B (zh) 2021-01-07 2021-01-07 轨道交通中的通信方法、设备和存储介质

Publications (2)

Publication Number Publication Date
CN112351427A CN112351427A (zh) 2021-02-09
CN112351427B true CN112351427B (zh) 2021-07-13

Family

ID=74427420

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110015566.1A Active CN112351427B (zh) 2021-01-07 2021-01-07 轨道交通中的通信方法、设备和存储介质

Country Status (1)

Country Link
CN (1) CN112351427B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113037602B (zh) * 2021-03-04 2022-02-18 库卡机器人(广东)有限公司 物流系统、物流控制方法、物流控制装置和可读存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102497279A (zh) * 2011-11-11 2012-06-13 青岛海信网络科技股份有限公司 一种适应于轨道交通综合监控系统的组件管理方法
CN103459234A (zh) * 2011-04-05 2013-12-18 西门子公司 用于列车安全系统的密钥管理的系统和方法
CN106850680A (zh) * 2017-03-20 2017-06-13 株洲中车时代电气股份有限公司 一种用于轨道交通设备的智能身份认证方法及装置
CN111447616A (zh) * 2020-03-26 2020-07-24 西南交通大学 一种面向lte-r移动中继的组认证及密钥协商方法
CN112003691A (zh) * 2020-07-02 2020-11-27 北京交通大学 一种应用于城市轨道交通的分布式密钥管理系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11153077B2 (en) * 2018-12-14 2021-10-19 Westinghouse Air Brake Technologies Corporation Secure vehicle to vehicle communication
CN109194475B (zh) * 2018-09-28 2023-11-07 卡斯柯信号有限公司 一种采用用于列车控制系统的信息安全保密系统的方法
CN110944327A (zh) * 2019-10-31 2020-03-31 卡斯柯信号(郑州)有限公司 用于轨道交通区域控制器的信息安全保密方法及其装置
CN110920696A (zh) * 2019-12-03 2020-03-27 卡斯柯信号有限公司 一种轨道交通列车控制系统
CN211519529U (zh) * 2019-12-03 2020-09-18 卡斯柯信号有限公司 轨道交通列车控制系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103459234A (zh) * 2011-04-05 2013-12-18 西门子公司 用于列车安全系统的密钥管理的系统和方法
CN102497279A (zh) * 2011-11-11 2012-06-13 青岛海信网络科技股份有限公司 一种适应于轨道交通综合监控系统的组件管理方法
CN106850680A (zh) * 2017-03-20 2017-06-13 株洲中车时代电气股份有限公司 一种用于轨道交通设备的智能身份认证方法及装置
CN111447616A (zh) * 2020-03-26 2020-07-24 西南交通大学 一种面向lte-r移动中继的组认证及密钥协商方法
CN112003691A (zh) * 2020-07-02 2020-11-27 北京交通大学 一种应用于城市轨道交通的分布式密钥管理系统

Also Published As

Publication number Publication date
CN112351427A (zh) 2021-02-09

Similar Documents

Publication Publication Date Title
KR102182082B1 (ko) V2x 통신 장치 및 그의 데이터 통신 방법
EP3744052B1 (en) Method and system for reduced v2x receiver processing load using network based application layer message processing
US20150033019A1 (en) Cryptographic communication system, communication device, key distribution device, and cryptographic communication method
KR20200061763A (ko) 오토모티브 이더넷에 기초하여 차량 내부 네트워크에서 차량 내 디바이스간 통신 방법 및 장치
CN111137329B (zh) 一种基于单向广播的列控数据传输方法与系统
US11153077B2 (en) Secure vehicle to vehicle communication
JP6508188B2 (ja) 暗号通信システム
US20200139995A1 (en) Secure locomotive communication system
JP2012227672A (ja) 車車/路車間通信システム
JP3920583B2 (ja) 通信セキュリティ保持方法及びその実施装置並びにその処理プログラム
JP2008060789A (ja) 公開鍵配布システムおよび公開鍵配布方法
KR20170134804A (ko) 차량 클라우드에서의 통신 보안 기법
JP2021510481A (ja) デジタル認証書の撤回のための活性化コードを用いた暗号化方法及びそのシステム
CN113452517A (zh) 密钥更新方法、装置、系统、存储介质及终端
CN112351427B (zh) 轨道交通中的通信方法、设备和存储介质
CN111010411B (zh) 通信的方法、装置、路边设备、车辆和存储介质
CN111818483B (zh) 一种基于5g的v2v车联网通信系统及方法
CN112423262B (zh) 车队密钥协商方法、存储介质和车辆
CN111010412B (zh) 通信的方法、装置、路边设备和存储介质
US20220007186A1 (en) Secure Vehicle Communication System
JP4540681B2 (ja) 通信セキュリティ保持方法及びその実施装置並びにその処理プログラム
JP2002125270A (ja) 移動端末接続方法
KR102648508B1 (ko) 그룹 보안 정책 및 암호화 키 관리 기능을 갖는 보안인증시스템 및 그 관리 방법
JP2019115054A (ja) 暗号通信システム
CN113543072A (zh) 通信方法、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant