CN114301611B

CN114301611B - 车联网保密通信方法及能够进行保密通信的车联网系统

Info

Publication number: CN114301611B
Application number: CN202011000374.5A
Authority: CN
Inventors: 富尧; 钟一民; 汪仲祥
Original assignee: Ruban Quantum Technology Co Ltd; Nanjing Ruban Quantum Technology Co Ltd
Current assignee: Ruban Quantum Technology Co Ltd; Nanjing Ruban Quantum Technology Co Ltd
Priority date: 2020-09-22
Filing date: 2020-09-22
Publication date: 2023-11-07
Anticipated expiration: 2040-09-22
Also published as: CN114301611A

Abstract

本发明提出一种车联网保密通信方法及能够进行保密通信的车联网系统，本发明将整个车联网拆分成多个子群组，每个子群组由路边单元和通过路边单元接入互联网的车辆节点组成，然后通过第三方信任机构给路边单元分配替换密钥和密钥池，路边单元给车辆节点分配替换密钥和密钥池的方式，使得路边单元和第三方信任机构之间、路边单元和车辆节点之间形成分层保密通信结构。本发明能够降低第三方信任机构的计算压力和数据传输压力，从而使整个密钥分发方案能够适应车联网拓扑快速变化的特性，另一方面，各个子群组的群组密钥池均不同，即使被破解，也只影响一个子群组，从而提高了群组密钥的多变性，进而增加了破解难度，提高通信安全性能。

Description

车联网保密通信方法及能够进行保密通信的车联网系统

技术领域

本发明涉及群组通信领域，尤其涉及一种车联网保密通信方法及能够进行保密通信的车联网系统。

背景技术

车载自组织网络(VANET,vehicular ad hoc network)是一种利用无线局域网技术，以车辆和路边单元作为网络节点，为车与车(V2V)、车与路边单元(V2R)之间提供通信服务而创建的移动网络。

在现有技术中，车联网中各车辆节点之间很难实现保密通信，这是由于以下原因：

1、车联网中节点的通信属于群组通信，现有的群组对称密钥池需要密钥颁发中心为群组成员逐一颁发，而车联网这样高速变化的拓扑，决定了群组内成员的多变性，若仍采用传统密钥颁发方式，则对密钥颁发中心的计算和数据传输能力有着极高的要求，很难实现；

2、另一方面，群组对称密钥在高速变化的拓扑环境中，很容易泄露，而由于群组密钥池由群组成员共享的特性，所有拥有群组密钥池的成员的地位是相同的，任意一个成员被俘获均会导致整个群组通信系统的失效；

3、群组密钥池由于容量较大，无法存储于高度安全的安全芯片中，存在被俘获后被拆解从而被破解的可能性，一旦被破解，则基于群组型对称密钥池的群组通信的安全性受到威胁。

发明内容

发明目的：为实现车联网内各节点的保密通信，本发明提出一种车联网保密通信方法及能够进行保密通信的车联网系统。

发明内容：为实现上述目的，本发明提出一种车联网保密通信方法，包括以下步骤：

(1)组网前，第三方信任机构为车联网内的路边单元分配ID，并基于自己的替换密钥和路边单元的ID计算出路边单元的替换密钥，基于自己的密钥池和路边单元的替换密钥计算出路边单元的密钥池，然后将替换密钥和密钥池颁发给路边单元；车辆节点到第三方信任机构登记自己的静态身份标识TID，并获取第三方信任机构分配的ID；

(2)路边单元与自己覆盖范围内的车辆节点建立连接形成一个子群组，并保存各车辆节点的ID；路边单元采用与步骤(1)相同的方式为子群组中的车辆节点颁发替换密钥，并将自己的密钥池共享给群组内的车辆节点；

(3)第三方信任机构与路边单元之间通信时，由第三方信任机构计算出路边单元的密钥池，然后双方按照预先约定的方式从路边单元的密钥池中取得对称密钥进行保密通信；子群组成员之间通信时，基于共享的密钥池进行通信。

本方法将整个车联网拆分成多个子群组，每个子群组由路边单元和通过路边单元接入互联网的车辆节点组成，然后通过第三方信任机构给路边单元分配替换密钥和密钥池，路边单元给车辆节点分配替换密钥和密钥池的方式，使得路边单元和第三方信任机构之间、路边单元和车辆节点之间形成分层保密通信结构，降低第三方信任机构的计算压力和数据传输压力，从而使整个密钥分发方案能够适应车联网拓扑快速变化的特性，具有可实行性。另一方面，各个子群组的群组密钥池均不同，即使被破解，也只影响一个子群组，相对于所有群组成员共享密钥池的方案，明显提高了群组密钥的多变性，进而增加了破解难度，提高通信安全性能。

以下还提供了若干可选方式，但并不作为对上述总体方案的额外限定，仅仅是进一步的增补或优选，在没有技术或逻辑矛盾的前提下，各可选方式可单独针对上述总体方案进行组合，还可以是多个可选方式之间进行组合。

可选的，所述第三方信任机构在为路边单元计算替换密钥时，还引入有效时间，即第三方信任机构生成有效时间TS，然后根据TS、路边单元ID和自己的替换密钥，计算出路边单元的替换密钥；

当路边单元的替换密钥到期时，路边单元向第三方信任机构提出更新替换密钥和密钥池的申请；

第三方信任机构在接收到申请时，重新生成有效时间，然后重新计算路边单元的替换密钥和密钥池并颁发给路边单元。

本可选实施方式还有另一种变形：

即定义所述替换密钥由替换密钥计算函数计算得到，所述密钥池由密钥池计算函数计算得到，替换密钥计算函数为不可逆函数，密钥池计算函数为可逆函数；路边单元和车辆节点本地均配置安全芯片，芯片内存储有替换密钥计算函数、密钥池计算函数及其逆函数，其中，替换密钥计算函数和密钥池计算函数逆函数的计算结果仅参与芯片内部运算，而不输出给节点，安全芯片仅输出密钥池计算结果。基于本设计，所述第三方信任机构在为路边单元计算替换密钥时，还引入有效时间，即第三方信任机构生成有效时间TS，然后根据TS、路边单元ID和自己的替换密钥，计算出路边单元的替换密钥；

当路边单元的替换密钥到期时，路边单元向第三方信任机构提出更新替换密钥和密钥池的申请；第三方信任机构在接收到申请时，重新生成有效时间，然后重新计算路边单元的替换密钥并颁发给路边单元，路边单元基于更新后的替换密钥更新自己的密钥池：将自己的密钥池分成n段子密钥，然后对每一段子密钥执行以下操作：取出一段子密钥输入本地安全芯片中，由安全芯片根据密钥池计算函数的逆函数计算出第三方信任机构密钥池中相应的一段子密钥；安全芯片采用密钥池计算函数，用第三方信任机构的子密钥与更新后的替换密钥计算出更新后的子密钥；安全芯片将计算出的每一段更新后的子密钥输出给路边单元，路边单元将更新后的子密钥按照原本的次序排列，得到更新后的密钥池。

可选的，所述步骤(3)中，子群组成员之间通信时，还执行以下步骤：路边单元在与车辆节点之间单独通信时，路边单元计算出车辆节点的替换密钥，然后用车辆节点的替换密钥加密自己的密钥池，得到车辆节点独有的密钥池；车辆节点用自己的替换密钥加密自己的密钥池，得到独有的密钥池；路边单元和车辆节点从计算出的独有密钥池中选取对称密钥进行保密通信。

可选的，所述对称密钥提取方式为：生成一个明文消息；根据所述明文消息计算出初始位置指针，然后用初始位置指针与明文消息计算第一个步长，再用第一个步长与明文消息计算第二个步长，以此类推，共计算出N个步长；用初始位置指针与第一个步长计算出对称密钥的第一位密钥指针，然后用第一位密钥指针与第二个步长计算出第二位随机码指针，以此类推，共计算出N位密钥指针；根据每一位密钥指针从密钥池中取出相应的密钥数据，组成对称密钥。在本可选实施方式中，从密钥池中采用不同的步长逐个取出多个密钥比特，每次步长均不同。在对称密钥池被群成员共享的情况下，该种取密钥方式也不会被群成员所知，私密性高。

可选的，第三方信任机构计算路边单元的密钥池的步骤为：将第三方信任机构的密钥池等分为多段子密钥，用第三方信任机构的每一段子密钥与路边单元的替换密钥进行计算，得到路边单元的多段子密钥，将路边单元的多段子密钥按相应的第三方信任机构子密钥的序列进行排序，得到路边单元的密钥池。

可选的，在采用对称密钥加密消息时，还计算消息认证码以用于通信双方的身份校验。

可选的，所述方法还包括以下步骤：

当任意的车辆节点C从路边单元B1的覆盖范围驶入另一个路边单元B2的覆盖范围时，执行以下步骤：

C用自己的替换密钥KR_C加密自己的静态身份标识TID_C，得到{TID_C}KR_C，然后将ID_B1、ID_C、{TID_C}KR_C和要与B2建立连接的申请消息H一起发送给B2，B2根据接收到的消息中的ID_C判断出C不是本地子群组的成员，此时，B2将ID_B1、ID_C、{TID_C}KR_C和H一起发送给第三方信任机构TA；ID_B1和ID_C分别为B1的ID和车辆节点C的ID；

TA解密B2发送的消息，得到ID_B1、ID_C、{TID_C}KR_C和H，TA计算出B1的替换密钥KR_B1和密钥池K_B1，再计算出C的替换密钥KR_C；用KR_C解密{TID_C}KR_C，得到TID_C，TA根据TID_C判断该车辆是否在本地注册过，若注册过，则为C重新分配一个ID，记为ID′_C；TA用KR_C和K_B1计算出C的独有密钥池K_C，从K_C中取出对称密钥KTC，再用KTC和KR_C计算出加密密钥KSC；TA计算出B2的替换密钥KR_B2，先用KR_C加密KR_B1和KR_B2，再将加密后的数据和ID′_C一起再用KSC加密，得到消息RET，RET＝{ID′_C||{KR_B1||KR_B2}KR_C}KSC，将RET和ID′_C发送给B2；B2收到并解密来自TA的消息后，记录下ID′_C，并将RET转发到C；

C接收到RET后，计算出KSC，用KSC解密RET，得到ID′_C和{KR_B1||KR_B2}KR_C，然后再用KR_C解密{KR_B1||KR_B2}KR_C，得到KR_B1、KR_B2；C更新自己的ID为ID′_C，然后根据ID′_C和KR_B2计算出新的替换密钥KR′_C，更新自己的替换密钥为KR′_C，最后将自己原本的密钥池K_B1分成n段子密钥，然后对每一段子密钥执行以下操作：C取出密钥池的一段密钥K_B1n输入到安全芯片中，安全芯片计算出K_An＝FKR^-1(K_B1n,KR_B1)，然后计算K_B2n＝FKR(K_An,KR_B2)。安全芯片输出K_B2n给C，C用K_B2n更新K_B1n；每一段子密钥都更新后，C得到新的密钥池K_B2。

本发明还提出一种能够进行保密通信的车辆网系统，包括第三方信任机构、路边单元和车辆节点；所述第三方信任机构、路边单元和车辆节点基于所述的方法进行保密通信。

有益效果：

1、本发明将整个车联网拆分成多个子群组，每个子群组由路边单元和通过路边单元接入互联网的车辆节点组成，然后通过第三方信任机构给路边单元分配替换密钥和密钥池，路边单元给车辆节点分配替换密钥和密钥池的方式，使得路边单元和第三方信任机构之间、路边单元和车辆节点之间形成分层保密通信结构，降低第三方信任机构的计算压力和数据传输压力，从而使整个密钥分发方案能够适应车联网拓扑快速变化的特性，具有可实行性。

2、本发明中，各个子群组的群组密钥池均不同，即使被破解，也只影响一个子群组，相对于所有群组成员共享密钥池的方案，明显提高了群组密钥的多变性，进而增加了破解难度，提高通信安全性能。

3、本发明中，密钥池更新时只需传递少量密钥即可对密钥池进行更新，密钥更新方案的密钥传输量很小，容易实现；

4、本发明中，仅需采用数据量很小的密钥池就可以生成大量不同的对称密钥，降低了密钥池的存储要求，使得有限的密钥池能够存储在保密芯片中，而保密芯片具备的抗拆解特性可以使得所存储的密钥池更加安全。

附图说明

图1为本发明实施例中车载自组织网络(VANET)的系统结构图；

图2为本发明实施例中涉及的系统拓扑图；

图3为本发明实施例中KTA获取方式示意图。

具体实施方式

下面将结合附图和具体实施例对本发明作更进一步的说明。但应当理解的是，本发明可以以各种形式实施，以下在附图中出示并且在下文中描述的一些示例性和非限制性实施例，并不意图将本发明限制于所说明的具体实施例。

应当理解的是，在技术上可行的情况下，以上针对不同实施例所列举的技术特征可以相互组合，从而形成本发明范围内的另外的实施例。此外，本发明所述的特定示例和实施例是非限制性的，并且可以对以上所阐述的结构、步骤、顺序做出相应修改而不脱离本发明的保护范围。

车载自组织网络(VANET)一般由3部分组成，如图1所示：第三方信任机构(TA)、路边单元(RSU)和车载单元(OBU)。其中TA是公认的第三方信任机构，用于车辆和路边基础设施的注册、产生公共参数、分发密钥等。只有TA能够揭露节点的真实身份。RSU是建立在路边的基础设施，用于为车辆节点提供网络接入服务。OBU是装载在车辆上的通信单元，通常集成嵌入式系统、防篡改安全模块和全球导航定位系统等。V2V(车与车)和V2R(车与路边单元)之间的通信使用短距离无线通信协议，RSU和OBU的通信范围为300m。TA和RSU之间通过有线网络连接，通常具有很高的安全性和足够的带宽。

图1示出了一种车联网系统结构图，包括多个OBU、多个RSU和一个TA。

在组网之间，TA先给RSU分配一个唯一的ID，OBU需要去TA登记自己的真实身份TID(可以是驾照号或车主身份证等唯一的物理信息)，然后由TA为OBU分发一个用于组网的ID，OBU的ID是随着车辆驶入不同RSU的覆盖范围而动态变化的。TA分配ID后会保存所分配的ID。

为降低TA的计算量并增加群组对称密钥池被破解的难度，本发明设计了基于分层结构的对称密钥池，即：

TA拥有自己的替换密钥KR_TA和密钥池K_TA(TA的替换密钥和密钥池可由TA自己计算得到，并可根据情况重新计算)；

TA计算出RSU的替换密钥和密钥池并发送给RSU，计算的方式为：KR_RSU＝FKRID(ID_RSU,KR_TA)，K_RSU＝(K_TA,KR_RSU)，其中，KR_RSU为RSU的替换密钥，ID_RSU为RSU的ID；

RSU在与OBU进行组网时，保存OBU的ID，从而获知自己所在子群组的拓扑。再基于自己的替换密钥给自己覆盖范围内的OBU计算出OBU的替换密钥，计算方式还是：KR_OBU＝FKRID(ID_OBU,KR_RSU)，KR_OBU是OBU的替换密钥，ID_OBU为OBU的ID；计算出OBU的替换密钥后，RSU将计算出的替换密钥发给相应的OBU，同时把自己的密钥池发各个OBU。通过这样的一个密钥分发方式，我们将连接在同一个RSU下的所有OBU作为一个子群组，在这个子群组内，各个OBU的替换密钥由于是跟OBU自己的ID相关，ID是TA颁发的，具有唯一性，因此各个OBU的替换密钥不一样，但是各OBU的密钥池一样。

在密钥分发完成后，整个车联网中的通信过程如下：

若TA与RSU通信，则由TA计算出RSU的密钥池，然后从RSU的密钥池中选取对称密钥，RSU从自己的密钥池选取对称密钥，则TA和RSU可基于对称密钥进行保密通信。选取对称密钥的方式，可在组网前就约定好。

若RSU与OBU通信，或是同一个子群组中的两个OBU之间进行通信，由于子群组共享密钥池，所以子群组成员都可以基于相同的对称密钥池进行通信。

若一个子群组的OBU要与另一个子群组的OBU通信，则需要先将信息转发给本地RSU，由本地RSU转发给TA，TA再转发给另一个群组的RSU，另一个群组的RSU再转发给相应的OBU。

上述方案还存在多种变形方式，下面将通过具体实施例来详细阐述。

实施例：

本实施例中增加了密钥更新机制，即TA在给RSU颁发替换密钥时，在计算替换密钥的公式中考虑了更新时间，具体方案如下：

TA在替换密钥计算公式中引入有效时间T_TS：KR_RSU＝FKRID(ID_RSU||TS,KR_TA)，这个TS是一个标志该替换密钥到未来的某一个时刻失效的时间，TA在计算出RSU的替换密钥后，保存这个TS。我们设计FKRID为不可逆函数(优选为消息认证码即MAC函数，或哈希函数)，而FKR为可逆函数。RSU和OBU的FKRID、FKR和FKR^-1均保存在节点本地的安全芯片(例如TPM/TCM，具有抗拆解功能，无法获取其中保存的内容)中，FKRID和FKR^-1的计算结果仅参与芯片内后续的计算，是不输出的，节点本身也无法获取FKRID函数和FKR^-1函数，安全芯片只输出计算出的密钥池。TA知道所有安全存储芯片的PIN码，可以执行密钥导入导出操作。

下面以具体步骤来说明引入了有效时间后，整个车辆网内的通信流程。

情况1：TA与RSU通信

设TA为A，RSU为B。

1.1:A发消息给B：

假设A要发出的消息为NTF，并为该消息生成一个时间戳TNTF。A首先根据自身替换密钥KR_A、ID_B和TS计算得到B的替换密钥KR_B，再由KR_B和自己的密钥池K_A计算得到B的密钥池K_B，密钥池K_B长度与K_A的长度一致，都为KPL。

A在K_B中取出密钥KTB，该密钥共N个比特。选取对称密钥的方法可以提前约定，本实施例中提供一种优选的得到KTB的方法，具体流程如图3所示：

计算得到密钥KTB的初始位置指针PK＝FPK(TNTF)mod KPL，其中，mod表示取模运算。依次计算步长：LK₁＝FLK(PK||TNTF)，LK₂＝FLK(LK₁||TNTF)，LK₃＝FLK(LK₂||TNTF)，…，LK_N＝FLK(LK_N-1||TNTF)。函数FPK(*)和FLK(*)为任意指定的函数。再依次计算用于提取随机码的指针PK₁＝PK+LK₁mod KPL，PK₂＝PK₁+LK₂mod KPL，…，PK_N＝PK_N-1+LK_Nmod KPL。PK₁指向密钥KTA的开始位置，也就是第一个比特的位置，PK₂指向密钥KTA的第二个比特的位置，以此类推。根据PK₁、PK₂、…、PK_N从密钥池中依次取出对应位置的共N个比特的密钥数据。如超出密钥池大小KPL则利用对KPL取模的方式回到密钥池头部。采用上述密钥选取方式，即使在对称密钥池被群成员共享的情况下，该种取密钥方式也不会被群成员所知，私密性高。

需要注意的是，此处仅为优选实施方式，而其他对称密钥选取方式也应纳入本发明的保护范围。

A取出群组密钥KTB后，使用KTB加密NTF得到{NTF}KTB。使用KTB对ID_A、TNTF和NTF计算消息认证码得到MAC(ID_A||TNTF||NTF,KTB)。将加密的信息、消息认证码连同ID_A、TNTF一起发送至其他成员，发送的信息可以表示为ID_A||TNTF||{NTF}KTB||MAC(ID_A||TNTF||NTF,KTB)。

B收到后，使用同样的方法从自己的密钥池中取出KTB，使用KTB解密{NTF}KTB得到消息NTF，使用KTB对ID_A、TNTF和NTF计算消息认证码并与收到的消息认证码进行对比，若两者一致，表示验证通过，验证通过后，信任消息NTF；如果验证不通过，则不信任消息NTF。

1.2：B发消息给A。

假设B要发出的消息为NTF，并为该消息生成一个时间戳TNTF。B按照情况1.1中的方法在自己的密钥池中取出密钥KTB，该密钥共N个比特。然后，使用KTB加密NTF得到{NTF}KTB。使用KTB对ID_B、TNTF和NTF计算消息认证码得到MAC(ID_B||TNTF||NTF,KTB)。将加密的信息、消息认证码连同ID_B、TNTF一起发送至其他成员，发送的信息可以表示为ID_B||TNTF||{NTF}KTB||MAC(ID_B||TNTF||NTF,KTB)。

A收到后，按照情况1.1中的方法计算得到B的密钥池并从中取出KTB，使用KTB解密{NTF}KTB得到消息NTF，使用KTB对ID_B、TNTF和NTF计算消息认证码并与收到的消息认证码进行对比，若两者一致，表示验证通过，验证通过后，信任消息NTF；如果验证不通过，则不信任消息NTF。

情况1.3：更新密钥池。

当B发现自己的替换密钥到了失效时间，则向A提出更新替换密钥和密钥池的申请，A收到后，重新生成一个有效时间TS′，然后为B计算一个新的替换密钥：KR′_B＝FKRID(ID_B||TS′,KR_A)。计算出新的替换密钥后，A可以继续基于KR′_B为B计算一个新的密钥池，K′_B＝(K_A,KR′_B)，然后将KR′_B和K′_B采用情况1.1所述的方法发送到B。

A也可以只将KR′_B按照情况1.1所述的方法发送到B，然后由B自己更新密钥池，在本实施例中，我们采用的是B根据KR′_B自己替换密钥池的方式，具体步骤如下：

B获取到新的替换密钥，然后对于己方原有密钥池的每一段，B执行密钥更换：

将自己的密钥池K_B分成n段子密钥，然后对每一段子密钥执行以下操作：

B取出密钥池的一段密钥K_Bn输入到安全芯片中，安全芯片计算出K_An＝FKR^-1(K_Bn,KR_B)，然后计算K′_Bn＝FKR(K_An,KR′_B)。安全芯片输出K′_Bn给B，B用K′_Bn更新K_Bn。每一段子密钥都更新后，B得到新的密钥池K′_B，并更新自己的替换密钥为KR′_B。

B的密钥池更新后，则重新为同一个群组内的OBU计算新的替换密钥并分发新的密钥池K′_B，设某个OBU为C，则B为C计算的新的替换密钥为：KR′_C＝FKRID(ID_C,KR′_B)。

情况2：子群组内通信

2.1：RSU与自己覆盖范围内的OBU单独通信，设RSU为B，OBU为C。

为进一步增加群组密钥的多变性，这里我们优选设计B和C不采用子群组共有的密钥池K_B进行通信，而是以K_B为根，进一步转化。具体方式为：B先计算出C的替换密钥KR_C，然后用KR_C与K_B进行计算，得到K_C，由于子群组内各个OBU的替换密钥是不一样的，所以K_C也是不一样的，这就形成了C独有的密钥池K_C。C也用自己的替换密钥KR_C加密K_B得到K_C，然后B和C从K_C选取对称密钥KTC。对称密钥选取的方式优选为1.1中的对称密钥选取方式。

作为进一步优选的实施方式，我们再对KTC进行一次变形：B计算KSC＝FKS(KTC,KR_C)。

假设B要发出的消息为NTF，并为该消息生成一个时间戳TNTF，则B用KSC加密NTF得到{NTF}KSC。使用KSC对ID_B、TNTF和NTF计算消息认证码得到MAC(ID_B||TNTF||NTF,KSC)。将加密的信息、消息认证码连同ID_B、TNTF一起发送至C，发送的信息可以表示为ID_B||TNTF||{NTF}KSC||MAC(ID_B||TNTF||NTF,KSC)。

C收到后，使用同样的方法计算出KSC，使用KSC解密{NTF}KSC得到消息NTF，使用KSC对ID_B、TNTF和NTF计算消息认证码并与收到的消息认证码进行对比，若两者一致，表示验证通过，验证通过后，信任消息NTF；如果验证不通过，则不信任消息NTF。

若C要向B发送消息NTF，并生成时间戳TNTF。则C还是按照以上方法，计算出KSC，然后用KSC加密NTF得到{NTF}KSC。使用KSC对ID_C、TNTF和NTF计算消息认证码得到MAC(ID_C||TNTF||NTF,KSC)。将加密的信息、消息认证码连同ID_C、TNTF一起发送至其他成员，发送的信息可以表示为ID_C||TNTF||{NTF}KSC||MAC(ID_C||TNTF||NTF,KSC)。

B收到后，计算出KSC，然后使用KSC解密{NTF}KSC得到消息NTF，使用KSC对ID_C、TNTF和NTF计算消息认证码并与收到的消息认证码进行对比，若两者一致，表示验证通过，验证通过后，信任消息NTF；如果验证不通过，则不信任消息NTF。

情况2.2：B向自己覆盖的所有群组成员OBU广播消息。

假设群组成员B要发出的消息为NTF，并为该消息生成一个时间戳TNTF。B从自己的密钥池中取出密钥KTB，该密钥共N个比特，得到KTB的具体流程如下：

计算得到密钥KTB的初始位置指针PK＝FPK(TNTF)mod KPL。依次计算步长：LK₁＝FLK(PK||TNTF)，LK₂＝FLK(LK₁||TNTF)，LK₃＝FLK(LK₂||TNTF)，…，LK_N＝FLK(LK_N-1||TNTF)。再依次计算用于提取随机码的指针PK₁＝PK+LK₁mod KPL，PK₂＝PK₁+LK₂mod KPL，…，PK_N＝PK_N-1+LK_Nmod KPL。PK₁指向密钥KTB的开始位置，也就是第一个比特的位置，PK₂指向密钥KTA的第二个比特的位置，以此类推。根据PK₁、PK₂、…、PK_N从密钥池中依次取出对应位置的共N个比特的密钥数据。如超出密钥池大小KPL则利用对KPL取模的方式回到密钥池头部。

B取出群组密钥KTB后，使用KTB加密NTF得到{NTF}KTB。使用KTB对ID_A、TNTF和NTF计算消息认证码得到MAC(ID_B||TNTF||NTF,KTB)。将加密的信息、消息认证码连同ID_B、TNTF一起发送至其他成员，发送的信息可以表示为ID_B||TNTF||{NTF}KTB||MAC(ID_B||TNTF||NTF,KTB)。

C及其他群组成员收到消息后，使用同样的方法从自己的密钥池中取出KTB，使用KTB解密{NTF}KTB得到消息NTF，使用KTB对ID_B、TNTF和NTF计算消息认证码并与收到的消息认证码进行对比，若两者一致，表示验证通过，验证通过后，信任消息NTF；如果验证不通过，则不信任消息NTF。

情况2.3：C与群组内其他OBU通信。

C从共享的密钥池K_B中取出密钥，对消息进行加密，然后发送给同一子群组内的其他OBU，假设为D。D使用同样的方法从自己的密钥池中取出密钥进行解密验证。

实施例3：OBU从一个RSU的覆盖范围驶入另一个RSU的覆盖范围

假设OBU为C，两个RSU分别为B1和B2。C从B1的覆盖范围行驶到B2的覆盖范围。

C驶出B1覆盖范围后，无法再通过B1入网，此时，C用KR_C加密TID_C得到{TID_C}KR_C，然后将ID_B1、ID_C、{TID_C}KR_C和要与B2建立连接的申请消息H一起发送给B2，B2根据消息中的ID_C判断出C不是本地子群组的成员。此时，B2按照情况1所述的方法将ID_B1、ID_C、{TID_C}KR_C和H一起发送给TA。

TA执行以下步骤：

步骤a：TA按照情况1所述的方法解密B2发送的消息，得到ID_B1、ID_C、{TID_C}KR_C和H。TA计算出B1的替换密钥KR_B1和密钥池K_B1，再计算出C的替换密钥KR_C。

步骤b：TA用KR_C解密{TID_C}KR_C，得到TID_C，TA根据TID_C判断该车辆是否在本地注册过，若注册过，则为C重新分配一个ID，记为ID′_C。

步骤c：TA用KR_C和K_B1计算出C的独有密钥池K_C，从K_C中取出对称密钥KTC，再用KTC和KR_C计算出KSC；

步骤d：TA计算出B2的替换密钥KR_B2，先用KR_C加密KR_B1和KR_B2，再将加密后的数据和ID′_C一起再用KSC加密，得到消息RET＝{ID′_C||{KR_B1||KR_B2}KR_C}KSC，将RET和ID′_C发送给B2。

B2收到并解密来自TA的消息后，记录下ID′_C，并将RET转发到C。

C接收到RET后，用自己的替换密钥KR_C和密钥池K_B1计算出自己独有的密钥池K_C，再从K_C中取出对称密钥KTC，进而计算出KSC，用KSC解密RET，得到ID′_C和{KR_B1||KR_B2}KR_C，然后再用KR_C解密{KR_B1||KR_B2}KR_C，得到KR_B1、KR_B2。

C更新自己的ID为ID′_C，然后根据ID′_C和KR_B2计算出新的替换密钥KR′_C，更新自己的替换密钥为KR′_C，最后更新自己的密钥池：

将自己原本的密钥池K_B1分成n段子密钥，然后对每一段子密钥执行以下操作：

C取出密钥池的一段密钥K_B1n输入到安全芯片中，安全芯片计算出K_An＝FKR^-1(K_B1n,KR_B1)，然后计算K_B2n＝FKR(K_An,KR_B2)。安全芯片输出K_B2n给C，C用K_B2n更新K_B1n。每一段子密钥都更新后，C得到新的密钥池K_B2。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。

Claims

1.车联网保密通信方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的车联网保密通信方法，其特征在于，所述第三方信任机构在为路边单元计算替换密钥时，还引入有效时间，即第三方信任机构生成有效时间TS，然后根据TS、路边单元ID和自己的替换密钥，计算出路边单元的替换密钥；

当路边单元的替换密钥到期时，路边单元向第三方信任机构提出更新替换密钥和密钥池的申请；第三方信任机构在接收到申请时，重新生成有效时间，然后重新计算路边单元的替换密钥和密钥池并颁发给路边单元。

3.根据权利要求1所述的车联网保密通信方法，其特征在于，所述替换密钥由替换密钥计算函数计算得到，所述密钥池由密钥池计算函数计算得到，替换密钥计算函数为不可逆函数，密钥池计算函数为可逆函数；路边单元和车辆节点本地均配置安全芯片，芯片内存储有替换密钥计算函数、密钥池计算函数及其逆函数，其中，替换密钥计算函数和密钥池计算函数逆函数的计算结果仅参与芯片内部运算，而不输出给节点，安全芯片仅输出密钥池计算结果。

4.根据权利要求3所述的车联网保密通信方法，其特征在于，所述第三方信任机构在为路边单元计算替换密钥时，还引入有效时间，即第三方信任机构生成有效时间TS，然后根据TS、路边单元ID和自己的替换密钥，计算出路边单元的替换密钥；当路边单元的替换密钥到期时，路边单元向第三方信任机构提出更新替换密钥的申请；第三方信任机构在接收到申请时，重新生成有效时间，然后重新计算路边单元的替换密钥并颁发给路边单元，路边单元基于更新后的替换密钥更新自己的密钥池，包括步骤：将自己的密钥池分成n段子密钥，然后对每一段子密钥执行以下操作：

取出一段子密钥输入本地安全芯片中，由安全芯片根据密钥池计算函数的逆函数计算出第三方信任机构密钥池中相应的一段子密钥；安全芯片采用密钥池计算函数，用第三方信任机构的子密钥与更新后的替换密钥计算出更新后的子密钥；安全芯片将计算出的每一段更新后的子密钥输出给路边单元，路边单元将更新后的子密钥按照原本的次序排列，得到更新后的密钥池。

5.根据权利要求1所述的车联网保密通信方法，其特征在于，所述步骤(3)中，子群组成员之间通信时，还执行以下步骤：

路边单元在与车辆节点之间单独通信时，路边单元计算出车辆节点的替换密钥，然后用车辆节点的替换密钥加密自己的密钥池，得到车辆节点独有的密钥池；车辆节点用自己的替换密钥加密自己的密钥池，得到独有的密钥池；路边单元和车辆节点从计算出的独有密钥池中选取对称密钥进行保密通信。

6.根据权利要求1所述的车联网保密通信方法，其特征在于，所述对称密钥提取方式为：

生成一个明文消息；根据所述明文消息计算出初始位置指针，然后用初始位置指针与明文消息计算第一个步长，再用第一个步长与明文消息计算第二个步长，以此类推，共计算出N个步长；用初始位置指针与第一个步长计算出对称密钥的第一位密钥指针，然后用第一位密钥指针与第二个步长计算出第二位随机码指针，以此类推，共计算出N位密钥指针；根据每一位密钥指针从密钥池中取出相应的密钥数据，组成对称密钥。

7.根据权利要求1所述的车联网保密通信方法，其特征在于，第三方信任机构计算路边单元的密钥池的步骤为：

将第三方信任机构的密钥池等分为多段子密钥，用第三方信任机构的每一段子密钥与路边单元的替换密钥进行计算，得到路边单元的多段子密钥，将路边单元的多段子密钥按相应的第三方信任机构子密钥的序列进行排序，得到路边单元的密钥池。

8.根据权利要求1所述的车联网保密通信方法，其特征在于，在采用对称密钥加密消息时，还计算消息认证码以用于通信双方的身份校验。

9.根据权利要求3所述的车联网保密通信方法，其特征在于，还包括以下步骤：当任意的车辆节点C从路边单元B1的覆盖范围驶入另一个路边单元B2的覆盖范围时，执行以下步骤：

C接收到RET后，计算出KSC，用KSC解密RET，得到ID′_C和{KR_B1||KR_B2}KR_C，然后再用KR_C解密{KR_B1||KR_B2}KR_C，得到KR_B1、KR_B2；C更新自己的ID为ID′_C，然后根据ID′_C和KR_B2计算出新的替换密钥KR′_C，更新自己的替换密钥为KR′_C，最后将自己原本的密钥池K_B1分成n段子密钥，然后对每一段子密钥执行以下操作：C取出密钥池的一段密钥K_B1n输入到安全芯片中，安全芯片计算出K_An＝FKR^-1(K_B1n,KR_B1)，然后计算K_B2n＝FKR(K_An,KR_B2)；安全芯片输出K_B2n给C，C用K_B2n更新K_B1n；每一段子密钥都更新后，C得到新的密钥池K_B2。

10.能够进行保密通信的车辆网系统，其特征在于，包括第三方信任机构、路边单元和车辆节点；所述第三方信任机构、路边单元和车辆节点基于权利要求1至9任意一项所述的方法进行保密通信。