CN114710763A - 一种具有安全协同能力的智能小车系统 - Google Patents

Abstract

本发明公开了一种具有安全协同能力的智能小车系统，自下而上依次包括运动层、中间层和决策层；所述运动层包括驱动模块、电源模块和控制模块，通过控制模块控制驱动模块和电源模块工作；所述中间层包括音频模块、感知模块、通信模块和安全模块，为小车的音频、感知、通信和安全的智能应用提供支撑；所述决策层包括决策模块和交互模块，用于执行小车的自主决策、多车协同和人工指令；本系统通过对安全模块进行设计，开发具备多车安全协同能力的智能小车系统，能够实现身份认证、密钥协商、信息传输保密和防欺诈等安全防护能力，具有协同能力强、安全性能好的特点。

Description

一种具有安全协同能力的智能小车系统

技术领域

本发明涉及无人驾驶技术领域，具体涉及一种具有安全协同能力的智能小车系统。

背景技术

从20世纪70年代开始，美国等发达国家开始进行无人驾驶汽车的研究，包括陆地车辆ALV等项目，主要方向是军事、高速公路和城市环境，目的是为了减少人的失误；在国内，无人驾驶技术的发展也非常迅速，部分成果甚至处于世界领先水平；1992年，国防科技大学成功研制了国内第一辆无人驾驶汽车；承担配送、消毒等任务的无人送餐车、无人配送车、无人消毒车队伍在也抗疫前线大显身手；

然而，传统智能车应用对安全性的重视严重不足，如2014年黑客利用宝马Connected Drive数字服务系统漏洞可远程打开车门，约220万辆车受到影响；2015年黑客远程入侵一辆正在行驶的切诺基并做出减速、制动等操控，造成全球140万辆车被召回；2016年黑客通过日产聆风APP的漏洞获取到司机驾驶记录并将汽车电量耗尽，日产随即禁用该APP；随着无人车、自动驾驶等技术的普及，《速度与激情8》中遥控汽车跳楼的桥段也许离现实中的我们不再遥远；如何在危机四伏的网络空间确保智能车应用的安全性，是个亟待解决的问题；

智能小车应用场景丰富，前景广阔，但安全问题如果解决不好，将严重限制其推广应用和发展进步；因此设计一种具有高安全性、易用性和协同性好的智能小车系统，来解决上述现有技术存在的问题。

发明内容

针对上述存在的问题，本发明旨在提供一种具有安全协同能力的智能小车系统，本系统通过对安全模块进行设计，开发具备多车安全协同能力的智能小车系统，能够实现身份认证、密钥协商、信息传输保密和防欺诈等安全防护能力，具有协同能力强、安全性能好的特点。

为了实现上述目的，本发明所采用的技术方案如下：

一种具有安全协同能力的智能小车系统，自下而上依次包括运动层、中间层和决策层；

所述运动层包括驱动模块、电源模块和控制模块，通过控制模块控制驱动模块和电源模块工作；

所述中间层包括音频模块、感知模块、通信模块和安全模块，为小车的音频、感知、通信和安全的智能应用提供支撑；

所述决策层包括决策模块和交互模块，用于执行小车的自主决策、多车协同和人工指令。

优选的，所述的感知模块的硬件部分主要包括摄像头和红外传感器，其中

所述红外传感器安装在车头左右，为小车行进提供基本的避障功能；

所述摄像头用于接收本地指令，对摄像头拍摄的图像帧经过压缩后，根据需要调用二维码解析、人脸识别、物体识别图像处理组件，解析处理后的信息将作为其他功能模块的输入。

优选的，所述的摄像头的人脸识别过程包括

Step1.首先从摄像头读取图像帧，利用OpenCV库将图片处理成灰度图并裁剪，再调用OpenCV里的CascadeClassifier用已经训练好的分类器匹配该图像，然后把识别出的人脸轮廓标记矩形框；

Step2.在此基础上，判断人脸的相对位置，调整摄像头云台使人脸保持在图像中央，即可实现人脸追踪；

Step3.依照此方法，加载别的物品分类器，可以实现各种类型的物品识别和追踪。

优选的，所述的通信模块使用WiFi和蓝牙通信，其通讯过程包括

Step1.小车开机先连接设定好的WiFi热点进入局域网，再主动向预置为“认证服务器”的小车发起连接请求，认证通过后即可获取当前在线的小车列表；

Step2.有通信需求的小车之间通过握手认证建立一对一信道，通信结束后再通过挥手断开连接；

Step3.如果作为“认证服务器”的小车下线，将由较早加入通信的另一小车接替；

其中在上述信息传递过程中，较短的指令类数据采用UDP传输，接收方用UDP反馈，长数据和文件的传输使用TCP传输。

优选的，所述的安全模块内嵌设有密钥协商协议，所述密钥协商协议用于两个实体建立通信前的握手，协议双方通过发消息完成双向身份认证、会话密钥协商和时间同步。

优选的，所述的密钥协商协议的秘钥协商过程包括

在密钥协商协议中，设合法的智能小车均共享认证密钥v，小车A向小车B发起握手，约定E_k(X)表示用密钥k加密X，T_A表示A的时间戳，依此类推，详细的密钥协商过程如：

Step1.A生成安全的大素数p和Z*_p上的另一素数g，生成Z*_p上的随机数x，并计算X＝g^x mod p；A将自己的名字以及使用认证密钥v加密的 p、g、X和本地时间戳T_A发送给B；

其中，素数p为安全素数，即要求(p-1)/2也是素数；所述素数g能够生成Z*_p上足够大的子群，所述的本地时间戳T_A为E_v(p,g,X,T_A)；

Step2.B收到该消息后，先使用认证密钥v解密E_v(p,g,X,T_A)得到p,g, X,T_A，生成Z*_p上的随机数y，并计算Y＝g^y mod p和k＝X^y mod p，k即为 A和B本次会话的临时密钥；B将自己的名字、使用认证密钥v加密的Y和本地时间戳T_B、使用会话密钥k加密的X发送给A；记录ΔA＝T_A-T_B作为双方时间差；

其中，所述本地时间戳T_B为E_v(Y,T_B)，使用会话密钥k加密的X为E_k (X)；

Step3.A收到后，使用认证密钥v解密E_v(Y,T_B)得到Y,T_B，计算会话密钥k＝Y^x modp，使用k解密E_k(X)得到X’，记录ΔB＝T_B-T_A作为双方时间差；A向B发送自己的名字和使用会话密钥k加密的Y；

其中，所述使用会话密钥k加密的Y为E_k(Y)；

Step4.B收到后，使用会话密钥k解密E_k(Y)得到Y’，如果Y’与Y相同，则说明A已正确计算出同一会话密钥k，协商成功，否则报告协商失败。

优选的，在步骤Step2中，若收到该消息后，使用认证密钥v解密E_v (p,g,X,T_A)不能得到p,g,X,T_A时，说明双方认证密钥不同，报告协商失败。

优选的，在步骤Step3中，在A收到后，使用认证密钥v解密E_v(Y,T_B) 得到Y,T_B，计算会话密钥k＝Y^x mod p，使用k解密E_k(X)得到X’后，如果X’与此前发送的X相同，则说明B持有正确的认证密钥v，并正确生成了会话密钥k，如果X’与X不同则报告协商失败。

优选的，所述的决策模块包括单车决策单元和多车协同决单元，其中

所述单车决策单元通过感知模块提供的数据，判断自身状态和周围环境，实现按路线行进、避障；

所述多车协同单元收集汇总各小车提供的信息，接收人的指令或依据具体任务，规划出达成目标的相对优化方案，再将细化的指令下达给各小车，依靠多车协作共同完成任务。

本发明的有益效果是：本发明公开了一种具有安全协同能力的智能小车系统，与现有技术相比，本发明的改进之处在于：

针对目前广泛运用的智能车系统普遍存在“重功能实现、轻安全防护”的问题，本发明设计了一种基于智能开发板开发具备多车安全协同能力的智能小车系统，本系统通过在安全模块内嵌设计一套密钥协商协议，通过本协商协议的设计，可通过简单交互一次性完成两通信实体间的身份认证、会话密钥协商和时间同步，以保证智能小车系统全方位的安全防护能力，对于其他具备类似安全需求的系统具有普遍的适用性，在使用过程中，经试验验证，本系统既保证了智能小车系统全方位的安全防护能力，又能够对其他具备类似安全需求的系统进行安全赋能，体现了良好的通用性和可移植性，具有直接的实用价值和较好的应用前景。

附图说明

图1为本发明智能小车系统的架构图。

图2为本发明智能小车安全控制平台界面图。

图3为本发明实施例2密钥协商交互过程图。

图4为本发明实施例3智能小车产品图。

图5为本发明实施例3开机扫码界面图。

图6为本发明实施例3PC端握手信息界面图。

图7为本发明实施例3小车握手信息界面图。

图8为本发明实施例3小车接收加密的指令信息界面图。

图9为本发明实施例3小车接收时间戳错误的消息界面图。

其中：在图2中，图(a)为主界面图，图(b)为参数配置图，图(c) 为按键说明图，图(d)为关于结果界面图。

具体实施方式

为了使本领域的普通技术人员能更好的理解本发明的技术方案，下面结合附图和实施例对本发明的技术方案做进一步的描述。

实施例1：参照附图1-9所示的一种具有安全协同能力的智能小车系统，自下而上依次包括运动层、中间层和决策层；

所述运动层包括驱动模块、电源模块和控制模块，通过控制模块控制驱动模块和电源模块工作，其中所述驱动模块为小车提供基本的运动能力，电源模块用于提供动力；

所述中间层包括音频模块、感知模块、通信模块和安全模块，在使用时，为小车的音频、感知、通信和安全的智能应用提供支撑；

所述决策层包括决策模块和交互模块，在使用时来执行小车的自主决策、多车协同和人工指令。

优选的，所述的音频模块主要实现音频播放和语音播报，来进行信息反馈，实现反馈信息和与人交互，具体为采用AipSpeech库(百度AI开放平台的语音合成API)进行语音合成，可对灵活组合的文字内容进行语音播报；同时出于节省流量的考虑，同一内容仅在第一次播报时联网请求语音合成，并将获取的音频文件保存在本地，后续播报可离线进行。

优选的，所述的感知模块的硬件部分主要包括摄像头和红外传感器；其中：(1)所述红外传感器一般在车头左右各装一个，可感受一定距离(距离长短可调)范围内的障碍物，为小车行进提供基本的避障功能；(2)所述摄像头用于接收本地指令(智能小车平台没有键盘鼠标，依靠摄像头实现控制命令的而输入)，摄像头拍摄的图像帧经过压缩后(小车CPU处理能力受限，压缩图像可加快运行速度)，根据需要调用二维码解析、人脸识别、物体识别等图像处理组件，解析处理后的信息将作为其他功能模块的输入；带有云台的摄像头可通过调用控制模块操作云台舵机，在一定角度内左右旋转和上下俯仰，实现目标搜索、运动物体跟踪和人脸追踪等功能，大大加强了小车感知周围环境的能力；

具体的，本实施例所述智能小车的人脸识别过程采用Python库扩展了人脸识别功能；其具体过程包括：Step1.首先从摄像头读取图像帧，利用 OpenCV库将图片处理成灰度图并裁剪(这样可以大大加快后续处理速度且几乎不会降低准确率)，再调用OpenCV里的CascadeClassifier用已经训练好的分类器匹配该图像，然后把识别出的人脸轮廓标记矩形框；Step2. 在此基础上，判断人脸的相对位置，调整摄像头云台使人脸保持在图像中央，即可实现人脸追踪；Step3.依照此方法，加载别的物品分类器，可以实现各种类型的物品识别和追踪(比如乒乓球、塑料瓶或另一辆小车)；如上所述，借助Python库，使得小车基于图像的感知能力几乎可以得到任意扩展，比如使用Tensorflow2加载ImageNet2012卷积神经网络可以识别 1000种物体。

优选的，所述的通信模块主要实现小车之间的信息通联，是小车之间协作和交互的基础；其中，本实施例所述智能小车平台本身提供WiFi和蓝牙通信，ZigBee和红外通信方式可通过外接USB卡实现；同时综合考虑对通信距离、速率和容量的需求，以及实现的便利性、与其他模块的兼容性，决定采用WiFi作为主要通信手段，使得本智能小车系统的通信具有动态性和自组织性；在使用时：Step1.小车开机先连接设定好的WiFi热点进入局域网，再主动向预置为“认证服务器”的小车发起连接请求，认证通过后即可获取当前在线的小车列表；Step2.有通信需求的小车之间通过握手认证建立一对一信道，通信结束后再通过挥手断开连接；Step3.如果作为“认证服务器”的小车下线，将由较早加入通信的另一小车接替；Step4.小车之间传递的大部分都是较短的指令类数据，采用UDP传输，接收方将执行结果用UDP反馈，传递长数据和文件时使用TCP以保证可靠传输。

优选的，所述的决策模块包括单车决策单元和多车协同决单元，是完成特定任务和体现“智能”的关键；决策所需的信息，既可来自感知模块的输出，也可来自小车此前状态的记录，还可以是其他通信实体发来的信息；所述单车决策单元通过感知模块提供的数据，判断自身状态和周围环境，实现按路线行进、避障等基本功能；所述多车协同单元收集汇总各小车提供的信息，接收人的指令或依据具体任务，通过一定的智能算法，规划出达成目标的相对优化方案，再将细化的指令下达给各小车，依靠多车协作共同完成任务，且其具体实现的决策逻辑有很多，根据实际的智能应用场景可以定制和扩展；上述决策模块通过将指令下达给控制模块，实现对小车的诸如电机、转向轴、机械臂等可驱动部分进行控制，以执行具体动作。

优选的，所述的交互模块用于实现人机交互和小车之间的交互，交互主要通过指令进行；在使用时指令由特定格式的字符串组成，小车收到指令后先进行初步拆分，再送入相应模块执行；本实施例基于Python tkinter 图形界面库开发“智能小车安全控制平台”(以下简称“平台”)；平台界面简洁明晰，涵盖连接控制、移动控制、舵机控制、消息发送、视频传输和菜单按钮等组件，能够在安全的前提下，对小车移动、摄像头转动和机械臂动作进行实时遥控，可以便捷地向小车发送消息，小车摄像头拍摄的图像也能实时回传显示；为了便于遥控小车，运动相关的操作按钮均绑定了一些约定俗成的键盘按键(比如移动用“wasd”)，从而使操作者可以像游戏一般自由灵活地掌控小车，显著增强了平台的操作性与易用性，平台提供的配置界面，方便对系统部分参数进行配置；平台主界面和参数配置、按键说明、关于界面如图2所示。

实施例2：与上述实施例1不同的是，在本智能小车中，安全是贯穿系统所有关键功能的主线，也是系统开发的重点和难点；以下从系统设计实现的安全特性和密钥协商协议两个方面出发，对安全模块的设计过程、设计原理和安全功能实现进行详细说明；

(一)安全特性

本智能小车系统运用了密码技术和安全协议，其安全性主要体现在开机扫码认证、接入认证、信息传输加密、会话密钥协商、消息时间戳和断开保护6个方面，具体描述如下：

1.开机扫码认证：小车开机时要求操作员出示认证二维码，通过摄像头扫描并解析内嵌字符串，只有该字符串匹配时才能进行后续操作，认证二维码起到类似开机密码的作用，防止非授权人员对小车进行操控；

对于从摄像头读取的图像帧，同样利用OpenCV库将图片处理成灰度图，再使用zbar库(zbar是一个轻量级的开源软件套件，用于从各种来源读取条形码，例如视频流，图像文件和原始强度传感器)识别图像中的二维码，并提取出二维码内嵌的字符串，过程中还用到了PIL库对图像进行类型变换处理。

2.接入认证：接入认证用于防止非授权小车加入通信，合法的小车预置了同一个认证密钥，只有双方持有相同的认证密钥才能通过握手建立通信；具体来说，接入认证体现在密钥协商协议的过程中；有意向握手的双方通过认证密钥加密初始信息，如果认证密钥不同，则对方无法解密，导致协商失败，从而防止了不掌握认证密钥的通信方完成握手。

3.信息传输加密：小车之间的信息传输使用AES对称加密技术；AES 是安全性较高且开销较低的一种对称分组加密体制，用于防止攻击者通过监听无线信道来获取消息内容，保证即使攻击者进入小车所在的局域网也无法获取明文消息；本系统使用Python中的Crypto库实现AES加密，并使用base64库对密文进行编码，以方便将密文数据流当作字符串在普通信道中传输。

4.会话密钥协商：密钥协商机制保证了智能小车系统内，一辆小车与不同小车建立通信、或与同一小车再次建立通信，都协商一个新的随机密钥用于AES加密；使用一对一的临时会话密钥大大增加了攻击方破解的难度，避免出现“单点突破，全局崩溃”的情况；即使是系统内经过认证的小车，也无法获取其他小车之间的通信内容，增强了应对内部攻击的防御能力。

5.消息时间戳：时间戳机制主要用于防止重放攻击、密文解析和恶意篡改；同一指令附加不同的时间戳后被AES加密成完全不同的密文，增加了攻击者破解密文指令的难度；攻击者在不知道会话密钥的前提下，篡改密文将破坏消息结构，导致接收方解密后不能得到正常明文，故无法通过伪造能通过验证的时间戳来达到欺骗目的；

具体做法是两小车在握手阶段记录与对方的时间差，建立通信后，发送方传递的每一条消息都会加上时间戳(在明文后附加表示从1970纪元到现在的秒数的数字串，再加密)；接收方先验证消息是否来源于已握手的小车，解密后提取出对方时间戳，再计算双方时间差，判断其是否在允许的范围内(比如500ms)，丢弃未通过时间戳验证的消息并向上层报告。

6.断开保护：建立通信的小车之间如果连续未通过时间戳验证，或发现对方偏离预定程序，将与其断开连接并向上层报告；断开保护机制使得系统内小车被恶意篡改、偏离任务目标或意外掉线后，能被及时发现，将损失降到最低；

具体做法是记录对方未通过时间戳验证的次数，如果连续第三次未通过验证，则将其从已握手列表中删除；此外，建立通信的小车之间通过定期发送心跳包确认对方在线，第三次未收到对方心跳也会将其删除。

(二)密钥协商协议

为了实现上述安全机制，在Diffie-Hellman协议的基础上，设计实现密钥协商协议，用于两个实体建立通信前的握手，协议双方合计发送三个消息就能完成双向身份认证、会话密钥协商和时间同步；

在本密钥协商协议中，假设合法的智能小车均共享认证密钥v，小车A 向小车B发起握手，约定E_k(X)表示用密钥k加密X，T_A表示A的时间戳，依此类推，详细的密钥协商过程描述如下：

Step1.A生成安全的大素数p(安全素数即要求(p-1)/2也是素数)和 Z*_p上的另一素数g(能够生成Z*_p上足够大的子群)，生成Z*_p上的随机数x，并计算X＝g^x mod p；A将自己的名字以及使用认证密钥v加密的p、g、X 和本地时间戳T_A(即E_v(p,g,X,T_A))发送给B；

Step2.B收到该消息后，先使用认证密钥v解密E_v(p,g,X,T_A)得到p,g, X,T_A(如果解密后无法得到具有特定结构的字符串，说明双方认证密钥不同，报告协商失败)，生成Z*_p上的随机数y，并计算Y＝g^y mod p和k＝X^y mod p，k即为A和B本次会话的临时密钥；B将自己的名字、使用认证密钥 v加密的Y和本地时间戳T_B(即E_v(Y,T_B))、使用会话密钥k加密的X(即E_k (X))发送给A；记录ΔA＝T_A-T_B作为双方时间差；

Step3.A收到后，使用认证密钥v解密E_v(Y,T_B)得到Y,T_B，计算会话密钥k＝Y^x modp，使用k解密E_k(X)得到X’(如果X’与此前发送的X相同则说明B持有正确的认证密钥v，并正确生成了会话密钥k，如果X’与X不同则报告协商失败)，记录ΔB＝T_B-T_A作为双方时间差；A向B发送自己的名字和使用会话密钥k加密的Y(即E_k(Y))；

Step4.B收到后，使用会话密钥k解密E_k(Y)得到Y’，如果Y’与Y相同则说明A已正确计算出同一会话密钥k，协商成功，否则报告协商失败；

上述密钥协商的消息交互过程如图3所示；

上述协议提供以下安全保证：一是没有正确的认证密钥v的实体无法参与协商；二是每次握手都产生新的临时会话密钥k；三是记录双方的时间差用于后续消息的时间戳验证；

上述密钥协商协议在经典的Diffie-Hellman密钥建立协议的基础上进行扩展，参数使用认证密钥v进行AES加密后传输，攻击者监听破解的难度更大；对于掌握认证密钥v的系统内成员，会话密钥k的安全性基于在有限域上计算离散对数的难度，只要安全素数p足够大，就能提供足够的计算安全性；此外，对整个系统内所有小车进行严格的时间同步较为困难，故本协议采用记录双方时间差的方式防止重放攻击，简化了系统设计。

实施例3：与上述实施例不同的是，为对上述具有安全协同能力的智能小车系统的功能进行验证，本实施例的具体方案如下：

(一)小车配置

本智能小车系统基于创乐博的智能小车平台，搭载树莓派(Raspberry Pi)4B 4GB主板；编程语言支持Python、C和Scratch图形化编程工具，本作品的全部代码使用Python语言编写；

小车的驱动模块由4个马达和4个麦克纳姆轮组成，通过4轮配合，小车不用转向即可朝8个方向前进；

电源模块主要是一块7.4V 29.6Wh锂电池，以及一个数字电压表；

控制模块集成在创乐博的转接板上，用于控制4个马达、摄像头云台舵机、机械臂舵机等驱动部分，以及连接电源和各种传感器等；

本智能小车系统目前包括2辆小车，如图4所示；

在上述模块基础上，一辆小车配备二维舵机云台摄像头和音响，另一辆小车配备4自由度机械臂和固定摄像头。

(二)安全功能测试

本系统各功能模块的实现代码，除了与动力控制相关的部分，都是平台无关的；故能运行Python代码的设备，都可以加入本智能小车系统，通过WiFi或蓝牙与小车进行通信；以下测试围绕安全功能实现展开，过程涵盖了其他各主要功能模块；为了方便测试，把一辆小车作为“认证服务器”(名字是“CLB1”)，使用PC作为另一“小车”(名字是“MyPC”)发起握手，并向小车发送指令，然后再模拟被攻击的情形，检测小车是否能正确处置；由于本作品以安全功能实现为主，内部逻辑难以全部直观呈现，尽量把每一步的计算、交互过程输出展示；

1.开机扫码

将PC和小车连接到同一WiFi，使用PC远程访问小车搭载的树莓派主板，运行小车主程序代码，小车开启摄像头并用语音播报“请出示二维码密钥”，等待操作员出示认证二维码。用小车摄像头扫描PC显示器上的二维码(内嵌字符串“hg2021”)，小车将二维码解析后与预置开机密钥进行比对，匹配后方可进入后续启动步骤，如图5所示；

图5右侧是在PC端打开的二维码图片，图5左侧是对小车系统的远程访问界面(打开了Spyder IDE)，控制台内可见小车的输出信息，中央的正方形窗口是小车摄像头拍摄的实时图像；可见扫描到正确的二维码后，小车随即开启通信端口(TCP和UDP的2110端口)监听；

2.密钥协商

PC运行主程序代码，对小车发起握手请求，PC端的输出信息如图6 所示，小车的输出信息如图7所示；

图6中，PC先随机生成Diffie-Hellman协议参数，图中三个数字分别是p,g,X，再加上本地时间戳，加密后对密文(即E v(p,g,X,TA))进行 base64编码，合成指令字符串后通过UDP发送给小车，协议步骤①执行完毕；

图7中，小车正确接收了握手请求，执行协议步骤②，向PC回复UDP 消息；

图6中，PC正确接收了小车回复，执行协议步骤③，向小车发送第二个UDP消息。至此，PC端已显示握手成功，会话密钥协商完毕(图中划红线)，并且记录了双方的时间差(30676ms)；

图7中，小车正确接收了PC发来的第二个消息，执行协议步骤④。小车同样显示握手成功，会话密钥协商完毕(可见与PC端的会话密钥完全一致)，并记录双方的时间差(-30935ms，与PC端记录的时间差基本成相反数)；

需要指出的是，只有双方内置同一认证密钥，才能协商成功(本实施例中PC端和小车均以“ploughthewaves”作为认证密钥)；此外，协商的会话密钥并非Diffie-Hellman协议直接得到的结果(一个Z*p上的数字)，而是将其进行MD5运算后的结果当作AES密钥。

3.传输加密信息

密钥协商完毕后，双方传输的所有消息均使用协商好的会话密钥进行 AES加密(消息加密前添加时间戳)；PC向小车传输一个简单的语音播报指令“speech||你好”(“||”是参数分隔符)，小车的输出信息如图8所示；

图8可见小车收到密文后已成功解密(并去除时间戳)，并正确执行；图中若干行成对的“TCP接入/TCP连接关闭”是PC每隔60秒发来的心跳包。

4.时间戳与断开保护

为了验证时间戳和断开保护机制的有效性，修改PC时间(调快1分钟)使之脱离允许的范围(500ms)，再向小车连续发送消息“speech||你好”，小车的输出信息如图9所示；

图9中的第一个消息是PC端修改系统时间前发出的，可以正确执行；随后的消息是PC端修改系统时间后发出的，可见小车第三次收到时间戳错误的消息后，主动断开了与PC的连接；PC继续发送密文消息给小车，小车已显示“无法识别的指令”；上述实验表明，时间戳可以防范攻击者录制指令信号再重放的攻击手段，断开保护机制也已生效；

综上，本系统实现了安全能力的预期设计目标；安全模块贯穿各上层功能模块底层，实现了对系统全方位的安全防护能力，能够有效防御非授权操控、无认证接入、窃听消息、篡改指令、重放攻击和内部攻击等现有攻击模式和安全威胁。

(三)性能测试

安全性与易用性经常成为一对难以兼顾的矛盾；本实施例展示了对若干功能模块的性能测试结果，旨在以数据说明：实现上述安全功能，并不会对功能执行速度和用户操控体验带来负面影响；

如无特别说明，以下实验均在一台PC机和一辆智能小车之间进行测试，智能小车搭载的嵌入式开发板为树莓派(Raspberry Pi)4B 4GB主板。实验计算机的配置如表1所示：

表1：实验计算机配置

所有实验均执行20次，取20次执行结果的平均值为有效数据。

1.素数生成测试

本系统设计实现的密钥协商协议由Diffie-Hellman协议扩展而来，其安全性基于在有限域上计算离散对数的难度，关键在于安全素数要足够大。生成大安全素数是整个密钥协商过程运算量最大、最耗时的环节，为了缩短整体时间开销，由计算能力更强的PC机作为握手发起方(图3中的A)，担任生成大安全素数的运算工作；表2显示了PC机生成不同位数安全素数(使用Python-rsa库)的平均时间开销(设置6线程加速)，以及衡量耗时稳定程度的样本方差；

表2：安全素数生成时间开销与样本方差

目前的密码学研究者认为，1024位素数仍是足够安全的；由表2可见，当使用1024位安全素数时，平均生成时间为1.2s左右；相比经典的 Diffie-Hellman协议，本密钥协商协议的握手发起报文已用认证密钥v加密，不掌握认证密钥v的攻击者无法知道握手发起方选用的安全素数p和本原元g，在破解Diffie-Hellman困难问题之前还多了一层AES加密保护，所以提供了比Diffie-Hellman协议更强的安全性。

其实，由于安全素数p和生成元g不必保密，也可以重复使用，所以可以提前生成若干满足安全要求的大素数并保存起来，由握手发起方从中随机挑选使用，这样就省去了每次握手的素数生成时间。

2.加解密测试

在安全模式下，通信方之间传递的都是通过AES加密后的信息；发送方将指令字符串尾部追加一个时间戳后再进行AES加密；接收方则先进行AES解密后再去掉尾部时间戳。摄像头拍摄的图像帧首先使用cv2 库进行颜色通道转换(RGB转成BGR)，然后进行jpg编码，再由narray 类型转bytes类型，最后进行AES加密；接收方先进行AES解密，将bytes 类型转回narray类型，解码后转成相应的图像对象，最后更新到图形界面的画布上；表3展示了PC机和小车分别进行指令加解密(包括添加或剥离时间戳)运算、图像编解码(还包括两次类型转换)运算和图像数据加解密运算的平均时间；

表3：加解密和编解码运算的时间开销

从表3的数据可以得出以下结论：1.PC机的运算性能明显优于小车搭载的开发板(耗时相差2-50倍不等)，所以耗时的运算应尽可能由算力更强的设备来执行；2.图像编码是最耗时的环节，比其他运算耗时多至少一个数量级，相对其他运算最有可能成为影响视频帧率的瓶颈；3.加解密运算耗时都在微秒级，相对于前后还需进行的其他运算(比如编解码和网络传输)微乎其微。

由于摄像头拍摄的原始图像帧数据很大，直接进行网络传输将占用巨大带宽，在现有WiFi通信环境下无法保证小车回传视频的流畅度；主要通过以下两种途径降低传输带宽消耗：一是将摄像头图像尺寸缩小，设置成320px×240px(经过实际测定，该尺寸的原始图像帧仍有约230.5KB，在10Mbps带宽下每秒仅可传输约5.6帧)；二是进行jpg压缩编码；为了兼顾压缩比和图像清晰度，经过反复试验，在可接受的失真限度内选定一个合适的图像质量参数，进行jpg压缩编码后的数据大小为3-20KB，取一个典型的均值10KB，则10Mbps带宽下每秒可传输约128帧；而摄像头的输出帧率为每秒30帧，即只要单帧图像的处理(包括编码与加密)耗时，或网络传输的耗时，二者不超过33.33ms(处理和传输耗时不必相加，因为二者可以并行)，就不会成为影响视频流畅度的瓶颈。

3.通信延迟测试

通信测试分为两步进行：第一步测试网络连通延迟，第二步测试小车接收、处理并回复消息的往返时间；

在网络连通测试中，PC机向小车的TCP监听端口发送连接请求，记录小车返回TCP握手报文的平均时间为31.24ms；网络连通测试只到达小车传输层以下，其结果只与网络环境有关，反映的主要是WiFi无线网络链路的延迟情况，与应用层的程序逻辑无关；

在消息处理测试中，PC机向小车发送用于测试的UDP短指令，小车按照通常流程解析指令，并立即回复一个UDP消息，PC机记录下往返的平均时间为187.51ms；这个时间包含PC机生成指令、添加时间戳并加密、发送，小车接收、解密并判断时间戳、解析执行，再由小车到PC机按同样流程走一遍的耗时；可见，该测试已经覆盖网络各个层次，真实反映了小车接收并执行指令的时延，由于其涉及小车开发板上运行的程序逻辑，其耗时明显多于网络连通时延；与此相比，小车运行指令加解密运算的耗时(20+μs)是微不足道的，所以加密几乎不会对小车执行指令的时延产生可见的影响。

4.密钥协商测试

设置不同的安全素数位数，进行密钥协商测试，平均用时如表4所示：

表4：密钥协商测试结果(单位：ms)

表4中的用时包含两次往返(图3中的3个报文，加上作为通信方B的小车向PC机反馈协商成功的报文，一共4个UDP报文)，不包括素数生成耗时；可见，安全素数位数翻倍并不会对密钥协商整体用时带来难以接受的影响，小车搭载的开发板完全能够胜任密钥协商过程中的运算工作；采用目前足够安全的1024位安全素数，密钥协商用时也不会超过1秒。

综上，本系统实现的安全功能并没有成为系统性能的瓶颈；小车搭载的嵌入式处理器完全能够胜任安全相关的运算，并不会对整体运算速度和交互延迟产生用户可感知的显著影响。用户通过简洁易用的控制平台操作小车，安全相关的运算和交互均在用户“无感”的情况下在底层自动完成，几乎对用户“透明”，较好地实现了安全性与易用性的统一。

以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (9)

1.一种具有安全协同能力的智能小车系统，其特征在于：自下而上依次包括运动层、中间层和决策层；

所述运动层包括驱动模块、电源模块和控制模块，通过控制模块控制驱动模块和电源模块工作；

所述中间层包括音频模块、感知模块、通信模块和安全模块，为小车的音频、感知、通信和安全的智能应用提供支撑；

所述决策层包括决策模块和交互模块，用于执行小车的自主决策、多车协同和人工指令。

2.根据权利要求1所述的一种具有安全协同能力的智能小车系统，其特征在于：所述的感知模块的硬件部分主要包括摄像头和红外传感器，其中

所述红外传感器安装在车头左右，为小车行进提供基本的避障功能；

所述摄像头用于接收本地指令，对摄像头拍摄的图像帧经过压缩后，根据需要调用二维码解析、人脸识别、物体识别图像处理组件，解析处理后的信息将作为其他功能模块的输入。

3.根据权利要求2所述的一种具有安全协同能力的智能小车系统，其特征在于：所述的摄像头的人脸识别过程包括

Step1.首先从摄像头读取图像帧，利用OpenCV库将图片处理成灰度图并裁剪，再调用OpenCV里的CascadeClassifier用已经训练好的分类器匹配该图像，然后把识别出的人脸轮廓标记矩形框；

Step2.在此基础上，判断人脸的相对位置，调整摄像头云台使人脸保持在图像中央，实现人脸追踪；

Step3.依照此方法，加载别的物品分类器，实现各种类型的物品识别和追踪。

4.根据权利要求1所述的一种具有安全协同能力的智能小车系统，其特征在于：所述的通信模块使用WiFi和蓝牙通信，其通讯过程包括

Step1.小车开机先连接设定好的WiFi热点进入局域网，再主动向预置为“认证服务器”的小车发起连接请求，认证通过后获取当前在线的小车列表；

Step2.有通信需求的小车之间通过握手认证建立一对一信道，通信结束后再通过挥手断开连接；

Step3.如果作为“认证服务器”的小车下线，将由较早加入通信的另一小车接替；

其中在上述信息传递过程中，较短的指令类数据采用UDP传输，接收方用UDP反馈，长数据和文件的传输使用TCP传输。

5.根据权利要求1所述的一种具有安全协同能力的智能小车系统，其特征在于：所述的安全模块内嵌设有密钥协商协议，所述密钥协商协议用于两个实体建立通信前的握手，协议双方通过发消息完成双向身份认证、会话密钥协商和时间同步。

6.根据权利要求5所述的一种具有安全协同能力的智能小车系统，其特征在于：所述的密钥协商协议的秘钥协商过程包括

在密钥协商协议中，设合法的智能小车均共享认证密钥v，小车A向小车B发起握手，约定E_k(X)表示用密钥k加密X，T_A表示A的时间戳，依此类推，详细的密钥协商过程为：

Step1.A生成安全的大素数p和Z*_p上的另一素数g，生成Z*_p上的随机数x，并计算X＝g^xmodp；A将自己的名字以及使用认证密钥v加密的p、g、X和本地时间戳T_A发送给B；

其中，素数p为安全素数，即要求(p-1)/2也是素数；所述素数g能够生成Z*_p上足够大的子群，所述的本地时间戳T_A为E_v(p,g,X,T_A)；

Step2.B收到该消息后，先使用认证密钥v解密E_v(p,g,X,T_A)得到p,g,X,T_A，生成Z*_p上的随机数y，并计算Y＝g^y mod p和k＝X^y modp，k即为A和B本次会话的临时密钥；B将自己的名字、使用认证密钥v加密的Y和本地时间戳T_B、使用会话密钥k加密的X发送给A；记录ΔA＝T_A-T_B作为双方时间差；

其中，所述本地时间戳T_B为E_v(Y,T_B)，使用会话密钥k加密的X为E_k(X)；

Step3.A收到后，使用认证密钥v解密E_v(Y,T_B)得到Y,T_B，计算会话密钥k＝Y^x modp，使用k解密E_k(X)得到X’，记录ΔB＝T_B-T_A作为双方时间差；A向B发送自己的名字和使用会话密钥k加密的Y；

其中，所述使用会话密钥k加密的Y为E_k(Y)；

Step4.B收到后，使用会话密钥k解密E_k(Y)得到Y’，如果Y’与Y相同，则说明A已正确计算出同一会话密钥k，协商成功，否则报告协商失败。

7.根据权利要求6所述的一种具有安全协同能力的智能小车系统，其特征在于：在步骤Step2中，若收到该消息后，使用认证密钥v解密E_v(p,g,X,T_A)不能得到p,g,X,T_A时，说明双方认证密钥不同，报告协商失败。

8.根据权利要求6所述的一种具有安全协同能力的智能小车系统，其特征在于：在步骤Step3中，在A收到后，使用认证密钥v解密E_v(Y,T_B)得到Y,T_B，计算会话密钥k＝Y^x modp，使用k解密E_k(X)得到X’后，如果X’与此前发送的X相同，则说明B持有正确的认证密钥v，并正确生成了会话密钥k，如果X’与X不同则报告协商失败。

9.根据权利要求1所述的一种具有安全协同能力的智能小车系统，其特征在于：所述的决策模块包括单车决策单元和多车协同决单元，其中

所述单车决策单元通过感知模块提供的数据，判断自身状态和周围环境，实现按路线行进、避障；

所述多车协同单元收集汇总各小车提供的信息，接收人的指令或依据具体任务，规划出达成目标的相对优化方案，再将细化的指令下达给各小车，依靠多车协作共同完成任务。

Images