CN115119178A - 用于车路协同的加密通信方法及具有加密通信功能的设备 - Google Patents
用于车路协同的加密通信方法及具有加密通信功能的设备 Download PDFInfo
- Publication number
- CN115119178A CN115119178A CN202110284748.9A CN202110284748A CN115119178A CN 115119178 A CN115119178 A CN 115119178A CN 202110284748 A CN202110284748 A CN 202110284748A CN 115119178 A CN115119178 A CN 115119178A
- Authority
- CN
- China
- Prior art keywords
- equipment
- key
- random number
- vehicle
- character string
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/44—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
Abstract
本发明是关于一种用于车路协同的加密通信方法及具有加密通信功能的设备,涉及车路协同技术领域,本发明包括:在与第二设备进行身份验证通过后,确定第二设备生成通信密钥时使用的目标字符串;根据与第二设备相同的密钥生成方式,对目标字符串进行密钥生成处理,生成通信密钥;在与第二设备通信过程中,采用通信密钥对发送给第二设备的车路协同数据进行加密操作,以及采用通信密钥对接收到的第二设备的车路协同数据进行解密操作。由于本发明实施例在通信双方设备之间采用相同的字符串,相同的密钥生成方式,生成通信密钥,将通信车路协同数据加密进行通信,从而提高了通信的安全性。
Description
技术领域
本发明涉及车路协同技术领域,尤其涉及一种用于车路协同的加密通信方法及具有加密通信功能的设备。
背景技术
车路协同是实施车车、车路动态实时信息交互,并在全时空动态交通信号信息采集与融合的基础上开展车辆主动安全控制和道路协同管理的。在车路协同的技术中,两个路侧设备之间、路侧设备和道路交通控制信号机之间、两个道路交通控制信号机之间会进行信息的交互。
目前,无论是两个路侧设备之间、还是路侧设备和道路交通控制信号机之间、两个道路交通控制信号机之间广播的车路协同数据都是明文的,没有对车路协同数据进行加密,导致传输的车路协同数据存在车路协同数据泄露,被非法获取等安全隐患。
发明内容
本发明提供一种用于车路协同的加密通信方法及具有加密通信功能的设备,能够在通信双方设备之间采用相同的目标字符串,以及相同的密钥生成方式,生成通信密钥,将通信车路协同数据加密进行通信,从而提高了通信的安全性。
第一方面,本发明实施例提供的一种用于车路协同的第一设备,包括:通信单元、以及处理器;
所述处理器,用于在与用于车路协同的第二设备进行身份验证通过后,确定所述第二设备生成通信密钥时使用的目标字符串;根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥;在与所述第二设备通信过程中,采用所述通信密钥对发送给所述第二设备的车路协同数据进行加密操作,以及采用所述通信密钥对接收到的所述第二设备的车路协同数据进行解密操作;
所述通信单元,用于将加密后的车路协同数据发送给所述第二设备;以及接收所述第二设备发送的加密后的车路协同数据。
上述第一设备,能够在于第二设备进行身份验证通过后,采用与第二设备生成通信密钥时使用的目标字符串,以及与第二设备相同的密钥生成方式,生成通信密钥,从而使得通信双方无需发送密钥,保证了通信密钥的安全性,同时,在通信时,采用通信密钥进行加密,还提高了通信双方的车路协同数据的安全性。
在一种可能的实现方式中,所述处理器,具体用于:
通过随机数生成器生成第一随机数,将第一设备的证书、采用第一设备私钥签名的所述第一随机数和第一设备标识组成的第一字符串,作为第一身份验证信息,发送给所述第二设备;以及
接收所述第二设备发送的反馈信息;若采用所述第一随机数对所述反馈信息解密成功,则确定与第二设备进行身份验证通过,并向所述第二设备反馈密钥协商成功信息;
其中,所述反馈信息为第二设备对第一设备进行身份验证通过后,采用第一随机数对所述第一随机数和通过随机数生成器生成的第二随机数组成的第二字符串进行加密得到的;或
接收所述第二设备发送的第二身份验证信息;其中,所述第二身份验证信息包括第二设备的证书、采用第二设备私钥签名的所述第二设备的第二随机数和第二设备标识组成的第三字符串;若所述第二设备的证书合法,且对签名后的所述第三字符串的签名验证通过,则确定对第二设备进行身份验证通过,以及
通过随机数生成器生成第一随机数;采用所述第二随机数,对所述第一随机数和所述第二随机数组成的第四字符串进行加密,并将加密后的第四字符串发送给所述第二设备;若接收到所述第二设备反馈的密钥协商成功信息,则确定与第二设备进行身份验证通过。
上述第一设备,能够在通信双方,第一设备和第二设备进行互相身份验证时,采用随机数、证书以及签名这三个方面进行身份认证,提高了身份认证的安全性。
在一种可能的实现方式中,所述处理器,具体用于:
将所述第一随机数和第二随机数作为目标字符串;
根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥,包括:
按照与所述第二设备相同的提取方式,分别从所述第一随机数和第二随机数中选取字符;
按照与所述第二设备相同的组合方式,将从所述第一随机数中选取的字符和从所述第二随机数中选取的字符进行组合,得到根密钥,并将所述根密钥作为通信密钥。
上述第一设备,能够将身份验证过程中的随机数作为目标字符串,生成通信密钥,提高了简化了通信次数,同时,采用与第二设备相同的提取方式、以及组合方式得到通信密钥,保证实际使用的通信密钥不经过传输,提高了通信的安全性。
在一种可能的实现方式中,所述处理器,具体用于:
将所述第一随机数、所述第二随机数以及动态字符串,作为所述目标字符串,其中所述动态字符串包括下列中的部分或全部:所述动态字符串的生成时间、第一设备的标识、第二设备的标识;
根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥,包括:
按照与所述第二设备相同的提取方式,分别从所述第一随机数和第二随机数中选取字符;
按照与所述第二设备相同的组合方式,将从所述第一随机数中选取的字符和从所述第二随机数中选取的字符进行组合,得到根密钥;
按照与所述第二设备相同的加密方式,使用所述根密钥对所述动态字符串进行加密,得到派生密钥,将所述派生密钥作为通信密钥。
上述第一设备,通信密钥的生成不仅有在通信时使用的随机数,还有动态字符串,增加了通信密钥的破解难度,提高了通信密钥的安全性。
在一种可能的实现方式中,所述处理器,还用于:
若所述第一设备和所述第二设备的通信次数超过预设次数,则更新所述动态字符串,并按照与所述第二设备相同的加密方式,使用所述根密钥对更新后的所述动态字符串进行加密,生成新的派生密钥,并将所述新的派生密钥作为通信密钥。
上述第一设备,能够在第一设备和第二设备的通信次数超过预设次数时,更新动态字符串,并生成新的派生密钥,从而防止通信密钥被破解,进一步加强了车路协同数据传输的安全性。
第二方面,本发明实施例提供的一种路侧单元,包括:通信单元、主芯片、以及安全芯片;
所述安全芯片,用于在与用于车路协同的第二设备进行身份验证通过后,确定所述第二设备生成通信密钥时使用的目标字符串;根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥;在与所述第二设备通信过程中,采用所述通信密钥对发送给所述第二设备的车路协同数据进行加密操作,以及采用所述通信密钥对接收到的所述第二设备的车路协同数据进行解密操作;
所述主芯片,用于接收所述安全芯片加密操作后的发送给所述第二设备的车路协同数据,以及接收所述安全芯片解密操作后的所述第二设备发送的车路协同数据;
所述通信单元,用于接收所述主芯片发送的加密后的车路协同数据,并发送给所述第二设备;以及接收所述第二设备发送的加密后的车路协同数据,并发送给所述安全芯片。
第三方面,本发明实施例提供的一种道路交通控制信号机,包括:通信单元、主芯片、以及安全芯片;
所述安全芯片,用于在与用于车路协同的第二设备进行身份验证通过后,确定所述第二设备生成通信密钥时使用的目标字符串;根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥;在与所述第二设备通信过程中,采用所述通信密钥对发送给所述第二设备的车路协同数据进行加密操作,以及采用所述通信密钥对接收到的所述第二设备的车路协同数据进行解密操作;
所述主芯片,用于接收所述安全芯片加密操作后的发送给所述第二设备的车路协同数据,以及接收所述安全芯片解密操作后的所述第二设备发送的车路协同数据;
所述通信单元,用于接收所述主芯片发送的加密后的车路协同数据,并发送给所述第二设备;以及接收所述第二设备发送的加密后的车路协同数据,并发送给所述安全芯片。
第四方面,本发明实施例提供的一种用于车路协同的加密通信方法,应用于用于车路协同的第一设备中,所述方法包括:
在与用于车路协同的第二设备进行身份验证通过后,确定所述第二设备生成通信密钥时使用的目标字符串;
根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥;
在与所述第二设备通信过程中,采用所述通信密钥对发送给所述第二设备的车路协同数据进行加密操作,以及采用所述通信密钥对接收到的所述第二设备的车路协同数据进行解密操作。
在一种可能的实现方式中,通过以下方式确定与第二设备进行身份验证通过:
通过随机数生成器生成第一随机数,将第一设备的证书、采用第一设备私钥签名的所述第一随机数和第一设备标识组成的第一字符串,作为第一身份验证信息,发送给所述第二设备;以及
接收所述第二设备发送的反馈信息;若采用所述第一随机数对所述反馈信息解密成功,则确定与第二设备进行身份验证通过,并向所述第二设备反馈密钥协商成功信息;
其中,所述反馈信息为第二设备对第一设备进行身份验证通过后,采用第一随机数对所述第一随机数和通过随机数生成器生成的第二随机数组成的第二字符串进行加密得到的;或
接收所述第二设备发送的第二身份验证信息;其中,所述第二身份验证信息包括第二设备的证书、采用第二设备私钥签名的所述第二设备的第二随机数和第二设备标识组成的第三字符串;若所述第二设备的证书合法,且对签名后的所述第三字符串的签名验证通过,则确定对第二设备进行身份验证通过,以及
通过随机数生成器生成第一随机数;采用所述第二随机数,对所述第一随机数和所述第二随机数组成的第四字符串进行加密,并将加密后的第四字符串发送给所述第二设备;若接收到所述第二设备反馈的密钥协商成功信息,则确定与第二设备进行身份验证通过。
在一种可能的实现方式中,确定所述第二设备生成通信密钥时使用的目标字符串,包括:
将所述第一随机数和第二随机数作为目标字符串;
根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥,包括:
按照与所述第二设备相同的提取方式,分别从所述第一随机数和第二随机数中选取字符;
按照与所述第二设备相同的组合方式,将从所述第一随机数中选取的字符和从所述第二随机数中选取的字符进行组合,得到根密钥,并将所述根密钥作为通信密钥。
在一种可能的实现方式中,确定所述第二设备生成通信密钥时使用的目标字符串,包括:
将所述第一随机数、所述第二随机数以及动态字符串,作为所述目标字符串,其中所述动态字符串包括下列中的部分或全部:所述动态字符串的生成时间、第一设备的标识、第二设备的标识;
根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥,包括:
按照与所述第二设备相同的提取方式,分别从所述第一随机数和第二随机数中选取字符;
按照与所述第二设备相同的组合方式,将从所述第一随机数中选取的字符和从所述第二随机数中选取的字符进行组合,得到根密钥;
按照与所述第二设备相同的加密方式,使用所述根密钥对所述动态字符串进行加密,得到派生密钥,将所述派生密钥作为通信密钥。
在一种可能的实现方式中,按照与所述第二设备相同的加密方式,使用所述根密钥对所述动态字符串进行加密,得到派生密钥之后,所述方法还包括:
若所述第一设备和所述第二设备的通信次数超过预设次数,则更新所述动态字符串,并按照与所述第二设备相同的加密方式,使用所述根密钥对更新后的所述动态字符串进行加密,生成新的派生密钥,并将所述新的派生密钥作为通信密钥。
第五方面,本申请还提供一种计算机存储介质,其上存储有计算机程序,该程序被处理单元执行时实现第四方面所述的用于车路协同的加密通信方法的步骤。
另外,第二方面至第五方面中任一种实现方式所带来的技术效果可参见第一方面中不同实现方式所带来的技术效果,此处不再赘述。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理,并不构成对本发明的不当限定。
图1是本发明实施例提供的一种车路协同路路侧系统安全通信的示意图;
图2是本发明实施例提供的一种路侧单元的结构图;
图3是本发明实施例提供的一种信号机的结构图;
图4是本发明实施例提供的一种用于车路协同的加密通信方法的流程图;
图5是本发明实施例提供的一种第一设备和第二设备身份验证的示意图;
图6是本发明实施例提供的另一种第一设备和第二设备身份验证的示意图;
图7是本发明实施例提供的一种路侧单元和信号机交互的示意图。
具体实施方式
为了使本领域普通人员更好地理解本发明的技术方案,下面将结合附图,对本发明实施例中的技术方案进行清楚、完整地描述。
需要说明的是,本发明的说明书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
本发明实施例描述的应用场景是为了更加清楚的说明本发明实施例的技术方案,并不构成对于本发明实施例提供的技术方案的限定,本领域普通技术人员可知,随着新应用场景的出现,本发明实施例提供的技术方案对于类似的技术问题,同样适用。其中,在本发明的描述中,除非另有说明,“多个”的含义。
目前,车路协同系统中的两个设备之间的通信多为明文,导致传输的车路协同数据存在数据泄露,被非法获取等安全隐患。
本发明实施例提供了一种用于车路协同的第一设备,包括通信单元以及处理器;
所述处理器,用于在与用于车路协同的第二设备进行身份验证通过后,确定所述第二设备生成通信密钥时使用的目标字符串;根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥;在与所述第二设备通信过程中,采用所述通信密钥对发送给所述第二设备的车路协同数据进行加密操作,以及采用所述通信密钥对接收到的所述第二设备的车路协同数据进行解密操作;
所述通信单元,用于将加密后的车路协同数据发送给所述第二设备;以及接收所述第二设备发送的加密后的车路协同数据。
作为一个应用场景,结合图1所示,车路协同路侧系统包括:多个用于车路协同的设备,例如,道路交通控制信号机(以下简称为信号机)100、边缘计算服务器(MEC)101、路侧单元(Road Side Unit,RSU)102、和信号机中心平台103。
证书认证中心104向信号机100、边缘计算服务器101、路侧单元102、信号机中心平台103发放各自的证书,和相关设备的证书;
其中,具有信息交互的双方设备均需要保存对方的证书,以便于对对方的身份进行身份认证,两个路侧单元需要进行通信交互时,两个路侧单元102均保存有自己的证书以及对方的证书;
路侧单元102和信号机100进行通信交互时,路侧单元102和信号机100均保存有自己的证书以及对方的证书。
信号机100为交通道路信号灯的控制装置。
边缘计算服务器101为路侧单元102服务提供边缘计算服务。
路侧单元(Road Side Unit,RSU)102为实现道路交通信息采集发布与广播、车路协同数据分析等多种功能于一身,具备与其他车路协同设备、云平台信息交互能力的装置。
信号机中心平台103用于控制信号机;
需要说明的是,对于车路协同路侧系统还可以根据需要包括其他元件,例如车路协同云平台,车路协同云平台用于控制路侧单元102。
为了提高整个系统的信息传输的安全性,边缘计算服务器101与信号机100需要进行证书认证,车路协同路侧系统中的路侧单元102需要与边缘计算服务器101需要进行证书认证,车路协同路侧系统中的路侧单元102与信号机100需要进行证书认证,信号机100与信号机中心平台103需要进行证书认证。
具体的认证过程包括:边缘计算服务器101与信号机100进行车路协同数据通信时,边缘计算服务器101发送自己的车路协同数据的同时发送由证书认证中心104发送的证书给信号机100,信号机100接收到边缘计算服务器101发送的由证书认证中心104发送的证书,并对证书进行验证,如果验证通过,信号机100确定边缘计算服务器101的身份合法,同样的,信号机100发送自己证书给边缘计算服务器101,边缘计算服务器101对发送过来的证书进行验证,验证通过,边缘计算服务器101确定信号机100的身份合法。
需要说明的是,用于车路协同的第一设备可以为车路协同路侧系统中的路侧单元、边缘计算服务器(MEC)、信号机中心平台、或者道路交通控制信号机。用于车路协同的第二设备可以为车路协同路侧系统中的路侧单元、边缘计算服务器(MEC)、信号机中心平台、或者道路交通控制信号机。车路协同数据为第一设备和第二设备之间的交互信息。对于第一设备和第二设备具体为哪个设备、以及第一设备和第二设备之间通信的车路协同数据可以根据具体的场景而定的。
在车辆需要紧急通行待信号灯的路口时,第一设备可以为路侧单元102、第二设备可以为信号机100,车辆一般会和路侧单元102进行通信,车辆将需要紧急通行的请求发送给路侧单元102,路侧单元102将请求通过加密发送给信号机100,信号机100根据信号灯的当前状况,确定是否能够开启绿灯,然后把是否能开启绿灯的结论发送给路侧单元102,路侧单元102再发送给车辆,车辆根据信号机100的情况,可以判断自己是否减速,还是可以直接通过路口。其中,路侧单元102和信号机100需要进行信息交互时,还需要对传输的车路协同数据,即需要紧急通行的请求,以及是否能开启绿灯的结论进行加密,具体的通信过程为,路侧单元102在与信号机100进行身份验证通过后,确定信号机100生成通信密钥时使用的目标字符串;根据与信号机100相同的密钥生成方式,对目标字符串进行密钥生成处理,生成通信密钥;在与信号机100通信过程中,采用通信密钥对发送给信号机100的需要紧急通行的请求进行加密操作,以及采用通信密钥对接收到的信号机100的是否能开启绿灯的结论进行解密操作。
这样由于路侧单元102和信号机100均采用相同的生成通信密钥的字符串、以及相同的密钥生成方式,生成通信密钥,再采用通信密钥对通信的车路协同数据进行加密,路侧单元102和信号机100之间的通信密钥没有经过传输,导致其他设备无法通过截获两个设备的通信信息的方式获取通信密钥,提高了通信的安全性。
在车辆进行导航时,需要知道导航路线中信号机的当前信号灯的状态以及时间,从而知道需要在路口等待的时间,加上行驶的时间,得到导航时间。在此应用过程中,需要用到边缘计算服务器101和信号机100之间交互信息,即第一设备可以为边缘计算服务器101、第二设备可以为信号机100。其中在进行信息交互时,边缘计算服务器101需要在与导航路线上的信号机100进行身份验证通过后,确定导航路线上的信号机100生成通信密钥时使用的目标字符串;根据与导航路线上的信号机100相同的密钥生成方式,对目标字符串进行密钥生成处理,生成通信密钥;在与导航路线上的信号机100通信过程中,边缘计算服务器101采用通信密钥对发送给导航路线上的信号机100的信号灯状态和保持当前状态的时间的请求进行加密操作,导航路线上的信号机100将信号灯状态和保持当前状态的时间采用通信密钥加密后发送给边缘计算服务器101,边缘计算服务器101采用通信密钥对接收到的导航路线上的信号机100的信号灯状态和保持当前状态的时间进行解密操作。边缘计算服务器101在得到导航路线上的信号机100发送的信号灯状态和保持当前状态的时间确定出导航时间后,发送给车辆。
在信号机需要确定当前路口的信号灯的变化时,可以通过路面车辆进行确定的,在此应用过程中,需要用到边缘计算服务器101和信号机100之间交互信息,即第一设备可以为信号机100、第二设备可以为边缘计算服务器101。其中在进行信息交互时,信号机100需要与路口的边缘计算服务器101进行身份验证通过后,确定边缘计算服务器101生成通信密钥时使用的目标字符串;根据与边缘计算服务器101相同的密钥生成方式,对目标字符串进行密钥生成处理,生成通信密钥;在与边缘计算服务器101通信过程中,信号机100采用通信密钥对发送给边缘计算服务器101的路口车辆的请求进行加密操作,边缘计算服务器101将路口车辆图像采用通信密钥加密后发送给信号机100,信号机100采用通信密钥对接收到的路口车辆图像进行解密操作。信号机100在得到路口车辆图像后确定出路口的拥堵情况,然后根据拥堵情况进行信号灯的控制。
在城市交通控制过程中,信号机中心平台103可以控制城市中所有的信号机的信号机的状态,根据当前时间,例如是上班时间或者下班时间,城市交通压力比较大时,可以通过信号机中心平台103确定哪些信号机的绿灯情况且保持绿灯的时间,这样可以信号机中心平台103和信号机100各自生成通信密钥,然后将交互的车路协同数据采用通信密钥进行加密通信。
其中,第一设备为路侧单元时,第一设备介绍的处理器的生成通信密钥的功能实现在路侧单元的安全芯片,安全芯片通过主芯片与通信单元沟通。
具体来说,本发明实施例提供了一种路侧单元,结合图2所示,包括通信单元200、主芯片201、以及安全芯片202;
所述安全芯片202,用于在与第二设备进行身份验证通过后,确定所述第二设备生成通信密钥时使用的目标字符串;根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥;在与所述第二设备通信过程中,采用所述通信密钥对发送给所述第二设备的车路协同数据进行加密操作,以及采用所述通信密钥对接收到的所述第二设备的车路协同数据进行解密操作;其中,第二设备为与路侧单元通信的设备。可以为另一个路侧单元,也可以为信号机。
所述主芯片201,用于接收所述安全芯片加密操作后的发送给所述第二设备的车路协同数据,以及接收所述安全芯片解密操作后的所述第二设备发送的车路协同数据;
所述通信单元200,用于接收所述主芯片发送的加密后的车路协同数据,并发送给所述第二设备;以及接收所述第二设备发送的加密后的车路协同数据,并发送给所述安全芯片。
详细来说,在路侧单元向信号机发送信息时,主芯片201需要先生成要发送的车路协同数据,并将车路协同数据发送给安全芯片202,安全芯片202采用通信密钥进行车路协同数据加密,并将加密后的车路协同数据返回给主芯片201,主芯片201发送给通信单元200,通信单元200将加密后的车路协同数据发送给信号机。
路侧单元接收到信号机的车路协同数据时,通信单元200将接收到的车路协同数据通过主芯片201发送给安全芯片202,安全芯片202采用通信密钥解密车路协同数据后再发送给主芯片201。
其中,主芯片201通过SPI接口(Serial Peripheral Interface,串行外设接口)与安全芯片202交互信息,主芯片201与通信单元200通过USB(Universal Serial Bus,通用串行总线)3.0交互信息。
其中,通信单元200可以采用V2X(vehicle to everything,车用无线通信技术)进行通信。
安全芯片202内包括密钥协商模块2021、密钥存储模块2022、身份认证模块2023、加密算法模块2024、密钥管理模块2025、证书管理模块2026;
密钥协商模块2021用于与信号机进行密钥协商;
密钥存储模块2022用于存储通信密钥;
身份认证模块2023用于与信号机进行身份认证;
加密算法模块2024用于根据密钥生成方式生成通信密钥,并采用通信密钥对待传输给第二设备的车路协同数据进行加密,采用通信密钥对接收到的第二设备发送过来的车路协同数据进行解密;
密钥管理模块2025用于将与不同设备的通信密钥分别进行管理;
证书管理模块2026用于向证书认证中心申请路侧单元的证书,存储路侧单元的证书以及与其通信的其他设备的证书。
基于此,本发明实施例提供了一种信号机,结合图3所示,包括通信单元300、主芯片301、以及安全芯片302;
所述安全芯片302,用于在与第二设备进行身份验证通过后,确定所述第二设备生成通信密钥时使用的目标字符串;根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥;在与所述第二设备通信过程中,采用所述通信密钥对发送给所述第二设备的车路协同数据进行加密操作,以及采用所述通信密钥对接收到的所述第二设备的车路协同数据进行解密操作;其中,第二设备为与信号机通信的设备。可以为另一个信号机,也可以为路侧设备。
所述主芯片301,用于接收所述安全芯片加密操作后的发送给所述第二设备的车路协同数据,以及接收所述安全芯片解密操作后的所述第二设备发送的车路协同数据;
所述通信单元300,用于接收所述主芯片发送的加密后的车路协同数据,并发送给所述第二设备;以及接收所述第二设备发送的加密后的车路协同数据,并发送给所述安全芯片。
详细来说,在信号机向路侧单元发送信息时,主芯片301需要先生成要发送的车路协同数据,并将车路协同数据发送给安全芯片302,安全芯片302采用通信密钥进行车路协同数据加密,并将加密后的车路协同数据返回给主芯片301,主芯片301发送给通信单元300,通信单元300将加密后的车路协同数据发送给路侧单元。
信号机接收到路侧单元的信息时,通信单元300将接收到的车路协同数据通过主芯片301发送给安全芯片302,安全芯片302采用通信密钥解密车路协同数据后再发送给主芯片301。
其中,安全芯片302内包括密钥协商模块3021、密钥存储模块3022、身份认证模块3023、加密算法模块3024、密钥管理模块3025、证书管理模块3026;
密钥协商模块3021用于与信号机进行密钥协商;
密钥存储模块3022用于存储通信密钥;
身份认证模块3023用于与信号机进行身份认证;
加密算法模块3024用于根据密钥生成方式生成通信密钥,并采用通信密钥对待传输给第二设备的车路协同数据进行加密,采用通信密钥对接收到的第二设备发送过来的车路协同数据进行解密;
密钥管理模块3025用于将与不同设备的通信密钥分别进行管理;
证书管理模块3026用于向证书认证中心申请路侧单元的证书,存储路侧单元的证书以及与其通信的其他设备的证书。
需要说明的是,以下提到的第一设备、第二设备均为车路协同路侧系统中的任何一个设备,例如,路侧设备、信号机。第一设备和第二设备为待通信的两个设备。
基于上述的设备,本发明实施例提供了一种用于车路协同的加密通信方法,应用于用于车路协同的第一设备,结合图4所示,该方法包括:
S400:在与用于车路协同的第二设备进行身份验证通过后,确定第二设备生成通信密钥时使用的目标字符串;
S401:根据与第二设备相同的密钥生成方式,对目标字符串进行密钥生成处理,生成通信密钥;
S402:在与第二设备通信过程中,采用通信密钥对发送给第二设备的车路协同数据进行加密操作,以及采用通信密钥对接收到的第二设备的车路协同数据进行解密操作。
示例性的,通过以下方式确定与第二设备进行身份验证通过:
例如,第一设备为发送身份请求的设备,第二设备为接收设备时,第一设备通过随机数生成器生成第一随机数,将第一设备的证书、采用第一设备私钥签名的所述第一随机数和第一设备标识组成的第一字符串,作为第一身份验证信息,发送给所述第二设备;以及
接收所述第二设备发送的反馈信息;若采用所述第一随机数对所述反馈信息解密成功,则确定与第二设备进行身份验证通过,并向所述第二设备反馈密钥协商成功信息;
其中,所述反馈信息为第二设备对第一设备进行身份验证通过后,采用第一随机数对所述第一随机数和通过随机数生成器生成的第二随机数组成的第二字符串进行加密得到的。
示例性的,结合图5所示,第一设备500将第一设备的证书、采用第一设备私钥签名的所述第一随机数和第一设备标识组成的第一字符串,作为第一身份验证信息,发送给第二设备501,第二设备501对第一设备进行身份验证通过后,采用第一随机数对所述第一随机数和通过随机数生成器生成的第二随机数组成的第二字符串进行加密,将加密后的第二字符串作为反馈信息发送给第一设备500,其中,第二设备501对第一设备500进行身份验证的过程包括验证第一设备的证书是否合法,验证采用第一设备私钥签名的所述第一随机数和第一设备标识组成的第一字符串,如果第一设备的证书合法,且对签名后的所述第一字符串的签名验证通过,则第二设备501对第一设备进行身份验证通过,如果第一设备的证书不合法,或对签名后的所述第二字符串的签名验证不通过,则第二设备501对第一设备进行身份验证不通过,当证书无效时,反馈错误码给第一设备500,当签名验证不通过时,第二设备501将信息丢弃,并通信中断。
第一设备500接收所述第二设备501发送的反馈信息;若采用所述第一随机数对所述反馈信息解密成功,则确定与第二设备501进行身份验证通过,并向所述第二设备501反馈密钥协商成功信息。
例如,第二设备为发送身份请求的设备,第一设备为接收设备时,第一设备接收所述第二设备发送的第二身份验证信息;其中,所述第二身份验证信息包括第二设备的证书、采用第二设备私钥签名的所述第二设备的第二随机数和第二设备标识组成的第三字符串;若所述第二设备的证书合法,且对签名后的所述第三字符串的签名验证通过,则确定对第二设备进行身份验证通过,以及
通过随机数生成器生成第一随机数;采用所述第二随机数,对所述第一随机数和所述第二随机数组成的第四字符串进行加密,并将加密后的第四字符串发送给所述第二设备;若接收到所述第二设备反馈的密钥协商成功信息,则确定与第二设备进行身份验证通过。
结合图6所示,第二设备501将第二设备501的证书、采用第二设备501私钥签名的第二设备的第二随机数和第二设备标识组成的第三字符串,作为第二身份验证信息,将第二身份验证信息发送给第一设备500,第一设备500接收到第二设备501发送的第二身份验证信息,若第二设备501的证书合格,且对签名后的第三字符串的签名验证通过,则确定对第二设备进行身份验证通过。第一设备500通过随机数生成器生成第一随机数;采用第二随机数,对第一随机数和第二随机数组成的第四字符串进行加密,并将加密后的第四字符串发送给第二设备501,第二设备501通过第二随机数对第四字符串进行解密,解密成功的话反馈给第一设备500密钥协商成功信息,第一设备500接收到密钥协商成功信息后,确定与第二设备501进行身份验证通过。
其中,为了增加密码传输的安全性,可以引入哈希算法到身份验证过程中。
示例性的,第一设备为发送身份请求的设备,第二设备为接收设备,则第一设备向第二设备发送第一身份认证信息,第二设备接收到第一身份认证信息后,验证第一设备的证书是否合法,如果合法,则验证第一字符串是否签名成功,如果签名成功,则第二设备生成第二随机数,采用第一随机数作为对称密钥对第一随机数和第二随机数组成的字符串进行SM1算法的ECB加密,得到加密结果,使用SM3算法对加密结果进行哈希计算,得到哈希结果;将加密结果和哈希结果传输给第一设备。
第一设备对加密结果进行SM3算法的哈希计算,得到的哈希结果与传输的哈希结果进行比较,如果不同,则返回错误,密钥协商失败;如果相同,则使用第一随机数对加密结果进行解密,得到第一随机数和第二随机数;比较解密出的第一随机数与本机保存的第一随机数是否相同,如果不同,则返回错误,密钥协商失败,如果成功,返回密钥协商成功信息给第二设备。
当然,第一设备为接收设备,第二设备为发送身份认证的设备时,与上述相似,具体过程可以参考上述。
其中,上述身份认证过程可以为安全芯片中的身份认证模块和密钥协商模块的功能,以下的通信密钥生成方法可以为加密算法模块的功能。
示例性的,本发明实施例提供了以下两种通信密钥生成方法:
第一种,将第一随机数和第二随机数作为目标字符串;
按照与第二设备相同的提取方式,分别从第一随机数和第二随机数中选取字符;
按照与第二设备相同的组合方式,将从第一随机数中选取的字符和从第二随机数中选取的字符进行组合,得到根密钥,并将根密钥作为通信密钥。
例如,与第二设备相同的提取方式为提取前8个字符,与第二设备相同的组合方式为按照第一设备在前第二设备在后进行组合,第一随机数和第二随机数的前8个字符,组成新的字符。采用新的字符对车路协同数据进行加密,同时可以采用新的字符对接收到第二设备的车路协同数据进行解密。
第二种,将第一随机数、第二随机数以及动态字符串,作为目标字符串,其中动态字符串包括下列中的部分或全部:动态字符串的生成时间、第一设备的标识、第二设备的标识;
按照与第二设备相同的提取方式,分别从第一随机数和第二随机数中选取字符;
按照与第二设备相同的组合方式,将从第一随机数中选取的字符和从所述第二随机数中选取的字符进行组合,得到根密钥;
按照与第二设备相同的加密方式,使用根密钥对动态字符串进行加密,得到派生密钥,将派生密钥作为通信密钥。
示例性的,动态字符串包括所述动态字符串的生成时间、以及发送身份认证的设备的标识,例如,当第一设备为发送身份认证的设备时,动态字符串包括动态字符串的生成时间、以及第一设备的标识;当第二设备为发送身份认证的设备时,动态字符串包括动态字符串的生成时间、以及第二设备的标识;
第一设备获取设备中的系统时间,可以采用8字节,获取第一设备的标识,组成动态字符串,使用协商好的根密钥对动态字符串进行SM1 ECB模式加密,得到16字节的派生密钥,记为KT;
第一设备使用派生密钥KT加密传输车路协同数据,第二设备使用派生密钥KT解密传输车路协同数据。第二设备使用派生密钥KT加密传输车路协同数据,第一设备使用派生密钥KT解密传输车路协同数据。
为了避免密钥被破解或窃取,在得到派生密钥之后,所述方法还包括:
若所述第一设备和所述第二设备的通信次数超过预设次数,则更新所述动态字符串,并按照与所述第二设备相同的加密方式,使用所述根密钥对更新后的所述动态字符串进行加密,生成新的派生密钥,并将所述新的派生密钥作为通信密钥。
示例性的,当动态字符串包括动态字符串的生成时间时,第一设备获取第一设备中记录的系统时间,从而通过修改时间得到新的动态字符串,使用协商好的根密钥对新的动态字符串进行SM1 ECB模式加密,得到16字节的派生密钥,记为KT1,加密过程记为KT1=SM1-ecb-ENC(K1,M3)。K1为根密钥,M3为新的动态字符串。
示例性的,以发送身份认证的设备为路侧单元102、接收的设备为信号机100为例,结合图7所示,本发明实施例提供了路侧单元和信号机之间的加密通信方法,包括:
S700:路侧单元预设申请证书以及密钥对进行存储,其中密钥对为公钥和私钥。
S701:路侧单元生成16字节随机数SR,使用私钥对SR和标识SN进行签名,得到S1,并将SR、SN、S1、Cer1发送给信号机;其中,SR=SR1+SR2。其中,第一随机数采用SR表示,第一设备的标识采用SN表示,第一设备的证书采用Cer1表示。第二随机数采用RR表示。
S702:信号机验证Cer1的合法性,如果证书无效,则停止通信;
S703:信号机验证S1的签名,如果签名未通过验证,则停止通信;
S704:信号机验证Cer1的合法性通过,且验证S1的签名通过,则生成16字节随机数RR,使用SR作为对称密钥对SR和RR进行SM1算法ECB模式加密,得到E1,再使用SM3算法对E1进行哈希计算,得到H1,反馈E1和H1;其中,RR=RR1+RR2。
S705:路侧单元对E1进行SM3算法哈希运算,得到哈希结果,并与H1进行比较,如果不同,反馈错误,如果相同,则使用SR对E1进行解密,比较解密后的SR与本机保存的SR是否相同,如果不同,则反馈错误;
S706:路侧单元如果相同,则密钥协商成功信息反馈给信号机,并分别取SR和RR的前8个字节,组成根密钥K1;
S707:路侧设备获取系统时间T1,使用根密钥K1对SN和T1进行加密,得到派生密钥KT;其中,使用协商好的根密钥K1对M2进行SM1 ECB模式加密,M2=SN+T1,加密过程记为KT=SM1-ecb-ENC(K1,M2);
S708:信号机若接收到密钥协商成功信息,则分别取SR和RR的前8个字节,组成根密钥K1;
S709:信号机获取系统时间T1,使用根密钥K1对SN和T1进行加密,得到派生密钥KT;其中,使用协商好的根密钥K1对M2进行SM1 ECB模式加密,M2=SN+T1,加密过程记为KT=SM1-ecb-ENC(K1,M2);
S710:路侧设备采用加密算法SM4 CFB模式,初始向量IV=SR2和RR2,使用KT加密传输车路协同数据M,得到密文C=SM4-cfb-ENC(KT,IV,M);
S711:信号机使用KT解密密文C,解密算法为SM4 CFB模式,初始向量IV=SR2和RR2,得到明文M=SM4-cfb-DEC(KT,IV,C)。
基于上述介绍,本发明实施例还提供的一种用于车路协同的第一设备,包括:通信单元、以及处理器;
所述处理器,用于在与用于车路协同的第二设备进行身份验证通过后,确定所述第二设备生成通信密钥时使用的目标字符串;根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥;在与所述第二设备通信过程中,采用所述通信密钥对发送给所述第二设备的车路协同数据进行加密操作,以及采用所述通信密钥对接收到的所述第二设备的车路协同数据进行解密操作;
所述通信单元,用于将加密后的车路协同数据发送给所述第二设备;以及接收所述第二设备发送的加密后的车路协同数据。
可选的,所述处理器,具体用于:
通过随机数生成器生成第一随机数,将第一设备的证书、采用第一设备私钥签名的所述第一随机数和第一设备标识组成的第一字符串,作为第一身份验证信息,发送给所述第二设备;以及
接收所述第二设备发送的反馈信息;若采用所述第一随机数对所述反馈信息解密成功,则确定与第二设备进行身份验证通过,并向所述第二设备反馈密钥协商成功信息;
其中,所述反馈信息为第二设备对第一设备进行身份验证通过后,采用第一随机数对所述第一随机数和通过随机数生成器生成的第二随机数组成的第二字符串进行加密得到的;或
接收所述第二设备发送的第二身份验证信息;其中,所述第二身份验证信息包括第二设备的证书、采用第二设备私钥签名的所述第二设备的第二随机数和第二设备标识组成的第三字符串;若所述第二设备的证书合法,且对签名后的所述第三字符串的签名验证通过,则确定对第二设备进行身份验证通过,以及
通过随机数生成器生成第一随机数;采用所述第二随机数,对所述第一随机数和所述第二随机数组成的第四字符串进行加密,并将加密后的第四字符串发送给所述第二设备;若接收到所述第二设备反馈的密钥协商成功信息,则确定与第二设备进行身份验证通过。
可选的,所述处理器,具体用于:
将所述第一随机数和第二随机数作为目标字符串;
根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥,包括:
按照与所述第二设备相同的提取方式,分别从所述第一随机数和第二随机数中选取字符;
按照与所述第二设备相同的组合方式,将从所述第一随机数中选取的字符和从所述第二随机数中选取的字符进行组合,得到根密钥,并将所述根密钥作为通信密钥。
可选的,所述处理器,具体用于:
将所述第一随机数、所述第二随机数以及动态字符串,作为所述目标字符串,其中所述动态字符串包括下列中的部分或全部:所述动态字符串的生成时间、第一设备的标识、第二设备的标识;
根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥,包括:
按照与所述第二设备相同的提取方式,分别从所述第一随机数和第二随机数中选取字符;
按照与所述第二设备相同的组合方式,将从所述第一随机数中选取的字符和从所述第二随机数中选取的字符进行组合,得到根密钥;
按照与所述第二设备相同的加密方式,使用所述根密钥对所述动态字符串进行加密,得到派生密钥,将所述派生密钥作为通信密钥。
可选的,所述处理器,还用于:
若所述第一设备和所述第二设备的通信次数超过预设次数,则更新所述动态字符串,并按照与所述第二设备相同的加密方式,使用所述根密钥对更新后的所述动态字符串进行加密,生成新的派生密钥,并将所述新的派生密钥作为通信密钥。
基于上述介绍,本发明实施例还提供的一种路侧单元,包括:通信单元、主芯片、以及安全芯片;
所述安全芯片,用于在与用于车路协同的第二设备进行身份验证通过后,确定所述第二设备生成通信密钥时使用的目标字符串;根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥;在与所述第二设备通信过程中,采用所述通信密钥对发送给所述第二设备的车路协同数据进行加密操作,以及采用所述通信密钥对接收到的所述第二设备的车路协同数据进行解密操作;
所述主芯片,用于接收所述安全芯片加密操作后的发送给所述第二设备的车路协同数据,以及接收所述安全芯片解密操作后的所述第二设备发送的车路协同数据;
所述通信单元,用于接收所述主芯片发送的加密后的车路协同数据,并发送给所述第二设备;以及接收所述第二设备发送的加密后的车路协同数据,并发送给所述安全芯片。
可选的,所述安全芯片,具体用于:
通过随机数生成器生成第一随机数,将路侧单元的证书、采用路侧单元私钥签名的所述第一随机数和路侧单元标识组成的第一字符串,作为第一身份验证信息,发送给所述第二设备;以及
接收所述第二设备发送的反馈信息;若采用所述第一随机数对所述反馈信息解密成功,则确定与第二设备进行身份验证通过,并向所述第二设备反馈密钥协商成功信息;
其中,所述反馈信息为第二设备对路侧单元进行身份验证通过后,采用第一随机数对所述第一随机数和通过随机数生成器生成的第二随机数组成的第二字符串进行加密得到的;或
接收所述第二设备发送的第二身份验证信息;其中,所述第二身份验证信息包括第二设备的证书、采用第二设备私钥签名的所述第二设备的第二随机数和第二设备标识组成的第三字符串;若所述第二设备的证书合法,且对签名后的所述第三字符串的签名验证通过,则确定对第二设备进行身份验证通过,以及
通过随机数生成器生成第一随机数;采用所述第二随机数,对所述第一随机数和所述第二随机数组成的第四字符串进行加密,并将加密后的第四字符串发送给所述第二设备;若接收到所述第二设备反馈的密钥协商成功信息,则确定与第二设备进行身份验证通过。
可选的,所述安全芯片,具体用于:
将所述第一随机数和第二随机数作为目标字符串;
根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥,包括:
按照与所述第二设备相同的提取方式,分别从所述第一随机数和第二随机数中选取字符;
按照与所述第二设备相同的组合方式,将从所述第一随机数中选取的字符和从所述第二随机数中选取的字符进行组合,得到根密钥,并将所述根密钥作为通信密钥。
可选的,所述安全芯片,具体用于:
将所述第一随机数、所述第二随机数以及动态字符串,作为所述目标字符串,其中所述动态字符串包括下列中的部分或全部:所述动态字符串的生成时间、路侧单元的标识、第二设备的标识;
根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥,包括:
按照与所述第二设备相同的提取方式,分别从所述第一随机数和第二随机数中选取字符;
按照与所述第二设备相同的组合方式,将从所述第一随机数中选取的字符和从所述第二随机数中选取的字符进行组合,得到根密钥;
按照与所述第二设备相同的加密方式,使用所述根密钥对所述动态字符串进行加密,得到派生密钥,将所述派生密钥作为通信密钥。
可选的,所述安全芯片,还用于:
若所述路侧单元和所述第二设备的通信次数超过预设次数,则更新所述动态字符串,并按照与所述第二设备相同的加密方式,使用所述根密钥对更新后的所述动态字符串进行加密,生成新的派生密钥,并将所述新的派生密钥作为通信密钥。
基于上述介绍,本发明实施例还提供的一种道路交通控制信号机,包括:通信单元、主芯片、以及安全芯片;
所述安全芯片,用于在与用于车路协同的第二设备进行身份验证通过后,确定所述第二设备生成通信密钥时使用的目标字符串;根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥;在与所述第二设备通信过程中,采用所述通信密钥对发送给所述第二设备的车路协同数据进行加密操作,以及采用所述通信密钥对接收到的所述第二设备的车路协同数据进行解密操作;
所述主芯片,用于接收所述安全芯片加密操作后的发送给所述第二设备的车路协同数据,以及接收所述安全芯片解密操作后的所述第二设备发送的车路协同数据;
所述通信单元,用于接收所述主芯片发送的加密后的车路协同数据,并发送给所述第二设备;以及接收所述第二设备发送的加密后的车路协同数据,并发送给所述安全芯片。
可选的,所述安全芯片,具体用于:
通过随机数生成器生成第一随机数,将道路交通控制信号机的证书、采用道路交通控制信号机私钥签名的所述第一随机数和道路交通控制信号机标识组成的第一字符串,作为第一身份验证信息,发送给所述第二设备;以及
接收所述第二设备发送的反馈信息;若采用所述第一随机数对所述反馈信息解密成功,则确定与第二设备进行身份验证通过,并向所述第二设备反馈密钥协商成功信息;
其中,所述反馈信息为第二设备对道路交通控制信号机进行身份验证通过后,采用第一随机数对所述第一随机数和通过随机数生成器生成的第二随机数组成的第二字符串进行加密得到的;或
接收所述第二设备发送的第二身份验证信息;其中,所述第二身份验证信息包括第二设备的证书、采用第二设备私钥签名的所述第二设备的第二随机数和第二设备标识组成的第三字符串;若所述第二设备的证书合法,且对签名后的所述第三字符串的签名验证通过,则确定对第二设备进行身份验证通过,以及
通过随机数生成器生成第一随机数;采用所述第二随机数,对所述第一随机数和所述第二随机数组成的第四字符串进行加密,并将加密后的第四字符串发送给所述第二设备;若接收到所述第二设备反馈的密钥协商成功信息,则确定与第二设备进行身份验证通过。
可选的,所述安全芯片,具体用于:
将所述第一随机数和第二随机数作为目标字符串;
根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥,包括:
按照与所述第二设备相同的提取方式,分别从所述第一随机数和第二随机数中选取字符;
按照与所述第二设备相同的组合方式,将从所述第一随机数中选取的字符和从所述第二随机数中选取的字符进行组合,得到根密钥,并将所述根密钥作为通信密钥。
可选的,所述安全芯片,具体用于:
将所述第一随机数、所述第二随机数以及动态字符串,作为所述目标字符串,其中所述动态字符串包括下列中的部分或全部:所述动态字符串的生成时间、道路交通控制信号机的标识、第二设备的标识;
根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥,包括:
按照与所述第二设备相同的提取方式,分别从所述第一随机数和第二随机数中选取字符;
按照与所述第二设备相同的组合方式,将从所述第一随机数中选取的字符和从所述第二随机数中选取的字符进行组合,得到根密钥;
按照与所述第二设备相同的加密方式,使用所述根密钥对所述动态字符串进行加密,得到派生密钥,将所述派生密钥作为通信密钥。
可选的,所述安全芯片,还用于:
若所述道路交通控制信号机和所述第二设备的通信次数超过预设次数,则更新所述动态字符串,并按照与所述第二设备相同的加密方式,使用所述根密钥对更新后的所述动态字符串进行加密,生成新的派生密钥,并将所述新的派生密钥作为通信密钥。
在示例性实施例中,还提供了一种包括指令的存储介质,例如包括指令的存储器,上述指令可由第一设备的处理器执行以完成上述用于车路协同的加密通信方法;或上述指令可由路侧单元的安全芯片执行以完成上述用于车路协同的加密通信方法;或上述指令可由道路交通控制信号机的安全芯片执行以完成上述用于车路协同的加密通信方法。可选地,存储介质可以是非临时性计算机可读存储介质,例如,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
本发明实施例还提供一种计算机程序产品,当所述计算机程序产品在第一设备上运行时,使得所述第一设备执行实现本发明实施例上述任意一项用于车路协同的加密通信方法;或使得所述路侧单元执行实现本发明实施例上述任意一项用于车路协同的加密通信方法;或使得所述道路交通控制信号机执行实现本发明实施例上述任意一项用于车路协同的加密通信方法。
本领域技术人员在考虑说明书及实践这里发明的发明后,将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未发明的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (10)
1.一种用于车路协同的第一设备,其特征在于,包括:通信单元、以及处理器;
所述处理器,用于在与用于车路协同的第二设备进行身份验证通过后,确定所述第二设备生成通信密钥时使用的目标字符串;根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥;在与所述第二设备通信过程中,采用所述通信密钥对发送给所述第二设备的车路协同数据进行加密操作,以及采用所述通信密钥对接收到的所述第二设备的车路协同数据进行解密操作;
所述通信单元,用于将加密后的车路协同数据发送给所述第二设备;以及接收所述第二设备发送的加密后的车路协同数据。
2.根据权利要求1所述的第一设备,其特征在于,所述处理器,具体用于:
通过随机数生成器生成第一随机数,将第一设备的证书、采用第一设备私钥签名的所述第一随机数和第一设备标识组成的第一字符串,作为第一身份验证信息,发送给所述第二设备;以及
接收所述第二设备发送的反馈信息;若采用所述第一随机数对所述反馈信息解密成功,则确定与第二设备进行身份验证通过,并向所述第二设备反馈密钥协商成功信息;
其中,所述反馈信息为第二设备对第一设备进行身份验证通过后,采用第一随机数对所述第一随机数和通过随机数生成器生成的第二随机数组成的第二字符串进行加密得到的;或
接收所述第二设备发送的第二身份验证信息;其中,所述第二身份验证信息包括第二设备的证书、采用第二设备私钥签名的所述第二设备的第二随机数和第二设备标识组成的第三字符串;若所述第二设备的证书合法,且对签名后的所述第三字符串的签名验证通过,则确定对第二设备进行身份验证通过,以及
通过随机数生成器生成第一随机数;采用所述第二随机数,对所述第一随机数和所述第二随机数组成的第四字符串进行加密,并将加密后的第四字符串发送给所述第二设备;若接收到所述第二设备反馈的密钥协商成功信息,则确定与第二设备进行身份验证通过。
3.根据权利要求2所述的第一设备,其特征在于,所述处理器,具体用于:
将所述第一随机数和第二随机数作为目标字符串;
根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥,包括:
按照与所述第二设备相同的提取方式,分别从所述第一随机数和第二随机数中选取字符;
按照与所述第二设备相同的组合方式,将从所述第一随机数中选取的字符和从所述第二随机数中选取的字符进行组合,得到根密钥,并将所述根密钥作为通信密钥。
4.根据权利要求2所述的第一设备,其特征在于,所述处理器,具体用于:
将所述第一随机数、所述第二随机数以及动态字符串,作为所述目标字符串,其中所述动态字符串包括下列中的部分或全部:所述动态字符串的生成时间、第一设备的标识、第二设备的标识;
根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥,包括:
按照与所述第二设备相同的提取方式,分别从所述第一随机数和第二随机数中选取字符;
按照与所述第二设备相同的组合方式,将从所述第一随机数中选取的字符和从所述第二随机数中选取的字符进行组合,得到根密钥;
按照与所述第二设备相同的加密方式,使用所述根密钥对所述动态字符串进行加密,得到派生密钥,将所述派生密钥作为通信密钥。
5.根据权利要求4所述的第一设备,其特征在于,所述处理器,还用于:
若所述第一设备和所述第二设备的通信次数超过预设次数,则更新所述动态字符串,并按照与所述第二设备相同的加密方式,使用所述根密钥对更新后的所述动态字符串进行加密,生成新的派生密钥,并将所述新的派生密钥作为通信密钥。
6.一种路侧单元,其特征在于,包括:通信单元、主芯片、以及安全芯片;
所述安全芯片,用于在与用于车路协同的第二设备进行身份验证通过后,确定所述第二设备生成通信密钥时使用的目标字符串;根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥;在与所述第二设备通信过程中,采用所述通信密钥对发送给所述第二设备的车路协同数据进行加密操作,以及采用所述通信密钥对接收到的所述第二设备的车路协同数据进行解密操作;
所述主芯片,用于接收所述安全芯片加密操作后的发送给所述第二设备的车路协同数据,以及接收所述安全芯片解密操作后的所述第二设备发送的车路协同数据;
所述通信单元,用于接收所述主芯片发送的加密后的车路协同数据,并发送给所述第二设备;以及接收所述第二设备发送的加密后的车路协同数据,并发送给所述安全芯片。
7.一种道路交通控制信号机,其特征在于,包括:通信单元、主芯片、以及安全芯片;
所述安全芯片,用于在与用于车路协同的第二设备进行身份验证通过后,确定所述第二设备生成通信密钥时使用的目标字符串;根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥;在与所述第二设备通信过程中,采用所述通信密钥对发送给所述第二设备的车路协同数据进行加密操作,以及采用所述通信密钥对接收到的所述第二设备的车路协同数据进行解密操作;
所述主芯片,用于接收所述安全芯片加密操作后的发送给所述第二设备的车路协同数据,以及接收所述安全芯片解密操作后的所述第二设备发送的车路协同数据;
所述通信单元,用于接收所述主芯片发送的加密后的车路协同数据,并发送给所述第二设备;以及接收所述第二设备发送的加密后的车路协同数据,并发送给所述安全芯片。
8.一种用于车路协同的加密通信方法,其特征在于,应用于用于车路协同的第一设备中,所述方法包括:
在与用于车路协同的第二设备进行身份验证通过后,确定所述第二设备生成通信密钥时使用的目标字符串;
根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥;
在与所述第二设备通信过程中,采用所述通信密钥对发送给所述第二设备的车路协同数据进行加密操作,以及采用所述通信密钥对接收到的所述第二设备的车路协同数据进行解密操作。
9.根据权利要求8所述的用于车路协同的加密通信方法,其特征在于,确定所述第二设备生成通信密钥时使用的目标字符串,包括:
将所述第一随机数和第二随机数作为目标字符串;
根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥,包括:
按照与所述第二设备相同的提取方式,分别从所述第一随机数和第二随机数中选取字符;
按照与所述第二设备相同的组合方式,将从所述第一随机数中选取的字符和从所述第二随机数中选取的字符进行组合,得到根密钥,并将所述根密钥作为通信密钥。
10.根据权利要求8所述的用于车路协同的加密通信方法,其特征在于,确定所述第二设备生成通信密钥时使用的目标字符串,包括:
将所述第一随机数、所述第二随机数以及动态字符串,作为所述目标字符串,其中所述动态字符串包括下列中的部分或全部:所述动态字符串的生成时间、第一设备的标识、第二设备的标识;
根据与所述第二设备相同的密钥生成方式,对所述目标字符串进行密钥生成处理,生成通信密钥,包括:
按照与所述第二设备相同的提取方式,分别从所述第一随机数和第二随机数中选取字符;
按照与所述第二设备相同的组合方式,将从所述第一随机数中选取的字符和从所述第二随机数中选取的字符进行组合,得到根密钥;
按照与所述第二设备相同的加密方式,使用所述根密钥对所述动态字符串进行加密,得到派生密钥,将所述派生密钥作为通信密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110284748.9A CN115119178A (zh) | 2021-03-17 | 2021-03-17 | 用于车路协同的加密通信方法及具有加密通信功能的设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110284748.9A CN115119178A (zh) | 2021-03-17 | 2021-03-17 | 用于车路协同的加密通信方法及具有加密通信功能的设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115119178A true CN115119178A (zh) | 2022-09-27 |
Family
ID=83323173
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110284748.9A Pending CN115119178A (zh) | 2021-03-17 | 2021-03-17 | 用于车路协同的加密通信方法及具有加密通信功能的设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115119178A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115361243A (zh) * | 2022-10-24 | 2022-11-18 | 广州万协通信息技术有限公司 | 安全芯片的无人驾驶信息交互方法及安全芯片装置 |
| CN116528228A (zh) * | 2023-07-03 | 2023-08-01 | 合肥工业大学 | 一种车联网预置、会话密钥分发方法、通信方法及系统 |
| CN117376904A (zh) * | 2023-12-08 | 2024-01-09 | 合肥工业大学 | 一种车组通信方法 |
-
2021
- 2021-03-17 CN CN202110284748.9A patent/CN115119178A/zh active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115361243A (zh) * | 2022-10-24 | 2022-11-18 | 广州万协通信息技术有限公司 | 安全芯片的无人驾驶信息交互方法及安全芯片装置 |
| CN116528228A (zh) * | 2023-07-03 | 2023-08-01 | 合肥工业大学 | 一种车联网预置、会话密钥分发方法、通信方法及系统 |
| CN116528228B (zh) * | 2023-07-03 | 2023-08-25 | 合肥工业大学 | 一种车联网预置、会话密钥分发方法、通信方法及系统 |
| CN117376904A (zh) * | 2023-12-08 | 2024-01-09 | 合肥工业大学 | 一种车组通信方法 |
| CN117376904B (zh) * | 2023-12-08 | 2024-02-02 | 合肥工业大学 | 一种车组通信方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110134424B (zh) | 固件升级方法及系统、服务器、智能设备、可读存储介质 | |
| CN111028397B (zh) | 认证方法及装置、车辆控制方法及装置 | |
| CN104683112B (zh) | 一种基于rsu协助认证的车‑车安全通信方法 | |
| CN115119178A (zh) | 用于车路协同的加密通信方法及具有加密通信功能的设备 | |
| JP6065113B2 (ja) | データ認証装置、及びデータ認証方法 | |
| EP3001598B1 (en) | Method and system for backing up private key in electronic signature token | |
| CN108683501B (zh) | 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法 | |
| EP3001599B1 (en) | Method and system for backing up private key of electronic signature token | |
| KR102020898B1 (ko) | 신뢰 실행 환경 기반 세션키 수립 방법 | |
| CN108650028B (zh) | 基于量子通信网络与真随机数的多次身份认证系统和方法 | |
| CN107454079A (zh) | 基于物联网平台的轻量级设备认证及共享密钥协商方法 | |
| CN110768938A (zh) | 一种车辆安全通信方法及装置 | |
| JP2008060789A (ja) | 公開鍵配布システムおよび公開鍵配布方法 | |
| CN108809903B (zh) | 一种认证方法、装置及系统 | |
| US20090254749A1 (en) | Cooperation method and system of hardware secure units, and application device | |
| CN112383395B (zh) | 密钥协商方法及装置 | |
| KR20110083886A (ko) | 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법 | |
| CN117254910B (zh) | 车载自组网络下基于量子随机数的高效组密钥分发方法 | |
| CN111131160B (zh) | 一种用户、服务及数据认证系统 | |
| CN111107550A (zh) | 5g终端设备双通道接入注册方法、设备及存储介质 | |
| KR20200043855A (ko) | Dim을 이용한 드론 인증 방법 및 장치 | |
| CN114389812B (zh) | 一种基于puf的车联网轻量级隐私保护批量认证方法 | |
| CN115776675A (zh) | 一种用于车路协同的数据传输方法及装置 | |
| CN113115309B (zh) | 车联网的数据处理方法、装置、存储介质和电子设备 | |
| US11570008B2 (en) | Pseudonym credential configuration method and apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |