CN115296826B - 多边共管多标识天地一体化智能网联汽车高安全专网系统 - Google Patents
多边共管多标识天地一体化智能网联汽车高安全专网系统 Download PDFInfo
- Publication number
- CN115296826B CN115296826B CN202211231452.1A CN202211231452A CN115296826B CN 115296826 B CN115296826 B CN 115296826B CN 202211231452 A CN202211231452 A CN 202211231452A CN 115296826 B CN115296826 B CN 115296826B
- Authority
- CN
- China
- Prior art keywords
- network
- identification
- interface
- user
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供多边共管多标识天地一体化智能网联汽车高安全专网系统,对天线接口和Uu接口通信分为接入层、网络层和应用层,对PC5接口通信分为接入层和安全应用层,并通过安全态势感知系统MIN‑SSAS覆盖所有层级;所述接入层包括支持车辆网的Uu接口、PC5接口以及卫星天线接口;所述网络层基于多标识路由器MIR完成标识符互译、路由寻址、内容过滤以及数据保护;所述应用层包括用户应用接口和用于对所述标识进行管理的多标识管理系统MIS,将整个网络从上到下划分为分层的域;所述安全态势感知系统MIN‑SSAS用于对网络各个层级的流量进行监控。本发明能够有效的保障车联网的安全性、可靠性、兼容性以及可扩展性。
Description
技术领域
本发明涉及一种车联网系统,尤其涉及一种多边共管多标识天地一体化智能网联汽车高安全专网系统。
背景技术
车联网V2X(Vehicle to Everything)指的是车、路、行人及互联网间进行无线通讯和信息交换的系统网络。现阶段车联网V2X的实现方式是C-V2X,即基于蜂窝技术的车联网通信,这种车联网包括车载单元OBU(简称OBU)、路侧单元RSU(简称RSU)、Uu接口和PC5接口。Uu接口是指OBU/RSU与基站之间的接口,实现与移动网络通信;PC5接口是指OBU与OBU,OBU与RSU之间的直联通信接口,即车辆与其他设施之间不借助移动网络而直接进行通信。Uu口实现的OBU/RSU与基站之间的通信仍然基于传统的TCP/IP通信协议栈,此外,RUS通过光纤连接的边缘计算单元MEC也是采用TCP/IP协议组网。因此,当前的智能网联汽车V2X的核心网络体系仍然围绕TCP/IP网络进行展开。但是当前IP体系下智能网联汽车面临的问题较多,具体详见下面的描述。
(1) IP域名解析由单一机构管控问题。现有网站IP地址和域名之间对应关系实质上由单一机构控制掌握,并由ICANN(因特网名称与数字地址分配公司)负责。全球因特网的建设经营总部、规划管理总部、主干网、总枢纽、万维网(Web)总站以及网站域名主根服务器,全部在单一机构,受单一机构的控制。
(2)基于寻址的设备间数据传输不能适应未来以内容为核心的网络发展需求问题。现有的网络体系通过分层协作,实现了合理有序的数据交换。TCP/IP体系结构对网络通信方式进行了规范,实现了基于寻址的主机间数据传输。随着社会的发展和网络的不断变化,内容的分发和获取在用户需求中逐步占据主导地位。基于“设备到设备”通信模式的TCP/IP网络逐渐显示出对当前网络需求的不适用性:可扩展性、可移动性和安全性等无法很好地满足网络的发展需求。
(3)C-V2X网络存在的多种网络攻击问题。智能网联V2X目前主要的安全风险包括假冒终端、伪基站、信令/数据窃听、信令/数据篡改/重放等。在未经保护的情况下,非法终端可以假冒合法终端的身份接入运营商的蜂窝网络,占用网络资源,获取网络服务。同时,假冒合法终端身份,发送伪造的网络信令或业务数据信息,影响系统的正常运行。
(4)C-V2X网络部署覆盖不足问题。由于C-V2X的Uu口通信主要是复用现有 4G 和未来 5G 移动基站和通信网络,而4G/5G网络部署覆盖面积相比于整个陆地面积而言占比很小,对于偏远地区道路交通的智能网联通信无法有效支持。此外,C-V2X的网络通信服务受到地表形态和自然灾害等因素的限制。
现有技术中,为了进行地址空间扩展和通信机制优化,提出了IPv6的技术。IPv6的全称是“Internet Protocol version 6”,表示的是“互联网协议第6版”,是由国际互联网工程任务组(IETF)在1998年12月发布的最新版本互联网协议。相较于传统的IPv4协议,IPv6不仅扩展了原有的地址空间,还对网络层的通信机制进行了优化,使得报文处理过程在性能与安全性方面得以大幅提高。
将IPv6应用到车联网中,可以将车看作网络中的一个个节点。由于其遵循聚类(Aggregation)的原则,这使得路由器能在路由表中用一条记录(Entry)表示一片子网,大大减小了路由器中路由表的长度,提高了路由器转发数据包的速度。同时,IPv6极大提高了IP地址数量,可有效解决日益增长的智能网联车数量与有限IP数量之间的矛盾。
但是,IPV6本质上只是IPV4的升级版,并未从根本上解决IP体系的安全隐患问题,在传统IPv4网络中屡见不鲜的恶意攻击手段也同样时刻威胁着IPv6的网络应用服务。例如在第四届“强网”拟态防御国际精英挑战赛中,赛方在全球首次开辟了高级驾驶辅助系统(ADAS)功能安全新赛道。其中比赛部署的 15 款国内外主流商用高级驾驶辅助系统(ADAS),均被赛队选手发现存在安全漏洞,有些还是可直接影响行车安全的高危漏洞。在实车验证环节,选手们在短短半个小时内,就利用他们发现的商用 ADAS 高危漏洞实现了远程控制车辆转向、加速、刹车和开门等操作,这就表明了IP网络体系下智能网络安全问题明显存在严峻性和迫切性,也表现出了智能网络行业对于高安全专用网络需求的迫切。
现有技术中,还提出另一种命名数据网络的车联网技术。命名数据网络(NamedData Networking,NDN)提出于2010年,它的前身是内容中心网络(Content-CentricNetworking,CCN)。其使用接收端驱动的拉取式通信语义来替换IP网络中发送端驱动的推送式通信语义。在NDN中,内容消费者(Consumer)通过向网络中发出兴趣包(Interest)来获取内容,任意缓存有对应内容的中间路由器或者内容生产者(Producer)收到Interest都会响应一个数据包(Data),每个Interest可以拉取一个Data,Interest和Data是一一对应的关系。
车联网通过新一代信息通信技术,实现车与云平台、车与车、车与路、车与人、车内等全方位网络链接。从应用服务角度看,车联网V2X通信关注的内容本身,而非网络主导的实体,随着智能网联汽车的发展和网络的不断变化,内容的分发和获取在车联网需求中逐步占据主导地位。而NDN根据内容本身对网络中的所有内容数据进行命名,在路由查找和转发机制中通过对命名数据的名字匹配来获取路由信息的特性,基本符合车联网未来发展的需求。
但是,由于NDN采用了颠覆式的架构设计,且只使用单一的通信语义,重新构建了一个难以扩展的网络层,因此无法很好的兼容现有的IP网络,也无法解决未来可能出现的新的通信需求。在新的通信需求出现时,就需要对网络架构进行颠覆式的重构,甚至还需要提出另一种新的网络架构来进行替代。因此,也不能很好的满足车辆网的实际应用和升级需求。
发明内容
本发明所要解决的技术问题是需要提供一种多边共管多标识天地一体化智能网联汽车高安全专网系统,旨在通过融合多种技术为一体的新型网络架构体系,高效地解决IP域名解析由单一机构管控、基于寻址的设备间数据传输不能适应未来以内容为核心的网络发展需求、无法避免现有网络存在的多种网络攻击以及网络部署覆盖不足等技术问题。
对此,本发明提供一种多边共管多标识天地一体化智能网联汽车高安全专网系统,对天线接口和Uu接口通信分为接入层、网络层和应用层,对PC5接口通信分为接入层和安全应用层,并通过基于多标识网络的安全态势感知系统MIN-SSAS覆盖所有层级;所述Uu接口表示车载单元OBU或路侧单元RSU与基站之间的接口,所述PC5接口表示车载单元OBU与车载单元OBU或车载单元OBU与路侧单元RSU之间的直联通信接口;其中:
所述接入层,包括支持车辆网的Uu接口、PC5接口以及卫星天线接口,所述Uu接口和卫星天线接口与所述网络层对接,所述PC5接口与基于PC5通信开发对应的安全应用层对接;
所述网络层,基于多标识路由器MIR完成标识符互译、路由寻址、内容过滤以及数据保护,所述多标识路由器MIR基于多种类型的标识进行路由寻址,所述标识包括身份、内容、IP、服务、地理信息、车辆信息以及车辆驾驶者;并且,所有基于标识的通信均需要绑定认证过的唯一的身份标识,在发出数据包时携带其对应的私钥签名;
所述应用层,包括用户应用接口和用于对所述标识进行管理的多标识管理系统MIS,所述多标识管理系统MIS将整个网络从上到下划分为分层的域,顶级域中的节点用于共同维护一个联盟区块链,顶级域之下的节点用于相应区域实现各自的区域管理;
以及,所述基于多标识网络的安全态势感知系统MIN-SSAS,用于对网络各个层级的流量进行监控,感知并记录网络异常行为。
本发明的进一步改进在于,所述多标识管理系统MIS的MIS子系统通过区块链技术实现用户信息和身份的存储和共治,所述多标识管理系统MIS包括以下模块:
用户注册模块,在接收到客户端的用户注册请求后,通过多个联盟节点对所述用户注册请求进行投票,直到投票共识得到验证,则每个区块链的节点将用户注册信息存储在本地数据库中,并将注册用户信息存储在用户信息表中;
用户查询模块,在接收到客户端的用户查询请求后,通过所述用户信息表查询用户信息并返回给所述客户端;
标识生成模块,在接收到客户端的内容发布请求后,通过多个联盟节点对所述内容发布请求进行投票直到投票共识得到验证,则每个区块链的节点将网络身份和真实地址存储在本地数据库中,并将所述网络身份和真实地址传输到相互转换信息表中;
标识查询模块,在接收到客户端的标识查询请求后,通过名称前缀查询转发表FIB查询对应的网络标识的真实地址,并返回给客户端。
本发明的进一步改进在于,所述多标识管理系统MIS对所述标识进行注册请求,其注册请求的过程包括以下步骤:
步骤A1,拥有资源的用户向监管机构的节点提交标识注册请求;
步骤A2,所述多标识管理系统MIS收到用户的标识注册请求后,根据特定的路由协议将注册数据传送到其对应的域;
步骤A3,对应域的区块链节点收到所述标识的注册请求后,对资源的合规性进行审核,直到审核通过,则资源的标识将由域中的所有区块链节点通过投票达成共识;
步骤A4,区块链节点将注册结果返回给原始请求节点,所述标识注册请求对应的完整的标识信息存储于链下数据库。
本发明的进一步改进在于,所述多标识管理系统MIS对所述标识进行解析,其解析的过程包括以下步骤:
步骤B1,所述多标识管理系统MIS判断所述标识,然后通过名称前缀在内容缓存表(CS , Content Store)和转发信息库(也称转发表FIB ,FIB指的是ForwardingInformation Base)中进行查询,如果查询结果为存在,则通过查询结果完成解析;否则,跳转至步骤B2;
步骤B2,递归查询上域直到获取所述标识,否则,跳转至步骤B3;
步骤B3,如果在顶级域没有找到该标识,则根据所述标识携带的信息查询下级域,直到最低域,如果查询结果为存在,所述多标识管理系统MIS将返回解析结果; 否则,返回错误消息。
本发明的进一步改进在于,所述多标识路由器MIR中,对用户的注册过程包括以下步骤:
步骤C1,为用户在本地生成公钥和私钥,然后将公钥和用私钥签名的身份信息提交给所述多标识管理系统MIS中的任意节点;
步骤C2,当节点接收到客户端发送的用户注册请求时,先检查其格式,直到格式正确则在本地数据库中搜索用户信息,并进行验证,所述验证的内容包括用户名是否合法、用户信息是否存在重复以及用户公私钥是否有效,若任意一项内容验证不通过则判定为验证失败,向用户返回错误信息,若全部内容验证通过,则通过所述多标识管理系统MIS联盟链的记账节点生成一个交易,并将其发送给所有区块链的节点;
步骤C3,区块链中的投票节点收到一个预区块时,将对是否允许这个预区块成为一个正式区块的形式进行投票;
步骤C4,投票节点收集投票结果进行计数并生成投票证明;
步骤C5,区块信息存储在数据库中,然后从区块中提取用户注册信息,并存储在用户信息表中,所述用户信息表所包括的用户信息包括注册的公钥信息、标识符前缀、用户权限、时间戳以及真实身份信息。
本发明的进一步改进在于,所述多标识路由器MIR在多标识路由寻找的过程中采用拉式语义实现通信,在拉式语义中内嵌身份验证信息和包签名机制信息,其过程如下:对于接收到的包,所述多标识路由器MIR先进行格式审查,并通过识别所述标识中存放的标识类型区分包的类型,直到类型为MIN包则继续转发;所述多标识路由器MIR先以包验证模块验证其签名是否正确有效,如果验证失败,则丢弃该包,如果验证通过,则将该包传递给标识选择模块,选出用于转发的标识,并根据所述标识区分不同的网络分组以执行对应的转发处理流程;所述MIN包表示多标识网络数据包。
本发明的进一步改进在于,根据所述标识区分不同的网络分组以执行对应的转发处理流程,其实现过程包括:
步骤D1,判断所述标识区分的网络分组,若为兴趣包,则跳转至步骤D2;若是数据包,则跳转至步骤D5;
步骤D2,查询本地内容缓存,如果命中缓存,则直接返回请求的数据;否则查询待定兴趣表PIT,并跳转至步骤D3;
步骤D3,如果待定兴趣表PIT中存在匹配的条目,则聚合这些同样名字的兴趣包,将接收到兴趣包的逻辑接口记录到对应待定兴趣表PIT的条目中,并停止转发该兴趣包;如果待定兴趣表PIT 中不存在匹配的条目,则为其创建一个待定兴趣表PIT 条目,并跳转至步骤D4;
步骤D4,查询转发表FIB中是否有匹配的路由,如果查询成功,则根据转发策略进行转发;否则,根据转发策略选择丢弃或者返回Nack 消息,所述Nack 消息表示不确认信息;
步骤D5,查询待定兴趣表PIT表,如果没有查询到匹配的条目,则直接丢弃;否则将该数据包存储到本地缓存中,并根据转发策略进行转发。
本发明的进一步改进在于,所述基于多标识网络的安全态势感知系统MIN-SSAS包括数据采集模块、数据处理模块和态势评估模块,并将所有异常事件锁定在PPoV区块链中,PPov区块链指的是基于并行投票证明的区块链;其中:
所述数据采集模块,用于监控和采集网络的实时流量,并通过NetFlow工具和TCPdump工具检测并采集所述多标识路由器MIR的异常数据;
所述数据处理模块,用于将采集到的数据进行分析、分类、提取和存储,根据结果记录异常流量和事件并上报给管理员;
所述态势评估模块,用于负责实时评估和预测系统的安全态势。
本发明的进一步改进在于,工作场景包括全网络场景、基站网络场景、卫星网络场景以及无网络场景;其中:
在所述全网络场景中,车辆通过所述Uu接口与蜂窝基站进行通信,车辆通过卫星进行实时定位及星车间的网络通信,其中高轨卫星提供实时定位服务,低轨通信卫星为车联网提供全域覆盖的通信支持,车辆与车辆之间通过所述PC5接口直接连接进行通信;星车间的网络通信指的是卫星与车辆之间的网络通信;
在所述基站网络场景中,车辆通过所述Uu接口与蜂窝基站进行通信,车辆与车辆之间通过所述PC5接口直接连接进行通信;
在所述卫星网络场景中,车辆通过卫星进行实时定位及星车间的网络通信,其中高轨卫星提供实时定位服务,低轨通信卫星为车联网提供全域覆盖的通信支持,车辆与车辆之间通过所述PC5接口直接连接进行通信;
在所述无网络场景中,车辆与车辆之间通过所述PC5接口直接连接进行通信。
本发明的进一步改进在于,安全机制包括拉式语义通信、区块链记录请求以及采用身份为中心的网络,其中:
所述拉式语义通信中,在接收方主动发出拉取数据请求之后,先进行真实身份信息的登录和验证,在验证通过后所述多标识路由器MIR进行多标识路由寻找;
所述区块链记录请求中,通过区块链记录请求的内容、发布的内容以及对应的用户信息;
所述采用身份为中心的网络中,每个用户和网络设备在入网前,通过所述多标识管理系统MIS联盟链注册自己的真实身份信息,以获得其唯一的身份标识,在发出的每个数据包均采用对应的私钥签名。
与现有技术相比,本发明的有益效果在于:在域名管理上采用基于区块链的多边共管的顶层设计,在网络路由寻址上采用内嵌身份认证和包签名的多标识寻址方案,在网络安全上设计了以身份为中心的网络安全机制,在工作场景上支持天地一体化车联网络,进而通过融合多种技术为一体的新型网络架构体系,高效地解决IP域名解析由单一机构管控、基于寻址的设备间数据传输不能适应未来以内容为核心的网络发展需求、无法避免现有网络存在的多种网络攻击以及网络部署覆盖不足等技术问题,使得车联网络在信任管理、自认证以及零信任等方面具有非常显著的优势,能够有效的保障车联网的安全性、可靠性、兼容性以及可扩展性。
更为具体的,本发明在域名管理上提出多变共管的技术方案,所述多标识管理系统MIS将整个网络从上到下划分为分层的域,顶级域中的节点用于共同维护一个联盟区块链,顶级域之下的节点用于相应区域实现各自的区域管理,所述多标识管理系统MIS系统通过区块链技术实现用户信息和身份的存储和共治,进而很好地解决IP域名解析由单一机构管控的技术问题。
在此基础上,本发明在网络路由设计上提出内嵌身份认证和包签名的多标识路由寻址方案,支持多种网络标识和多种传输方式,摆脱对传统网络的寻址依赖,结合专有身份认证方案,设计基于多种类型的标识进行路由寻址,能够很好地满足和适应未来以内容为核心的网络发展需求。
加之,本发明在车联网V2X网络安全领域提出以身份为中心的高安全网络机制。不依赖于IP系统,所有利用IP安全缺陷构建的IP攻击在MIN网络中都是无效的;通过公钥用于对每个数据包进行签名;通过拉式语义实现通信,即以身份为中心的网络均由数据消费者驱动,只有已经请求的内容才能发送给消费者,内容生产者不能主动发送数据,进而很好地避免了现有网络存在的多种网络攻击问题。
最后,本发明将卫星通信网络融入至包括V2X网络体系的接入层,并设计了相应的接入方案和网络层,有效地保障边远地区的智能驾驶服务,很好地解决了网络部署覆盖不足的技术问题。
附图说明
图1是本发明一种实施例的协议栈示意图;
图2是本发明一种实施例的用户信息表;
图3是本发明一种实施例的节点身份示意图;
图4是本发明一种实施例的用户入网流程示意图;
图5是本发明一种实施例的多标识路由器MIR包类型示意图;
图6是本发明一种实施例的安全态势感知系统MIN-SSAS架构图;
图7是本发明一种实施例在全网络场景中的智能网联示意图;
图8是本发明一种实施例在无网络场景中的智能网联示意图;
图9是本发明一种实施例在基站网络场景中的智能网联示意图;
图10和图11是本发明一种实施例在卫星网络场景中的智能网联示意图。
具体实施方式
下面结合附图,对本发明的较优的实施例作进一步的详细说明。
由于智能网联汽车C-V2X基于TCP/IP 网络体系面临4类技术问题:IP域名解析由单一机构管控、基于寻址的设备间数据传输不能适应未来以内容为核心的网络发展需求、无法避免现有网络存在的多种网络攻击以及网络部署覆盖不足等技术问题。而解决以上问题明显不能依靠单一技术来解决,因此,本申请提出了一种融合了多种技术的复合型网络体系。本申请针对智能网联汽车V2X网络,提出一种多边共管多标识天地一体化智能网联汽车高安全专网,简称MIN-V2X,即Multi-Identifier Network for Vehicle toEverything。MIN-V2X围绕基于区块链的顶级域名各国共管共治各国标识空间主权独立、以身份标识为核心的多标识共存、高安全以及天地一体化网络四个核心点展开,满足各组织车联网网络空间主权独立、安全和平有序以及未来可持续发展的迫切需求,推动车联网网络空间命运共同体建设。
第一、针对IP域名解析被单一管控问题,MIN-V2X提出融合区块链技术实现了去中心化的标识管理和解析,实现未来车联网网络体系中全球非IP顶级标识的多边平等共管。第二、针对基于寻址的设备间数据传输不能适应未来以内容为核心的网络发展需求,MIN-V2X支持利用身份、内容、服务、IP及北斗地空等多种网络标识来进行路由,内容的获取和分发都基于数据包和兴趣包的形式进行拉式语义通信。第三、针对车联网络存在的各种网络攻击问题,MIN-V2X提出以身份为中心的网络构建整个车联网络的安全生态体系,有效防御和监测各类网络攻击,保障车联网络V2X的安全性和可靠性。第四、针对车联网C-V2X网络部署覆盖不足问题,MIN-V2X将卫星通信网络融入网络体系的接入层,有效保障边远地区的智能驾驶服务。值得说明的是,本申请针对上述四个重点要解决的技术问题所提出的技术方案是一个整体的技术方案,技术特征之间是相互协作和关联的,进而通过相互之间的协作才能很好地实现其整体的技术效果。而作为未来6G网络的核心,本申请增加了卫星通信网能极大提升大数据通信带宽,通信覆盖面积、降低时延,提升车联网实时性。
因此,如图1所示,本实施例提供一种多边共管多标识天地一体化智能网联汽车高安全专网系统,也可以简称MIN-V2X,即Multi-Identifier Network for Vehicle toEverything;对天线接口和Uu接口通信分为接入层、网络层和应用层,对PC5接口通信分为接入层和安全应用层,并通过基于多标识网络的安全态势感知系统MIN-SSAS覆盖所有层级,MIN指的是Multi-Identifier Network,即多标识网络;SSAS指的是Securitysituational awareness system,本实施例所述安全态势感知系统MIN-SSAS是基于多标识网络的安全态势感知系统的简称;所述Uu接口表示车载单元OBU或路侧单元RSU与基站之间的接口,所述PC5接口表示车载单元OBU与车载单元OBU或车载单元OBU与路侧单元RSU之间的直联通信接口。
其中:所述接入层,包括支持车辆网的Uu接口、PC5接口以及卫星天线接口,除了兼容目前车联网的Uu接口和PC5接口之外,还支持卫星天线接口;由于卫星通信(对应卫星天线接口)和Uu接口通信都是基于网络的通信,而PC5接口采用直连通信模式,因此,所述Uu接口和卫星天线接口在设计的时候归为一类,与所述网络层对接;所述PC5接口则直接与基于PC5通信开发对应的安全应用层对接。
所述网络层,MIN-V2X基于多标识路由器MIR完成标识符互译、路由寻址、内容过滤以及数据保护等功能,所述多标识路由器MIR基于多种类型的标识进行路由寻址,所述标识包括身份、内容、IP、服务、地理信息、车辆信息以及车辆驾驶者等;并且,所有基于标识的通信均需要绑定认证过的唯一的身份标识,在发出数据包时携带其对应的私钥签名,以保证本实施例的安全性和可溯源;所有标识均由网络层中的MIT、NLSR、IS-IS以及OSPFN中的任意一种或几种路由协议进行传输支撑。
所述应用层,MIN-V2X包括用户应用接口和用于对所述标识进行管理的多标识管理系统MIS,所述多标识管理系统MIS主要用于对所述标识进行管理,涉及的业务包括车联网网络节点的维护、管理用户注册以及管理标识的生成查询与解析。值得说明的是,所述多标识管理系统MIS将整个网络从上到下划分为分层的域,顶级域中的节点用于共同维护一个联盟区块链,联盟区块链简称联盟链,顶级域之下的节点用于相应区域实现各自的区域管理,顶级域之下包括下级域和底层域等;
以及,所述基于多标识网络的安全态势感知系统MIN-SSAS,用于对网络各个层级的流量进行监控,感知并记录网络异常行为。所述安全态势感知系统MIN-SSAS将所有异常事件都锁定在PPoV区块链(并行投票证明区块链)中以保障多标识网络MIN的安全。
本实施例所述多标识管理系统MIS的MIS子系统通过区块链技术实现用户信息和身份的存储和共治,所述多标识管理系统MIS包括以下模块:
用户注册模块,在接收到客户端的用户注册请求后,通过多个联盟节点对所述用户注册请求进行投票,直到投票共识得到验证,则每个区块链的节点将用户注册信息存储在本地数据库中,并将注册用户信息存储在用户信息表中;
用户查询模块,在接收到客户端的用户查询请求后,通过所述用户信息表查询用户信息并返回给所述客户端;
标识生成模块,在接收到客户端的内容发布请求后,通过多个联盟节点对所述内容发布请求进行投票直到投票共识得到验证,则每个区块链的节点将网络身份和真实地址存储在本地数据库中,并将所述网络身份和真实地址传输到相互转换信息表中;
标识查询模块,在接收到客户端的标识查询请求后,通过名称前缀查询转发表FIB查询对应的网络标识的真实地址,并返回给客户端。
本实施例所述多标识管理系统MIS对所述标识进行注册请求,其注册请求的过程包括以下步骤:
步骤A1,拥有资源的用户向监管机构的节点提交标识注册请求;
步骤A2,所述多标识管理系统MIS收到用户的标识注册请求后,根据特定的路由协议将注册数据传送到其对应的域;
步骤A3,对应域的区块链节点收到所述标识注册请求后,对资源的合规性进行审核,直到审核通过,则资源的标识将由域中的所有区块链节点通过投票达成共识;
步骤A4,区块链节点将注册结果返回给原始请求节点,所述标识注册请求对应的完整的标识信息存储于链下数据库。
本实施例所述多标识管理系统MIS对所述标识进行解析,其解析的过程包括以下步骤:
步骤B1,所述多标识管理系统MIS判断所述标识,然后通过名称前缀在内容缓存表(CS , Content Store)和转发信息库(FIB , Forwarding Information Base)中进行查询,如果查询结果为存在,则通过查询结果完成解析;否则,跳转至步骤B2;
步骤B2,递归查询上域直到获取所述标识,否则,跳转至步骤B3;
步骤B3,如果在顶级域没有找到该标识,则根据所述标识携带的信息查询下级域,直到最低域,如果查询结果为存在,所述多标识管理系统MIS将返回解析结果; 否则,返回错误消息。
本实施例的数据平面主要由交换机和多标识路由器MIR组成。所述多标识路由器MIR作为数据平面的核心设备,主要用于标识符互译、路由寻址、内容过滤和数据保护等功能。为了适应不同的场景,MIR同时支持多种网络标识和多种传输方式。多种标识符包括且不限于身份、内容、服务、地理信息、车辆信息和其他变体。具体的路由寻址方案如下:每个用户和网络设备入网前,都需要在所述多标识管理系统MIS的联盟链中注册自己的真实身份信息,以获得其唯一的身份标识,后续发出的每个数据包都需要用对应的私钥签名。本实施例这样的设计能够实现用户与内容的紧密绑定。如果发布或请求的内容有问题,可以准确定位到个人,确保行为和资源可以得到有效管理和控制。
本实施例所述多标识路由器MIR中,对用户的注册过程基于非对称密码学,具体包括以下步骤:
步骤C1,为用户在本地生成公钥和私钥,然后将公钥和用私钥签名的身份信息提交给所述多标识管理系统MIS中的任意节点;
步骤C2,当节点接收到客户端发送的用户注册请求时,先检查其格式,直到格式正确则在本地数据库中搜索用户信息,并进行验证,所述验证的内容包括用户名是否合法、用户信息是否存在重复以及用户公私钥是否有效,若任意一项内容验证不通过则判定为验证失败,向用户返回错误信息,若全部内容验证通过,则通过所述多标识管理系统MIS联盟链的记账节点生成一个交易,并将其发送给所有区块链的节点;
步骤C3,区块链中的投票节点收到一个预区块时,将对是否允许这个预区块成为一个正式区块的形式进行投票;正式区块的形式包括-1、0和1,其分别代表拒绝票、弃权票和同意票;
步骤C4,投票节点收集投票结果进行计数并生成投票证明;
步骤C5,区块信息存储在数据库中,然后从区块中提取用户注册信息,并存储在用户信息表中,所述用户信息表所包括的用户信息包括注册的公钥信息、标识符前缀、用户权限、时间戳以及真实身份信息,如图2所示。
如图3所示,本实施例所述联盟链共识算法把节点的投票权和记账权分离,共设计了投票节点、记账节点、候选记账节点、轮值记账节点和普通节点共五种身份的节点。投票节点 Voter:联盟链是一种基于投票决策的共识机制,所有事务均需经过投票节点投票同意才可通过验证,因此具备投票权的节点具有区块链网络的最高权力。记账节点 Worker:记账节点是区块链记账功能的承载者。其所需执行的工作如下:(1)收集网络节点产生的事务数据,将其存进事务池当中;(2)把事务打包为区块,并广播给所有节点,其打包的区块需要获得超过50%的投票节点同意才能被最终提交至数据库当中。候选记账节点 WorkerCandidate:候选记账节点不具备直接参与共识过程的能力,但具有被投票节点选举成为记账节点的资格。轮值记账节点 Duty Worker:在系统运行的任意时刻,存在唯一的轮值记账节点负责收集投票节点产生的投票信息,并进行统计。该节点从记账节点中选出,在每轮共识完成后将由区块组头中特定值确定下一轮共识的轮值记账节点编号。普通节点Ordinary Node:当一个新节点加入区块链网络时,由于区块链中并未记录其公钥对应的身份信息,因此不能参与共识的任何过程,只能够接收其他节点区块链数据和发布事务。普通节点可通过发布身份转换的事务从而申请成为候选记账节点或者投票节点。网络中的一个节点可兼具多种身份,同时承担多种的功能。各个身份之间的转换关系如图4所示。
在注册完成后,用户对于其发布的每个数据包都需要以自己的私钥进行签名,签名算法采用国密SM2椭圆曲线算法。中间路由器维护从所述多标识管理系统MIS得到的用户信息表,在收到报文后进行身份验证。完整的注册和转发过程示意如图4所示,参与者包括多标识网络MIN 客户端、多标识管理系统MIS以及多标识路由器MIR三个部分。
为了摆脱对IP寻址的依赖,支持多标识路由寻址,本实施例所述多标识路由器MIR在多标识路由寻找的过程中采用拉式语义实现通信,在拉式语义中内嵌身份验证信息和包签名机制信息,在网络通信时使用兴趣包和数据包,如图5所示。本实施例采用的路由器是所述多标识路由器MIR,所述多标识路由器MIR包括逻辑接口、包验证模块、转发模块、转发表模块以及决策器等模块。
在进行拉式语义通信前,先判断是否为接收方主动拉取数据,即判断请求是否为接收方主动拉取数据所发出的,若是,则进行拉式语义通信;若否则丢弃;在进行拉式语义实现通信时,对于接收到的包,所述多标识路由器MIR先进行格式审查,并通过识别所述标识中存放的标识类型区分包的类型,直到类型为MIN包则继续转发;所述多标识路由器MIR先以包验证模块验证其签名是否正确有效,如果验证失败,则丢弃该包,如果验证通过,则将该包传递给标识选择模块,选出用于转发的标识,并根据所述标识区分不同的网络分组以执行对应的转发处理流程;所述MIN包表示多标识网络数据包。
本实施例根据所述标识区分不同的网络分组以执行对应的转发处理流程,其实现过程包括:
步骤D1,判断所述标识区分的网络分组,若为兴趣包,则跳转至步骤D2;若是数据包,则跳转至步骤D5;
步骤D2,查询本地内容缓存,如果命中缓存,则直接返回请求的数据;否则查询待定兴趣表PIT,PIT指的是Pending Interest Table,并跳转至步骤D3;
步骤D3,如果待定兴趣表PIT中存在匹配的条目,则表示已经有相同名字的兴趣包被发出且未被满足,那么聚合这些同样名字的兴趣包,将接收到兴趣包的逻辑接口记录到对应待定兴趣表PIT的条目中,并停止转发该兴趣包;如果待定兴趣表PIT 中不存在匹配的条目,则为其创建一个待定兴趣表PIT 条目,并跳转至步骤D4;
步骤D4,查询转发表FIB中是否有匹配的路由,FIB指的是ForwardingInformation Base,如果查询成功,则根据转发策略进行转发;否则,根据转发策略选择丢弃或者返回Nack 消息,所述Nack 消息指的是不确认信息;
步骤D5,查询待定兴趣表PIT表,如果没有查询到匹配的条目,则说明并不是被用户请求的数据包,直接丢弃;否则将该数据包存储到本地缓存中,并根据转发策略进行转发。
如图6所示,本实施例所述基于多标识网络的安全态势感知系统MIN-SSAS包括数据采集模块、数据处理模块和态势评估模块,并将所有异常事件锁定在PPoV区块链中,PPov区块链指的是基于并行投票证明的区块链。
其中,本实施例所述数据采集模块,用于监控和采集网络的实时流量,并通过NetFlow工具(流量分析工具)和TCP dump工具(数据抓包工具)检测并采集所述多标识路由器MIR的异常数据。
本实施例所述数据处理模块,用于将采集到的数据进行分析、分类、提取和存储,优选采用的是Kafka和Scapy,即Kafka指的是分布式发布订阅消息系统,可以处理消费者在网站中的所有动作流数据;Scapy指的是爬虫开发框架。对于主机检测,本实施例采用综合特征库进行测试,其特征库可以检测常见异常行为,有效捕获攻击者。然后使用人工智能技术对数据进行分析,根据结果记录异常流量和事件并上报给管理员。
本实施例所述态势评估模块,用于负责实时评估和预测系统的安全态势,可以进一步针对安全态势进行阈值设置,将达到阈值的关键的安全信息反馈给管理员调整防御策略。
本实施例能够有效地在多场景下保障网络及通信的安全性,其工作场景包括全网络场景、基站网络场景、卫星网络场景以及无网络场景。
其中,在所述全网络场景中,车辆行使区域与基站和卫星的通信良好,车辆可以同时进行与基站、卫星以及其他车辆的信息传输。如图7所示,车辆通过所述Uu接口与蜂窝基站进行通信,车辆通过卫星进行实时定位及星车间的网络通信,其中高轨卫星提供实时定位服务,低轨通信卫星为车联网提供全域覆盖的通信支持,车辆与车辆之间通过所述PC5接口直接连接进行通信,即直连通信。
在所述无网络场景中,车辆行使区域不能与基站和卫星通信,可以直接与其他车辆信息传输。如图8所示,车辆与车辆之间通过所述PC5接口直接连接进行通信。
在所述基站网络场景中,车辆行驶区域仅与基站通信良好,不能与卫星通信。此时车辆可以同时进行与基站以及其他车辆的信息传输。如图9所示,车辆通过所述Uu接口与蜂窝基站进行通信,车辆与车辆之间通过所述PC5接口直接连接进行通信。
在所述卫星网络场景中,车辆行驶区域仅与卫星通信良好,不能与基站通信。此时车辆可以同时进行与卫星以及其他车辆的信息传输。如图10和图11所示,车辆通过卫星进行实时定位及星车间的网络通信,其中高轨卫星提供实时定位服务,低轨通信卫星为车联网提供全域覆盖的通信支持,车辆与车辆之间通过所述PC5接口直接连接进行通信。
本实施例安全机制包括拉式语义通信、区块链记录请求以及采用身份为中心的网络,所述拉式语义通信指的是,本实施例的资源只能被智能网联MIN-V2X内的用户主动获取。IP网络用户不能主动强制数据进入智能网联MIN-V2X。因此,攻击者不能像在IP网络中那样连续扫描和攻击系统,甚至不能向智能网联MIN-V2X发送恶意信息
其中,在拉式语义通信之前,先判断请求是否为用户主动拉取的请求,若是才进行所述拉式语义通信;在所述拉式语义通信中,在接收方主动发出拉取数据请求之后,先进行真实身份信息的登录和验证,在验证通过后所述多标识路由器MIR进行多标识路由寻找;进而通过上述两种机制保证了攻击者不能像在IP网络中那样连续扫描和攻击系统,不能发送恶意信息,还能够使得流入智能网联MIN-V2X的有害数据可以追溯到特定用户,避免智能网联MIN-V2X中的用户故意从IP网络引入有害数据等问题。
在所述区块链记录请求中,通过区块链记录请求的内容、发布的内容以及对应的用户信息;存储在区块链中的信息不可篡改,异常内容可以快速准确定位到个人,可靠性和可追溯性高。
在所述采用身份为中心的网络中,其传输方式与IP网络完全不同,每个用户和网络设备在入网前,通过所述多标识管理系统MIS联盟链注册自己的真实身份信息,以获得其唯一的身份标识,在发出的每个数据包均采用对应的私钥签名。因此,对于一些绕过过滤机制进入智能网联MIN-V2X的恶意病毒和流量,以及利用IP网络进行破坏的攻击手段,智能网联MIN-V2X的运行环境将被禁用。例如可以在IP中复制的网络蠕虫。
因此,本实施例在域名管理上采用基于区块链的多边共管的顶层设计,在网络路由寻址上采用内嵌身份认证和包签名的多标识寻址方案,在网络安全上设计了以身份为中心的网络安全机制,在工作场景上支持天地一体化车联网络,进而通过融合多种技术为一体的新型网络架构体系,高效地解决IP域名解析由单一机构管控、基于寻址的设备间数据传输不能适应未来以内容为核心的网络发展需求、无法避免现有网络存在的多种网络攻击以及网络部署覆盖不足等技术问题,使得车联网络在信任管理、自认证以及零信任等方面具有非常显著的优势,能够有效的保障车联网的安全性、可靠性、兼容性以及可扩展性。
更为具体的,本实施例在域名管理上提出多变共管的技术方案,所述多标识管理系统MIS将整个网络从上到下划分为分层的域,顶级域中的节点用于共同维护一个联盟区块链,顶级域之下的节点用于相应区域实现各自的区域管理,所述多标识管理系统MIS系统通过区块链技术实现用户信息和身份的存储和共治,进而很好地解决IP域名解析由单一机构管控的技术问题。
在此基础上,本实施例在网络路由设计上提出内嵌身份认证和包签名的多标识路由寻址方案,支持多种网络标识和多种传输方式,摆脱对传统网络的寻址依赖,结合专有身份认证方案,设计基于多种类型的标识进行路由寻址,能够很好地满足和适应未来以内容为核心的网络发展需求。
加之,本实施例在车联网V2X网络安全领域提出以身份为中心的高安全网络机制。不依赖于IP系统,所有利用IP安全缺陷构建的IP攻击在MIN网络中都是无效的;通过公钥用于对每个数据包进行签名;通过拉式语义实现通信,即以身份为中心的网络均由数据消费者驱动,只有已经请求的内容才能发送给消费者,内容生产者不能主动发送数据,进而很好地避免了现有网络存在的多种网络攻击问题。
最后,本实施例将卫星通信网络融入至包括V2X网络体系的接入层,并设计了相应的接入方案和网络层,有效地保障边远地区的智能驾驶服务,很好地解决了网络部署覆盖不足的技术问题。
综上所述,与现有技术的车辆网相比,本实施例明显具有如下安全特性。
第一、身份验证:使用数字证书验证车辆和其他实体的身份,并将合法实体与未经授权的实体区分开,确保传输的消息来自合法实体,而不是来自不存在的节点。未经授权的实体不能获取关于任何有关消息内容的信息,以维护用户的隐私。
第二、数据完整性:无线通道容易受到主动攻击,例如数据修改。智能网联高安全专网可以保护消息不会受到这些攻击。
第三、数据一致性:智能网联高安全专网保证车辆发送的数据与他附近车辆发送的数据是一致的。
第四、活动可追溯性:在智能网联高安全专网中,车辆的一切活动都是可以查证的,发送消息的节点必须为它的行为负责。据此可识别恶意车辆。
第五、不可否认性:避免实体否认已发送的某条消息的内容。
第六、限制证书的使用:智能网联高安全专网使用数字证书实现身份验证和可追溯性,在特定时间限制并使用身份验证数字证书是至关重要的安全要求。
第七、数字证书撤销:如果节点行为不正常或出现故障,智能网联高安全专网通过取消其证书,来阻止这些节点与网络中的其他节点通信。
第八、匿名性:为了保护发送车辆的隐私,智能网联高安全专网为发送车辆提供匿名性。因此,其他车辆期望从消息内容链接到发送消息的车辆是不可能实现的。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (10)
1.一种多边共管多标识天地一体化智能网联汽车高安全专网系统,其特征在于,对天线接口和Uu接口通信分为接入层、网络层和应用层,对PC5接口通信分为接入层和安全应用层,并通过基于多标识网络的安全态势感知系统MIN-SSAS覆盖所有层级;所述Uu接口表示车载单元OBU或路侧单元RSU与基站之间的接口,所述PC5接口表示车载单元OBU与车载单元OBU或车载单元OBU与路侧单元RSU之间的直联通信接口;其中:
所述接入层,包括支持车辆网的Uu接口、PC5接口以及卫星天线接口,所述Uu接口和卫星天线接口与所述网络层对接,所述PC5接口与基于PC5通信开发对应的安全应用层对接;
所述网络层,基于多标识路由器MIR完成标识符互译、路由寻址、内容过滤以及数据保护,所述多标识路由器MIR基于多种类型的标识进行路由寻址,所述标识包括身份、内容、IP、服务、地理信息、车辆信息以及车辆驾驶者;并且,所有基于标识的通信均需要绑定认证过的唯一的身份标识,在发出数据包时携带其对应的私钥签名;
所述应用层,包括用户应用接口和用于对所述标识进行管理的多标识管理系统MIS,所述多标识管理系统MIS将整个网络从上到下划分为分层的域,顶级域中的节点用于共同维护一个联盟区块链,顶级域之下的节点用于相应区域实现各自的区域管理;
以及,所述基于多标识网络的安全态势感知系统MIN-SSAS,用于对网络各个层级的流量进行监控,感知并记录网络异常行为。
2.根据权利要求1所述的多边共管多标识天地一体化智能网联汽车高安全专网系统,其特征在于,所述多标识管理系统MIS的MIS子系统通过区块链技术实现用户信息和身份的存储和共治,所述多标识管理系统MIS包括以下模块:
用户注册模块,在接收到客户端的用户注册请求后,通过多个联盟节点对所述用户注册请求进行投票,直到投票共识得到验证,则每个区块链的节点将用户注册信息存储在本地数据库中,并将注册用户信息存储在用户信息表中;
用户查询模块,在接收到客户端的用户查询请求后,通过所述用户信息表查询用户信息并返回给所述客户端;
标识生成模块,在接收到客户端的内容发布请求后,通过多个联盟节点对所述内容发布请求进行投票直到投票共识得到验证,则每个区块链的节点将网络身份和真实地址存储在本地数据库中,并将所述网络身份和真实地址传输到相互转换信息表中;
标识查询模块,在接收到客户端的标识查询请求后,通过名称前缀查询转发表FIB查询对应的网络标识的真实地址,并返回给客户端。
3.根据权利要求1所述的多边共管多标识天地一体化智能网联汽车高安全专网系统,其特征在于,所述多标识管理系统MIS对所述标识进行注册请求,其注册请求的过程包括以下步骤:
步骤A1,拥有资源的用户向监管机构的节点提交标识注册请求;
步骤A2,所述多标识管理系统MIS收到用户的标识注册请求后,根据路由协议将注册数据传送到其对应的域;
步骤A3,对应域的区块链节点收到所述标识的注册请求后,对资源的合规性进行审核,直到审核通过,则资源的标识将由域中的所有区块链节点通过投票达成共识;
步骤A4,区块链节点将注册结果返回给原始请求节点,所述标识注册请求对应的完整的标识信息存储于链下数据库。
4.根据权利要求1所述的多边共管多标识天地一体化智能网联汽车高安全专网系统,其特征在于,所述多标识管理系统MIS对所述标识进行解析,其解析的过程包括以下步骤:
步骤B1,所述多标识管理系统MIS判断所述标识,然后通过名称前缀在内容缓存表和转发信息库中进行查询,如果查询结果为存在,则通过查询结果完成解析;否则,跳转至步骤B2;
步骤B2,递归查询上域直到获取所述标识,否则,跳转至步骤B3;
步骤B3,如果在顶级域没有找到该标识,则根据所述标识携带的信息查询下级域,直到最低域,如果查询结果为存在,所述多标识管理系统MIS将返回解析结果; 否则,返回错误消息。
5.根据权利要求1至4任意一项所述的多边共管多标识天地一体化智能网联汽车高安全专网系统,其特征在于,所述多标识路由器MIR中,对用户的注册过程包括以下步骤:
步骤C1,为用户在本地生成公钥和私钥,然后将公钥和用私钥签名的身份信息提交给所述多标识管理系统MIS中的任意节点;
步骤C2,当节点接收到客户端发送的用户注册请求时,先检查其格式,直到格式正确则在本地数据库中搜索用户信息,并进行验证,所述验证的内容包括用户名是否合法、用户信息是否存在重复以及用户公私钥是否有效,若任意一项内容验证不通过则判定为验证失败,向用户返回错误信息,若全部内容验证通过,则通过所述多标识管理系统MIS联盟链的记账节点生成一个交易,并将其发送给所有区块链的节点;
步骤C3,区块链中的投票节点收到一个预区块时,将对是否允许这个预区块成为一个正式区块的形式进行投票;
步骤C4,投票节点收集投票结果进行计数并生成投票证明;
步骤C5,区块信息存储在数据库中,然后从区块中提取用户注册信息,并存储在用户信息表中,所述用户信息表所包括的用户信息包括注册的公钥信息、标识符前缀、用户权限、时间戳以及真实身份信息。
6.根据权利要求5所述的多边共管多标识天地一体化智能网联汽车高安全专网系统,其特征在于,所述多标识路由器MIR在多标识路由寻找的过程中采用拉式语义实现通信,在拉式语义中内嵌身份验证信息和包签名机制信息,其过程如下:对于接收到的包,所述多标识路由器MIR先进行格式审查,并通过识别所述标识中存放的标识类型区分包的类型,直到类型为MIN包则继续转发;所述多标识路由器MIR先以包验证模块验证其签名是否正确有效,如果验证失败,则丢弃该包,如果验证通过,则将该包传递给标识选择模块,选出用于转发的标识,并根据所述标识区分不同的网络分组以执行对应的转发处理流程;所述MIN包表示多标识网络数据包。
7.根据权利要求6所述的多边共管多标识天地一体化智能网联汽车高安全专网系统,其特征在于,根据所述标识区分不同的网络分组以执行对应的转发处理流程,其实现过程包括:
步骤D1,判断所述标识区分的网络分组,若为兴趣包,则跳转至步骤D2;若是数据包,则跳转至步骤D5;
步骤D2,查询本地内容缓存,如果命中缓存,则直接返回请求的数据;否则查询待定兴趣表PIT,并跳转至步骤D3;
步骤D3,如果待定兴趣表PIT中存在匹配的条目,则聚合这些同样名字的兴趣包,将接收到兴趣包的逻辑接口记录到对应待定兴趣表PIT的条目中,并停止转发该兴趣包;如果待定兴趣表PIT 中不存在匹配的条目,则为其创建一个待定兴趣表PIT 条目,并跳转至步骤D4;
步骤D4,查询转发表FIB中是否有匹配的路由,如果查询成功,则根据转发策略进行转发;否则,根据转发策略选择丢弃或者返回Nack 消息,所述Nack 消息表示不确认信息;
步骤D5,查询待定兴趣表PIT表,如果没有查询到匹配的条目,则直接丢弃;否则将该数据包存储到本地缓存中,并根据转发策略进行转发。
8.根据权利要求1至4任意一项所述的多边共管多标识天地一体化智能网联汽车高安全专网系统,其特征在于,所述基于多标识网络的安全态势感知系统MIN-SSAS包括数据采集模块、数据处理模块和态势评估模块,并将所有异常事件锁定在PPoV区块链中;其中:
所述数据采集模块,用于监控和采集网络的实时流量,并通过NetFlow工具和TCP dump工具检测并采集所述多标识路由器MIR的异常数据;
所述数据处理模块,用于将采集到的数据进行分析、分类、提取和存储,根据结果记录异常流量和事件并上报给管理员;
所述态势评估模块,用于负责实时评估和预测系统的安全态势。
9.根据权利要求1至4任意一项所述的多边共管多标识天地一体化智能网联汽车高安全专网系统,其特征在于,工作场景包括全网络场景、基站网络场景、卫星网络场景以及无网络场景;其中:
在所述全网络场景中,车辆通过所述Uu接口与蜂窝基站进行通信,车辆通过卫星进行实时定位及星车间的网络通信,其中高轨卫星提供实时定位服务,低轨通信卫星为车联网提供全域覆盖的通信支持,车辆与车辆之间通过所述PC5接口直接连接进行通信;
在所述基站网络场景中,车辆通过所述Uu接口与蜂窝基站进行通信,车辆与车辆之间通过所述PC5接口直接连接进行通信;
在所述卫星网络场景中,车辆通过卫星进行实时定位及星车间的网络通信,其中高轨卫星提供实时定位服务,低轨通信卫星为车联网提供全域覆盖的通信支持,车辆与车辆之间通过所述PC5接口直接连接进行通信;
在所述无网络场景中,车辆与车辆之间通过所述PC5接口直接连接进行通信。
10.根据权利要求1至4任意一项所述的多边共管多标识天地一体化智能网联汽车高安全专网系统,其特征在于,安全机制包括拉式语义通信、区块链记录请求以及采用身份为中心的网络,其中:
所述拉式语义通信中,在接收方主动发出拉取数据请求之后,先进行真实身份信息的登录和验证,在验证通过后所述多标识路由器MIR进行多标识路由寻找;
所述区块链记录请求中,通过区块链记录请求的内容、发布的内容以及对应的用户信息;
所述采用身份为中心的网络中,每个用户和网络设备在入网前,通过所述多标识管理系统MIS联盟链注册自己的真实身份信息,以获得其唯一的身份标识,在发出的每个数据包均采用对应的私钥签名。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211231452.1A CN115296826B (zh) | 2022-10-10 | 2022-10-10 | 多边共管多标识天地一体化智能网联汽车高安全专网系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211231452.1A CN115296826B (zh) | 2022-10-10 | 2022-10-10 | 多边共管多标识天地一体化智能网联汽车高安全专网系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115296826A CN115296826A (zh) | 2022-11-04 |
| CN115296826B true CN115296826B (zh) | 2022-12-23 |
Family
ID=83819316
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211231452.1A Active CN115296826B (zh) | 2022-10-10 | 2022-10-10 | 多边共管多标识天地一体化智能网联汽车高安全专网系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115296826B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115720182B (zh) * | 2022-11-18 | 2024-07-02 | 国网江苏省电力有限公司信息通信分公司 | 以太网网关的拟态化改造方法、装置及系统 |
| CN116527248B (zh) * | 2023-04-19 | 2024-05-28 | 佛山赛思禅科技有限公司 | 支持量子标识在网络层路由寻址的高安全通信方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111432457A (zh) * | 2019-01-09 | 2020-07-17 | 华为技术有限公司 | 一种通信方法和通信装置 |
| CN112291295A (zh) * | 2020-08-11 | 2021-01-29 | 佛山赛思禅科技有限公司 | 一种基于多标识网络体系的高安全移动办公网 |
| CN114125773A (zh) * | 2021-11-23 | 2022-03-01 | 上海交通大学 | 基于区块链和标识密码的车联网身份管理系统及管理方法 |
| CN114745406A (zh) * | 2022-04-12 | 2022-07-12 | 江苏大学 | 基于联盟链的广域路况信息分享系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10868667B2 (en) * | 2018-11-06 | 2020-12-15 | GM Global Technology Operations LLC | Blockchain enhanced V2X communication system and method |
| WO2020154865A1 (zh) * | 2019-01-28 | 2020-08-06 | 北京大学深圳研究生院 | 一种支持多模标识网络寻址渐进去ip的方法、系统及存储介质 |
| US11375344B2 (en) * | 2020-08-05 | 2022-06-28 | Verizon Patent And Licensing Inc. | Vehicle to everything object exchange system |
| CN112752236B (zh) * | 2020-12-31 | 2023-02-24 | 网络通信与安全紫金山实验室 | 一种基于区块链的网联汽车认证方法、设备及储存介质 |
-
2022
- 2022-10-10 CN CN202211231452.1A patent/CN115296826B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111432457A (zh) * | 2019-01-09 | 2020-07-17 | 华为技术有限公司 | 一种通信方法和通信装置 |
| CN112291295A (zh) * | 2020-08-11 | 2021-01-29 | 佛山赛思禅科技有限公司 | 一种基于多标识网络体系的高安全移动办公网 |
| CN114125773A (zh) * | 2021-11-23 | 2022-03-01 | 上海交通大学 | 基于区块链和标识密码的车联网身份管理系统及管理方法 |
| CN114745406A (zh) * | 2022-04-12 | 2022-07-12 | 江苏大学 | 基于联盟链的广域路况信息分享系统 |
Non-Patent Citations (3)
| Title |
|---|
| "Co-governed Space-Terrestrial Integrated Network Architecture and Prototype Based on MIN";Guohua Wei, Hui Li.et al;《2021 International Conference on Computer Communications and Networks (ICCCN)》;20210831;第1-6页 * |
| "MIN: Co-Governing Multi-Identifier Network Architecture and Its Prototype on Operator’s Network";Hui Li,Jiangxing Wu,et al.;《IEEE Access》;20200217;第8卷;第36569-36581页 * |
| "多边共管的多模态网络标识域名生成管理解析原型系统";李挥 等;《中国科学:信息科学》;20190920;第49卷(第9期);第1186-1204页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115296826A (zh) | 2022-11-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN115296826B (zh) | 多边共管多标识天地一体化智能网联汽车高安全专网系统 | |
| CN110945853B (zh) | 基于联盟链投票共识算法产生及管理多模标识网络的方法 | |
| Saad et al. | RouteChain: Towards blockchain-based secure and efficient BGP routing | |
| Raya et al. | Certificate revocation in vehicular networks | |
| CN101411156B (zh) | 对网络入侵者的自动阻止 | |
| CN110061838A (zh) | 一种dns资源记录的去中心化存储系统及其实现、信息检索方法 | |
| CN109327562B (zh) | 一种基于区块链的域名存储系统及方法 | |
| Ganesh Kumar et al. | Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT) | |
| CN109902074A (zh) | 基于数据中心的日志存储方法和系统 | |
| CN102801738B (zh) | 基于概要矩阵的分布式拒绝服务攻击检测方法及系统 | |
| Wu et al. | A source address validation architecture (SAVA) testbed and deployment experience | |
| CN110086790A (zh) | 基于数据中心的日志存储方法和系统 | |
| CN108366138A (zh) | 域名操作方法、系统及电子设备 | |
| CN102045344B (zh) | 一种基于路径信息弹性分片的跨域溯源方法及系统 | |
| CN110868446A (zh) | 一种后ip的主权网体系架构 | |
| Singh et al. | A state-of-art approach to misbehaviour detection and revocation in VANET: survey | |
| Thigale et al. | Lightweight novel trust based framework for IoT enabled wireless network communications | |
| US8661517B2 (en) | Method and system for accessing network through public equipment | |
| Wang et al. | Anonymous sensory data collection approach for mobile participatory sensing | |
| CN101499903B (zh) | 防止节点伪造身份的方法、装置、系统、客户节点、对等节点及汇聚点 | |
| CN102118313A (zh) | Ip地址探测的方法及设备 | |
| CN109413089A (zh) | 分布式网络匿名通信方法、装置及存储介质 | |
| CN103546439B (zh) | 内容请求的处理方法及装置 | |
| Chhabra et al. | A protocol for reputation management in super-peer networks | |
| Saad et al. | A collaborative peer-to-peer architecture to defend against DDoS attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |