1.本发明属于车联网
技术领域:
:,尤其涉及一种车联网访问控制方法、系统、介质、设备及终端。
背景技术:
::2.目前,车联网是实现自动驾驶乃至无人驾驶的重要组成部分,也是未来智能交通系统的核心组成部分。其中,车联网设备会产生大量机密数据,安全可靠的数据存储和传输是保证系统服务达到最佳的关键。然而,由于车联网应用所产生的数据存在分散化、异构性和不可信性等特点,给消息传输和事务执行带来了挑战,各种车联网应用不可避免地面临着数据信任、安全以及可持续性的难题。虽然可以使用多个不同的网络基础设施存储数据,但这些数据分散而不互通,容易受到数据篡改、信息窃取等安全威胁。假如出现恶意设备进入车联网系统的情况,则可能会给系统的正常运行带来影响,甚至带来严重的后果。因此,为数据通信建立安全、可信的环境是十分重要的。但是这些设备常部署在公共场所,数据在不可信的环境下传输,易受到各种攻击,从而使系统面临严峻的安全和隐私问题。在这样的环境中,需要对设备进行身份认证,并保证设备之间的安全通信。另外,在车联网应用程序中,产生的数据量以高速状态增长,时延代价问题也不容小觑。移动边缘计算将云计算的功能扩展到网络边缘,是减少车联网应用计算和通信开销的最佳解决方案。为了保证车联网设备之间的安全访问,需要一种适合车联网环境的去中心化轻量级访问控制方案,以满足车联网环境中预期的高效安全且对时延敏感的要求。3.目前很少见到为车联网系统设计去中心化轻量级的访问控制方案。在车联网访问控制系统中涉及到车载单元、路侧单元和边缘服务器这三个实体,而现有的方案只涉及到车载单元和路侧单元这两个实体。根据车联网的特征,车联网中访问控制和认证方案应该满足四个条件:(1)由于车联网设备是资源受限的,为这些设备设计的访问控制和认证方案应该是轻量级的,认证协议应在保证安全性的同时兼顾通信的低延迟。(2)由于路侧单元不是完全可信的,如果攻击者入侵路侧单元,认证协议应该能够在此情况下抵抗各种已知的攻击。(3)用于车联网的认证体系结构中虽然包含云层,但云服务器不应该参与,这是因为引入边缘层的一个目的是为了更靠近数据源的同时可以即时处理终端数据,具有低时延、更高效的特点。(4)在严格的低时延约束下,应仍能保证认证协议的匿名性和数据的完整性。已有的为车联网提出的认证方案虽然能够有效地认证设备,但是这些方案不能满足上述条件。并且现有机制大多是集中式的,存在缺乏部署设备在大规模网络的可伸缩性。将设备部署在不可信任的第三方环境中,遭受物理攻击的风险大大提升。此外,大多数车联网系统的节点是资源受限的,使得现有机制大多更适用于网络规模较小且设备部署紧密的系统中。在这些为车联网设计的认证方案中,大部分认证协议是基于云或者基于网关的,这类中心化的验证方式若应用在对时间敏感且设备部署分散的车联网系统,会带来高延迟的问题。例如,在一个方案中密钥是由密钥管理中心分发,存在密钥在网络中传输时容易被窃听的缺陷,此机制的安全性取决于加密密钥的保存情况,不便于应用在存在大规模设备的系统中。在另一个方案中,设计了一个第三方权威机构,通过其颁发的匿名证书来隐藏车辆的真实身份。然而此方案的认证过程过于中心化,一旦存储了许多敏感信息的节点被破坏,会导致信息泄露和车辆无法认证。为了实施对车联网设备的安全访问控制,以及克服已有的车联网认证方案存在的问题,亟需设计一种新的车联网访问控制方法及系统。4.通过上述分析,现有技术存在的问题及缺陷为:5.(1)现有认证方案大多是集中式的,存在缺乏部署设备在大规模网络的可伸缩性,且部署在不可信任的第三方环境中遭受物理攻击的风险较高。6.(2)现有认证协议是基于云或者基于网关的,这类中心化的验证方式若应用在对时间敏感且设备部署分散的车联网系统,会带来高延迟的问题。7.(3)现有认证方案存在密钥在网络中传输时容易被窃听的缺陷,且安全性取决于加密密钥的保存情况,不便于应用在存在大规模设备的系统中。8.(4)现有方案的认证过程过于中心化,一旦存储了许多敏感信息的节点被破坏,会导致信息泄露和车辆无法认证。9.(5)现有方案计算量大,难以满足低时延的需求。技术实现要素:10.针对现有技术存在的问题,本发明提供了一种车联网访问控制方法、系统、介质、设备及终端,尤其涉及一种基于区块链的车联网访问控制方法、系统、介质、设备及终端。11.本发明是这样实现的,一种车联网访问控制方法,所述车联网访问控制方法包括:12.第一阶段是初始化阶段,初始化用于实体认证的参数并将所述参数存储到区块链网络中;第二阶段是设备注册阶段,智能车联网设备加入网络前需在注册权威以安全的方式进行注册,并将注册信息安全地存储在区块链上,所述设备注册阶段始终在安全信道上进行;第三阶段是设备认证阶段,用于验证各个实体的真实身份,实现车联网设备间的安全访问。13.进一步,所述车联网访问控制方法包括以下步骤:14.步骤一,初始化阶段:对相关认证参数进行初始化并存储到区块链网络中;15.步骤二,设备注册阶段:由注册权威为车联网设备进行注册;16.步骤三,设备认证阶段:对车联网设备进行身份认证,并保证车联网设备间的安全访问。17.进一步,所述步骤一中的初始化阶段包括:18.为网络中的每一实体计算标识,所述该标识由名称和媒体访问控制mac地址的散列结果组成;由于每个实体在互联网中均有且仅有一个的mac地址,进行哈希后的结果唯一标识对应实体;在计算出标识后,通过标识符为每一实体生成公-私钥对,并存储在分布式账本中。19.边缘服务器使用私钥为对应的设备签名,计算得到的令牌包含边缘服务器id及智能设备id的映射,对于每个设备均是唯一的;初始化过程中产生的相关实体初始化信息以交易的形式打包成区块,在网络共识过程完成后被附加到区块链的末端,所述信息将于后期实体在区块链网络上注册和认证时,被提取出来用于辅助验证。20.进一步,所述步骤二中的设备注册阶段包括:21.当部署新的车联网设备时,通过安全信道向注册权威ra注册,注册过程为:22.(1)设备发起注册请求,注册权威ra为期望连接入系统的车载单元obu选择一个唯一的身份id(obuid);同时触发智能合约检查与obuid是否已存在,并验证id对应的mac地址是否一致,若存在问题则注册终止;若两者的正确性均被验证,则生成一个时间戳obut,用于辅助验证消息的真伪;ra通过安全信道将(obuid,obut)传送给车载单元。23.(2)obu使用其私钥obuik加密计算后得到证书tk0=obuik(obuid,obut),所述证书对于每个obu均是唯一的,并通过安全信道传送给注册权威;运用证书使得obu的身份信息不以明文形式传递,保证在消息通信过程中obu的匿名性;obu利用对应边缘服务器的公钥espk将tk0值加密,通过创建交易t1=espk(obuik(obuid,obut))将tk0值发送到区块链上,与相应的节点共享。24.(3)在接收到数据包后,ra为obu计算伪身份obupid=h(obuid||k),其中k是注册权威的秘密参数;ra将obu的参数{obupid,tk0}通过安全信道传送给对应的边缘服务器es进行存储。25.(4)智能合约继而检查用于验证tk0的公钥是否存在于区块链中,如果在其中找到正确匹配的公钥,则验证生成tk0的时间戳;如果obut处于合理的时间范围内,则允许注册过程继续执行,否则连接终止;在完成对obu的所有验证后,设备成功注册。26.(5)设备注册成功后,es为obu生成一个认证证书tkobu=esik(obupk,obuid,obut),并通过交易t2=obupk(esik(obupk,obuid,obut))将所述证书发送给obu;obu接收到消息后,从中提取并存储认证证书tkobu,用于未来的设备认证阶段。27.进一步,所述步骤三中的设备认证阶段包括:28.(1)边缘服务器验证车载单元真实性:车载单元向边缘服务器发出访问某个车联网设备的请求,边缘服务器验证车载单元的真实性;如果验证不成功,则立即终止车载单元的访问控制请求;如果验证成功,边缘服务器则向车联网设备发送认证请求。29.(2)车联网设备验证边缘服务器真实性:车联网设备验证边缘服务器的请求及其身份的真实性,如果验证成功,则向边缘服务器发送确认消息。30.(3)边缘服务器验证车联网设备真实性:边缘服务器验证车联网设备的真实性,如果身份信息是真实的,则向车载单元发送认证请求。31.(4)车载单元验证边缘服务器真实性:车载单元验证边缘服务器的真实性,如果身份信息是真实的,车载单元和期望被访问的车联网设备之间协商会话钥,保证通信双方进行信息传输的安全性。32.进一步,所述步骤三中的设备认证阶段还包括:33.部署在系统中的obu发出通信请求访问某个车联网设备,边缘服务器协助车联网设备间在边缘网络中进行相互身份验证;在所有的认证条件都满足的情况下允许设备接入网络并建立会话密钥从而进行信息交互。认证过程如下:34.(1)边缘服务器验证车载单元真实性:obu通过创建交易t3=obuik(esik(obupk,obuid,obut)),rsuid发起通信请求,t3的值通过相关的es发送到区块链上以供验证;es应用obu的公钥提取认证证书tkobu和它希望通信的rsu的id(rsuid),并触发智能合约验证接收到的数据包的合法性;智能合约验证区块链上存储的用户伪身份信息obupid是否对应,并检查消息中给出的obuid是否存在;如果obuid在区块链中不存在,则认证过程终止并产生错误反馈;若认证成功,边缘服务器则将{tkobu,tnew}传给期望通信的rsu。35.(2)车联网设备验证边缘服务器真实性:智能合约验证给定映射(obupk,obuid,obut);如果映射出现无效或没有在区块链中定义,则不允许通信;智能合约检查给定的obupk是否有效,将给定的obupk与注册时存储的设备公钥进行比较;如果给定的obupk无效,则设备认证失败;验证给定的tnew;如果时间戳的值在被允许的时间范围内,则验证通过,否则验证不通过。36.(3)边缘服务器验证车联网设备真实性:智能合约验证rsuid是否存在于区块链中,不存在同样无法建立通信连接;如果身份信息是真实的,则向车载单元发送确认信息。37.(4)车载单元验证边缘服务器真实性:智能合约检查边缘服务器的id是否存在于区块链中并验证其公钥的存在性与真实性,如果均合理,则验证通过,否则验证不通过;验证步骤均执行通过后,确定rsu与obu的真实性,建立rsu与obu的相互信任,从而允许双方相互访问并进行安全通信。38.本发明的另一目的在于提供一种应用所述的车联网访问控制方法的车联网访问控制系统,所述车联网访问控制系统包括:39.注册权威ra,是完全可信的第三方权威机构,用于系统初始化、部署智能合约及注册设备;40.车载单元obu,配备于车辆上,通过无线通信技术协助车辆与车辆或rsu等其他各方进行信息交流,obu拥有通信、计算和存储数据的能力;41.路侧单元rsu,是位于路边的道路基础设施,视作为车辆提供路况安全、餐饮娱乐的各类服务信息的通信节点,用于实时接收来自车辆的消息,并在消息通过验证后传输给有需要的其他方,rsu部署在边缘网络中;42.边缘服务器es,用于承担为车辆提供计算和存储资源的责任,将资源用于支持要求实时同步数据的服务;边缘服务器部署在边缘网络中,在路侧单元附近,与路侧单元同属于边缘节点;43.区块链网络,私有的区块链网络由多个边缘节点组成,所述边缘节点包含路侧单元和边缘服务器,用于直接读取区块链中的数据;区块链网络中还部署智能合约,设备在注册及认证阶段均需要访问智能合约验证身份,在车联网设备注册阶段产生的机密身份信息被存储到区块中。44.本发明的另一目的在于提供一种计算机设备,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如下步骤:45.第一阶段是初始化阶段,初始化用于实体认证的参数并将所述参数存储到区块链网络中;第二阶段是设备注册阶段,智能车联网设备加入网络前需在注册权威以安全的方式进行注册,并将注册信息安全地存储在区块链上,所述设备注册阶段始终在安全信道上进行;第三阶段是设备认证阶段,用于验证各个实体的真实身份,实现车联网设备间的安全访问。46.本发明的另一目的在于提供一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如下步骤:47.第一阶段是初始化阶段,初始化用于实体认证的参数并将所述参数存储到区块链网络中;第二阶段是设备注册阶段,智能车联网设备加入网络前需在注册权威以安全的方式进行注册,并将注册信息安全地存储在区块链上,所述设备注册阶段始终在安全信道上进行;第三阶段是设备认证阶段,用于验证各个实体的真实身份,实现车联网设备间的安全访问。48.本发明的另一目的在于提供一种信息数据处理终端,所述信息数据处理终端用于实现所述的车联网访问控制系统。49.结合上述的技术方案和解决的技术问题,请从以下几方面分析本发明所要保护的技术方案所具备的优点及积极效果为:50.第一、针对上述现有技术存在的技术问题以及解决该问题的难度,紧密结合本发明的所要保护的技术方案以及研发过程中结果和数据等,详细、深刻地分析本发明技术方案如何解决的技术问题,解决问题之后带来的一些具备创造性的技术效果。具体描述如下:51.本发明为车联网环境设计了一种新的访问控制系统和方法,该机制基于区块链和移动边缘计算技术,能够实现对车联网设备的安全访问控制。本发明提出了一种高效、安全的去中心化机制,该机制为车联网领域的设备提供认证和访问控制服务,为车联网系统营造安全的数据环境。针对到资源受限问题,本发明中中运用边缘计算技术,将核心数据的计算集中在边缘上处理,其余数据由车载计算能力处理。由此解决了存储的限制,并使其适用于时间敏感的系统。52.本发明能够实现保密性、完整性、匿名性、可追溯性、不可拒绝性、可伸缩性等安全属性,同时本专利可以抵御消息替换攻击、中间人攻击、女巫攻击、消息重放攻击、分布式拒绝服务等。本发明能够满足车联网所需安全要求,是安全有效的。53.第二,把技术方案看做一个整体或者从产品的角度,本发明所要保护的技术方案具备的技术效果和优点,具体描述如下:54.本发明能够安全高效地进行身份认证,并确保了设备间的安全通信。本发明提出了一种用于车联网系统的去中心化轻量级区块链认证机制,采用区块链技术,使繁杂的身份验证工作在区块链中进行,而不引入任何可信的第三方。在这种情况下,避免了大多数物理攻击带来的安全风险,切实可行地保护车联网设备的隐私。此外,本发明中设计了一种结合移动边缘计算的智能合约,使终端设备数据在远离核心云层的边缘网络进行高时效计算并把非控制类数据离线存储在边缘网络,高效地减小了时延代价。55.第三,作为本发明的权利要求的创造性辅助证据,还体现在本发明的技术方案转化后的预期收益和商业价值为:56.背景和市场分析:随着现代信息技术的发展壮大,智慧车辆的应用功能越来越丰富,其中自动驾驶、车辆定位等概念得到了广泛地关注和研究。车联网技术是令相关功能在实践层面上取得巨大突破的关键技术之一。与此同时,得益于车辆的智能化,车辆与车辆、车辆与用户以及车辆与道路间信息可相互通讯,使得车联网系统蓬勃发展。目前,车联网应用程序几乎可以应用到交通运输领域的各个方面,这些应用包括智能交通系统、智能停车、交通管理等多个应用。车联网运用先进的信息通信技术,将行驶中的车辆作为信息来源,实现了车辆服务产生的数据在网络间互联。通过应用此技术优化了用户的驾驶体验,提升了交通服务的效率,提供了车辆行驶的安全保障。身份认证和访问控制服务作为保卫系统安全的第一道防线,对于确保车联网系统信息安全尤为重要。由于车辆总数快速增长,连接入网络的车辆越来越多,车联网设备总量不断攀升已成为一种必然趋势。尤其是现如今面临自动驾驶技术逐渐成熟,自动驾驶车辆产生的数据远多于人工驾驶车辆这一情况,对车辆数据的安全处理、高效管理成了车联网中的关键部分。以低时延方式运行对于车联网系统来说是至关重要的。因此,我们需要设计一种合理的应用于车联网系统的身份认证和访问控制机制。而本专利是一个轻量级的身份认证方案,兼顾认证效率和系统性能,同时能够给予用户隐私保护。而且由于本专利引入区块链来构建一个更加可信任的环境,其中心化特征更加符合现如今车联网的发展趋势。因此本专利的技术转化后的消费市场行情同样明朗。57.预期收益和商业价值分析:通过上面的背景和市场分析,可以看到在未来一段时间针对车联网系统抵御安全攻击所设计出的轻量级身份认证方案市场前景是巨大的。而本专利因为采用去中心化的架构,同时利用移动边缘计算技术,使得安全需求和性能需求同时得到满足。因此在可预见的时间内本专利转化后的技术存在着巨大的商业价值。附图说明58.为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图做简单的介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。59.图1是本发明实施例提供的车联网访问控制方法流程图;60.图2是本发明实施例提供的车载单元访问控制流程图;61.图3是本发明实施例提供的车联网访问控制系统结构图;62.图中:①车载单元向边缘服务器发送认证请求;②边缘服务器检验消息正确性并认证车载单元真实性,认证成功后,向车联网设备发送认证请求;③车联网设备检验消息正确性并认证边缘服务器真实性,认证成功后,向边缘服务器发送认证请求;④边缘服务器检验消息正确性并认证车联网设备真实性,认证成功后,向车载单元发送认证请求;⑤车载单元检验消息正确性并认证边缘服务器真实性,认证成功后,车载单元与车联网设备之间建立了一个安全的会话密钥进行通信。具体实施方式63.为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。64.针对现有技术存在的问题,本发明提供了一种车联网访问控制方法、系统、介质、设备及终端,下面结合附图对本发明作详细的描述。65.一、解释说明实施例。为了使本领域技术人员充分了解本发明如何具体实现,该部分是对权利要求技术方案进行展开说明的解释说明实施例。66.如图1所示,本发明实施例提供的车联网访问控制方法包括以下步骤:67.s101,初始化阶段:对相关认证参数进行初始化并存储到区块链网络中;68.s102,设备注册阶段:由注册权威为车联网设备进行注册;69.s103,设备认证阶段:对车联网设备进行身份认证,并保证车联网设备间的安全访问。70.下面结合具体实施例对本发明的技术方案作进一步的说明。71.本发明为车联网环境设计了一种新的访问控制系统和方法,该机制基于区块链和移动边缘计算技术,能够安全高效地进行身份认证,并确保了设备间的安全通信。本发明的系统结构和它们之间的关系:72.本发明的系统包括5个实体模块:73.注册权威(registrationauthority,ra):它是一个完全可信的第三方权威机构,其职责在于系统初始化、部署智能合约及注册设备。通常认为ra在数据的通信和计算方面能力相当强大。并且由于ra是完全可信的机构,其中产生或存储的任何信息均不会遭到攻击者破坏。74.车载单元(on-boardunit,obu):车载单元配备于车辆上,通过无线通信技术协助车辆与车辆或rsu等其他各方进行信息交流。obu拥有通信、计算和存储数据的能力。75.路侧单元(roadsideunit,rsu):它是一种位于路边的道路基础设施,一般视作为车辆提供路况安全、餐饮娱乐等各类服务信息的通信节点。但由于通信范围限制,其可与邻近特定区域内的车辆进行无线通信。具体来讲,它可以实时接收来自车辆的消息,并在消息通过验证后进一步传输给有需要的其他方。这些rsu部署在边缘网络中。76.边缘服务器(edgeserver,es):边缘服务器主要承担为车辆提供计算和存储资源的责任,特别是将资源用于支持那些要求实时同步数据的服务。这些边缘服务器部署在边缘网络中,一般在路侧单元附近。它们与路侧单元同属于边缘节点。77.区块链网络:私有的区块链网络由多个边缘节点组成,这些边缘节点包含路侧单元和边缘服务器。由于边缘节点是区块链节点,其可以直接读取区块链中的数据。区块链网络中还部署了智能合约,设备在注册及认证阶段都需要访问智能合约验证身份。在车联网设备注册阶段产生的一些机密身份信息会被存储到区块中,由于数据一旦写入区块便不可被修改,使得这些数据的完整性得到保证。78.其系统结构图如图3所示。79.本发明的工作原理:本发明主要实现车联网设备间的安全访问,其工作原理是这样:第一阶段是初始化阶段,在此阶段需初始化一些用于实体认证的参数并将其存储到区块链网络中。第二阶段是设备注册阶段,智能车联网设备加入网络前需在注册权威以安全的方式进行注册,并将其注册信息安全地存储在区块链上,这一过程始终在安全信道上进行。第三阶段是设备认证阶段,该阶段需要验证各个实体的真实身份,实现车联网设备间的安全访问。这个阶段是这样实施的:80.(1)边缘服务器验证车载单元真实性:车载单元向边缘服务器发出访问某个车联网设备的请求。边缘服务器验证车载单元的真实性,如果验证不成功,立即终止车载单元的访问控制请求,如果验证成功,边缘服务器将向车联网设备发送认证请求。81.(2)车联网设备验证边缘服务器真实性:车联网设备验证边缘服务器的请求及其身份的真实性,如果验证成功,将向边缘服务器发送确认消息。82.(3)边缘服务器验证车联网设备真实性:边缘服务器验证车联网设备的真实性,如果身份信息是真实的,将向车载单元发送认证请求。83.(4)车载单元验证边缘服务器真实性:车载单元验证边缘服务器的真实性,如果身份信息是真实的,车载单元和期望被访问的车联网设备之间协商一个会话钥,保证了通信双方进行信息传输的安全性。84.其流程图如图2所示,详细实施过程如下。85.本发明为了达到这个目的是通过下面的技术方案来实现的:86.为了达到这个目的,本发明的技术方案包括初始化阶段、设备注册阶段和设备认证阶段。初始化阶段是对相关认证参数进行初始化并存储到区块链网络中;设备注册阶段是由注册权威为车联网设备进行注册;设备认证阶段是对车联网设备进行身份认证,并保证车联网设备间的安全访问。87.一、初始化阶段:88.为了初始化系统,首先需为网络中的每一实体计算标识。该标识由其名称和媒体访问控制(mediaaccesscontrol,mac)地址的散列结果组成。由于每个实体在互联网中都有且仅有一个的mac地址,对其进行哈希后的结果就可唯一标识对应实体。在计算出标识后,通过标识符为每一实体生成公-私钥对,并存储在分布式账本中。最后,边缘服务器使用其私钥为对应的设备签名,计算得到的令牌包含边缘服务器id及智能设备id的映射,它对于每个设备都是唯一的。除此之外,该过程中产生的相关实体初始化信息以交易的形式打包成区块,在网络共识过程完成后被附加到区块链的末端。这些信息将于后期实体在区块链网络上注册和认证时,被提取出来用以辅助验证。89.二、设备注册阶段:90.当部署一个新的车联网设备时,它需要通过一个安全信道向注册权威ra注册,注册过程如下:91.(1)设备发起注册请求,注册权威ra为期望连接入系统的车载单元obu选择一个唯一的身份id(obuid)。同时触发智能合约检查与obuid是否已存在,并验证id对应的mac地址是否一致,若存在问题则注册终止。若两者的正确性均被验证,则生成一个时间戳obut,它用于辅助验证消息的真伪。ra通过安全信道将(obuid,obut)传送给车载单元。92.(2)obu使用其私钥obuik加密计算后得到一个证书tk0=obuik(obuid,obut),该证书对于每个obu都是唯一的,并通过安全信道传送给注册权威。运用证书的目的是为了obu的身份信息不以明文形式传递,由此保证了在消息通信过程中obu的匿名性。然后obu利用对应边缘服务器的公钥espk将tk0值加密,并通过创建交易t1=espk(obuik(obuid,obut))将tk0值发送到区块链上,与相应的节点共享。93.(3)在接收到数据包后,ra先为obu计算一个伪身份obupid=h(obuid||k),其中k是注册权威的一个秘密参数。而后ra将obu的参数{obupid,tk0}通过安全信道传送给其对应的边缘服务器es进行存储。94.(4)智能合约继而检查用于验证tk0的公钥是否存在于区块链中。随后,如果在其中找到能够正确匹配的公钥,则将验证生成tk0的时间戳。如果obut处于合理的时间范围内,那么将允许注册过程继续执行,否则连接将终止。在完成了对obu的所有验证后,设备成功注册。95.(5)设备注册成功后,es为obu生成一个认证证书tkobu=esik(obupk,obuid,obut),并通过交易t2=obupk(esik(obupk,obuid,obut))将其发送给obu。obu接收到消息后,从中提取并存储认证证书tkobu,用于未来的设备认证阶段。96.三、设备认证阶段:97.部署在系统中的obu发出通信请求访问某个车联网设备。在这个过程中,边缘服务器协助车联网设备间在边缘网络中进行相互身份验证。在所有的认证条件都满足的情况下,才允许设备接入网络并建立会话密钥从而进行信息交互。认证过程如下:98.(1)边缘服务器验证车载单元真实性:obu通过创建一个交易t3=obuik(esik(obupk,obuid,obut)),rsuid发起通信请求,t3的值通过其相关的es发送到区块链上以供验证。es应用obu的公钥来提取认证证书tkobu和它希望通信的rsu的id(rsuid),并触发智能合约验证接收到的数据包的合法性。智能合约验证区块链上存储的用户伪身份信息obupid是否对应,并检查消息中给出的obuid是否存在。如果该obuid在区块链中不存在,认证过程终止并产生错误反馈。若认证成功,边缘服务器则将{tkobu,tnew}传给期望通信的rsu。99.(2)车联网设备验证边缘服务器真实性:智能合约验证给定映射(obupk,obuid,obut)。如果映射出现无效或没有在区块链中定义,则不能允许通信。智能合约检查给定的obupk是否有效,即将给定的obupk与注册时存储的此设备公钥进行比较。如果给定的obupk无效,那么该设备将认证失败。最后,验证给定的tnew。如果时间戳的值在被允许的时间范围内,则验证通过。否则验证不通过。100.(3)边缘服务器验证车联网设备真实性:紧接着智能合约验证rsuid是否存在于区块链中,不存在同样无法建立通信连接。如果身份信息是真实的,将向车载单元发送确认信息。101.(4)车载单元验证边缘服务器真实性:智能合约检查边缘服务器的id是否存在于区块链中并验证其公钥的存在性与真实性,如果均合理,则验证通过。否则验证不通过。102.以上验证步骤均执行通过后,才能确定rsu与obu的真实性,建立起rsu与obu的相互信任,从而允许双方相互访问并进行安全通信。103.二、应用实施例。为了证明本发明的技术方案的创造性和技术价值,该部分是对权利要求技术方案进行具体产品上或相关技术上的应用实施例。104.本发明的应用实施例提供了一种信息数据处理终端,所述信息数据处理终端用于实现所述的车联网访问控制系统。105.三、实施例相关效果的证据。本发明实施例在研发或者使用过程中取得了一些积极效果,和现有技术相比的确具备很大的优势,下面内容结合试验过程的数据、图表等进行描述。106.在能提供可靠安全性的前提下,为了检验本专利的性能,我们将以通信代价和计算代价为指标,与现有方案进行对比。我们将认证方案中通信过程所需交换的所有消息的位数相加作为方案的通信代价。假设身份、会话钥、伪身份、临时交互号以及随机数都是128bits,时间戳是32bits。由于我们采用了sha-256哈希函数和ecdsa椭圆曲线数字签名算法,所以认为哈希输出是256bits,公私钥长度为128bits。表1展示了我们的专利和其他现有主流技术[1-4]通信代价的对比情况。在本专利中,共需要交换三条消息。它们分别需要(128+128+128+128+32)=544bits,(256+128+128+128+32)=672bits和(256+256+128+128+128+32)=928bits。因此,交换三条消息所需的总通信代价为(544+672+928)=2144bits。比较结果表明,本专利与其他方案相比需要更少的通信成本。[0107]table1.通信代价比较[0108][0109]我们以协议中所有密码原语执行的总时长作为比较计算代价的基础。令txor,thash,tp,tmac,thmac和tecc分别表示执行异或,哈希函数,对称多项式,消息认证码,哈希消息认证码和基于ecc的点乘运算所消耗的时间。根据现有的实验结果可总结出不同密码原语的近似运行时间,如表2所示。特别指出txor在计算中可以忽略不计,并且thash≈tmac≈thmac.。[0110]table2.密码原语近似执行时间[0111][0112]在本专利,执行总时间为15thash+7tp。表3总结了我们的专利和其他现有主流技术[1-4]的计算代价比较结果,从中可看出我们的专利有着较小的计算代价。[0113]table3.计算代价比较[0114][0115]应当注意,本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现;软件部分可以存储在存储器中,由适当的指令执行系统,例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现,例如在诸如磁盘、cd或dvd-rom的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现,也可以用由各种类型的处理器执行的软件实现,也可以由上述硬件电路和软件的结合例如固件来实现。[0116]以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本
技术领域:
:的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。当前第1页12当前第1页12