身份验证方法、装置、电子设备及存储介质与流程

1.本发明涉及互联网安全技术领域，尤其涉及一种身份验证方法、装置、电子设备及存储介质。


背景技术：

2.由于车联网通信过程是完全开放的，其面临的隐私泄露和安全威胁更加多样化，既包括传统的交通系统安全威胁，也包括新型网络攻击威胁，例如dos注入，黑客攻击等，因此系统的安全需求很大。
3.现有技术中，通常基于无证书聚合签名，对车联网的用户进行认证，以提高车联网系统的安全性。
4.但是现有技术的方案都是对某个局域网的签名，当该车辆终端从一个局域网移动到另一个局域网时，如何对车联网用户身份进行验证还没有解决方案，导致车联网存在安全隐患，可靠性低。


技术实现要素：

5.本发明提供一种身份验证方法、装置、电子设备及存储介质，用以解决现有技术中车联网存在安全隐患的缺陷，提高了车联网的安全性和可靠性。
6.本发明提供一种身份验证方法，包括：
7.接收第一消息；所述第一消息是由车辆终端从上一局域网移动到当前局域网时发送的；
8.根据所述第一消息验证所述车辆终端的身份是否合法。
9.根据本发明提供的一种身份验证方法，根据所述第一消息验证所述车辆终端的身份是否合法，包括：
10.判断所述第一消息中是否包含第一密钥；
11.若所述第一消息中不包含所述第一密钥，则确定所述车辆终端的身份不合法。
12.根据本发明提供的一种身份验证方法，判断所述第一消息中是否包含第一密钥之后，还包括：
13.若所述第一消息中包含所述第一密钥，则判断所述第一密钥与目标密钥是否匹配；所述目标密钥为相邻局域网的密钥；
14.若所述第一密钥与目标密钥不匹配，则确定所述车辆终端的身份不合法。
15.根据本发明提供的一种身份验证方法，判断所述第一密钥与目标密钥是否匹配之后，还包括：
16.若所述第一密钥与目标密钥相匹配，则对所述车辆终端进行当前局域网的环签名。
17.本发明还提供一种身份验证方法，包括：
18.当从上一局域网移动到当前局域网时，发送第一消息；所述第一消息用于验证车
辆终端的身份是否合法；
19.接收验证结果信息。
20.根据本发明提供的一种身份验证方法，所述第一消息中包含上一局域网的密钥。
21.本发明还提供一种身份验证装置，包括：
22.第一接收模块，用于接收第一消息；所述第一消息是由车辆终端从上一局域网移动到当前局域网时发送的；
23.验证模块，用于根据所述第一消息验证所述车辆终端的身份是否合法。
24.本发明还提供一种身份验证装置，包括：
25.发送模块，用于当从上一局域网移动到当前局域网时，发送第一消息；所述第一消息用于验证车辆终端的身份是否合法；
26.第二接收模块，用于接收验证结果信息。
27.本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述身份验证方法的步骤。
28.本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述身份验证方法的步骤。
29.本发明提供的身份验证方法、装置、电子设备及存储介质，通过验证相邻局域网的密钥的方式来验证车辆终端是否是从相邻局域网中过来，能够防止非法终端进入当前局域网，提高了车联网的安全性和可靠性。
附图说明
30.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
31.图1是本发明提供的身份验证方法的流程示意图之一；
32.图2是本发明提供的身份验证的逻辑流程示意图；
33.图3是本发明提供的生成环签名的流程示意图；
34.图4是本发明提供的身份验证方法的流程示意图之二；
35.图5是本发明提供的身份验证装置的结构示意图之一；
36.图6是本发明提供的身份验证装置的结构示意图之二；
37.图7是本发明提供的电子设备的结构示意图。
具体实施方式
38.车联网是汽车、电子、信息通信、交通运输和交通管理等行业深度融合的新型产业形态。蜂窝车联网无线通信技术，作为关键使能型技术，将有助于构建“人-车-路-云”协同的车联网产业生态体系。
39.由于车联网通信过程是完全开放的，其面临的隐私泄露和安全威胁更加多样化，既包括传统的交通系统安全威胁，也包括新型网络攻击威胁，例如dos注入，黑客攻击等，因
此系统的安全需求很大。现有技术中，基于无证书聚合签名，对车联网的用户进行认证，提高车联网系统的安全性已经有较多的论述，但是都是对某个局域网的签名进行研究，因此还需要一种当该车辆终端从一个局域网运动到另一个局域网时，如何进行判断该车辆终端是否为车辆冒充者的方法。
40.本技术实施例基于无证书聚合签名，对车联网的用户进行认证，有助于提高车联网系统的安全性，并且通过判断进入局域网中的车辆终端进入该车联网中的密钥进行判断是否从相邻的局域网中过来，从而实现判断该车辆是否为疑似车辆冒充者。
41.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
42.下面结合一些附图描述本发明的身份验证方法、装置、电子设备及存储介质。
43.图1是本发明提供的身份验证方法的流程示意图之一，如图1所示，本技术实施例提供一种身份验证方法，其执行主体可以为路边单元。该方法包括：
44.步骤101、接收第一消息；所述第一消息是由车辆终端从上一局域网移动到当前局域网时发送的；
45.步骤102、根据所述第一消息验证所述车辆终端的身份是否合法。
46.可选地，根据所述第一消息验证所述车辆终端的身份是否合法，包括：
47.判断所述第一消息中是否包含第一密钥；
48.若所述第一消息中不包含所述第一密钥，则确定所述车辆终端的身份不合法。
49.可选地，判断所述第一消息中是否包含第一密钥之后，还包括：
50.若所述第一消息中包含所述第一密钥，则判断所述第一密钥与目标密钥是否匹配；所述目标密钥为相邻局域网的密钥；
51.若所述第一密钥与目标密钥不匹配，则确定所述车辆终端的身份不合法。
52.可选地，判断所述第一密钥与目标密钥是否匹配之后，还包括：
53.若所述第一密钥与目标密钥相匹配，则对所述车辆终端进行当前局域网的环签名。
54.具体来说，图2是本发明提供的身份验证的逻辑流程示意图，如图2所示，路边单元与预设距离内的车辆终端形成局域网，当有车辆终端进入局域网范围内，路边单元的密钥管理中心通过验证该车辆终端进入该局域网的公私钥匙是否符合相邻局域网的公私钥匙，从而实现判断该车辆是否来自邻近局域网；如果是为该车辆终端分配该局域网的公、私钥匙；本局域网的近邻的车辆终端向进入局域网的车辆终端发起环签名，直至局域网内的每个车辆终端均生成环签名；如果没有通过邻近局域网的验证，则为该车辆打上疑似非正常的标签，不进行环签名。
55.路边单元的密钥管理单元将局域网内所有的车辆终端的环签名进行缓存，并发送至车联网云平台；车联网云平台发送并存储各个局域网的公私钥匙，并将相邻局域网的公、私钥匙发送至本局域网的密钥管理单元；其中相邻的局域网至少为一个。
56.可选地，图3是本发明提供的生成环签名的流程示意图，如图3所示，产生环签名的具体过程包括：
57.步骤一：密钥管理中心生成该节点所在的系统环公钥、环私钥、系统的公共参数以及m个成员的各个成员的环公钥、环私钥；并将生成的信息通过加密的方式传输至对应的车辆节点。
58.步骤二：车辆进入密钥管理中心节点预设的距离后，车辆接收密钥管理中心节点发送的系统公钥、私钥、系统的公共参数以及成员的公钥与私钥并进行本地存储。
59.步骤三：车辆节点作为消息发送方首先将待发送消息进行加密处理生成密文，然后与(m-1)个近邻成员组成环并生成环签名，同时利用公钥及成员私钥将环签名生成数字签名。
60.步骤四：接收者在接收到密文后，先用自己的密钥和系统公共参数解密信息，同时接收者通过验证密文随带的数字签名证书验证发送者的真实身份是否合法。
61.步骤一中生成该节点所在的系统环公钥、环私钥、系统的公共参数以及各个成员的公钥、私钥的具体过程为：
62.密钥管理中心产生系统的公共参数k，环私钥s，环公钥p＝s*g，其中g为密码体制中9阶加法群的生成元；从而生成环签名参数集，param＝{g1,g2,e,q,g,p,h1,h2.......h5}，其中g2为密码体制中9阶乘法群；e:为g1×
g2→
g2为双线性映射对；h1为h2为g2→
{0,1}
l
；h3为：{0,1}
l
→
{0,1}
l
；h4为：{0,1}
*
→
{0,1}
l
；h5为：环签名参数集面向所有成员开放。
63.车辆节点ni的身份标识为idi，其中idi∈{0,1}
*
；车辆节点ni的环公钥与私钥计算公式如下：
64.qi＝h1(idi)
ꢀꢀꢀ
(1)
65.di＝sqiꢀꢀꢀ
(2)
[0066][0067][0068]
上式中，xi为选择的车辆节点ni的秘密值；可信中心将节点ni的公、私钥通过vanet安全信道传给车辆节点ni。
[0069]
可选地，步骤一中进行加密处理具体包括：
[0070]
设签名者为ni，其身份标识为idi；发送者对消息m进行签密，所选择环成员集合为u＝{u1,u2.....,un}；假设消息接收方的身份标识为idj，接收者的私钥为接收者的公钥为系统内个车辆节点均利用公式(3)和(4)生成各节点的公钥与私钥。
[0071]
随机选择mi∈m，利用车辆节点ni的公钥计算r0：
[0072]
r0＝a0*g
ꢀꢀꢀ
(5)
[0073]
利用接收者的公钥计算r
′0：
[0074]r′0＝e(a0*p,xj)
ꢀꢀꢀ
(6)
[0075]
k＝h2(r
′0)
ꢀꢀꢀ
(7)
[0076]
根据上式的结果，即可计算出密文内容c1和c2：
[0077]
[0078][0079]
生成可验证身份消息：签密者ni随机选择r∈{0,1}i，并对r保密，通过r计算验证消息k0：
[0080]
v＝h4(xs,ys,r)
ꢀꢀꢀ
(10)
[0081][0082]
生成环签名:首先选择两辆互不相同的ri，满足随机选择利用生成元计算ai：
[0083]ai
＝ai*g
ꢀꢀꢀ
(12)
[0084]
由此得到互不相同的ri及验证公式分别为：
[0085]ri
＝e(ai,g)
ꢀꢀꢀ
(13)
[0086]hi
＝h5(u,m,k0,ri)
ꢀꢀꢀ
(14)
[0087]
接着对签密节点us，计算与(13)式不同的rs；利用加法群g1的生成元计算：
[0088]as
＝as*g
ꢀꢀꢀ
(15)
[0089]
由式(14)、(15)计算可得：
[0090]rs
＝e(ai,g)*e(-p,∑
i≠shi
,xi)
ꢀꢀꢀ
(16)
[0091]hs
＝h5(u,m,k0,rs)
ꢀꢀꢀ
(17)
[0092]
从而得到环签名：
[0093][0094]
最终计算得到对原始消息m签密后对应的密文为c：
[0095]
c＝(u,v,c1,c2,σ,r0,r1,
…
,h1,h2,
…
,hn)
ꢀꢀꢀ
(19)
[0096]
签密者us将最终计算所得的密文c通过无线信道发送给接收者。
[0097]
解密和签名验证：接收者受到密文后首先对密文解密并验证发送者身份。接收者在收到密文后，首先利用自己的私钥解密密文并对解密后的消息进行来源验证，具体过程如下步骤：
[0098]
密文解密：根据公式(5)，接收者利用自身私钥首先计算解密秘钥：
[0099][0100]
利用上式解密密钥对密文解密得明文：
[0101][0102][0103]
消息来源验证：利用公式(20)计算所得解密密钥k
′
和密文c中的验证信息v计算：
[0104][0105]
对于利用上述公式的计算结果，验证下述等式是否成立：
[0106]hi
＝h5(u,m,k0,ri)
ꢀꢀꢀ
(24)
[0107][0108]
若(24)、(25)等式成立，说明发送者身份信息属实并通过签名验证，若其中有一个等式不成立，则认为真实签密者身份有待核实，并对消息发送方提出身份信息核实挑战。
[0109]
签密者身份验证：接收方收到核实挑战消息之后主动向系统发起身份核实验证程序。方案真实签名者可以向系统提供存储再本地的身份证明信息(xi,yi，r)，以验证自己身份的合法性。同时，验证者根据等式(10)计算结果判断签名者真实身份是否合法，若不合法，则系统将对应伪签名者加入身份撤销队列，并将对应消息予以丢弃。
[0110]
图4是本发明提供的身份验证方法的流程示意图之二，如图4所示，本发明提供一种身份验证方法，其执行主体可以为车辆终端，该方法包括：
[0111]
步骤401、当从上一局域网移动到当前局域网时，发送第一消息；所述第一消息用于验证车辆终端的身份是否合法；
[0112]
步骤402、接收验证结果信息。
[0113]
可选地，所述第一消息中包含上一局域网的密钥。
[0114]
本技术实施例提供的身份验证方法，上述执行主体为路边单元的实施例同样适用于本技术实施例，且能够达到相同的技术效果，在此不再对本实施例中与上述执行主体为路边单元的实施例相同的部分及有益效果进行具体赘述。
[0115]
图5是本发明提供的身份验证装置的结构示意图之一，如图5所示，本技术实施例提供一种身份验证装置，该装置具体包括第一接收模块501和验证模块502，其中：
[0116]
第一接收模块501用于接收第一消息；所述第一消息是由车辆终端从上一局域网移动到当前局域网时发送的；验证模块502用于根据所述第一消息验证所述车辆终端的身份是否合法。
[0117]
本技术实施例提供的身份验证装置，可以用于执行上述相应实施例中所述的方法，通过本实施例提供的装置执行上述相应实施例中所述方法的具体步骤与上述相应实施例相同，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
[0118]
图6是本发明提供的身份验证装置的结构示意图之二，如图6所示，本技术实施例提供一种身份验证装置，该装置具体包括发送模块601和第二接收模块602，其中：
[0119]
发送模块601用于当从上一局域网移动到当前局域网时，发送第一消息；所述第一消息用于验证车辆终端的身份是否合法；第二接收模块602用于接收验证结果信息。
[0120]
本技术实施例提供的身份验证装置，可以用于执行上述相应实施例中所述的方法，通过本实施例提供的装置执行上述相应实施例中所述方法的具体步骤与上述相应实施例相同，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
[0121]
图7是本发明提供的电子设备的结构示意图，如图7所示，该电子设备可以包括：处理器(processor)710、通信接口(communications interface)720、存储器(memory)730和通信总线740，其中，处理器710，通信接口720，存储器730通过通信总线740完成相互间的通信。处理器710可以调用存储器730中的逻辑指令，以执行身份验证方法，该方法包括：
[0122]
接收第一消息；所述第一消息是由车辆终端从上一局域网移动到当前局域网时发送的；根据所述第一消息验证所述车辆终端的身份是否合法。
[0123]
或者包括：
[0124]
当从上一局域网移动到当前局域网时，发送第一消息；所述第一消息用于验证车辆终端的身份是否合法；接收验证结果信息。
[0125]
此外，上述的存储器730中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0126]
另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法所提供的身份验证方法，该方法包括：
[0127]
接收第一消息；所述第一消息是由车辆终端从上一局域网移动到当前局域网时发送的；根据所述第一消息验证所述车辆终端的身份是否合法。
[0128]
或者包括：
[0129]
当从上一局域网移动到当前局域网时，发送第一消息；所述第一消息用于验证车辆终端的身份是否合法；接收验证结果信息。
[0130]
又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各提供的身份验证方法，该方法包括：
[0131]
接收第一消息；所述第一消息是由车辆终端从上一局域网移动到当前局域网时发送的；根据所述第一消息验证所述车辆终端的身份是否合法。
[0132]
或者包括：
[0133]
当从上一局域网移动到当前局域网时，发送第一消息；所述第一消息用于验证车辆终端的身份是否合法；接收验证结果信息。
[0134]
以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
[0135]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
[0136]
最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。