一种基于区块链的网联汽车认证方法、设备及储存介质与流程
本发明涉及车联网领域,具体的是一种基于区块链的网联汽车认证方法、设备及储存介质。
背景技术:
区块链的概念起源于中本聪在2008年提出的新型数字货币,比特币。作为比特币底层技术之一的区块链技术得到了人们的关注。区块链的本质是一个去中心化、链式存储的分布式数据库系统。去中心化表明区块链网络中的节点直接对等交互而无需经过第三方代理,链式存储表示区块链的单元为数字加密的数据区块,分布式意味着网络中的节点共同维护整个数据库。这些性质,使得区块链网络具有匿名性、可追溯性、不可篡改性等特点,非常适用于具有大规模设备通信、网络拓扑快速变化等特性的车联网场景。
车联网的概念源自于物联网,类似于万物互联,车联网以道路行驶中的车辆为核心,借助新一代感知技术和信息通信技术,实现车与车(v2v)、车与人(v2p)、车与路(v2i)、车与云平台(v2n)之间的信息交互,旨在为用户提供更加安全、智能、舒适、高效的出行体验和交通服务。同时,车联网对于实现智慧交通,提高交通运输效率,提升智能服务水平,均大有裨益。
目前用于提供交通成员间网络连接的主流通信技术之一为c-v2x通信系统,c-v2x技术由3gpp主导。近年来,3gpp积极推动基于蜂窝的v2x(c-v2x)技术规范,由于3gpp系列标准具有更优秀的系统设计,远距离传输性能更好,车辆高速运动下通信更稳定,同时继承了蜂窝网运营管理的优势,且具备后续演进能力(5gnr),c-v2x技术具有更好的发展前景。但同时,网络安全漏洞引发的黑客远程控制车辆、恶意车辆散布危害信息对于交通流的破坏,亦不能忽视,一个更适用于大规模交通场景下的安全体系得到了研究人员的关注。
技术实现要素:
为解决上述背景技术中提到的不足,本发明的目的在于提供一种基于区块链的网联汽车认证方法、设备及储存介质,以避免恶意车辆的非法接入同时快速追捕制造恶意行为的非法车辆。
本发明的目的可以通过以下技术方案实现:
一种基于区块链的网联汽车认证方法,包括以下步骤:
s1、车载设备向准备附着的基站发送rrc_connected_request消息,请求连接,基站响应rrc_connected_setup消息,提示obu响应证书;
s2、车载设备和基站本地提取各自的证书签名,与身份标识一同打包交换给对方;
s3、基站使用运营网络的公钥对车载设备发送的签名进行恢复,使用上一步提取用的随机数生成新的响应值发送给车载设备;
s4、车载设备对新的响应值使用运营网络的公钥恢复,并与基站发送的签名对比验证,通过验证后,进行连接;
s5、基站验证通过后,将车辆的身份标识与基站的身份标识一同计入区块链,并返回写入区块链的公开地址,车辆使用区块链地址进行信息交互。
进一步地,所述网联汽车认证方法还包括初始设置,初始设置具体步骤如下:
1、参数配置
运营商随机选取安全参数k,生成运营网络独特的私钥和公钥;
2、证书发布
运营商为服务小区的基站设置唯一的标识,使用运营网络的私钥加密生成基站的证书,车载设备obu出厂时,运营商为其选取唯一的身份标识和入网标识,并通过运营网络的私钥对标识加密,生成证书;
3、证书维护
通过ota升级的方式,对基站和obu的证书以及入网标识进行更新和撤销;
4、认证数据
运营网络维护一个联盟区块链,只有运营网络架设的基站具有写入区块链的权力,车载设备通过区块链中某一区块的公开地址进行访问,每个区块体的叶节点用于记录合法车载设备的身份标识。
进一步地,所述网联汽车认证方法还包括车辆交互,车辆交互具体步骤如下:
2.1、车辆收到其他车辆共享的信息,如bsm,包含对方的身份标识,以及区块链数据库的公开地址,obu对消息进行解析;
2.2、车载设备obu通过访问区块链的公开地址验证对方的身份标识是否在区块链中,如果可以寻找到,即为通过基站认证的合法车辆,可以信任。
进一步地,所述区块链采用联盟区块链体系,在本区块链网络中,通过基站合法性认证车辆均可访问区块链,并共同参与维护,而写入区块数据以及打包生成新区块的只有网络运营商提供的核心网。
进一步地,所述基站合法性认证车辆的具体方法为:
一、obu设备启动后,搜索周围可用的服务基站enb,请求连接,同时obu设备开始提取制造商对每台设备的唯一证书,计算签名;
二、enb侧收到接入请求后开始提取自身证书中的签名,双方交换计算后的签名信息;
三、obu和enb选择随机数,对各自自身的签名进行第二次计算,再次交换计算结果,双方根据第二次结果进行验证;
如果obu验证enb为合法,则等待enb后续的响应信息,否则重新选择小区;enb验证obu为合法时,为obu分配后续通信时的临时标识,并根据车辆的运行信息计算有效期,同时上传到核心网中,核心网的功能实体负责将车辆的身份信息写入区块链,标志着网络认为该车辆为合法。
进一步地,所述车辆间交互验证的具体方法为:
车辆收到来自其他车辆的信息时,对对方的id进行合法性验证,合法准入网络的车辆可以通过访问区块链数据库判断对方的id是否记录在区块链中,只有对方的车辆id合法并且其在有效期内,车辆开始接收对方的消息,并根据对方的消息将其车辆行驶信息传入发送机控制层,进行正常行驶或者避让。
一种计算机可读的存储介质,存储有指令,所述指令被执行时实现如上所述的认证方法。
一种基于区块链的网联汽车认证设备,包括处理器、存储器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述的认证方法进行网联汽车认证。
本发明的有益效果:
1、本发明为基于区块链技术的车联网安全认证方案,车辆(obu设备)可以快速高效的完成入网认证,且避免复杂反复的验证计算,再加快处理速度的同时,有效避免自身隐私信息(认证证书)的泄露,通过安全的入网认证和交互认证,避免非法车辆的接入,保护交通不受恶意行为(散布虚假交通信息、非法窃听隐私数据)的破坏,维护公共安全,避免财产损失;
2、本发明使用热门的区块链技术,对安全认证体系进行设计,组织非法车辆,保护交通安全。
附图说明
下面结合附图对本发明作进一步的说明。
图1是现有技术ue初次连接过程以及enb认证流程示意图;
图2是现有技术基于ca的监管认证模型示意图;
图3是现有技术基于ca的认证流程示意图;
图4是本发明基于区块链技术的车联网认证系统示意图;
图5是本发明每个数据块的结构示意图;
图6是本发明数据区块中信息记录格式示意图;
图7是本发明车辆(obu设备)完成合法性认证后入网示意图;
图8是本发明车辆(obu设备)交互中认证示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在现有技术中,对于车辆入网的认证过程,c-v2x标准尚未完善,没有确定的标准。obu在进行通信时,参考lte网络中ue的接入和认证过程,同时完成类似于ue的功能,具体的接入流程如图1所示。
基于lte的认证方案的流程说明如下:
1、步骤1-5建立rrc连接,步骤6、9会建立s1连接,完成这些即表示nassignalingconnection的连接;
2、步骤7表示,ue第一次开机后的连接过程,直接使用imsi,而没有身份认证过程;后续过程中ue如果被分配了guti,则使用guti,核心网会发起鉴别过程(为上下行直传消息);
3、步骤13、14为ue和enb之间确定安全密钥的过程,在完成基站enb选择和初次附着后,ue和enb确定安全密钥,保护后续的用户隐私数据传输;
4、步骤21-26表示ue释放连接的过程,一般发生在ue进入idle态(非活跃态),不再进行数据的传输,或者主动关机过程。
此外,对lte系统安全性的补充体系也得到了相关研究者的关注,基于传统的公钥私钥体系,有研究提出了基于ca的认证方法,其组成模型和认证过程如图2和图3所示。
如图3所示,系统建立后,ca产生发行密钥对、追踪密钥以及群公钥。然后用户进行注册,ca为其分配一对私钥,同时,ca根据用户提交的属性信息为用户颁发相关的证书。在用户出示证书时,验证者可指定用户证书上需要出示的属性(如属性1),用户对证书进行签名,同时隐藏无需出示的属性值。验证者可对签名进行验证:若签名通过验证,则用户出示的证书有效;否则,用户出示的证书无效。若出现争端,验证者可将用户出示的证书发送给ca请求仲裁,ca利用追踪密钥恢复出用户的真实身份。
但是,lte传统方式的认证过程中,ue与enb的初次认证需要反复的信令交互,如图1所示,而且由于双方在未确定安全密钥之前,ue的请求信令会使用明文传输,而且会包含ue的imsi,以完成初次附着。在后续的数据传输过程中,则使用确定的密钥进行加密;在进行小区切换的时候,切换后的enb会通过核心网epc确定ue的合法身份,以避免信令的反复传输。但是对于车联网应用的交通场景,车辆移动速度较快,切换小区的频率更加频繁,往往需要多次熄火、重启,而每一次重启中,车载设备obu都会进行enb的选择,即上述流程,这也增加了obu设备中imsi被窃听的可能性,反复的信令交互对于车载设备的处理消息的及时性也不友好。
采用ca认证的策略,很大程度上增加了obu设备认证过程中的安全性,但是类似于所有依赖中心机构的体系,网络的安全取决于ca的稳定性和安全性,一旦ca受到黑客入侵、或者进行巨量数据处理时出现宕机,则依赖于该ca的网络会直接崩溃,出现在车联网中时,一部分的车辆混乱则会导致整个交通出现混乱。此外,由于参与交通中的成员(车辆、行人、路侧rsu等)产生的数据包十分频繁(以bsm消息为例,约0.1秒发送一次),obu设备需要对每个数据包进行签名验证,将消耗巨大的算力,这对obu的处理能力将是不小的考验。同时,交通拓扑的快速变化,邻居节点改变频繁,使得本地记录认证通过的车辆obu标识的方法并不划算。
本发明拟解决在车联网中,车辆安全认证且证书隐私保护的问题。作为车联网信息交互的技术支持,c-v2x尚未对车辆(obu设备)的安全认证进行明确标准,本方案提出一种快速、高效的安全认证策略,减少车辆(obu设备)计算负载的同时,保证其身份合法有效,且适用于真实情况下的大规模交通场景。
本发明考虑c-v2x通信技术作为车联网支持的场景下,车辆(或者说obu设备)完成身份验证后,具有合法的身份参与到车联网信息交互的过程。车辆的合法性认证车辆间交互的认证依赖于区块链数据库。
具体地,基于区块链的网联汽车认证方法包括两个部分,初始设置部分和认证流程部分:
一、初始设置
1、参数配置
运营商随机选取安全参数k,生成运营网络独特的私钥和公钥;
2、证书发布
运营商为服务小区的基站设置唯一的标识,使用运营网络的私钥加密生成基站的证书,车载设备obu出厂时,运营商为其选取唯一的身份标识和入网标识,并通过运营网络的私钥对标识加密,生成证书;
其中,上述步骤1和步骤2参考identity-basedmessagerecoverysignature,idmrs算法。
3、证书维护
可以通过ota升级的方式,对基站和obu的证书以及入网标识进行更新和撤销;
4、认证数据
运营网络维护一个联盟区块链,只有运营网络架设的基站具有写入区块链的权力,车载设备可以通过区块链中某一区块的公开地址进行访问,每个区块体的叶节点用于记录合法车载设备的身份标识。
二、认证流程:
1、车辆认证
1.1、车载设备向准备附着的基站发送rrc_connected_request消息,请求连接,基站响应rrc_connected_setup消息,提示obu响应证书;
1.2、车载设备和基站本地提取各自的证书签名,与身份标识一同打包交换给对方;
1.3、基站使用运营网络的公钥对车载设备发送的签名进行恢复,使用上一步提取用的随机数生成新的响应值发送给车载设备;
1.4、车载设备对新的响应值使用运营网络的公钥恢复,并与基站发送的签名对比验证,通过验证后,进行连接;
1.5、基站验证通过后,将车辆的身份标识与基站的身份标识一同计入区块链,并返回写入区块链的公开地址,车辆使用区块链地址进行信息交互。
2、车辆交互
2.1、车辆收到其他车辆共享的信息,比如bsm,包含对方的身份标识,以及区块链数据库的公开地址,obu对消息进行解析;
2.2、车载设备obu通过访问区块链的公开地址验证对方的身份标识是否在区块链中,如果可以寻找到,即为通过基站认证的合法车辆,可以信任。
区块链:
依照节点对区块链数据的读写权限,区块链可以分为公开区块链、联盟区块链、私有区块链。公开区块链中所有节点均可以发送数据,可以参与挖矿(即打包生成数据区块);联盟区块链中只有预选中的节点具有区块打包权限,当然,网络中所有合法节点均可访问区块链数据;而私有区块链则由特定节点独享区块链的全部权限。设计本安全体系时,考虑到车辆节点有限的计算能力,以及对数据可靠的安全性保护,采用联盟区块链体系。在本区块链网络中,通过基站合法性认证的车辆(obu设备)均可访问区块链,并共同参与维护;而写入区块数据以及打包生成新区块的只有网络运营商提供的核心网。
每个数据区块包括区块头和区块体,区块头用于指向上一个数据区块并且被下一个区块连接,数据体中存储安全认证记录,数据体中的存储结构为merkle树,每个父节点存储子节点的哈希值,在叶子节点中记录数据,通过每个叶节点的唯一路径对数据进行访问。本方案中,叶节点中记录的数据为车辆(obu设备)的认证信息,存储的具体数据项参考图6,用于车辆与车辆间的交互认证。
车辆(obu设备)合法性认证:
obu设备启动后,搜索周围可用的服务基站enb,请求连接。同时obu设备开始提取制造商对每台设备的唯一证书,计算签名;enb侧收到接入请求后开始提取自身证书中的签名,双方交换计算后的签名信息。obu和enb选择随机数,对各自自身的签名进行第二次计算,再次交换计算结果,双方根据第二次结果进行验证。如果obu验证enb为合法,则等待enb后续的响应信息,否则重新选择小区。enb验证obu为合法时,为obu分配后续通信时的临时标识,并根据车辆的运行信息计算有效期,同时上传到核心网中,核心网的功能实体负责将车辆的身份信息写入区块链,标志着网络认为该车辆为合法。
车辆(obu设备)间的交互验证:
车辆收到来自其他车辆的信息时,对对方的id进行合法性验证。合法准入网络的车辆可以通过访问区块链数据库判断对方的id是否记录在区块链中。只有对方的车辆id合法并且其在有效期内,车辆开始接收对方的消息,并根据对方的消息将其车辆行驶信息传入发送机控制层,进行正常行驶或者避让。
方案对比:
方案设计的初衷为减少车辆(obu设备)节点的计算负载,更加快速、高效的完成认证。本方案中,车辆仅在进行入网认证过程中需要计算自身的签名并验证enb的信息,而在与其他车辆交互的过程中,只需要从最新打包的区块链中搜寻认证信息即可,可以避免多余复杂且频繁的计算,有效较少obu设备的计算负担。同时可以快速的通过认证消息,以用于机动控制层的行驶判断。
对于真实交通场景下,车辆密集程度高,意味着参与维护区块链数据库的节点更多,可以更有效的防止数据伪造。
安全性分析:
伪基站:双向认证可以保障车辆接入黑客部署的非法基站。而且在验证过程中,车辆(obu设备)公开的仅为自身证书提取后的签名信息,无法通过签名计算出证书,避免证书被黑客盗用后进行伪装攻击。
匿名性:车辆不暴露自身的证书,提取签名后进行认证,并使用临时标识进行信息的交互。
不可篡改性:由于网络中的所有节点共同参与维护数据库,即每个节点均在本地拥有区块链数据的完整副本,单独一方伪造认证数据并不会被其他节点承认。由于区块链的设计特点,只有网络中参与伪造的节点超过全部节点的一半才会把区块链数据污染,在实际交通网中,这对于网络攻击者而言需要大量的物力支撑,几乎难以实现。
不可否认性:当某一节点进行恶意行为后对交通流产生了破坏,可以根据散布消息中的标识对车辆进行通缉,由于车辆的认证信息记录在区块链中,可以及时搜寻车辆,而且车辆无法否认恶意行为。
其中,缩略语和关键术语定义如下:
c-v2x:cellularvehicletoeverything,即基于蜂窝移动通信的车用无线通信技术。此技术将车辆与一切事物相连接,其中v代表车辆,x表示任何与车交互信息的对象。
v2v:vehicletovehicle,即车车之间的通信。
v2p:vehicletopedestrian,即车与行人之间的通信。
v2i:vehicletoinfrastructure,即车与基础设施之间的通信。
v2n:vehicletonetwork,即车与网络之间的通信。
3gpp:3rdgenerationpartnershipproject,即第三代合作伙伴计划,负责移动通信系统的标准化。
lte:longtermevolution,即长期演进技术。由3gpp组织制定的通用移动通信系统技术标准的长期演进,是3g与4g技术之间的过渡。lte-v2x专用频段为5.9ghz。
5gnr:5gnewradio,即全球性5g标准,下一代重要的蜂窝移动技术基础,将实现超低时延、高可靠性。
enodeb:evolvednodeb,即演进型nodeb,简称enb,lte中基站的名称。
epc:evolvedpacketcore,演进型核心网,即4g核心网。
obu:on-boardunit,车载设备。
ue:userequipment,用户设备。
pc5:一种用于车车通信的空中接口。
uu:一种用于车辆与基站通信的空中接口。
sidelink:边缘链路,即无需经过基站的通信链路。
downlink:下行链路,简称ul,即基站向车载设备或者用户设备发送数据。
uplink:上行链路,简称dl,即用户设备或者车载设备向基站发送数据。
rrc:radioresourcecontrol,无线资源控制,指空口资源的的管理、调度和控制。
nas:non-accessstratum,非接入层,在无线通信协议栈中,作为核心网与用户设备之间的功能层。该层支持在这两者之间的信令和数据传输。
guti:globallyuniquetemporaryueidentity,全球唯一临时ue标识,由核心网分配。
imsi:internationalmobilesubscriberidentity,国际移动用户识别码,用于区分蜂窝网络中不同用户的、在所有蜂窝网络中不重复的识别码。
bsm:basicsafetymessage,即车辆基本安全信息,用来在车辆之间交换安全状态数据。
ca:certificationauthority,安全证书的签发机构,是负责签发证书、认证证书、管理已颁发证书的机关。
一种计算机可读的存储介质,存储有指令,所述指令被执行时实现上述的认证方法。
一种基于区块链的网联汽车认证设备,包括处理器、存储器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述的认证方法进行网联汽车认证。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。
- 还没有人留言评论。精彩留言会获得点赞!