一种基于车载网关的安全认证方法与流程

本技术涉及通信安全，特别涉及一种基于车载网关的安全认证方法。

背景技术：

1、随着物联网、云计算、大数据、5g等信息技术的发展，车联网已成为智能交通的重要组成部分。车联网通过车载终端与网络的连接，实现车辆与车辆、车辆与路基设施、车辆与网络平台之间的信息交互，为交通管理、车辆调度、道路安全等提供支持。

2、但是，现有的车联网技术中，车载设备与外部节点之间缺乏安全可靠的认证机制，存在车载设备身份伪造、数据泄露等安全风险。比如，攻击者可以通过伪造车载设备数字身份，向车载平台发送虚假信息，或者窃取车载设备与平台之间的通信数据。这严重威胁了车联网的安全稳定运行。

3、在相关技术中，比如中国专利文献cn115811721a中提供了基于身份认证的蓝牙通信方法、装置、设备及储存介质，该蓝牙通信方法包括如下步骤：用户通过手机端第三方应用程序注册账户，并通过注册账户绑定车辆，完成车辆激活；获取代表用户有效身份信息的证书；搜索多个车辆端的蓝牙，与代表用户有效身份信息的证书对应的车辆端建立安全连接；车辆端与手机端第三方应用程序进行蓝牙鉴权，手机端第三方应用程序与代表用户有效身份信息的证书对应的车辆端建立安全连接；其中，车辆端与手机端第三方应用程序进行蓝牙鉴权包括车辆端获取手机端第三方应用程序加密的证书，验证证书及有效信息，将生成的随机密钥和车辆端证书加密并传输；手机端第三方应用程序解密和验证证书，获取车辆端生成的随机密钥。但是该方案中，主要依赖证书进行身份验证，但没有提供证书的安全分发和防篡改机制，因此车载设备与外部节点之间的通信安全性有待进一步提高。

技术实现思路

1、1.要解决的技术问题

2、针对现有技术中存在的车载设备与外部节点之间安全性差的问题，本技术提供了一种基于车载网关的安全认证方法，通过数字证书的传输和验证等技术，提高了车联网环境下车载网关与外部节点之间通信的安全性。

3、2.技术方案

4、本技术的目的通过以下技术方案实现。

5、本说明书实施例提供一种基于车载网关的安全认证方法，包括：车载网关包含：微处理器、蓝牙模块和wifi模块；微处理器，控制车载网关；蓝牙模块，与外部节点进行无线通信，并用于数字证书的传输和验证；其中，蓝牙模块，指支持蓝牙通信协议的无线通信模块，能够与兼容蓝牙的外部节点进行近距离无线连接。在本技术中，蓝牙模块集成在车载网关中，与外部节点进行短距离无线通信，实现数字证书的安全传输、无线网络配置参数的传递、通信密钥的协商等功能，为车载网关与外部节点建立安全连接与数据传输通道提供支持。

6、wifi模块，与外部节点进行无线通信，并在数字证书验证通过后，与外部节点进行数据的传输；其中，wifi模块，指支持无线局域网连接的通信模块，能够搜索、连接无线接入点，与网络中的其他节点进行无线通信。在本技术中，wifi模块与蓝牙模块一同集成在车载网关中，在数字证书验证和网络配置参数传输完成后，wifi模块用于连接无线网络，与外部节点建立基于无线局域网的通信连接，实现车载网关与外部节点之间的大数据量传输。

7、通过车载网关中的微处理器控制蓝牙模块与安全认证集成电路ic建立连接，安全认证ic用于存储数字证书；微处理器，是车载网关的核心处理器件，负责处理各种模块的控制信号，协调车载网关内部各模块的工作。读取存储在安全认证ic中的数字证书，并控制蓝牙模块将数字证书发送给外部节点。接收来自外部节点的数字证书验证结果，判断是否允许后续通信。根据验证结果，控制蓝牙模块与外部节点进行无线网络配置参数的传输。在完成认证和参数配置后，微处理器通过控制信号使能车载网关的正常工作模式，协调各通信模块与外部节点的数据收发。同时，微处理器也负责车载网关内部状态的监控与管理。综上，微处理器在本技术中发挥了车载网关的“大脑”作用，负责协调控制网关各模块按照预定逻辑完成安全认证和数据通信功能。

8、微处理器读取安全认证集成电路ic中的数字证书，并通过蓝牙模块将读取的数字证书发送给外部节点，其中外部节点为与车载网关进行数据传输的节点；其中，数字证书，一种利用数字签名技术，对用户身份进行认证的电子文件。它将用户的身份信息绑定到其公钥，由数字证书授权机构利用电子签名进行签发。

9、其中，安全认证集成电路ic，是一种集成了安全存储及加密、解密、签名等功能的电路芯片。安全存储车载网关的数字证书，防止证书被非法读取或篡改。微处理器经认证后，由安全认证ic提供数字证书。安全ic还可能包含用于证书链验证的ca公钥等信息。通过硬件级的安全防护，提高了数字证书和关键信息的保密性和完整性。安全认证ic的引入，增强了车载网关数字身份的安全性。综上，安全认证ic在本技术中发挥了安全存储关键信息、防止信息泄露的作用，提升了方案的安全性。

10、外部节点接收到数字证书后，验证数字证书的签名，验证通过后向微处理器返回表示验证通过的验证结果；微处理器接收到表示验证通过的验证结果后，控制蓝牙模块与外部节点进行无线局域网的配置信息传输和协商通信密钥；其中，无线局域网的配置信息传输，蓝牙模块将要连接的无线局域网的基本配置参数，如网络ssid、预共享密钥等信息传输给外部节点。

11、进一步地，外部节点对数字证书的签名进行验证，还包括：外部节点接收到数字证书后，检查数字证书的序列号是否在预置的证书撤销列表crl中；如果否，则提取数字证书的签名信息，使用预置的证书链进行签名验证；其中，证书撤销列表(crl)，是由证书颁发机构周期性生成并发布的已被撤销证书的序列号列表。

12、进一步地，使用预置的证书链进行签名验证之后，还包括：提取数字证书中的唯一标识信息，并将提取的唯一标识信息与预置的车载网关的标识信息进行匹配，其中唯一标识信息包含车载网关的识别码；在数字证书的序列号、签名验证和标识信息匹配均通过的情况下，确定数字证书验证通过，向微处理器返回表示验证通过的验证结果。

13、进一步地，使用预置的证书链进行签名验证，还包括：构建区块链网络，区块链网络包含多个证书授权中心；证书授权中心a在构建的区块链网络上注册包含数字身份和公钥的证书a；证书授权中心b接收证书a，并利用证书授权中心b的私钥对证书a进行签名，生成证书b，并在构建的区块链网络上注册证书b；证书授权中心c接收证书b，并利用证书授权中心c的私钥对证书b进行签名，生成证书c，并在构建的区块链网络上注册证书c；重复上述步骤，形成证书链，证书链中的证书包含证书持有者身份、公钥和上级证书授权中心的签名；将外部节点加入构建的区块链网络，接收待验证的数字证书；外部节点根据接收到的待验证的数字证书，提取证书链中对应的证书进行验证，直至自签名的根证书ca0；根证书ca0为构建证书链时，区块链网络通过共识机制选取的可信证书中心自行签发的，包含证书中心身份信息和公钥，并由可信证书中心私钥签名的自签名证书。

14、其中，区块链网络，是指构建基于区块链技术的分布式账本网络，参与网络的节点通过分布式共识机制维护同一账本，实现去中心化信任。在本技术中，可以采用的区块链网络：公有区块链，完全开放的公共区块链，如比特币、以太坊。去中心化程度高，但交易速度较慢。联盟链，由限定组织构成的联盟区块链，共识受控制但交易效率更高。私有链，访问权限受控的私有区块链，中心化程度高但交易速度快。侧链，与主链双向锚定的区块链侧链，可以结合主链的安全性和侧链的效率。

15、进一步地，蓝牙模块与外部节点进行无线局域网的配置信息传输，还包括：蓝牙模块与外部节点建立蓝牙连接后，向外部节点发送服务集标识符ssid；蓝牙模块接收来自外部节点的搜索成功的确认消息，其中，外部节点根据接收到的服务集标识符ssid，在预设范围内搜索无线网络，判断搜索到无线网络的ssid是否与接收到的ssid相匹配，如果匹配，则向蓝牙模块发送确认消息；蓝牙模块向外部节点发送预设共享密钥；

16、进一步地，外部节点在接收到预设共享密钥后，将接收到的预设共享密钥写入无线网络接口的共享密钥配置参数中；外部节点利用写入接口的预设共享密钥向搜索到的无线网络发送认证请求，以建立无线网络连接。

17、进一步地，蓝牙模块与外部节点协商通信密钥，还包括：蓝牙模块与外部节点利用diffie-hellman密钥交换协议建立通信通道，生成临时密钥；蓝牙模块利用生成的临时密钥作为输入，通过基于哈希的消息认证码算法生成会话密钥；蓝牙模块将生成的会话密钥发送给外部节点；蓝牙模块接收外部节点回传的加密数据，其中加密数据指外部节点根据会话密钥对原始数据进行加密后的数据。

18、进一步地，蓝牙模块在发送会话密钥之前，使用预置的hmac认证密钥对生成的会话密钥进行认证，得到hmac认证值，其中hmac为基于哈希的消息认证码认证；蓝牙模块将hmac认证值、会话密钥及hmac认证所用的认证密钥标识一并发送给外部节点。

19、进一步地，基于哈希的消息认证码算法采用hmac-sha256算法。

20、其中，hmac-sha256是一种基于哈希的消息认证码算法，采用sha-256哈希函数。sha-256是一种高度安全的哈希算法，其哈希输出长度为256位，提供了极高的安全性和抗碰撞性。这使得利用hmac-sha256生成的会话密钥具有很高的保密性和安全性。sha-256是一种被广泛接受和支持的加密哈希算法，在许多安全领域和协议中被广泛使用。其广泛的应用背景和被接受的安全性为选择该算法提供了额外的保证，使其成为安全通信的可靠选择。sha-256算法在当前的技术环境下被认为是安全可靠的，目前尚未有公开的可行攻击手段来破解其哈希输出。这种抗攻击性保证了基于hmac-sha256生成的会话密钥不易被计算出来或被攻击者猜测。sha-256在计算性能和效率方面表现良好。它提供了足够的安全性，同时在实际的系统中能够以相对较快的速度生成哈希值，不会给通信过程增加过多的延迟。hmac-sha256是一个被广泛标准化和验证的算法。其标准化程度和可验证性使得开发者和安全专家能够轻松审查和验证其安全性，降低了出错和漏洞的风险。综上所述，选择hmac-sha256算法作为会话密钥生成的工具在安全通信中有着很高的技术意义，它提供了强大的安全性、广泛的支持和应用、抗攻击性以及合适的性能和效率。

21、进一步地，蓝牙模块与外部节点利用diffie-hellman密钥交换协议建立通信通道，生成临时密钥，还包括：蓝牙模块选择一个大素数和一个本原根，根据随机数计算出第一密钥指数，并将选择的大素数和本原根发送给外部节点；外部节点根据接收到的大素数和本原根，根据随机数计算出第二密钥指数；外部节点将计算出的第二密钥指数发送给蓝牙模块；蓝牙模块根据第一密钥指数和第二密钥指数，生成临时密钥。

22、3.有益效果

23、相比于现有技术，本技术的优点在于：

24、(1)通过数字证书的签名验证和唯一标识绑定，实现了车载网关与外部节点之间的双向认证，保证了通信双方身份的真实可信，避免了冒充攻击的风险，提高了车载网络通信的可靠性；

25、(2)通过无线网络配置参数的加密传输和认证，防止参数在传输过程中被恶意篡改或截取，保障了车载网关加入无线网络的安全可控，提高了车载网络的抗攻击能力；

26、(3)通过通信密钥的协商和数据报文的加密，有效保护了车载网关与外部节点之间的数据交互的机密性与完整性，使数据收发双方之间建立了安全可靠的通信通道，提高了车联网的数据传输安全性。

27、综上所述，针对现有技术中车联网环境下，车载设备与外部节点之间缺乏安全可靠的认证机制，存在数据传输安全风险的问题，本技术通过数字证书的传输和验证、无线网络配置信息的安全传递、通信密钥的协商等技术手段，实现了车载网关与外部节点之间的双向认证和数据传输通道的安全加密，保证了车联网中的数据交互过程的机密性、完整性和终端身份的可信赖性。本技术综合运用了数字签名、证书链验证、对称加密、hmac认证等多种现代密码学手段，提高了车联网环境下车载网关与外部节点之间通信安全性的可靠性和抗攻击能力。