发明内容
有鉴于此,本发明创造旨在提出一种便于应用扩展的ETC阅读器,以解决ETC阅读器不能支持不同的扩展应用、规范不同阅读器的业务操作、提供更好的安全***支撑的问题。
为达到上述目的,本发明创造的技术方案是这样实现的:
一种便于应用扩展的ETC阅读器,包括安全控制模块和基础支持模块,安全控制模块作为业务和安全中心,基础支持模块包含阅读器CPU***,作为通信和协议中心,两者协同工作;
所述安全控制模块SCU包括:
业务控制子模块,通过与DSRC协议子模块进行空口指令交互,与车道通信模块进行数据相关指令的交互,实现业务流程和协议参数控制;
业务安全子模块,写入业务密钥对和密钥算法,实现与车载标签上密钥体系一致的业务安全密钥体系,完成业务流程中与车载标签的认证鉴别、相关业务信息的加密和解密;
***安全子模块,写入相应***密钥算法、密钥因子和SCU唯一标识信息,存储安全控制模块SCU与基础支持模块的身份证书和授权信息;
所述基础支持模块BSU包括:
DSRC协议子模块,接收或响应业务控制子模块发出的空口指令,进行协议组帧、封装、解析、指令下发和响应上报,实现与车载标签交互;同时控制阅读器的射频单元,完成射频参数配置和射频开关控制;
车道通信模块,用来进行与车道计算机或采集***的通信方式的支持,完成数据通信成帧封装和解析,完成指令适配;
***配置子模块,写入相应***密钥算法、密钥因子和BSU唯一标识信息,配合***安全子模块完成安全控制模块SCU的身份认证。
进一步的,SCU和BSU通过定义的交互指令完成业务通信和控制权的切换,通过保活机制和超时控制来确保两者之间的链接状态;在业务流程阶段,SCU与BSU之间的交互指令的指令流包括从SCU到BSU的空口指令转发帧、业务数据上报帧、业务流程结束帧;以及对应的从BSU到SCU的空口响应帧、业务数据响应帧、业务结束响应帧。
进一步的,所述业务安全密钥体系采用对称加密算法,***密钥采用公私密钥对和数字证书算法。
进一步的,所述SCU对应的硬件实体为独立单板或模块形式,通过插针或USB接口与阅读器的主板相连,接口形式为高速并口或SPI或USB。
上述便于应用扩展的ETC阅读器的工作方法,包含如下步骤:
步骤A.SCU和BSU在出厂或发行时,其内的***安全子模块和***配置子模块均写入相应***密钥算法、密钥因子、和设备唯一标识信息;业务安全子模块写入业务密钥对和业务密钥算法;
步骤B.在阅读器初次整理入网使用时,SCU和BSU生成各自的***密钥对,携带身份信息,向营运密钥管理中心CA申请设备的授权数字证书;
步骤C.设备每次上电后,SCU通过授权的数字证书对BSU进行身份验证,确认合法后可以进行后续业务操作;如果设备不合法或SCU未进行初始化,重新执行步骤B进行设备初始化申请;
步骤D.BSU寻求与车道计算机或者采集***的软件建链,获得阅读器的工作配置信息;
步骤E.BSU的***配置子模块综合步骤D获取的工作配置信息和SCU支持模式,对SCU进行工作模式配置;
步骤F.SCU完成工作模式配置后,对BSU进行业务参数配置,开始业务流程;
步骤G.SCU下发空口指令转发命令给DSRC协议子模块,DSRC协议子模块进行协议组帧发送,与车载标签交互;从车载标签返回的信息经过DSRC协议子模块解帧,通过空口响应结果上报命令传递给SCU;
步骤H.SCU通过对响应结果解析,看是否需要上报车道计算机进行结果确认或信息获取,如果需要,向BSU发送业务数据上报命令;如果不需要,继续进行下一步空口指令转发或其他处理;
步骤I.BSU通过车道通信子模块将业务数据上报给车道计算机或采集***,获得信息确认或下一步交互指令,再将响应结果通过业务数据响应命令下发给SCU;
步骤J.BSU接收到业务数据响应命令后进行相应分析再继续执行下一步空口指令转发或其他处理;根据业务需要重复步骤G至步骤J,直至业务完成。
相对于现有技术,本发明创造所述的便于应用扩展的ETC阅读器具有以下优势:
(1)本发明提出了一种新的阅读器的架构,在阅读器中引入集成业务控制和安全***的安全控制模块(SCU)作为阅读器的业务控制中心,阅读器提供基础的DSRC协议支持和通信支持,通过安全控制模块的统一调度和控制,来实现ETC扩展应用功能。通过安全控制模块对流程参数的统一,来减少阅读器的实现差异。
(2)同时,该设计引入安全控制模块的身份鉴别及阅读器与安全控制模块之间的身份认证,增加了阅读器授权的安全等级。
具体实施方式
需要说明的是,在不冲突的情况下,本发明创造中的实施例及实施例中的特征可以相互组合。
RSU路侧单元是ETC***中,安装在路侧,采用DSRC技术,与车载单元OBU进行通讯,实现车辆身份识别,电子扣分等功能的装置。RSU的设计遵循国家标准为GB20851,通讯频率为5.8GHz。
下面将参考附图并结合实施例来详细说明本发明创造。
本发明实施例提供一种便于应用扩展的ETC阅读器,如图1所示,包括安全控制模块(SCU)和基础支持模块(BSU),安全控制模块作为业务和安全中心,基础支持模块包含阅读器CPU***,作为通信和协议中心,所述安全控制模块(SCU)和基础支持模块(BSU)两者协同工作;
所述安全控制模块(SCU)包括:
业务控制子模块,通过与DSRC协议子模块进行空口指令交互,与车道通信模块进行数据相关指令的交互,实现业务流程和协议参数控制;业务控制子模块的实现体现了不同应用场景业务流程的差异;业务控制子模块还负责与基础支持模块的车道通信模块和DSRC协议子模块交互;
业务安全子模块,写入业务密钥对和密钥算法,实现与车载标签上密钥体系一致的业务安全密钥体系,完成业务流程中与车载标签的认证鉴别、相关业务信息的加密和解密;
***安全子模块,写入相应***密钥算法、密钥因子和SCU唯一标识信息,用来实现阅读器的***的安全密钥体系;存储安全控制模块与基础支持模块的身份证书和授权信息,完成对阅读器CPU***的身份鉴别和授权;
所述基础支持模块(BSU)包括:
DSRC协议子模块,用来实现通用DSRC协议,包括应用层、LLC层、MAC层三层指令封装、解析、指令下发和响应上报;实现接收或响应业务控制子模块发出的空口指令,进行协议组帧、封装、解析、指令下发和响应上报,实现与车载标签交互;同时控制阅读器的射频单元,完成射频参数配置和射频开关控制;
车道通信模块,用来进行与车道计算机或采集***串口、网口等不同通信方式的支持,完成数据通信成帧封装和解析,完成指令适配;
***配置子模块,写入相应***密钥算法、密钥因子和BSU唯一标识信息,用来存储阅读器的身份信息、密钥信息、***的配置信息,配合***安全子模块完成SCU的身份认证。
本发明实施例ETC阅读器的阅读器主板上连接安全控制模块(SCU)、基础支持模块(BSU)和射频子模块。
如图3所示,本发明实施例ETC阅读器的基础支持模块(BSU)对应的硬件实体为BSU子板,BSU子板上包括BSU子板CPU和与其连接的FPGA、FLASH、DDR和NVRAM,所述FPGA通过射频板接口连接阅读器主板上的射频子模块,FPGA还连接有以太网接口。
本发明实施例ETC阅读器的安全控制模块(SCU)对应的硬件实体为SCU子板,SCU子板上包括SCU子板CPU和与其连接的EPLD、安全芯片、FLASH、SDRAM和NVRAM,所述EPLD通过SPI连接FPGA,所述SCU子板通过插针或USB接口与阅读器主板相连。
所述SCU子板和BSU子板通过SPI接口相连,也可以使用高速并口或USB接口形式;SCU子板上的SCU子板CPU、EPLD和Flash共同构成业务控制子模块硬件载体,所述EPLD完成通信速率的调整和制式匹配;SCU子板上的SCU子板CPU和安全芯片共同构成业务安全子模块的硬件载体,安全芯片存储业务密钥、加密文件和支持安全运算;SCU子板上的SCU子板CPU和NVRAM共同构成***安全子模块的硬件载体,NVRAM存储SCU的密钥对、身份证书和授权信息;
BSU子板上的BSU子板CPU、FPGA和Flash共同构成DSRC协议子模块的硬件载体,FPGA完成射频板控制、空口帧编解码等功能;BSU子板上的BSU子板CPU、FPGA和以太网接口共同构成车道通信子模块的硬件载体;BSU子板上的BSU子板CPU和NVRAM共同构成***配置子模块的硬件载体,NVRAM存储BSU的密钥对和身份信息。
本发明使用两套密钥体系来进行身份鉴别和信息加密,业务安全子模块写入业务安全密钥体系,与车载标签上密钥体系一致,由交通部统一管理;***安全子模块和***配置子模块写入***密钥体系,由交通部授权的营运单位和设备厂商共同管理;业务安全密钥体系采用对称加密算法,保障业务交易对时间的要求;***密钥***采用公私有密钥对和数字证书算法,提高密钥保护的安全等级,保障***使用的合法性。
本发明SCU用来控制实现RSU业务流程,根据应用需求组装与OBU交互空口指令和与车道计算机交互报文,集成安全模块完成应用业务的安全运算和认证,完成SCU和阅读器CPU***的身份认证和鉴别,是阅读器的业务和安全控制中心。而BSU作为通信和协议中心。BSU用来实现DSRC短程通信协议、射频控制和与车道计算机的通信协议,作为通信和协议中心,用来实现SCU的指令协议封装、通信数据封装,通过与SCU及车道计算机交互完成业务流程。
所述SCU和BSU共同构成阅读器***的两个中心,两个中心相互配合来完成业务流程。安全控制模块SCU负责控制业务和安全,它体现应用场景差异的部分,通过升级安全控制模块SCU版本来完成对不同应用场景的支持;基础支持模块BSU负责协议和通信控制,提供通用的协议层和通信层支持,对不同应用场景都起到支撑作用。
安全控制模块SCU一般由交通部或授权的营运单位提供,根据不同应用场景提供不同的安全控制模块SCU版本,如果版本升级也需由相关营运单位监管操作,这样也将不同场景的管理规范化。基础支持模块BSU由传统阅读器设制造商提供,由制造商将授权发行的SCU组装进阅读器,再提供阅读器整机供不同市场使用。
如图2所示,本发明实施例阅读器的工作过程包括:初始化流程、SCU与BSU的认证流程和业务流程等;
初始化流程:采用数字证书鉴别方法,***安全子模块和***配置子模块生成各自的私钥和公钥对,所述***安全子模块将自己的公钥、身份标识号、出厂时间、有效时间、密钥算法、业务类型号、版本号等信息,传递给***配置子模块,***配置子模块加入自己的公钥、设备标识号等信息生成认证请求帧,后发送营运密钥管理中心CA,CA生成BSU授权数字证书,再传给阅读器CPU***,阅读器CPU***转递给SCU的***安全子模块中存储,完成SCU初始化流程;
其中所述BSU授权数字证书包括发行机构、证书版本、签名算法、数字签名、SCU公钥、配套BSU公钥等信息,所述数字签名为SCU公钥对BSU设备标识号、SCU身份标识号、BSU公钥等信息加密处理生成。
SCU与BSU的认证流程:BSU发起认证申请,如果SCU没有完成初始化流程则返回未初始化帧给BSU,重新进行初始化流程;如果已经完成初始化流程,SCU生成随机数发送给***配置子模块,***配置子模块使用自己的私钥对随机数和BSU设备标识号进行加密,形成数字签名,发送给***安全子模块;***安全子模块根据之前存储的BSU授权数字证书,首先校验BSU公钥的合法性,如果合法使用BSU公钥解密BSU传递过来的数字签名,得到随机数和设备标识号,从而完成对BSU身份合法性校验。校验结果返回给BSU,如果合法,可以开始业务流程。
所述初始化流程在首次上电入网进行,认证流程每次上电都进行执行。完成BSU和SCU的身份认证后,由BSU负责启动业务流程,首先完成与车道计算机或采集***的建链,获得车道信息、业务信息、阅读器参数配置信息等,通过***配置子模块一方面进行射频参数配置,一方面进行SCU工作模式配置,比如多种工作模式的选择、单次稽查模式和循环工作模式选择等。完成工作模式配置后,***控制权由BSU转移到SCU,SCU开始启动业务流程。
协作工作流程,SCU和BSU***相互配合完成业务流程,两者之间通过定义的交互指令完成业务通信和控制权的切换,通过保活机制和超时控制来确保两者之间的链接状态。BSU来完成配置管理、启动SCU工作和基础协议、通信支持;SCU完成业务流程控制和业务参数控制,业务参数控制由SCU的业务控制子模块实现,通过下发空口指令转发帧,里面包括指令重传次数、发送间隔、等待时间等参数来进行业务流程参数控制,帧格式见下表1。
在业务流程阶段:SCU与BSU之间的指令流包括从SCU到BSU的空口指令转发帧、业务数据上报帧、业务流程结束帧;以及对应的从BSU到SCU的空口响应帧、业务数据响应帧、业务结束响应帧。也可以在BSU与SCU之间加入心跳保活帧来确保双方工作状态、但在业务流程阶段会影响业务效率增加***负荷,可以在业务流程期间用常规通信帧和双方设置超时时间来起到保活作用,在业务流程间隔期加入心跳保活帧。
如下表1为本发明对空口指令转发帧的定义说明,空口指令转发帧,指示空口DSRC协议指令的选择、承载净核数据内容和协议参数配置,协议参数配置包括:命令发送次数、重传间隔、等待时间,这样做不但统一了不同阅读器实现差异带来的互联互通问题,也灵活的实现每帧指令都可以做出不同配置,根据应用需要达到最好的业务效率;
如下如表2是本发明对空口指令响应帧的定义说明,空口响应帧包含命令执行状态标识和业务净核数据,命令执行状态包括成功、超时、解析错误等几种状态。BSU的DSRC协议子模块收到空口指令转发帧后构造封装指令,并根据配置设置命令发送次数、重传间隔和等待时间,在有效等待时间内重传指令等待车载标签响应,直到超时处理。
SCU在业务的某些决策点,比如标签身份校验、IC卡身份校验、扣款费率计算等,需要与车道计算机或采集***进行数据交互,SCU根据业务封装业务数据上报帧通过车道通信子模块传递给车道计算机,车道计算机完成相关处理后下发业务数据响应帧给SCU。SCU操作空***互和车道交互可以根据业务流程进行串行操作,也可以进行并行处理,缩短业务时间提升效率,比如在等待车道计算机应答的时候,先开始下一步空口指令转发帧操作,相当于将空***互时间并行在车道交互时间里面。
当业务流程正常完成或者异常结束时,SCU发送业务流程结束帧给BSU配置子模块,BSU配置子模块发送业务结束响应帧给SCU应答。SCU根据当前配置模式,如果为单次稽查模式则交出控制权给BSU,等待再次配置开始业务;如果为循环业务模式则继续保有控制权开始下一轮业务处理。BSU配置子模块收到业务结束帧后,根据当前配置模式,如果为单次稽查模式,发送指令重置DSRC协议子模块和射频单元相关参数,上报车道计算机或采集***等待下次业务启动;如果为循环业务模式则保持当前配置,由SCU控制开始下一轮业务处理。
本发明阅读器的配置和工作过程包括以下步骤:
步骤A.SCU和BSU在出厂或发行时,其内的***安全子模块和***配置子模块均写入相应(***)密钥算法、密钥因子、和设备唯一标识信息;业务安全子模块写入业务密钥对和(业务)密钥算法;SCU升级为特定应用场景的版本;
步骤B.在阅读器初次整理入网使用时,SCU和BSU产生各自(***)密钥对,携带身份信息(例如设备唯一标识信息)向营运密钥管理中心CA申请设备的授权数字证书,完成设备初始化过程;
步骤C.设备每次上电后,SCU通过授权的数字证书对BSU身份进行验证,确认合法后可以进行后续业务操作;如果设备不合法或SCU未进行初始化,重新执行步骤B进行设备初始化申请;
步骤D.BSU寻求与车道计算机或者采集***软件建链,获得阅读器的工作配置信息;
步骤E.BSU的***配置子模块综合步骤D获取的工作配置信息和SCU支持模式,对SCU进行工作模式配置;
步骤F.SCU完成工作模式配置后,对BSU进行业务参数配置,开始业务流程;
步骤G.SCU下发空口指令转发命令给BSU的DSRC协议子模块,BSU进行协议组帧发送,与车载标签交互;从车载标签返回的信息经过DSRC协议子模块解帧,通过空口响应结果上报命令传递给SCU;
步骤H.SCU通过对响应结果解析,看是否需要上报车道计算机进行结果确认或信息获取,如果需要,向BSU发送业务数据上报命令;如果不需要,继续进行下一步空口指令转发或其他处理;
步骤I.BSU通过车道通信子模块将业务数据上报给车道计算机或采集***,获得信息确认或下一步交互指令,再将响应结果通过业务数据响应命令下发给SCU;
步骤J.BSU接收到业务数据响应命令后进行相应分析再继续执行下一步空口指令转发或其他处理;根据业务需要重复步骤G至步骤J,直至业务完成。
以上所述仅为本发明创造的较佳实施例而已,并不用以限制本发明创造,凡在本发明创造的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明创造的保护范围之内。