CN110417548A - 一种基于电子证书的车路协同网络安全保护方法 - Google Patents

Abstract

一种基于电子证书的车路协同网络安全保护方法,其能够实现各实体之间通信的身份唯一标识、身份认证、防劫持、通信加密、数据篡改等网络安全保护能力。这种车辆计费收费与推送方法，其包括步骤：(1)运载装备单元、基础设施单元、计算中心单元均具有嵌入式安全芯片，安全芯片验签；(2)安全芯片写入密钥管理***分发的密钥和数字证书；(3)运载装备单元与基础设施单元握手。

Description

一种基于电子证书的车路协同网络安全保护方法

技术领域

本发明属于交通信息安全和智能交通的技术领域，具体地涉及一种基于电子证书的车路协同网络安全保护方法。

背景技术

目前，在智能交通领域应用最广的密码技术是对称密码技术的应用数量远远超过电子证书的应用数量，但是车路协同技术体系和管理体系庞大，对称密码难以支撑如此复杂的应用场景以及跨业务的认证需求。

发明内容

本发明的技术解决问题是：克服现有技术的不足，提供一种基于电子证书的车路协同网络安全保护方法,其能够实现各实体之间通信的身份唯一标识、身份认证、防劫持、通信加密、数据篡改等网络安全保护能力。

本发明的技术解决方案是：这种车辆计费收费与推送方法，其包括以下步骤：

(1)运载装备单元、基础设施单元、计算中心单元均具有嵌入式安全芯片，安全芯片验签；

(2)安全芯片写入密钥管理***分发的密钥和数字证书；

(3)运载装备单元与基础设施单元握手。

本发明利用装载于运载装备单元、基础设施单元、计算中心单元的电子证书，实现各实体之间通信的身份唯一标识、身份认证、防劫持、通信加密、数据篡改等网络安全保护能力。

附图说明

图1示出了根据本发明的基于电子证书的车路协同网络安全保护方法的***通信安全技术架构。

图2示出了运载装备单元与基础设施单元握手的流程图。

具体实施方式

如图1所示，这种车辆计费收费与推送方法，其包括以下步骤：

(1)运载装备单元、基础设施单元、计算中心单元均具有嵌入式安全芯片，安全芯片验签；

(2)安全芯片写入密钥管理***分发的密钥和数字证书；

(3)运载装备单元与基础设施单元握手。

本发明利用装载于运载装备单元、基础设施单元、计算中心单元的电子证书，实现各实体之间通信的身份唯一标识、身份认证、防劫持、通信加密、数据篡改等网络安全保护能力。

优选地，所述步骤(2)中，密钥负责对传输和本地存储数据进行加密，确保数据安全；数字证书负责在通信和数据传输前，实现对通信各方的身份进行认证，确保数据的发送方和接收方均为被授权的设备。

优选地，如图2所示，所述步骤(3)包括以下分步骤：

(3.1)运载装备单元从SE获得8字节的芯片编号sn，并生成16字节的随机数r1，设置1字节算法标识A1，获得时间戳T1，M1＝(sn||r1||A1||T1)；

(3.2)运载装备单元向处理中心发送请求R1，R1＝M1；

(3.3)处理中心判断时间戳，并提取随机数r1；然后对该随机数进行判断，如果单位窗口内已经存在，则认为存在重放攻击的风险，发送出错消息，关闭连接；

(3.4)处理中心根据sn查找终端证书，如果找不到，则发送出错消息，结束链接，找到则继续；

(3.5)处理中心生成工作密钥密文K1_Enc及校验值K1_Mac、MAC密钥密文K2_Enc及校验值K2_Mac、随机数r2，K1_Enc和K2_Enc都是由对应的运载装备单元证书公钥进行SM2加密，密钥生成过程必须在硬件密码设备内部完成，校验值是工作密钥明文对16字节0做SM4加密，取前8字节；

(3.6)处理中心使用私钥对(M2||M1)进行签名，得到签名值S2，其中M2＝(K1_Enc||K1_Mac||K2_Enc||K1_Mac||r2)；

(3.7)处理中心发送响应R2(R2＝M2||S2)给运载装备单元；

(3.8)运载装备单元对签名S2进行验证，如果验证不通过，则产生错误，同时结束退出，否则继续；

(3.9)运载装备单元将K1_Enc、K1_Mac、K2_Enc、K2_Mac导入SE，SE应在内部计算工作密钥的校验值和MAC密钥的校验值，分别进行比较，如果生成的校验值和从处理中心收到的校验值一致，则将K1、K2存储在SE的安全区域中，否则产生错误，同时结束退出；如果一致，则握手过程正常完成，以后每次通讯消息均采用ENC_SM4(K1,msg)||MAC_SM4(K2,msg)的方式进行。

本发明的有益技术效果为：因车路协同技术体系和管理体系庞大，对称密码难以支撑如此复杂的盈盈场景以及跨业务的认证需求，而本发明基于电子证书的车路协同信息安全保护方法，能够实现各实体之间通信的身份唯一标识、身份认证、防劫持、通信加密、数据篡改等网络安全保护能力。

以上所述，仅是本发明的较佳实施例，并非对本发明作任何形式上的限制，凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰，均仍属本发明技术方案的保护范围。

Claims (3)

1.一种基于电子证书的车路协同网络安全保护方法，其特征在于：其包括以下步骤：

(1)运载装备单元、基础设施单元、计算中心单元均具有嵌入式安全芯片，安全芯片验签；

(2)安全芯片写入密钥管理***分发的密钥和数字证书；

(3)运载装备单元与基础设施单元握手。

2.根据权利要求1所述的基于电子证书的车路协同网络安全保护方法，其特征在于：所述步骤(2)中，密钥负责对传输和本地存储数据进行加密，确保数据安全；数字证书负责在通信和数据传输前，实现对通信各方的身份进行认证，确保数据的发送方和接收方均为被授权的设备。

3.根据权利要求2所述的基于电子证书的车路协同网络安全保护方法，其特征在于：所述步骤(3)包括以下分步骤：

(3.1)运载装备单元从SE获得8字节的芯片编号sn，并生成16字节的随机数r1，设置1字节算法标识A1，获得时间戳T1，M1＝(sn||r1||A1||T1)；

(3.2)运载装备单元向处理中心发送请求R1，R1＝M1；

(3.3)处理中心判断时间戳，并提取随机数r1；然后对该随机数进行判断，如果单位窗口内已经存在，则认为存在重放攻击的风险，发送出错消息，关闭连接；

(3.4)处理中心根据sn查找终端证书，如果找不到，则发送出错消息，结束链接，找到则继续；

(3.5)处理中心生成工作密钥密文K1_Enc及校验值K1_Mac、MAC密钥密文K2_Enc及校验值K2_Mac、随机数r2，K1_Enc和K2_Enc都是由对应的运载装备单元证书公钥进行SM2加密，密钥生成过程必须在硬件密码设备内部完成，校验值是工作密钥明文对16字节0做SM4加密，取前8字节；

(3.6)处理中心使用私钥对(M2||M1)进行签名，得到签名值S2，其中M2＝(K1_Enc||K1_Mac||K2_Enc||K1_Mac||r2)；

(3.7)处理中心发送响应R2(R2＝M2||S2)给运载装备单元；

(3.8)运载装备单元对签名S2进行验证，如果验证不通过，则产生错误，同时结束退出，否则继续；

(3.9)运载装备单元将K1_Enc、K1_Mac、K2_Enc、K2_Mac导入SE，SE应在内部计算工作密钥的校验值和MAC密钥的校验值，分别进行比较，如果生成的校验值和从处理中心收到的校验值一致，则将K1、K2存储在SE的安全区域中，否则产生错误，同时结束退出；如果一致，则握手过程正常完成，以后每次通讯消息均采用ENC_SM4(K1,msg)||MAC_SM4(K2,msg)的方式进行。