CN111182497A - V2x匿名认证方法、设备及存储介质 - Google Patents

Abstract

本发明实施例公开了V2X匿名认证方法、设备及存储介质。本发明实施例将先获取待接收报文，从所述待接收报文中提取当前数字签名及当前虚拟身份标识，根据所述当前虚拟身份标识对所述当前数字签名进行签名验证操作。可见，本发明实施例不同于常见的信息保护方式，不使用证书进行签名验证而使用当前虚拟身份标识进行签名验证，该种签名验证方式带来的计算量比使用证书时更少，大大提高了计算效率，可满足在处理大量通信报文时的实时性需求。此外，在消息认证过程中，随机变换虚拟身份，可满足V2X通信的匿名要求，规避攻击者对车辆的追踪定位等危险。

Description

V2X匿名认证方法、设备及存储介质

技术领域

本发明涉及信息安全技术领域，尤其涉及V2X匿名认证方法、设备及存储介质。

背景技术

随着第五代移动通信技术(5G，5th-Generation)技术的发展和普及，车联网得到了进一步的发展。

比如，就车用无线通信技术(V2X，vehicle to X)的通信***而言，作为车联网的重要组成部分，实现了车辆与其他实体之间的信息交互，例如，车辆与周边车辆、路侧单元或者行人之间的信息交互，路测单元可为交通信号灯等其他单元。

需知，若车辆上装载的车载终端运载着该V2X通信***，则可获取交通***中其他参与方的实时状态，从而规避危险、降低堵塞，同时，可促进智慧交通***的高效安全运行。

但是，由于V2X通信***中涉及到用户个人身份信息、车辆位置、车辆状态、行驶轨迹、交通周边基础设施信息及国家地理信息等关键数据，且这些关键数据将直接影响到智能驾驶车辆的决策，因此，保护V2X通信消息不被非法攻击者窃取、篡改或利用显得尤为重要。

面向V2X通信***的数据安全问题，目前，存在着多种信息保护方式。

比如，一类信息保护方式为传统的公钥基础设施/认证中心(PKI/CA，Public KeyInfrastructure/Certificate Of Authority)认证技术，该类认证技术将数字证书与用户身份绑定，由于使用到了用户身份，可被攻击者利用以追踪车辆；另一方面，该类认证技术的计算效率较低，也难以满足智能驾驶车辆的实时性要求。

另一类信息保护方式为欧洲车车通信联盟(C2C-CC，car to car communicationconsortium)基于PRESERVE PKI方案提出的PILOT PKI方案，该方案针对车-车/车-基础设施(V2V/V2I，vehicle to vehicle/vehicle to infrastructure)通信场景下的身份认证问题。

至于PILOT PKI方案，将采用多层CA机制，通过假名证书技术实现对于网联汽车的匿名性保护。

具体而言，PILOT CA将通过假名证书(或认证票据)提供对虚假消息或恶意车辆的追踪溯源。但是，使用假名证书(或认证票据)进行身份验证的方式计算效率较低，也无法满足大量通信消息下的实时认证需求。

综上可见，常见的信息保护方式均计算效率较低，无法满足大量通信消息下的实时认证需求。

发明内容

为了解决上述问题，本发明实施例提供V2X匿名认证方法、设备及存储介质。

第一方面，本发明实施例提供一种V2X匿名认证方法，应用于第一通信设备，包括：

获取待接收报文；

从所述待接收报文中提取当前数字签名及当前虚拟身份标识；

根据所述当前虚拟身份标识对所述当前数字签名进行签名验证操作。

优选地，所述从所述待接收报文中提取当前数字签名及当前虚拟身份标识之后，所述V2X匿名认证方法还包括：

从所述待接收报文中提取当前索引；

根据所述当前索引查询对应的当前主公钥；

所述根据所述当前虚拟身份标识对所述当前数字签名进行签名验证操作，具体包括：

将所述当前数字签名、所述当前虚拟身份标识以及所述当前主公钥通过预设签名验证算法进行所述待接收报文的签名验证操作。

第二方面，本发明实施例提供一种V2X匿名认证方法，应用于第二通信设备，包括：

若检测到待发送的消息内容，则获取当前主公钥；

在预定范围内随机选取当前虚拟身份标识，并确定与所述当前虚拟身份标识对应的当前签名私钥；

根据所述当前主公钥与所述当前签名私钥对所述消息内容进行数字签名操作，以获得当前数字签名；

将所述消息内容、所述当前数字签名以及所述当前虚拟身份标识发送至第一通信设备，以供所述第一通信设备根据所述当前虚拟身份标识对所述当前数字签名进行签名验证操作。

优选地，所述将所述消息内容、所述当前数字签名以及所述当前虚拟身份标识发送至第一通信设备，以供所述第一通信设备根据所述当前虚拟身份标识对所述当前数字签名进行签名验证操作，具体包括：

将所述消息内容、所述当前数字签名、所述当前虚拟身份标识以及与所述当前主公钥对应的当前索引发送至第一通信设备，以供所述第一通信设备根据所述当前索引查询对应的当前主公钥，将所述当前数字签名、所述当前虚拟身份标识以及所述当前主公钥通过预设签名验证算法进行签名验证操作。

优选地，所述若检测到待发送的消息内容，则获取当前主公钥之前，所述V2X匿名认证方法还包括：

获取第二通信设备的设备标识；

将所述设备标识发送至标识管理服务器，以使所述标识管理服务器根据所述设备标识生成当前虚拟身份标识，根据所述当前虚拟身份标识生成对应的当前签名私钥，并将所述当前虚拟身份标识以及所述当前签名私钥反馈至所述第二通信设备。

第三方面，本发明实施例提供一种V2X匿名认证方法，应用于标识管理服务器，包括：

接收第二通信设备发送的设备标识；

根据所述设备标识生成当前虚拟身份标识；

根据所述当前虚拟身份标识生成对应的当前签名私钥；

将所述当前虚拟身份标识以及所述当前签名私钥发送至所述第二通信设备，以使所述第二通信设备获取当前主公钥以及待发送的消息内容，获取所述当前虚拟身份标识，并确定与所述当前虚拟身份标识对应的当前签名私钥，并根据所述当前主公钥与所述当前签名私钥对所述消息内容进行数字签名操作。

优选地，所述根据所述设备标识生成当前虚拟身份标识，具体包括：

获取当前随机数；

将所述设备标识转化为与所述当前随机数对应的当前虚拟身份标识。

优选地，所述将所述设备标识转化为与所述当前随机数对应的当前虚拟身份标识，具体包括：

将所述设备标识以及所述当前随机数通过预设哈希算法进行运算，以生成与所述当前随机数对应的当前虚拟身份标识。

第四方面，本发明实施例提供一种V2X匿名认证装置，包括：

报文获取模块，用于获取待接收报文；

签名获取模块，用于从所述待接收报文中提取当前数字签名及当前虚拟身份标识；

签名验证模块，用于根据所述当前虚拟身份标识对所述当前数字签名进行签名验证操作。

第五方面，一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现本发明第一方面、第二方面以及第三方面提供的一种V2X匿名认证方法的步骤。

第六方面，一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现本发明第一方面、第二方面以及第三方面提供的一种V2X匿名认证方法的步骤。

本发明实施例提供的V2X匿名认证方法、设备及存储介质，先获取待接收报文，从所述待接收报文中提取当前数字签名及当前虚拟身份标识，根据所述当前虚拟身份标识对所述当前数字签名进行签名验证操作。可见，本发明实施例不同于常见的信息保护方式，不使用证书进行签名验证而使用当前虚拟身份标识进行签名验证，该种签名验证方式带来的计算量比使用证书时更少，大大提高了计算效率，可满足在处理大量通信报文时的实时性需求。

附图说明

图1为本发明实施例提供的一种V2X匿名认证方法的流程图；

图2为本发明又一实施例提供的一种V2X匿名认证方法的流程图；

图3为本发明再一实施例提供的一种V2X匿名认证方法的流程图；

图4为本发明另一实施例提供的一种V2X匿名认证方法的流程图；

图5为本发明另一实施例提供的通信框架划分示意图；

图6为本发明实施例提供的一种V2X匿名认证处理装置的结构示意图；

图7为本发明实施例提供的一种电子设备的实体结构示意图；

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明实施例提供的一种V2X匿名认证方法的流程图，如图1所示，应用于第一通信设备，该方法包括：

S1，获取待接收报文。

本发明实施例的执行主体为电子设备，具体地，本发明实施例的电子设备可为一种通信设备。该通信设备可应用于V2X通信场景，故而，该通信设备还可记为V2X通信设备。V2X通信设备可为车载终端。

为了便于区分，此处将本发明实施例涉及的执行主体记为第一通信设备，若以车载终端为例，第一通信设备可记为车载终端A，车载终端A可能监测到来自车载终端B或者路侧基础设施发送的广播报文，该广播报文可记为待接收报文。

S2，从所述待接收报文中提取当前数字签名及当前虚拟身份标识。

若车载终端A接收到车载终端B发送的广播报文，可先对该广播报文进行合法性验证，以防止被攻击者利用。

在具体实现中，待接收报文中可包括有当前数字签名以及当前虚拟身份标识，当前数字签名可记为(h′,S′)。

需知，此处的当前数字签名与当前虚拟身份标识对应，当前虚拟身份标识不同于通信设备的设备标识，通信设备的设备标识用于唯一性地标记该硬件，但是，当前虚拟身份标识用于表征一个通信设备的虚拟身份。一个通信设备仅具有一个设备标识，但是，一个通信设备可同时具有大于或等于2个的虚拟身份标识。

其中，设备标识可为预先烧录在通信设备的安全芯片中的唯一序列码。

可见，待接收报文中并未与该设备标识直接关联，比如，待接收报文中并不包含该设备标识，使得待接收报文具有一定的匿名性，提高了信息的安全性。

S3，根据所述当前虚拟身份标识对所述当前数字签名进行签名验证操作。

故而，此处将通过当前虚拟身份标识对与该当前虚拟身份标识对应的当前数字签名行签名验证。需知，常见的信息保护方式在此处使用的是证书进行签名验证而非当前虚拟身份标识，申请证书与使用该证书带来的计算量均较大，计算也较为复杂，但是，此处使用的标识带来的计算过程的计算难度较低，且签名验证流程也较为直接，如此大大提高了计算效率，可满足在处理大量通信报文时的实时性需求。

本发明实施例提供的V2X匿名认证方法，先获取待接收报文，从所述待接收报文中提取当前数字签名及当前虚拟身份标识，根据所述当前虚拟身份标识对所述当前数字签名进行签名验证操作。可见，本发明实施例不同于常见的信息保护方式，不使用证书进行签名验证而使用当前虚拟身份标识进行签名验证，该种签名验证方式带来的计算量比使用证书时更少，大大提高了计算效率，可满足在处理大量通信报文时的实时性需求。

图2为本发明又一实施例提供的一种V2X匿名认证方法的流程图，本发明又一实施例可基于上述图1所示的实施例。

本实施例中，所述根据所述当前虚拟身份标识对所述当前数字签名进行签名验证操作之后，所述V2X匿名认证方法还包括：

若签名验证成功，则接收所述待接收报文。

若此处验证成功，则可正式接收该待接收报文，并进行后续操作，比如，可本地存储该待接收报文，也可基于该待接收报文进行进一步的数据分析。

当然，若签名验证失败，则可直接丢弃所述待接收报文。

在上述实施例的基础上，优选地，所述S2之后，所述V2X匿名认证方法还包括：

S201，从所述待接收报文中提取当前索引。

待接收报文中可携带当前索引，当前索引可为与当前主公钥对应的索引。

S202，根据所述当前索引查询对应的当前主公钥。

首先，标识管理服务器处将生成多组主密钥对，主密钥对(msk,mpk)中包括一主私钥msk与一主公钥mpk，主公钥mpk将对外公开。

接着，可设置一单字节作为主密钥对的索引，索引可记为IND。所以，一索引IND将对应于一主密钥对，进而对应于一主公钥mpk。

然后，标识管理服务器可将索引IND与主公钥mpk均派发给通信设备。

可见，第一通信设备处可已存储有对应存在的索引IND与主公钥mpk，故而，可从索引与主公钥的对应关系中根据当前索引查询出对应的当前主公钥。

所述S3，具体包括：

S301，将所述当前数字签名、所述当前虚拟身份标识以及所述当前主公钥通过预设签名验证算法进行所述待接收报文的签名验证操作。

可以理解的是，就签名验证操作而言，将基于标识对某个广播报文进行签名验证，以判断此封广播报文的发送方是否合法。

就签名验证操作的具体实现方式而言，可采取多种实现方式，比如，可通过当前数字签名、当前虚拟身份标识以及当前主公钥进行待接收报文的签名验证操作。其中，当前数字签名可记为(h′,S′)，当前虚拟身份标识可记为PID′，采用的预设标识密码标准可为SM9，采用的预设签名验证算法可为与预设标识密码标准对应的签名验证算法，而与SM9对应的签名验证算法可记为SM9_verify。

其中，SM9是一种标识密码标准，相关标准为“GM/T 0044-2016SM9标识密码算法”。

至于签名验证算法SM9_verify可具体为，

Result＝SM9_verify(M′,(h′,S′),PID′,mpk)，

其中，Result表示验证结果，Result为1时表示签名验证成功，不为1时表示签名验证失败；M′表示待接收报文中的消息内容，(h′,S′)表示当前数字签名，PID′表示当前虚拟身份标识以及mpk表示当前主公钥。

此外，至于待接收报文的报文格式可设置为，待接收报文的报文格式中包括消息内容字段、数字签名字段、虚拟身份标识字段以及索引字段等。比如，消息内容字段中填入待接收报文的消息内容M′、数字签名字段填入当前数字签名(h′,S′)、虚拟身份标识字段填入当前虚拟身份标识PID′以及索引字段填入了当前主公钥对应的索引IND。

至于待接收报文的报文格式，可参见如下表1。

表1.待接收报文的报文格式

M′

(h′,S′)

PID′

IND

本发明实施例提供的V2X匿名认证方法，将基于签名验证结果来处理待接收报文，如此可以抵御不合法的攻击者派发的广播报文。

图3为本发明再一实施例提供的一种V2X匿名认证方法的流程图。

本实施例中，应用于第二通信设备，包括：

S4，若检测到待发送的消息内容，则获取当前主公钥。

本发明实施例的执行主体为电子设备，具体地，本发明实施例的电子设备可为一种通信设备。

为了便于区分，此处将本发明实施例涉及的执行主体记为第二通信设备，若以车载终端为例，第二通信设备可记为车载终端B。

就图1所示的实施例而言，涉及接收报文并进行签名验证的验证流程，本实施例将涉及发送报文时对报文进行签名的签名流程。

比如，若车载终端B欲向外发送某一消息内容，此时不限制接收方的类型，接收该消息内容的接收方可为车载终端A或其他通信设备。

为了生成待发送的消息内容自身的数字签名，可先选取某一标签管理服务器曾派发的主公钥，并记为当前主公钥。

S5，在预定范围内随机选取当前虚拟身份标识，并确定与所述当前虚拟身份标识对应的当前签名私钥。

接着，将选取某一虚拟身份标识以及与这一虚拟身份标识对应的签名私钥，毕竟，车载终端B内可使用多组虚拟身份标识以及签名私钥，一个虚拟身份标识以及与之对应的签名私钥为一组。

其中，预设范围是指，预先获取的多个虚拟身份标识。

可见，本发明实施例通过随机选取当前虚拟身份标识，可随机变换虚拟身份，可满足V2X通信的匿名要求，规避掉攻击者对车辆进行追踪定位等危险状况。

S6，根据所述当前主公钥与所述当前签名私钥对所述消息内容进行数字签名操作，以获得当前数字签名。

可给出一种数字签名的具体生成方式，但仅作示例。

比如，可根据当前主公钥与当前签名私钥通过与预设标识密码标准对应的签名生成算法对所述消息内容进行数字签名操作，以获得当前数字签名。比如，此处的预设标识密码标准可选用SM9，与SM9对应的签名生成算法为SM9_sign，可搭配签名私钥与标签管理服务器派发的主公钥生成数字签名。

至于签名生成算法SM9_sign可具体为，

(h,S)＝SM9_sign(M,mpk,sk⁽¹⁾)，

其中，(h,S)表示当前数字签名，M表示待发送报文中的消息内容，mpk表示当前主公钥以及sk⁽¹⁾表示当前签名私钥。

S7，将所述消息内容、所述当前数字签名以及所述当前虚拟身份标识发送至第一通信设备，以供所述第一通信设备根据所述当前虚拟身份标识对所述当前数字签名进行签名验证操作。

最后，可将消息内容、当前数字签名以及当前虚拟身份标识发送至接收方，以使得接收方可通过该当前虚拟身份标识进行签名验证，以获悉其合法性。

其中，可将当前数字签名可级联在消息内容后发送给接收方。

此外，最终发送的消息内容、当前数字签名以及当前虚拟身份标识可打包为一待发送报文，以待发送报文的形式发送至接收方。

本发明实施例提供的V2X匿名认证方法，将基于与当前虚拟身份标识对应的当前签名私钥进行报文的签名操作，由于使用的是虚拟身份标识而非设备标识，不表征用户身份，使得报文具备匿名性。其次，由于本发明实施例将采用与虚拟身份标识进行签名操作而非证书，提高了计算效率，降低了计算复杂度，可满足在处理大量通信报文时的实时性需求。

在上述实施例的基础上，优选地，所述将所述消息内容、所述当前数字签名以及所述当前虚拟身份标识发送至第一通信设备，以供所述第一通信设备根据所述当前虚拟身份标识对所述当前数字签名进行签名验证操作，具体包括：

将所述消息内容、所述当前数字签名、所述当前虚拟身份标识以及与所述当前主公钥对应的当前索引发送至第一通信设备，以供所述第一通信设备根据所述当前索引查询对应的当前主公钥，将所述当前数字签名、所述当前虚拟身份标识以及所述当前主公钥通过预设签名验证算法进行签名验证操作。

具体地，还可将消息内容、当前数字签名、当前虚拟身份标识以及当前索引打包为一待发送报文，以待发送报文的形式发送至接收方。

此外，若进一步细化待发送报文的报文格式，此处提及的待发送报文可参见如下表2。

表2.待发送报文的报文格式

M

(h,S)

PID_A

IND

表2中的待发送报文的格式包括消息内容字段、数字签名字段、虚拟身份标识字段以及索引字段，消息内容字段填入了待发送的消息内容M、数字签名字段填入了当前数字签名(h,S)、虚拟身份标识字段填入了实时使用的当前虚拟身份标识PID_A以及索引字段填入了与当前主公钥对应的当前索引IND。

通过发送此类待发送报文至接收方，使得接收方可查询出发送方在签名时使用过的当前主公钥，从而可基于该当前主公钥并协同当前数字签名、当前虚拟身份标识进行签名验证操作。

在上述实施例的基础上，优选地，所述若检测到待发送的消息内容，则获取当前主公钥之前，所述V2X匿名认证方法还包括：

获取第二通信设备的设备标识；

将所述设备标识发送至标识管理服务器，以使所述标识管理服务器根据所述设备标识生成当前虚拟身份标识，根据所述当前虚拟身份标识生成对应的当前签名私钥，并将所述当前虚拟身份标识以及所述当前签名私钥反馈至所述第二通信设备。

比如，第二通信设备将先获取自身硬件的设备标识，并将设备标识发送至标识管理服务器侧，标识管理服务器用于管理虚拟身份标识以及签名私钥。

就标识管理服务器而言，标识管理服务器可根据此设备标识生成第一预设数量的当前虚拟身份标识，第一预设数量可为1，也可为大于或等于2的正整数。接着，将根据每一个当前虚拟身份标识生成对应的当前签名私钥。

然后，可将成对存在的当前虚拟身份标识以及当前签名私钥发送回车载终端B。

可见，可交付于标签管理服务器去进行当前虚拟身份标识与当前签名私钥的生成操作，从而使得车载终端B每次进行报文发送操作时可选取其中一组进行签名操作。

图4为本发明另一实施例提供的一种V2X匿名认证方法的流程图。

本实施例中，应用于标识管理服务器，包括：

S8，接收第二通信设备发送的设备标识。

本发明实施例的执行主体为电子设备，具体地，本发明实施例的电子设备可为标识管理服务器。而且，本发明实施例主要涉及虚拟身份标识及签名私钥的生成操作。

具体而言，比如，第二通信设备即车载终端B将先获取自身硬件的设备标识，并将设备标识发送至标识管理服务器侧，标识管理服务器用于管理虚拟身份标识以及签名私钥。

S9，根据所述设备标识生成当前虚拟身份标识。

S10，根据所述当前虚拟身份标识生成对应的当前签名私钥。

就标识管理服务器而言，标识管理服务器可根据此设备标识生成第一预设数量的当前虚拟身份标识，第一预设数量可为1，也可为大于或等于2的正整数。接着，将根据每一个当前虚拟身份标识生成对应的当前签名私钥。

S11，将所述当前虚拟身份标识以及所述当前签名私钥发送至所述第二通信设备，以使所述第二通信设备获取当前主公钥以及待发送的消息内容，获取所述当前虚拟身份标识，并确定与所述当前虚拟身份标识对应的当前签名私钥，并根据所述当前主公钥与所述当前签名私钥对所述消息内容进行数字签名操作。

然后，可将成对存在的当前虚拟身份标识以及当前签名私钥发送回车载终端B，车载终端B每次进行报文发送操作时可选取其中一组进行签名操作。

此外，本发明实施例仅以第二通信设备为例，也可获得第一通信设备的设备标识，从而向第一通信设备发送与第一通信设备的设备标识对应的虚拟身份标识以及签名私钥。

本发明实施例提供的V2X匿名认证方法，将基于唯一性的设备标识去生成多个表征不同虚拟身份的虚拟身份标识，在实际签名验证以及签名操作时，通信设备侧将使用虚拟身份标识进行实际签名验证操作，使用与虚拟身份标识对应的签名私钥去进行签名操作，提高了计算效率。不使用设备标识本身，也增强了信息的安全性。

在上述实施例的基础上，优选地，所述根据所述设备标识生成当前虚拟身份标识，具体包括：

获取当前随机数；

将所述设备标识转化为与所述当前随机数对应的当前虚拟身份标识。

具体地，由于每一个设备标识可生成多个不同的虚拟身份，即生成不同的虚拟身份标识。可基于随机数进行不同虚拟身份的生成，每次不同的随机数将把设备标识转换为不同的虚拟身份标识。

在上述实施例的基础上，优选地，所述将所述设备标识转化为与所述当前随机数对应的当前虚拟身份标识，具体包括：

将所述设备标识以及所述当前随机数通过预设哈希算法进行运算，以生成与所述当前随机数对应的当前虚拟身份标识。

就标签管理服务器而言，标签管理服务器侧还可调用与SM9对应的主密钥对生成算法以生成主密钥对，该主密钥对生成算法为Key_Gen。标签管理服务器还可称为PID管理中心，主密钥对可记为(msk,mpk)，msk为主私钥，mpk为主公钥将对外公开。

接着，还可将主密钥对的索引记为IND，并对外公开。

此外，PID管理中心侧可根据设备标识生成第一预设数量的当前虚拟身份标识，下文将具体介绍。

具体地，PID管理中心可应用哈希算法生成某一车载终端的若干虚拟身份。

比如，可通过添加冗余将该设备标识补齐为预设标识长度的2倍，接着，可调用哈希算法(如SHA-2)等生成虚拟身份标识。

例如，如需生成256位的虚拟身份标识，可应用下列公式，

PID＝SHA256(ID||Rand)，

其中，PID表示生成的当前虚拟身份标识，ID表示设备标识，Rand为当前随机数，即一随机字符串。

可见，对于同一个ID，每次随机选取随机数Rand，或，具体为每次随机选取字符串，即可对应生成随机的PID序列，PID序列为(PID⁽¹⁾,PID⁽²⁾,PID⁽³⁾,…,PID⁽ⁿ⁾)，n为正整数。

此外，PID管理中心侧还可根据当前虚拟身份标识生成对应的当前签名私钥，下文将具体介绍。

具体地，将调用SM9密码算法对应的私钥生成算法PIDsk_Gen，为PID⁽ⁱ⁾生成对应的签名私钥sk⁽ⁱ⁾，其中，i为正整数。此时，PID管理中心为车载终端的设备标识生成了若干虚拟身份和签名私钥，比如，

[(PID⁽¹⁾,sk⁽¹⁾),(PID⁽²⁾,sk⁽²⁾),…,(PID⁽ⁿ⁾,sk⁽ⁿ⁾)]，

可见，虚拟身份标识与签名私钥将成对存在。接着，PID管理中心可将这些虚拟身份分发给对应的车载终端。

此外，在调用SM9密码算法对应的私钥生成算法PIDsk_Gen，为PID⁽ⁱ⁾生成对应的签名私钥sk⁽ⁱ⁾时，可根据PID⁽ⁱ⁾以及与索引对应的主私钥msk生成对应的签名私钥sk⁽ⁱ⁾。

此外，还可参见图5，车载终端A-E为不同的通信设备，PID管理中心为上述的标签管理服务器。

根CA可为一服务器且可作为根证书签发机构，对长期CA和PID管理中心的数字身份证书进行生成、颁发以及维护管理等；并且，在完成证书发放后，可长时间处于离线状态，在长期CA和PID管理中心证书需要更新和撤销时再次启用。

长期CA可为一服务器，进行长期数字身份证书的生成、颁发以及维护管理等。

至于根CA和长期CA的功能与经典PKI/CA体系中的CA中心功能相同，此处不作赘述。

图6为本发明实施例提供的一种V2X匿名认证处理装置的结构示意图，如图6所示，该装置包括：报文获取模块301、签名获取模块302以及签名验证模块303；

报文获取模块301，用于获取待接收报文；

签名获取模块302，用于从所述待接收报文中提取当前数字签名及当前虚拟身份标识；

签名验证模块303，用于根据所述当前虚拟身份标识对所述当前数字签名进行签名验证操作。

本发明实施例提供的V2X匿名认证装置，先获取待接收报文，从所述待接收报文中提取当前数字签名及当前虚拟身份标识，根据所述当前虚拟身份标识对所述当前数字签名进行签名验证操作。可见，本发明实施例不同于常见的信息保护方式，不使用证书进行签名验证而使用当前虚拟身份标识进行签名验证，该种签名验证方式带来的计算量比使用证书时更少，大大提高了计算效率，可满足在处理大量通信报文时的实时性需求。

本发明实施例提供的装置实施例是为了实现上述各方法实施例的，具体流程和详细内容请参照上述方法实施例，此处不再赘述。

图7为本发明实施例提供的一种电子设备的实体结构示意图，如图7所示，该电子设备可以包括：处理器(processor)401、通信接口(Communications Interface)402、存储器(memory)403和总线404，其中，处理器401，通信接口402，存储器403通过总线404完成相互间的通信。通信接口402可以用于电子设备的信息传输。处理器401可以调用存储器403中的逻辑指令，以执行包括如下的方法：

获取待接收报文；

从所述待接收报文中提取当前数字签名及当前虚拟身份标识；

根据所述当前虚拟身份标识对所述当前数字签名进行签名验证操作。

此外，上述的存储器403中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明上述各方法实施例的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

其中，该电子设备可为通信设备，也可为标签管理服务器等其他类型的电子设备。

另一方面，本发明实施例还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各实施例提供的方法，例如包括：

获取待接收报文；

从所述待接收报文中提取当前数字签名及当前虚拟身份标识；

根据所述当前虚拟身份标识对所述当前数字签名进行签名验证操作。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种V2X匿名认证方法，其特征在于，应用于第一通信设备，包括：

获取待接收报文；

从所述待接收报文中提取当前数字签名及当前虚拟身份标识；

根据所述当前虚拟身份标识对所述当前数字签名进行签名验证操作。

2.根据权利要求1所述的V2X匿名认证方法，其特征在于，所述从所述待接收报文中提取当前数字签名及当前虚拟身份标识之后，所述V2X匿名认证方法还包括：

从所述待接收报文中提取当前索引；

根据所述当前索引查询对应的当前主公钥；

所述根据所述当前虚拟身份标识对所述当前数字签名进行签名验证操作，具体包括：

将所述当前数字签名、所述当前虚拟身份标识以及所述当前主公钥通过预设签名验证算法进行所述待接收报文的签名验证操作。

3.一种V2X匿名认证方法，其特征在于，应用于第二通信设备，包括：

若检测到待发送的消息内容，则获取当前主公钥；

在预定范围内随机选取当前虚拟身份标识，并确定与所述当前虚拟身份标识对应的当前签名私钥；

根据所述当前主公钥与所述当前签名私钥对所述消息内容进行数字签名操作，以获得当前数字签名；

将所述消息内容、所述当前数字签名以及所述当前虚拟身份标识发送至第一通信设备，以供所述第一通信设备根据所述当前虚拟身份标识对所述当前数字签名进行签名验证操作。

4.根据权利要求3所述的V2X匿名认证方法，其特征在于，所述将所述消息内容、所述当前数字签名以及所述当前虚拟身份标识发送至第一通信设备，以供所述第一通信设备根据所述当前虚拟身份标识对所述当前数字签名进行签名验证操作，具体包括：

将所述消息内容、所述当前数字签名、所述当前虚拟身份标识以及与所述当前主公钥对应的当前索引发送至第一通信设备，以供所述第一通信设备根据所述当前索引查询对应的当前主公钥，将所述当前数字签名、所述当前虚拟身份标识以及所述当前主公钥通过预设签名验证算法进行签名验证操作。

5.根据权利要求3所述的V2X匿名认证方法，其特征在于，所述若检测到待发送的消息内容，则获取当前主公钥之前，所述V2X匿名认证方法还包括：

获取第二通信设备的设备标识；

将所述设备标识发送至标识管理服务器，以使所述标识管理服务器根据所述设备标识生成当前虚拟身份标识，根据所述当前虚拟身份标识生成对应的当前签名私钥，并将所述当前虚拟身份标识以及所述当前签名私钥反馈至所述第二通信设备。

6.一种V2X匿名认证方法，其特征在于，应用于标识管理服务器，包括：

接收第二通信设备发送的设备标识；

根据所述设备标识生成当前虚拟身份标识；

根据所述当前虚拟身份标识生成对应的当前签名私钥；

将所述当前虚拟身份标识以及所述当前签名私钥发送至所述第二通信设备，以使所述第二通信设备获取当前主公钥以及待发送的消息内容，获取所述当前虚拟身份标识，并确定与所述当前虚拟身份标识对应的当前签名私钥，并根据所述当前主公钥与所述当前签名私钥对所述消息内容进行数字签名操作。

7.根据权利要求6所述的V2X匿名认证方法，其特征在于，所述根据所述设备标识生成当前虚拟身份标识，具体包括：

获取当前随机数；

将所述设备标识转化为与所述当前随机数对应的当前虚拟身份标识。

8.根据权利要求7所述的V2X匿名认证方法，其特征在于，所述将所述设备标识转化为与所述当前随机数对应的当前虚拟身份标识，具体包括：

将所述设备标识以及所述当前随机数通过预设哈希算法进行运算，以生成与所述当前随机数对应的当前虚拟身份标识。

9.一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至8中任一项所述V2X匿名认证方法的步骤。

10.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至8中任一项所述V2X匿名认证方法的步骤。

Images