CN111711938B - 基于数字证书的车联网安全通信方法及*** - Google Patents
基于数字证书的车联网安全通信方法及*** Download PDFInfo
- Publication number
- CN111711938B CN111711938B CN202010551085.8A CN202010551085A CN111711938B CN 111711938 B CN111711938 B CN 111711938B CN 202010551085 A CN202010551085 A CN 202010551085A CN 111711938 B CN111711938 B CN 111711938B
- Authority
- CN
- China
- Prior art keywords
- certificate
- vehicle
- message body
- mounted terminal
- state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 83
- 238000000034 method Methods 0.000 title claims abstract description 43
- 230000004044 response Effects 0.000 claims abstract description 139
- 230000007246 mechanism Effects 0.000 claims abstract description 65
- 230000006855 networking Effects 0.000 claims abstract description 16
- 238000012795 verification Methods 0.000 claims description 13
- 238000012790 confirmation Methods 0.000 claims description 3
- 101000759879 Homo sapiens Tetraspanin-10 Proteins 0.000 claims 3
- 102100024990 Tetraspanin-10 Human genes 0.000 claims 3
- 230000009471 action Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/44—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
- Traffic Control Systems (AREA)
Abstract
本发明提出了一种基于数字证书的车联网安全通信方法及***,所述方法包括:由第一车载终端生成证书状态请求消息体,通过短距离通信方式发送给路侧设备;路侧设备将证书状态请求消息体中转给证书状态查询机构;由证书状态查询机构查询获取对应数字证书的状态,并形成证书状态响应消息体返回给路侧设备;由路侧设备通过短距离通信方式将证书状态响应消息体中转给第一车载终端;第一车载终端生成V2X信息,并将其与证书状态响应消息体一并广播给第二车载终端;第二车载终端根据证书状态响应消息体验证第一车载终端的数字证书状态,并基于数字证书状态判断V2X信息的有效性。本发明能够确保车联网V2X应用环境的安全性、可靠性。
Description
技术领域
本发明涉及数字证书领域,尤其涉及一种基于数字证书的车联网安全通信方法及***。
背景技术
车联网V2X应用和互联网、移动互联网同样会面临多种网络安全攻击,针对车联网应用的攻击将会给个体及社会带来更大的危害。安全认证技术至关重要,从根本上建立车辆、设施、网络、用户的信任体系,实现身份合法性验证、消息完整性验证,是智能网联汽车V2X应用的第一道安全防线。
数字证书是实现安全认证技术的主要手段。通常情况下,一辆汽车可能拥有较多种类、较多数量的数字证书,例如假名证书、应用证书等,在车联网V2X应用过程,这些数字证书主要用于对消息体进行签名和加密,对于消息接收者来说,消息发送者的数字证书状态直接关系着消息体的有效与否。因此,如何高效、准确地获取数字证书状态是车联网V2X领域亟待解决的问题。
发明内容
为了解决上述问题,有必要提供一种基于数字证书的车联网安全通信方法及***。
本发明第一方面提出一种基于数字证书的车联网安全通信方法,所述方法包括以下步骤:
由第一车载终端生成证书状态请求消息体;
使所述第一车载终端通过短距离通信方式将所述证书状态请求消息体发送给路侧设备;
所述路侧设备将接收到的所述证书状态请求消息体中转路由给所述证书状态查询机构;
由所述证书状态查询机构基于接收到的证书状态请求消息体查询获取对应数字证书的状态,并形成证书状态响应消息体;
所述证书状态查询机构将所述证书状态响应消息体返回给所述路侧设备;
由所述路侧设备通过短距离通信方式将所述证书状态响应消息体中转路由给第一车载终端;
由第一车载终端生成V2X信息,并将所述V2X信息与所述证书状态响应消息体一并广播发送给周围的第二车载终端;
所述第二车载终端根据所述证书状态响应消息体验证第一车载终端的数字证书状态,并基于数字证书状态判断所述V2X信息的有效性。
进一步的,在所述证书状态查询机构基于接收到的证书状态请求消息体查询获取对应数字证书的状态之后,所述证书状态查询机构采用自己的证书私钥对查询获取到的第一车载终端的数字证书状态信息进行签名,形成证书状态响应消息体;
所述证书状态查询机构将所述证书状态响应消息体返回给所述路侧设备;
由所述路侧设备通过短距离通信方式将所述证书状态响应消息体中转路由给第一车载终端;
由第一车载终端生成V2X信息并采用自己的证书私钥进行签名,将已签名的V2X信息与所述证书状态响应消息体一并广播发送给周围的第二车载终端;
所述第二车载终端采用所述证书状态查询机构的证书公钥对所述证书状态响应消息体进行验签;
待验签通过后,判断第一车载终端的数字证书状态是否有效;
如果有效,则基于第一车载终端的证书公钥对已签名的V2X信息进行验证。
进一步的,在所述证书状态查询机构将所述证书状态响应消息体返回给所述路侧设备之后,所述方法还包括:
由路侧设备对所述证书状态响应消息体进行预存处理,以使周围预设区域的其它车载终端通过短距离通信方式共享获取所述证书状态响应消息体。
进一步的,在将其与所述证书状态响应消息体一并广播发送给周围的第二车载终端之前,所述方法还包括:
由所述第一车载终端形成V2X信息;
由所述第一车载终端获取第二车载终端的加密证书,并形成加密证书状态请求消息体;
由所述第一车载终端通过短距离通信方式将所述加密证书状态请求消息体发送给路侧设备;
所述路侧设备将接收到的所述加密证书状态请求消息体中转路由给所述证书状态查询机构;
由所述证书状态查询机构基于接收到的加密证书状态请求消息体查询获取对应加密证书的状态,并形成加密证书状态响应消息体;
所述证书状态查询机构将所述加密证书状态响应消息体返回给所述路侧设备;
由所述路侧设备通过短距离通信方式将所述加密证书状态响应消息体返回给第一车载终端;
由所述第一车载终端基于所述加密证书状态响应消息体判断加密证书的状态,并基于加密证书的状态确定是否采用加密证书公钥对V2X信息进行加密。
进一步的,上述请求消息体包括:请求方名称、要查询的证书标识列表和标识列表中每一张证书的标识项;其中所述标识项包括Hash算法、证书签发者标识数据、链接数据结构体和证书标识数据;
上述响应消息体包括:响应状态以及响应状态为有效确认时的证书状态;所述响应状态包括响应被有效确认、非法确认请求、服务器内部错误、稍候再试、须对请求签名和请求未授权;所述证书状态包括良好、已撤销和未知。
进一步的,所述证书状态查询机构为OCSP响应器。
进一步的,所述证书状态查询机构包括OCSP响应器和边缘网络。
进一步的,所述方法还包括:
由所述OCSP响应器预先将批量证书状态同步给边缘网络;
由第一车载终端生成证书状态请求消息体;
使所述第一车载终端通过短距离通信方式将所述证书状态请求消息体发送给路侧设备;
所述路侧设备将接收到的所述证书状态请求消息体中转路由给所述边缘网络;
由所述边缘网络基于接收到的证书状态请求消息体查询获取对应数字证书的状态,并形成证书状态响应消息体;
所述边缘网络将所述证书状态响应消息体返回给所述路侧设备;
由所述路侧设备通过短距离通信方式将所述证书状态响应消息体中转路由给第一车载终端。
进一步的,所述第一车载终端分别与所述路侧设备、所述第二车载终端进行PC5点对点通信。
本发明第二方面还提出一种基于数字证书的车联网安全通信***,用于实现上述的基于数字证书的车联网安全通信方法,所述车联网安全通信***包括第一车载终端、第二车载终端、路侧设备以及证书状态查询机构,所述第一车载终端分别与所述第二车载终端、所述路侧设备进行短距离通信,所述路侧设备与所述证书状态查询机构进行网络通信;
所述第一车载终端,用于在生成V2X信息之前,生成证书状态请求消息体,并通过短距离通信方式将所述证书状态请求消息体发送给路侧设备;以及接收路侧设备返回的证书状态响应消息体,将所述证书状态响应消息体和所述V2X信息同时发送给第二车载终端;
所述路侧设备,用于将所述证书状态请求消息体中转路由给证书状态查询机构,以请求查询所述第一车载终端的数字证书状态,并将证书状态响应消息体返回给所述第一车载终端;
所述证书状态查询机构,根据接收到的证书状态请求消息体查询获取所述第一车载终端的数字证书状态,并形成证书状态响应消息体返回给所述路侧设备;
所述第二车载终端,用于接收由第一车载终端或者所述路侧设备广播发送的证书状态响应消息体和V2X信息,并根据所述证书状态响应消息体验证第一车载终端的数字证书状态,基于数字证书状态判断所述V2X信息的有效性。
本发明通过在线证书状态查询机制能够高效、准确地获取对应数字证书的状态,并基于数字证书的状态判断V2X信息的有效性,从而确保车联网V2X应用环境的安全性、可靠性。同时,本发明的发送者(即第一车载终端)在发送V2X信息之前,可以借助路侧设备向证书状态查询机构查询获取对应的证书状态响应消息体,并在发送V2X信息时,将所述证书状态响应消息体一并广播给接收者(即第二车载终端),进而可以使接收者直接根据证书状态响应消息体来判断发送者的数字证书状态有效性;然而传统的方式,则是发送者发送V2X信息给接收者,再由接收者基于V2X信息请求查询发送者的数字证书状态。本发明相较于传统的方式,可以节省接收者请求查询发送者数字证书状态的时间,进一步便于接收者基于V2X信息作出更快捷地响应动作。
本发明的附加方面和优点将在下面的描述部分中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1示出了本发明实施例一的基于数字证书的车联网安全通信方法的流程图;
图2示出了本发明实施例二的基于数字证书的车联网安全通信方法的流程图;
图3示出了本发明实施例三的基于数字证书的车联网安全通信方法的流程图;
图4示出了本发明一种基于数字证书的车联网安全通信方法***的框图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
车用无线通信技术(vehicle to X,V2X),即车对外界的信息交换,V2X是未来智能交通运输***的关键技术。它使得车与车、车与基站、基站与基站之间能够通信,从而获得实时路况、道路信息、行人信息等一系列交通信息,从而提高驾驶安全性、减少拥堵、提高交通效率、提供车载娱乐信息等。
实施例一
如图1所示,本发明第一方面提出一种基于数字证书的车联网安全通信方法,所述车联网安全通信方法包括以下步骤:
S101,由第一车载终端生成自身的证书状态请求消息体;
S102,使所述第一车载终端通过短距离通信方式将所述证书状态请求消息体发送给路侧设备;
S103,所述路侧设备将接收到的所述证书状态请求消息体中转路由给所述证书状态查询机构;
S104,由所述证书状态查询机构基于接收到的证书状态请求消息体查询获取对应数字证书的状态,并形成证书状态响应消息体;
S105,所述证书状态查询机构将所述证书状态响应消息体返回给所述路侧设备;
S106,由所述路侧设备通过短距离通信方式将所述证书状态响应消息体中转路由给第一车载终端;
S107,由第一车载终端生成V2X信息,并将所述V2X信息与所述证书状态响应消息体一并广播发送给周围的第二车载终端;
S108,所述第二车载终端根据所述证书状态响应消息体验证第一车载终端的数字证书状态,并基于数字证书状态判断所述V2X信息的有效性。
需要说明的是,通常第一车载终端发送的V2X信息是由第一车载终端的数字证书的私钥签名的,当第二车载终端获取到V2X信息后,首先需要验证第一车载终端签名用的数字证书有效性,如果该数字证书有效,则可以根据数字证书的公钥进行验签,进而判断V2X信息的合法性;如果该数字证书无效,则可以直接将V2X信息视为无效信息。
优选的,所述路侧设备可以为包括传感器、计算单元和V2X通讯单元的路灯、红绿灯或者手机等。
可以理解,由于本发明的第二车载终端在接收V2X信息的同时,也会接收到有关发送者(第一车载终端)的证书状态响应消息体,继而使第二车载终端根据证书状态响应消息体判断发送者(第一车载终端)的数字证书状态,无需再请求所述证书状态查询机构进行数字状态查询。从另一角度考虑,本发明的第一车载终端在发送V2X信息之前主动查询自己的数字证书状态,并将V2X信息与数字证书状态一并发送给第二车载终端,进而可以有效解决在第二车载终端无法与路侧设备进行短距离通信的特定场景下,主动请求查询第一车载终端的数字证书状态较难的问题。
可以理解,上述S101至S106步骤可以按照预定的时间周期进行循环,以便于第一车载终端能够实时获取最新的证书状态响应消息体。在S107步骤中,由第一车载终端根据需要在某时刻生成V2X信息,并将其与该时刻最近一次获取的证书状态响应消息体打包发送给第二车载终端。优选的,预定的时间周期范围可以为1分钟~5分钟,但不限于此。
根据本发明的实施例,在所述证书状态查询机构基于接收到的证书状态请求消息体查询获取对应数字证书的状态之后,所述证书状态查询机构采用自己的证书私钥对查询获取到的第一车载终端的数字证书状态信息进行签名,形成证书状态响应消息体;
所述证书状态查询机构将所述证书状态响应消息体返回给所述路侧设备;由所述路侧设备通过短距离通信方式将所述证书状态响应消息体中转路由给第一车载终端;
由第一车载终端生成V2X信息并采用自己的证书私钥进行签名,将已签名的V2X信息与所述证书状态响应消息体一并广播发送给周围的第二车载终端;
所述第二车载终端采用所述证书状态查询机构的证书公钥对所述证书状态响应消息体进行验签;其中,第二车载终端预先存储的有证书状态查询机构的证书公钥;
待验签通过后,所述第二车载终端判断第一车载终端的数字证书状态是否有效;
如果有效,所述第二车载终端则基于第一车载终端的证书公钥对已签名的V2X信息进行验证。
在实际应用中,第一车载终端向周围的第二车载终端广播发送V2X信息之前,可以通过PC5网络借助路侧设备请求查询有关第一车载终端的数字证书状态的证书状态响应消息体,然后将获取到的证书状态响应消息体和V2X信息一并广播给第二车载终端,最后第二车载终端即可根据证书状态响应消息体确认第一车载终端的数字证书状态,并基于第一车载终端的数字证书状态判断所述V2X信息的有效性。如果第一车载终端的数字证书状态有效,则第二车载终端即可采用第一车载终端的证书公钥进行验签,待验签通过后,即可根据V2X信息作出响应动作(如避让、鸣笛等);如果第一车载终端的数字证书状态为已撤销,则第二车载终端即可忽略V2X信息。
进一步的,在将所述V2X信息与所述证书状态响应消息体一并广播发送给周围的第二车载终端之后,所述方法还包括:当所述第二车载终端与所述第一车载终端之间的距离大于预设阀值时,由所述第二车载终端预存所述证书状态响应消息体;当所述第二车载终端与所述第一车载终端之间的距离逐渐缩短为预设阀值时,由所述第二车载终端基于预存的证书状态响应消息体来确定第一车载终端的数字证书状态,并根据数字证书状态判断所述V2X信息的有效性。
例如,在实际应用中,当第一车载终端出现刹车故障时,将会形成基于刹车故障的V2X信息,并将该V2X信息广播发送给周围的其它车载终端(如第二车载终端),以警示周围的其它车载终端注意避让。如果其它车载终端接收到该V2X信息以及证书状态响应消息体,但距离第一车载终端较远,则可以忽略该V2X信息;当其它车载终端距离第一车载终端缩短为预设阀值时,此时需要基于预存的证书状态响应消息体来确定第一车载终端的数字证书状态,并根据数字证书状态判断该V2X信息的有效性,且当该V2X信息有效时,则需要作出相应的避让动作。
进一步的,在所述证书状态查询机构将所述证书状态响应消息体返回给所述路侧设备之后,所述方法还包括:由路侧设备对所述证书状态响应消息体进行预存处理,以使周围预设区域的其它车载终端通过短距离通信方式共享获取所述证书状态响应消息体。
具体的,当路侧设备接收到所述证书状态响应消息体时,除了会返回给第一终端设备,也可以对所述证书状态响应消息体进行预存处理,以便于周围预设区域的车载终端共享所述证书状态响应消息体。其中,共享的方式可以由路侧设备通过PC5向周围预设区域的车载终端频繁广播所述证书状态响应消息体,也可以基于对应车载终端的共享请求发送所述证书状态响应消息体。本发明通过路侧设备一次性向证书状态查询机构查询获取所述证书状态响应消息体,即可使周围预设区域的多个车载终端共享所述证书状态响应消息体,进而有效减少请求者向所述证书状态查询机构查询数字证书状态的并发数,防止由于查询数字证书状态导致网络拥堵,进而保证通信的时效性。
进一步的,所述第一车载终端分别与所述路侧设备、所述第二车载终端进行PC5点对点通信。
具体的,所述第一车载终端通过PC5通信方式发送证书状态请求消息体给路侧设备,并通过PC5通信方式接收路侧设备返回的证书状态响应消息体;同时,所述第一车载终端还可以广播发送V2X信息和证书状态响应消息体给周围的第二车载终端。
在实际应用中,车载终端可能无可用Uu接口网络,因此车载终端无法直接网络访问证书状态查询机构,并进行证书状态查验。本发明通过车载终端自带的PC5接口,与路侧设备形成PC5点对点通信,并借助路侧设备来向证书状态查询机构请求查询证书状态。可以理解,PC5接口可以实现250Kph的高速度和高密度通信,允许终端在有或没有网络覆盖的条件下彼此间直接广播消息。
实施例二
本实施例给出了另一种基于数字证书的车联网安全通信方法的具体实施方式。
如图2所示,在第一车载终端将所述V2X信息与所述证书状态响应消息体一并广播发送给周围的第二车载终端之前,所述方法还包括:
S201,由所述第一车载终端形成V2X信息;
S202,由所述第一车载终端获取第二车载终端的加密证书,并形成加密证书状态请求消息体;
S203,由所述第一车载终端通过短距离通信方式将所述加密证书状态请求消息体发送给路侧设备;
S204,所述路侧设备将接收到的所述加密证书状态请求消息体中转路由给所述证书状态查询机构;
S205,由所述证书状态查询机构基于接收到的加密证书状态请求消息体查询获取对应加密证书的状态,并形成加密证书状态响应消息体;
S206,所述证书状态查询机构将所述加密证书状态响应消息体返回给所述路侧设备;
S207,由所述路侧设备通过短距离通信方式将所述加密证书状态响应消息体返回给第一车载终端;
S208,由所述第一车载终端基于所述加密证书状态响应消息体判断加密证书的状态,并基于加密证书的状态确定是否采用加密证书公钥对V2X信息进行加密。
在实际应用中,如果第一车载终端发送的V2X信息为敏感信息,且只能公开给第二车载终端,此时第一车载终端需要获取第二车载终端的加密证书,并采用加密证书的公钥对V2X信息进行加密,如果加密证书有效,则由于第二车载终端拥有加密证书的私钥并可以成功解密获取敏感信息,而其它车载终端则因没有加密证书的私钥无法解密获取敏感信息,确保敏感信息传输的安全性。然而对于第一车载终端来说,无法直接判定该加密证书的有效性,而且第一车载终端可能无可用Uu接口网络,则第一车载终端通过自带的PC5接口,与路侧设备形成PC5点对点通信,并借助路侧设备来向证书状态查询机构请求查询加密证书的状态。
根据本发明的实施例,上述请求消息体包括:请求方名称、要查询的证书标识列表和标识列表中每一张证书的标识项;其中,所述标识项包括Hash算法、证书签发者标识数据、链接数据结构体和证书标识数据。
具体的,上述请求消息体包括证书验证请求结构体和证书验证请求结构体的签名信息,所述证书验证请求结构体是由请求方名称、要查询的证书标识列表和标识列表中每一张证书的标识项构成。请求方(即第一车载终端)在形成请求消息体时,需要采用自己的私钥对证书验证请求结构体进行签名,通过签名机制能够确保证书验证请求结构体的完整性,有效避免证书验证请求结构体被篡改的风险。
进一步的,需要查询的证书为假名证书,假名证书中预置有链接值,所述链接值用于假名证书的高效撤销,上述链接数据结构体对应于假名证书的链接值。证书签发者标识数据,则是对证书签发者的证书进行哈希计算并取出后8字节作为证书签发者的标识数据;证书标识数据,则是对需要查询的证书进行哈希计算,并取出后10字节数据作为证书的标识数据。
根据本发明的实施例,上述响应消息体包括:响应状态以及响应状态为有效确认时的证书状态;所述响应状态包括响应被有效确认、非法确认请求、服务器内部错误、稍候再试、须对请求签名和请求未授权;所述证书状态包括良好、已撤销和未知。
具体的,所述响应状态则是由证书状态查询机构在接收到请求消息体后,结合自身服务器的运行状态(如内部错误)以及查询条件(如须对请求签名),生成对应的响应状态,且只有响应被有效确认时,响应消息体中才会附带有证书状态,其它情况无须附带证书状态。
本发明的消息体支持基于Linkage和HashID的在线证书状态查询机制。该消息体的编码采用OER规则,消息结构简单。该消息体可以为对网络流量、响应时间有要求的在线证书状态协议OCSP(Online Certificate Status Protocol)场景,提供更优的性能指标。
根据本发明的一个实施例,所述证书状态查询机构可以为OCSP响应器。
根据本发明的另一个实施例,所述证书状态查询机构也可以包括OCSP响应器和边缘网络。
进一步的,将OCSP响应器与边缘网络通信,OCSP响应器提前将用于V2X的证书的撤销状态实时同步至边缘网络,请求方(如路侧设备)可直接向边缘网络查询对应证书的撤销状态。本发明通过引入边缘网络可以加快证书状态查询的响应速度,从而提高车辆网通信效率。
实施例三
本实施例给出了另一种基于数字证书的车联网安全通信方法的具体实施方式。
如图3所示,所述方法还包括:
S301,由所述OCSP响应器预先将批量证书状态同步给边缘网络;
S302,由第一车载终端生成证书状态请求消息体;
S303,使所述第一车载终端通过短距离通信方式将所述证书状态请求消息体发送给路侧设备;
S304,所述路侧设备将接收到的所述证书状态请求消息体中转路由给所述边缘网络;
S305,由所述边缘网络基于接收到的证书状态请求消息体查询获取对应数字证书的状态,并形成证书状态响应消息体;
S306,所述边缘网络将所述证书状态响应消息体返回给所述路侧设备;
S307,由所述路侧设备通过短距离通信方式将所述证书状态响应消息体中转路由给第一车载终端;
S308,由第一车载终端生成V2X信息,并将其与所述证书状态响应消息体一并广播发送给周围的第二车载终端;
S309,所述第二车载终端根据所述证书状态响应消息体验证第一车载终端的数字证书状态,并基于数字证书状态判断所述V2X信息的有效性。
实施例四
图4示出了本发明一种基于数字证书的车联网安全通信***的框图。
如图4所示,本发明第二方面还提出一种基于数字证书的车联网安全通信***,用于实现上述的基于数字证书的车联网安全通信方法,所述车联网安全通信***包括第一车载终端、第二车载终端、路侧设备以及证书状态查询机构,所述第一车载终端分别与所述第二车载终端、所述路侧设备进行短距离通信,所述路侧设备与所述证书状态查询机构进行网络通信;
所述第一车载终端,用于在生成V2X信息之前,生成证书状态请求消息体,并通过短距离通信方式将所述证书状态请求消息体发送给路侧设备;以及接收路侧设备返回的证书状态响应消息体,将所述证书状态响应消息体和所述V2X信息同时发送给第二车载终端;
所述路侧设备,用于将所述证书状态请求消息体中转路由给证书状态查询机构,以请求查询所述第一车载终端的数字证书状态,并将证书状态响应消息体返回给所述第一车载终端;
所述证书状态查询机构,根据接收到的证书状态请求消息体查询获取所述第一车载终端的数字证书状态,并形成证书状态响应消息体返回给所述路侧设备;
所述第二车载终端,用于接收由所述第一车载终端或所述路侧设备广播发送的证书状态响应消息体和V2X信息,并根据所述证书状态响应消息体验证第一车载终端的数字证书状态,基于数字证书状态判断所述V2X信息的有效性。
本发明通过在线证书状态查询机制能够高效、准确地获取对应数字证书的状态,并基于数字证书的状态判断V2X信息的有效性,从而确保车联网V2X应用环境的安全性、可靠性。同时,本发明的发送者(即第一车载终端)在发送V2X信息之前,可以借助路侧设备向证书状态查询机构查询获取对应的证书状态响应消息体,并在发送V2X信息时,将所述证书状态响应消息体一并广播给接收者(即第二车载终端),进而可以使接收者直接根据证书状态响应消息体来判断发送者的数字证书状态有效性;然而传统的方式,则是发送者发送V2X信息给接收者,由接收者基于V2X信息请求查询发送者的数字证书状态。本发明相较于传统的方式,可以节省接收者请求查询发送者数字证书状态的时间,进一步便于接收者基于V2X信息作出更快捷地响应动作。
另外,本发明还可以解决在特定的环境下,接收者无法借助路侧设备(如:接收者与路侧设备无法进行短距离通信)请求在线查询发送者的数字证书状态的问题。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种基于数字证书的车联网安全通信方法,其特征在于,所述车联网安全通信方法包括以下步骤:
由第一车载终端生成证书状态请求消息体;
使所述第一车载终端通过短距离通信方式将所述证书状态请求消息体发送给路侧设备;
所述路侧设备将接收到的所述证书状态请求消息体中转路由给证书状态查询机构;
由所述证书状态查询机构基于接收到的证书状态请求消息体查询获取对应数字证书的状态,并形成证书状态响应消息体;
所述证书状态查询机构将所述证书状态响应消息体返回给所述路侧设备;
由所述路侧设备通过短距离通信方式将所述证书状态响应消息体中转路由给第一车载终端;
由第一车载终端生成V2X信息,并将所述V2X信息与所述证书状态响应消息体一并广播发送给周围的第二车载终端;
所述第二车载终端根据所述证书状态响应消息体验证第一车载终端的数字证书状态,并基于数字证书状态判断所述V2X信息的有效性。
2.根据权利要求1所述的基于数字证书的车联网安全通信方法,其特征在于,在所述证书状态查询机构基于接收到的证书状态请求消息体查询获取对应数字证书的状态之后,所述证书状态查询机构采用自己的证书私钥对查询获取到的第一车载终端的数字证书状态信息进行签名,形成证书状态响应消息体;
所述证书状态查询机构将所述证书状态响应消息体返回给所述路侧设备;
由所述路侧设备通过短距离通信方式将所述证书状态响应消息体中转路由给第一车载终端;
由第一车载终端生成V2X信息并采用自己的证书私钥进行签名,将已签名的V2X信息与所述证书状态响应消息体一并广播发送给周围的第二车载终端;
所述第二车载终端采用所述证书状态查询机构的证书公钥对所述证书状态响应消息体进行验签;
待验签通过后,判断第一车载终端的数字证书状态是否有效;
如果有效,则基于第一车载终端的证书公钥对已签名的V2X信息进行验证。
3.根据权利要求1所述的基于数字证书的车联网安全通信方法,其特征在于,在所述证书状态查询机构将所述证书状态响应消息体返回给所述路侧设备之后,所述方法还包括:
由路侧设备对所述证书状态响应消息体进行预存处理,以使周围预设区域的其它车载终端通过短距离通信方式共享获取所述证书状态响应消息体。
4.根据权利要求1所述的基于数字证书的车联网安全通信方法,其特征在于,在第一车载终端将所述V2X信息与所述证书状态响应消息体一并广播发送给周围的第二车载终端之前,所述方法还包括:
由所述第一车载终端形成V2X信息;
由所述第一车载终端获取第二车载终端的加密证书,并形成加密证书状态请求消息体;
由所述第一车载终端通过短距离通信方式将所述加密证书状态请求消息体发送给路侧设备;
所述路侧设备将接收到的所述加密证书状态请求消息体中转路由给所述证书状态查询机构;
由所述证书状态查询机构基于接收到的加密证书状态请求消息体查询获取对应加密证书的状态,并形成加密证书状态响应消息体;
所述证书状态查询机构将所述加密证书状态响应消息体返回给所述路侧设备;
由所述路侧设备通过短距离通信方式将所述加密证书状态响应消息体返回给第一车载终端;
由所述第一车载终端基于所述加密证书状态响应消息体判断加密证书的状态,并基于加密证书的状态确定是否采用加密证书公钥对V2X信息进行加密。
5.根据权利要求1或4所述的基于数字证书的车联网安全通信方法,其特征在于,上述请求消息体包括:请求方名称、要查询的证书标识列表和标识列表中每一张证书的标识项;其中所述标识项包括Hash算法、证书签发者标识数据、链接数据结构体和证书标识数据;
上述响应消息体包括:响应状态以及响应状态为有效确认时的证书状态;所述响应状态包括响应被有效确认、非法确认请求、服务器内部错误、稍候再试、须对请求签名和请求未授权;所述证书状态包括良好、已撤销和未知。
6.根据权利要求1所述的基于数字证书的车联网安全通信方法,其特征在于,所述证书状态查询机构为OCSP响应器。
7.根据权利要求1所述的基于数字证书的车联网安全通信方法,其特征在于,所述证书状态查询机构为OCSP响应器和边缘网络。
8.根据权利要求7所述的基于数字证书的车联网安全通信方法,其特征在于,所述方法还包括:
由所述OCSP响应器预先将批量证书状态同步给边缘网络;
由第一车载终端生成证书状态请求消息体;
使所述第一车载终端通过短距离通信方式将所述证书状态请求消息体发送给路侧设备;
所述路侧设备将接收到的所述证书状态请求消息体中转路由给所述边缘网络;
由所述边缘网络基于接收到的证书状态请求消息体查询获取对应数字证书的状态,并形成证书状态响应消息体;
所述边缘网络将所述证书状态响应消息体返回给所述路侧设备;
由所述路侧设备通过短距离通信方式将所述证书状态响应消息体中转路由给第一车载终端。
9.根据权利要求1所述的基于数字证书的车联网安全通信方法,其特征在于,所述第一车载终端分别与所述路侧设备、所述第二车载终端进行PC5点对点通信。
10.一种基于数字证书的车联网安全通信***,用于实现上述权利要求1至9任意一项所述的基于数字证书的车联网安全通信方法,其特征在于,所述车联网安全通信***包括第一车载终端、第二车载终端、路侧设备以及证书状态查询机构,所述第一车载终端分别与所述第二车载终端、所述路侧设备进行短距离通信,所述路侧设备与所述证书状态查询机构进行网络通信;
所述第一车载终端,用于在生成V2X信息之前,生成证书状态请求消息体,并通过短距离通信方式将所述证书状态请求消息体发送给路侧设备;以及接收路侧设备返回的证书状态响应消息体,将所述证书状态响应消息体和所述V2X信息同时发送给第二车载终端;
所述路侧设备,用于将所述证书状态请求消息体中转路由给证书状态查询机构,以请求查询所述第一车载终端的数字证书状态,并将证书状态响应消息体返回给所述第一车载终端;
所述证书状态查询机构,根据接收到的证书状态请求消息体查询获取所述第一车载终端的数字证书状态,并形成证书状态响应消息体返回给所述路侧设备;
所述第二车载终端,用于接收证书状态响应消息体和V2X信息,并根据所述证书状态响应消息体验证第一车载终端的数字证书状态,基于数字证书状态判断所述V2X信息的有效性。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010551085.8A CN111711938B (zh) | 2020-06-16 | 2020-06-16 | 基于数字证书的车联网安全通信方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010551085.8A CN111711938B (zh) | 2020-06-16 | 2020-06-16 | 基于数字证书的车联网安全通信方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111711938A CN111711938A (zh) | 2020-09-25 |
CN111711938B true CN111711938B (zh) | 2022-02-11 |
Family
ID=72540940
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010551085.8A Active CN111711938B (zh) | 2020-06-16 | 2020-06-16 | 基于数字证书的车联网安全通信方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111711938B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007073623A1 (fr) * | 2005-12-29 | 2007-07-05 | Zte Corporation | Procede de telechargement d'une certification et d'une cle numeriques |
CN105812131A (zh) * | 2014-12-30 | 2016-07-27 | 浙江高鸿电子技术有限公司 | 基于车载短距离通信网的车载节点证书更新方法 |
CN109391631A (zh) * | 2018-11-28 | 2019-02-26 | 重庆邮电大学 | 一种带有可控链接的车联网匿名认证***及方法 |
EP3579522A1 (en) * | 2018-06-06 | 2019-12-11 | BlackBerry Limited | Method and system for reduced v2x receiver processing load using certificates |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11303458B2 (en) * | 2018-04-09 | 2022-04-12 | Blackberry Limited | Method and system for reduced V2X receiver processing load using network based application layer message processing |
-
2020
- 2020-06-16 CN CN202010551085.8A patent/CN111711938B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007073623A1 (fr) * | 2005-12-29 | 2007-07-05 | Zte Corporation | Procede de telechargement d'une certification et d'une cle numeriques |
CN105812131A (zh) * | 2014-12-30 | 2016-07-27 | 浙江高鸿电子技术有限公司 | 基于车载短距离通信网的车载节点证书更新方法 |
EP3579522A1 (en) * | 2018-06-06 | 2019-12-11 | BlackBerry Limited | Method and system for reduced v2x receiver processing load using certificates |
CN110572266A (zh) * | 2018-06-06 | 2019-12-13 | 黑莓有限公司 | 使用证书减小v2x接收器处理负载的方法以及*** |
CN109391631A (zh) * | 2018-11-28 | 2019-02-26 | 重庆邮电大学 | 一种带有可控链接的车联网匿名认证***及方法 |
Non-Patent Citations (2)
Title |
---|
Connecting Things to Things in Physical-World: Security and Privacy Issues in Vehicular Ad-hoc Networks;Sheng Zhong等;《Security and Privacy for Next-Generation Wireless Networks》;20181123;全文 * |
车联网身份认证技术的研究与实现;杨春颖;《中国优秀博硕士学位论文全文数据库(硕士)工程科技Ⅱ辑》;20180215;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN111711938A (zh) | 2020-09-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110446183B (zh) | 基于区块链的车联网***和工作方法 | |
JP5261614B2 (ja) | 通信システム、車載端末、路側装置 | |
US9461827B2 (en) | Method for distributing a list of certificate revocations in a vanet | |
WO2022105176A1 (zh) | 基于区块链网络的车联网认证方法、装置、设备和介质 | |
JP5587239B2 (ja) | 車車/路車間通信システム | |
CN108322486B (zh) | 一种车联网云环境下面向多服务器架构的认证方法 | |
KR101521412B1 (ko) | 인증기반 메시지 집계 프로토콜 관리시스템 | |
KR101837338B1 (ko) | Vanet을 위한 클라우드 지원 조건부 프라이버시를 보호하는 인증 방법 및 시스템 | |
CN109362062B (zh) | 基于ID-based群签名的VANETs匿名认证***及方法 | |
CN110022542A (zh) | 一种改进型基于条件隐私保护的匿名认证方法 | |
KR20200091689A (ko) | 차량 통신을 위한 보안 관리 시스템, 그것의 동작 방법, 및 그것을 포함하는 차량 통신 서비스 제공 시스템의 메시지 처리 방법 | |
CN115694891B (zh) | 一种基于中央计算平台的路侧设备通信***及方法 | |
Rezazadeh Baee et al. | Authentication strategies in vehicular communications: a taxonomy and framework | |
CN114430552B (zh) | 一种基于消息预认证技术的车联网v2v高效通信方法 | |
CN115580488A (zh) | 基于区块链和物理不可克隆函数的车载网消息认证方法 | |
Shen et al. | An efficient public key management system: an application in vehicular ad hoc networks | |
CN111698650B (zh) | 数字证书状态协作查询方法、通信方法及*** | |
CN111711938B (zh) | 基于数字证书的车联网安全通信方法及*** | |
CN111711937B (zh) | 用于车联网v2x通信的在线证书状态获取方法和*** | |
CN113610549B (zh) | 一种基于区块链的互联车辆认证***和方法 | |
CN111818482B (zh) | 用于v2x的在线证书状态获取方法、***及通信方法 | |
CN111865607B (zh) | 用于v2x的加密证书状态在线查询方法、通信方法及*** | |
Ullmann et al. | Secure Vehicle-to-Infrastructure Communication: Secure Roadside Stations, Key Management, and Crypto Agility | |
Farran et al. | Performance improvements of vehicular pki protocol for the security of v2x communications | |
CN111428279A (zh) | 一种显式证书生成方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A secure communication method and system for vehicle networking based on digital certificates Granted publication date: 20220211 Pledgee: Bank of Zhengzhou Co.,Ltd. Zhongyuan Science and Technology City Sub branch Pledgor: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd. Registration number: Y2024980013861 |