一种汽车电子标识与V2X认证结合方法

本发明涉及V2X认证技术领域，具体涉及一种汽车电子标识与V2X认证结合方法。

车路协同是智慧交通系统发展的最新方向，是采用先进的无线通信和新一代互联网等技术。在V2X业务中，V2X通信系统的安全通信由应用层处理，负责证书申请，证书存贮，秘钥管理、消息签名及验签等功能。

在V2X业务中，V2X设备间通过Uu口或PC5接口交换数据信息，以实现各种应用场景中的重要数据交换，通信安全至关重要，只有安全可靠的数据信息才能起到安全、高效、提高交通服务质量的作用，恶意篡改了的交通信息，如果被交通参与者予以采纳，所产生的危害不言而喻。

现有技术安全认证流程复杂，对需要隐私保护和非隐私保护的车载单元使用不同的认证流程，且认证体系架构不同，需要隐私保护的车载单元采用KPI(Public KeyInfrastructure)认证体系架构，非隐私保护的车载单元采用IBC(Identity-BasedCryptograph)认证体系架构，如申请号为201911079285.1，申请日为2019.11.07的申请文件中，公开了一种车路协同的身份认证系统和方法，该认证方法虽然将现有的KPI体系和IBC技术进行了集合，使认证整体基于IBC技术，使用嵌入到设备内部的安全模块生成公私钥对，用私钥对汽车电子标识卡号进行签名，然后向CA认证机构提出申请。虽然一定程度上简化了认证流程，但整体认证流程依然繁琐，易产生安全隐患，如：

一，设备用自己生成的秘钥对KH1所进行的签名，不具备可信性；

二，通过射频读写设备识读出来的KH2，传输到车载单元设备过程中有篡改风险，车载单元还是用自己生成的私钥对KH2进行签名，存在伪造的可能性，即使用KH1替换KH2再进行签名。

综上，现有技术中的车载单元的CA认证请求，存在不可信性，得到的V2X设备所具备的安全证书不具备安全验证唯一性，且整体认证流程偏于繁琐。

针对现有技术存在的不足，本发明的目的在于提供一种汽车电子标识与V2X认证结合方法，通过汽车电子标识作为车载单元申请安全证书的唯一标识。以保证V2X数据的可信性和可靠性。

为了实现上述目的，本发明提供如下技术方案：

一种汽车电子标识与V2X认证结合方法，包括：

S1：获取唯一的车辆标识；

S2：利用唯一的车辆标识申请车载单元的注册证书；

S3：利用注册证书申请V2X设备相对应的安全证书。

在本发明中，进一步的，所述申请的注册证书至少包括车辆唯一标识、公私钥对以及注册CA机构的签名。

在本发明中，进一步的，所述步骤S3包括：

S31：使用注册证书公私钥对中的私钥对安全证书申请数据进行签名；

S32：对数据加密，发送给认证CA机构进行认证。

在本发明中，进一步的，所述步骤S32对数据加密，包括：

S320：用新生成的对称秘钥和随机数进行SM4CCM加密；

S321：使用认证CA机构的加密公钥对对称秘钥进行SM2加密。

在本发明中，进一步的，所述步骤S3还包括：

S33：认证CA机构接收数据并进行数据解密，提取出注册证书的签名信息；

S34：认证CA机构对签名信息进行审核，审核通过后颁发安全证书。

在本发明中，进一步的，所述安全证书包括假名证书、身份证书以及应用证书。

在本发明中，进一步的，所述步骤S1获取唯一的车辆标识中包括：将车辆的基本信息数据相关联生成唯一标识码。

在本发明中，进一步的，在申请假名证书时，认证CA机构会同时颁发多个有效期相同的假名证书，车载单元依据假名证书使用策略，定期更换用于消息签名的假名证书。

在本发明中，进一步的，还包括步骤S4：具有安全证书的车载单元入网与V2X设备实现数据交换。

本发明中，优选的，所述步骤S4包括：

S40：车载单元凭借安全证书加到可信证书列表中；

S41：发送由假名证书或身份证书进行数据签名的V2X数据包；

S42：V2X设备验证安全证书是否在可信证书列表中，在则接收V2X数据包；

S43：使用证书中的公钥进行数据验签，解包V2X消息。

本发明中，优选的，所述公私钥对由车载单元生成。

与现有技术相比，本发明的有益效果是：

本发明设计了一种汽车电子标识与V2X认证相结合的方法，通过该方法将汽车电子标识作为车辆车载单元获取安全证书的唯一标识，可避免非法伪造、变更车辆基本信息，车载单元获得的注册证书包含车辆唯一标识，公私钥对，和注册CA机构的签名，是车载单元继而申请身份证书、假名证书、应用证书的可信基础。在获取注册证书时，将车载单元单元生成的公私钥对不做为本次证书申请的签名、加密秘钥使用，而是作为申请安全证书的私钥进行使用，再利用新生成的对称秘钥以及随机数进行加密，最后再利用认证机构的公钥进行加密，从而保证了认证过程中数据的安全，确保得到的安全证书的可信性。综上，本申请采用PKI认证体系架构，申请流程相比现有技术简单明了，使用汽车电子标识与注册证书的唯一对应，基于可信的注册证书再申请用于消息签名、验签、加解密的身份证书、应用证书和假名证书，防止虚、牌等违法行为混入V2X车辆网通信系统，且收发的V2X数据皆为可信数据，使得车辆网设备具备安全可靠的通信方式。

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1是本发明汽车电子标识存贮数据项列表；

图2是本发明的一种汽车电子标识与V2X认证结合方法的流程图；

图3是本发明一种汽车电子标识与V2X认证结合方法中步骤S3的流程图；

图4是本发明一种汽车电子标识与V2X认证结合方法中步骤S4的流程图。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本发明。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。

请同时参见图1至图4，本发明一较佳实施方式提供一种汽车电子标识与V2X认证结合方法，该方法涉及两个部分，即汽车电子标识以及车载单元，其中车载单元需要进行安全认证以获取以V2X设备通讯相对应的所需要的证书，如图2所示，该认证过程包括：

S1：获取唯一的车辆标识；

S2：利用唯一的车辆标识申请车载单元的注册证书；

S3：利用注册证书申请V2X设备相对应的安全证书。

具体的，在本发明中，车载单元首先需贴装汽车电子标识，记录车辆基本信息，并车辆信息与牌照信息绑定并生成车辆唯一标识码。车辆在投入使用之前，需进行车辆登记，该阶段将根据车辆唯一标识码，向第三方认证机构或国家有关部门申请车载设备注册证书，本发明以CA认证机构为例进行说明，驾驶员或车辆所属机构，使用车载设备注册证书申请车辆的安全证书，通过使车载单元具有可信的安全证书并作为与V2X设备数据传输时的秘钥从而保证数据传输的安全性以及可靠性。

在本发明中，采用PKI认证体系架构，申请流程相比现有技术简单明了，使用汽车电子标识与注册证书的唯一对应，基于可信的注册证书再申请用于消息签名、验签、加解密的安全证书，从而防止虚、牌等违法行为混入V2X车辆网通信系统，且收发的V2X数据皆为可信数据，使得车辆网入网设备具备安全可靠的通信方式。

在本发明中的步骤S1中，如图1所示，汽车电子标识记录但不限于车牌号码、车型、发动机号码、底盘号码、生产厂家、出厂日期、车辆识别代码等，由上述各种数据关联生成唯一车辆识别数据码，即获取唯一的车辆标识。

在本发明提供一个具体实施例中，车载单元的注册证书由车厂或第三方可信机构提出申请，车载单元使用车辆唯一标识(汽车电子标识)作为申请车载单元注册证书的用户信息，注册证书还至少包含车载单元生成的公私钥对以及CA机构申请注册证书，此公私钥对不做本次证书申请的签名、加密秘钥使用，以确保注册证书的可信性及安全性。也就是说，由可信机构使用车辆唯一标识向注册CA机构提出申请，确保注册证书申请的合法性。

在本发明中，进一步的，如图3所示，所述步骤S3中，车载单元利用注册证书申请V2X设备相对应的安全证书，其中安全证书包括假名证书、身份证书以及应用证书，该性质类型的证书用于V2X设备间通信的数据加解密和消息签名及验签，其中身份证书适用于不需要隐私保护的车载单元，假名证书适用于需要隐私保护的车载单元，应用证书适用于车载单元中与路侧单元通讯。具体以假名证书的申请过程如下：

S31：使用注册证书公私钥对中的私钥对安全证书申请数据进行签名；

S32：对数据加密，发送给认证CA机构进行认证。

S33：认证CA机构接收数据并进行数据解密，提取出注册证书的签名信息；

S34：认证CA机构对签名信息进行审核，审核通过后颁发安全证书。

具体的，本发明中在申请安全证书时，首先利用注册证书中的私钥对安全证书的申请数据进行签名，而非利用车载单元自己生成的私钥，从而保证了数据的可信性。对数据进行加密后送给认证CA机构进行认证，CA机构解密后从中提取注册证书的签名信息，向认证CA机构提出认证证书可信性审核申请，审核通过，颁发身份证书。该过程中，由于使用了可信的注册证书进行签名，确保了假名证书申请的可信性。身份证书以及应用证书与假名证书的申请流程相同，此外，假名证书与其他两种还存在不同之处，即假名证书认证机构会同时颁发多个有效期相同的假名证书，车载单元依据假名证书使用策略，定期更换用于消息签名的证书。为保护用户隐私，假名证书使用密码技术对用户身份进行加密。同时，身份证书、假名证书应用证书各自具备不同的证书有效期限，车载单元需根据证书的种类定期进行重新申请，以保证该证书处于有效性。

进一步的，所述步骤S32对数据加密，包括：

S320：用新生成的对称秘钥和随机数进行SM4CCM加密；

S321：使用认证CA机构的加密公钥对对称秘钥进行SM2加密。

具体的，在本发明中，首先假名证书申请数据由注册证书的签名私钥进行签名，再使用新生成的对称秘钥和随机数进行SM4CCM加密，再使用假名证书认证机构的加密公钥对对称秘钥进行SM2加密，之后发送给假名证书认证机构。其中，SM4、SM2为国家密码局认定的国产密码算法，SM2为非对称加密，SM4为无线局网标准的分组数据算法，SM4CCM为SM4与MAC结合产生的高级模式，且上述算法均已公开。如此，加密方式保证了假名证书在申请过程中的可靠性，相比现有技术中单一通过车载单元用自己生成的私钥进行加解密，该加密方式获取的数据更具真实性和可靠性。

在数据加密完成够发给CA认证机构，该认证机构首先使用自己的解密私钥进行解密，获得对称秘钥，再进行申请数据解密，获得假名证书申请数据明文，从中提取注册证书的签名信息，向认证CA机构提出认证证书可信性审核申请，审核通过，颁发假名证书。该过程中，由于使用了可信的注册证书进行签名，确保了假名证书申请的可信性。

申请完成的安全证书包含如下信息：证书格式版本号、证书序列号、证书签名算法、证书颁发者、证书颁发者的数字签名、有效期、车载单元的名称、车载单元的唯一标识、车载单元公开秘钥等。

本发明中，进一步的，如图2、4所示，还包括步骤S4：具有安全证书的车载单元入网与V2X设备实现数据交换。具体的，具备上述证书的机动车辆车载单元可以入网与其他V2X设备进行数据交换，数据发送过程中，需使用假名证书或身份证书进行数据签名，以保证发送数据的真实有效。然后车载单元将V2X数据包发送给V2X设备，整个数据传输的过程如下：

S40：车载单元凭借安全证书加到可信证书列表中；

S41：车载单元发送由假名证书或身份证书进行数据签名的V2X数据包；

S42：V2X设备验证车载单元的证书是否在可信证书列表中，在则接收V2X数据包；

S43：使用证书中的公钥进行数据验签，解包V2X消息。

具体的，V2X接口消息接收过程，则首先需要车载单元凭有效证书到第三方认证机构加在可信证书列表，可信证书包括车辆信息的真实性以及在有效期限内，接收数据后，首先验证数据发送方的证书是否为可信证书列表中的可信证书，之后使用该证书中的公钥进行数据验签，解包V2X消息。

本发明整体基于PKI认证体系架构，申请流程简单明了，使用汽车电子标识与注册证书的唯一对应，基于可信的注册证书再申请用于消息签名、验签、加解密的身份证书、应用证书和假名证书，利用安全证书签名加密使收发的V2X数据皆为可信数据。可避免非法伪造、变更车辆基本信息，防止虚、牌等违法行为混入V2X车辆网通信系统，使得车辆网设备之间具备安全可靠的通信方式，弥补了现有技术存在的安全漏洞。

上述说明是针对本发明较佳可行实施例的详细说明，但实施例并非用以限定本发明的专利申请范围，凡本发明所提示的技术精神下所完成的同等变化或修饰变更，均应属于本发明所涵盖专利范围。