直连通信认证方法及装置

本发明涉及车联网技术领域，特别是指一种直连通信认证方法及装置。

目前车联网直连通信认证机制主要包括两种：

1、使用基于公钥证书的PKI(Public Key Infrastructure，公开密钥基础设施)机制实现安全认证和安全通信。车联网终端在直连通信的过程中，采用CA(CertificationAuthority，证书机构)公钥对所传输的消息进行数字签名，实现终端合法身份的安全认证以及消息内容的安全认证。

上述技术与蜂窝网络相互独立，但是其实现依赖PKI公钥基础设施，受限于PKI基础设施的部署、管理、运营、维护等问题的解决，难部署应用。另一方面，车联网终端存在CA证书初装、销毁等方面问题，增加了业务流程的复杂度。且认证过程中的非对称密码运算等对终端的处理与计算能力要求高，为消息的时延和终端成本的增加带来挑战。

2、使用边缘计算节点实现区域性认证，在边缘计算节点服务覆盖范围内的终端与该边缘计算节点进行相互身份认证，身份认证成功后，终端获得M-ID标识以及该区域的会话密钥Kd。其中，M-ID是车联网业务边缘计算节点认证服务区标识，可作为车联网终端直连通信标识使用，用于隐藏车联网终端的标识信息，保护用户标识隐私。是MEC-ID的简称。Kd是车联网业务边缘计算节点认证服务区内的车联网终端进行直连通信的会话密钥，用于对直连通信消息进行保护。Kd可采用对称或非对称密钥的形式。

之后，车联网终端之间直连通信的过程中，可以使用M-ID标识消息并使用Kd对发送的消息进行完整性保护或数字签名，实现对消息来源的认证。

上述技术利用边缘计算的网络架构，利用终端USIM(Universal SubscriberIdentity Module，全球用户识别卡)中已有的密码资源完成认证，无需基于PKI公钥基础设施，无需采用CA证书，节省了系统建设开销。但是受边缘计算服务的覆盖范围与覆盖能力的限制，当两辆车距离很近，但却分属不同的边缘计算服务节点时，因两者的M-ID标识和会话密钥Kd的不同，两辆车之间无法实现直连通信，与安全高效的车联网直连通信的机制是相背离的，并严重影响着V2V应用场景的全覆盖实现。此外，当车辆离开当前边缘计算服务节点的覆盖范围，进入另一个边缘计算服务节点的覆盖范围时，需要重新发起认证。车辆在高速运行的过程中，面临着频繁发起认证申请的问题。

本发明要解决的技术问题是提供一种直连通信认证方法及装置，能够保障业务的连续性，降低车辆行驶过程中的频繁认证，在相邻的异构边缘计算节点的覆盖范围内的车辆，无需多次认证，即可实现车车之间的直连通信。

为解决上述技术问题，本发明的实施例提供技术方案如下：

一方面，提供一种直连通信认证方法，应用于边缘计算节点，所述方法包括：

接收车载单元发送的认证申请，所述认证申请请求验证搭载所述车载单元的车辆的身份；

在对车辆的身份验证通过后，向所述车载单元下发自身以及与自身存在拓扑关系的其他边缘计算节点的M-ID标识和密钥Kd列表。

一些实施例中，接收车载单元发送的认证申请之前，所述方法还包括：

向中心计算平台上传自身的位置信息；

接收所述中心计算平台下发的自身以及与自身存在拓扑关系的其他边缘计算节点的M-ID标识和密钥Kd列表。

本发明实施例还提供了一种直连通信认证方法，应用于车载单元，所述方法包括：

向边缘计算节点发送认证申请，所述车载单元位于所述边缘计算节点的覆盖范围内；

接收所述边缘计算节点下发的所述边缘计算节点以及与所述边缘计算节点存在拓扑关系的其他边缘计算节点的M-ID标识和密钥Kd列表。

本发明实施例还提供了一种直连通信认证装置，应用于边缘计算节点，所述装置包括：

认证申请接收模块，用于接收车载单元发送的认证申请，所述认证申请请求验证搭载所述车载单元的车辆的身份；

发送模块，用于在对车辆的身份验证通过后，向所述车载单元下发自身以及与自身存在拓扑关系的其他边缘计算节点的M-ID标识和密钥Kd列表。

一些实施例中，还包括：

上传模块，用于向中心计算平台上传自身的位置信息；

接收模块，用于接收所述中心计算平台下发的自身以及与自身存在拓扑关系的其他边缘计算节点的M-ID标识和密钥Kd列表。

本发明实施例还提供了一种直连通信认证装置，应用于车载单元，所述装置包括：

认证模块，用于向边缘计算节点发送认证申请，所述车载单元位于所述边缘计算节点的覆盖范围内；

接收模块，用于接收所述边缘计算节点下发的所述边缘计算节点以及与所述边缘计算节点存在拓扑关系的其他边缘计算节点的M-ID标识和密钥Kd列表。

本发明实施例还提供了一种直连通信认证系统，包括：

边缘计算节点，用于接收车载单元发送的认证申请，所述认证申请请求验证搭载所述车载单元的车辆的身份，在对车辆的身份验证通过后，向所述车载单元下发自身以及与自身存在拓扑关系的其他边缘计算节点的M-ID标识和密钥Kd列表；

车载单元，用于向边缘计算节点发送认证申请，所述车载单元位于所述边缘计算节点的覆盖范围内，接收所述边缘计算节点下发的所述边缘计算节点以及与所述边缘计算节点存在拓扑关系的其他边缘计算节点的M-ID标识和密钥Kd列表。

一些实施例中，还包括：

中心计算平台，用于接收多个边缘计算节点上报的位置信息，根据所述多个边缘计算节点上报的位置信息构建边缘计算节点间的拓扑关系，向每一边缘计算节点下发该边缘计算节点以及与其存在拓扑关系的其他边缘计算节点的M-ID标识和密钥Kd列表；

所述边缘计算节点具体用于向所述中心计算平台上传自身的位置信息，接收所述中心计算平台下发的自身以及与自身存在拓扑关系的其他边缘计算节点的M-ID标识和密钥Kd列表。

本发明实施例还提供了一种直连通信认证装置，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序；所述处理器执行所述程序时实现如上所述的直连通信认证方法。

本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上所述的直连通信认证方法中的步骤。

本发明的实施例具有以下有益效果：

上述方案中，中心计算平台根据边缘计算节点上报的位置信息，构建边缘计算节点间的拓扑关系，将各边缘计算节点及与其有拓扑关系的节点的M-ID标识和密钥Kd列表下发给对应的边缘计算节点。车辆行驶入边缘计算节点覆盖范围内时，通过认证获取当前边缘计算节点及与其有拓扑关系的边缘计算节点的M-ID标识和密钥Kd列表，相邻的两辆车，即使分属两个不同的边缘计算节点，也能立即解析通过PC5获取的周边车辆信息，不必等新边缘计算节点的认证完成，保证了车辆的实时有效通信和V2X业务的连续性，降低了车辆行驶过程中的频繁认证，在相邻的边缘计算节点的覆盖范围内的车辆，无需多次认证，即可实现车车之间的直连通信。

图1为车联网直连通信认证系统的架构示意图；

图2为边缘计算节点的拓扑关系示意图；

图3为本发明实施例应用于中心计算平台的直连通信认证方法的流程示意图；

图4为本发明实施例应用于边缘计算节点的直连通信认证方法的流程示意图；

图5为本发明实施例应用于车载单元的直连通信认证方法的流程示意图；

图6为本发明实施例直连通信认证方法的流程示意图；

图7为本发明实施例应用于中心计算平台的直连通信认证装置的结构示意图；

图8为本发明实施例应用于边缘计算节点的直连通信认证装置的结构示意图；

图9为本发明实施例应用于车载单元的直连通信认证装置的结构示意图；

图10为本发明实施例直连通信认证装置的组成示意图。

为使本发明的实施例要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。

如图1所示，本实施例的技术方案涉及以下几个设备：

车载终端(On Board Unit，OBU)，即安装在车辆上的OBU(如智能后视镜、智能车机等)，支持Uu通信和PC5通信，一方面通过Uu通信，从边缘计算节点获取证书，另一方面通过监听PC5广播，获取红绿灯信息和道路事件等预警提示信息，并通过获取的证书进行数据的签名验证。

边缘计算节点，即V2X边缘计算节点，随着物联网应用的普及，对海量车辆终端的数据处理性能提出了更高的要求，因此可以将车辆需实时处理反馈的业务逻辑下放，由边缘计算节点提供数据处理性能，减少时延。边缘计算节点负责车辆的身份认证和密钥信息的下发，部署位置可以是侧、接入环、汇聚环、核心网等。

中心计算平台，负责整体运营管理各V2X边缘计算节点，保存各V2X边缘计算节点的基本信息；适时的调度各V2X边缘计算节点的协同；提供基础的信息认证能力；定期向各边缘计算节点通知更新各应用的私钥信息；对可运行的第三方应用进行统一管理。

基于距离的边缘计算节点拓扑结构如图2所示，其中，边缘计算节点以MEC简称替代。边缘计算节点的拓扑结构以其部署的位置信息为依据进行建立，例如以500米的距离作为建立连接关系的依据，当两个边缘计算节点之间的距离小于等于500米时，构建连接关系。其中满足与MEC①有拓扑连接关系的为MEC②、MEC③、MEC⑤和MEC⑦。建议采用以500米的距离作为建立连接关系的原因是PC5通信的覆盖范围最大为500米，即RSU(Road sideunit，路边单元)与OBU，OBU与OBU之间的直连通信距离最大为500米，超过500米，无法保证数据的传输的可靠性。

其中，V2X是Vehicle to X的意思，X代表基础设施(Infrastructure)、车辆(Vehicle)、人(Pedestrian)等，X也可以是任何可能的“人或物”(Everything)。V2X主要用于提高道路安全性和改善交通管理的无线技术，是未来智能交通系统(ITS)的关键技术，能够实现车与车之间、车与路边设施、车与互联网之间的相互通信。

RSU是Road Site Unit的意思，是建立在路边能获取道路基础设施信息和V2X平台发送的信息，通过PC5广播方式，向范围内的车辆广播道路、车辆、行人信息的预警提示，提高驾驶安全性、减少拥堵、提高交通效率。具有时延短、范围广的优点。

PC5广播以LTE标准中的D2D(Device-To-Device，设备间)邻近通信服务(ProSe)为基础。采用最新标准制定的PC5接口，可以实现250Kph的高速度和高密度的直接通信，满足V2X消息低时延，高密度的通信要求。

本发明实施例提供一种直连通信认证方法及装置，能够保障业务的连续性，降低车辆行驶过程中的频繁认证，在相邻的异构边缘计算节点的覆盖范围内的车辆，无需多次认证，即可实现车车之间的直连通信。

本发明实施例提供一种直连通信认证方法，应用于中心计算平台，如图3所示，所述方法包括：

步骤101：接收多个边缘计算节点上报的位置信息；

步骤102：根据所述多个边缘计算节点上报的位置信息构建边缘计算节点间的拓扑关系；

步骤103：向每一边缘计算节点下发该边缘计算节点以及与其存在拓扑关系的其他边缘计算节点的M-ID标识和密钥Kd列表。

本实施例中，中心计算平台根据边缘计算节点上报的位置信息，构建边缘计算节点间的拓扑关系，将各边缘计算节点及与其有拓扑关系的节点的M-ID标识和密钥Kd列表下发给对应的边缘计算节点。

一些实施例中，所述方法还包括：

存储边缘计算节点间的拓扑关系。

一些实施例中，所述根据所述多个边缘计算节点上报的位置信息构建边缘计算节点间的拓扑关系包括：

根据所述多个边缘计算节点上报的位置信息确定边缘计算节点间的距离；

根据边缘计算节点间的距离构建边缘计算节点间的拓扑关系。

本发明实施例还提供了一种直连通信认证方法，应用于边缘计算节点，如图4所示，所述方法包括：

步骤203：接收车载单元发送的认证申请，所述认证申请请求验证搭载所述车载单元的车辆的身份；

步骤204：在对车辆的身份验证通过后，向所述车载单元下发自身以及与自身存在拓扑关系的其他边缘计算节点的M-ID标识和密钥Kd列表。

一些实施例中，如图4所示，步骤203之前，所述方法还包括：

步骤201：向中心计算平台上传自身的位置信息；

步骤202：接收所述中心计算平台下发的自身以及与自身存在拓扑关系的其他边缘计算节点的M-ID标识和密钥Kd列表。

本实施例中，车辆行驶入边缘计算节点覆盖范围内时，通过认证获取当前边缘计算节点及与其有拓扑关系的边缘计算节点的M-ID标识和密钥Kd列表，相邻的两辆车，即使分属两个不同的边缘计算节点，也能立即解析通过PC5获取的周边车辆信息，不必等新边缘计算节点的认证完成，保证了车辆的实时有效通信和V2X业务的连续性，降低了车辆行驶过程中的频繁认证，在相邻的边缘计算节点的覆盖范围内的车辆，无需多次认证，即可实现车车之间的直连通信。

本发明实施例还提供了一种直连通信认证方法，应用于车载单元，如图5所示，所述方法包括：

步骤301：向边缘计算节点发送认证申请，所述车载单元位于所述边缘计算节点的覆盖范围内；

步骤302：接收所述边缘计算节点下发的所述边缘计算节点以及与所述边缘计算节点存在拓扑关系的其他边缘计算节点的M-ID标识和密钥Kd列表。

本实施例中，车辆行驶入边缘计算节点覆盖范围内时，通过认证获取当前边缘计算节点及与其有拓扑关系的边缘计算节点的M-ID标识和密钥Kd列表，相邻的两辆车，即使分属两个不同的边缘计算节点，也能立即解析通过PC5获取的周边车辆信息，不必等新边缘计算节点的认证完成，保证了车辆的实时有效通信和V2X业务的连续性，降低了车辆行驶过程中的频繁认证，在相邻的边缘计算节点的覆盖范围内的车辆，无需多次认证，即可实现车车之间的直连通信。

本发明实施例还提供了一种直连通信认证系统，包括：

边缘计算节点，用于接收车载单元发送的认证申请，所述认证申请请求验证搭载所述车载单元的车辆的身份，在对车辆的身份验证通过后，向所述车载单元下发自身以及与自身存在拓扑关系的其他边缘计算节点的M-ID标识和密钥Kd列表；

车载单元，用于向边缘计算节点发送认证申请，所述车载单元位于所述边缘计算节点的覆盖范围内，接收所述边缘计算节点下发的所述边缘计算节点以及与所述边缘计算节点存在拓扑关系的其他边缘计算节点的M-ID标识和密钥Kd列表。

直连通信认证系统还包括：

中心计算平台，用于接收多个边缘计算节点上报的位置信息，根据所述多个边缘计算节点上报的位置信息构建边缘计算节点间的拓扑关系，向每一边缘计算节点下发该边缘计算节点以及与其存在拓扑关系的其他边缘计算节点的M-ID标识和密钥Kd列表；

所述边缘计算节点具体用于向所述中心计算平台上传自身的位置信息，接收所述中心计算平台下发的自身以及与自身存在拓扑关系的其他边缘计算节点的M-ID标识和密钥Kd列表。

本实施例中，中心计算平台根据边缘计算节点上报的位置信息，构建边缘计算节点间的拓扑关系，将各边缘计算节点及与其有拓扑关系的节点的M-ID标识和密钥Kd列表下发给对应的边缘计算节点。车辆行驶入边缘计算节点覆盖范围内时，通过认证获取当前边缘计算节点及与其有拓扑关系的边缘计算节点的M-ID标识和密钥Kd列表，相邻的两辆车，即使分属两个不同的边缘计算节点，也能立即解析通过PC5获取的周边车辆信息，不必等新边缘计算节点的认证完成，保证了车辆的实时有效通信和V2X业务的连续性，降低了车辆行驶过程中的频繁认证，在相邻的边缘计算节点的覆盖范围内的车辆，无需多次认证，即可实现车车之间的直连通信。

一具体示例中，如图6所示，直连通信认证包括以下步骤：

步骤1、边缘计算节点1和边缘计算节点2向V2X中心计算平台上传自己的位置信息；

步骤2、V2X中心计算平台根据边缘计算节点间的距离，构建边缘计算节点间的拓扑关系；

步骤3、V2X中心计算平台向各边缘计算节点下发该边缘计算节点及与其有拓扑关系的边缘计算节点的M-ID标识和密钥Kd列表；

步骤4、装载OBU的车辆向当前的边缘计算节点发送认证申请时，边缘计算节点验证车辆身份；

步骤5、车辆身份认证通过后，边缘计算节点下发本节点及与其有拓扑关系的节点的M-ID标识和密钥Kd列表给车辆。

如图6所述，V2X中心计算平台根据边缘计算节点上报的位置信息，构建边缘计算节点间的拓扑关系，将各边缘计算节点及与其有拓扑关系的节点的M-ID标识和密钥Kd列表下发给对应的边缘计算节点。车辆行驶入边缘计算节点覆盖范围内时，通过认证获取当前边缘计算节点及与其有拓扑关系的节点的M-ID标识和密钥Kd列表，相邻的两辆车，即使分属两个不同的边缘计算节点，也能立即解析通过PC5获取的周边车辆信息，不必等新边缘计算节点的认证完成，保证了车辆的实时有效通信和V2X业务的连续性，降低了车辆行驶过程中的频繁认证，在相邻的边缘计算节点的覆盖范围内的车辆，无需多次认证，即可实现车车之间的直连通信。

在V2X场景下，车载OBU想解析周围车辆广播的PC5消息，需要向边缘计算节点申请认证获取标识和密钥信息，而本实施例中，车载OBU一次申请可以获取与之匹配的边缘计算节点及其拓扑关系内边缘计算节点的标识和密钥信息列表，车载OBU在同一边缘计算节点拓扑关系内的节点之间行驶时，M-ID标识和密钥Kd信息无需重复申请，保证了车辆V2X业务的连续性，避免重复或频繁向V2X平台申请认证。

本发明实施例还提供了一种直连通信认证装置，应用于中心计算平台，如图7所示，所述装置包括：

接收模块41，用于接收多个边缘计算节点上报的位置信息；

构建模块42，用于根据所述多个边缘计算节点上报的位置信息构建边缘计算节点间的拓扑关系；

发送模块43，用于向每一边缘计算节点下发该边缘计算节点以及与其存在拓扑关系的其他边缘计算节点的M-ID标识和密钥Kd列表。

本实施例中，中心计算平台根据边缘计算节点上报的位置信息，构建边缘计算节点间的拓扑关系，将各边缘计算节点及与其有拓扑关系的节点的M-ID标识和密钥Kd列表下发给对应的边缘计算节点。

一些实施例中，还包括：

存储模块，用于存储边缘计算节点间的拓扑关系。

一些实施例中，所述构建模块包括：

处理单元，用于根据所述多个边缘计算节点上报的位置信息确定边缘计算节点间的距离；

构建单元，用于根据边缘计算节点间的距离构建边缘计算节点间的拓扑关系。

本发明实施例还提供了一种直连通信认证装置，应用于边缘计算节点，如图8所示，所述装置包括：

认证申请接收模块53，用于接收车载单元发送的认证申请，所述认证申请请求验证搭载所述车载单元的车辆的身份；

发送模块54，用于在对车辆的身份验证通过后，向所述车载单元下发自身以及与自身存在拓扑关系的其他边缘计算节点的M-ID标识和密钥Kd列表。

一些实施例用，如图8所示，所述装置还包括：

上传模块51，用于向中心计算平台上传自身的位置信息；

接收模块52，用于接收所述中心计算平台下发的自身以及与自身存在拓扑关系的其他边缘计算节点的M-ID标识和密钥Kd列表。

本实施例中，车辆行驶入边缘计算节点覆盖范围内时，通过认证获取当前边缘计算节点及与其有拓扑关系的边缘计算节点的M-ID标识和密钥Kd列表，相邻的两辆车，即使分属两个不同的边缘计算节点，也能立即解析通过PC5获取的周边车辆信息，不必等新边缘计算节点的认证完成，保证了车辆的实时有效通信和V2X业务的连续性，降低了车辆行驶过程中的频繁认证，在相邻的边缘计算节点的覆盖范围内的车辆，无需多次认证，即可实现车车之间的直连通信。

本发明实施例还提供了一种直连通信认证装置，应用于车载单元，如图9所示，所述装置包括：

认证模块61，用于向边缘计算节点发送认证申请，所述车载单元位于所述边缘计算节点的覆盖范围内；

接收模块62，用于接收所述边缘计算节点下发的所述边缘计算节点以及与所述边缘计算节点存在拓扑关系的其他边缘计算节点的M-ID标识和密钥Kd列表。

本实施例中，车辆行驶入边缘计算节点覆盖范围内时，通过认证获取当前边缘计算节点及与其有拓扑关系的边缘计算节点的M-ID标识和密钥Kd列表，相邻的两辆车，即使分属两个不同的边缘计算节点，也能立即解析通过PC5获取的周边车辆信息，不必等新边缘计算节点的认证完成，保证了车辆的实时有效通信和V2X业务的连续性，降低了车辆行驶过程中的频繁认证，在相邻的边缘计算节点的覆盖范围内的车辆，无需多次认证，即可实现车车之间的直连通信。

本发明实施例还提供了一种直连通信认证装置，如图10所示，包括存储器71、处理器72及存储在所述存储器71上并可在所述处理器72上运行的计算机程序；所述处理器72执行所述程序时实现如上所述的直连通信认证方法。

直连通信认证装置可以应用在中心计算平台中，处理器72用于接收多个边缘计算节点上报的位置信息；根据所述多个边缘计算节点上报的位置信息构建边缘计算节点间的拓扑关系；向每一边缘计算节点下发该边缘计算节点以及与其存在拓扑关系的其他边缘计算节点的M-ID标识和密钥Kd列表。

处理器72还用于存储边缘计算节点间的拓扑关系。

处理器72还用于根据所述多个边缘计算节点上报的位置信息确定边缘计算节点间的距离；根据边缘计算节点间的距离构建边缘计算节点间的拓扑关系。

直连通信认证装置可以应用在边缘计算节点中，处理器72用于向中心计算平台上传自身的位置信息；接收所述中心计算平台下发的自身以及与自身存在拓扑关系的其他边缘计算节点的M-ID标识和密钥Kd列表；接收车载单元发送的认证申请，所述认证申请请求验证搭载所述车载单元的车辆的身份；在对车辆的身份验证通过后，向所述车载单元下发自身以及所述其他边缘计算节点的M-ID标识和密钥Kd列表。

直连通信认证装置可以应用在车载单元中，处理器72用于向边缘计算节点发送认证申请，所述车载单元位于所述边缘计算节点的覆盖范围内；接收所述边缘计算节点下发的所述边缘计算节点以及与所述边缘计算节点存在拓扑关系的其他边缘计算节点的M-ID标识和密钥Kd列表。

本发明的实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上所述的直连通信认证方法中的步骤。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储待检测终端设备或任何其他非传输介质，可用于存储可以被计算待检测终端设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。