一种基于GBA机制发放证书的方法技术

本发明专利技术公开了一种基于GBA机制发放证书的方法，包括以下步骤：S1将全球用户识别卡嵌入在车载终端设备和路侧单元端，并关联绑定信息，车载终端设备和路侧单元端则生成密钥对，作为V2X数字证书申请时使用；S2车载终端设备和路侧单元端接入网络访问CA认证机构，通过GBA技术进行认证，即认证全球用户识别卡的用户信息以及车载终端设备设备，认证通过后，由核心网协商会话密钥；S3所述CA认证机构的认证端提供身份信息及密钥并基于协商会话的密钥建立安全通道；S4在建立安全通道后，车载终端设备和路侧单元端则发送申请证书请求，CA认证机构审核认证合格后生成并签发证书；S5车载终端设备和路侧单元端下载证书并存储。端设备和路侧单元端下载证书并存储。端设备和路侧单元端下载证书并存储。

【技术实现步骤摘要】
一种基于GBA机制发放证书的方法


[0001]本专利技术属于通信安全认证
，尤其是涉及一种基于GBA机制发放证书的方法。

技术介绍

[0002]随着众多业务的开展，业务安全性变得越来越重要，因此3GPP标准组织提出了通用认证架构的概念，解决用户终端与应用服务器之间相互认证的安全问题，其中GBA(Generic Bootstrapping Architecture，通用引导架构)就是一种采用共享密钥的方法进行认证的通用认证架构。GBA技术是运营商提供的一种网络安全认证机制，供V2X实体与平台端建立安全连接并信任实体端。V2X(意为vehicle to everything，即车对外界的信息交换)是未来智能交通系统的关键技术，它使得车与车、车与基站、基站与基站之间能够通信，有效获得实时路况、道路信息、行人信息等一系列交通信息，从而可以提高驾驶安全性，减少拥堵，提高交通效率以及提供车载娱乐信息等，它基于强大的蜂窝网络覆盖，可大幅降低未来自动驾驶和车联网部署成本。同毫米波雷达、激光雷达、摄像头等传感器不同，V2X视为一种无线传感器系统的解决方案，它允许车辆通过通信信道彼此共享信息，它可检测隐藏的威胁，扩大自动驾驶感知范围，能预见接下来会发生什么，从而进一步提升自动驾驶的安全性、效率和舒适性，是自动驾驶的关键推动因素之一。
[0003]因此，有必要开发一种基于GBA机制发放证书的方法，通过运营商提供的一种网络安全认证机制GBA机制，供V2X实体与平台端建立安全连接并信任实体端，实现车联网设备中的双向认证，实现对车载终端设备OBU进行安全认证和设备管理，保证了C-V2X车路协同系统的信息安全。

技术实现思路

[0004]本专利技术要解决的技术问题是，提供一种基于GBA机制发放证书的方法，通过运营商提供的一种网络安全认证机制GBA机制，供V2X实体与平台端建立安全连接并信任实体端，实现车联网设备中的双向认证，实现对车载终端设备OBU进行安全认证和设备管理，保证了C-V2X车路协同系统的信息安全。
[0005]为了解决上述技术问题，本专利技术采用的技术方案是：该基于GBA机制发放证书的方法，具体包括以下步骤：
[0006]S1：将全球用户识别卡USIM嵌入在车载终端设备OBU和路侧单元端RSU，并关联绑定信息，车载终端设备OBU和路侧单元端RSU则生成密钥对，作为V2X数字证书申请时使用；
[0007]S2：所述车载终端设备OBU和路侧单元端RSU接入网络并通过网络访问CA认证机构，通过GBA技术进行认证，即认证全球用户识别卡USIM的用户信息以及车载终端设备OBU设备，认证通过后，由核心网协商会话密钥；
[0008]S3：所述CA认证机构的认证端提供身份信息及密钥，并基于协商会话的密钥建立安全通道；
[0009]S4：在建立所述安全通道后，所述车载终端设备OBU和路侧单元端RSU则发送申请证书请求，所述CA认证机构审核认证合格后生成并签发证书；
[0010]S5：所述车载终端设备OBU和路侧单元端RSU下载证书并存储。
[0011]采用上述技术方案，将全球用户识别卡USIM嵌入在车载终端设备OBU和路侧单元端RSU中，全球用户识别卡USIM是在车载终端设备OBU和路侧单元端RSU里的一个密码应用安全模块，能够提供密钥对生成存储、证书申请、证书存储等功能；再基于GBA安全设计(GBA是3GPP定义的网络通信认证解决方式)来作为车载终端设备OBU和路侧单元端RSU的安全信任节点；通过GBA方式实现对用户实体的认证，建立信任之后可申请下发EC注册证书、假名PC证书、身份证书；AKA是GBA的认证机制，将安全服务的功能独立于应用服务之外，在用户实体层与安全服务端之间通过引导服务功能使用AKA机制生成密钥，然后应用服务端从安全服务端获取密钥和用户信息，然后应用层和用户实体层都有了密钥。
[0012]作为本专利技术的优选技术方案，所述步骤S2中所述CA认证机构通过GBA技术进行认证，所述GBA技术的架构包括应用层和用户实体层，所述应用层包括安全服务端和应用服务端，所述用户实体层包括车载终端设备OBU和路侧单元端RSU，所述用户实体层与所述安全服务端之间通过引导服务器的引导服务功能使用密钥协商AKA认证机制生成密钥，然后所述应用服务端从所述安全服务端获取密钥和用户信息，所述用户实体层再通过认证请求且经过双向认证合格后从所述应用服务端获取密钥。
[0013]作为本专利技术的优选技术方案，所述步骤S4中和所述步骤S5中的证书包括注册证书和数字证书，所述数字证书包括假名证书、应用证书和身份证。
[0014]作为本专利技术的优选技术方案，所述步骤S4中当所述车载终端设备OBU和路侧单元端RSU是第一次申请证书时则申请的是注册证书，同时所述CA认证机构审核生成并签发注册证书；当所述车载终端设备OBU和路侧单元端RSU是非首次申请证书时则申请的是数字证书，同时所述CA认证机构审核生成并签发数字证书。
[0015]作为本专利技术的优选技术方案，所述步骤S2中所述车载终端设备OBU和路侧单元端RSU通过WiFi无线网络、蜂窝网络、4G网络和5G网络与所述CA认证机构相连接。
[0016]作为本专利技术的优选技术方案，所述步骤S2中在所述引导服务器向所述用户实体层提供注册信息和服务之前，所述用户实体层需将所述用户实体层的认证标识传递给所述引导服务器，所述认证标识为所述用户实体层的终端设备中运行的客户端标识。
[0017]作为本专利技术的优选技术方案，所述客户端标识为永久标识或临时标识，包括SUPI、SUCI、IMSI、IMPI、TMPI、GUTI、TMSI、IMPU、AppID、网络标识、服务标识和NAI中任意一种。
[0018]作为本专利技术的优选技术方案，所述车载终端设备OBU包括北斗定位通信授时模块、通信模块、C-V2X无线通信模块、主控模块和电源模块，所述北斗定位通信授时模块、通信模块和C-V2X无线通信模块均分别与所述主控模块和电源模块相连接，所述电源模块分别为所述北斗定位通信授时模块、通信模块和C-V2X无线通信模块供电；所述主控模块包含有存储模块和通信接口模块，所述车载终端设备通过所述通信模块与边缘计算系统之间进行无线通信；所述车载终端设备通过C-V2X无线通信模块和V2X卫星天线与路侧单元端RSU进行节点通信。其中车载电源是整个车载无线通信单元能否正常运行的关键部件，整个终端的正常供电来自车辆内部的车载电源。本系统中的供电电源主要给各功能模块供电，由于无线通信模块、4G/5G网络模块等功率较大，并考虑系统运行过程中低功耗控制问题，将电源
分为两路设计，一路单独给通信模块供电，另一路给处理器及定位等供电。车辆用电瓶的电压一般是12V或者24V。但是在车辆实际运行中，电源电压会随着车辆的运行出现较大的波动。12V的车载电源在车辆启动时，电源电压可以降到8V左右，24V的车载电源在车辆速度较快时，电源电压又会升到36V左右，因此车载终端电源设计时需要考虑车载电源电压的波动范围本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于GBA机制发放证书的方法，其特征在于，具体包括以下步骤：S1：将全球用户识别卡USIM嵌入在车载终端设备OBU和路侧单元端RSU，并关联绑定信息，车载终端设备OBU和路侧单元端RSU则生成密钥对，作为V2X数字证书申请时使用；S2：所述车载终端设备OBU和路侧单元端RSU接入网络并通过网络访问CA认证机构，通过GBA技术进行认证，即认证全球用户识别卡USIM的用户信息以及车载终端设备OBU设备，认证通过后，由核心网协商会话密钥；S3：所述CA认证机构的认证端提供身份信息及密钥，并基于协商会话的密钥建立安全通道；S4：在建立所述安全通道后，所述车载终端设备OBU和路侧单元端RSU则发送申请证书请求，所述CA认证机构审核认证合格后生成并签发证书；S5：所述车载终端设备OBU和路侧单元端RSU下载证书并存储。2.根据权利要求1所述的基于GBA机制发放证书的方法，其特征在于，所述步骤S2中所述CA认证机构通过GBA技术进行认证，所述GBA技术的架构包括应用层和用户实体层，所述应用层包括安全服务端和应用服务端，所述用户实体层包括车载终端设备OBU和路侧单元端RSU，所述用户实体层与所述安全服务端之间通过引导服务器的引导服务功能使用密钥协商AKA认证机制生成密钥，然后所述应用服务端从所述安全服务端获取密钥和用户信息，所述用户实体层再通过认证请求且经过双向认证合格后从所述应用服务端获取密钥。3.根据权利要求1所述的基于GBA机制发放证书的方法，其特征在于，所述步骤S4中和所述步骤S5中的证书包括注册证书和数字证书，所述数字证书包括假名证书、应用证书和身份证。4.根据权利要求3所述的基于GBA机制发放证书的方法，其特征在于，所述步骤S4中当所述车载终端设备OBU和路侧单元端RSU是第一次申请证书时则申请的是注册证书，同时所述CA认证机构审核生成并签发注册证书；当所述车载终端设备OBU和路侧单元端RSU是非首次申请证书时则申请的是数字证书，同时所述CA认证机构审核生成并签发数字证书。5.根据权利要求3所述的基于GBA机制发放证书的方法，其特征在于，所述步骤S2中所述车载终端设备OBU和路侧单元端RSU通过WiFi无线网络、蜂...

【专利技术属性】
技术研发人员：付玉澎，王永佳，陈志颖，
申请(专利权)人：中电智能技术南京有限公司，
类型：发明
国别省市：