一种车联网访问控制方法、系统、介质、设备及终端技术方案

本发明专利技术属于车联网技术领域，公开了一种车联网访问控制方法、系统、介质、设备及终端，第一阶段是初始化阶段，初始化用于实体认证的参数并将所述参数存储到区块链网络中；第二阶段是设备注册阶段，智能车联网设备加入网络前需在注册权威以安全的方式进行注册，并将注册信息安全地存储在区块链上，所述设备注册阶段始终在安全信道上进行；第三阶段是设备认证阶段，用于验证各个实体的真实身份，实现车联网设备间的安全访问。本发明专利技术为车联网环境设计了一种新的访问控制系统和方法，该机制基于区块链和移动边缘计算技术，能够实现对车联网设备的安全访问控制。同时，本发明专利技术的控制方法还能够安全高效地进行身份认证，并确保了设备间的安全通信。安全通信。安全通信。

【技术实现步骤摘要】
一种车联网访问控制方法、系统、介质、设备及终端


[0001]本专利技术属于车联网
，尤其涉及一种车联网访问控制方法、系统、介质、设备及终端。

技术介绍

[0002]目前，车联网是实现自动驾驶乃至无人驾驶的重要组成部分，也是未来智能交通系统的核心组成部分。其中，车联网设备会产生大量机密数据，安全可靠的数据存储和传输是保证系统服务达到最佳的关键。然而，由于车联网应用所产生的数据存在分散化、异构性和不可信性等特点，给消息传输和事务执行带来了挑战，各种车联网应用不可避免地面临着数据信任、安全以及可持续性的难题。虽然可以使用多个不同的网络基础设施存储数据，但这些数据分散而不互通，容易受到数据篡改、信息窃取等安全威胁。假如出现恶意设备进入车联网系统的情况，则可能会给系统的正常运行带来影响，甚至带来严重的后果。因此，为数据通信建立安全、可信的环境是十分重要的。但是这些设备常部署在公共场所，数据在不可信的环境下传输，易受到各种攻击，从而使系统面临严峻的安全和隐私问题。在这样的环境中，需要对设备进行身份认证，并保证设备之间的安全通信。另外，在车联网应用程序中，产生的数据量以高速状态增长，时延代价问题也不容小觑。移动边缘计算将云计算的功能扩展到网络边缘，是减少车联网应用计算和通信开销的最佳解决方案。为了保证车联网设备之间的安全访问，需要一种适合车联网环境的去中心化轻量级访问控制方案，以满足车联网环境中预期的高效安全且对时延敏感的要求。
[0003]目前很少见到为车联网系统设计去中心化轻量级的访问控制方案。在车联网访问控制系统中涉及到车载单元、路侧单元和边缘服务器这三个实体，而现有的方案只涉及到车载单元和路侧单元这两个实体。根据车联网的特征，车联网中访问控制和认证方案应该满足四个条件：(1)由于车联网设备是资源受限的，为这些设备设计的访问控制和认证方案应该是轻量级的，认证协议应在保证安全性的同时兼顾通信的低延迟。(2)由于路侧单元不是完全可信的，如果攻击者入侵路侧单元，认证协议应该能够在此情况下抵抗各种已知的攻击。(3)用于车联网的认证体系结构中虽然包含云层，但云服务器不应该参与，这是因为引入边缘层的一个目的是为了更靠近数据源的同时可以即时处理终端数据，具有低时延、更高效的特点。(4)在严格的低时延约束下，应仍能保证认证协议的匿名性和数据的完整性。已有的为车联网提出的认证方案虽然能够有效地认证设备，但是这些方案不能满足上述条件。并且现有机制大多是集中式的，存在缺乏部署设备在大规模网络的可伸缩性。将设备部署在不可信任的第三方环境中，遭受物理攻击的风险大大提升。此外，大多数车联网系统的节点是资源受限的，使得现有机制大多更适用于网络规模较小且设备部署紧密的系统中。在这些为车联网设计的认证方案中，大部分认证协议是基于云或者基于网关的，这类中心化的验证方式若应用在对时间敏感且设备部署分散的车联网系统，会带来高延迟的问题。例如，在一个方案中密钥是由密钥管理中心分发，存在密钥在网络中传输时容易被窃听的缺陷，此机制的安全性取决于加密密钥的保存情况，不便于应用在存在大规模设备的系
统中。在另一个方案中，设计了一个第三方权威机构，通过其颁发的匿名证书来隐藏车辆的真实身份。然而此方案的认证过程过于中心化，一旦存储了许多敏感信息的节点被破坏，会导致信息泄露和车辆无法认证。为了实施对车联网设备的安全访问控制，以及克服已有的车联网认证方案存在的问题，亟需设计一种新的车联网访问控制方法及系统。
[0004]通过上述分析，现有技术存在的问题及缺陷为：
[0005](1)现有认证方案大多是集中式的，存在缺乏部署设备在大规模网络的可伸缩性，且部署在不可信任的第三方环境中遭受物理攻击的风险较高。
[0006](2)现有认证协议是基于云或者基于网关的，这类中心化的验证方式若应用在对时间敏感且设备部署分散的车联网系统，会带来高延迟的问题。
[0007](3)现有认证方案存在密钥在网络中传输时容易被窃听的缺陷，且安全性取决于加密密钥的保存情况，不便于应用在存在大规模设备的系统中。
[0008](4)现有方案的认证过程过于中心化，一旦存储了许多敏感信息的节点被破坏，会导致信息泄露和车辆无法认证。
[0009](5)现有方案计算量大，难以满足低时延的需求。

技术实现思路

[0010]针对现有技术存在的问题，本专利技术提供了一种车联网访问控制方法、系统、介质、设备及终端，尤其涉及一种基于区块链的车联网访问控制方法、系统、介质、设备及终端。
[0011]本专利技术是这样实现的，一种车联网访问控制方法，所述车联网访问控制方法包括：
[0012]第一阶段是初始化阶段，初始化用于实体认证的参数并将所述参数存储到区块链网络中；第二阶段是设备注册阶段，智能车联网设备加入网络前需在注册权威以安全的方式进行注册，并将注册信息安全地存储在区块链上，所述设备注册阶段始终在安全信道上进行；第三阶段是设备认证阶段，用于验证各个实体的真实身份，实现车联网设备间的安全访问。
[0013]进一步，所述车联网访问控制方法包括以下步骤：
[0014]步骤一，初始化阶段：对相关认证参数进行初始化并存储到区块链网络中；
[0015]步骤二，设备注册阶段：由注册权威为车联网设备进行注册；
[0016]步骤三，设备认证阶段：对车联网设备进行身份认证，并保证车联网设备间的安全访问。
[0017]进一步，所述步骤一中的初始化阶段包括：
[0018]为网络中的每一实体计算标识，所述该标识由名称和媒体访问控制MAC地址的散列结果组成；由于每个实体在互联网中均有且仅有一个的MAC地址，进行哈希后的结果唯一标识对应实体；在计算出标识后，通过标识符为每一实体生成公
‑
私钥对，并存储在分布式账本中。
[0019]边缘服务器使用私钥为对应的设备签名，计算得到的令牌包含边缘服务器 ID及智能设备ID的映射，对于每个设备均是唯一的；初始化过程中产生的相关实体初始化信息以交易的形式打包成区块，在网络共识过程完成后被附加到区块链的末端，所述信息将于后期实体在区块链网络上注册和认证时，被提取出来用于辅助验证。
[0020]进一步，所述步骤二中的设备注册阶段包括：
[0021]当部署新的车联网设备时，通过安全信道向注册权威RA注册，注册过程为：
[0022](1)设备发起注册请求，注册权威RA为期望连接入系统的车载单元OBU 选择一个唯一的身份ID(OBU
ID
)；同时触发智能合约检查与OBU
ID
是否已存在，并验证ID对应的MAC地址是否一致，若存在问题则注册终止；若两者的正确性均被验证，则生成一个时间戳OBU
T
，用于辅助验证消息的真伪；RA通过安全信道将(OBU
ID
，OBU
T
)传送给车载单元。
[0023](2)OBU使用其私钥OBU
IK
加密计算后得到证书TK0＝OBU
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种车联网访问控制方法，其特征在于，所述车联网访问控制方法包括：第一阶段是初始化阶段，初始化用于实体认证的参数并将所述参数存储到区块链网络中；第二阶段是设备注册阶段，智能车联网设备加入网络前需在注册权威以安全的方式进行注册，并将注册信息安全地存储在区块链上，所述设备注册阶段始终在安全信道上进行；第三阶段是设备认证阶段，用于验证各个实体的真实身份，实现车联网设备间的安全访问。2.如权利要求1所述车联网访问控制方法，其特征在于，所述车联网访问控制方法包括以下步骤：步骤一，初始化阶段：对相关认证参数进行初始化并存储到区块链网络中；步骤二，设备注册阶段：由注册权威为车联网设备进行注册；步骤三，设备认证阶段：对车联网设备进行身份认证，并保证车联网设备间的安全访问。3.如权利要求2所述车联网访问控制方法，其特征在于，所述步骤一中的初始化阶段包括：为网络中的每一实体计算标识，所述该标识由名称和媒体访问控制MAC地址的散列结果组成；由于每个实体在互联网中均有且仅有一个的MAC地址，进行哈希后的结果唯一标识对应实体；在计算出标识后，通过标识符为每一实体生成公
‑
私钥对，并存储在分布式账本中；边缘服务器使用私钥为对应的设备签名，计算得到的令牌包含边缘服务器ID及智能设备ID的映射，对于每个设备均是唯一的；初始化过程中产生的相关实体初始化信息以交易的形式打包成区块，在网络共识过程完成后被附加到区块链的末端，所述信息将于后期实体在区块链网络上注册和认证时，被提取出来用于辅助验证。4.如权利要求2所述车联网访问控制方法，其特征在于，所述步骤二中的设备注册阶段包括：当部署新的车联网设备时，通过安全信道向注册权威RA注册，注册过程为：(1)设备发起注册请求，注册权威RA为期望连接入系统的车载单元OBU选择一个唯一的身份ID(OBU
ID
)；同时触发智能合约检查与OBU
ID
是否已存在，并验证ID对应的MAC地址是否一致，若存在问题则注册终止；若两者的正确性均被验证，则生成一个时间戳OBU
T
，用于辅助验证消息的真伪；RA通过安全信道将(OBU
ID
，OBU
T
)传送给车载单元；(2)OBU使用其私钥OBU
IK
加密计算后得到证书TK0＝OBU
IK
(OBU
ID
，OBU
T
)，所述证书对于每个OBU均是唯一的，并通过安全信道传送给注册权威；运用证书使得OBU的身份信息不以明文形式传递，保证在消息通信过程中OBU的匿名性；OBU利用对应边缘服务器的公钥ES
PK
将TK0值加密，通过创建交易T1＝ES
PK
(OBU
IK
(OBU
ID
，OBU
T
))将TK0值发送到区块链上，与相应的节点共享；(3)在接收到数据包后，RA为OBU计算伪身份OBU
PID
＝h(OBU
ID
||K)，其中K是注册权威的秘密参数；RA将OBU的参数{OBU
PID
，TK0}通过安全信道传送给对应的边缘服务器ES进行存储；(4)智能合约继而检查用于验证TK0的公钥是否存在于区块链中，如果在其中找到正确匹配的公钥，则验证生成TK0的时间戳；如果OBU
T
处于合理的时间范围内，则允许注册过程继续执行，否则连接终止；在完成对OBU的所有验证后，设备成功注册；
(5)设备注册成功后，ES为OBU生成一个认证证书TK
OBU
＝ES
IK
(OBU
PK
，OBU
ID
，OBU
T
)，并通过交易T2＝OBU
PK
(ES
IK
(OBU
PK
，OBU
ID
，OBU
T
))将所述证书发送给OBU；OBU接收到消息后，从中提取并存储认证证书TK
OBU
，用于未来的设备认证阶段。5.如权利要求2所述车联网访问控制方法，其特征在于，所述步骤三中的设备认证阶段包括：(1)边缘服务器验证车载单元真实性：车载单元向边缘服务器发出访问某个车联网设备的请求，边缘服务器验证车载单元的真实性；如果验证不成功，则立即终止车载单元的访问控制请求；如果验证成功，边缘服务器则向车联网设备发送认证请求；(2)车联网设备验证边缘服务器真实性：车联网设备验证边缘服务器的请求及其身份的真实性，如果验证成功，则向边缘服务器发送确认消息；(3)边缘服务器验证车联网设备真实性：边缘服务器验证车联网设备的真实性，如果身份信息是真实的，则向车载单元发送认证请求；(4)车载单元验...

【专利技术属性】
技术研发人员：郭亚军，吴安穆霖，
申请(专利权)人：华中师范大学，
类型：发明
国别省市：