1.一种车联网访问控制方法,其特征在于,所述车联网访问控制方法包括:
第一阶段是初始化阶段,初始化用于实体认证的参数并将所述参数存储到区块链网络中;第二阶段是设备注册阶段,智能车联网设备加入网络前需在注册权威以安全的方式进行注册,并将注册信息安全地存储在区块链上,所述设备注册阶段始终在安全信道上进行;
第三阶段是设备认证阶段,用于验证各个实体的真实身份,实现车联网设备间的安全访问;
所述车联网访问控制方法包括以下步骤:
步骤一,初始化阶段:对相关认证参数进行初始化并存储到区块链网络中;
步骤二,设备注册阶段:由注册权威为车联网设备进行注册;
步骤三,设备认证阶段:对车联网设备进行身份认证,并保证车联网设备间的安全访问;
所述步骤二中的设备注册阶段包括:
当部署新的车联网设备时,通过安全信道向注册权威RA注册,注册过程为:
(1)设备发起注册请求,注册权威RA为期望连接入系统的车载单元OBU选择一个唯一的身份ID(OBUID);同时触发智能合约检查与OBUID是否已存在,并验证ID对应的MAC地址是否一致,若存在问题则注册终止;若两者的正确性均被验证,则生成一个时间戳OBUT,用于辅助验证消息的真伪;RA通过安全信道将(OBUID,OBUT)传送给车载单元;
(2)OBU使用其私钥OBUIK加密计算后得到证书TK0=OBUIK(OBUID,OBUT),所述证书对于每个OBU均是唯一的,并通过安全信道传送给注册权威;运用证书使得OBU的身份信息不以明文形式传递,保证在消息通信过程中OBU的匿名性;OBU利用对应边缘服务器的公钥ESPK将TK0值加密,通过创建交易T1=ESPK(OBUIK(OBUID,OBUT))将TK0值发送到区块链上,与相应的节点共享;
(3)在接收到数据包后,RA为OBU计算伪身份OBUPID=h(OBUID||K),其中K是注册权威的秘密参数;RA将OBU的参数{OBUPID,TK0}通过安全信道传送给对应的边缘服务器ES进行存储;
(4)智能合约继而检查用于验证TK0的公钥是否存在于区块链中,如果在其中找到正确匹配的公钥,则验证生成TK0的时间戳;如果OBUT处于合理的时间范围内,则允许注册过程继续执行,否则连接终止;在完成对OBU的所有验证后,设备成功注册;
(5)设备注册成功后,ES为OBU生成一个认证证书TKOBU=ESIK(OBUPK,OBUID,OBUT),并通过交易T2=OBUPK(ESIK(OBUPK,OBUID,OBUT))将所述证书发送给OBU;OBU接收到消息后,从中提取并存储认证证书TKOBU,用于未来的设备认证阶段;
所述步骤三中的设备认证阶段包括:
(1)边缘服务器验证车载单元真实性:车载单元向边缘服务器发出访问某个车联网设备的请求,边缘服务器验证车载单元的真实性;如果验证不成功,则立即终止车载单元的访问控制请求;如果验证成功,边缘服务器则向车联网设备发送认证请求;
(2)车联网设备验证边缘服务器真实性:车联网设备验证边缘服务器的请求及其身份的真实性,如果验证成功,则向边缘服务器发送确认消息;
(3)边缘服务器验证车联网设备真实性:边缘服务器验证车联网设备的真实性,如果身份信息是真实的,则向车载单元发送认证请求;
(4)车载单元验证边缘服务器真实性:车载单元验证边缘服务器的真实性,如果身份信息是真实的,车载单元和期望被访问的车联网设备之间协商会话钥,保证通信双方进行信息传输的安全性;
所述步骤三中的设备认证阶段还包括:
部署在系统中的OBU发出通信请求访问某个车联网设备,边缘服务器协助车联网设备间在边缘网络中进行相互身份验证;在所有的认证条件都满足的情况下允许设备接入网络并建立会话密钥从而进行信息交互,认证过程如下:(1)边缘服务器验证车载单元真实性:OBU通过创建交易T3=OBUIK(ESIK(OBUPK,OBUID,OBUT),RSUID发起通信请求,T3的值通过相关的ES发送到区块链上以供验证;ES应用OBU的公钥提取认证证书TKOBU和它希望通信的RSU的ID(RSUID),并触发智能合约验证接收到的数据包的合法性;智能合约验证区块链上存储的用户伪身份信息OBUPID是否对应,并检查消息中给出的OBUID是否存在;如果OBUID在区块链中不存在,则认证过程终止并产生错误反馈;若认证成功,边缘服务器则将{TKOBU,Tnew}传给期望通信的RSU;
(2)车联网设备验证边缘服务器真实性:智能合约验证给定映射(OBUPK,OBUID,OBUT);如果映射出现无效或没有在区块链中定义,则不允许通信;智能合约检查给定的OBUPK是否有效,将给定的OBUPK与注册时存储的设备公钥进行比较;如果给定的OBUPK无效,则设备认证失败;验证给定的Tnew;如果时间戳的值在被允许的时间范围内,则验证通过,否则验证不通过;
(3)边缘服务器验证车联网设备真实性:智能合约验证RSUID是否存在于区块链中,不存在同样无法建立通信连接;如果身份信息是真实的,则向车载单元发送确认信息;
(4)车载单元验证边缘服务器真实性:智能合约检查边缘服务器的ID是否存在于区块链中并验证其公钥的存在性与真实性,如果均合理,则验证通过,否则验证不通过;验证步骤均执行通过后,确定RSU与OBU的真实性,建立RSU与OBU的相互信任,从而允许双方相互访问并进行安全通信。
2.如权利要求1所述车联网访问控制方法,其特征在于,所述步骤一中的初始化阶段包括:
为网络中的每一实体计算标识,该标识由名称和媒体访问控制MAC地址的散列结果组成;由于每个实体在互联网中均有且仅有一个的MAC地址,进行哈希后的结果唯一标识对应实体;在计算出标识后,通过标识符为每一实体生成公‑私钥对,并存储在分布式账本中;
边缘服务器使用私钥为对应的设备签名,计算得到的令牌包含边缘服务器ID及智能设备ID的映射,对于每个设备均是唯一的;初始化过程中产生的相关实体初始化信息以交易的形式打包成区块,在网络共识过程完成后被附加到区块链的末端,所述信息将于后期实体在区块链网络上注册和认证时,被提取出来用于辅助验证。
3.一种应用如权利要求1~2任意一项所述车联网访问控制方法的车联网访问控制系统,其特征在于,所述车联网访问控制系统包括:注册权威RA,是完全可信的第三方权威机构,用于系统初始化、部署智能合约及注册设备;
车载单元OBU,配备于车辆上,通过无线通信技术协助车辆与车辆或RSU等其他各方进行信息交流,OBU拥有通信、计算和存储数据的能力;
路侧单元RSU,是位于路边的道路基础设施,视作为车辆提供路况安全、餐饮娱乐的各类服务信息的通信节点,用于实时接收来自车辆的消息,并在消息通过验证后传输给有需要的其他方,RSU部署在边缘网络中;
边缘服务器ES,用于承担为车辆提供计算和存储资源的责任,将资源用于支持要求实时同步数据的服务;边缘服务器部署在边缘网络中,在路侧单元附近,与路侧单元同属于边缘节点;
区块链网络,私有的区块链网络由多个边缘节点组成,所述边缘节点包含路侧单元和边缘服务器,用于直接读取区块链中的数据;区块链网络中还部署智能合约,设备在注册及认证阶段均需要访问智能合约验证身份,在车联网设备注册阶段产生的机密身份信息被存储到区块中。
4.一种计算机设备,其特征在于,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求1~2任意一项所述的车联网访问控制方法的步骤。
5.一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如权利要求1~2任意一项所述的车联网访问控制方法的步骤。
6.一种信息数据处理终端,其特征在于,所述信息数据处理终端用于实现如权利要求3所述车联网访问控制系统。