一种基于中央计算平台的路侧设备通信系统及方法

技术领域

本发明涉及车联网技术领域，尤其涉及一种基于中央计算平台的路侧设备通信系统及方法。

背景技术

随着车联网技术的发展，智能交通的应用也越来越广泛。在车联网技术为用户带来更加便利的智能化的出行体验的同时，也对通信的安全性提出了更高的要求。在车联网中，路侧设备和车辆、不同车辆之间都需要进行通信，通信消息是经过密钥的加密之后发送到消息接收方的，这样可以避免不法分子可以对通信消息进行窃听。

传统方案是通过企业自建的编码规则及加密策略对通信消息进行封装传输，导致企业间不同品牌间的通信策略不同而受阻。并且传统方案中车辆与路侧设备，云端的通信都是单侧通信，业务场景较少。

发明内容

针对上述技术问题，本发明提供了一种基于中央计算平台的路侧设备通信系统及方法，实现了车辆、路侧设备、云端的直连通信。

本发明的第一方面，提供一种基于中央计算平台的路侧设备通信系统，包括：证书机构，路侧设备，车载设备，GBA认证授权机构(通用认证机制GBA，General BootstrappingArchitecture)；

GBA认证授权机构，被配置为与所述路侧设备、所述车载设备进行双向身份认证，并在认证成功后向所述证书机构提供共享会话密钥；

所述证书机构，被配置为利用所述共享会话密钥与所述路侧设备、所述车载设备进行交互，并对所述路侧设备与所述车载设备之间的通讯进行认证加密；

所述路侧设备与所述车载设备之间进行短距离通信，所述短距离通信的内容包括明文数据和/或处理安全协议数据包所需的数据。

可选地，所述GBA认证授权机构与所述证书机构被设置于云端，所述车载设备被配置于中央计算平台。

可选地，所述证书机构还被配置为基于所述路侧设备、所述车载设备通过所述GBA认证授权机构发出的请求，向所述路侧设备、所述车载设备发送注册证书。

可选地，所述证书机构包括：

注册证书更新单元，被配置为基于所述路侧设备或所述车载设备的请求实现所述注册证书的更新业务；

应用证书单元，被配置为响应所述路侧设备或所述车载设备基于所述注册证书的应用证书的申请或更新的请求，实现所述注册证书的发放或更新的业务。

可选地，所述的基于中央计算平台的路侧设备通信系统，还包括数字加密模块，所述数字加密模块装载于所述路侧设备、所述车载设备；所述数字加密模块包括：

安全数据处理单元，被配置为根据车联网应用的逻辑生成明文数据，并向安全服务单元发送安全服务请求，用以获得数字签名或数据加密的安全服务；

安全服务单元，被配置为响应于所述安全数据处理单元的安全服务请求，执行数字签名或数据加密的安全操作。

可选地，所述路侧设备与所述车载设备进行短距离通信时，其中一个为发送方另一个为接收方，被配置为按照以下方式执行通信：

发送方的安全数据处理单元向发送方的安全服务单元发送安全服务请求，发送方的安全服务单元将安全操作的结果封装在安全协议数据包返回至所述发送方的安全数据处理单元，所述发送方的安全数据处理单元基于所述安全协议数据包和应用逻辑生成安全消息并广播；

接收方的安全数据处理单元接收所述安全消息并向所述接收方的安全服务单元发送安全服务请求，接收方的安全服务单元获取明文数据和/或处理安全协议数据包所需的数据并反馈至所述接收方的安全数据处理单元。

本发明的第二方面，提供一种基于中央计算平台的路侧设备通信方法，应用于本发明的第一方面所述的基于中央计算平台的路侧设备通信系统，包括：

车载设备、路侧设备分别与GBA认证授权机构进行双向身份认证，所述GBA认证授权机构基于USIM中的用户标识及根密钥与车载设备、路侧设备完成双向身份认证；

所述GBA认证授权机构完成双向身份认证后为证书机构提供与车载设备、路侧设备建立安全关联的共享会话密钥；

所述证书机构利用所述共享会话密钥与所述路侧设备、所述车载设备进行交互，并对所述路侧设备与所述车载设备之间的通讯进行认证加密；

所述路侧设备与所述车载设备之间基于所述证书机构的认证加密进行短距离通信。

可选地，所述路侧设备与所述车载设备进行短距离通信时，其中一个为发送方另一个为接收方，被配置为按照以下方式执行通信：

发送方的安全数据处理单元向发送方的安全服务单元发送安全服务请求，发送方的安全服务单元将安全操作的结果封装在安全协议数据包返回至所述发送方的安全数据处理单元，所述发送方的安全数据处理单元基于所述安全协议数据包和应用逻辑生成安全消息并广播；

接收方的安全数据处理单元接收所述安全消息并向所述接收方的安全服务单元发送安全服务请求，接收方的安全服务单元获取明文数据和/或处理安全协议数据包所需的数据并反馈至所述接收方的安全数据处理单元。

本发明的第三方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被计算机运行时，执行本发明的第二方面所述的方法。

本发明的第四方面，提供一种路侧设备通信系统，包括：云端服务器、车辆、路侧设备；

所述云端服务器，用于与所述路侧设备、所述车辆进行双向身份认证，并在认证成功后向所述路侧设备、所述车辆提供共享会话密钥，利用所述共享会话密钥与所述路侧设备、所述车辆进行交互，并对所述路侧设备与所述车辆之间的通讯进行认证加密；

所述车辆在所述路侧设备的覆盖范围内时，所述路侧设备与所述车辆之间进行短距离通信。

本发明通过GBA认证授权机构与证书机构为车辆与路侧设备通信提供了一体化架构的通信认证，可以实现可信证书链及身份的认证；利用共享会话密钥可以实现车辆、路侧设备、服务器之间的直连通信，保证了车辆在车联网中短距离通信的安全性的技术效果。

附图说明

图1为本发明实施例中一种基于中央计算平台的路侧设备通信系统的模块示意图；

图2为本发明实施例中车辆、路侧设备通信系统架构框图；

图3为本发明实施例中证书管理系统的架构框图；

图4为本发明实施例中车载设备与路侧设备通信的交互示意图；

图5为本发明实施例中一种基于中央计算平台的路侧设备通信方法的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

车联网主要指车辆上的车载设备通过无线通信技术，对信息网络平台中的所有车辆动态信息进行有效利用，在车辆运行中提供不同的功能服务。例如，车联网能够为车与车之间的间距提供保障，降低车辆发生碰撞事故的几率；车联网可以帮助车主实时导航，并通过与其它车辆和网络系统的通信，提高交通运行的效率。其中路侧设备RSU（Road SideUnit）和车载设备OBU(On Board Unit)可以实现对于车与车、车与交通指示设备的通信。通过路侧设备RSU与车载设备OBU之间的通信建立，使得机动车辆在行驶情况下与路侧设备RSU的数据交换。

请参阅图1所示，本发明提供的基于中央计算平台的路侧设备通信系统，包括：证书机构11，GBA认证授权机构12，车载设备13，路侧设备14。其中，所述GBA认证授权机构与所述证书机构被设置于云端，所述车载设备被配置于中央计算平台。当然，在一些可以实现的实施例中，所述GBA认证授权机构与所述证书机构也可以被设置本地端，具体根据使用需求而定。本发明基于云端设置进行举例，用以实现统一的云管端一体化架构和可信证书链及身份认证系统，解决直连通信存在的障碍，保障基于网联通信的碰撞预警等应用业务落地。具体的：

GBA认证授权机构12，被配置为与所述路侧设备、所述车载设备进行双向身份认证，并在认证成功后向所述证书机构提供共享会话密钥；

所述证书机构11，被配置为利用所述共享会话密钥与所述路侧设备、所述车载设备进行交互，并对所述路侧设备与所述车载设备之间的通讯进行认证加密；

所述路侧设备14与所述车载设备13之间进行短距离通信，所述短距离通信的内容包括明文数据和/或处理安全协议数据包所需的数据。

如图2所示，证书机构向路侧设备、车载设备以及服务提供商（VSP，V2X ServiceProvider）提供证书，路侧设备通过证书与车载设备提供安全通信保证，服务提供商也基于证书与路侧设备进行交互消息。由图中可知，路侧设备的实体包括有交通设置、电子标志，在其他实施例中，还包括其他车辆，如图中车载设备之间的信息交互。路侧设备的服务包括信息发布与信息交互，可以与车载设备安全通信，例如道路状态的信息发布、通行的禁止、提醒注意的信息交互等。

所述车载设备安装在车辆上，通过V2X技术实现通信交互，所述车载设备数据发送时，车载设备使用与证书机构签发的数字证书对应的私钥对其播发的信息进行数字签名和/或使用数据接收方证书对数据进行加密；所述车载设备数据接收时，车载设备使用发送方的公钥对消息进行验证和/或使用本地私钥对加密消息进行解密。

所述路侧设备安装在路侧交通控制设备或交通信息发布的设备中，负责通过V2X技术实现与车载设备通信。所述路侧设备数据发送时，路侧设备使用与证书机构签发的数字证书对应的私钥对其播发的信息进行数字签名和/或使用数据接收方证书对数据进行加密；所述路侧设备数据接收时，路侧设备使用发送方的公钥对消息进行验证和/或使用本地私钥对加密消息进行解密。

在所述路侧设备与所述车载设备之间进行短距离通信时，所述短距离通信的内容包括明文数据和/或处理安全协议数据包所需的数据。其中处理安全协议数据包所需的数据如公钥证书等。

进一步地，本发明提供的基于中央计算平台的路侧设备通信系统还包括服务提供商的安全设备，其是负责道路交通的管理机构或在车联网系统里提供某种商业服务的服务机构。服务提供商的安全设备数据发送时，VSP（V2X Service Provider，服务提供商）使用与CA签发给它的数字证书对应的私钥对其播发的信息进行数字签名和/或使用数据接收方证书对数据进行加密；服务提供商的安全设备数据接收时，VSP使用发送方的公钥对消息进行验证和/或使用本地私钥对加密消息进行解密。VSP需要通过具有转发能力的路侧设备进行安全消息的发送和接收。

所述车载单元包括V2X设备，利用LTE-V2X车联网通信技术实现证书的申请。所述证书机构还被配置为基于所述路侧设备、所述车载设备通过所述GBA认证授权机构发出的请求，向所述路侧设备、所述车载设备发送注册证书。

见图3所示，为证书管理的架构示意图。所示证书管理的架构基于公钥基础设施实现，包括注册证书机构、应用证书机构、假名证书机构，异常行为服务管理机构，其中C1、C2、C3……C11表示通信路径，并不限制先后顺序；根证书机构通过中间证书机构加密后分发根证书。在图3中可见，有多种证书机构分别基于不同的证书授权机构实现，其中包括了假名证书机构，以及CRL服务（证书吊销），对于失效证书进行处理。图中各逻辑实体可以根据实际设备开发及部署需要合设或者分设，并可以根据政策法规，行业监管要求和业务运营需要，由不同机构分层分级部署、管理和运营。

在一些实施例中，证书机构包括：

注册证书更新单元，被配置为基于所述路侧设备或所述车载设备的请求实现所述注册证书的更新业务；

应用证书单元，被配置为响应所述路侧设备或所述车载设备基于所述注册证书的应用证书的申请或更新的请求，实现所述注册证书的发放或更新的业务。

示例地，证书申请主体所述路侧设备、所述车载设备通过GBA认证授权机构申请获取EC注册证书，之后基于EC注册证书申请LTE-V2X安全通信相关的其他应用数字证书（如PC假名证书，AC应用证书）。

首先GBA认证授权机构与证书机构建立起安全的通信通道，以确保两者之间数据交互的安全性。在申请EC注册证书时，GBA认证授权机构基于USIM中的用户标识及根密钥与所述路侧设备、所述车载设备进行双向身份认证，认证成功后为证书机构提供与所述路侧设备、所述车载设备建立安全关联的GBA共享会话密钥。凭借GBA共享会话密钥，所述路侧设备、所述车载设备可与证书机构安全交互，在线实现EC证书申请、更新等业务处理。

在申请PC假名证书，AC应用证书等其他应用证书时，PCA、ACA等证书机构通过访问GBA认证授权系统来对所述路侧设备、所述车载设备进行身份认证并对终端的业务请求获取授权。认证授权成功后，GBA认证授权机构向证书机构提供GBA共享会话密钥。所述路侧设备、所述车载设备凭借GBA共享会话密钥可安全接入证书机构，并使用EC注册证书实现PC假名证书，AC应用证书等应用证书的申请、更新等操作。

进一步地，所述的基于中央计算平台的路侧设备通信系统，还包括数字加密模块，所述数字加密模块装载于所述路侧设备、所述车载设备；所述数字加密模块包括：

安全数据处理单元，被配置为根据车联网应用的逻辑生成明文数据，并向安全服务单元发送安全服务请求，用以获得数字签名或数据加密的安全服务；安全服务单元，被配置为响应于所述安全数据处理单元的安全服务请求，执行数字签名或数据加密的安全操作。

基于上述数字加密模块，所述路侧设备与所述车载设备进行短距离通信时，其中一个为发送方另一个为接收方，被配置为按照以下方式执行通信：

发送方的安全数据处理单元向发送方的安全服务单元发送安全服务请求，发送方的安全服务单元将安全操作的结果封装在安全协议数据包返回至所述发送方的安全数据处理单元，所述发送方的安全数据处理单元基于所述安全协议数据包和应用逻辑生成安全消息并广播；接收方的安全数据处理单元接收所述安全消息并向所述接收方的安全服务单元发送安全服务请求，接收方的安全服务单元获取明文数据和/或处理安全协议数据包所需的数据并反馈至所述接收方的安全数据处理单元。

示例地，见图4，车载设备的SDPF（Secure Data Processing Function，安全数据处理单元）依据某个车联网应用逻辑生成明文数据，并向本地SSF（Security ServiceFunction，安全服务单元）发送安全服务请求，以便获得后者为其提供数字签名或数据加密等安全服务。服务请求中包含有明文数据和/或处理安全协议数据包所需的数据，例如公钥证书等。

车载设备的SSF根据安全服务请求执行相应的安全操作，例如数据签名或数据加密等。SSF将安全操作的结果封装在SPDU（Secured Protocol Data Unit，安全协议数据包）中，然后将该SPDU通过安全服务响应返回给SDPF。车载设备的SDPF依据SSF生成的SPDU和应用逻辑生成应用特定格式的安全消息，例如主动安全消息。车载设备的SDPF将生成的安全消息广播出去。

路侧设备的SDPF依据应用逻辑从接收到的安全消息中获得SPDU。路侧设备的SDPF向本地SSF发送安全服务请求，以便获得后者为其提供签名验证或数据解密等安全服务。服务请求中包含有SPDU和/或处理安全协议数据包所需的数据，例如公钥证书等。路侧设备的SSF根据安全服务请求执行相应的安全操作，例如验证签名或解密数据等，然后将安全服务结果通过安全服务响应返回给SDPF。

通过上述实施例可知，本发明先由GBA认证授权机构与证书机构建立安全通信，并由GBA认证授权机构提供GBA共享会话密钥，然后所述路侧设备、所述车载设备两个终端基于上述GBA共享会话密钥可以完成证书的申请与更新，同时，所述路侧设备、所述车载设备、云端、服务提供商之间可以进行直连通信，相对于现有技术中单侧通信，本发明缩短了通信安全通信的过程，也可以保证车辆在车联网中短距离通信的安全性的技术效果，因此可以支撑更多的业务功能的实现。

应当理解的是，上述实施例车载设备为发送方，路侧设备为接收方；在其他实施例中，路侧设备作为发送方，车载设备为接收方，同样适用。

如图5所示，本发明还提供一种基于中央计算平台的路侧设备通信方法，应用于上述的基于中央计算平台的路侧设备通信系统，包括以下步骤：

步骤510：车载设备、路侧设备分别与GBA认证授权机构进行双向身份认证，所述GBA认证授权机构基于USIM中的用户标识及根密钥与车载设备、路侧设备完成双向身份认证；

步骤520：所述GBA认证授权机构完成双向身份认证后为证书机构提供与车载设备、路侧设备建立安全关联的共享会话密钥；

步骤530：所述证书机构利用所述共享会话密钥与所述路侧设备、所述车载设备进行交互，并对所述路侧设备与所述车载设备之间的通讯进行认证加密；

步骤540：所述路侧设备与所述车载设备之间基于所述证书机构的认证加密进行短距离通信。

进一步地，所述路侧设备与所述车载设备进行短距离通信时，其中一个为发送方另一个为接收方，被配置为按照以下方式执行通信：

发送方的安全数据处理单元向发送方的安全服务单元发送安全服务请求，发送方的安全服务单元将安全操作的结果封装在安全协议数据包返回至所述发送方的安全数据处理单元，所述发送方的安全数据处理单元基于所述安全协议数据包和应用逻辑生成安全消息并广播；

接收方的安全数据处理单元接收所述安全消息并向所述接收方的安全服务单元发送安全服务请求，接收方的安全服务单元获取明文数据和/或处理安全协议数据包所需的数据并反馈至所述接收方的安全数据处理单元。

本发明还提供一种路侧设备通信系统，具体可参照本发明关于基于中央计算平台的路侧设备通信系统的描述。所述路侧设备通信系统包括：云端服务器、车辆、路侧设备；

所述云端服务器，用于与所述路侧设备、所述车辆进行双向身份认证，并在认证成功后向所述路侧设备、所述车辆提供共享会话密钥，利用所述共享会话密钥与所述路侧设备、所述车辆进行交互，并对所述路侧设备与所述车辆之间的通讯进行认证加密；

所述车辆在所述路侧设备的覆盖范围内时，所述路侧设备与所述车辆之间进行短距离通信。

本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储计算机程序，所述计算机程序被处理器执行时实现上述基于中央计算平台的路侧设备通信方法。

可以理解，计算机可读存储介质可以包括：能够携带计算机程序的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器 (ROM ，Read-OnlyMemory)、随机存取存储器（RAM，Random Access Memory)、以及软件分发介质等。计算机程序包括计算机程序代码。计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读存储介质可以包括：能够携带计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器（ROM，Read-OnlyMemory)、随机存取存储器（RAM，Random Access Memory)、以及软件分发介质等。

在本发明的某些实施方式中，装置可以包括控制器，控制器是一个单片机芯片，集成了处理器、存储器，通信模块等。处理器可以是指控制器包含的处理器。处理器可以是中央处理单元（Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器（Digital Signal Processor，DSP)、专用集成电路（Application Specific IntegratedCircuit，ASIC)、现成可编程门阵列（Field-Programmable Gate Array，FPGA）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明地优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各实例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。