一种通讯方法、系统、设备及介质

技术领域

本申请涉及车联网技术领域，具体涉及一种通讯方法、系统、设备及介质。

背景技术

随着智能汽车技术的不断发展，智能汽车上的车载模块越来越多，这些车载模块在车内通常通过以太网络进行连接，同时这些车载模块都可能有需要访问车云平台的需求。但现在存在某辆车的车载模块冒充另一辆车的车载模块与车云平台进行通讯的问题。

发明内容

鉴于以上所述现有技术的缺点，本发明提供一种通讯方法、系统、设备及介质，以解决上述技术问题。

本发明提供的一种通讯方法，所述方法包括：

车载主联网模块基于车云平台与车载主联网模块之间建立的双向认证通讯通道向车云平台发送携带有请求参数的第一访问请求，以获取认证令牌；所述认证令牌是在车云平台对所述请求参数进行校验，且在校验通过后由车云平台生成；

车载模块向所述车载主联网模块获取认证令牌，并通过车载模块与车云平台之间建立的单向认证通讯通道向所述车云平台发送携带有认证令牌的第二访问请求；其中，所述车载模块在车云平台基于所述认证令牌对所述车载模块进行验证，且在验证通过后与所述车云平台之间建立通讯。

于本发明一实施例中，所述车云平台与所述车载主联网模块之间的双向认证通讯通道的建立方法，包括：

根据车载主联网模块中的客户端公钥证书、客户端私钥、服务端根证书以及车云平台中的客户端根证书、服务端公钥证书、服务端私钥，按照https协议建立双向认证通讯通道。

于本发明一实施例中，所述车载模块与车云平台之间的单向认证通讯通道的建立方法，包括：

根据车载模块中的服务端根证书与车云平台中的客户端根证书，基于https协议建立单向认证通道。

于本发明一实施例中，所述请求参数包括：由车载主联网模块的唯一标识、客户端公钥证书、车载主联网模块系统时间戳构构造的签名信息；车云平台对所述请求参数进行校验，包括：

利用预先存储在车云平台中的签名信息对所述请求参数进行验证；

在所述车云平台中的签名信息与所述请求参数中的签名信息一致时，校验通过。

于本发明一实施例中，所述对所述车载模块进行验证，包括：

在设定时间段内，判断车云平台的记录中是否存在认证令牌关联的车载主联网模块；

若存在，则验证通过。

于本发明一实施例中，所述车载模块向所述车载主联网模块获取认证令牌，包括：

车载模块通过车内局域网获取车载主联网模块的认证令牌。

本发明提供的一种通讯系统，所述系统包括：

车载主联网模块，用于基于与车云平台之间建立的双向认证通讯通道向车云平台发送携带有请求参数的第一访问请求，以获取认证令牌；所述认证令牌是在车云平台对所述请求参数进行校验，且在校验通过后由车云平台生成；

车载模块，用于向所述车载主联网模块获取认证令牌，并通过车载模块与车云平台之间建立的单向认证通讯通道向所述车云平台发送携带有认证令牌的第二访问请求；其中，所述车载模块在车云平台基于所述认证令牌对所述车载模块进行验证，且在验证通过后与所述车云平台之间建立通讯。

本发明提供的一种车载主联网模块，包括：

第一访问模块，用于基于与车云平台之间建立的双向认证通道向车云平台发送第一访问请求，以获取认证令牌；其中，所述第一访问请求携带有请求参数；

接收模块，用于接收认证令牌，以供车载模块获取；其中，所述认证令牌是在车云平台对请求参数进行校验，且在校验通过后由车云平台生成。

本发明提供的一种车载模块，包括：

令牌获取模块，用于从所述的车载主联网模块获取认证令牌；

第二访问模块，用于通过与车云平台之间建立的单向认证通讯通道向车云平台发送第二访问请求，所述第二访问请求携带认证令牌；

通讯建立模块，用于在车云平台基于所述认证令牌对所述车载模块进行验证且验证通过后与所述车云平台之间建立通讯。

本发明提供的一种电子设备，所述电子设备包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述电子设备实现所述的通讯方法的步骤。

本发明提供的一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序被计算机的处理器执行时，使计算机执行上述通讯方法的步骤。

本发明的有益效果：本发明中的一种通讯方法，包括：车载主联网模块基于车云平台与车载主联网模块之间建立的双向认证通讯通道向车云平台发送携带有请求参数的第一访问请求，以获取认证令牌；所述认证令牌是在车云平台对所述请求参数进行校验，且在校验通过后由车云平台生成；车载模块向所述车载主联网模块获取认证令牌，并通过车载模块与车云平台之间建立的单向认证通讯通道向所述车云平台发送携带有认证令牌的第二访问请求；其中，所述车载模块在车云平台基于所述认证令牌对所述车载模块进行验证，且在验证通过后与所述车云平台之间建立通讯。在本发明中，在完成车载主联网模块与车云平台之间的通讯后，通过车载模块获取认证令牌完成车载模块与车云平台之间的通讯，不用在车载模块内置客户端公钥证书和私钥，这样可以以较低的成本且安全的来解决多个车载模块与车云平台进行互信通讯问题。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术者来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：

图1是本申请的一示例性实施例示出的通讯方法的实施环境示意图；

图2是本申请的一示例性实施例示出的通讯方法的流程图；

图3是本申请的一示例性实施例示出的车云平台对所述请求参数进行校验的流程图；

图4是本申请的一示例性实施例示出的通讯系统的结构图；

图5是本申请的一示例性实施例示出的一种车载主联网模块的示意图；

图6是本申请的一示例性实施例示出的一种车载模块的示意图；

图7示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。

具体实施方式

以下将参照附图和优选实施例来说明本发明的实施方式，本领域技术人员可由本说明书中所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。应当理解，优选实施例仅为了说明本发明，而不是为了限制本发明的保护范围。

需要说明的是，以下实施例中所提供的图示仅以示意方式说明本发明的基本构想，遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制，其实际实施时各组件的型态、数量及比例可为一种随意的改变，且其组件布局型态也可能更为复杂。

在下文描述中，探讨了大量细节，以提供对本发明实施例的更透彻的解释，然而，对本领域技术人员来说，可以在没有这些具体细节的情况下实施本发明的实施例是显而易见的，在其他实施例中，以方框图的形式而不是以细节的形式来示出公知的结构和设备，以避免使本发明的实施例难以理解。

图1是本申请一种示例性通讯方法实施环境的示意图。请参阅图1，该实施环境中包括车载模块101、车载主联网模块102、车云平台103，车载模块101、车载主联网模块102、车云平台103之间进行数据交互。在建立通讯进行数据交互时，车载主联网模块向车云平台发送第一访问请求，以获取认证令牌；其中，所述第一访问请求携带有请求参数；车云平台接收并响应所述第一访问请求，对所述请求参数进行校验；在校验通过后，车云平台生成认证令牌，并记录认证令牌与车载主联网模块的关联关系；车载模块获取认证令牌，并向所述车云平台发送第二访问请求，所述第二访问请求携带认证令牌；车云平台基于所述认证令牌对所述车载模块进行验证；在验证通过后，实现所述车载模块与所述车云平台之间的通讯。

应该理解，图1中的车载模块101的数目仅仅是示意性的。根据实际需要，可以具有任意数目的车载模块101。

本申请的实施例分提出一种通讯方法、一种通讯系统、一种电子设备、一种计算机可读存储介质，以下将对这些实施例进行详细描述。

请参阅图2，图2是本申请的一示例性实施例示出的通讯方法的流程图。该方法可以应用于图1所示的实施环境。应理解的是，该方法也可以适用于其它的示例性实施环境，并由其它实施环境中的设备具体执行，本实施例不对该方法所适用的实施环境进行限制。

在对本申请中的通讯方法进行详细介绍前，先对车载模块、车载主联网模块、车云平台进行介绍。

车载主联网模块，是特殊的车载模块，通常是智能汽车中内置运营商SIM(用户识别模块，SubscriberIdentityModule)卡的可联网模块，可以是T-BOX(T-BOX是TelematicBOX的英文缩写，一般指车联网系统中的智能车载终端。简单理解就是:T-BOX是数据采集的主要方式之一)、OBD(OBD一般指车载自诊断系统，OBD是英文On-BoardDiagnostics的缩写，中文翻译为“车载自动诊断系统)等。车载主联网模块可以通过SIM卡提供的网络，接入到互联网与外部进行通讯。

本发明中的车载主联网模块中，内置了进行https双向认证通讯需要用到的客户端公钥证书、客户端私钥、服务端根证书。其中，客户端公钥证书、客户端私钥会存储在加密芯片等安全存储设施中，避免外部可以直接读取。

每一个车载主联网模块，都有一个唯一标识，设为TUID；每一个车载主联网模块的客户端公钥证书都是唯一的。即任意两个车载主联网模块的TUID、客户端公钥证书均不相同。每辆智能汽车上只有一个车载主联网模块。每个车载主联网模块中的服务端根证书都一样，用于验证所访问的服务端是否为受信任的服务端，验证方式为基于https验证服务端证书是否由该服务端根证书签发。每个车载主联网模块中的客户端公钥证书、客户端私钥为全局唯一；车载主联网模块生产后，会将其TUID和客户端公钥证书在车云平台备案。

车载模块，智能汽车内通常有多个车载模块。区别于车载主联网模块，车载模块通常只需要内置服务端根证书，不需要具备唯一标识TUID，不需要内置SIM卡，也不需要内置客户端公钥证书和客户端私钥，即节约了SIM卡以及存储证书、私钥需要使用的安全存储设施。车内的车载主联网模块、车载模块(多个)，通过车内以太网依托DHCP(DynamicHostConfigurationProtocol，动态主机配置协议)等组网技术可组成车内局域网。车载主联网模块基于车内局域网，可以为其他车载模块提供访问互联网的路由；即其他车载模块通过车载主联网模块提供的路由可以访问互联网。

车云平台，车企为智能汽车提供在线云服务的服务器平台或服务器集群。车云平台中内置车载主联网模块的客户端根证书、服务端公钥证书、服务端私钥。其中，客户端根证书用于验证访问车云平台的车载联网模块是否为受信任的客户端，验证方式为基于https验证客户端证书是否由该客户端根证书签发。

请参阅图2，图2为本申请一示例性的一种通讯方法的流程图，该通讯方法至少包括步骤S210至步骤S220，详细介绍如下：

步骤S210，车载主联网模块基于车云平台与车载主联网模块之间建立的双向认证通讯通道向车云平台发送携带有请求参数的第一访问请求，以获取认证令牌；所述认证令牌是在车云平台对所述请求参数进行校验，且在校验通过后由车云平台生成；

在一实施例中，所述车云平台与所述车载主联网模块之间的双向认证通讯通道的建立方法，包括：

根据车载主联网模块中的客户端公钥证书、客户端私钥、服务端根证书以及车云平台中的客户端根证书、服务端公钥证书、服务端私钥，按照https协议建立双向认证通讯通道。

具体地，车载主联网模块访问车云平台时，使用其客户端公钥证书、客户端私钥、服务端根证书，车云平台使用客户端根证书、服务端公钥证书、服务端私钥，按照https协议建立双向认证通讯通道，此时，车载主联网模块认为车云平台可信。https双向认证可使用国际通用的RSA、AES算法，或国密算法SM1、SM2等。https双向认证通讯通道建立后，车云平台相对车载主联网模块是可信任的服务端。

在一实施例中，所述请求参数包括：由车载主联网模块的唯一标识、客户端公钥证书、车载主联网模块系统时间戳构构造的签名信息。请参阅图3，图3为本申请一示例性实施例示出的车云平台对所述请求参数进行校验的流程图。在图3中，所述车云平台对所述请求参数进行校验，包括：

S310，利用预先存储在车云平台中的签名信息对所述请求参数进行验证；

S320，在所述车云平台中的签名信息与所述请求参数中的签名信息一致时，校验通过。

在车载主联网模块和车云平台建立双向认证通讯通道后，车载主联网模块，访问车云平台请求获取认证令牌，请求参数包括由车载主联网模块的唯一标识、客户端公钥证书、车载主联网模块系统时间戳构构造的签名信息。

进一步的，车云平台接收到第一访问请求后，校验请求参数的TUID和签名信息，若校验通过，则完成了车云平台对该车载主联网模块的唯一识别，从而实现了车载主联网模块与车云平台的双向互信。

在车云平台完成对车载主联网模块的认证后，车云平台为该车载主联网模块生成唯一认证令牌authToken，记录authToken与TUID的关系，即认证令牌与车载主联网模块的关联关系，并返回给车载主联网模块进行缓存。该认证令牌将在一段时间内有效(如30分钟)。

步骤S220，车载模块向所述车载主联网模块获取认证令牌，并通过车载模块与车云平台之间建立的单向认证通讯通道向所述车云平台发送携带有认证令牌的第二访问请求；其中，所述车载模块在车云平台基于所述认证令牌对所述车载模块进行验证，且在验证通过后与所述车云平台之间建立通讯。

在一实施例中，车载模块向所述车载主联网模块获取认证令牌，包括：车载模块通过车内局域网获取车载主联网模块的认证令牌。

在一实施例中，所述车载模块与车云平台之间的单向认证通讯通道的建立方法，包括：根据车载模块中的服务端根证书与车云平台中的客户端根证书，基于https协议建立单向认证通道。

车内其他任一车载模块需要与车云平台进行通讯时，首先，通过车内以太网向车载主联网模块请求authToken。

车内其他任一车载模块在获取到authToken后，在authToken有效期内，通过车载主联网模块提供的互联网路由，与车云平台建立https单向认证通讯通道。

具体地，每个车载模块中的服务端根证书都一样，在建立https单向认证通道时，车载模块使用服务端根证书验证车云平台是否为受信任的服务端，验证方式为基于https验证服务端证书是否由该服务端根证书签发。

在一实施例中，所述对所述车载模块进行验证，包括：

在设定时间段内，判断车云平台的记录中是否存在认证令牌关联的车载主联网模块；若存在，则验证通过。

车云平台收到车载模块第二访问请求时，对车载模块进行验证，验证authToken是否有效，验证方式为从车云平台的记录中获取authToken关联的TUID，若能获取到TUID，则authToken有效，从而车云平台完成对车载模块所关联的车载主联网模块的唯一识别，从而实现了车内任一车载模块与车云平台的双向互信通讯。

在本发明中，在完成车载主联网模块与车云平台之间的通讯后，通过车载模块获取认证令牌完成车载模块与车云平台之间的通讯，不用在车载模块内置客户端公钥证书和私钥，这样可以以较低的成本且安全的来解决多个车载模块与车云平台进行互信通讯问题。

如图4所示，本申请提供一种通讯系统，所述系统包括：车载主联网模块、车载模块；

车载主联网模块410，用于基于与车云平台之间建立的双向认证通讯通道向车云平台发送携带有请求参数的第一访问请求，以获取认证令牌；所述认证令牌是在车云平台对所述请求参数进行校验，且在校验通过后由车云平台生成；

车载模块420，用于向所述车载主联网模块获取认证令牌，并通过车载模块与车云平台之间建立的单向认证通讯通道向所述车云平台发送携带有认证令牌的第二访问请求；其中，所述车载模块在车云平台基于所述认证令牌对所述车载模块进行验证，且在验证通过后与所述车云平台之间建立通讯。

需要说明的是，上述实施例所提供的通讯系统与上述实施例所提供的通讯方法属于同一构思，其中各个模块和单元执行操作的具体方式已经在方法实施例中进行了详细描述，此处不再赘述。上述实施例所提供的通讯系统在实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能，本处也不对此进行限制。

请参阅图5，图5为本申请一示例性实施例示出的一种车载主联网模块的示意图。在图5中，所述车载主联网模块包括：

第一访问模块510，用于基于与车云平台之间建立的双向认证通道向车云平台发送第一访问请求，以获取认证令牌；其中，所述第一访问请求携带有请求参数；

接收模块520，用于接收认证令牌，以供车载模块获取；其中，所述认证令牌是在车云平台对请求参数进行校验，且在校验通过后由车云平台生成。

请参阅图6，图6为本申请一示例性实施例示出的一种车载模块的示意图。

在图6中，所述车载模块包括：

令牌获取模块610，用于从如图5所示的车载主联网模块获取认证令牌；

第二访问模块620，用于通过与车云平台之间建立的单向认证通讯通道向车云平台发送第二访问请求，所述第二访问请求携带认证令牌；

通讯建立模块630，用于在车云平台基于所述认证令牌对所述车载模块进行验证且验证通过后与所述车云平台之间建立通讯。

本申请的实施例还提供了一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述电子设备实现上述各个实施例中提供的通讯方法。

图7示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。需要说明的是，图7示出的电子设备的计算机系统700仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图7所示，计算机系统700包括中央处理单元(CentralProcessingUnit，CPU)701，其可以根据存储在只读存储器(Read-OnlyMemory，ROM)702中的程序或者从储存部分708加载到随机访问存储器(RandomAccessMemory，RAM)703中的程序而执行各种适当的动作和处理，例如执行上述实施例中所述的方法。在RAM703中，还存储有系统操作所需的各种程序和数据。CPU701、ROM702以及RAM703通过总线704彼此相连。输入/输出(Input/Output，I/O)接口705也连接至总线704。

以下部件连接至I/O接口705：包括键盘、鼠标等的输入部分706；包括诸如阴极射线管(CathodeRayTube，CRT)、液晶显示器(LiquidCrystalDisplay，LCD)等以及扬声器等的输出部分707；包括硬盘等的储存部分708；以及包括诸如LAN(LocalAreaNetwork，局域网)卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器710上，以便于从其上读出的计算机程序根据需要被安装入储存部分708。

特别地，根据本申请的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本申请的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的计算机程序。在这样的实施例中，该计算机程序可以通过通信部分709从网络上被下载和安装，和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(CPU)701执行时，执行本申请的系统中限定的各种功能。

需要说明的是，本申请实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(ErasableProgrammableReadOnly Memory，EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(CompactDisc Read-OnlyMemory，CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的计算机程序。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的计算机程序可以用任何适当的介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。其中，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本申请实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现，所描述的单元也可以设置在处理器中。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定。

本申请的另一方面还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被计算机的处理器执行时，使计算机执行如前所述的通讯方法。该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的，也可以是单独存在，而未装配入该电子设备中。

本申请的另一方面还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述各个实施例中提供的通讯方法。

上述实施例仅示例性说明本发明的原理及其功效，而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下，对上述实施例进行修饰或改变。因此，但凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变，仍应由本发明的权利要求所涵盖。