CN112954643B - 直连通信认证方法、终端、边缘服务节点及网络侧设备 - Google Patents
直连通信认证方法、终端、边缘服务节点及网络侧设备 Download PDFInfo
- Publication number
- CN112954643B CN112954643B CN201911165325.4A CN201911165325A CN112954643B CN 112954643 B CN112954643 B CN 112954643B CN 201911165325 A CN201911165325 A CN 201911165325A CN 112954643 B CN112954643 B CN 112954643B
- Authority
- CN
- China
- Prior art keywords
- authentication
- internet
- session key
- vehicles
- service node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种直连通信认证方法、终端、边缘服务节点及网络侧设备,该方法包括:在车联网终端位于边缘服务节点的认证服务区内的情况下,通过所述边缘服务节点对所述车联网终端进行身份认证;获取所述边缘服务节点的认证服务区标识以及所述认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥;向位于所述认证服务区内的其他车联网终端发送直连消息,所述直连消息使用所述认证服务区标识进行标识,且使用所述第一会话密钥对所述直连消息进行完整性保护或数字签名;本发明实施例与蜂窝网边缘计算架构相结合,可利用边缘服务节点的服务能力实现区域性认证,充分发挥了蜂窝网络的技术优势,提升了车联网终端间的认证效率。
Description
技术领域
本发明涉及通信技术领域,尤其是指一种直连通信认证方法、终端、边缘服务节点及网络侧设备。
背景技术
目前,为了实现车联网直连通信终端之间的安全认证和安全通信,车联网系统主要使用基于公钥证书的PKI(Public Key Infrastructure,公钥基础设施)机制实现安全认证和安全通信。车联网终端在直连通信的过程中,采用CA(Certification Authority,认证中心)公钥对所传输的消息进行数字签名,实现终端合法身份的安全认证以及消息内容的安全认证。
为了解决车联网终端直连通信过程中的认证问题,车联网普遍采用了基于PKI的公钥密码体制,通过给车联网终端颁发CA证书来实现车联网终端之间的相互认证。这种方法较为成熟,且与蜂窝网络相互独立,容易直接部署落地应用。然而,这种方法需要依赖PKI公钥基础设施,在落地应用时存在PKI基础设施谁来部署、谁来管理、谁来运营、谁来维护等各方面的问题。在业务流程上,对于车联网终端存在CA证书初装、销毁等方面问题,增加了业务流程的复杂度。
另外,在车联网终端采用CA数字证书对消息进行签名认证的过程中,终端需进行非对称密码运算。从目前终端密码处理芯片的计算性能来看,一次验签运算通常需要几百毫秒,在时间性能方面较难达到车联网通信100毫秒的时延要求。
直连通信,即车与车、车与路侧设施(RSU)、车与人之间不经过蜂窝网络,而通过PC5/V5接口直接进行通信是车联网典型的通信场景之一。在此场景下,车辆与周围其他车辆、路侧设施、行人之间通信过程中,必须要求终端设备之间能够实现双向认证,对于所传输的数据应考虑完整性、机密性以及抗重放等方面的安全保护。
然而,车联网应用场景下,车辆、路侧设施、行人之间的关系是动态变化的。随着车辆位置的移动,终端设备周围的环境事物也时刻发生变化,已建立通信连接的终端随时都有可能离开,未建立通信连接的终端随时都可能加入,并且车联网终端之间相互陌生,没有相互信任的基础,这就给车联网终端之间的相互认证带来挑战。
上述基于PKI公钥基础设施采用CA数字证书的方法虽然能够解决直连通信终端间的认证问题,但是它存在部署、运营以及运算性能等方面的问题,需要能够优化解决。
除此之外,为了提高业务系统响应速率并提高用户业务应用体验,车联网系统业务服务设备可以根据需要在网络中灵活部署,可以下沉到接入网提供边缘计算服务能力。这种网络架构上的变化,势必增强网络侧的服务能力,可以为车联网终端提供更强大的服务能力。然而,基于PKI公钥基础设施的直连通信认证方法与蜂窝网无关,没能发挥网络侧的技术优势。
发明内容
本发明实施例的目的在于提供一种直连通信认证方法、终端、边缘服务节点及网络侧设备,以解决现有技术中直连通信认证方法与蜂窝网无关,没能发挥网络侧的技术优势的问题。
为了解决上述问题,本发明实施例提供一种车联网直连通信认证方法,应用于车联网终端,包括:
在所述车联网终端位于边缘服务节点的认证服务区内的情况下,通过所述边缘服务节点对所述车联网终端进行身份认证;
获取所述边缘服务节点的认证服务区标识以及所述认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥;
向位于所述认证服务区内的其他车联网终端发送直连消息,所述直连消息使用所述认证服务区标识进行标识,且使用所述第一会话密钥对所述直连消息进行完整性保护或数字签名。
其中,所述通过所述边缘服务节点对所述车联网终端进行身份认证,包括:
向所述边缘服务节点发送接入请求消息,所述接入请求消息中携带所述车联网终端的业务层标识;
接收所述边缘服务节点发送的引导程序初始化请求消息;
根据所述引导程序初始化请求消息执行引导程序认证过程,并向网络侧设备发送第一认证请求消息,所述第一认证请求消息中携带所述车联网终端的业务层标识;
接收所述网络侧设备发送的第二认证请求消息;
根据所述第二认证请求消息执行认证与密钥协商协议AKA认证流程,并验证所述网络侧设备的身份合法性,在验证成功后向所述网络侧设备发送第一认证响应消息;
接收所述网络侧设备在根据所述第一认证响应消息验证车联网终端的身份合法的情况下发送的第二认证响应消息。
其中,获取所述边缘服务节点的认证服务区标识以及所述认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥,包括:
生成第二会话密钥,所述第二会话密钥为车联网终端与所述边缘服务节点之间进行通信的会话密钥;
向所述边缘服务节点发送应用请求消息;
接收所述边缘服务节点发送的应用响应消息,所述应用响应消息中携带所述认证服务区标识和使用所述第二会话密钥对所述第一会话密钥进行加密之后得到的加密信息;
利用所述第二会话密钥对所述加密信息进行解密,得到所述第一会话密钥。
本发明实施例还提供一种车联网直连通信认证方法,应用于边缘服务节点,包括:
在车联网终端位于边缘服务节点的认证服务区内的情况下,对所述车联网终端进行身份认证;
向所述车联网终端发送认证服务区标识以及所述认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥。
其中,所述对所述车联网终端进行身份认证,包括:
接收所述车联网终端发送的接入请求消息,所述接入请求消息中携带所述车联网终端的业务层标识;
向所述车联网终端发送引导程序初始化请求消息;所述引导程序初始化请求消息用于指示所述车联网终端执行引导程序认证。
其中,向所述车联网终端发送认证服务区标识以及所述认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥,包括:
接收所述车联网终端发送的应用请求消息;
生成认证服务区标识,并使用第二会话密钥对所述第一会话密钥进行加密得到加密信息;其中,所述第二会话密钥为车联网终端与所述边缘服务节点之间进行通信的会话密钥;
向所述车联网终端发送应用响应消息,所述应用响应消息中携带所述认证服务区标识和所述加密信息。
本发明实施例还提供一种车联网直连通信认证方法,应用于网络侧设备,包括:
接收车联网终端发送的第一认证请求消息,所述第一认证请求消息中携带所述车联网终端的业务层标识;
根据所述车联网终端的业务层标识获取车联网终端认证向量,并向所述车联网终端发送第二认证请求消息;
接收所述车联网终端在验证所述网络侧设备的身份合法性之后发送的第一认证响应消息;
根据所述第一认证响应消息验证所述车联网终端的身份合法性,在验证成功后向所述车联网终端发送第二认证响应消息。
其中,所述验证成功后向所述车联网终端发送第二认证响应消息之后,所述方法还包括:
接收所述车联网终端所在的认证服务区对应的边缘服务节点发送的第三认证请求消息,所述第三认证请求消息中携带所述边缘服务节点的标识;
生成第二会话密钥;所述第二会话密钥为车联网终端与所述边缘服务节点之间进行通信的会话密钥;
向所述边缘服务节点发送第三认证响应消息,所述第三认证响应消息中携带所述第二会话密钥。
本发明实施例还提供一种车联网直连通信认证装置,应用于车联网终端,包括:
第一认证模块,用于在所述车联网终端位于边缘服务节点的认证服务区内的情况下,通过所述边缘服务节点对所述车联网终端进行身份认证;
获取模块,用于获取所述边缘服务节点的认证服务区标识以及所述认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥;
通信模块,用于向位于所述认证服务区内的其他车联网终端发送直连消息,所述直连消息使用所述认证服务区标识进行标识,且使用所述第一会话密钥对所述直连消息进行完整性保护或数字签名。
本发明实施例还提供一种车联网终端,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,所述处理器用于执行以下操作:
在所述车联网终端位于边缘服务节点的认证服务区内的情况下,通过所述边缘服务节点对所述车联网终端进行身份认证;
获取所述边缘服务节点的认证服务区标识以及所述认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥;
向位于所述认证服务区内的其他车联网终端发送直连消息,所述直连消息使用所述认证服务区标识进行标识,且使用所述第一会话密钥对所述直连消息进行完整性保护或数字签名。
本发明实施例还提供一种边缘服务节点,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,所述处理器用于执行以下操作:
在车联网终端位于边缘服务节点的认证服务区内的情况下,对所述车联网终端进行身份认证;
向所述车联网终端发送认证服务区标识以及所述认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥。
本发明实施例还提供一种网络侧设备,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,所述处理器用于执行以下操作:
接收车联网终端发送的第一认证请求消息,所述第一认证请求消息中携带所述车联网终端的业务层标识;
根据所述车联网终端的业务层标识获取车联网终端认证向量,并向所述车联网终端发送第二认证请求消息;
接收所述车联网终端在验证所述网络侧设备的身份合法性之后发送的第一认证响应消息;
根据所述第一认证响应消息验证所述车联网终端的身份合法性,在验证成功后向所述车联网终端发送第二认证响应消息。
本发明实施例还提供一种通信设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序,所述处理器执行所述程序时实现如上所述的车联网直连通信认证方法。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的车联网直连通信认证方法中的步骤。
本发明的上述技术方案至少具有如下有益效果:
本发明实施例的直连通信认证方法、终端、边缘服务节点及网络侧设备中,边缘计算节点在其提供业务服务的覆盖范围内建立认证服务区,处于认证服务区内的车联网终端与边缘服务节点之间相互进行身份认证;本发明实施例与蜂窝网边缘计算架构相结合,可利用边缘服务节点的服务能力实现区域性认证,充分发挥了蜂窝网络的技术优势,提升了车联网终端间的认证效率;身份认证成功后,终端获得认证服务区标识以及该区域的第一会话密钥。进一步,车联网终端之间直连通信的过程中,可以使用认证服务区标识对消息进行标识并使用第一会话密钥对发送的消息进行完整性保护或者数字签名,实现对消息来源的认证。采用认证服务区标识对消息进行标识,起到了隐藏车联网终端身份标识的作用,保护了用户的身份隐私。
附图说明
图1表示本发明实施例提供的车联网直连通信认证方法的步骤流程示意图;
图2表示本发明实施例提供的车联网直连通信认证方法的步骤流程示意图之一;
图3表示本发明实施例提供的车联网直连通信认证方法的步骤流程示意图之二;
图4表示本发明实施例提供的示例一的交互示意图;
图5表示本发明实施例提供的示例二的交互示意图;
图6表示本发明实施例提供的车联网直连通信认证装置的结构示意图之一;
图7表示本发明实施例提供的车联网终端的结构示意图;
图8表示本发明实施例提供的车联网直连通信认证装置的结构示意图之二;
图9表示本发明实施例提供的边缘服务节点的结构示意图;
图10表示本发明实施例提供的车联网直连通信认证装置的结构示意图之三;
图11表示本发明实施例提供的网络侧设备的结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
如图1所示,本发明实施例还提供一种车联网直连通信认证方法,应用于车联网终端,包括:
步骤101,在所述车联网终端位于边缘服务节点的认证服务区内的情况下,通过所述边缘服务节点对所述车联网终端进行身份认证;
可选的,车联网终端包括:车载终端、路侧终端、行人手持终端等,在此不做具体限定。
步骤102,获取所述边缘服务节点的认证服务区标识以及所述认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥;
步骤103,向位于所述认证服务区内的其他车联网终端发送直连消息,所述直连消息使用所述认证服务区标识进行标识,且使用所述第一会话密钥对所述直连消息进行完整性保护或数字签名。
需要说明的是,车联网终端发送直连消息之前,该认证服务区内的其他车联网终端采用与该车联网终端相同的步骤,先实现其他车联网终端与边缘服务节点的认证,再获取认证服务区标识和第一会话密钥。进一步的,该车联网终端与其他车联网终端之间交互消息进行直连通信。发送直连消息时,车联网终端采用认证服务区标识对直连消息进行标识,采用第一会话密钥对直连消息进行完整性保护或者数字签名。其他车联网终端接收到直连消息时,对直连消息进行验签或者完整性校验,成功后可认为消息是来自通过网络侧认证的源端,继续对消息进行处理。否则,将消息丢弃。
第一会话密钥是边缘计算节点认证服务区内的车联网终端进行直连通信的会话密钥,用于对直连通信消息进行保护。第一会话密钥可采用对称或非对称密钥的形式。由于仅有通过边缘计算节点认证的车联网终端才具有有效的第一会话密钥,因此车联网终端之间可以基于第一会话密钥在彼此间建立信任关系,快速对消息源进行身份的合法性验证。
认证服务区标识是边缘计算节点的认证服务区的标识,可作为车联网终端直连通信标识使用,用于隐藏车联网终端的标识信息,保护用户标识隐私。使用认证服务区标识作为消息标识,可以对车联网终端的真实标识进行隐藏,能够有效防止车联网终端标识信息的泄露,保护用户隐私。认证服务区标识同时用于标识不同边缘计算节点的认证服务区,不同边缘计算节点使用不同的认证服务区标识。在需要使用车联网终端的真实标识的情况下,如车对开放场地合法停车位以及合法停车位对车的识别,车联网终端可以根据需要在直连消息中携带自己的真实标识,以便于上层业务的实现。
可选的,本发明的上述实施例中,步骤101包括:
所述车联网终端与所述边缘服务节点之间采用通用认证架构GBA进行身份认证。
即车联网终端与边缘服务节点之间的身份认证可以基于GBA的认证方式实现,这样可以利用车联网终端USIM卡上拥有的密码资源(如运营商给用户发卡时写入的根密钥)完成认证,最大限度的发挥蜂窝网络的优势;本发明实施例提出的方法与运营商网络(即本发明实施例提及的网络侧设备)相结合,利用车联网终端USIM卡中已有的密码资源完成认证,无需基于PKI公钥基础设施,无需采用CA证书,利用了蜂窝网资源以及技术优势,节省了系统建设开销。
可选的,步骤101包括:
向所述边缘服务节点发送接入请求消息,所述接入请求消息中携带所述车联网终端的业务层标识;
接收所述边缘服务节点发送的引导程序初始化请求消息;
根据所述引导程序初始化请求消息执行引导程序认证过程,并向网络侧设备发送第一认证请求消息,所述第一认证请求消息中携带所述车联网终端的业务层标识;
接收所述网络侧设备发送的第二认证请求消息,所述第二认证请求消息中携带随机数和鉴权令牌;
根据所述第二认证请求消息执行认证与密钥协商协议AKA认证流程,并验证所述网络侧设备的身份合法性,在验证成功后向所述网络侧设备发送第一认证响应消息;
接收所述网络侧设备在根据所述第一认证响应消息验证车联网终端的身份合法的情况下发送的第二认证响应消息,所述的第二认证响应消息中携带业务标识。
本发明实施例适用于边缘计算的网络架构,能够满足未来具有边缘计算服务能力的车联网应用需要。
作为一个可选实施例,获取所述边缘服务节点的认证服务区标识以及所述认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥,包括:
生成第二会话密钥,所述第二会话密钥为车联网终端与所述边缘服务节点之间进行通信的会话密钥;可选的,根据所述业务标识生成共享密钥和第二会话密钥;
向所述边缘服务节点发送应用请求消息,所述应用请求消息中携带所述业务标识;
接收所述边缘服务节点发送的应用响应消息,所述应用响应消息中携带所述认证服务区标识和使用所述第二会话密钥对所述第一会话密钥进行加密之后得到的加密信息;
利用所述第二会话密钥对所述加密信息进行解密,得到所述第一会话密钥。
可选的,所述第一会话密钥由所述边缘服务节点生成,或者,所述第一会话密钥由网络侧设备生成之后发送给所述边缘服务节点。
需要说明的是,本发明实施例中涉及的网络侧设备为运营商网络对应的设备。
第一会话密钥由边缘服务节点生成的情况,可称为运营商网络对第一会话密钥的松耦合;第一会话密钥由网络侧设备生成的情况,可称为运营商网络对第一会话密钥的紧耦合,紧耦合有利于运营商参与车联网业务的运营;在实际应用中,生成第一会话密钥的随机性是安全的基础和关键,通常需要由专用物理噪声源设备来产生。边缘服务节点以高速、低时延的运算处理能力为主,不一定具备密钥生成的能力,需要依赖具有更高安全等级和保障的运营商网络为其提供密钥。因此,需要有与运营商网络紧耦合的实现方法,以便于上述方案的实际部署运营。
综上,本发明实施例中边缘计算节点在其提供业务服务的覆盖范围内建立认证服务区,采用认证服务区标识。处于认证服务区内的车联网终端与边缘服务节点之间相互进行身份认证。身份认证成功后,终端获得认证服务区标识以及该区域的第一会话密钥。进一步,车联网终端之间直连通信的过程中,可以使用认证服务区标识对消息进行标识并使用第一会话密钥对发送的消息进行完整性保护或者数字签名,实现对消息来源的认证。采用认证服务区标识对消息进行标识,起到了隐藏车联网终端身份标识的作用,保护了用户的身份隐私;本发明实施例与蜂窝网边缘计算架构相结合,可利用边缘服务节点的服务能力实现区域性认证,充分发挥了蜂窝网络的技术优势,提升了车联网终端间的认证效率。
如图2所示,本发明实施例还提供一种车联网直连通信认证方法,应用于边缘服务节点,包括:
步骤201,在所述车联网终端位于边缘服务节点的认证服务区内的情况下,对所述车联网终端进行身份认证。
可选的,车联网终端包括:车载终端、路侧终端、行人手持终端等,在此不做具体限定。
步骤202,向所述车联网终端发送认证服务区标识以及所述认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥。
第一会话密钥是边缘计算节点认证服务区内的车联网终端进行直连通信的会话密钥,用于对直连通信消息进行保护。第一会话密钥可采用对称或非对称密钥的形式。由于仅有通过边缘计算节点认证的车联网终端才具有有效的第一会话密钥,因此车联网终端之间可以基于第一会话密钥在彼此间建立信任关系,快速对消息源进行身份的合法性验证。
认证服务区标识是边缘计算节点的认证服务区的标识,可作为车联网终端直连通信标识使用,用于隐藏车联网终端的标识信息,保护用户标识隐私。使用认证服务区标识作为消息标识,可以对车联网终端的真实标识进行隐藏,能够有效防止车联网终端标识信息的泄露,保护用户隐私。认证服务区标识同时用于标识不同边缘计算节点的认证服务区,不同边缘计算节点使用不同的认证服务区标识。在需要使用车联网终端的真实标识的情况下,如车对开放场地合法停车位以及合法停车位对车的识别,车联网终端可以根据需要在直连消息中携带自己的真实标识,以便于上层业务的实现。
可选的,本发明的上述实施例中,步骤201包括:
所述边缘服务节点与所述车联网终端之间采用通用认证架构GBA进行身份认证。
即车联网终端与边缘服务节点之间的身份认证可以基于GBA的认证方式实现,这样可以利用车联网终端USIM卡上拥有的密码资源(如运营商给用户发卡时写入的根密钥)完成认证,最大限度的发挥蜂窝网络的优势;本发明实施例提出的方法与运营商网络相结合,利用车联网终端USIM卡中已有的密码资源完成认证,无需基于PKI公钥基础设施,无需采用CA证书,利用了蜂窝网资源以及技术优势,节省了系统建设开销。
可选的,步骤201包括:
接收所述车联网终端发送的接入请求消息,所述接入请求消息中携带所述车联网终端的业务层标识;
向所述车联网终端发送引导程序初始化请求消息;所述引导程序初始化请求消息用于指示所述车联网终端执行引导程序认证。
本发明实施例适用于边缘计算的网络架构,能够满足未来具有边缘计算服务能力的车联网应用需要。
作为一个可选实施例,向所述车联网终端发送认证服务区标识以及所述认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥,包括:
接收所述车联网终端发送的应用请求消息,所述应用请求消息中携带所述业务标识;
生成认证服务区标识,并使用第二会话密钥对所述第一会话密钥进行加密得到加密信息;其中,所述第二会话密钥为车联网终端与所述边缘服务节点之间进行通信的会话密钥;
向所述车联网终端发送应用响应消息,所述应用响应消息中携带所述认证服务区标识和所述加密信息。
进一步的,所述接收所述车联网终端发送的应用请求消息之后,所述方法还包括:
向网络侧设备发送第三认证请求消息,所述第三认证请求消息中携带所述业务标识和所述边缘服务节点的标识;
接收所述网络侧设备发送的第三认证响应消息,所述第三认证响应消息中携带所述网络侧设备根据所述业务标识生成的第二会话密钥。
可选的,所述第三认证响应消息中还携带由所述网络侧设备生成的所述第一会话密钥;
或者,
所述边缘服务节点生成所述第一会话密钥。
需要说明的是,本发明实施例中涉及的网络侧设备为运营商网络对应的设备。
第一会话密钥由边缘服务节点生成的情况,可称为运营商网络对第一会话密钥的松耦合;第一会话密钥由网络侧设备生成的情况,可称为运营商网络对第一会话密钥的紧耦合,紧耦合有利于运营商参与车联网业务的运营;在实际应用中,生成第一会话密钥的随机性是安全的基础和关键,通常需要由专用物理噪声源设备来产生。边缘服务节点以高速、低时延的运算处理能力为主,不一定具备密钥生成的能力,需要依赖具有更高安全等级和保障的运营商网络为其提供密钥。因此,需要有与运营商网络紧耦合的实现方法,以便于上述方案的实际部署运营。
综上,本发明实施例中边缘计算节点在其提供业务服务的覆盖范围内建立认证服务区,采用认证服务区标识。处于认证服务区内的车联网终端与边缘服务节点之间相互进行身份认证。身份认证成功后,终端获得认证服务区标识以及该区域的第一会话密钥。进一步,车联网终端之间直连通信的过程中,可以使用认证服务区标识对消息进行标识并使用第一会话密钥对发送的消息进行完整性保护或者数字签名,实现对消息来源的认证。采用认证服务区标识对消息进行标识,起到了隐藏车联网终端身份标识的作用,保护了用户的身份隐私;本发明实施例与蜂窝网边缘计算架构相结合,可利用边缘服务节点的服务能力实现区域性认证,充分发挥了蜂窝网络的技术优势,提升了车联网终端间的认证效率。
如图3所示,本发明实施例还提供一种车联网直连通信认证方法,应用于网络侧设备,包括:
步骤301,接收车联网终端发送的第一认证请求消息,所述第一认证请求消息中携带所述车联网终端的业务层标识;
步骤302,根据所述车联网终端的业务层标识获取车联网终端认证向量,并向所述车联网终端发送第二认证请求消息;可选的,所述第二认证请求消息中携带随机数和鉴权令牌;
步骤303,接收所述车联网终端在验证所述网络侧设备的身份合法性之后发送的第一认证响应消息;
步骤304,根据所述第一认证响应消息验证所述车联网终端的身份合法性,在验证成功后向所述车联网终端发送第二认证响应消息;可选的,所述第二认证响应消息中携带业务标识。
本发明实施例适用于边缘计算的网络架构,能够满足未来具有边缘计算服务能力的车联网应用需要。
可选的,步骤304之后,所述方法还包括:
接收所述车联网终端所在的认证服务区对应的边缘服务节点发送的第三认证请求消息,所述第三认证请求消息中携带所述边缘服务节点的标识;
生成第二会话密钥;所述第二会话密钥为车联网终端与所述边缘服务节点之间进行通信的会话密钥;
向所述边缘服务节点发送第三认证响应消息,所述第三认证响应消息中携带所述第二会话密钥。
可选的,所述第三认证响应消息中还携带由所述网络侧设备生成的认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥。
第一会话密钥由边缘服务节点生成的情况,可称为运营商网络对第一会话密钥的松耦合;第一会话密钥由网络侧设备生成的情况,可称为运营商网络对第一会话密钥的紧耦合,紧耦合有利于运营商参与车联网业务的运营;在实际应用中,生成第一会话密钥的随机性是安全的基础和关键,通常需要由专用物理噪声源设备来产生。边缘服务节点以高速、低时延的运算处理能力为主,不一定具备密钥生成的能力,需要依赖具有更高安全等级和保障的运营商网络为其提供密钥。因此,需要有与运营商网络紧耦合的实现方法,以便于上述方案的实际部署运营。
综上,本发明实施例中边缘计算节点在其提供业务服务的覆盖范围内建立认证服务区,采用认证服务区标识。处于认证服务区内的车联网终端与边缘服务节点之间相互进行身份认证。身份认证成功后,终端获得认证服务区标识以及该区域的第一会话密钥。进一步,车联网终端之间直连通信的过程中,可以使用认证服务区标识对消息进行标识并使用第一会话密钥对发送的消息进行完整性保护或者数字签名,实现对消息来源的认证。采用认证服务区标识对消息进行标识,起到了隐藏车联网终端身份标识的作用,保护了用户的身份隐私;本发明实施例与蜂窝网边缘计算架构相结合,可利用边缘服务节点的服务能力实现区域性认证,充分发挥了蜂窝网络的技术优势,提升了车联网终端间的认证效率。
为了更清楚的描述本发明实施例提供的车联网直连通信认证方法,下面结合两个示例进行描述。
示例一、运营商网络松耦合
如图4所示,车联网直连通信方法包括:
1.车联网终端1进入边缘服务节点的认证服务区时,车联网终端1向边缘服务节点发送接入请求消息,请求接入。
2.边缘服务节点启动GBA认证,并向车联网终端1发送引导程序初始化请求消息。
3.车联网终端1执行引导程序认证过程,向运营商网络发送第一认证请求消息,携带车联网终端的业务层标识(User ID)。
4.运营商网络执行AKA认证处理流程,在获取用户认证向量后,向车联网终端1发送第二认证请求消息,例如401Unauthorized WWW-Authenticate Digest;发起认证过程,消息中携带随机数RAND和鉴权令牌AUTN。
5.车联网终端1运行AKA流程,基于AUTN验证网络身份合法性。在验证成功的情况下,生成第一认证响应消息并发送。
6.运营商网络基于第一认证响应消息,判断车联网终端1的身份是否合法。若合法,计算生成共享密钥Ks及业务标识B-TID,并返回第二认证响应消息,例如200OK消息。若不合法,则车联网终端1的身份认证失败,系统退出。
7.车联网终端1存储收到的B-TID,计算共享密钥Ks及第二会话密钥Ks_NAF1。
8.车联网终端1向边缘服务节点发送应用请求消息,携带B-TID和车联网终端1的相关参数。
9.边缘服务节点向运营商网络发送第三认证请求消息,携带B-TID和所述边缘服务节点的标识NAF-hostname,用于获取用户信息。
10.运营商网络根据B-TID获取用户Profile及其密钥信息,计算生成第二会话密钥Ks_NAF1,并向边缘服务节点返回第三认证响应消息,其中携带Ks_NAF1和用户Profile。
其中,第二会话密钥Ks_NAF1是车联网终端1与边缘服务节点之间的会话密钥,用于在两者之间建立点到点安全通道。
11.边缘服务节点存储Ks_NAF1及用户Profile等信息,同时生成认证服务区标识M-ID和第一会话密钥Kd。在使用Ks_NAF1对Kd加密之后得到加密信息Kc,向车联网终端1返回应用响应消息,其包含M-ID及Kc(Kc=E(Ks_NAF1,Kd))。
12.车联网终端1使用Ks_NAF1解密Kc,得到Kd。车联网终端1存储M-ID及Kd。
13.采用上述方法,可以实现边缘服务节点与车联网终端2的认证,使得车联网终端2获得Ks_NAF2,M-ID以及Kd。
Ks_NAF2是车联网终端2与边缘服务节点之间的会话密钥,用于在两者之间建立点到点安全通道。
14.车联网终端1与车联网终端2之间交互消息,进行直连通信。发送消息时,车载终端采用M-ID标识消息,采用Kd对消息进行完整性保护或者数字签名。接收到消息时,车载终端对消息进行验签或者完整性校验,成功后可认为消息是来自通过网络侧认证的源端,继续对消息进行处理。否则,将消息丢弃。
示例二、运营商网络紧耦合
如图5所示,车联网直连通信方法包括:
1.车联网终端1进入边缘服务节点的认证服务区时,车联网终端1向边缘服务节点发送接入请求消息,请求接入。
2.边缘服务节点使用基于GBA的方法完成身份认证、密钥协商以建立安全通道,边缘服务节点向车联网终端1发送引导程序初始化请求消息。
3.车联网终端1执行引导程序认证过程,向运营商网络发送第一认证请求消息,携带车联网终端的业务层标识(User ID)。
4.运营商网络执行AKA认证处理流程,在获取用户认证向量后,向车联网终端1发送第二认证请求消息,例如401Unauthorized WWW-Authenticate Digest;发起认证过程,消息中携带随机数RAND和鉴权令牌AUTN。
5.车联网终端1运行AKA流程,基于AUTN验证网络身份合法性。在验证成功的情况下,生成第一认证响应消息并发送。
6.运营商网络基于第一认证响应消息,判断车联网终端1的身份是否合法。若合法,计算生成共享密钥Ks及业务标识B-TID,并返回第二认证响应消息,例如200OK消息。若不合法,则车联网终端1的身份认证失败,系统退出。
7.车联网终端1存储收到的B-TID,计算共享密钥Ks及第二会话密钥Ks_NAF1。
8.车联网终端1向边缘服务节点发送应用请求消息,携带B-TID和车联网终端1的相关参数。
9.边缘服务节点向运营商网络发送第三认证请求消息,携带B-TID和所述边缘服务节点的标识NAF-hostname,用于获取用户信息。
10.运营商网络根据B-TID获取用户Profile及其密钥信息,计算生成第二会话密钥Ks_NAF1和第一会话密钥Kd,并向边缘服务节点返回第三认证响应消息,其中携带Ks_NAF1、Kd和用户Profile。
其中,第二会话密钥Ks_NAF1是车联网终端1与边缘服务节点之间的会话密钥,用于在两者之间建立点到点安全通道。
11.边缘服务节点存储Ks_NAF1及用户Profile、Kd等信息,同时生成认证服务区标识M-ID。在使用Ks_NAF1对Kd加密之后得到加密信息Kc,向车联网终端1返回应用响应消息,其包含M-ID及Kc(Kc=E(Ks_NAF1,Kd))。
12.车联网终端1使用Ks_NAF1解密Kc,得到Kd。车联网终端1存储M-ID及Kd。
13.采用上述方法,可以实现边缘服务节点与车联网终端2的认证,使得车联网终端2获得Ks_NAF2,M-ID以及Kd。
Ks_NAF2是车联网终端2与边缘服务节点之间的会话密钥,用于在两者之间建立点到点安全通道。
14.车联网终端1与车联网终端2之间交互消息,进行直连通信。发送消息时,车载终端采用M-ID标识消息,采用Kd对消息进行完整性保护或者数字签名。接收到消息时,车载终端对消息进行验签或者完整性校验,成功后可认为消息是来自通过网络侧认证的源端,继续对消息进行处理。否则,将消息丢弃。
与松耦合方案相比,紧耦合的方案主要不同之处在于Kd由运营商网络产生(即步骤10和步骤11的不同),通常可由具有密钥生成能力的归属用户服务器HSS产生,以保证密钥的随机性达到较高安全要求。此时,需要在第三认证响应消息中增加相应字段将Kd传递给边缘服务节点,由其进行后续操作。
如图6所示,本发明实施例还提供一种车联网直连通信认证装置,应用于车联网终端,包括:
第一认证模块61,用于在所述车联网终端位于边缘服务节点的认证服务区内的情况下,通过所述边缘服务节点对所述车联网终端进行身份认证;
获取模块62,用于身份认证成功之后,获取所述边缘服务节点的认证服务区标识以及所述认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥;
通信模块63,用于向位于所述认证服务区内的其他车联网终端发送直连消息,所述直连消息使用所述认证服务区标识进行标识,且使用所述第一会话密钥对所述直连消息进行完整性保护或数字签名。
可选的,本发明的上述实施例中,所述第一认证模块包括:
第一单元,用于向所述边缘服务节点发送接入请求消息,所述接入请求消息中携带所述车联网终端的业务层标识;
第二单元,用于接收所述边缘服务节点发送的引导程序初始化请求消息;
第三单元,用于根据所述引导程序初始化请求消息执行引导程序认证过程,并向网络侧设备发送第一认证请求消息,所述第一认证请求消息中携带所述车联网终端的业务层标识;
第四单元,用于接收所述网络侧设备发送的第二认证请求消息;
第五单元,用于根据所述第二认证请求消息执行认证与密钥协商协议AKA认证流程,并验证所述网络侧设备的身份合法性,在验证成功后向所述网络侧设备发送第一认证响应消息;
第六单元,用于接收所述网络侧设备在根据所述第一认证响应消息验证车联网终端的身份合法的情况下发送的第二认证响应消息。
可选的,本发明的上述实施例中,所述通信模块包括:
第二子模块,用于生成第二会话密钥,所述第二会话密钥为车联网终端与所述边缘服务节点之间进行通信的会话密钥;
第三子模块,用于向所述边缘服务节点发送应用请求消息;
第四子模块,勇敢与接收所述边缘服务节点发送的应用响应消息,所述应用响应消息中携带所述认证服务区标识和使用所述第二会话密钥对所述第一会话密钥进行加密之后得到的加密信息;
第五子模块,用于利用所述第二会话密钥对所述加密信息进行解密,得到所述第一会话密钥。
综上,本发明的上述实施例中边缘计算节点在其提供业务服务的覆盖范围内建立认证服务区,采用认证服务区标识。处于认证服务区内的车联网终端与边缘服务节点之间相互进行身份认证。身份认证成功后,终端获得认证服务区标识以及该区域的第一会话密钥。进一步,车联网终端之间直连通信的过程中,可以使用认证服务区标识对消息进行标识并使用第一会话密钥对发送的消息进行完整性保护或者数字签名,实现对消息来源的认证。采用认证服务区标识对消息进行标识,起到了隐藏车联网终端身份标识的作用,保护了用户的身份隐私;本发明实施例与蜂窝网边缘计算架构相结合,可利用边缘服务节点的服务能力实现区域性认证,充分发挥了蜂窝网络的技术优势,提升了车联网终端间的认证效率。
需要说明的是,本发明实施例提供的车联网直连通信认证装置是能够执行上述车联网直连通信认证方法的装置,则上述车联网直连通信认证方法的所有实施例均适用于该装置,且均能达到相同或相似的有益效果。
如图7所示,本发明实施例还提供一种车联网终端,包括处理器700和收发器710,所述收发器710在处理器700的控制下接收和发送数据,所述处理器700用于执行以下操作:
在所述车联网终端位于边缘服务节点的认证服务区内的情况下,通过所述边缘服务节点对所述车联网终端进行身份认证;
获取所述边缘服务节点的认证服务区标识以及所述认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥;
向位于所述认证服务区内的其他车联网终端发送直连消息,所述直连消息使用所述认证服务区标识进行标识,且使用所述第一会话密钥对所述直连消息进行完整性保护或数字签名。
可选的,本发明的上述实施例中,所述处理器还用于:
向所述边缘服务节点发送接入请求消息,所述接入请求消息中携带所述车联网终端的业务层标识;
接收所述边缘服务节点发送的引导程序初始化请求消息;
根据所述引导程序初始化请求消息执行引导程序认证过程,并向网络侧设备发送第一认证请求消息,所述第一认证请求消息中携带所述车联网终端的业务层标识;
接收所述网络侧设备发送的第二认证请求消息;
根据所述第二认证请求消息执行认证与密钥协商协议AKA认证流程,并验证所述网络侧设备的身份合法性,在验证成功后向所述网络侧设备发送第一认证响应消息;
接收所述网络侧设备在根据所述第一认证响应消息验证车联网终端的身份合法的情况下发送的第二认证响应消息。
可选的,本发明的上述实施例中,所述处理器还用于:
生成第二会话密钥,所述第二会话密钥为车联网终端与所述边缘服务节点之间进行通信的会话密钥;
向所述边缘服务节点发送应用请求消息;
接收所述边缘服务节点发送的应用响应消息,所述应用响应消息中携带所述认证服务区标识和使用所述第二会话密钥对所述第一会话密钥进行加密之后得到的加密信息;
利用所述第二会话密钥对所述加密信息进行解密,得到所述第一会话密钥。
综上,本发明的上述实施例中边缘计算节点在其提供业务服务的覆盖范围内建立认证服务区,采用认证服务区标识。处于认证服务区内的车联网终端与边缘服务节点之间相互进行身份认证。身份认证成功后,终端获得认证服务区标识以及该区域的第一会话密钥。进一步,车联网终端之间直连通信的过程中,可以使用认证服务区标识对消息进行标识并使用第一会话密钥对发送的消息进行完整性保护或者数字签名,实现对消息来源的认证。采用认证服务区标识对消息进行标识,起到了隐藏车联网终端身份标识的作用,保护了用户的身份隐私;本发明实施例与蜂窝网边缘计算架构相结合,可利用边缘服务节点的服务能力实现区域性认证,充分发挥了蜂窝网络的技术优势,提升了车联网终端间的认证效率。
需要说明的是,本发明实施例提供的车联网终端是能够执行上述车联网直连通信认证方法的车联网终端,则上述车联网直连通信认证方法的所有实施例均适用于该车联网终端,且均能达到相同或相似的有益效果。
本发明实施例还提供一种通信设备,该通信设备为车联网终端,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如上所述的车联网直连通信认证方法实施例中的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的车联网直连通信认证方法实施例中的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
如图8所示,本发明实施例还提供一种车联网直连通信认证装置,应用于边缘服务节点,包括:
第二认证模块81,用于在所述车联网终端位于边缘服务节点的认证服务区内的情况下,对所述车联网终端进行身份认证。
发送模块82,用于向所述车联网终端发送认证服务区标识以及所述认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥。
可选的,本发明的上述实施例中,所述第二认证模块包括:
第七单元,用于接收所述车联网终端发送的接入请求消息,所述接入请求消息中携带所述车联网终端的业务层标识;
第八单元,用于向所述车联网终端发送引导程序初始化请求消息;所述引导程序初始化请求消息用于指示所述车联网终端执行引导程序认证。
可选的,本发明的上述实施例中,所述发送模块包括:
第七子模块,用于接收所述车联网终端发送的应用请求消息;
第八子模块,用于生成认证服务区标识,并使用第二会话密钥对所述第一会话密钥进行加密得到加密信息;其中,所述第二会话密钥为车联网终端与所述边缘服务节点之间进行通信的会话密钥;
第九子模块,用于向所述车联网终端发送应用响应消息,所述应用响应消息中携带所述认证服务区标识和所述加密信息。
可选的,本发明的上述实施例中,所述装置还包括:
消息发送模块,用于向网络侧设备发送第三认证请求消息,所述第三认证请求消息中携带所述业务标识和所述边缘服务节点的标识;
消息接收模块,用于接收所述网络侧设备发送的第三认证响应消息,所述第三认证响应消息中携带所述网络侧设备根据所述业务标识生成的第二会话密钥。
综上,本发明的上述实施例中边缘计算节点在其提供业务服务的覆盖范围内建立认证服务区,采用认证服务区标识。处于认证服务区内的车联网终端与边缘服务节点之间相互进行身份认证。身份认证成功后,终端获得认证服务区标识以及该区域的第一会话密钥。进一步,车联网终端之间直连通信的过程中,可以使用认证服务区标识对消息进行标识并使用第一会话密钥对发送的消息进行完整性保护或者数字签名,实现对消息来源的认证。采用认证服务区标识对消息进行标识,起到了隐藏车联网终端身份标识的作用,保护了用户的身份隐私;本发明实施例与蜂窝网边缘计算架构相结合,可利用边缘服务节点的服务能力实现区域性认证,充分发挥了蜂窝网络的技术优势,提升了车联网终端间的认证效率。
需要说明的是,本发明实施例提供的车联网直连通信认证装置是能够执行上述车联网直连通信认证方法的装置,则上述车联网直连通信认证方法的所有实施例均适用于该装置,且均能达到相同或相似的有益效果。
如图9所示,本发明实施例还提供一种边缘服务节点,包括处理器900和收发器910,所述收发器910在处理器900的控制下接收和发送数据,所述处理器900用于执行以下操作:
在所述车联网终端位于边缘服务节点的认证服务区内的情况下,对所述车联网终端进行身份认证;
向所述车联网终端发送认证服务区标识以及所述认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥。
可选的,本发明的上述实施例中,所述处理器还用于:
接收所述车联网终端发送的接入请求消息,所述接入请求消息中携带所述车联网终端的业务层标识;
向所述车联网终端发送引导程序初始化请求消息;所述引导程序初始化请求消息用于指示所述车联网终端执行引导程序认证。
可选的,本发明的上述实施例中,所述处理器还用于:
接收所述车联网终端发送的应用请求消息;
生成认证服务区标识,并使用第二会话密钥对所述第一会话密钥进行加密得到加密信息;其中,所述第二会话密钥为车联网终端与所述边缘服务节点之间进行通信的会话密钥;
向所述车联网终端发送应用响应消息,所述应用响应消息中携带所述认证服务区标识和所述加密信息。
综上,本发明的上述实施例中边缘计算节点在其提供业务服务的覆盖范围内建立认证服务区,采用认证服务区标识。处于认证服务区内的车联网终端与边缘服务节点之间相互进行身份认证。身份认证成功后,终端获得认证服务区标识以及该区域的第一会话密钥。进一步,车联网终端之间直连通信的过程中,可以使用认证服务区标识对消息进行标识并使用第一会话密钥对发送的消息进行完整性保护或者数字签名,实现对消息来源的认证。采用认证服务区标识对消息进行标识,起到了隐藏车联网终端身份标识的作用,保护了用户的身份隐私;本发明实施例与蜂窝网边缘计算架构相结合,可利用边缘服务节点的服务能力实现区域性认证,充分发挥了蜂窝网络的技术优势,提升了车联网终端间的认证效率。
需要说明的是,本发明实施例提供的边缘服务节点是能够执行上述车联网直连通信认证方法的边缘服务节点,则上述车联网直连通信认证方法的所有实施例均适用于该边缘服务节点,且均能达到相同或相似的有益效果。
本发明实施例还提供一种通信设备,该通信设备为边缘服务节点,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如上所述的车联网直连通信认证方法实施例中的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的车联网直连通信认证方法实施例中的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
如图10所示,本发明实施例还提供一种车联网直连通信认证装置,应用于网络侧设备,包括:
第一接收模块1001,用于接收车联网终端发送的第一认证请求消息,所述第一认证请求消息中携带所述车联网终端的业务层标识;
第三认证模块1002,用于根据所述车联网终端的业务层标识获取车联网终端认证向量,并向所述车联网终端发送第二认证请求消息;
第二接收模块1003,用于接收所述车联网终端在验证所述网络侧设备的身份合法性之后发送的第一认证响应消息;
第一响应模块1004,用于根据所述第一认证响应消息验证所述车联网终端的身份合法性,在验证成功后向所述车联网终端发送第二认证响应消息。
可选的,本发明的上述实施例中,所述装置还包括:
第三接收模块,用于接收所述车联网终端所在的认证服务区对应的边缘服务节点发送的第三认证请求消息,所述第三认证请求消息中携带所述边缘服务节点的标识;
生成模块,用于生成第二会话密钥;所述第二会话密钥为车联网终端与所述边缘服务节点之间进行通信的会话密钥;
响应发送模块,用于向所述边缘服务节点发送第三认证响应消息,所述第三认证响应消息中携带所述第二会话密钥。
综上,本发明的上述实施例中边缘计算节点在其提供业务服务的覆盖范围内建立认证服务区,采用认证服务区标识。处于认证服务区内的车联网终端与边缘服务节点之间相互进行身份认证。身份认证成功后,终端获得认证服务区标识以及该区域的第一会话密钥。进一步,车联网终端之间直连通信的过程中,可以使用认证服务区标识对消息进行标识并使用第一会话密钥对发送的消息进行完整性保护或者数字签名,实现对消息来源的认证。采用认证服务区标识对消息进行标识,起到了隐藏车联网终端身份标识的作用,保护了用户的身份隐私;本发明实施例与蜂窝网边缘计算架构相结合,可利用边缘服务节点的服务能力实现区域性认证,充分发挥了蜂窝网络的技术优势,提升了车联网终端间的认证效率。
需要说明的是,本发明实施例提供的车联网直连通信认证装置是能够执行上述车联网直连通信认证方法的装置,则上述车联网直连通信认证方法的所有实施例均适用于该装置,且均能达到相同或相似的有益效果。
如图11所示,本发明实施例还提供一种网络侧设备,包括处理器1100和收发器1101,所述收发器1101在处理器1100的控制下接收和发送数据,所述处理器1100用于执行以下操作:
接收车联网终端发送的第一认证请求消息,所述第一认证请求消息中携带所述车联网终端的业务层标识;
根据所述车联网终端的业务层标识获取车联网终端认证向量,并向所述车联网终端发送第二认证请求消息;
接收所述车联网终端在验证所述网络侧设备的身份合法性之后发送的第一认证响应消息;
根据所述第一认证响应消息验证所述车联网终端的身份合法性,在验证成功后向所述车联网终端发送第二认证响应消息。
可选的,本发明的上述实施例中,所述处理器还用于:
接收所述车联网终端所在的认证服务区对应的边缘服务节点发送的第三认证请求消息,所述第三认证请求消息中携带所述边缘服务节点的标识;
生成第二会话密钥;所述第二会话密钥为车联网终端与所述边缘服务节点之间进行通信的会话密钥;
向所述边缘服务节点发送第三认证响应消息,所述第三认证响应消息中携带所述第二会话密钥。
综上,本发明的上述实施例中边缘计算节点在其提供业务服务的覆盖范围内建立认证服务区,采用认证服务区标识。处于认证服务区内的车联网终端与边缘服务节点之间相互进行身份认证。身份认证成功后,终端获得认证服务区标识以及该区域的第一会话密钥。进一步,车联网终端之间直连通信的过程中,可以使用认证服务区标识对消息进行标识并使用第一会话密钥对发送的消息进行完整性保护或者数字签名,实现对消息来源的认证。采用认证服务区标识对消息进行标识,起到了隐藏车联网终端身份标识的作用,保护了用户的身份隐私;本发明实施例与蜂窝网边缘计算架构相结合,可利用边缘服务节点的服务能力实现区域性认证,充分发挥了蜂窝网络的技术优势,提升了车联网终端间的认证效率。
需要说明的是,本发明实施例提供的网络侧设备是能够执行上述车联网直连通信认证方法的网络侧设备,则上述车联网直连通信认证方法的所有实施例均适用于该网络侧设备,且均能达到相同或相似的有益效果。
本发明实施例还提供一种通信设备,该通信设备为网络侧设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如上所述的车联网直连通信认证方法实施例中的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的车联网直连通信认证方法实施例中的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可读存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储介质中,使得存储在该计算机可读存储介质中的指令产生包括指令装置的纸制品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他科编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (7)
1.一种车联网直连通信认证方法,应用于车联网终端,其特征在于,包括:
在所述车联网终端位于边缘服务节点的认证服务区内的情况下,通过所述边缘服务节点对所述车联网终端进行身份认证;
获取所述边缘服务节点的认证服务区标识以及所述认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥;所述第一会话密钥由所述边缘服务节点生成,或者,所述第一会话密钥由网络侧设备生成之后发送给所述边缘服务节点;通过所述边缘服务节点认证的车联网终端具有有效的第一会话密钥;
向位于所述认证服务区内的其他车联网终端发送直连消息,所述直连消息使用所述认证服务区标识进行标识,且使用所述第一会话密钥对所述直连消息进行完整性保护或数字签名;
其中,所述车联网终端与所述边缘服务节点之间采用通用认证架构GBA进行身份认证;获取所述边缘服务节点的认证服务区标识以及所述认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥,包括:
向所述边缘服务节点发送接入请求消息;
接收所述边缘服务节点在启动GBA认证后发送的引导程序初始化请求消息;
执行引导程序认证过程,向网络侧设备发送第一认证请求消息,所述第一认证请求消息携带车联网终端的业务层标识,以使得所述网络侧设备执行AKA认证处理流程,并在获取用户认证向量后,向车联网终端发送第二认证请求消息;
根据所述第二认证请求消息运行AKA认证处理流程,并在验证成功的情况下,生成第一认证响应消息并发送给所述网络侧设备,以使得所述网络侧设备基于所述第一认证响应消息,在判断车联网终端身份合法时,计算生成共享密钥Ks及业务标识B-TID,并返回第二认证响应消息;
在接收所述第二认证响应消息后,存储收到的B-TID,计算共享密钥Ks及第二会话密钥Ks_NAF1;所述第二会话密钥为车联网终端与所述边缘服务节点之间进行通信的会话密钥;
向所述边缘服务节点发送应用请求消息,所述应用请求消息携带所述B-TID,以使所述边缘服务节点向网络侧设备发送第三认证请求消息,所述第三认证请求消息携带B-TID和所述边缘服务节点的标识NAF-hostname,所述第三认证请求消息用于网络侧设备根据所述B-TID获取用户Profile及密钥信息,计算生成第二会话密钥Ks_NAF1,并向边缘服务节点返回第三认证响应消息,其中携带所述Ks_NAF1和所述用户Profile;
接收所述边缘服务节点发送的应用响应消息,所述应用响应消息中携带所述边缘服务节点生成的认证服务区标识和所述边缘服务节点使用所述第二会话密钥Ks_NAF1对所述第一会话密钥进行加密之后得到的加密信息;
利用所述第二会话密钥Ks_NAF1对所述加密信息进行解密,得到所述第一会话密钥。
2.一种车联网直连通信认证方法,应用于边缘服务节点,其特征在于,包括:
在车联网终端位于边缘服务节点的认证服务区内的情况下,对所述车联网终端进行身份认证;所述车联网终端与所述边缘服务节点之间采用通用认证架构GBA进行身份认证;向所述车联网终端发送认证服务区标识以及所述认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥;所述第一会话密钥由所述边缘服务节点生成,或者,所述第一会话密钥由网络侧设备生成之后发送给所述边缘服务节点;通过所述边缘服务节点认证的车联网终端具有有效的第一会话密钥;
其中,对所述车联网终端进行身份认证,向所述车联网终端发送认证服务区标识以及所述认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥,包括:
接收所述车联网终端发送的接入请求消息;
启动GBA认证,发送引导程序初始化请求消息给所述车联网终端,以使得所述车联网终端执行引导程序认证过程,并向网络侧设备发送第一认证请求消息,所述第一认证请求消息携带所述车联网终端的业务层标识,所述第一认证请求消息用于所述网络侧设备执行AKA认证处理流程,并在获取用户认证向量后,向车联网终端发送第二认证请求消息;所述车联网终端根据所述第二认证请求消息运行AKA认证处理流程,并在验证成功的情况下,生成第一认证响应消息并发送给所述网络侧设备,以使得所述网络侧设备基于第一认证响应消息,在判断车联网终端身份合法时,计算生成共享密钥Ks及业务标识B-TID,并返回第二认证响应消息;所述车联网终端在接收所述第二认证响应消息后,存储收到的B-TID,计算共享密钥Ks及第二会话密钥Ks_NAF1;所述第二会话密钥为车联网终端与所述边缘服务节点之间进行通信的会话密钥;
接收所述车联网终端发送的发送应用请求消息,所述应用请求消息携带所述B-TID;
向网络侧设备发送第三认证请求消息,所述第三认证请求消息携带所述业务标识B-TID和所述边缘服务节点的标识NAF-hostname,所述第三认证请求消息用于所述网络侧设备根据所述B-TID获取用户Profile及密钥信息并计算生成第二会话密钥Ks_NAF1;
接收所述网络侧设备返回的第三认证响应消息,其中携带第二会话密钥Ks_NAF1和用户Profile;
生成认证服务区标识和第一会话密钥,使用所述第二会话密钥对所述第一会话密钥加密得到加密信息;
向所述车联网终端发送应用响应消息,所述应用响应消息中携带所述认证服务区标识和所述加密信息。
3.一种车联网直连通信认证装置,应用于车联网终端,其特征在于,包括:
第一认证模块,用于在所述车联网终端位于边缘服务节点的认证服务区内的情况下,通过所述边缘服务节点对所述车联网终端进行身份认证;
获取模块,用于获取所述边缘服务节点的认证服务区标识以及所述认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥;所述第一会话密钥由所述边缘服务节点生成,或者,所述第一会话密钥由网络侧设备生成之后发送给所述边缘服务节点;通过所述边缘服务节点认证的车联网终端具有有效的第一会话密钥;
通信模块,用于向位于所述认证服务区内的其他车联网终端发送直连消息,所述直连消息使用所述认证服务区标识进行标识,且使用所述第一会话密钥对所述直连消息进行完整性保护或数字签名;
其中,所述车联网终端与所述边缘服务节点之间采用通用认证架构GBA进行身份认证;所述获取模块具体用于:
向所述边缘服务节点发送接入请求消息;
接收所述边缘服务节点在启动GBA认证后发送的引导程序初始化请求消息;
执行引导程序认证过程,向网络侧设备发送第一认证请求消息,所述第一认证请求消息携带车联网终端的业务层标识,以使得所述网络侧设备执行AKA认证处理流程,并在获取用户认证向量后,向车联网终端发送第二认证请求消息;
根据所述第二认证请求消息运行AKA认证处理流程,并在验证成功的情况下,生成第一认证响应消息并发送给所述网络侧设备,以使得所述网络侧设备基于所述第一认证响应消息,在判断车联网终端身份合法时,计算生成共享密钥Ks及业务标识B-TID,并返回第二认证响应消息;
在接收所述第二认证响应消息后,存储收到的B-TID,计算共享密钥Ks及第二会话密钥Ks_NAF1;所述第二会话密钥为车联网终端与所述边缘服务节点之间进行通信的会话密钥;
向所述边缘服务节点发送应用请求消息,所述应用请求消息携带所述B-TID,以使所述边缘服务节点向网络侧设备发送第三认证请求消息,所述第三认证请求消息携带B-TID和所述边缘服务节点的标识NAF-hostname,所述第三认证请求消息用于网络侧设备根据所述B-TID获取用户Profile及密钥信息,计算生成第二会话密钥Ks_NAF1,并向边缘服务节点返回第三认证响应消息,其中携带所述Ks_NAF1和所述用户Profile;
接收所述边缘服务节点发送的应用响应消息,所述应用响应消息中携带所述边缘服务节点生成的认证服务区标识和所述边缘服务节点使用所述第二会话密钥Ks_NAF1对所述第一会话密钥进行加密之后得到的加密信息;
利用所述第二会话密钥Ks_NAF1对所述加密信息进行解密,得到所述第一会话密钥。
4.一种车联网终端,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,其特征在于,所述处理器用于执行以下操作:
在所述车联网终端位于边缘服务节点的认证服务区内的情况下,通过所述边缘服务节点对所述车联网终端进行身份认证;所述车联网终端与所述边缘服务节点之间采用通用认证架构GBA进行身份认证;
获取所述边缘服务节点的认证服务区标识以及所述认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥;所述第一会话密钥由所述边缘服务节点生成,或者,所述第一会话密钥由网络侧设备生成之后发送给所述边缘服务节点;通过所述边缘服务节点认证的车联网终端具有有效的第一会话密钥;
向位于所述认证服务区内的其他车联网终端发送直连消息,所述直连消息使用所述认证服务区标识进行标识,且使用所述第一会话密钥对所述直连消息进行完整性保护或数字签名;
所述处理器获取所述边缘服务节点的认证服务区标识以及所述认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥,具体用于执行以下操作:
向所述边缘服务节点发送接入请求消息;
接收所述边缘服务节点在启动GBA认证后发送的引导程序初始化请求消息;
执行引导程序认证过程,向网络侧设备发送第一认证请求消息,所述第一认证请求消息携带车联网终端的业务层标识,以使得所述网络侧设备执行AKA认证处理流程,并在获取用户认证向量后,向车联网终端发送第二认证请求消息;
根据所述第二认证请求消息运行AKA认证处理流程,并在验证成功的情况下,生成第一认证响应消息并发送给所述网络侧设备,以使得所述网络侧设备基于所述第一认证响应消息,在判断车联网终端身份合法时,计算生成共享密钥Ks及业务标识B-TID,并返回第二认证响应消息;
在接收所述第二认证响应消息后,存储收到的B-TID,计算共享密钥Ks及第二会话密钥Ks_NAF1;所述第二会话密钥为车联网终端与所述边缘服务节点之间进行通信的会话密钥;
向所述边缘服务节点发送应用请求消息,所述应用请求消息携带所述B-TID,以使所述边缘服务节点向网络侧设备发送第三认证请求消息,所述第三认证请求消息携带B-TID和所述边缘服务节点的标识NAF-hostname,所述第三认证请求消息用于网络侧设备根据所述B-TID获取用户Profile及密钥信息,计算生成第二会话密钥Ks_NAF1,并向边缘服务节点返回第三认证响应消息,其中携带所述Ks_NAF1和所述用户Profile;
接收所述边缘服务节点发送的应用响应消息,所述应用响应消息中携带所述边缘服务节点生成的认证服务区标识和所述边缘服务节点使用所述第二会话密钥Ks_NAF1对所述第一会话密钥进行加密之后得到的加密信息;
利用所述第二会话密钥Ks_NAF1对所述加密信息进行解密,得到所述第一会话密钥。
5.一种边缘服务节点,包括处理器和收发器,所述收发器在处理器的控制下接收和发送数据,其特征在于,所述处理器用于执行以下操作:
在车联网终端位于边缘服务节点的认证服务区内的情况下,对所述车联网终端进行身份认证;所述车联网终端与所述边缘服务节点之间采用通用认证架构GBA进行身份认证;
向所述车联网终端发送认证服务区标识以及所述认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥;所述第一会话密钥由所述边缘服务节点生成,或者,所述第一会话密钥由网络侧设备生成之后发送给所述边缘服务节点;通过所述边缘服务节点认证的车联网终端具有有效的第一会话密钥;
所述处理器对所述车联网终端进行身份认证,向所述车联网终端发送认证服务区标识以及所述认证服务区内的不同车联网终端之间进行直连通信的第一会话密钥,具体用于执行以下操作:
接收所述车联网终端发送的接入请求消息;
启动GBA认证,发送引导程序初始化请求消息给所述车联网终端,以使得所述车联网终端执行引导程序认证过程,并向网络侧设备发送第一认证请求消息,所述第一认证请求消息携带所述车联网终端的业务层标识,所述第一认证请求消息用于所述网络侧设备执行AKA认证处理流程,并在获取用户认证向量后,向车联网终端发送第二认证请求消息;所述车联网终端根据所述第二认证请求消息运行AKA认证处理流程,并在验证成功的情况下,生成第一认证响应消息并发送给所述网络侧设备,以使得所述网络侧设备基于第一认证响应消息,在判断车联网终端身份合法时,计算生成共享密钥Ks及业务标识B-TID,并返回第二认证响应消息;所述车联网终端在接收所述第二认证响应消息后,存储收到的B-TID,计算共享密钥Ks及第二会话密钥Ks_NAF1;所述第二会话密钥为车联网终端与所述边缘服务节点之间进行通信的会话密钥;
接收所述车联网终端发送的发送应用请求消息,所述应用请求消息携带所述B-TID;
向网络侧设备发送第三认证请求消息,所述第三认证请求消息携带所述业务标识B-TID和所述边缘服务节点的标识NAF-hostname,所述第三认证请求消息用于所述网络侧设备根据所述B-TID获取用户Profile及密钥信息并计算生成第二会话密钥Ks_NAF1;
接收所述网络侧设备返回的第三认证响应消息,其中携带第二会话密钥Ks_NAF1和用户Profile;
生成认证服务区标识和第一会话密钥,使用所述第二会话密钥对所述第一会话密钥加密得到加密信息;
向所述车联网终端发送应用响应消息,所述应用响应消息中携带所述认证服务区标识和所述加密信息。
6.一种通信设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;其特征在于,所述处理器执行所述程序时实现如权利要求1所述的车联网直连通信认证方法;或者,所述处理器执行所述程序时实现如权利要求2所述的车联网直连通信认证方法。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1所述的车联网直连通信认证方法中的步骤;或者,该程序被处理器执行时实现如权利要求2所述的车联网直连通信认证方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911165325.4A CN112954643B (zh) | 2019-11-25 | 2019-11-25 | 直连通信认证方法、终端、边缘服务节点及网络侧设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911165325.4A CN112954643B (zh) | 2019-11-25 | 2019-11-25 | 直连通信认证方法、终端、边缘服务节点及网络侧设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112954643A CN112954643A (zh) | 2021-06-11 |
| CN112954643B true CN112954643B (zh) | 2024-03-19 |
Family
ID=76224790
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911165325.4A Active CN112954643B (zh) | 2019-11-25 | 2019-11-25 | 直连通信认证方法、终端、边缘服务节点及网络侧设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112954643B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115225318B (zh) * | 2022-06-09 | 2023-12-22 | 广东省智能网联汽车创新中心有限公司 | 一种基于车载终端的车载以太网动态登录鉴权方法及系统 |
| CN115802347B (zh) * | 2022-12-06 | 2024-09-17 | 中国联合网络通信集团有限公司 | 车联网终端身份的认证方法、装置、电子设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017020206A1 (zh) * | 2015-07-31 | 2017-02-09 | 华为技术有限公司 | 一种通信方法及相关装置 |
| WO2017143891A1 (zh) * | 2016-02-26 | 2017-08-31 | 电信科学技术研究院 | 一种建立车与万物会话请求、确定传输小区的方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3490333B1 (en) * | 2016-08-22 | 2023-06-28 | Samsung Electronics Co., Ltd. | Method and system for regional data network configuration in wireless communication network |
-
2019
- 2019-11-25 CN CN201911165325.4A patent/CN112954643B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017020206A1 (zh) * | 2015-07-31 | 2017-02-09 | 华为技术有限公司 | 一种通信方法及相关装置 |
| WO2017143891A1 (zh) * | 2016-02-26 | 2017-08-31 | 电信科学技术研究院 | 一种建立车与万物会话请求、确定传输小区的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112954643A (zh) | 2021-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109428875B (zh) | 基于服务化架构的发现方法及装置 | |
| CN112039918B (zh) | 一种基于标识密码算法的物联网可信认证方法 | |
| CN109302412B (zh) | 基于CPK的VoIP通信处理方法、终端、服务器及存储介质 | |
| CN105847235A (zh) | 一种车联网环境下基于身份的高效匿名批认证方法 | |
| CN114362993B (zh) | 一种区块链辅助的车联网安全认证方法 | |
| CN112532393A (zh) | 一种跨链交易的验证方法、中继链节点设备及介质 | |
| CN111447601A (zh) | 一种汽车蓝牙钥匙的实现方法及装置 | |
| CN112351037B (zh) | 用于安全通信的信息处理方法及装置 | |
| CN103491540A (zh) | 一种基于身份凭证的无线局域网双向接入认证系统及方法 | |
| CN110808991B (zh) | 一种安全通信连接的方法、系统、电子设备及存储介质 | |
| CN110690966B (zh) | 终端与业务服务器连接的方法、系统、设备及存储介质 | |
| CN113163375B (zh) | 一种基于NB-IoT通信模组的空中发证方法和系统 | |
| CN109005032B (zh) | 一种路由方法和装置 | |
| Jiang et al. | No one can track you: Randomized authentication in vehicular ad-hoc networks | |
| CN104468126A (zh) | 一种安全通信系统及方法 | |
| CN114765534A (zh) | 基于国密标识密码算法的私钥分发系统 | |
| CN112954643B (zh) | 直连通信认证方法、终端、边缘服务节点及网络侧设备 | |
| CN108259486B (zh) | 基于证书的端到端密钥交换方法 | |
| CN110166445A (zh) | 一种基于身份的隐私保护匿名认证和密钥协商方法 | |
| CN113556710B (zh) | 一种车辆蓝牙钥匙方法、装置及车辆 | |
| CN104243452A (zh) | 一种云计算访问控制方法及系统 | |
| CN106452767A (zh) | 基于标识认证公钥管理体系的接入认证方法 | |
| KR20010047563A (ko) | 무선통신시스템에서의 공개키 기반 상호 인증 방법 | |
| CN113676330B (zh) | 一种基于二级密钥的数字证书申请系统及方法 | |
| US11570008B2 (en) | Pseudonym credential configuration method and apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |