技术领域
[0001] 本
发明涉及车辆网通信安全技术,具体涉及一种基于边缘计算的车联网安全数据分享方法。
背景技术
[0002] 车联网(VANETs)是移动自组网在交通领域的一个重要应用,核心架构于2001年首次被提出。车联网的核心思想是,车辆在特定的通信范围内自动连接到移动网络,这些连接的车辆能够交换信息,例如速度、
位置和车载
传感器检测到的数据。车联网的通信方式包括车辆间通信(V2V),车辆与公共
基础设施间(V2I)的通信,通过实现实时信息交换,从而为人们提供交通服务。
[0003] VANETs通常由三部分组成,即可信机构(TA)、路边单位(RSU)和车载单位(OBU)。TA是一个计算性能强、存储能
力大、被车联网所有实体所信赖的管理中心,负责密钥材料的注册和分发。RSU位于道路两侧,通过无线信道与车辆交互,并充当车辆与TA之间的
桥梁。OBU是一种安装在车辆上的计算设备,负责V2V和V2I通信,处理交通信息的发布和接收,以改善用户的驾驶体验。车辆就是否参与边缘计算可分为两种,参与的是边缘计算车辆(ECV),不参与的是普通车辆(OVU)。在本方案中,还有
云服务提供商(CSP)的
角色。就功能而言,CSP负责存储车辆发送的数据,包括敏感或者隐私数据。对于处于不同域之间的车辆的数据交换,车辆往往无法直接进行交换,但可通过CSP完成数据交换。
[0004] 信息技术的发展对不同网络间的信息采集和信息共享提出了要求。在一个域中收集的数据可能不满足用户的要求,因为所需的数据可能存在于另一个管理域中。这里的域既可以是地理域,也可以是服务域。例如,处于域A中的车辆可能会需要向域B中的车辆共享数据,这些数据既可以是加密的也可以是未加密的。传统的车辆跨域数据分享的方法依赖于RSU,会导致RSU出现严重的延迟和大的负载。
发明内容
[0005] 发明目的:本发明的目的在于解决
现有技术中存在的不足,提供一种基于边缘计算的车联网安全数据分享方法,本发明通过利用边缘计算理念选举边缘计算车辆ECV作为边缘计算
节点,ECV整合从OBU和RSU获得的信息,并根据车辆提出的
请求调度数据,两个域之间数据共享的请求和响应通过CSP及其各自的ECV传输。整个过程中,通过使用基于椭圆曲线
密码学的签名生成与认证方案,保证了消息的完整性与可认证性;通过使用属性加密
算法,分享的消息可以进行
访问控制。
[0006] 技术方案:本发明的一种基于边缘计算的车联网安全数据分享方法,包含以下步骤:
[0007] (1)车联网所有实体的初始化:
[0008] (1.1)TA生成系统参数,即由TA负责初始化包括系统公钥和系统私钥在内的参数信息;
[0009] (1.1.1)TA随机选取q,并基于有限域Fq选取两个随机数a和b,生成一个定义为y2=x3+ax+b mod q的非奇异椭圆曲线E,并在E对应的群中随机选取生成元P∈E;
[0010] (1.1.2)TA随机选取 作为系统私钥,计算出系统公钥PKs=ksP;
[0011] (1.1.3)TA随机选取 作为RSU的私钥,计算出RSU的公钥PKR=kRP;
[0012] (1.1.4)TA选取安全的hash函数:h:{0,1}*→Zq;
[0013] (1.2)TA为每辆车颁发必要参数信息,即TA向每辆车颁发必要的密钥和初始验证材料;
[0014] (1.2.1)TA为每辆车分配真实身份RID及密码PWD,在专用网络中通过安全的通道将RID、PWD以及系统私钥s预加载至车辆的TPD模
块中,
[0015] (1.2.2)TA随机选取两个数 作为用于加解密的参数;
[0016] (1.2.3)TA向所有车辆发布系统参数{q,a,b,P,PKs,PKR,h,α,β};
[0017] (2)车辆间数据安全分享:
[0018] (2.1)车辆发布请求信息,即车辆生成包括
假名、请求在内的消息以及对应的签名,并发送给边缘计算车辆;
[0019] (2.2)边缘计算车辆处理与转发请求信息,即边缘计算车辆对收到的车辆消息进行认证,并将所在域的属性集加密后发回;
[0020] (2.3)数据发布车辆加密数据,即数据发布车辆通过解密算法得出属性集后,使用属性加密算法对数据进行加密,然后发送给数据请求车辆;
[0021] (2.4)数据请求车辆解密数据,即数据请求车辆通过基于属性的解密算法解密出数据,从而完成数据分享过程。
[0022] 其中,“车辆”包括“边缘计算车辆”、“数据发布车辆”以及“数据请求车辆”,“数据发布车辆”是指需要发布数据的车辆(而有些车辆可能就不需要发布自己的数据);“数据请求车辆”指的是请求接收“数据发布车辆”分享的数据的车辆;“边缘计算车辆”是前两种车辆之间的中介,即负责中转调度数据。
[0023] 进一步的,所述步骤(2.1)的详细过程为:
[0024] 假定域A中的车辆OVUA想和域B中的车辆OVUB共享数据,OVUA随机生成一个数kA∈[1,n-1]作为私钥,计算KA=kAP作为公钥;接着OVUA向TPD中输入真实身份RID和密码PWD以认证身份的合法性,如果这两个值与TPD中预存值不对应,则拒绝后续步骤。如果验证通过,TPD将会计算假名 其中为TPD生成的随机数;为防止消息在传输过程中被恶意攻击者篡改,车辆需要对自己发送的消息进行签名,对消息m的签名为 其中T为当前的时间戳;
在对公钥和请求进行签名,车辆OVUA发送公钥、请求、附加消息以及签名集合
发送给域A中的边缘计算车辆ECVA。
[0025] 进一步的,所述步骤(2.2)的具体方法为:
[0026] 边缘计算车辆ECVA在收到OVUA的消息后,首先进行消息认证,即通过判断等式是否成立确定消息的合法性,若合法则将请求消息转发给CSP,CSP通过解析消息内容得出OVUA想要与域B的车辆共享内容,并将原始请求转发给域B中的边缘计算车辆ECVB;ECVB在收到消息并进行签名认证后,如果认证通过,则将域B的属性LB加密;具体而言,ECVB随机生成r∈[1,n-1],计算对应的公钥R=rP,生成对话密钥S=rKA,并对域B中的属性集通过RFC 3602标准定义的AES-CBC加密算法即c=ENCS(LB)进行加密;接着再对进行属性密文集合签名后,将消息签名对发送给OVUA。
[0027] 进一步的,所述步骤(2.3)的具体方法为:
[0028] (2.3.1)对于收到的属性密文集合,OVUA首先进行签名认证,如果认证通过,则先计算会话密钥,然后使用AES-CBC解密算法进行解密,从而得到域B的属性集。具体而言,首先计算会话密钥S=rKA=rkAP=kAR,通过使用AES-CBC解密算法即LB=DECS(c)得到域B的属性集。
[0029] (2.3.2)OVUA根据实际情况基于域B的属性集定义针对域B的访问控制策略,并基于访问控制策略加密想要共享的数据,此时只有域B的车辆具有的属性满足该访问控制策略时才可以解密数据。
[0030] 具体而言,OVUA首先根据需要定义访问控制策略(M,ρ),其中M是一个x行y列的矩阵,ρ(i)是一个将矩阵M的第i行映射到属性集LB的函数。与此同时,OVUA生成一个双线性对e:G×G→GT,其中G和GT都为q阶乘法循环群,并选取生成元g∈G,随机生成α,β∈Zq并计算e(g,g)α和gβ,随机生成f1,...,fX对应属性集LB的所有值,并公开参数g、e(g,g)α、gβ、f1,...,fX。接着OVUA随机生成一个向量 计算 其中Mi指的是矩阵M的第i行,通过这样的设置访问者的属性集{wi∈Zq}i∈{1,...,x}需要满足 才可以解密加密的数据。对于想要分享的数据m,OVUA计算C=me(g,g)αγ和C'=gγ,与此同时,对于矩阵M的每一行i=1,...,x,分别计算 和 其中r1,...,rx∈Zq为随机值。完成上述步骤
后,OVUA发送共享数据对应的密文集合CT={g,C,C',(Ci,Di)}i∈{1,...,x}。
[0031] 进一步的,所述步骤(2.4)的具体方法为:
[0032] 域B中的车辆OVUB在收到域A中的车辆OVUA发送的加密数据后,只要OVUB具有的属性满足OVUA定义的访问结构,即可解密数据。具体而言,在域LA内的属性集为A的车辆计算私钥 F= gαgβε,L =gε,并 针 对 属 性 集计 算 最 后 解 密 数 据
[0033] 有益效果:与现有技术相比,本发明具有以下优点:
[0034] (1)本发明采用基于椭圆曲线密码学的签名和加解密算法,使得签名生成认证和属性集加解密成本较低;
[0035] (2)本发明结合边缘计算的理念并从安全通信角度考虑到了车联网中的数据安全分享问题。
[0036] (3)本发明通过使用密文策略属性基加密算法,使得跨域分享的数据能够支持访问控制。
附图说明
[0037] 图1为本发明的系统模型图;
[0038] 图2为本发明的交互过程示意图;
[0039] 图3为本发明的车辆发布请求信息的过程;
[0040] 图4为本发明的边缘计算车辆处理与转发请求信息的过程。
具体实施方式
[0041] 下面对本发明技术方案进行详细说明,但是本发明的保护范围不局限于所述
实施例。
[0042] 如图1所示,本发明的一种基于边缘计算的车联网高效消息认证方案的系统模型中主要包含四种参与者,即可信实体(TA)、路边单元(RSU)、车辆单元(OBU)、云服务提供商(CSP)。其中TA负责整个系统的参数初始化、密钥材料生成和发布等功能,假设安全上不可被攻破,为车联网中其它实体所信任。RSU作为TA和OBU的中介,负责认证周边车辆的消息签名合法性,并将结果作为一种服务广播至周边车辆。OBU作为车辆的车联网模块,负责车辆的通信,其中车辆分为普通车辆(OVU)和边缘计算车辆(ECV),边缘计算车辆是从普通车辆中选取出的具有较高可信度、计算与存储性能较高的车辆,负责数据的转发。CSP负责存储车辆发送的数据,包括敏感或者隐私数据;对于处于不同域之间的车辆的数据交换,车辆往往无法直接进行交换,但可通过CSP完成数据交换。
[0043]
[0044] 实施例1:
[0045] 本实施例的基于边缘计算的车联网安全数据分享方法,交互图如图2所示,主要包括以下步骤:
[0046] (1)车联网所有实体的初始化:TA生成系统参数、TA为每辆车颁发必要参数信息;
[0047] (2)车辆间数据安全分享:车辆发布请求信息、边缘计算车辆处理与转发请求信息、数据发布车辆加密数据、数据请求车辆解密数据。
[0048] 步骤(1)的TA生成系统参数,TA生成必要的系统参数,包括椭圆曲线参数、系统公钥、主私钥等,具体步骤如下:
[0049] 1)TA随机选取q,并基于有限域Fq选取两个随机数a和b,生成一个定义为y2=x3+ax+b mod q的非奇异椭圆曲线E,并在E对应的群中随机选取生成元P∈E;
[0050] 2)TA随机选取 作为系统私钥,计算出系统公钥PKs=ksP;
[0051] 3)TA随机选取 作为RSU的私钥,计算出RSU的公钥PKR=kRP;
[0052] 4)TA选取安全的hash函数:h:{0,1}*→Zq。
[0053] 步骤(1)的TA为每辆车颁发必要参数信息,具体过程如下所示:
[0054] 1)TA为每辆车分配真实身份RID及密码PWD,在专用网络中通过安全的通道将RID、PWD以及系统私钥s预加载至车辆的TPD模块中,
[0055] 2)TA随机选取两个数 作为用于加解密的参数;
[0056] 3)TA向所有车辆发布系统参数{q,a,b,P,PKs,PKR,h,α,β}。
[0057] 步骤(2)的车辆发布请求信息,过程如图3所示,具体过程描述如下:
[0058] 假定域A中的车辆OVUA想和域B中的车辆OVUB共享数据,OVUA随机生成一个数kA∈[1,n-1]作为私钥,计算KA=kAP作为公钥。接着OVUA向TPD中输入真实身份RID和密码PWD以认证身份的合法性,如果这两个值与TPD中预存值不对应,则拒绝后续步骤。如果验证通过,TPD将会计算假名 具体而言, 其中 为TPD生成的随机数, 为了防止消息在传输过程中被恶意攻击者篡改,车辆需
要对自己发送的消息进行签名,对消息m的签名为 其中T为当
前的时间戳。在对公钥和请求进行签名,发送公钥、请求、附加消息以及签名集合发送给边缘计算车辆ECVA。
[0059] 步骤(2)的边缘计算车辆处理与转发请求信息,过程如图4所示,具体过程描述如下:
[0060] 边缘计算车辆ECVA在收到OVUA的消息后,首先进行消息认证,即通过判断等式是否成立确定消息的合法性,若合法则继续检查时间戳的合法性,若有效则将请求消息转发给CSP,CSP通过解析消息内容得出OVUA想要与域B的车辆共享内容,接着将原始请求转发给域B中的边缘计算车辆ECVB。ECVB在收到消息并进行签名认证后,认证方法与上面的等式相同,如果认证通过,则将域B的属性LB使用RFC3602标准定义的AES-CBC加密算法进行加密。具体而言,ECVB随机生成r∈[1,n-1],计算对应的公钥R=rP,生成对话密钥S=rKA,并对域B中的属性集通过AES-CBC加密算法即c=ENCS(LB)进行加密。接着再对进行属性密文集合签名,签名方法为最后将消息签名对 发送给OVUA。
[0061] 步骤(2)的数据发布车辆加密数据,具体过程如下所述:
[0062] 1)对于收到的属性密文集合,OVUA首先进行签名认证,如果认证通过,则先计算会话密钥,然后使用RFC 3602标准定义的AES-CBC解密算法进行解密,从而得到域B的属性集。具体而言,OVUA首先计算会话密钥S=rKA=rkAP=kAR,通过使用AES解密算法即LB=DECS(c)得到域B的属性集。
[0063] 2)OVUA根据实际情况基于域B的属性集定义针对域B的访问控制策略,并基于访问控制策略加密想要共享的数据,这样域B的车辆具有的属性只有满足该访问控制策略才可以解密数据。具体而言,OVUA首先根据需要定义访问控制策略(M,ρ),其中M是一个x行y列的矩阵,ρ(i)是一个将矩阵M的第i行映射到属性集LB的函数。与此同时,OVUA生成一个双线性对:G×G→GT,其中G和GT都为q阶乘法循环群,并选取生成元g∈G,随机生成α,β∈Zq并计算e(g,g)α和gβ,随机生成f1,...,fX对应属性集LB的所有值,并公开参数g、e(g,g)α、gβ、f1,...,fX。接着OVUA随机生成一个向量 计算 其中Mi指的是矩阵M的第i行,通过这样的设置访问者的属性集{wi∈Zq}i∈{1,...,x}需要满足 才可以解密加密的数据。对于想要分享的数据m,OVUA计算C=me(g,g)αγ和C'=gγ,与此同时,对于矩阵M的每一行i=1,...,x,分别计算 和 其中r1,...,rx∈Zq为随机值。完成上述步骤
后,OVUA发送共享数据对应的密文集合CT={g,C,C',(Ci,Di)}i∈{1,...,x}。
[0064] 步骤(2)中数据请求车辆解密数据,具体方法为:
[0065] 域B中的车辆OVUB在收到域A中的车辆OVUA发送的加密数据后,只要OVUB具有的属性满足OVUA定义的访问结构,即可解密数据。具体而言,在域LA内的属性集为A的车辆计算私钥F=gαgβε,L=gε,并针对属性集计算 最后解密数据
[0066] 本发明通过利用边缘计算理念选举一些称为边缘计算车辆(ECV)的车辆作为边缘计算节点,这些车辆具有高可信度、计算与存储性能较好的特点。ECV整合从OBU和RSU获得的信息,并根据车辆提出的请求调度数据,比如将域A中车辆分享的数据发送给域B中的车辆;两个域之间数据共享的请求和响应通过CSP及其各自的ECV传输;该共享数据采用密文策略属性基加密算法进行加密,其中属性集合的加密通过基于椭圆曲线密码学和对称加密的方案来实现。
[0067] 在本发明的整个过程中,通过使用基于椭圆曲线密码学的签名生成与认证方案,保证了消息的完整性与可认证性,使得签名生成认证和属性集加解密成本较低;通过结合边缘计算的理念并从安全通信角度考虑到了车联网中的数据安全分享问题,车联网处于不同域中的车辆可以通过定义针对属性的访问控制策略,只需要广播同一密文,即可做到加密内容的访问控制。
