一种基于GBA机制发放证书的方法

本发明属于通信安全认证技术领域，尤其是涉及一种基于GBA机制发放证书的方法。

随着众多业务的开展，业务安全性变得越来越重要，因此3GPP标准组织提出了通用认证架构的概念，解决用户终端与应用服务器之间相互认证的安全问题，其中GBA(Generic Bootstrapping Architecture，通用引导架构)就是一种采用共享密钥的方法进行认证的通用认证架构。GBA技术是运营商提供的一种网络安全认证机制，供V2X实体与平台端建立安全连接并信任实体端。V2X(意为vehicle to everything，即车对外界的信息交换)是未来智能交通系统的关键技术，它使得车与车、车与、与之间能够通信，有效获得实时路况、道路信息、行人信息等一系列交通信息，从而可以提高驾驶安全性，减少拥堵，提高交通效率以及提供车载娱乐信息等，它基于强大的蜂窝网络覆盖，可大幅降低未来自动驾驶和车联网部署成本。同毫米波雷达、激光雷达、摄像头等传感器不同，V2X视为一种无线传感器系统的解决方案，它允许车辆通过通信信道彼此共享信息，它可检测隐藏的威胁，扩大自动驾驶感知范围，能预见接下来会发生什么，从而进一步提升自动驾驶的安全性、效率和舒适性，是自动驾驶的关键推动因素之一。

因此，有必要开发一种基于GBA机制发放证书的方法，通过运营商提供的一种网络安全认证机制GBA机制，供V2X实体与平台端建立安全连接并信任实体端，实现车联网设备中的双向认证，实现对车载终端设备OBU进行安全认证和设备管理，保证了C-V2X车路协同系统的信息安全。

本发明要解决的技术问题是，提供一种基于GBA机制发放证书的方法，通过运营商提供的一种网络安全认证机制GBA机制，供V2X实体与平台端建立安全连接并信任实体端，实现车联网设备中的双向认证，实现对车载终端设备OBU进行安全认证和设备管理，保证了C-V2X车路协同系统的信息安全。

为了解决上述技术问题，本发明采用的技术方案是：该基于GBA机制发放证书的方法，具体包括以下步骤：

S1：将全球用户识别卡USIM嵌入在车载终端设备OBU和路侧单元端RSU，并关联绑定信息，车载终端设备OBU和路侧单元端RSU则生成密钥对，作为V2X数字证书申请时使用；

S2：所述车载终端设备OBU和路侧单元端RSU接入网络并通过网络访问CA认证机构，通过GBA技术进行认证，即认证全球用户识别卡USIM的用户信息以及车载终端设备OBU设备，认证通过后，由核心网协商会话密钥；

S3：所述CA认证机构的认证端提供身份信息及密钥，并基于协商会话的密钥建立安全通道；

S4：在建立所述安全通道后，所述车载终端设备OBU和路侧单元端RSU则发送申请证书请求，所述CA认证机构审核认证合格后生成并签发证书；

S5：所述车载终端设备OBU和路侧单元端RSU下载证书并存储。

采用上述技术方案，将全球用户识别卡USIM嵌入在车载终端设备OBU和路侧单元端RSU中，全球用户识别卡USIM是在车载终端设备OBU和路侧单元端RSU里的一个密码应用安全模块，能够提供密钥对生成存储、证书申请、证书存储等功能；再基于GBA安全设计(GBA是3GPP定义的网络通信认证解决方式)来作为车载终端设备OBU和路侧单元端RSU的安全信任节点；通过GBA方式实现对用户实体的认证，建立信任之后可申请下发EC注册证书、假名PC证书、身份证书；AKA是GBA的认证机制，将安全服务的功能独立于应用服务之外，在用户实体层与安全服务端之间通过引导服务功能使用AKA机制生成密钥，然后应用服务端从安全服务端获取密钥和用户信息，然后应用层和用户实体层都有了密钥。

作为本发明的优选技术方案，所述步骤S2中所述CA认证机构通过GBA技术进行认证，所述GBA技术的架构包括应用层和用户实体层，所述应用层包括安全服务端和应用服务端，所述用户实体层包括车载终端设备OBU和路侧单元端RSU，所述用户实体层与所述安全服务端之间通过引导服务器的引导服务功能使用密钥协商AKA认证机制生成密钥，然后所述应用服务端从所述安全服务端获取密钥和用户信息，所述用户实体层再通过认证请求且经过双向认证合格后从所述应用服务端获取密钥。

作为本发明的优选技术方案，所述步骤S4中和所述步骤S5中的证书包括注册证书和数字证书，所述数字证书包括假名证书、应用证书和身份证。

作为本发明的优选技术方案，所述步骤S4中当所述车载终端设备OBU和路侧单元端RSU是第一次申请证书时则申请的是注册证书，同时所述CA认证机构审核生成并签发注册证书；当所述车载终端设备OBU和路侧单元端RSU是非首次申请证书时则申请的是数字证书，同时所述CA认证机构审核生成并签发数字证书。

作为本发明的优选技术方案，所述步骤S2中所述车载终端设备OBU和路侧单元端RSU通过WiFi无线网络、蜂窝网络、4G网络和5G网络与所述CA认证机构相连接。

作为本发明的优选技术方案，所述步骤S2中在所述引导服务器向所述用户实体层提供注册信息和服务之前，所述用户实体层需将所述用户实体层的认证标识传递给所述引导服务器，所述认证标识为所述用户实体层的终端设备中运行的客户端标识。

作为本发明的优选技术方案，所述客户端标识为永久标识或临时标识，包括SUPI、SUCI、IMSI、IMPI、TMPI、GUTI、TMSI、IMPU、AppID、网络标识、服务标识和NAI中任意一种。

作为本发明的优选技术方案，所述车载终端设备OBU包括北斗定位通信授时模块、通信模块、C-V2X无线通信模块、主控模块和电源模块，所述北斗定位通信授时模块、通信模块和C-V2X无线通信模块均分别与所述主控模块和电源模块相连接，所述电源模块分别为所述北斗定位通信授时模块、通信模块和C-V2X无线通信模块供电；所述主控模块包含有存储模块和通信接口模块，所述车载终端设备通过所述通信模块与边缘计算系统之间进行无线通信；所述车载终端设备通过C-V2X无线通信模块和V2X卫星天线与路侧单元端RSU进行节点通信。其中车载电源是整个车载无线通信单元能否正常运行的关键部件，整个终端的正常供电来自车辆内部的车载电源。本系统中的供电电源主要给各功能模块供电，由于无线通信模块、4G/5G网络模块等功率较大，并考虑系统运行过程中低功耗控制问题，将电源分为两路设计，一路单独给通信模块供电，另一路给处理器及定位等供电。车辆用电瓶的电压一般是12V或者24V。但是在车辆实际运行中，电源电压会随着车辆的运行出现较大的波动。12V的车载电源在车辆启动时，电源电压可以降到8V左右，24V的车载电源在车辆速度较快时，电源电压又会升到36V左右，因此车载终端电源设计时需要考虑车载电源电压的波动范围，并根据这个波动范围研究应用适合宽电压输入的要求的电源转换电路。

作为本发明的优选技术方案，所述路侧单元端RSU通过多种通信方式连接多种所述交通设施，所述路侧单元端RSU包括视频车输检测器、雷达型车辆检测器和气象数据采集器，所述视频车输检测器、雷达型车辆检测器和气象数据采集器均通过网络与云平台通讯连接，所述交通设施包括交通信号机、交通电子标志版面和车位检测设备。

作为本发明的优选技术方案，所述路侧单元端RSU还包括有通信单元和控制单元，所述通信单元用于提供各种信息通信接口，包括无线通信和有线通信；其中所述有线通信接口提供串口通信、网口通信、电平量/开关量数字IO通信；所述无线通信接口包括PC5短程通信和Uu移动链路通信；所述控制单元采用致远电子公司的M6708作为核心处理器用于接收来交通设施和云平台的各类数据。其中控制单元采用致远电子公司的M6708作为核心处理器，交通设施的各类数据包括卡口、电子警察的过车数据，车辆检测器检测交通流量、流速、排队长度等数据，交叉口交通信号控制方案等信息；云平台下达的交通信息包括道路阻断、交通施工、交通事故等事件信息等，并融合其他各类交通信息进行综合分析计算；通信单元可选用国产大唐高鸿公司的通信模组DMD3A，或者高通的DMD9150芯片组。工作于5.905～5.925GHz微波频段，支持3GPP R14标准，支持实现5G通信、V2I、I2P通信等功能；其中有线通信接口提供串口通信、网口通信、电平量/开关量数字IO通信等；无线通信接口主要提供PC5短程通信、Uu移动链路通信，系统通过有线通信接口交叉口其他交通设备(如车辆检测设备、监控设备、违法抓拍设备、诱导屏、可变限速牌等)进行数据通信；通过PC5口与车载终端设备OBU等进行通信。

作为本发明的优选技术方案，所述交通信号机为C-V2X交通信号机，所述C-V2X交通信号机包括信号机控制单元、数据接入单元和信号机通信单元，所述数据接入单元和信号机通信单元均与所述信号机控制单元相连接，所述C-V2X交通信号机接收各种数据，将接收的数据提供给融合感知单元进行处理，将处理结果上传至边缘计算系统；同时接收边缘计算系统的实时调整车路协同优化控制策略与控制方案，并通过外接的包括交通信号灯、倒计时显示器、交通信息屏和电子标志版面的交通显示设备输出，实现车路协同交通精准管控。

相比现有技术，该技术方案具有的有益效果是：该基于GBA机制发放证书的方法通过运营商提供的一种网络安全认证机制GBA机制，供V2X实体与平台端建立安全连接并信任实体端，实现车联网设备中的双向认证，实现对车载终端设备OBU进行安全认证和设备管理，保证了C-V2X车路协同系统的信息安全。

下面结合附图和本发明的实施方式进一步详细说明：

图1为本发明的基于GBA机制发放证书的方法的流程示意图；

图2为本发明的基于GBA机制发放证书的方法的GBA技术的架构示意图；

图3是本发明的基于GBA机制发放证书的方法的车载终端设备的结构示意图。

实施例：如图1所示，该基于GBA机制发放证书的方法，具体包括以下步骤：

S1：将全球用户识别卡USIM嵌入在车载终端设备OBU和路侧单元端RSU，并关联绑定信息，车载终端设备OBU和路侧单元端RSU则生成密钥对，作为V2X数字证书申请时使用；

S2：所述车载终端设备OBU和路侧单元端RSU接入网络并通过网络访问CA认证机构，通过GBA技术进行认证，即认证全球用户识别卡USIM的用户信息以及车载终端设备OBU设备，认证通过后，由核心网协商会话密钥；

如图2所示，所述步骤S2中所述CA认证机构通过GBA技术进行认证，所述GBA技术的架构包括应用层和用户实体层，所述应用层包括安全服务端和应用服务端，所述用户实体层包括车载终端设备OBU和路侧单元端RSU，所述用户实体层与所述安全服务端之间通过引导服务器的引导服务功能使用密钥协商AKA认证机制生成密钥，然后所述应用服务端从所述安全服务端获取密钥和用户信息，所述用户实体层再通过认证请求且经过双向认证合格后从所述应用服务端获取密钥；

所述步骤S2中所述车载终端设备OBU和路侧单元端RSU通过WiFi无线网络、蜂窝网络、4G网络和5G网络与所述CA认证机构相连接；所述步骤S2中在所述引导服务器向所述用户实体层提供注册信息和服务之前，所述用户实体层需将所述用户实体层的认证标识传递给所述引导服务器，所述认证标识为所述用户实体层的终端设备中运行的客户端标识；所述客户端标识为永久标识或临时标识，包括SUPI、SUCI、IMSI、IMPI、TMPI、GUTI、TMSI、IMPU、AppID、网络标识、服务标识和NAI中任意一种；

S3：所述CA认证机构的认证端提供身份信息及密钥，并基于协商会话的密钥建立安全通道；

S4：在建立所述安全通道后，所述车载终端设备OBU和路侧单元端RSU则发送申请证书请求，所述CA认证机构审核认证合格后生成并签发证书；

所述步骤S4中和所述步骤S5中的证书包括注册证书和数字证书，所述数字证书包括假名证书、应用证书和身份证；

所述步骤S4中当所述车载终端设备OBU和路侧单元端RSU是第一次申请证书时则申请的是注册证书，同时所述CA认证机构审核生成并签发注册证书；当所述车载终端设备OBU和路侧单元端RSU是非首次申请证书时则申请的是数字证书，同时所述CA认证机构审核生成并签发数字证书；

S5：所述车载终端设备OBU和路侧单元端RSU下载证书并存储。

如图3所示，所述车载终端设备OBU包括北斗定位通信授时模块、通信模块、C-V2X无线通信模块、主控模块和电源模块，所述北斗定位通信授时模块、通信模块和C-V2X无线通信模块均分别与所述主控模块和电源模块相连接，所述电源模块分别为所述北斗定位通信授时模块、通信模块和C-V2X无线通信模块供电；所述主控模块包含有存储模块和通信接口模块，所述车载终端设备通过所述通信模块与边缘计算系统之间进行无线通信；所述车载终端设备通过C-V2X无线通信模块和V2X卫星天线与路侧单元端RSU进行节点通信；其中车载电源是整个车载无线通信单元能否正常运行的关键部件，整个终端的正常供电来自车辆内部的车载电源。本系统中的供电电源主要给各功能模块供电，由于无线通信模块、4G/5G网络模块等功率较大，并考虑系统运行过程中低功耗控制问题，将电源分为两路设计，一路单独给通信模块供电，另一路给处理器及定位等供电。车辆用电瓶的电压一般是12V或者24V。但是在车辆实际运行中，电源电压会随着车辆的运行出现较大的波动。12V的车载电源在车辆启动时，电源电压可以降到8V左右，24V的车载电源在车辆速度较快时，电源电压又会升到36V左右，因此车载终端电源设计时需要考虑车载电源电压的波动范围，并根据这个波动范围研究应用适合宽电压输入的要求的电源转换电路。

所述路侧单元端RSU通过多种通信方式连接多种所述交通设施，所述路侧单元端RSU包括视频车输检测器、雷达型车辆检测器和气象数据采集器，所述视频车输检测器、雷达型车辆检测器和气象数据采集器均通过网络与云平台通讯连接，所述交通设施包括交通信号机、交通电子标志版面和车位检测设备；所述路侧单元端RSU还包括有通信单元和控制单元，所述通信单元用于提供各种信息通信接口，包括无线通信和有线通信；其中所述有线通信接口提供串口通信、网口通信、电平量/开关量数字IO通信；所述无线通信接口包括PC5短程通信和Uu移动链路通信；所述控制单元采用致远电子公司的M6708作为核心处理器用于接收来交通设施和云平台的各类数据。其中控制单元采用致远电子公司的M6708作为核心处理器，交通设施的各类数据包括卡口、电子警察的过车数据，车辆检测器检测交通流量、流速、排队长度等数据，交叉口交通信号控制方案等信息；云平台下达的交通信息包括道路阻断、交通施工、交通事故等事件信息等，并融合其他各类交通信息进行综合分析计算；通信单元可选用国产大唐高鸿公司的通信模组DMD3A，或者高通的DMD9150芯片组。工作于5.905～5.925GHz微波频段，支持3GPP R14标准，支持实现5G通信、V2I、I2P通信等功能；其中有线通信接口提供串口通信、网口通信、电平量/开关量数字IO通信等；无线通信接口主要提供PC5短程通信、Uu移动链路通信，系统通过有线通信接口交叉口其他交通设备(如车辆检测设备、监控设备、违法抓拍设备、诱导屏、可变限速牌等)进行数据通信；通过PC5口与车载终端设备OBU等进行通信；所述交通信号机为C-V2X交通信号机，所述C-V2X交通信号机包括信号机控制单元、数据接入单元和信号机通信单元，所述数据接入单元和信号机通信单元均与所述信号机控制单元相连接，所述C-V2X交通信号机接收各种数据，将接收的数据提供给融合感知单元进行处理，将处理结果上传至边缘计算系统；同时接收边缘计算系统的实时调整车路协同优化控制策略与控制方案，并通过外接的包括交通信号灯、倒计时显示器、交通信息屏和电子标志版面的交通显示设备输出，实现车路协同交通精准管控。

上面结合附图对本发明的实施方式作了详细的说明，但是本发明不限于上述实施方式，在所属技术领域普通技术人员所具备的知识范围内，还可以在不脱离本发明宗旨的前提下做出各种变化。