一种基于区块链的V2X身份管理系统及认证方法

一种基于区块链的v2x身份管理系统及认证方法
技术领域
1.本发明属于安全认证技术领域，具体涉及到一种基于区块链的v2x身份管理系统及认证方法。


背景技术：

2.随着车辆和5g通信技术的结合推动了下一代智能网联汽车的发展。车联网v2x(vehicle-to everything)作为智能交通系统（intelligent traffic system, its）的基础技术，引起了学术界和工业界的广泛关注。车联网以改善道路安全和驾驶条件为主要目标，v2x建立了两种通信类型，即车对车(vehicle-to-vehicle, v2v) 通信和车对基础设施 (vehicle-to-infrastructure, v2i) 通信。通过 c-v2x(cellular-v2x) 技术车辆可以在v2v中交换安全信息，并在v2i中直接与路边单元 (road side unit, rsu) 通信。v2x中的应用依赖于基本安全消息的交换，其中包含车辆状态信息，例如位置、速度和车辆转向信息。每个基本安全信息（bsm）包含由sha256withecdsa 算法对本次消息的数字签名并且配合验证数字签名所需要的证书。
3.v2x(vehicle-to-everything) 场景应用中包括v2v类型的前向碰撞预警、车辆变道/盲区提醒，紧急车辆避让和v2i类型的中禁停预警等。由于车载网络的许多应用都与行车安全直接相关，因此信息认证安全对于实现基于v2v通信的安全应用至关重要。现有的大多数生产实践场景中基于公钥基础设施（public key infrastructure, pki）对车辆身份进行认证，其中一个完全可信的证书颁发机构（certificate authorities, ca）为车辆颁发证书以证明其合法身份。基于pki架构的认证强烈依赖于ca的诚实性，而两辆车之间相互认证的前提是信任为它们签发证书的ca。这要求车辆应属于由同一个根ca监管的安全域，如果不同安全域的车辆不能完成跨ca域互信，相互认证就不能成功进行。并且不同的路侧设备证书体系和车辆证书体系在实际场景中也不尽相同。因此，为解决车辆和路边设备跨域信任问题，提高pki标准的普遍适应性，在认证服务中需要进行跨ca认证。


技术实现要素：

4.针对上述问题，本发明的主要目的在于设计一种基于区块链的v2x身份管理系统及认证方法，在传统ca-pki中心化系统架构的基础上演进，涉及了管理层、服务层和设备层，通过引入区块链实现纵横集成，透明扁平化的证书管理，解决传统ca-pki中心化系统中单点失效、跨域跨平台的身份认证复杂性问题。
5.为了实现上述目的本发明采用如下技术方案：一种基于区块链的v2x身份管理系统，用于车辆身份的安全管理，该系统基于区块链技术结合v2x中心化管理机构、路边通信设备、车辆进行构建管理架构，实现车辆跨域身份互认，构建的管理架构自上而下包括管理层、服务层和设备层；所述的管理层，包括基于区块链技术结合v2x的中心化管理机构，用于制定政策并部署多节点信任区块链；
所述的服务层，包括各个车辆企业自建的服务机构，完成所述管理层和所述设备层的连接，为所述设备层的设备提供服务；所述的设备层，包括的设备为搭载uu接口和pc5接口的车辆、路边单元以及支持v2x通信的智能交通设备，所述设备层多个设备之间的可信关系通过所述管理层的多节点信任区块链共识机制以及pki物理信任链进行实现。
6.作为本发明进一步的描述，所述管理层的各管理发布方以管理节点的身份加入所述管理层，所述设备层与所述管理层相互记录并监督各设备所属的安全域内的设备行为。
7.作为本发明进一步的描述，所述管理层的中心化管理机构包括部署根ca认证机构的企业和行业监管机构；所述根ca认证机构的企业为车辆提供身份认证服务，其身份的认证、更新和注销记录将被企业节点同步共识于其他管理节点；所述行业监管机构为将其域内设备信息同步于所述管理层。
8.作为本发明进一步的描述，所述管理层的中心化管理机构部署多节点信任区块链包括节点的初始化配置、新节点接入认证管理，并基于区块链技术构建所述设备层各设备间的信任枢纽。
9.作为本发明进一步的描述，所述多节点信任区块链的节点功能及权限，根据所述设备层中设备的节点权限不同进行功能划分，包括身份使用方、基础设施和身份管理发布方。
10.作为本发明进一步的描述，所述服务层车辆企业自建的服务机构包括电子认证机构ca、假名身份颁发机构pca、认证授权机构ra以及车辆异常行为检测机构ma、la；所述服务层为所述设备层的设备提供的服务包括注册、认证、异常行为报告。
11.作为本发明进一步的描述，所述企业自建电子认证机构ca由所述根ca认证机构的企业记录并跨域共享于其他安全域的管理节点。
12.一种基于区块链的v2x身份管理系统的认证方法，包括如下步骤：s1：通过管理层的中心化管理机构制定政策并部署各设备的多节点信任区块链，通过多节点的共识协议进行各设备信息公示及同步；s2：设备层的各设备在其所属的安全域内完成身份注册；s3：由服务层的电子认证机构ca颁发各设备的注册证书，并由假名身份颁发机构pca颁发一定有效期内的批量假名证书；s4：基于服务层颁发的证书，通过路侧单元使设备层的各设备之间交互安全信息及实时交通状态。
13.作为本发明进一步的描述，s1中，针对新节点的申请加入需要通过管理节点进行身份审核，审核通过则为申请方进行签名，并作为多节点信任区块链的背书证据，当背书节点超过区块链网络中的所有节点个数的51% 时，系统判定该新节点身份验证通过，将该新节点加入管理节点并记录到多节点信任区块链中，否则此次申请无效。
14.相对于现有技术，本发明的技术效果为：本发明提供了一种基于区块链的v2x身份管理系统及认证方法，基于联盟区块链构建的三层身份管理架构，可以帮助设备层的各设备快速获得基于证书的身份认证服务，在服务层机构与管理层全节点的配合下，辅助设备完成各设备的证书申请、签发、更新和撤
销，并实现各设备高效快速的v2x认证，同时管理层基于联盟链技术，搭建设备层各方互信的管理平台，对设备证书信息和证书状态进行记录，并与异常行为检测机构共同监管设备层各设备的行为，既确保了各方的信任，又使得信任列表高效同步，提高身份认证过程的效率和身份管理系统的通用性和拓展性。
附图说明
15.图1为本发明的三层管理架构示意图；图2为本发明中新节点加入智能合约的示意图。
实施方式
16.下面结合附图对本发明进行详细描述：在本发明的一个实施例中，公开了一种基于区块链的v2x身份管理系统，采用层级化的ca架构，参考图1所示，该系统用于车辆身份的安全管理，具体的，该系统基于区块链技术结合v2x中心化管理机构、路边通信设备、车辆进行构建管理架构，实现车辆跨域身份互认，构建的管理架构自上而下包括管理层、服务层和设备层的管理架构；整个安全域信任的起点为根证书管理机构rca，rca为低等级的注册证书管理机构eca、假名证书管理机构pca和异常行为管理机构ma等颁发证书；其中，rca属于管理层，eca与pca、ma属于服务层。
17.其中，所述的管理层，包括基于区块链技术结合v2x的中心化管理机构，用于制定政策并部署多节点信任区块链，即分布式的联盟区块链；所述的服务层，包括各个车辆企业自建的服务机构，完成所述管理层和所述设备层的连接，为所述设备层的设备提供服务；所述的设备层，包括的设备为搭载uu接口和pc5接口的车辆、路边单元以及支持v2x通信的智能交通设备（如：红绿灯、高速公路收费闸），所述设备层多个设备之间的可信关系通过所述管理层的多节点信任区块链共识机制以及pki物理信任链进行实现。
18.具体的，本实施例，在传统ca-pki中心化系统架构的基础上演进，所述管理层的各管理发布方以管理节点的身份加入所述管理层，且设备层与管理层相互记录并监督各设备所属的安全域内的其他设备行为，上述管理层由一个中心化的管理机构完成政策指定并部署节点之间的信任关系，完成节点的初始化配置、新节点接入认证管理，所述多节点信任区块链的节点功能及权限，根据所述设备层中设备的节点权限不同进行功能划分，包括身份使用方、基础设施和身份管理发布方。此外，上述管理层的中心化管理机构还包括部署根ca认证机构的企业和行业监管机构。
19.基于联盟区块链技术构建所述设备层各设备间的信任枢纽，具体来说，根ca认证机构的企业为车辆提供身份认证服务，其身份的认证、更新和注销记录将被企业节点（在管理层中某个企业参与提供的管理节点）同步共识于其他管理节点（管理层中联盟区块链的一个节点）。因此，该车辆可以快速获得其他安全域内的设备的认可。对于行业监管问题，如负责部署路边单元的交通部门，负责部署红绿灯等智能交通设备的公安部门，也可以将其安全域内设备信息同步于所述管理层，辅助v2x设备之间的安全信息交互，本实施例的v2x设备为所述设备层的车辆、路边单元以及支持v2x通信的智能交通设备。
20.上述服务层各个车辆企业自建的服务机构，包括但不限于由企业自建的电子认证机构ca、假名身份颁发机构pca、认证授权机构ra以及车辆异常行为检测机构ma、la；主要为
设备层的v2x设备提供的服务包括注册、认证、异常行为报告等服务。服务层作为中间层，缓解了大量v2x设备直接与根ca节点（由管理层的权威管理机构提供）交互的通信负担（其中根ca管理认证企业，认证企业管理认证车辆），同时也为企业自建的电子认证机构ca接入根ca认证机构的企业提供了可能。企业自建ca为设备颁发证书，该证书信息由根ca认证机构的企业记录并跨域共享于其他安全域的管理节点，因此在v2v和v2x的认证过程中，对证书有效性的追溯不必经过服务层的ca节点（服务层的各参与方形成的服务节点）。
21.上述设备层的设备在其所属的安全域内完成身份注册，由服务层ca颁发注册证书并由pca颁发一定有效期内的批量假名证书。基于其在系统内的合法身份和密钥，v2x设备之间交互安全信标信息以及实时交通状态。本实施例，v2x设备节点包括车载终端obu和路边单元rsu，认证过程中大部分通信为车辆之间、车辆与路边单元之间的双向认证过程。
22.本实施例，除数量最大车载单元obu和路边单元rsu之外，其他v2x设备均为管理机构，管理节点之间负责证书操作，制定管理规则。而车载obu本身的计算能力和存储能力有限，路边单元rsu具有一定的计算和存储能力，路边单元rsu为防止在道路沿线和十字路口的固定设备，用于收集有关道路交通的信息并将其广播到通信范围内的车载obu。此外，路边单元rsu可以与其它路边单元rsu和ca进行通信，以通过安全通道交换与道路交通有关的消息。联盟区块链架构中由管理节点来进行身份准入和权限限定，适合v2x设备安全认证场景，并且由于算力限制，本实施例系统中的终端设备部适合于消耗计算和存储资源的pow 等共识机制，采用拜占庭容错高速共识协议 hotstuff。
23.还需要说明的是，本实施例，根据节点权限的不同对v2x设备中进行身份使用方、基础设施和身份管理发布方的划分；通常身份使用方主要为车辆obu和路边单元rsu，obu存储和计算资源有限，在高速运动过程中不一定时刻在线，带宽资源有限，但在认证其他实体身份时需能够完成验证操作。基础设施主要为路边单元rsu，包括路边标识牌、交通灯、路边摄像头等，此类设备有一定的计算和存储资源，并且在假名证书体系汇总作为假名证书的分发代理，此类节点需要完整的保留联盟区块链信息来进行身份认证，进一步实现车联网应用。身份管理发布方作为网络中的全节点，各ca节点负责身份体系中的签发和更新策略，所有设备需要在服务层的ca处完成认证后才能获取加入网络的证书信息，注册、更新、撤销证书中的智能合约由管理层的根ca节点制定，参与到管理层中的根ca节点在网络中的定位为管理节点。
24.通过上述内容公开了本实施例的三层管理架构，该管理架构中车辆不承担数据计算工作，不参与工作量机制证明，只进行原始数据的采集、加密、传输，之后把数据提交给rsu，rsu对接收到的数据进行验证，验证通过后将数据传送给服务层的可信节点，可信节点在根据共识机制选取其中一个中心进行记账，其余节点负责校验账本信息。即多个v2x设备中ca-pki之间的可信关系是通过区块链共识机制实现的，通过联盟区块链完成多个信任列表在链上存证，作为不可篡改的背书证据。本实施例，可以帮助v2x设备快速获得基于证书的身份认证服务，在服务层机构与管理层的全节点合作下，辅助v2x设备完成证书申请、签发、更新和撤销，并实现高效快速的v2x认证。此外，管理层基于联盟区块链技术，搭建各方互信的管理平台，对各v2x设备证书信息和证书状态进行记录，并与异常行为检测机构（ma）共同监管v2x设备的行为。
25.在本发明的另一种实施例中，公开一种基于区块链的v2x身份管理系统的认证方
法，涉及到诸多实体职能，并且可以根据职能场景选用区块链架构类型和分配节点类型，现有技术中区块链的实现形式由多种，可以根据场景需求确定唯一的区块链架构类型，且区块链中的节点有不同的角色，比如共识节点、观察节点、游离节点，在设计区块链时可以确定缺点的类型。并在此基础上基于区块链构建证书日志记录，包括可信双向认证、证书注册、证书更新和证书撤销等功能，当车联网安全系统由多个独立pki系统构成时，这些pki系统之间可以根据需要构建可信关系，以便实现跨域身份互认，具体包括如下步骤：s1：通过管理层的中心化管理机构制定政策并部署各设备的多节点信任区块链，通过多节点的共识协议进行各设备信息公示及同步；s2：设备层的各设备在其所属的安全域内完成身份注册；s3：由服务层的电子认证机构ca颁发各设备的注册证书，并由假名身份颁发机构pca颁发一定有效期内的批量假名证书；s4：基于服务层颁发的证书，通过路侧单元使设备层的各设备之间交互安全信息及实时交通状态。
26.s2中，各设备凭借初始信任凭据向注册证书机构eca提交注册申请，注册证书机构eca向v2x设备颁发注册证书（enrollment certificate，ec），作为v2x设备获取假名证书或应用服务层中各应用服务器颁发证书的凭证。车辆、路边单元、基础设施提供商可向假名证书机构pca申请用车-路-云通信签名的假名证书，在需要验证v2x设备具体身份的收费场景中仍需要使用注册身份证书来进行身份验证。
27.发送数据时，v2x设备（obu/rsu）使用服务层的证书管理机构颁发的数字证书（假名证书或应用证书）对其播发的业务消息进行数字签名，之后将业务消息内容、消息签名值以及所使用的数字证书组包后广播；接收数据时，v2x设备（obu/rsu）对发送方（设备层交互的一方）证书进行验证，验证通过后使用发送方证书中的公钥对消息进行验证，用发送方公钥解密消息签名值，并对业务消息取哈希值验证消息签名，进而完成身份认证并检查消息的完整性。
28.另外，在三层架构形成的v2x设备联盟区块链网络中，设置现有的主要汽车生产商、政府管理机构为创世节点。为了保证后续新加入节点（如新加入的汽车生产商、云服务提供商等）身份的真实性、可靠性。管理节点需要对发起申请的新节点身份进行审核，审核通过则为申请方进行签名，作为多节点信任区块链系统中的背书证据，当管理节点超过区块链网络中的所有节点个数的51% 时，系统判定该申请节点身份验证通过，将该节点加入管理节点并记录到多信任区块链中，否则此次申请无效。上述判定机制可有效防止恶意节点随意加入。新节点加入的智能合约设计如图 2 所示。
29.现有技术中多个车联网pki系统之间的可信关系通过一个“可信根证书列表”实现，该信任证书列表在区块链上存证，可信根证书列表的存在与否不会影响各个独立pki系统的运行，但是会影响不同pki系统证书之间是否能够互认。但是，基于列表的信任建立相当不灵活，信任列表的更新也很不方便，无法实现高效、轻量级的跨域认证。例如，如果有一个ca更新了它的公钥，则列表就要同步更新并发到各个车辆，否则跨域认证可能会失败。此外，不同域之间的信任管理需要上级领导机构（如根ca和相应的信任管理机构）的协助，这进一步增大了信任关系维护的复杂性。而本发明的实施例中引入区块链将不同ca作为联盟区块链节点进行公示同步，快速的分发跨域信息，既确保了各方的信任，又使得信任列表高
效同步。
30.本发明的实施例中，引入区块链作为一个去中心化的平台与传统pki结合可以提供去中心化信任并解决跨域（ca）认证问题。ca之间通过共识机制对系统中完成认证的身份进行相互背书，并且pki 日志服务器具有公开透明的机制，让所有参与者能够查看链上信息。区块链共识机制、不可篡改和数据透明的特性能解决现有pki系统存在的问题。区块链和pki结合对于建立一个基于日志的pki体系来说是相互补充的。通过区块链维护公共和永久的日志信息，消除了对单一可信服务器的依赖，例如存储证书操作日志和维护证书撤销列表（crl）。基于区块链的pki架构通过共识协议使得认证机构参与到每个批次的身份认证过程中，将信任分散到所有ca机构，多节点共同构建、维护ca日志服务构架，解决v2x设备身份管理及跨域认证，能够实现v2x设备交互场景下的分布式信任，提高身份认证过程的效率和身份管理系统的通用性和拓展性。
31.以上实施例仅用以说明本发明的技术方案而非限制，本领域普通技术人员对本发明的技术方案所做的其他修改或者等同替换，只要不脱离本发明技术方案的精神和范围，均应涵盖在本发明的权利要求范围当中。

技术特征：
1.一种基于区块链的v2x身份管理系统，用于车辆身份的安全管理，其特征在于：该系统基于区块链技术结合v2x中心化管理机构、路边通信设备、车辆进行构建管理架构，实现车辆跨域身份互认，构建的管理架构自上而下包括管理层、服务层和设备层；所述的管理层，包括基于区块链技术结合v2x的中心化管理机构，用于制定政策并部署多节点信任区块链；所述的服务层，包括各个车辆企业自建的服务机构，完成所述管理层和所述设备层的连接，为所述设备层的设备提供服务；所述的设备层，包括的设备为搭载uu接口和pc5接口的车辆、路边单元以及支持v2x通信的智能交通设备，所述设备层多个设备之间的可信关系通过所述管理层的多节点信任区块链共识机制以及pki物理信任链进行实现。2.根据权利要求1所述的一种基于区块链的v2x身份管理系统，其特征在于：所述管理层的各管理发布方以管理节点的身份加入所述管理层，所述设备层与所述管理层相互记录并监督各设备所属的安全域内的设备行为。3.根据权利要求2所述的一种基于区块链的v2x身份管理系统，其特征在于：所述管理层的中心化管理机构包括部署根ca认证机构的企业和行业监管机构；所述根ca认证机构的企业为车辆提供身份认证服务，其身份的认证、更新和注销记录将被企业节点同步共识于其他管理节点；所述行业监管机构为将其域内设备信息同步于所述管理层。4.根据权利要求3所述的一种基于区块链的v2x身份管理系统，其特征在于：所述管理层的中心化管理机构部署多节点信任区块链包括节点的初始化配置、新节点接入认证管理，并基于区块链技术构建所述设备层各设备间的信任枢纽。5.根据权利要求4所述的一种基于区块链的v2x身份管理系统，其特征在于：所述多节点信任区块链的节点功能及权限，根据所述设备层中设备的节点权限不同进行功能划分，包括身份使用方、基础设施和身份管理发布方。6.根据权利要求5所述的一种基于区块链的v2x身份管理系统，其特征在于：所述服务层车辆企业自建的服务机构包括电子认证机构ca、假名身份颁发机构pca、认证授权机构ra以及车辆异常行为检测机构ma、la；所述服务层为所述设备层的设备提供的服务包括注册、认证、异常行为报告。7.根据权利要求6所述的一种基于区块链的v2x身份管理系统，其特征在于：所述企业自建电子认证机构ca由所述根ca认证机构的企业记录并跨域共享于其他安全域的管理节点。8.一种基于区块链的v2x身份管理系统的认证方法，其特征在于，包括如下步骤：s1：通过管理层的中心化管理机构制定政策并部署各设备的多节点信任区块链，通过多节点的共识协议进行各设备信息公示及同步；s2：设备层的各设备在其所属的安全域内完成身份注册；s3：由服务层的电子认证机构ca颁发各设备的注册证书，并由假名身份颁发机构pca颁发一定有效期内的批量假名证书；s4：基于服务层颁发的证书，通过路侧单元使设备层的各设备之间交互安全信息及实时交通状态。
9.根据权利要求8中所述的一种基于区块链的v2x身份管理系统的认证方法，其特征在于：s1中，针对新节点的申请加入需要通过管理节点进行身份审核，审核通过则为申请方进行签名，并作为多节点信任区块链的背书证据，当管理节点超过区块链网络中的所有节点个数的51% 时，系统判定该新节点身份验证通过，将该新节点加入管理节点并记录到多节点信任区块链中，否则此次申请无效。

技术总结
本发明公开一种基于区块链的V2X身份管理系统及认证方法，基于联盟区块链构建的三层身份管理架构，可以帮助设备层的各设备快速获得基于证书的身份认证服务，在服务层机构与管理层全节点的配合下，辅助设备完成各设备的证书申请、签发、更新和撤销，并实现各设备高效快速的V2X认证，同时管理层基于联盟链技术，搭建设备层各方互信的管理平台，对设备证书信息和证书状态进行记录，并与异常行为检测机构共同监管设备层各设备的行为，既确保了各方的信任，又使得信任列表高效同步，提高身份认证过程的效率和身份管理系统的通用性和拓展性。效率和身份管理系统的通用性和拓展性。效率和身份管理系统的通用性和拓展性。


技术研发人员：高吉 龙承念 张显宏 黄纯洁
受保护的技术使用者：上海交通大学
技术研发日：2023.06.19
技术公布日：2023/9/16