一种基于区块链技术的车辆移动自组网安全认证方法

1.本发明属于车辆移动自组网通信安全领域，具体涉及一种基于区块链技术的车辆移动自组网安全认证方法。


背景技术：

2.车辆移动自组网从早期的军事战场环境逐步扩展至应急通信、地下车库通信等场景，其应用领域日渐广泛和开放。与具有基础设施的移动通信系统不同，车辆移动自组网中的节点都具备参与组网的能力。在此前提下，对节点的认证结果不仅关系到是否允许该节点接入网络并按权限规定使用网络资源，更为重要的是对节点合法性身份的确认，进而保证车辆移动自组网中通信过程的防假冒和不可抵赖性。因此，安全有效的认证通信机制一直是车辆移动自组网的核心需求之一。
3.车辆移动自组网是一种由几十到上百个移动节点组成的可移动性对等网络，通过无线链路的连接形成任意的网络拓扑结构，一般缺乏中央集中管理机制，具有分散性和动态多跳变化的特性。受限于复杂的空间网络环境,加上分布式网络本身具有结构松散,暴露环节多等特点，传统的互联网组网服务和技术并不总是能很容易地移植到车辆移动自组网场景中。车辆移动自组网缺乏基础设施支持,没有中心授权和认证机构,节点网络拓扑动态变化,因此节点之间难以建立起可靠的信任关系,这些都使得传统的加密和认证机制在车辆移动自组网难以照搬。
4.区块链的去中心化、用于同步的共识机制、防篡改等性质,对车辆移动自组网的发展提供了新思路,针对中心化的身份认证体制存在的不适用性,许多方案将传统的ca布置在区块链的多个节点上以实现分布式的认证。区块链的引入带来了很多好处：第一，区块链的共识机制原生支持多节点的数据一致性，可以利用运行在区块链上的高级编程语言智能合约将相关数据存储于区块链，这样用户可以在多节点下进行证书申请与查询；第二，区块链因其去中心化与不可篡改的性质，其下的通信具有信任基础，不同用户可以进行安全的信息交互。因此，如何将区块链技术合理高效地运用于车辆移动自组网通信安全领域是亟待考虑的问题。


技术实现要素：

5.为解决上述问题，本发明公开了一种基于区块链技术的车辆移动自组网安全认证方法，可快速完成身份的安全认证和安全通信，确保车辆移动自组网通信环境的安全性、可靠性。
6.为达到上述目的，本发明的技术方案如下：一种基于区块链技术的车辆移动自组网安全认证方法，包含通用区块链和证书吊销列表链的双链以及包含证书新增区块和证书吊销区块的双区块混合结构类型的ca区块链，依据该混合结构的ca区块链实现车辆移动自组网中通信节点间的安全认证，进而进行安全通信。其中证书新增区块用于记录车辆移动自组网中新入网的通信节点的数字身份证
书，证书吊销区块用于记录车辆移动自组网中撤离吊销的通信节点的数字身份证书，这些区块均由车辆移动自组网中通信节点共识产生。通用区块链直接连接相邻的区块，证书吊销列表链连接相邻的证书吊销区块。新的通信节点在入网通信前，通过原有的通信节点的共识机制将其数字身份证书上链；通信节点在撤离吊销时，其证书会通过现有的通信节点的共识机制将其数字身份证书序列号上链；当车辆移动自组网中通信节点安全认证时，通过查询区块链中证书吊销列表链查询证书吊销状态，利用证书新增区块快速确认证书真实性，进而完成安全通信。
7.进一步的，证书新增区块和证书吊销区块之间的连接方式为拓扑连接，每种区块的设计如下：（1）证书新增区块由428字节区块头和可变长度区块体组成，区块头字段包括4字节当前区块版本号version、32字节上一区块哈希值prehash、32字节本区块merkleroot哈希值merkleroothash、8字节区块生成时间戳timestamp、128字节本区块生成者公钥autpubkey、128字节区块签名signature、32字节区块序列号blocknum和32字节车辆移动自组网中通信节点数量connum；证书新增区块的区块体中包含一定时间段内新增的证书记录，由于单个区块可以记录大量证书，这些证书通过合法通信节点的一次集体签名保证证书的合法有效，通过区块链的不可篡改性保证其安全；（2）证书吊销区块由428字节区块头和可变长度区块体组成，区块头字段包括4字节当前区块版本号version、32字节上一区块哈希值prehash、32字节本区块体内容哈希值conhash、8字节区块生成时间戳timestamp、128字节本区块生成者公钥autpubkey、128字节区块签名signature、32字节上一证书吊销区块哈希lastcrlhash、32字节区块序列号blocknum和和32字节车辆移动自组网中通信节点数量connum。证书吊销区块的区块体中包含新增的吊销证书的序列号。
8.进一步的，当车辆移动自组网中有新的通信节点需要入网注册时，该通信节点提交注册信息给任一就近的网内通信节点，网内通信节点对注册信息进行审核，通过审核后生成对应的公钥和私钥，加密后发给注册的通信节点；网内通信节点将一段时期内所有审核成功的若干通信节点数字证书通过merkle树形式存储在证书新增区块的区块体内，对其进行签名后附在区块头内，随后通过车辆移动自组网中通信节点的共识机制将该证书新增区块上链，区块上链成功后再向新入网注册的通信节点发送注册成功信息。
9.进一步的，当某个通信节点需要撤离车辆移动自组网时，需要在车辆移动自组网中吊销该通信节点数字证书。该通信节点将自身证书的序列号存储在证书吊销区块的区块体内，对其进行签名后附在区块头内，随后通过车辆移动自组网中通信节点的共识机制将该证书吊销区块上链。
10.进一步的，对于数字身份证书已经上链且未被吊销证书的通信节点，其数字身份证书的合法性已经在区块链上验证过。车辆移动自组网中通信节点在数字证书注册成功后会下载区块链数据并成为新的共识节点，之后会在空闲阶段周期性地依据最新的证书吊销区块内容更新证书吊销列表，以便认证查询。一般情况下，通信节点可以在自身数据库内查询区块链，利用证书吊销列表链查询证书吊销状态，利用证书新增区块快速确认证书真实性，完成安全认证，进行基于区块链的快速安全认证和安全通信。
11.进一步的，证书新增区块中区块体内数字身份证书设计如下：
数字身份证书由496字节组成，包括32字节证书编号serialnumber、128字节证书公钥subjectpubkey、336字节证书的相关公开描述subjectdescribe。由于通信节点的证书批量存储在证书新增区块的区块体中，故可以通过merkel树的不可篡改性保证其完整性与难以篡改。又因为合法通信节点已对区块进行了签名，批量保证了区块内证书的有效性与可信性，所以没必要再次对每个证书单独再进行签名，极大地提高了通信节点颁发证书的效率。
12.本发明的技有益效果：（1）本发明设计的车辆移动自组网内通信节点间进行安全通信流程中，由于区块内证书已被签名后上链，基于区块链的不可篡改性，通信双方由于只需通过在区块链上查询便可快速确认证书的真实性和有效性，相对于传统基于pki的身份认证系统减少了证书合法性验签计算延时，在时间性能上具有一定优势。
13.（2）本发明中证书新增区块采用merkle树形式存储证书内容，因此单个区块可以记录大量证书。所以通信节点可以进行批量注册入网，便于实现两车辆移动自组网之间的快速并网。
14.（3）本发明基于区块链技术构建分布式ca区块链，具有去中心化与不可篡改的性质，车辆移动自组网中通信节点在无中心化ca的基础上依然具有信任基础，不同通信节点可以进行安全的信息交互，有效地预防设立的单个ca被攻击或者ca自己就是作恶节点等问题，在安全性能上具有一定优势。
附图说明
15.图1为本发明方法的双链、双区块类型混合结构的ca区块链结构设计；图2为本发明方法的证书新增区块结构设计图；图3为本发明方法的证书吊销区块结构设计图；图4为本发明方法的双链、双区块类型混合结构的ca区块链样例图；图5为本发明方法的基于区块链技术的车辆移动自组网安全认证方法的流程图。
实施方式
16.下面结合附图和具体实施方式，进一步阐明本发明，应理解下述具体实施方式仅用于说明本发明而不用于限制本发明的范围。
17.具体实施样例一本发明提供一种基于区块链技术的车辆移动自组网安全认证方法，该方法设计了包含通用区块链和证书吊销列表链的双链以及包含证书新增区块和证书吊销区块的双区块混合结构类型的ca区块链。双链、双区块类型混合结构的ca区块链设计如图1所示，证书新增区块用于记录车辆移动自组网中新入网的通信节点的数字身份证书，证书吊销区块用于记录车辆移动自组网中撤离吊销的通信节点的数字身份证书，这些区块均由车辆移动自组网中通信节点共识产生。通用区块链直接连接相邻的区块，证书吊销列表链连接相邻的证书吊销区块。新的通信节点在入网通信前，通过原有的通信节点的共识机制将其数字身份证书上链；通信节点在撤离吊销时，其证书会通过现有的通信节点的共识机制将其数字身份证书序列号上链；当车辆移动自组网中通信节点安全认证时，通过查询区块链中证书
吊销列表链查询证书吊销状态，利用证书新增区块快速确认证书真实性，进而完成安全通信。
18.区块链中区块由证书新增区块和证书吊销区块双类型区块组成。每种区块的设计如下：（1）证书新增区块由428字节区块头和可变长度区块体组成，其设计如图2所示，区块头字段包括4字节当前区块版本号version、32字节上一区块哈希值prehash、32字节本区块merkleroot哈希值merkleroothash、8字节区块生成时间戳timestamp、128字节本区块生成者公钥autpubkey、128字节区块签名signature、32字节区块序列号blocknum和32字节车辆移动自组网中通信节点数量connum；证书新增区块的区块体中包含一定时间段内新增的证书记录，数字身份证书设计如下表1所示；由于单个区块可以记录大量证书，这些证书通过合法通信节点的一次集体签名保证证书的合法有效，通过区块链的不可篡改性保证其安全；表1通信节点证书字段设计（2）证书吊销区块由428字节区块头和可变长度区块体组成，其设计如图3所示，区块头字段包括4字节当前区块版本号version、32字节上一区块哈希值prehash、32字节本区块体内容哈希值conhash、8字节区块生成时间戳timestamp、128字节本区块生成者公钥autpubkey、128字节区块签名signature、32字节上一证书吊销区块哈希lastcrlhash、32字节区块序列号blocknum和和32字节车辆移动自组网中通信节点数量connum。证书吊销区块的区块体中包含新增的吊销证书的序列号。
19.证书新增区块和证书吊销区块之间的连接方式为拓扑连接。由于证书新增区块需要合法通信节点进行签名认证，因此创世区块为证书新增区块，其中记录了初始车辆移动自组网中所有通信节点的数字证书。本文详细列举了最初8个区块，其连接拓扑概览如图4所示，每个区块的概览内容如下表2所示。
20.表2 ca 区块内容概览其中的证书内容直接以变量名称代替，实际运行时应以表1格式定义证书。图中白色表示证书新增区块，灰色表示证书吊销区块。由图可见代号为block-05、block-06和block-08的区块为证书吊销区块，其余5个区块为证书新增区块。与传统区块链不同的一点是，由于本文设计的 ca 区块链内有两种类型区块，实际每个区块都有一条或者两条链向过去区块连接。图中实线箭头是通过 prehash 字段连接至本区块的上一个区块的，两区块编号差值固定为1；虚线箭头则是通过lastcrlhash连接至上一个证书吊销区块。其中，车载通信节点a节点和b节点属于车辆移动自组网内两通信节点，a节点的证书4在区块block-01， b节点的证书12在区块block-03。
21.具体实施样例二当车辆移动自组网中有新的通信节点需要入网注册时，该注册节点向该车辆移动自组网注册证书的具体流程为：（1）注册节点获取车辆移动自组网中任一就近的合法通信节点公钥p1；（2）利用公钥p1加密其注册时提交的信息m1（包括唯一标识码）和随机数r1，并将加密结果ep1（r1||m1）发送给该网内合法通信节点；（3）该网内合法通信节点收到消息后，利用自己的私钥k1进行解密，得到r1和m1，
并对内容进行审核，若内容为真，则生成对应的公钥p2和私钥k2，用随机数r1加密后发送给注册节点；（4）该网内合法通信节点将一段时期内所有审核成功的若干通信节点数字证书通过merkle树形式存储在证书新增区块的区块体内，对其进行签名后附在区块头内，随后通过车辆移动自组网中通信节点的共识机制将该证书新增区块上链，区块上链成功后再向这些注册的通信节点发送注册成功信息。
22.具体实施样例三当车辆移动自组网中某个通信节点需要撤离时，或者发现自身证书不再安全时，比如证书的公钥被破解、私钥被泄露后，需要在车辆移动自组网中吊销自身数字证书。吊销节点向该车辆移动自组网申请吊销证书的具体流程为：（1）吊销节点将自身证书的序列号存储在证书吊销区块的区块体内，对其进行签名后附在区块头内，生成证书吊销区块；（2）吊销节点通过车辆移动自组网中通信节点的共识机制将该证书吊销区块上链，区块上链成功则表示证书吊销成功。
23.具体实施样例四对于车辆移动自组网中数字身份证书已经上链且未被吊销证书的通信节点，其数字身份证书的合法性已经在区块链上验证过。车辆移动自组网中通信节点在数字证书注册成功后会下载区块链数据并成为新的共识节点，之后会在空闲阶段周期性地依据最新的证书吊销区块内容更新证书吊销列表，以便认证查询。一般情况下，车辆移动自组网中通信节点均可以通过查询区块链，进行基于区块链的快速安全认证和安全通信，如图5基于区块链技术的车辆移动自组网安全认证方法的流程图所示，假设车载通信节点a节点和b节点属于车辆移动自组网内两通信节点，a节点的证书4在区块block-01， b节点的证书12在区块block-03。当a节点向节点b节点发送通信请求时，其安全通信流程包括以下步骤：（1）a节点在区块链内查询b节点的数字身份证书12，查看证书12有效期判断是否证书失效,如果证书失效则结束通信；否则查找证书吊销列表查看证书12是否被吊销，如果证书已被吊销则结束通信；否则产生随机数r1，并用b节点的公钥pubb对随机数r1、时间戳t1、本节点证书所在的区块序列号m1和证书序列号4级联后形成的数据串进行加密生成回复消息c1，并发送给b节点；（2）b节点收到消息后，利用b节点私钥prib对密文c1进行解密，计算当前时间与发送时间戳差值，判断是否在预先设置好的有效时间戳内，如果不是则结束通信；否则通过区块序列号m1以及证书序列号4快速查询到证书4内容，查看证书4有效期判断是否证书失效,如果证书失效则结束通信；否则查找证书吊销列表查看证书4是否被吊销，如果证书已被吊销则结束通信；否则产生随机数r2，并用a节点的公钥puba对随机数r1、r2和时间戳t2级联后形成的数据串进行加密生成回复消息c2，并发送给a节点；（3）a节点收到消息后，利用a节点私钥pria对密文c2进行解密，计算当前时间与发送时间戳差值，判断是否在预先设置好的有效时间戳内，如果不是则结束通信；否则检查随机数r1，若均正确有效则对b节点身份认证成功，否则结束通信；（4）身份认证成功后，a节点和b节点均基于密钥协商算法通过r1和r2计算出共同的会话密钥k，完成密钥协商；密钥协商完成后，a节点和b节点会通过密钥k和约定好的加密
算法进行加密通信。
24.需要说明的是，以上内容仅仅说明了本发明的技术思想，不能以此限定本发明的保护范围，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰均落入本发明权利要求书的保护范围之内。

技术特征：
1.一种基于区块链技术的车辆移动自组网安全认证方法，其特征在于：所述方法设计了包含通用区块链和证书吊销列表链的双链以及包含证书新增区块和证书吊销区块的双区块混合结构类型的ca区块链，依据该混合结构的ca区块链实现车辆移动自组网中通信节点间的安全认证，进而进行安全通信；其中证书新增区块用于记录车辆移动自组网中新入网的通信节点的数字身份证书，证书吊销区块用于记录车辆移动自组网中撤离吊销的通信节点的数字身份证书，这些区块均由车辆移动自组网中通信节点共识产生；通用区块链直接连接相邻的区块，证书吊销列表链连接相邻的证书吊销区块；新的通信节点在入网通信前，通过原有的通信节点的共识机制将其数字身份证书上链；通信节点在撤离吊销时，其证书会通过现有的通信节点的共识机制将其数字身份证书序列号上链；当车辆移动自组网中通信节点安全认证时，通过查询区块链中证书吊销列表链查询证书吊销状态，利用证书新增区块快速确认证书真实性，进而完成安全通信。2.如权利要求1所述的一种基于区块链技术的车辆移动自组网安全认证方法，其特征在于：证书新增区块和证书吊销区块之间的连接方式为拓扑连接，每种区块的设计如下：（1）证书新增区块由428字节区块头和可变长度区块体组成，区块头字段包括4字节当前区块版本号version、32字节上一区块哈希值prehash、32字节本区块merkleroot哈希值merkleroothash、8字节区块生成时间戳timestamp、128字节本区块生成者公钥autpubkey、128字节区块签名signature、32字节区块序列号blocknum和32字节车辆移动自组网中通信节点数量connum；证书新增区块的区块体中包含一定时间段内新增的证书记录，这些证书记录通过merkle树形式存储，由于单个区块可以记录大量证书，这些证书通过合法通信节点的一次集体签名保证证书的合法有效，通过区块链的不可篡改性保证其安全；（2）证书吊销区块由428字节区块头和可变长度区块体组成，区块头字段包括4字节当前区块版本号version、32字节上一区块哈希值prehash、32字节本区块体内容哈希值conhash、8字节区块生成时间戳timestamp、128字节本区块生成者公钥autpubkey、128字节区块签名signature、32字节上一证书吊销区块哈希lastcrlhash、32字节区块序列号blocknum和和32字节车辆移动自组网中通信节点数量connum；证书吊销区块的区块体中包含新增的吊销证书的序列号。3.如权利要求1所述的一种基于区块链技术的车辆移动自组网安全认证方法，其特征在于：当车辆移动自组网中有新的通信节点需要入网注册时，该通信节点提交注册信息给任一就近的网内通信节点，网内通信节点对注册信息进行审核，通过审核后生成对应的公钥和私钥，加密后发给注册的通信节点；网内通信节点将一段时期内所有审核成功的若干通信节点数字证书通过merkle树形式存储在证书新增区块的区块体内，对其进行签名后附在区块头内，随后通过车辆移动自组网中通信节点的共识机制将该证书新增区块上链，区块上链成功后再向新入网注册的通信节点发送注册成功信息。4.如权利要求1所述的一种基于区块链技术的车辆移动自组网安全认证方法，其特征在于：当某个通信节点需要撤离车辆移动自组网时，需要在车辆移动自组网中吊销该通信节点数字证书；该通信节点将自身证书的序列号存储在证书吊销区块的区块体内，对其进行签名后附在区块头内，随后通过车辆移动自组网中通信节点的共识机制将该证书吊销区块上链。5.如权利要求1所述的一种基于区块链技术的车辆移动自组网安全认证方法，其特征
在于：对于数字身份证书已经上链且未被吊销证书的通信节点，其数字身份证书的合法性已经在区块链上验证过；车辆移动自组网中通信节点在数字证书注册成功后会下载区块链数据并成为新的共识节点，之后会在空闲阶段周期性地依据最新的证书吊销区块内容更新证书吊销列表，以便认证查询；一般情况下，通信节点在自身数据库内查询区块链，利用证书吊销列表链查询证书吊销状态，利用证书新增区块快速确认证书真实性，完成安全认证，进行基于区块链的快速安全认证和安全通信。6.如权利要求2所述的一种基于区块链技术的车辆移动自组网安全认证方法，其特征在于：证书新增区块内数字身份证书设计如下：数字身份证书由496字节组成，包括32字节证书编号serialnumber、128字节证书公钥subjectpubkey、336字节证书的相关公开描述subjectdescribe；由于通信节点的证书批量存储在证书新增区块的区块体中，故通过merkel树的不可篡改性保证其完整性与难以篡改；又因为合法通信节点已对区块进行了签名，批量保证了区块内证书的有效性与可信性，所以没必要再次对每个证书单独再进行签名，极大地提高了通信节点颁发证书的效率。

技术总结
本发明公开了一种基于区块链技术的车辆移动自组网安全认证方法。该方法设计了包含通用区块链和证书吊销列表链的双链以及包含证书新增区块和证书吊销区块的双区块混合结构类型的CA区块链。其中证书新增区块用于记录车辆移动自组网中新入网的通信节点的数字身份证书，证书吊销区块用于记录网络中撤离吊销的通信节点的数字身份证书。通用区块链直接连接相邻的区块，证书吊销列表链连接相邻的证书吊销区块。当网络中通信节点安全认证时，通过查询区块链中证书吊销列表链查询证书吊销状态，利用证书新增区块快速确认证书真实性，完成安全认证。本发明方法可快速完成身份的安全认证和安全通信，确保车辆移动自组网通信环境的安全性、可靠性。可靠性。可靠性。


技术研发人员：秦文虎 张玉晖 孙立博 谢吉华
受保护的技术使用者：东南大学
技术研发日：2023.03.31
技术公布日：2023/7/22