论文部分内容阅读
[摘 要]针对当前智能交通与车联网技术的迅猛发展,车联网安全被放在及其重要的位置,在新能源汽车与车联网汽车将会主导未来10年甚至20年整个汽车行业的大背景下,车联网安全已经逐渐成为车企最为顾虑的方面,本论文提出一种基于车联网的安全认证加密系统。介绍了系统中车载终端与云服务器通信协议,提出了一种PKI认证体系架构与独特的TLS加密流程。经过试验验证,系统可以有效解决车联网通信安全问题,防止用户身份冒充以及信息泄露造成的严重危害。
[关键词]车联网;云服务器;车载终端;PKI;认证加密
中图分类号:S412 文献标识码:A 文章编号:1009-914X(2018)08-0238-01
引言
近几年来,随着“互联网+”的不断流行,在汽车领域以上汽荣威为首的真正意义的互联网汽车上自以来,受到人们的广泛关注,互联网汽车不仅仅是为了满足人们的娱乐需求,同时在汽车安全与数据分析等方面也有重大意义。与传统汽车相比,互联网汽车最大的不同就是车上安装有车载终端,它是汽车与外界通信的桥梁。车载终端不仅可以通过车辆内部CAN网络读取车辆车速、剩余油量、四轮胎压等等汽车行驶状态信息,而且还可以上报车辆位置信息以及Ecall功能,此时车载终端通过后台服务器与外部设备如智能手机和后台服务器进行通讯;同样,外部设备可以对汽车实现远程控制,在此期间,如果网络传输协议被破解不但会影响汽车的正常使用,更为严重的可能会造成汽车被盗或者车主隐私泄露等一系列严重问题。为了防止设备被冒用以及数据通讯时信息泄露对汽车安全造成严重的威胁,需要设计一种能够对数据进行有效地保密的通讯系统。
1、车联网整体结构介绍
车联网平台整体看来可以分为端管云三部分,端是指车载终端与手机APP;而管是指通信傳输通道,例如车载终端到云服务器以及云服务器到手机APP;所谓云是指TSP云服务器;首先车载终端采集车辆状态信息以及定位信息传送至服务器,后经服务器解析处理转发给手机APP,这样用户就可以方便查看汽车状态信息,另外手机APP可以发送控制指令来操控汽车,例如开关空调,远程寻车等等基本功能。随着5G网络的来临,包括V2X以及V2V在内的车联网场景规划也越来越重要,这样我们所要求的网络安全等级会达到前所未有的高度。
2、车联网通信安全总体设计
一种端对端加密的通讯系统,包括车载终端和后台服务器,车载终端和后台服务器采用MQTTS协议进行通迅,利用网络传输层对数据加解密,车载终端将数据实时上传到后台服务器中。移动设备通常是远程与车载终端开始通讯,车载终端将数据实时上传到后台服务器中,使用MQTTS协议,安全性更高网络传输层可保证数据在网络传输过程中不被截取及窃听,用于车载终端与后台服务器之间的身份认证和加密数据传输,维护数据完整性。移动设备包括智能手机、平板等与后台服务器进行远程通信同样是通过应用层MQTT协议进行通信,这样通过终端与移动设备通过后台服务器发布/订阅来进行通信。车载终端设有DSP芯片和加密模块,TSP服务器设有解密模块,芯片将原始数据传送到加密模块中,加密模块对原始数据进行加密,再将被加密的数据传送给TSP服务器,解密模块对被加密的数据解密,得到原始数据。
加密模块和解密模块是以语言方式编译的动态库或静态库提供,库支持Windows、Linux、IOS、ARM-Linux、Android等平台。满足不同种类车载终端与服务器使用的需要。后台服务器包括密钥生成模块,所述密钥生成模块用于生成数据加密密钥。数据加密密钥用于车载终端与后台服务器的加解密通讯。车载终端与后台服务器通讯前车载终端向后台服务器索要并验证证书双方协商生成数据加密密钥,对成数据加密密钥再采用数据加密密钥进行加解密通讯,所述数据加密密钥包括所述车载终端生成的公钥和私钥,设备注册的时候把公钥传给后台服务器,后台服务器对秘钥利用公钥进行加密并返回给车载终端,车载终端接收到被加密的密钥后用私钥进行解密,得到数据加密密钥。
本发明所带来的有益效果是采用这样的结构后,智能手机、车载终端和后台服务器之间的通讯能够保证安全稳定,当发生信息泄露或者设备被冒用时会及时发现并且触发应急机制,终端与云端服务器迅速协商对话秘钥对其改变。
3、车联网通信安全认证过程
车联网系统的车载终端与后台服务器通讯前,车载终端向后台服务器索要服务器的CA证书并且携带服务器信息,服务器利用服务器私钥将自己的CA证书携带自身信息以及允许车载终端登陆的账号和密码加密传送给车载终端,车载终端通过预置的服务器公钥进行解密并验证服务器信息,这便是认证服务器的过程。在传输过程中获得的另外的公钥可以用来做后续数据传输加密使用;服务器利用服务器认证过程中传送给车载终端的账号密码信息进行车载终端的认证,在此便完成了设备双方的认证过程。
4、车联网通信安全加密过程
双方协商生成数据加密密钥,首先车载终端首先发送自己的随机数以及支持的加密算法给云端服务器,云端服务器收到车载终端的信息后返回一个随机数、确定双方使用的加密算法以及服务器的公钥,此时,服务器与车载终端会同时有两组随机数,在此利用一定算法生成加密秘钥,对称加密算法再采用数据加密密钥进行加解密通讯[2]。数据加密密钥结合对称加密算法AES加密算法对数据进行加密。即为非对称加密算法与对称加密算法结合对信息进行加密的过程,首先在加密秘钥确定以后为了保护秘钥不被泄露,采用PKI体系架构对秘钥进行加密传输,在保证车载终端与云端服务器的秘钥相同时便可以结合对称加密算法进行数据传输。设备注册的时候把公钥传给后台服务器,后台服务器对自身信息进行加密并返回给车载终端,车载终端接收到被加密的密钥后用私钥进行解密,得到数据加密密钥[3]。
5、结束语
基于车联网通信安全认证加密系统,设计了一种数据通信前基于PKI体系架构的设备双向认证方法,该方法可以有效防止服务器或客户端被冒用;另外为防止数据在传输过程中不被盗取而采用多方随机数组合形成对话秘钥的方式,这样即使秘钥被盗用而引发数据泄露的风险,服务器与车载终端会立即检测到漏洞后迅速更改对话秘钥,此安全认证加密系统可以有效保证通信安全。
参考文献
[1] 来学嘉;肖雅莹.白盒密码的设计与研究[J].信息安全与通信保密.2010(02).
[2] 张然,钱德沛,过晓兵.防火墙与入侵测试技术[J].计算机应用研究.2001(01).
[3] 王嘉林.基于PKI和CPK的大规模网络认证方案的对比分析[J].保密科学技术.2012(06).
作者简介
赵志成(1985年9月22日),男,汉,天津市静海县,中国汽车技术研究中心,工程师,大学本科,新能源汽车及智能汽车方向。
[关键词]车联网;云服务器;车载终端;PKI;认证加密
中图分类号:S412 文献标识码:A 文章编号:1009-914X(2018)08-0238-01
引言
近几年来,随着“互联网+”的不断流行,在汽车领域以上汽荣威为首的真正意义的互联网汽车上自以来,受到人们的广泛关注,互联网汽车不仅仅是为了满足人们的娱乐需求,同时在汽车安全与数据分析等方面也有重大意义。与传统汽车相比,互联网汽车最大的不同就是车上安装有车载终端,它是汽车与外界通信的桥梁。车载终端不仅可以通过车辆内部CAN网络读取车辆车速、剩余油量、四轮胎压等等汽车行驶状态信息,而且还可以上报车辆位置信息以及Ecall功能,此时车载终端通过后台服务器与外部设备如智能手机和后台服务器进行通讯;同样,外部设备可以对汽车实现远程控制,在此期间,如果网络传输协议被破解不但会影响汽车的正常使用,更为严重的可能会造成汽车被盗或者车主隐私泄露等一系列严重问题。为了防止设备被冒用以及数据通讯时信息泄露对汽车安全造成严重的威胁,需要设计一种能够对数据进行有效地保密的通讯系统。
1、车联网整体结构介绍
车联网平台整体看来可以分为端管云三部分,端是指车载终端与手机APP;而管是指通信傳输通道,例如车载终端到云服务器以及云服务器到手机APP;所谓云是指TSP云服务器;首先车载终端采集车辆状态信息以及定位信息传送至服务器,后经服务器解析处理转发给手机APP,这样用户就可以方便查看汽车状态信息,另外手机APP可以发送控制指令来操控汽车,例如开关空调,远程寻车等等基本功能。随着5G网络的来临,包括V2X以及V2V在内的车联网场景规划也越来越重要,这样我们所要求的网络安全等级会达到前所未有的高度。
2、车联网通信安全总体设计
一种端对端加密的通讯系统,包括车载终端和后台服务器,车载终端和后台服务器采用MQTTS协议进行通迅,利用网络传输层对数据加解密,车载终端将数据实时上传到后台服务器中。移动设备通常是远程与车载终端开始通讯,车载终端将数据实时上传到后台服务器中,使用MQTTS协议,安全性更高网络传输层可保证数据在网络传输过程中不被截取及窃听,用于车载终端与后台服务器之间的身份认证和加密数据传输,维护数据完整性。移动设备包括智能手机、平板等与后台服务器进行远程通信同样是通过应用层MQTT协议进行通信,这样通过终端与移动设备通过后台服务器发布/订阅来进行通信。车载终端设有DSP芯片和加密模块,TSP服务器设有解密模块,芯片将原始数据传送到加密模块中,加密模块对原始数据进行加密,再将被加密的数据传送给TSP服务器,解密模块对被加密的数据解密,得到原始数据。
加密模块和解密模块是以语言方式编译的动态库或静态库提供,库支持Windows、Linux、IOS、ARM-Linux、Android等平台。满足不同种类车载终端与服务器使用的需要。后台服务器包括密钥生成模块,所述密钥生成模块用于生成数据加密密钥。数据加密密钥用于车载终端与后台服务器的加解密通讯。车载终端与后台服务器通讯前车载终端向后台服务器索要并验证证书双方协商生成数据加密密钥,对成数据加密密钥再采用数据加密密钥进行加解密通讯,所述数据加密密钥包括所述车载终端生成的公钥和私钥,设备注册的时候把公钥传给后台服务器,后台服务器对秘钥利用公钥进行加密并返回给车载终端,车载终端接收到被加密的密钥后用私钥进行解密,得到数据加密密钥。
本发明所带来的有益效果是采用这样的结构后,智能手机、车载终端和后台服务器之间的通讯能够保证安全稳定,当发生信息泄露或者设备被冒用时会及时发现并且触发应急机制,终端与云端服务器迅速协商对话秘钥对其改变。
3、车联网通信安全认证过程
车联网系统的车载终端与后台服务器通讯前,车载终端向后台服务器索要服务器的CA证书并且携带服务器信息,服务器利用服务器私钥将自己的CA证书携带自身信息以及允许车载终端登陆的账号和密码加密传送给车载终端,车载终端通过预置的服务器公钥进行解密并验证服务器信息,这便是认证服务器的过程。在传输过程中获得的另外的公钥可以用来做后续数据传输加密使用;服务器利用服务器认证过程中传送给车载终端的账号密码信息进行车载终端的认证,在此便完成了设备双方的认证过程。
4、车联网通信安全加密过程
双方协商生成数据加密密钥,首先车载终端首先发送自己的随机数以及支持的加密算法给云端服务器,云端服务器收到车载终端的信息后返回一个随机数、确定双方使用的加密算法以及服务器的公钥,此时,服务器与车载终端会同时有两组随机数,在此利用一定算法生成加密秘钥,对称加密算法再采用数据加密密钥进行加解密通讯[2]。数据加密密钥结合对称加密算法AES加密算法对数据进行加密。即为非对称加密算法与对称加密算法结合对信息进行加密的过程,首先在加密秘钥确定以后为了保护秘钥不被泄露,采用PKI体系架构对秘钥进行加密传输,在保证车载终端与云端服务器的秘钥相同时便可以结合对称加密算法进行数据传输。设备注册的时候把公钥传给后台服务器,后台服务器对自身信息进行加密并返回给车载终端,车载终端接收到被加密的密钥后用私钥进行解密,得到数据加密密钥[3]。
5、结束语
基于车联网通信安全认证加密系统,设计了一种数据通信前基于PKI体系架构的设备双向认证方法,该方法可以有效防止服务器或客户端被冒用;另外为防止数据在传输过程中不被盗取而采用多方随机数组合形成对话秘钥的方式,这样即使秘钥被盗用而引发数据泄露的风险,服务器与车载终端会立即检测到漏洞后迅速更改对话秘钥,此安全认证加密系统可以有效保证通信安全。
参考文献
[1] 来学嘉;肖雅莹.白盒密码的设计与研究[J].信息安全与通信保密.2010(02).
[2] 张然,钱德沛,过晓兵.防火墙与入侵测试技术[J].计算机应用研究.2001(01).
[3] 王嘉林.基于PKI和CPK的大规模网络认证方案的对比分析[J].保密科学技术.2012(06).
作者简介
赵志成(1985年9月22日),男,汉,天津市静海县,中国汽车技术研究中心,工程师,大学本科,新能源汽车及智能汽车方向。