(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210493647.7 (22)申请日 2022.05.07 (71)申请人 华中师范大学 地址 430079 湖北省武汉市洪山区珞喻路 152号 (72)发明人 郭亚军　吴安穆霖　 (74)专利代理 机构 北京金智普华知识产权代理 有限公司 1 1401 专利代理师 张晓博 (51)Int.Cl. H04W 12/041(2021.01) H04W 12/069(2021.01) H04W 12/084(2021.01) H04W 4/44(2018.01) H04L 9/32(2006.01) (54)发明名称 一种车联网访问控制方法、 系统、 介质、 设备 及终端 (57)摘要 本发明属于车联网技术领域， 公开了一种车 联网访问控制方法、 系统、 介质、 设备及终端， 第 一阶段是初始化阶段， 初始化用于实体认证的参 数并将所述参数存储到区块链网络中； 第二阶段 是设备注册阶段， 智能车联网设备加入网络前需 在注册权威以安全的方式进行注册， 并将注册信 息安全地存储在区块链上， 所述 设备注册阶段始 终在安全信道上进行； 第三阶段是设备认证阶 段， 用于验证各个实体的真实身份， 实现车联网 设备间的安全访问。 本发明为车联网环境设计了 一种新的访问控制系统和方法， 该机制基于区块 链和移动边缘计算技术， 能够实现对 车联网设备 的安全访问控制。 同时， 本发明的控制方法还能 够安全高效地进行身份认证， 并确保了设备间的 安全通信。 权利要求书3页 说明书11页 附图1页 CN 114867014 A 2022.08.05 CN 114867014 A 1.一种车 联网访问控制方法， 其特 征在于， 所述车 联网访问控制方法包括： 第一阶段是初始化阶段， 初始化用于实体认证的参数并将所述参数存储到区块链网络 中； 第二阶段是设备注册阶段， 智能车联网设备加入网络前需在注册权威以安全的方式进 行注册， 并将注册信息安全地存储在区块链上， 所述设备注册阶段始终在安全信道上进行； 第三阶段 是设备认证阶段， 用于验证各个实体的真实身份， 实现车 联网设备间的安全访问。 2.如权利要求1所述车联网访问控制方法， 其特征在于， 所述车联网访问控制方法包括 以下步骤： 步骤一， 初始化阶段： 对相关认证参数进行初始化并存 储到区块链网络中； 步骤二， 设备注 册阶段： 由注 册权威为车联网设备进行注 册； 步骤三， 设备认证阶段： 对车联网设备进行身份认证， 并保证车联网设备间的安全访 问。 3.如权利要求2所述车联网访问控制方法， 其特征在于， 所述步骤一中的初始化阶段包 括： 为网络中的每一实体计算标识， 所述该标识 由名称和媒体访 问控制MAC地址的散列结 果组成； 由于每个实体在互联网中均有且仅有一个的MAC地址， 进 行哈希后的结果唯一标识 对应实体； 在计算出标识后， 通过标识符为每一实体生成公 ‑私钥对， 并存储在分布式账本 中； 边缘服务器使用私钥为对应的设备签名， 计算得到的令牌包含边缘服务器ID及智能设 备ID的映射， 对于每个设备均是唯一的； 初始化过程中产生的相关实体初始化信息以交易 的形式打包成区块， 在 网络共识过程完成后被附加到区块链的末端， 所述信息将于后期实 体在区块链网络上注 册和认证时， 被提取 出来用于 辅助验证。 4.如权利要求2所述车联网访问控制方法， 其特征在于， 所述步骤二中的设备注册阶段 包括： 当部署新的车 联网设备时， 通过安全信道向注 册权威RA 注册， 注册过程为： (1)设备发起注册请求， 注册权威RA为期望连接入系统的车载单元OBU选择一个唯一的 身份ID(OBUID)； 同时触发智能合约检查与OBUID是否已存在， 并验证ID对应的MAC地址是否 一致， 若存在问题则注册终止； 若两者的正确性均被验证， 则生成一个时间戳OBUT， 用于辅 助验证消息的真伪； RA通过安全信道将(OBUID， OBUT)传送给车载单元； (2)OBU使用其私钥OB UIK加密计算后得到证书T K0＝OBUIK(OBUID， OBUT)， 所述证书对于每 个OBU均是唯一的， 并通过安全信道传送给注册权威； 运用证书使得OBU的身份信息不以明 文形式传递， 保证在消息通信过程中OBU 的匿名性； OBU利用对应边缘服务器的公钥ESPK将 TK0值加密， 通过创建交易T1＝ESPK(OBUIK(OBUID， OBUT))将TK0值发送到 区块链上， 与相应的 节点共享； (3)在接收到数据包后， RA为OBU计算伪身份OBUPID＝h(OBUID||K)， 其中K是注册权威的 秘密参数； RA将OBU的参数{OBUPID， TK0}通过安全信道传送给对应的边缘服务器ES进行存 储； (4)智能合约继而检查用于验证TK0的公钥是否存在于区块链中， 如果在其中找到正确 匹配的公钥， 则验证生成TK0的时间戳； 如果OBUT处于合理的时间范围内， 则允许注册过程继 续执行， 否则连接终止； 在完成对OBU的所有验证后， 设备成功 注册；权　利　要　求　书 1/3 页 2 CN 114867014 A 2(5)设备注册成功后， ES为OBU生成一个认证证书TKOBU＝ESIK(OBUPK， OBUID， OBUT)， 并通过 交易T2＝OBUPK(ESIK(OBUPK， OBUID， OBUT))将所述证书发送给OBU； OBU接收到消息后， 从中提 取并存储认证证书TKOBU， 用于未来的设备认证阶段。 5.如权利要求2所述车联网访问控制方法， 其特征在于， 所述步骤三中的设备认证阶段 包括： (1)边缘服务器验证车载单元真实性： 车载单元向边缘服务器发出访 问某个车联网设 备的请求， 边缘服务器验证车载单元的真实性； 如果验证不成功， 则立即终止车载单元的访 问控制请求； 如果验证成功， 边 缘服务器则向车 联网设备发送 认证请求； (2)车联网设备验证边缘服务器真实性： 车联网设备验证边缘服务器的请求及其身份 的真实性， 如果验证成功， 则向边 缘服务器发送确认消息； (3)边缘服务器验证车联网设备真实性： 边缘服务器验证车联网设备的真实性， 如果身 份信息是真实的， 则向车 载单元发送认证请求； (4)车载单元验证边缘服务器真实性： 车载单元验证边缘服务器的真实性， 如果身份信 息是真实的， 车载单元和期望被访问的车联网设备之间协商会话钥， 保证通信双方进行信 息传输的安全性。 6.如权利要求2所述车联网访问控制方法， 其特征在于， 所述步骤三中的设备认证阶段 还包括： 部署在系统中的OBU发出通信请求访 问某个车联网设备， 边缘服务器协助车联网设备 间在边缘网络中进行相互身份验证； 在所有的认证条件都满足的情况下允许设备接入网络 并建立会话密钥从而 进行信息交 互， 认证过程如下： (1)边缘服务器验证车载单元真实性： OBU通过创建交易T3＝OBUIK(ESIK(OBUPK， OBUID， OBUT))， RSUID发起通信请求， T3的值通过相关的ES发送到区块链上以供验证； ES应用OBU的 公钥提取认证证书TKOBU和它希望通信的RSU的ID(RSUID)， 并触发智能合约验证接收到的数 据包的合法性； 智能合约验证区块链上存储的用户伪身份信息 OBUPID是否对应， 并检查消息 中给出的OBUID是否存在； 如果OBUID在区块链中不存在， 则认证过程终止并产生错误反馈； 若认证成功， 边 缘服务器则将{TKOBU， Tnew}传给期望通信的RSU； (2)车联网设备验证边缘服务器真实性： 智能合约验证给定映射(OBUPK， OBUID， OBUT)； 如 果映射出现无效或没有在区块链中定义， 则不允许通信； 智能合约检查给定的OBUPK是否有 效， 将给定的OBUPK与注册时存储的设备公钥进行比较； 如果给定的OBUPK无效， 则设备认证 失败； 验证给定的Tnew； 如果时间戳的值在被允许的时间范围内， 则验证通过， 否则验证不通 过； (3)边缘服务器验证车联网设备真实性： 智能合约验证RSUID是否存在于区块链中， 不存 在同样无法建立 通信连接； 如果身份信息是真实的， 则向车 载单元发送确认信息； (4)车载单元验证边缘服务器真实性： 智能合约检查边缘服务器的ID是否存在于区块 链中并验证其公钥的存在性与真实性， 如果均合理， 则验证通过， 否则验证不通过； 验证步 骤均执行通过后， 确定RSU与OB U的真实性， 建立RSU与OBU的相互信任， 从而允许双方相互访 问并进行安全通信。 7.一种应用如权利要求1～6任意一项所述车联网访问控制方法的车联网访问控制系 统， 其特征在于， 所述车 联网访问控制系统包括：权　利　要　求　书 2/3 页 3 CN 114867014 A 3