CN106209777A

CN106209777A - 一种无人驾驶车车载信息交互系统及安全通信方法

Info

Publication number: CN106209777A
Application number: CN201610474972.3A
Authority: CN
Inventors: 韩磊; 杨斌; 赵佳; 成小家; 刘吉强
Original assignee: Beijing Galaxy Changxin Film And Television Culture Communication Ltd By Share Ltd
Current assignee: Beijing Galaxy Changxin Film And Television Culture Communication Ltd By Share Ltd
Priority date: 2016-06-24
Filing date: 2016-06-24
Publication date: 2016-12-07

Abstract

一种无人驾驶车车载信息交互系统及安全通信方法，属于无人驾驶机动车自组网安全通信领域。车辆加入或建立车辆移动自组网；车辆通过移动自组网接收其他车辆发送的行车交互信息；车辆通过本车传感器采集行车环境信息，将接收的行车交互信息与采集的行车环境信息利用XML形式格式化；综合分析计算接收的行车交互信息与采集的行车环境信息，计算出车辆行驶依赖的关键参数的值；本发明实现车‑路旁单元‑车的信息交互，将路况信息和行车信息进行动态交互，实现无人驾驶车与有人驾驶辆准确、直接地理解彼此的行车意图及路况信息；通过密钥管理和安全路由协议阻止恶意车辆对行车信息的篡改，满足车辆实体认证、信息完整性验证和不可否认性的安全需求。

Description

一种无人驾驶车车载信息交互系统及安全通信方法

技术领域

本发明涉及一种无人驾驶车车载信息交互系统及安全通信方法，针对无人驾驶车行驶意图信息、路口控制信号和道路行车信息的安全交互，属于无人驾驶机动车自组网安全通信领域。

背景技术

随着国内外无人驾驶技术的发展，城市道路中无人驾驶车的数量将会越来越多，无人驾驶车、有人驾驶车及其它类型车辆，共同在路面行驶的局面将会成为道路行车的一种常态，即无人驾驶和有人驾驶车混合交通流。当前，车辆在道路上行驶信息的交互，主要依靠路口信号灯、车辆灯光(包括行车灯、转向灯、双闪灯、远近光灯、前后雾灯、刹车灯等)及鸣笛声，有人驾驶车驾驶员通过人的视觉和声觉接收行驶信息并控制车辆行驶状态。无人驾驶车通过激光雷达、车载视觉、定位导航、道路检测等技术感知道路行车环境并控制车辆行驶状态。如何协调统一两种驾驶模式，使得无人驾驶车与有人驾驶车能够准确、直接地理解彼此间的行车意图和路况信息，成为解决未来道路行车安全的关键问题之一。例如：根据央视新闻频道在2015年10月1日关于《谷歌：事故多：错不在无人驾驶车》的报道中，谷歌无人驾驶车行驶6年160万里程中发生了16次交通事故，其中12次为后车追尾无人驾驶车，分析事故主要原因为：谷歌无人驾驶车在检测到潜在危险时就下突然减速或停车，无人驾驶车、有人驾驶车的驾驶意图不交互和路况信息没有有效传递，直接或间接导致了行车事故。

为了解决上述问题，一方面需要在无人驾驶车人性化行车算法上改进，另一方面更需要一种信息安全的无人驾驶车车载信息交互系统传递无人驾驶车、有人驾驶车之间的行车意图及路况信息，避免交通事故的发生。

发明内容

本发明的目的是提供一种无人驾驶车车载信息交互系统及安全通信方法，能够准确、真实地传递车辆之间行驶意图、车辆状态、路口信号及道路事故拥堵等信息(例如:无人驾驶车计划2秒后从60公里/小时加速到70公里/小时；有人驾驶车计划1秒后向左并线无人驾驶车，无人驾驶车请注意；无人驾驶车计划1秒后以最大制动力制动停车，请后车同时制动；拥堵信息：当前无人驾驶车在无故障、无红灯的条件下以平均3公里/小时的速率行驶了20分钟，车辆起停的次数为30次，此路段为拥堵路段，请后车注意绕行；前方第一个信号灯将在60秒后由绿灯变为黄灯,黄灯持续4秒钟)，为道路行车提供一个信息安全的信息交互系统，协调统一道路行车环境、无人驾驶车和有人驾驶车的行车意图，降低交通事故发生概率。为解决上述技术问题，提出一种无人驾驶车车载信息交互系统,包括车载通信模块、密码服务模块、信息处理模块、接口模块和应用服务及交互信息呈现模块；

车载通信模块用于车辆建立移动自组网通信；与密码服务模块、信息处理模块、应用接口模块及行车信息接口模块相连接。

密码服务模块为车辆移动自组网安全通信提供密钥管理和安全路由服务；在发送信息之前和接收信息之后通过密码服务模块对交互信息进行完整性、不可否认性等密码学处理，密码服务模块的输出端连接到车载通信模块的发送端，车载通信模块的接收信息端连接到密码服务模块的输入端。

信息处理模块为系统的信息处理中心，所有交互信息在信息处理模块中综合分析后，通过密码服务模块与车载通信模块相连接。

接口模块分为应用接口模块和行车信息接口模块，应用服务模块和交互信息呈现模块通过应用接口模块与信息处理模块连接；无人驾驶车道路环境感知模块与自动驾驶算法、行车执行模块通过行车信息接口模块与信息处理模块连接；有人驾驶车油门、制动、转向、声光驾驶信息同步模块通过系统的行车信息接口模块与信息处理模块连接。

应用服务及交互信息呈现模块提供应用服务程序，并通过应用程序将交互信息以图像、图形及声光的方式动态呈现。

基于移动自组网的交互信息安全通信方法，车辆安全通信是车辆移动自组网在实际中是否可用的重要指标之一。基于移动自组网的交互信息安全通信方法能够满足车辆两个方面的安全通信需求，即通信协议的安全保护需求和用户信息的隐私保护需求。通信协议的安全保护需求，主要指对网络层路由协议的安全保护，其需要满足实体认证、完整性验证和不可否认性等安全需求。用户信息的隐私保护需求体现在对用户身份、位置信息的保护和可信第三方追踪用户真实身份的可归责能力方面，

一种无人驾驶车车载信息交互安全通信方法，包括以下步骤：

步骤1：车辆加入或建立车辆移动自组网；

步骤2：车辆通过移动自组网接收其他车辆发送的行车交互信息；车辆通过本车传感器采集行车环境信息，并将接收的行车交互信息与采集的行车环境信息利用XML形式格式化；

步骤3：综合分析计算接收的行车交互信息与采集的行车环境信息，计算出车辆行驶依赖的关键参数的值；

步骤4：将车辆行驶依赖的关键参数值作为无人驾驶算法的输入之一，传递给无人驾驶计算单元，如果此时为有人驾驶模式则将上述关键参数及图形、声光的方式动态呈现个驾驶司机；

步骤5：从无人驾驶单元中接收无人驾驶决策信息；从有人驾驶模式的行车动作传感器中同步油门、制动、转向、声光驾驶意图信息；

步骤6：行车意图信息判决确认并进行电子信号转换；

步骤7：信息发送前进行密钥管理步骤及安全路由步骤；

步骤8：通过车辆自组网发送行车交互信息。

还包括：

步骤1)、密钥管理步骤，密钥管理步骤包括五个步骤：建立步骤，节点种子预分配步骤，节点私钥产生步骤，加密步骤，解密步骤；

步骤2)、安全路由步骤，基于位置的安全路由步骤包括3部分步骤：系统建立步骤；一跳通信安全机制步骤；多跳通信安全机制步骤。

本发明具有如下特点:

1、本发明针对无人驾驶车与有人驾驶车无法准确、快速地理解彼此行车意图的问题，通过构建车-车移动自组网信息交互，实现了两种驾驶模式的协调统一，使无人驾驶车、有人驾驶车两者能够彼此理解行车意图。

2、本发明针对无人驾驶车无法准确预测道路路口信号变换的问题，通过构建车-路旁单元移动自组网信息交互，实现了无人驾驶车对路口信号变换的准确预知。

3、本发明针对无人驾驶车只能通过自身环境传感器直接感知小范围路况信息的不足，通过构建车-路旁单元-车移动自组网信息交互，实现了无人驾驶车对道路整体路况信息(包括交通拥堵、事故和道路施工封闭信息)的预测。

4、本发明通过移动自组网实现车-路旁单元-车的信息交互，将路况信息和行车信息进行动态交互，实现了无人驾驶车与有人驾驶辆准确、直接地理解彼此的行车意图及路况信息；通过密钥管理和安全路由协议有效阻止了恶意车辆对行车信息的篡改，满足了车辆实体认证、信息完整性验证和不可否认性的安全需求。

附图说明

图1是本发明车载信息交互的工作流程图；

图2是本发明系统的原理图；

图3是本发明车载通信模块的组成图；

图4是本发明密码服务模块的组成图；

图5是本发明安全通信的密钥管理图；

图6是本发明车辆移动自组网组网示意图；

图7是本发明车辆节点安全路由协议。

具体实施方式

结合上述附图对本发明的实施方式作进一步详细描述。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。

为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。

实施例1：如图1，本发明的实施首先提出了车载信息交互的工作流程，整体流程描述了从车辆加入或建立车辆移动自组网后综合计算出行车环境信息，并将行车环境信息作为无人驾驶车自动驾驶单元或有人驾驶车驾驶员行车决策的重要参数，辅助无人驾驶或有人驾驶；同时将自动驾驶动作决策信息或有人车驾驶员动作意图，通过车辆自组网安全地与其他车辆进行动态交互。

一种无人驾驶车车载信息交互安全通信方法,含有以下步骤；

步骤1：车辆加入或建立车辆移动自组网；

步骤5：从无人驾驶单元中接收无人驾驶决策信息；从有人驾驶模式的行车动作传感器中同步油门、制动、转向、声光等驾驶意图信息；

步骤6：行车意图信息判决确认并进行电子信号转换；

步骤7：信息发送前进行密钥管理步骤及安全路由步骤；

步骤8：通过车辆自组网发送行车交互信息。

本发明所述无人驾驶车车载信息交互系统如图2所示，它包括：

(1)车载通信模块，如图3所示，在实施过程中采用802.11P无线网卡通过MMCX接口与5.9HHz天线连接构成，利用专用短程通信技术(DSRC)和基于位置的组网协议(PBR)实现车辆移动自组网通信。

(2)密码服务模块，实施硬件结构包括四部分：安全控制器、片外存储单元、USB连接器、外围电路。其结构如图4所示。

(3)信息处理模块，实施采用基于MIPS架构的CPU,通过GPIO接口连接其他模块。

(4)接口模块，实施采用RJ45网口实现车载通信模块、信息处理模块与应用服务的接口；采用USB接口实现密码服务与应用服务的接口；行车信息模块接口采用RJ45网口及OBD接口实现行车信息同步接口。

(5)应用服务及交互信息呈现模块，实施中采用分成结构，硬件固件层采用c语言实现，传输层通过TCP/IP协议和USB协议实现；信息呈现模块利用现有具有导航功能的车辆中控系统实现。

实施例2：本发明所述基于移动自组网的交互信息安全通信方法包括密钥管理步骤和安全路由步骤。

密钥管理步骤如图5所示：ECCEncryption(M,y_{type_ID})：表示用公钥y_{type_ID}加密文明消息M，得到密文C；ECCDecryption(C,x_{type_ID})：表示用私钥x_{type_ID}解密ECCEncryption(M,y_{type_ID})产生的密文C，得到明文消息M。其中ECC为椭圆曲线密码体制。

方法包括五个步骤：

建立(Setup)步骤，

节点种子预分配(Node Seed Pre-distribution)步骤，

节点私钥产生(Node Private Keys Generation)步骤，

加密(Encryption)步骤，

解密(Decryption)步骤。

密钥管理步骤每个步骤对应图5中的(1)-(5)，整个过程私钥生成中心(PKG)以离线的方式提供密钥管理服务。

建立步骤为：

S-Step1:密钥生成中心(PKG)选择有限域GF(p)上的椭圆曲线E，其中p是大素数。选择椭圆曲线E上的基点Q，Q的阶为大素数q。

S-Step2:PKG选择私钥x_ij∈GF(q)(1≤i≤m,m,n∈Z⁺)构造规模为m×n的私钥矩阵X_pri，满足：

S-Step3:PKG由X_pri产生对应的公钥矩阵Y_pub，满足：

其中y_ij＝x_ijQ(1≤i≤m,1≤j≤n,m,n∈Z⁺)。选择两个单向散列函数：H₁:{0,1}^*→{0,1}^l×n，其中H₂:{0,1}^*→{0,1}ⁿ。

S-Step4:公布系统参数(Y_pub,Q,p,q,H₁,H₂)。

节点种子预分配步骤为：

P-Step1:给定节点身份ID∈{0,1}^*，PKG计算ID的散列值是长度为l-bits的二进制串，它的十进制数值为i_j，其中1≤j≤n，0≤i_j＜m。

P-Step2:PKG根据节点身份的散列值从X_pri中为节点选择种子其中i_j+1表示X_pri中第i_j+1行，j表示X_pri中第j列。

P-Step3:PKG通过密码服务模块将种子seed_ID分配并存储到节点中，seed_ID作为密钥产生的种子存在密码服务模块安全控制器中。

节点私钥产生步骤为：

为了产生不同类型的密钥，节点中的密码服务模块调用密钥生成函数(KDF)，利用密码服务模块内部的种子(seed_ID)和密钥参数(KP＝{key_type|application|expired_time})创建密钥。密钥参数由所需的密钥类型确定，创建密钥由KDF(seed_ID,KP)实现，具体过程如算法1所示。算法1中，通过密钥参数控制密钥的类型，创建好的密钥被密码服务模块存储与管理。

算法1KDF(seed_ID,KP)

1:利用散列函数H₂计算密钥参数的散列值H₂(KP)＝kp₁,…,kp_j,…kp_n,其中kp_j是H₂(KP)的第j比特。

2:产生私钥

kp_j∈H₂(KP),

3:返回私钥x_{type_ID}。

加密步骤为：

加密步骤通过调用加密算法Encrypt(M,ID,KP)实现对消息M的加密，其中ID，KP为节点身份和密钥参数，具体过程如算法2所示。

算法2Encrypt(M,ID,KP)

1:确定密钥参数KP并利用散列函数H₂计算其散列值H₂(KP)＝kp₁,…,kp_j,…kp_n，其中kp_j是H₂(KP)的第j比特。然后利用散列函数H₁计算节点身份ID的散列值

2:通过H₁(ID)从Y_pub选择节点ID的公钥参数其中i_j+1表示Y_pub中第i_j+1行，j表示Y_pub中第j列。

3:产生节点公钥

4:执行加密算法ECCEncryption(M,y_{type_ID})获得密文C。

解密步骤

解密步骤输入密钥参数KP调用解密算法Decrypt(C,KP)获得明文消息M，具体过程如算法3所示。

算法3Decrypt(C,KP)

1:运行KDF(seed_ID,KP)计算节点私钥x_{type_ID}。

2:执行解密算法ECCDecryption(C,x_{type_ID})获得明文消息M。

车载信息交互系统主要由三种不同名称的同一实体构成：车载单元、路旁单元和车辆管理中心(或其他可信中心)，如图6所示。为了便于描述将车辆管理中心(或其他可信中心)统称为可信中心。

车载单元(OBU,On-board Unit)是嵌入到无人驾驶车或有人驾驶车(节点)内的车载信息交互系统。通过建立车与车、车与路旁基础设施间的无线通信动态发布或转发车辆(节点)与道路的相关信息，内部的密码服务模块具有密码学计算及防篡改能力。

路旁单元(RSU,Roadside Unit)是安装在交通信号灯等道路基础设施中的车载信息交互系统，与OBU建立无线通信，与可信中心建立有线通信。

可信中心(TA,Trusted Authority)负责对网络中的车辆(节点)认证、注册并授权参与车载通信。允许不同区域有不同的TA，每个TA公开其ID及系统参数。

本发明假设TA可信且具有较强的计算与存储能力；所有车辆(节点)通过GPS系统得到本地位置信息，并通过位置服务获得目标车辆(节点)的位置信息。

实施例3：一种无人驾驶车车载信息交互安全通信方法,含有基于位置的安全路由步骤，本发明是在基于身份的密钥管理框架下，如图7所示，包括3部分步骤：

系统建立步骤；

一跳通信安全机制步骤；

多跳通信安全机制步骤。

系统建立步骤为：

系统建立步骤为协议准备密钥管理服务并对节点身份匿名化。

TA初始化：TA产生密钥及系统参数。

S-Step1输入安全参数k、TA身份ID_TA及基于身份的密钥产生算法Key_IBE()，产生TA密钥对＜sk_TA,pk_TA＞及系统参数

S-Step2TA公开身份ID_TA及系统参数

节点自产生密钥：设任意节点身份为ID_i，0＜i≤N，其中N为网络中节点数。

S-Step3输入安全参数k'及非对称密钥产生算法Key_Asymm()，ID_i产生非对称密钥对＜pk_i,sk_i＞。

＜pk_i,sk_i＞＝Key_Asymm(k') (2)

注册：节点ID_i向TA注册身份及公钥，TA为节点产生假名并签发公钥证书。

S-Step4节点ID_i将真实身份及自产生公钥(ID_i,pk_i)通过离线方式发送给TA。

S-Step5TA验证节点身份ID_i的正确性后向节点发起验证公钥请求。

S-Step6节点ID_i通过零知识向TA证明拥有正确的私钥。

S-Step7输入随机数n_i，节点身份ID_i，节点公钥pk_i，过期时间T_Expire，单向哈希函数H₁()和基于身份的签名算法Sign_IBE()，TA为节点生成假名PID_i，并通过签名算法为节点签发公钥证书τ_i。

PID_i＝H₁(n_i,ID_i||pk_i||T_Expire) (3)

S-Step8TA向节点返回假名PID_i及公钥证书τ_i。

验证：节点通过TA的身份信息验证TA签发的数字证书。

S-Step9输入TA的身份ID_TA，系统参数和基于身份的验证算法Verify_IBE()，节点验证τ_i。该过程中，τ_i可以由任意节点通过TA的身份信息ID_TA验证。

一跳通信安全机制步骤为：

在PBR协议中一跳通信是节点通过Hello消息确定邻居节点身份和位置的过程。邻居节点的身份及位置为节点多跳通信中转发策略提供数据。本文借助OBU的防篡改能力保护GPS系统获得的位置信息并在OBU中对位置信息签名以保证邻居节点位置信息的正确性与完整性。

Hello-签名:节点对本地位置信息签名并发送Hello消息。

O-Step1输入节点私钥sk_i，签名算法Sign_Asymm()，本地位置信息Position_i，节点假名PID_i，节点产生Hello消息的签名τ_pi，并将TA为PID_i签发的公钥证书τ_i放入Hello消息中，扩展后的Hello消息如图2所示。

τ_pi＝Sign_Asymm(sk_i,PID_i||Position_i||T_Expire) (6)

Cortrol field

PID_i

Position_i

τ_pi

τ_i

Hello-验证：邻居节点收到Hello消息后，存入邻居列表时先通过TA的身份ID_TA验证τ_i，然后验证τ_pi，如果验证通过，将Hello消息存入邻居列表，否则丢弃。

O-Step2节点通过公式(5)验证τ_i，然后输入公钥pk_i，验证算法Verify_Asymm()验证τ_pi。

{True or False}＝Verify_Asymm(τ_pi,pk_i) (7)

多跳通信安全机制步骤为：

多跳通信是PBR协议的主要通信模式，节点通过多跳通信将信息转发到目标节点。多跳通信安全机制由3个部分构成：路由消息签名；节点评估转发；目标节点验证及接收消息。该过程概括描述为源节点产生带有签名的消息后通过评估转发策略选择下一跳节点，节点接收到消息后继续转发直到到达目标节点。

路由消息签名步骤为：

PBR协议的路由消息主要由路由头部(Route Header)和负载数据(Payload Data)构成，路由头部可以分为不变部分和可变部分。不变部分(Route Header’)为路由的控制域、源和目标节点的身份及位置信息；可变部分为转发节点的身份及位置信息，可以在节点转发消息过程中更新邻居节点信息。

本发明安全机制中不需要对可变部分认证，原因有两点：

1)邻节点信息更新由认证过的Hello消息提供；

2)目标节点仅需要合法的消息而不需要每个中间转发节点的端到端的认证。

由此，源节点只需对路由头部中不变部分及负载数据签名。扩展后的多跳路由消息结构如下表1所示，其中以_s表示源节点，d表示目标节点(0＜s,d≤N，其中N为网络中节点数)。

表1：

M-Step1输入源节点私钥sk_s，路由头部的不变部分(route header’)，负载数据(payload data)，签名算法Sign_Asymm()，源节点产生路由消息签名τ_rs。

τ_rs＝Sign_Asymm(sk_s,route header'||payload data||T_Expire) (8)

(1)节点评估转发

PBR协议采用基于位置的转发算法从邻居列表中选择下一跳转发节点。选择的下一跳节点可能对数据包做出以下处理：

1)正常转发；

2)篡改转发；

3)恶意丢包。

后两种情况为恶意行为，针对转发恶意行为对邻居节点进行评估，通过评估值确定合法邻居节点，建立稳定路由。评估转发前需要节点验证源节点公钥证书及其产生的路由消息签名，如果验证通过，节点进行评估转发，否则将包丢弃。

评估转发评估转发是在节点运行转发算法前对邻居节点评估的过程。通过评估值确定合法邻居节点并以合法邻居节点作为转发算法的输入选择下一跳节点转发数据包。评估分为前向评估和后向评估。前向评估用来评估节点转发数据包过程中的丢包行为；后向评估用来评估节点恶意篡改数据包的转发行为。

前向评估设节点A的任意邻居节点为B，定义单位时间内节点A观察节点B接收来自节点A的非目标数据包(目标地址不为B)与转发这些包的过程。A观察到B转发数据包个数f_A→B(t)与接收数据包个数r_A→B(t)的比值称为前向评估值E_A→B(t)。

E_A→B(t)＝f_A→B(t)/r_A→B(t) (9)

后向评估设节点A的任意邻节点为B，定义单位时间内节点A观察节点B向A发送的非目标数据包(目标地址不为A)与转发这些包的过程。A转发数据包个数f'_B→A(t)与接收数据包个数r'_B→A(t)的比值称为后向评估值E'_B→A(t)。

E'_B→A(t)＝f'_B→A(t)/r'_B→A(t) (10)

M-Step2节点收到多跳路由数据包后通过公式(5)验证τ_s，然后输入公钥pk_s，验证算法Verify_Asymm()验证τ_rs。

{True or False}＝Verify_Asymm(τ_rs,pk_s) (11)

M-Step3节点运行算法4评估转发。

算法4评估转发步骤为：

1:前向：

2:1)节点A开启混杂模式，监听邻居节点B的发包状态。

3:2)A记录发向B的非目标数据包(目标地址不为B)的包序号，并记录发包数到变量r_A→B(t)中。

4:3)if B转发的包序号等于A记录的包序号。

5:then A记录B转发包数到变量f_A→B(t)中。

6:后向：

7:1)A记录B向A发送的非目标数据包(目标地址不为A)的包序号，并记录发包数到变量r'_B→A(t)中。

8:2)if B向A发送的非目标数据包通过了A验证；

9:then A记录数据包数到变量f'_B→A(t)中。

10:评估：

11:1)启动定时器。

12:2)每隔Δt时间A计算：

13:E_A→B(t)＝f_A→B(t)/r_A→B(t)；

14:E'_B→A(t)＝f'_B→A(t)/r'_B→A(t)；

15:E(t)＝α·E_A→B(t)+(1-α)·E'_B→A(t)，

16:α为评估系数。

17:转发:

18:IfE(t)大于阈值

19:then允许B为A转发算法的输入，由转发算法选择下一跳节点。

20:else A选择下一跳节点时将B排除。

目标节点验证及接收消息步骤为：

目标节点d接收到目标地址与本地地址相等的数据包后，验证数据包中源节点的公钥证书及其产生的路由消息签名，如果验证通过节点接收数据包，否则将包丢弃。

M-Step4节点收到多跳路由数据包后利用M-Step2验证数据包，验证通过后比较目标地址与本地地址是否相等，如果相等则接收数据包，否则转向M-Step3评估转发数据包。

表2：实例协议中使用的符号

如上所述，对本发明的实施例进行了详细地说明，但是只要实质上没有脱离本发明的发明点及效果可以有很多的变形，这对本领域的技术人员来说是显而易见的。因此，这样的变形例也全部包含在本发明的保护范围之内。

Claims

1.一种无人驾驶车车载信息交互安全通信方法，其特征在于包括以下步骤：

步骤1：车辆加入或建立车辆移动自组网；

步骤6：行车意图信息判决确认并进行电子信号转换；

步骤7：信息发送前进行密钥管理步骤及安全路由步骤；

步骤8：通过车辆自组网发送行车交互信息。

2.根据权利要求1所述的一种无人驾驶车车载信息交互安全通信方法，其特征在于包括以下步骤：

3.根据权利要求2所述的一种无人驾驶车车载信息交互安全通信方法，其特征在于密钥管理步骤包括五个步骤：

建立(Setup)步骤，

节点种子预分配(Node Seed Pre-distribution)步骤，

节点私钥产生(Node Private Keys Generation)步骤，

加密(Encryption)步骤，

解密(Decryption)步骤；

建立步骤为:

S-Step步骤1:私钥生成中心(PKG)选择有限域GF(p)上的椭圆曲线E，其中p是大素数；选择椭圆曲线E上的基点Q，Q的阶为大素数q；

S-Step步骤2:PKG选择私钥x_ij∈GF(q)(1≤i≤m,m,n∈Z⁺)构造规模为m×n的私钥矩阵X_pri，满足：

S-Step步骤3:PKG由X_pri产生对应的公钥矩阵Y_pub，满足：

其中y_ij＝x_ijQ(1≤i≤m,1≤j≤n,m,n∈Z⁺)；选择两个单向散列函数：H₁:{0,1}^*→{0,1}^l×n，其中H₂:{0,1}^*→{0,1}ⁿ；

S-Step步骤4:公布系统参数(Y_pub,Q,p,q,H₁,H₂)；

节点种子预分配步骤

P-Step步骤1:给定节点身份ID∈{0,1}^*，PKG计算ID的散列值是长度为l-bits的二进制串，它的十进制数值为i_j，其中1≤j≤n，0≤i_j＜m；

P-Step步骤2:PKG根据节点身份的散列值从X_pri中为节点选择种子其中i_j+1表示X_pri中第i_j+1行，j表示X_pri中第j列；

P-Step3:PKG通过密码服务模块将种子seed_ID分配并存储到节点中，seed_ID作为密钥产生的种子存在密码服务模块安全控制器中；

节点私钥产生步骤为:

为了产生不同类型的密钥，节点中的密码服务模块调用密钥生成函数(KDF)，利用密码服务模块内部的种子(seed_ID)和密钥参数(KP＝{key_type|application|expired_time})创建密钥；密钥参数由所需的密钥类型确定，创建密钥由KDF(seed_ID,KP)实现，具体过程如算法1所示；算法1中，通过密钥参数控制密钥的类型，创建好的密钥被密码服务模块存储与管理；

算法1KDF(seed_ID,KP)

步骤(1.1):利用散列函数H₂计算密钥参数的散列值H₂(KP)＝kp₁,…,kp_j,…kp_n,其中kp_j是H₂(KP)的第j比特；

步骤(1.2):产生私钥

kp_j∈H₂(KP),

步骤(1.3):返回私钥x_{type_ID}；

加密步骤为:

加密步骤通过调用加密算法Encrypt(M,ID,KP)实现对消息M的加密，其中ID，KP为节点身份和密钥参数，具体过程如算法2所示；

算法2Encrypt(M,ID,KP)

步骤(2.1)、确定密钥参数KP并利用散列函数H₂计算其散列值H₂(KP)＝kp₁,…,kp_j,…kp_n，其中kp_j是H₂(KP)的第j比特；然后利用散列函数H₁计算节点身份ID的散列值

步骤(2.2)、通过H₁(ID)从Y_pub选择节点ID的公钥参数其中i_j+1表示Y_pub中第i_j+1行，j表示Y_pub中第j列；

步骤(2.3)、产生节点公钥kp_j∈H₂(KP),

步骤(2.4)、执行加密算法ECCEncryption(M,y_{type_ID})获得密文C；

解密步骤为:

解密步骤输入密钥参数KP调用解密算法Decrypt(C,KP)获得明文消息M，具体过程如算法3；

算法3Decrypt(C,KP)

步骤(3.1)、运行KDF(seed_ID,KP)计算节点私钥x_{type_ID}；

步骤(3.2)、执行解密算法ECCDecryption(C,x_{type_ID})获得明文消息M。

4.根据权利要求2所述的一种无人驾驶车车载信息交互安全通信方法，其特征在于系统建立步骤为：

系统建立步骤为协议准备密钥管理服务并对节点身份匿名化；

可信中心TA初始化：TA产生密钥及系统参数；

S-Step步骤(1)、输入安全参数k、TA身份ID_TA及基于身份的密钥产生算法Key_IBE()，产生TA密钥对＜sk_TA,pk_TA＞及系统参数

S-Step步骤(2)、TA公开身份ID_TA及系统参数

节点自产生密钥：设任意节点身份为ID_i，0＜i≤N，其中N为网络中节点数；

S-Step步骤(3)、输入安全参数k'及非对称密钥产生算法Key_Asymm()，ID_i产生非对称密钥对＜pk_i,sk_i＞；

＜pk_i,sk_i＞＝Key_Asymm(k') (2)

注册：节点ID_i向TA注册身份及公钥，TA为节点产生假名并签发公钥证书；

S-Step步骤(4)、节点ID_i将真实身份及自产生公钥(ID_i,pk_i)通过离线方式发送给TA；

S-Step步骤(5)、TA验证节点身份ID_i的正确性后向节点发起验证公钥请求；

S-Step步骤(6)、节点ID_i通过零知识向TA证明拥有正确的私钥；

S-Step步骤(7)、输入随机数n_i，节点身份ID_i，节点公钥pk_i，过期时间T_Expire，单向哈希函数H₁()和基于身份的签名算法Sign_IBE()，TA为节点生成假名PID_i，并通过签名算法为节点签发公钥证书τ_i；

PID_i＝H₁(n_i,ID_i||pk_i||T_Expire) (3)

S-Step步骤(8)、TA向节点返回假名PID_i及公钥证书τ_i；

验证：节点通过TA的身份信息验证TA签发的数字证书；

S-Step步骤(9)、输入TA的身份ID_TA，系统参数和基于身份的验证算法Verify_IBE()，节点验证τ_i；该过程中，τ_i可以由任意节点通过TA的身份信息ID_TA验证；

一跳通信安全机制步骤为：

在基于位置的路由(PBR)协议中一跳通信是节点通过Hello消息确定邻居节点身份和位置的过程；邻居节点的身份及位置为节点多跳通信中转发策略提供数据；

Hello-签名:节点对本地位置信息签名并发送Hello消息；

O-Step步骤1、输入节点私钥sk_i，签名算法Sign_Asymm()，本地位置信息Position_i，节点假名PID_i，节点产生Hello消息的签名τ_pi，并将TA为PID_i签发的公钥证书τ_i放入Hello消息中；

τ_pi＝Sign_Asymm(sk_i，PID_i||Position_i||T_Expire) (6)

Controlfield PID_i Position_i τ_oi τ_i

Hello-验证：邻居节点收到Hello消息后，存入邻居列表时先通过TA的身份ID_TA验证τ_i，然后验证τ_pi，如果验证通过，将Hello消息存入邻居列表，否则丢弃；

O-Step步骤2、节点通过公式(5)验证τ_i，然后输入公钥pk_i，验证算法Verify_Asymm()验证τ_pi；

{True or False}＝Verify_Asymm(τ_pi，pk_i) (7)

多跳通信安全机制步骤为：

多跳通信是PBR协议的主要通信模式，节点通过多跳通信将信息转发到目标节点；多跳通信安全机制由3个部分构成：路由消息签名；节点评估转发；目标节点验证及接收消息；该过程概括描述为源节点产生带有签名的消息后通过评估转发策略选择下一跳节点，节点接收到消息后继续转发直到到达目标节点。