本发明专利技术公开了一种用于更换车载OBU信任根的方法及系统,属于车载OBU技术领域。本发明专利技术方法,包括:获取车载OBU的信息数据;基于车载OBU的信息数据,定义车载OBU中,信任根的数据结构、信任根的发布流程、信任根升级算法和更换方式,以生成对信任根的定义数据;基于定义数据,生成用于更换车载OBU信任根的更换策略,以更换策略,对车载OBU的信任根进行更换。采取本发明专利技术的方法对车载OBU的信任根进行更换,成本较低,能够满足车载OBU信息安全需求。能够满足车载OBU信息安全需求。能够满足车载OBU信息安全需求。
【技术实现步骤摘要】
一种用于更换车载OBU信任根的方法及系统
[0001]本专利技术涉及车载OBU
,并且更具体地,涉及一种用于更换车载OBU信任根的方法及系统。
技术介绍
[0002]随着车载信息系统、车云通信系统的不断发展,车载 OBU(On Board Unit)作为车载智能终端日益重要。车载OBU 需要与云端平台、充电桩、维修设备等多种外部系统或设备进行大量信息交互,这使得车载 OBU 面临较高的安全威胁,如非法访问、数据窃取、病毒感染等。
[0003]为保障车载 OBU 信息安全,数字证书、数字签名等非对称密钥技术被广泛应用于车载 OBU 系统,用于对通信对象及数据信息进行认证和加密。车载 OBU 通常会预置出厂时签发的数字证书(如根证书)作为 OBU 自身的身份凭证。车载 OBU 同时会预置多种根证书,作为车载 OBU 的信任根。在车载 OBU 与外界通信时,通过这些根证书来验证另一个通信实体的身份真实性,以及验证重要通信信息的有效性。但随着时间推移,上述根证书会面临证书过期、证书所采用的签名算法出现安全漏洞,以及证书私钥泄露等多种风险,这将直接威胁车载 OBU 乃至车辆和车联网平台的系统安全。
[0004]现有技术中,车载 OBU 系统难以在线对信任根进行安全替换,通常只能通过换卡、硬件更换等物理方式进行更新,这无疑会带来较高的成本与难度。一些支持证书在线更新的方案,又难以保证更新过程的安全性,面临中间人攻击、伪证书注入等威胁。
[0005]通过严密的根证书管理方法,能够有效提升现有系统的安全性,在保证根证书可靠的前提下,延长根证书的安全使用周期,利用管理手段上解决上述问题。但是这一方法的成本较高,在车载 OBU 的使用场景下,并非每个必须进行严格身份校验的通信实体(或信息的提供方)都具备严格的根证书管理能力,因此只适用于通信实体能够长期保持不变、较为静态化的场景。但车辆智能化水平正在快速提升,车联网应用场景日益丰富和复杂,因此车载 OBU 需要进行通信的目标也逐渐变得更加多样化和动态化,因此静态的预置根证书机制难以在车载 OBU 的整个使用周期(通常意义上,车载 OBU 的使用周期即为对应车辆的使用周期)既提供足够强的安全防护,又提供足够开放动态变更和扩展能力。
[0006]因此,如何在车载 OBU 的全生命周期内,以低成本且安全可靠的方式持续更新其信任根,是车载信息安全领域需要解决的问题。
技术实现思路
[0007]针对上述问题,本专利技术提出了一种用于更换车载OBU信任根的方法,包括:获取车载OBU的信息数据;基于车载OBU的信息数据,定义车载 OBU 中,信任根的数据结构、信任根的发布流程、信任根升级算法和更换方式,以生成对信任根的定义数据;基于定义数据,生成用于更换车载OBU信任根的更换策略,以更换策略,对车载OBU
的信任根进行更换。
[0008]可选的,在车载 OBU 中预置有初始信任根和信任根升级算法。
[0009]可选的,信任根以文件格式进行存储或以二进制格式进行封装;文件格式包括如下中的至少一种:json文件格式、yaml文件格式和xml文件格式;二进制格式包括:protobuf格式。
[0010]可选的,信任根的数据结构,包括:根据车载OBU需求自定义的扩展属性数据和信任根的基础数据;基础数据包括如下:序列号、受信实体列表、签发信息、可信变更渠道列表、变更条件和发布日期;受信实体列表至少包括一个授信实体,受信实体包括受信实体的身份凭证,身份凭证为用于对受信实体进行非对称加密机制验证的凭证信息,包括:受信实体的公钥及公钥签名算法,或证书信息;签发信息,包括:签名者所对应的受信实体标识、签名者使用持有的私钥对新版信任根的签名值和签名时间;可信变更渠道,包括如下中的至少一种:可信url、可信文件路径和可信物理接口;变更条件包括签名阈值。
[0011]可选的,信任根的发布流程,包括:信任根的首次发布流程和更新发布流程;首次发布流程中,信任根的签发信息包括当前信任根所有受信实体的签名;更新发布流程中,新版本的信任根的签发信息和受信实体列表需满足上一版本的信任根的变更条件,且默认要求新增实体对新版本的信任根进行签发。
[0012]可选的,信任根升级算法,包括如下:基于可信变更渠道获取新版本的信任根;对新版本的信任根作为候选信任根,与当前版本信任根进行比较;若候选信任根的版本号等于当前版本信任根的版本号加1,则对候选信任根进行验证,若候选信任根的签发列表的签名值正确,签发列表的受信实体列表满足当前版本信任根的变更条件,且候选信任根的受信实体列表满足当前版本信任根的变更条件,则将当前版本信任根更换为候选信任根;若候选信任根的版本号小于或等于当前版本信任根的版本号,则丢弃候选信任根;若候选信任根的版本号大于当前版本信任根的版本号加1,则获取候选信任根的历史版本中版本号等于当前版本信任根的版本号加1的信任根,进行验证。
[0013]可选的,车载OBU 不得采用包含以过期证书为受信实体身份凭证的信任根,作为车载OBU信任根的最终版本。
[0014]可选的,对车载OBU的信任根进行存储,包括车载OBU的初始信任根至当前版本信息根,基于存储的信任根生成信任链。
[0015]可选的,更换方式,满足信任根的数据结构和信任根的发布流程要求,且使用信任根升级算法进行更换。
[0016]再一方面,本专利技术还提出了一种用于更换车载OBU信任根的系统,包括:采集单元,用于获取车载OBU的信息数据;
定义单元,用于基于车载OBU的信息数据,定义车载 OBU 中,信任根的数据结构、信任根的发布流程、信任根升级算法和更换方式,以生成对信任根的定义数据;更换单元,用于基于定义数据,生成用于更换车载OBU信任根的更换策略,以更换策略,对车载OBU的信任根进行更换。
[0017]与现有技术相比,本专利技术的有益效果为:本专利技术提供了一种用于更换车载OBU信任根的方法,包括:获取车载OBU的信息数据;基于车载OBU的信息数据,定义车载 OBU 中,信任根的数据结构、信任根的发布流程、信任根升级算法和更换方式,以生成对信任根的定义数据;基于定义数据,生成用于更换车载OBU信任根的更换策略,以更换策略,对车载OBU的信任根进行更换。采取本专利技术的方法对车载OBU的信任根进行更换,成本较低,能够满足车载 OBU 信息安全需求。
附图说明
[0018]图1为本专利技术的用于更换车载OBU信任根的方法的流程图;图2为本专利技术的用于更换车载OBU信任根的方法及系统中信任根所对应的文件中包含数据的示意图;图3为本专利技术的用于更换车载OBU信任根的方法及系统中信任根的签发的说明图;图4为本专利技术的用于更换车载OBU信任根的方法及系统中信任根的更新的说明图;图5为本专利技术的一种用于更换车载OBU信任根的系统600的模块单元图。
具体实施方式
[0019]现在参考附图介绍本专利技术的示例性实施方式,然而,本专利技术可以用许多不同的形式来实施,并且不局限于此处描述的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于更换车载OBU信任根的方法,其特征在于,所述方法包括:获取车载OBU的信息数据;基于所述车载OBU的信息数据,定义车载OBU中,信任根的数据结构、信任根的发布流程、信任根升级算法和更换方式,以生成对信任根的定义数据;基于所述定义数据,生成用于更换车载OBU信任根的更换策略,以所述更换策略,对所述车载OBU的信任根进行更换。2.根据权利要求1所述的方法,其特征在于,在车载 OBU 中预置有初始信任根和信任根升级算法。3.根据权利要求1所述的方法,其特征在于,所述信任根以文件格式进行存储或以二进制格式进行封装;所述文件格式包括如下中的至少一种:json文件格式、yaml文件格式和xml文件格式;所述二进制格式包括:protobuf格式。4.根据权利要求1所述的方法,其特征在于,所述信任根的数据结构,包括:根据车载OBU需求自定义的扩展属性数据和信任根的基础数据;所述基础数据包括如下:序列号、受信实体列表、签发信息、可信变更渠道列表、变更条件和发布日期;所述受信实体列表至少包括一个授信实体,所述受信实体包括受信实体的身份凭证,所述身份凭证为用于对受信实体进行非对称加密机制验证的凭证信息,包括:受信实体的公钥及所述公钥签名算法,或证书信息;所述签发信息,包括:签名者所对应的受信实体标识、签名者使用持有的私钥对新版信任根的签名值和签名时间;所述可信变更渠道,包括如下中的至少一种:可信url、可信文件路径和可信物理接口;所述变更条件包括签名阈值。5.根据权利要求1所述的方法,其特征在于,所述信任根的发布流程,包括:信任根的首次发布流程和更新发布流程;所述首次发布流程中,信任根的签发信息包括当前信任根所有受信实体的签名;所述更新发布流程中,新版本的信任根的签发信息和受信实体列表需满足上一版本的信...
【专利技术属性】
技术研发人员:李国鹏,
申请(专利权)人:北京云驰未来科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。