CN107682859B - 消息处理方法及相关设备 - Google Patents

消息处理方法及相关设备 Download PDF

Info

Publication number
CN107682859B
CN107682859B CN201710772009.8A CN201710772009A CN107682859B CN 107682859 B CN107682859 B CN 107682859B CN 201710772009 A CN201710772009 A CN 201710772009A CN 107682859 B CN107682859 B CN 107682859B
Authority
CN
China
Prior art keywords
certificate
message
signature
lightweight
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710772009.8A
Other languages
English (en)
Other versions
CN107682859A (zh
Inventor
肖飞龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201710772009.8A priority Critical patent/CN107682859B/zh
Publication of CN107682859A publication Critical patent/CN107682859A/zh
Priority to PCT/CN2018/100975 priority patent/WO2019042154A1/zh
Application granted granted Critical
Publication of CN107682859B publication Critical patent/CN107682859B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请公开了消息处理方法及相关设备,用于减少通信系统的开销,从而提高了系统容量和消息传输质量。本申请实施例方法包括:发送终端获取编码消息;发送终端对编码消息进行签名处理,得到消息签名;发送终端根据轻量级证书、消息签名及编码消息,生成发送端消息,轻量级证书包括消息签名验证信息及证书签名,消息签名验证信息用于验证消息签名的合法性;发送终端将发送端消息发送至接收终端,使得接收终端根据预置证书验证信息验证证书签名确定轻量级证书合法,且根据消息签名验证信息验证消息签名合法时,处理编码消息。

Description

消息处理方法及相关设备
技术领域
本申请涉及通信领域,具体涉及消息处理方法及相关设备。
背景技术
车联网是使用无线通信或者传感探测等技术收集车辆、道路及环境等信息,通过车-车(Vehicle-to-Vehicle,V2V)、车-道路设施(Vehicle-to-Infrastructure,V2I)及车-人(Vehicle-to-Pedestrian,V2P)之间的交互和共享,使车、人和基础设施之间智能协同与配合,从而实现智能交通管理控制、车辆智能化控制和智能动态信息服务的一体化网络,是物联网技术在智能交通系统领域的延伸。
车联网的通信系统中,消息一般采用广播发送,在广播场景下,路侧单元(Roadside Unit,RSU)和车辆的身份极易被仿冒。为了保证安全必须采用证书认证来保证身份的合法性,接收者通过证书来验证发送者消息签名来确保发送者身份的合法性。现有的证书认证方式为:使用发送终端的私钥对V2X(Vehicle-to-Everything)消息进行签名,并在V2X消息中携带证书(例如,X.509);接收终端在接收到V2X消息时,用证书颁发中心(Certificate Authority,CA)中的公钥验证证书,如果验证的结果是合法证书,则用证书中的公钥进行V2X消息的签名验证,如果签名合法则处理,否则丢弃。
由于V2X消息的典型频率是10Hz,消息的平均长度是300字节左右,而X.509证书的大小为1000字节以上,那么证书签名的开销占V2X消息的1000/(1000+300)*100%=76%,V2X消息增加了3.3倍,开销大意味着系统容量与没有签名情况相比大幅度下降,消息大就存在误包率高、发送速度慢及干扰大等问题。
发明内容
本申请提供消息处理方法及相关设备,发送终端的发送端消息中携带有轻量级证书,接收终端通过轻量级证书中的证书签名及消息签名验证信息即可完成发送端消息的证书和签名验证,轻量级证书占用的字节数小于CA证书,使得通信系统的开销减少,从而提高了系统容量和消息传输质量。
本申请第一方面提供一种消息处理方法,包括:
发送终端获取编码消息;
所述发送终端对所述编码消息进行签名处理,得到消息签名;
所述发送终端根据轻量级证书、所述消息签名及所述编码消息,生成发送端消息,所述轻量级证书包括消息签名验证信息及证书签名,所述消息签名验证信息用于验证所述消息签名的合法性;
所述发送终端将所述发送端消息发送至接收终端,使得所述接收终端根据预置证书验证信息验证所述证书签名确定所述轻量级证书合法,且根据所述消息签名验证信息验证所述消息签名合法时,处理所述编码消息。
在无线空口频繁的消息交互的通信系统中,终端与终端之间的消息发送一般采用广播方式,例如车联网的通信系统中,V2V、V2I及V2P之间的交互和共享就是采用的广播方式,但是RSU和车辆身份极易被仿冒,因此需要通过证书来保证发送者身份的合法性,证书的获得渠道是从通信系统中的CA得到的。当发送终端获取到待发送的消息时,按照预置的编码规则对待发送的消息进行编码处理,得到编码消息,发送终端为了保证编码消息在传输过程中的完整性和发送者的身份认证,需要对编码消息进行签名处理,得到消息签名,在编码消息上附上消息签名,然后将CA颁布的轻量级证书携带于编码消息中,得到发送端消息,将发送端消息通过广播方式发送到接收终端,接收终端可以是一个或多个。使得接收终端在获取到发送端消息之后,根据预置证书验证信息验证证书签名确定轻量级证书是否合法,预置证书验证信息也是CA颁布预先告知接收终端的,在轻量级证书合法的情况下,接收终端再根据轻量级证书中的消息签名验证信息验证消息签名是否合法,消息签名也合法时,就表示发送端消息的发送方的身份验证通过,并且编码消息传输过程中保证了完整性。发送终端的发送端消息中携带有轻量级证书,接收终端通过轻量级证书中的证书签名及消息签名验证信息即可完成发送端消息的证书和签名验证,由于轻量级证书只包含了消息签名验证信息和证书签名,与现有的CA证书相比,轻量级证书占用的字节数小于CA证书,例如,X.509证书的大小大于1000字节,而轻量级证书的大小可以做到200字节以下,使得通信系统的开销减少,从而提高了系统容量和消息传输质量。
结合本申请第一方面,本申请第一方面第一实施方式中,所述发送终端对所述编码消息进行签名处理,得到消息签名,包括:
所述发送终端根据预置哈希函数从所述编码消息中生成消息摘要;
所述发送终端根据终端私有密钥对所述消息摘要进行签名处理,得到消息签名。
对消息的签名处理主要分为两步,第一步是根据预置哈希函数从编码消息中提取出摘要信息,从而得到编码消息的消息摘要,由于在无线空口频繁的消息交互的通信系统中,终端与终端之间的消息发送一般采用广播方式,那么采用的是非对称加密方式进行签名处理,非对称加密方式具体是设置有私有秘钥和公开秘钥,由于接收方需要验证发送方的身份,那么发送终端根据终端私有密钥对消息摘要进行签名处理,得到消息签名,而接收终端是已知与终端私有密钥对应的终端公开秘钥的,因此可以使用公开秘钥来验证消息签名是否合法。
结合本申请第一方面第一实施方式,本申请第一方面第二实施方式中,所述消息签名验证信息为所述终端私有密钥对应的终端公开密钥。
在上述第一方面第一实施方式中,由于已知了发送终端是根据终端私有密钥对消息摘要进行签名处理的,那么消息签名验证信息用于验证消息签名的合法性,消息签名验证信息自然就是与终端私有密钥对应的终端公开密钥。
结合本申请第一方面第二实施方式,本申请第一方面第三实施方式中,所述轻量级证书还包括有效期信息,
所述发送终端根据轻量级证书、所述消息签名及所述编码消息,生成发送端消息之前,还包括:
所述发送终端向CA发送证书请求,使得所述CA根据预置证书私有秘钥对所述CA证书的有效期信息及终端公开秘钥进行签名处理,得到证书签名,根据所述有效期信息、所述终端公开秘钥及所述证书签名生成轻量级证书,并向所述发送终端发送所述轻量级证书;
所述发送终端获取所述CA发送的所述轻量级证书。
在轻量级证书中还可以包括有效期信息,由于CA在颁布证书的时候,可以为证书设置使用期限,有效期信息规定的有效时间之内,轻量级证书才是合法的,从而增加安全性。而轻量级证书的颁发是由CA执行的,发送终端向CA发送证书请求,CA在接收到证书请求之后,根据预置证书私有秘钥对CA证书的有效期信息及终端公开秘钥进行签名处理,得到证书签名,根据有效期信息、终端公开秘钥及证书签名生成轻量级证书,并向发送终端发送轻量级证书;发送终端获取CA发送的轻量级证书。以X.509证书为例,X.509证书中包括TBSCertificate、signatureAlgorithm、signatureValue三个部分,其中TBSCertificate包括有效期信息(Validity)、消息签名验证信息(即终端公开秘钥)(Subject Public KeyInfo)、扩展字段(Extension)等等,而得到的证书签名可以放入Extension中,与X.509证书相比,轻量级证书中只包括了有效期信息、终端公开秘钥和证书签名,因此轻量级证书的字节大小明显小于X.509证书的字节大小。
本申请第二方面提供一种消息处理方法,包括:
接收终端接收发送终端发送的发送端信息,所述发送端消息包括轻量级证书、编码消息及所述编码消息的消息签名,所述轻量级证书包括消息签名验证信息及证书签名,所述消息签名验证信息用于验证所述消息签名的合法性;
所述接收终端根据预置证书验证信息验证所述证书签名,确定所述轻量级证书是否合法;
若所述轻量级证书合法,则所述接收终端根据所述消息签名验证信息验证所述消息签名是否合法;
若所述消息签名合法,则所述接收终端处理所述编码消息。
在无线空口频繁的消息交互的通信系统中,终端与终端之间的消息发送一般采用广播方式,例如车联网的通信系统中,V2V、V2I及V2P之间的交互和共享就是采用的广播方式,但是RSU和车辆身份极易被仿冒,因此需要通过证书来保证发送者身份的合法性,证书的获得渠道是从通信系统中的CA得到的。接收终端接收发送终端发送的发送端信息,发送端消息包括轻量级证书、编码消息及编码消息的消息签名,轻量级证书包括消息签名验证信息及证书签名,消息签名验证信息用于验证消息签名的合法性,接收终端根据预置证书验证信息验证证书签名,确定轻量级证书是否合法,预置证书验证信息也是CA颁布预先告知接收终端的;如果轻量级证书合法,则接收终端根据消息签名验证信息验证消息签名是否合法;若消息签名合法,就表示发送端消息的发送方的身份验证通过,并且编码消息传输过程中保证了完整性,则接收终端处理编码消息。发送终端的发送端消息中携带有轻量级证书,接收终端通过轻量级证书中的证书签名及消息签名验证信息即可完成发送端消息的证书和签名验证,由于轻量级证书只包含了消息签名验证信息和证书签名,与现有的CA证书相比,轻量级证书占用的字节数小于CA证书,例如,X.509证书的大小大于1000字节,而轻量级证书的大小可以做到200字节以下,使得通信系统的开销减少,从而提高了系统容量和消息传输质量。
结合本申请第二方面,本申请第二方面第一实施方式中,所述预置证书验证信息为CA的证书公开秘钥,
所述接收终端根据预置证书验证信息验证所述证书签名,确定所述轻量级证书是否合法之前,还包括:
所述接收终端向所述CA发送证书验证请求,使得所述CA根据所述证书验证请求向所述接收终端反馈证书公开秘钥;
所述接收终端接收所述CA反馈的证书公开秘钥。
由于在无线空口频繁的消息交互的通信系统中,采用的是非对称加密方式进行签名处理,非对称加密方式具体是设置有私有秘钥和公开秘钥,由于CA是根据预置证书私有秘钥对CA证书中的终端公开秘钥进行签名处理,得到证书签名的,那么要验证证书签名是否正确的话,就需要知道CA的证书公开秘钥来进行验证,因此接收终端需要先向CA发送证书验证请求,使得CA根据证书验证请求向接收终端反馈证书公开秘钥,接收终端接收到CA反馈的证书公开秘钥,以用于后续将证书公开秘钥作为预置证书验证信息来验证证书签名,从而确定轻量级证书是否合法。
结合本申请第二方面第一实施方式,本申请第二方面第二实施方式中,所述接收终端根据预置证书验证信息验证所述证书签名,确定所述轻量级证书是否合法,包括:
所述接收终端根据证书公开秘钥对所述轻量级证书中的所述证书签名进行验证,判断所述证书签名是否正确;
若所述证书签名正确,则所述接收终端确定所述轻量级证书合法;
若所述证书签名错误,则所述接收终端确定所述轻量级证书非法。
上述第二方面第一实施方式中,接收终端已知了预置证书验证信息就是证书公开秘钥,而且证书公开秘钥与CA得到证书签名时进行签名处理采用的证书私有秘钥是对应的,那么接收终端可以根据证书公开秘钥对轻量级证书中的证书签名进行验证,判断证书签名是否正确,如果证书签名正确,那么可以确定轻量级证书合法;如果证书签名错误,那么可以确定轻量级证书非法。
结合本申请第二方面第二实施方式,本申请第二方面第三实施方式中,所述轻量级证书还包括有效期信息,
所述接收终端确定所述轻量级证书合法之前,还包括:
当所述证书签名正确时,所述接收终端根据所述有效期信息判断所述轻量级证书是否有效;
若所述轻量级证书有效,则所述接收终端确定所述轻量级证书合法;
若所述轻量级证书无效,则所述接收终端确定所述轻量级证书非法。
轻量级证书中还可以包括有效期信息,由于CA在颁布证书的时候,可以为证书设置使用期限,有效期信息规定的有效时间之内,轻量级证书才是合法的,从而增加安全性。那么在验证了证书签名正确时,接收终端确定轻量级证书合法之前,还需要接收终端根据有效期信息判断处于当前时间的轻量级证书是否有效,如果轻量级证书有效,那么接收终端确定所述轻量级证书合法;如果轻量级证书无效,那么接收终端确定所述轻量级证书非法。
结合本申请第二方面第三实施方式,本申请第二方面第四实施方式中,所述接收终端确定所述轻量级证书非法之后,还包括:
所述接收终端丢弃所述发送端消息。
在接收终端确定了轻量级证书是非法的之后,表明接收到的发送端消息的发送者身份是不合法的,那么接收终端不会处理发送端消息中的编码消息,采用直接丢弃的方式处理发送端消息。
结合本申请第二方面、第二方面第一实施方式、第二方面第二实施方式、第二方面第三实施方式或第二方面第四实施方式,本申请第二方面第五实施方式中,所述消息签名验证信息为终端公开秘钥;
所述接收终端根据所述消息签名验证信息验证所述消息签名是否合法,包括:
所述接收终端根据预置哈希函数从所述发送端信息中的所述编码消息中生成消息摘要;
所述接收终端根据所述终端公开密钥对所述消息签名进行验证,得到对比摘要;
所述接收终端将所述对比摘要与所述消息摘要进行比对;
若所述对比摘要与所述消息摘要一致,则所述接收终端确定所述消息签名合法;
若所述对比摘要与所述消息摘要不一致,则所述接收终端确定所述消息签名非法。
由于在无线空口频繁的消息交互的通信系统中,终端与终端之间的消息发送一般采用广播方式,那么采用的是非对称加密方式进行签名处理,非对称加密方式具体是设置有私有秘钥和公开秘钥,由于接收方需要验证发送方的身份,那么发送终端是根据终端私有密钥对消息摘要进行签名处理得到的消息签名,那么消息签名验证信息为终端公开秘钥,接收终端根据预置哈希函数从发送端信息中的编码消息中生成消息摘要,接收终端是已知与终端私有密钥对应的终端公开秘钥的,因此可以使用终端公开密钥对消息签名进行验证,得到对比摘要,如果对比摘要与消息摘要一致,则确定消息签名合法;如果对比摘要与消息摘要不一致,则接收终端确定消息签名非法。
结合本申请第二方面第五实施方式,本申请第二方面第六实施方式中,所述接收终端确定所述消息签名非法之后,还包括:
所述接收终端丢弃所述发送端信息。
在接收终端确定了轻量级证书是合法的,并且确定消息签名是非法的之后,表明接收到的发送端消息的发送者身份是不合法的,或者编码消息在传输过程中改变了,那么接收终端不会处理发送端消息中的编码消息,采用直接丢弃的方式处理发送端消息。
本申请第三方面提供一种发送终端,包括:
获取模块,用于获取编码消息;
签名模块,用于对所述编码消息进行签名处理,得到消息签名;
处理模块,用于根据轻量级证书、所述消息签名及所述编码消息,生成发送端消息,所述轻量级证书包括消息签名验证信息及证书签名,所述消息签名验证信息用于验证所述消息签名的合法性;
发送模块,用于将所述发送端消息发送至接收终端,使得所述接收终端根据预置证书验证信息验证所述证书签名确定所述轻量级证书合法,且根据所述消息签名验证信息验证所述消息签名合法时,处理所述编码消息。
在无线空口频繁的消息交互的通信系统中,终端与终端之间的消息发送一般采用广播方式,例如车联网的通信系统中,V2V、V2I及V2P之间的交互和共享就是采用的广播方式,但是RSU和车辆身份极易被仿冒,因此需要通过证书来保证发送者身份的合法性,证书的获得渠道是从通信系统中的CA得到的。当发送终端获取到待发送的消息时,获取模块按照预置的编码规则对待发送的消息进行编码处理,得到编码消息,签名模块为了保证编码消息在传输过程中的完整性和发送者的身份认证,需要对编码消息进行签名处理,得到消息签名,处理模块在编码消息上附上消息签名,然后将CA颁布的轻量级证书携带于编码消息中,得到发送端消息,发送模块将发送端消息通过广播方式发送到接收终端,接收终端可以是一个或多个。使得接收终端在获取到发送端消息之后,根据预置证书验证信息验证证书签名确定轻量级证书是否合法,预置证书验证信息也是CA颁布预先告知接收终端的,在轻量级证书合法的情况下,接收终端再根据轻量级证书中的消息签名验证信息验证消息签名是否合法,消息签名也合法时,就表示发送端消息的发送方的身份验证通过,并且编码消息传输过程中保证了完整性。发送终端的发送端消息中携带有轻量级证书,接收终端通过轻量级证书中的证书签名及消息签名验证信息即可完成发送端消息的证书和签名验证,由于轻量级证书只包含了消息签名验证信息和证书签名,与现有的CA证书相比,轻量级证书占用的字节数小于CA证书,例如,X.509证书的大小大于1000字节,而轻量级证书的大小可以做到200字节以下,使得通信系统的开销减少,从而提高了系统容量和消息传输质量。
结合本申请第三方面,本申请第三方面第一实施方式中,
所述签名模块,具体用于根据预置哈希函数从所述编码消息中生成消息摘要;
所述签名模块,还用于根据终端私有密钥对所述消息摘要进行签名处理,得到消息签名。
签名模块对消息的签名处理主要分为两步,第一步是签名模块根据预置哈希函数从编码消息中提取出摘要信息,从而得到编码消息的消息摘要,由于在无线空口频繁的消息交互的通信系统中,终端与终端之间的消息发送一般采用广播方式,那么签名模块采用的是非对称加密方式进行签名处理,非对称加密方式具体是设置有私有秘钥和公开秘钥,由于接收方需要验证发送方的身份,那么签名模块根据终端私有密钥对消息摘要进行签名处理,得到消息签名,而接收终端是已知与终端私有密钥对应的终端公开秘钥的,因此可以使用公开秘钥来验证消息签名是否合法。
结合本申请第三方面第一实施方式,本申请第三方面第二实施方式中,所述消息签名验证信息为所述终端私有密钥对应的终端公开密钥。
在上述第三方面第一实施方式中,由于已知了签名模块是根据终端私有密钥对消息摘要进行签名处理的,那么消息签名验证信息用于验证消息签名的合法性,消息签名验证信息自然就是与终端私有密钥对应的终端公开密钥。
结合本申请第三方面第二实施方式,本申请第三方面第三实施方式中,所述轻量级证书还包括有效期信息,
所述发送模块,还用于向CA发送证书请求,使得所述CA根据预置证书私有秘钥对所述CA证书的有效期信息及终端公开秘钥进行签名处理,得到证书签名,根据所述有效期信息、所述终端公开秘钥及所述证书签名生成轻量级证书,并向所述发送终端发送所述轻量级证书;
所述获取模块,还用于获取所述CA发送的所述轻量级证书。
在轻量级证书中还可以包括有效期信息,由于CA在颁布证书的时候,可以为证书设置使用期限,有效期信息规定的有效时间之内,轻量级证书才是合法的,从而增加安全性。而轻量级证书的颁发是由CA执行的,发送模块向CA发送证书请求,CA在接收到证书请求之后,根据预置证书私有秘钥对CA证书的有效期信息及终端公开秘钥进行签名处理,得到证书签名,根据有效期信息、终端公开秘钥及证书签名生成轻量级证书,并向发送终端发送轻量级证书;获取模块获取CA发送的轻量级证书。以X.509证书为例,X.509证书中包括TBSCertificate、signatureAlgorithm、signatureValue三个部分,其中TBSCertificate包括有效期信息、消息签名验证信息(即终端公开秘钥)、扩展字段等等,而得到的证书签名可以放入扩展字段中,与X.509证书相比,轻量级证书中只包括了有效期信息、终端公开秘钥和证书签名,因此轻量级证书的字节大小明显小于X.509证书的字节大小。
本申请第四方面提供一种接收终端,包括:
接收模块,用于接收发送终端发送的发送端信息,所述发送端消息包括轻量级证书、编码消息及所述编码消息的消息签名,所述轻量级证书包括消息签名验证信息及证书签名,所述消息签名验证信息用于验证所述消息签名的合法性;
验证模块,用于根据预置证书验证信息验证所述证书签名,确定所述轻量级证书是否合法;
所述验证模块,还用于当所述轻量级证书合法时,根据所述消息签名验证信息验证所述消息签名是否合法;
处理模块,还用于当所述消息签名合法时,处理所述编码消息。
在无线空口频繁的消息交互的通信系统中,终端与终端之间的消息发送一般采用广播方式,例如车联网的通信系统中,V2V、V2I及V2P之间的交互和共享就是采用的广播方式,但是RSU和车辆身份极易被仿冒,因此需要通过证书来保证发送者身份的合法性,证书的获得渠道是从通信系统中的CA得到的。接收模块接收发送终端发送的发送端信息,发送端消息包括轻量级证书、编码消息及编码消息的消息签名,轻量级证书包括消息签名验证信息及证书签名,消息签名验证信息用于验证消息签名的合法性,验证模块根据预置证书验证信息验证证书签名,确定轻量级证书是否合法,预置证书验证信息也是CA颁布预先告知接收终端的;如果轻量级证书合法,则验证模块根据消息签名验证信息验证消息签名是否合法;若消息签名合法,就表示发送端消息的发送方的身份验证通过,并且编码消息传输过程中保证了完整性,则处理模块处理编码消息。发送终端的发送端消息中携带有轻量级证书,接收终端通过轻量级证书中的证书签名及消息签名验证信息即可完成发送端消息的证书和签名验证,由于轻量级证书只包含了消息签名验证信息和证书签名,与现有的CA证书相比,轻量级证书占用的字节数小于CA证书,例如,X.509证书的大小大于1000字节,而轻量级证书的大小可以做到200字节以下,使得通信系统的开销减少,从而提高了系统容量和消息传输质量。
结合本申请第四方面,本申请第四方面第一实施方式中,所述预置证书验证信息为CA的证书公开秘钥,所述接收终端还包括:
发送模块,用于向所述CA发送证书验证请求,使得所述CA根据所述证书验证请求向所述接收终端反馈证书公开秘钥;
所述接收模块,还用于接收所述CA反馈的证书公开秘钥。
由于在无线空口频繁的消息交互的通信系统中,采用的是非对称加密方式进行签名处理,非对称加密方式具体是设置有私有秘钥和公开秘钥,由于CA是根据预置证书私有秘钥对CA证书中的终端公开秘钥进行签名处理,得到证书签名的,那么要验证证书签名是否正确的话,就需要知道CA的证书公开秘钥来进行验证,因此发送模块需要先向CA发送证书验证请求,使得CA根据证书验证请求向接收终端反馈证书公开秘钥,接收模块接收到CA反馈的证书公开秘钥,以用于后续将证书公开秘钥作为预置证书验证信息来验证证书签名,从而确定轻量级证书是否合法。
结合本申请第四方面第一实施方式,本申请第四方面第二实施方式中,
所述验证模块,还用于根据证书公开秘钥对所述轻量级证书中的所述证书签名进行验证,判断所述证书签名是否正确;
所述验证模块,还用于当所述证书签名正确时,确定所述轻量级证书合法;
所述验证模块,还用于当所述证书签名错误时,确定所述轻量级证书非法。
上述第四方面第一实施方式中,接收终端已知了预置证书验证信息就是证书公开秘钥,而且证书公开秘钥与CA得到证书签名时进行签名处理采用的证书私有秘钥是对应的,那么验证模块可以根据证书公开秘钥对轻量级证书中的证书签名进行验证,判断证书签名是否正确,如果证书签名正确,那么验证模块可以确定轻量级证书合法;如果证书签名错误,那么验证模块可以确定轻量级证书非法。
结合本申请第四方面第二实施方式,本申请第四方面第三实施方式中,所述轻量级证书还包括有效期信息,
所述验证模块,还用于当所述证书签名正确时,根据所述有效期信息判断所述轻量级证书是否有效;
所述验证模块,还用于当所述轻量级证书有效时,确定所述轻量级证书合法;
所述验证模块,还用于当所述轻量级证书无效时,确定所述轻量级证书非法。
轻量级证书中还可以包括有效期信息,由于CA在颁布证书的时候,可以为证书设置使用期限,有效期信息规定的有效时间之内,轻量级证书才是合法的,从而增加安全性。那么在验证模块验证了证书签名正确时,验证模块确定轻量级证书合法之前,还需要验证模块根据有效期信息判断处于当前时间的轻量级证书是否有效,如果轻量级证书有效,那么验证模块确定所述轻量级证书合法;如果轻量级证书无效,那么验证模块确定所述轻量级证书非法。
结合本申请第四方面第三实施方式,本申请第四方面第四实施方式中,
所述处理模块,还用于当所述轻量级证书非法时,丢弃所述发送端消息。
在验证模块确定了轻量级证书是非法的之后,表明接收到的发送端消息的发送者身份是不合法的,那么处理模块不会处理发送端消息中的编码消息,采用直接丢弃的方式处理发送端消息。
结合本申请第四方面、第四方面第一实施方式、第四方面第二实施方式、第四方面第三实施方式或第四方面第四实施方式,本申请第四方面第五实施方式中,所述消息签名验证信息为终端公开秘钥;
所述验证模块,还用于根据预置哈希函数从所述发送端信息中的所述编码消息中生成消息摘要;
所述验证模块,还用于根据所述终端公开密钥对所述消息签名进行验证,得到对比摘要;
所述验证模块,还用于将所述对比摘要与所述消息摘要进行比对;
所述验证模块,还用于当所述对比摘要与所述消息摘要一致时,确定所述消息签名合法;
所述验证模块,还用于当所述对比摘要与所述消息摘要不一致时,确定所述消息签名非法。
由于在无线空口频繁的消息交互的通信系统中,终端与终端之间的消息发送一般采用广播方式,那么采用的是非对称加密方式进行签名处理,非对称加密方式具体是设置有私有秘钥和公开秘钥,由于接收方需要验证发送方的身份,那么发送终端是根据终端私有密钥对消息摘要进行签名处理得到的消息签名,那么消息签名验证信息为终端公开秘钥,验证模块根据预置哈希函数从发送端信息中的编码消息中生成消息摘要,验证模块是已知与终端私有密钥对应的终端公开秘钥的,因此验证模块可以使用终端公开密钥对消息签名进行验证,得到对比摘要,如果对比摘要与消息摘要一致,则验证模块确定消息签名合法;如果对比摘要与消息摘要不一致,则验证模块确定消息签名非法。
结合本申请第四方面第五实施方式,本申请第四方面第六实施方式中,所述接收终端确定所述消息签名非法之后,还包括:
所述处理模块,还用于当所述消息签名非法时,丢弃所述发送端信息。
在验证模块确定了轻量级证书是合法的,并且确定消息签名是非法的之后,表明接收到的发送端消息的发送者身份是不合法的,或者编码消息在传输过程中改变了,那么处理模块不会处理发送端消息中的编码消息,采用直接丢弃的方式处理发送端消息。
本申请第五方面提供一种终端设备,其特征在于,包括:
处理器和收发器,所述处理器和所述收发器相连接;
所述收发器,用于发送终端获取编码消息;
所述处理器,用于对所述编码消息进行签名处理,得到消息签名;
所述处理器,还用于根据轻量级证书、所述消息签名及所述编码消息,生成发送端消息,所述轻量级证书包括消息签名验证信息及证书签名,所述消息签名验证信息用于验证所述消息签名的合法性;
所述收发器,还用于将所述发送端消息发送至接收终端,使得所述接收终端根据预置证书验证信息验证所述证书签名确定所述轻量级证书合法,且根据所述消息签名验证信息验证所述消息签名合法时,处理所述编码消息。
在无线空口频繁的消息交互的通信系统中,终端与终端之间的消息发送一般采用广播方式,例如车联网的通信系统中,V2V、V2I及V2P之间的交互和共享就是采用的广播方式,但是RSU和车辆身份极易被仿冒,因此需要通过证书来保证发送者身份的合法性,证书的获得渠道是从通信系统中的CA得到的。当发送终端获取到待发送的消息时,收发器按照预置的编码规则对待发送的消息进行编码处理,得到编码消息,处理器为了保证编码消息在传输过程中的完整性和发送者的身份认证,需要对编码消息进行签名处理,得到消息签名,处理器在编码消息上附上消息签名,然后将CA颁布的轻量级证书携带于编码消息中,得到发送端消息,收发器将发送端消息通过广播方式发送到接收终端,接收终端可以是一个或多个。使得接收终端在获取到发送端消息之后,根据预置证书验证信息验证证书签名确定轻量级证书是否合法,预置证书验证信息也是CA颁布预先告知接收终端的,在轻量级证书合法的情况下,接收终端再根据轻量级证书中的消息签名验证信息验证消息签名是否合法,消息签名也合法时,就表示发送端消息的发送方的身份验证通过,并且编码消息传输过程中保证了完整性。发送终端的发送端消息中携带有轻量级证书,接收终端通过轻量级证书中的证书签名及消息签名验证信息即可完成发送端消息的证书和签名验证,由于轻量级证书只包含了消息签名验证信息和证书签名,与现有的CA证书相比,轻量级证书占用的字节数小于CA证书,例如,X.509证书的大小大于1000字节,而轻量级证书的大小可以做到200字节以下,使得通信系统的开销减少,从而提高了系统容量和消息传输质量。
本申请第六方面一种终端设备,其特征在于,包括:
处理器和收发器,所述处理器和所述收发器相连接;
所述收发器,用于接收发送终端发送的发送端信息,所述发送端消息包括轻量级证书、编码消息及所述编码消息的消息签名,所述轻量级证书包括消息签名验证信息及证书签名,所述消息签名验证信息用于验证所述消息签名的合法性;
所述处理器,用于根据预置证书验证信息验证所述证书签名,确定所述轻量级证书是否合法;
所述处理器,还用于当所述轻量级证书合法时,根据所述消息签名验证信息验证所述消息签名是否合法;
所述处理器,还用于当所述消息签名合法时,处理所述编码消息。
在无线空口频繁的消息交互的通信系统中,终端与终端之间的消息发送一般采用广播方式,例如车联网的通信系统中,V2V、V2I及V2P之间的交互和共享就是采用的广播方式,但是RSU和车辆身份极易被仿冒,因此需要通过证书来保证发送者身份的合法性,证书的获得渠道是从通信系统中的CA得到的。收发器接收发送终端发送的发送端信息,发送端消息包括轻量级证书、编码消息及编码消息的消息签名,轻量级证书包括消息签名验证信息及证书签名,消息签名验证信息用于验证消息签名的合法性,处理器根据预置证书验证信息验证证书签名,确定轻量级证书是否合法,预置证书验证信息也是CA颁布预先告知接收终端的;如果轻量级证书合法,则处理器根据消息签名验证信息验证消息签名是否合法;若消息签名合法,就表示发送端消息的发送方的身份验证通过,并且编码消息传输过程中保证了完整性,则处理器处理编码消息。发送终端的发送端消息中携带有轻量级证书,接收终端通过轻量级证书中的证书签名及消息签名验证信息即可完成发送端消息的证书和签名验证,由于轻量级证书只包含了消息签名验证信息和证书签名,与现有的CA证书相比,轻量级证书占用的字节数小于CA证书,例如,X.509证书的大小大于1000字节,而轻量级证书的大小可以做到200字节以下,使得通信系统的开销减少,从而提高了系统容量和消息传输质量。
本申请第七方面提供一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行上述的消息处理方法。
本申请第八方面提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述的消息处理方法。
附图说明
图1为本申请提供的车联网的通信系统的交互示意图;
图2为本申请提供的车联网的一种场景的消息传输示意图;
图3为本申请提供的车联网的另一种场景的消息传输示意图;
图4为本申请提供的车联网的又一种场景的消息传输示意图;
图5为本申请提供的消息处理方法的一个实施例信令交互示意图;
图6为本申请提供的消息处理方法的接收终端侧的实施例流程示意图;
图7为本申请提供的发送终端的一个实施例结构示意图;
图8为本申请提供的接收终端的一个实施例结构示意图;
图9为本申请提供的接收终端的另一个实施例结构示意图;
图10为本申请提供的发送端和接收端的终端设备的实施例结构示意图。
具体实施方式
本申请提供消息处理方法及相关设备,发送终端的发送端消息中携带有轻量级证书,接收终端通过轻量级证书中的证书签名及消息签名验证信息即可完成发送端消息的证书和签名验证,轻量级证书占用的字节数小于CA证书,使得通信系统的开销减少,从而提高了系统容量和消息传输质量。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有作出创造性劳动前提下所获取的所有其他实施例,都属于本申请保护的范围。
在无线空口频繁的消息交互的通信系统中,终端与终端之间的消息发送一般采用广播方式,例如图1所示为车联网的通信系统框架,车联网是车与一切事物相联的网络(Vehicle to Everything,V2X),车联网主要包括4个应用场景:车-互联网互连(Vehicle-to-Network,V2N)、V2V、V2I及V2P。通过V2V、V2I及V2P之间的交互和共享,使车、人和基础设施之间智能协同与配合,从而实现智能交通管理控制、车辆智能化控制和智能动态信息服务的一体化网络,是物联网技术在智能交通系统领域的延伸。
车联网的通信系统中,消息一般采用广播发送,在广播场景下,路侧单元(Roadside Unit,RSU)和车辆的身份极易被仿冒。如图2所示,恶意用户假冒RSU,向所有车辆的终端(V_UE)和行人的终端上广播“前方绿灯,可通行”的信息,而实际情况是红灯,那么就会照成交通事故。如图3所示,恶意用户假冒其他车辆,向周围的车辆发送“前车急刹车”信息,会引发交通问题。从图2和图3所示的例子可知为了保证通信安全必须采用证书认证来保证身份的合法性,由于在无线空口频繁的消息交互的通信系统中,终端与终端之间的消息发送一般采用广播方式,那么采用的是非对称加密方式进行签名处理。现有的方式如图4所示,具体为:1、发送V2X消息的V_UE A终端在发送V2X消息时,用私有密钥对V2X消息进行签名,并附上CA颁布的CA证书;2、接收V2X消息的V_UE B终端在接收到V2X消息时,用CA证书的公开秘钥验证CA证书,如果验证的结果是合法CA证书,则用CA证书中的公开秘钥进行消息的签名验证,如果签名合法则处理,否则丢弃。
以上的方法虽然保证了身份的合法性,但是现有的CA证书所占用的字节一般比较大,例如,基于X.509的证书,大小1000字节以上,一般应用于Internet用户认证是没有问题的,但是如果应用于频繁发送的消息签名必定添加开销,特别是当应用于空口的消息签名和验证,证书的大小决定了系统的开销,例如,对于车联网,使用终端的私钥对V2X消息进行签名,需要在每一个消息中携带证书,V2X消息的典型频率是10Hz,消息的平均长度是300字节左右。使用现有的X.509证书方式,消息增加了3.3倍(1300/300-1=3.3),由于消息的增大,车联网的通信系统的开销增大,意味着整个系统容量大幅度下降,消息大就存在误包率高、发送速度慢、干扰大等问题,严重影响了消息传输质量。
基于以上的描述,下面通过实施例介绍一种消息处理方法用于减小证书的大小,从而降低通信系统的开销,提高消息传输质量。
请参阅图5,本申请实施例提供一种消息处理方法,包括:
501、发送终端获取编码消息;
本实施例中,以图5所示的车联网的通信系统为例,发送终端和接收终端可以是人操作的智能设备、RSU或者车辆设备中的任一一种,当发送终端获取到待发送的消息时,按照预置的编码规则对待发送的消息进行编码处理,得到编码消息。
502、发送终端对编码消息进行签名处理,得到消息签名;
本实施例中,发送终端为了保证编码消息在传输过程中的完整性和发送者的身份认证,需要对编码消息进行签名处理,得到消息签名。
503、发送终端根据轻量级证书、消息签名及所述编码消息,生成发送端消息,轻量级证书包括消息签名验证信息及证书签名,消息签名验证信息用于验证消息签名的合法性;
本实施例中,轻量级证书是CA预先颁发的,轻量级证书只包含了消息签名验证信息和证书签名,消息签名验证信息用于验证消息签名的合法性,由于证书签名是由CA进行签名处理得到的,那么用于验证证书签名的证书验证信息必然会公布给所有的接收终端,在编码消息上附上消息签名,然后将轻量级证书携带于编码消息中,得到发送端消息。
504、发送终端将发送端消息发送至接收终端,接收终端接收发送终端发送的发送端信息;
本实施例中,发送终端通过广播方式发送发送端消息,接收终端通过扫描的方式接收到发送终端广播的发送端消息。
505、接收终端根据预置证书验证信息验证证书签名,确定轻量级证书是否合法,若是,则执行步骤506;
本实施例中,预置证书验证信息即是CA预先告知接收终端的,预置证书验证信息用于验证证书签名,接收终端根据预置证书验证信息验证证书签名,从而确定轻量级证书是否合法,如果轻量级证书是合法证书,那么执行步骤506。
506、接收终端根据消息签名验证信息验证消息签名是否合法,若是,则执行步骤507;
本实施例中,接收终端确定轻量级证书是合法证书后,得到轻量级证书中的消息签名验证信息,由于消息签名验证信息是用于验证消息签名的的合法性的,那么接收终端根据消息签名验证信息验证消息签名是否合法,如果消息签名是合法的,表示发送终端的身份是合法的,并且编码消息在传输过程中的完整性有保证,那么执行步骤507。
507、接收终端处理编码消息。
本实施例中,接收终端确定了消息签名是合法的,那么就可以对发送端消息中的编码消息进行解码等处理。
本申请实施例中,由于发送终端的发送端消息中携带有轻量级证书,接收终端通过轻量级证书中的证书签名及消息签名验证信息即可完成发送端消息的证书和签名验证,由于轻量级证书只包含了消息签名验证信息和证书签名,与现有的CA证书相比,轻量级证书占用的字节数小于CA证书,例如,X.509证书的大小大于1000字节,而轻量级证书的大小可以做到200字节以下,使得通信系统的开销减少,从而提高了系统容量和消息传输质量。
由于在无线空口频繁的消息交互的通信系统中,终端与终端之间的消息发送一般采用广播方式,那么采用的是非对称加密方式进行签名处理,非对称加密方式具体是设置有私有秘钥和公开秘钥,由于接收方需要验证发送方的身份,那么发送终端根据终端私有密钥对消息摘要进行签名处理,得到消息签名,而接收终端是已知与终端私有密钥对应的终端公开秘钥的,因此可以使用公开秘钥来验证消息签名是否合法。下面通过实施例对非对称加密方式的签名处理进行说明。
可选的,本申请的一些实施例中,消息签名验证信息为终端公开秘钥,
发送终端对编码消息进行签名处理,得到消息签名,包括:
发送终端根据预置哈希函数从编码消息中生成消息摘要;
发送终端根据终端私有密钥对消息摘要进行签名处理,得到消息签名;
接收终端根据消息签名验证信息验证消息签名是否合法,包括:
接收终端根据预置哈希函数从发送端信息中的编码消息中生成消息摘要;
接收终端根据终端公开密钥对消息签名进行验证,得到对比摘要;
接收终端将对比摘要与消息摘要进行比对;
若对比摘要与消息摘要一致,则接收终端确定消息签名合法;
若对比摘要与消息摘要不一致,则接收终端确定消息签名非法。
本申请实施例中,发送终端对编码消息的签名处理主要分为两步,第一步是根据预置哈希函数从编码消息中提取出摘要信息,从而得到编码消息的消息摘要,由于在无线空口频繁的消息交互的通信系统中,终端与终端之间的消息发送一般采用广播方式,那么采用的是非对称加密方式进行签名处理,非对称加密方式具体是设置有私有秘钥和公开秘钥,由于接收方需要验证发送方的身份,那么发送终端根据终端私有密钥对消息摘要进行签名处理,得到消息签名,因此可以使用公开秘钥来验证消息签名是否合法,那么消息签名验证信息就是终端公开秘钥,接收终端根据预置哈希函数从发送端信息中的编码消息中生成消息摘要,接收终端是已知与终端私有密钥对应的终端公开秘钥的,因此可以使用终端公开密钥对消息签名进行验证,得到对比摘要,如果对比摘要与消息摘要一致,则确定消息签名合法;如果对比摘要与消息摘要不一致,则接收终端确定消息签名非法。
可选的,本申请的一些实施例中,轻量级证书还包括有效期信息,预置证书验证信息为CA的证书公开秘钥;
发送终端根据轻量级证书、消息签名及编码消息,生成发送端消息之前,还包括:
发送终端向CA发送证书请求,使得CA根据预置证书私有秘钥对CA证书的有效期信息及终端公开秘钥进行签名处理,得到证书签名,根据有效期信息、终端公开秘钥及证书签名生成轻量级证书,并向发送终端发送轻量级证书;
发送终端获取CA发送的轻量级证书;
接收终端根据预置证书验证信息验证证书签名,确定轻量级证书是否合法之前,还包括:
接收终端向CA发送证书验证请求,使得CA根据证书验证请求向接收终端反馈证书公开秘钥;
接收终端接收CA反馈的证书公开秘钥。
本申请实施例中,在轻量级证书中还可以包括有效期信息,由于CA在颁布证书的时候,可以为证书设置使用期限,有效期信息规定的有效时间之内,轻量级证书才是合法的,从而增加安全性。而轻量级证书的颁发是由CA执行的,发送终端向CA发送证书请求,CA在接收到证书请求之后,根据预置证书私有秘钥对CA证书的有效期信息及终端公开秘钥进行签名处理,得到证书签名,根据有效期信息、终端公开秘钥及证书签名生成轻量级证书,并向发送终端发送轻量级证书;发送终端获取CA发送的轻量级证书。由于CA是根据预置证书私有秘钥对CA证书中的终端公开秘钥进行签名处理,得到证书签名的,那么要验证证书签名是否正确的话,就需要知道CA的证书公开秘钥来进行验证,因此接收终端需要先向CA发送证书验证请求,使得CA根据证书验证请求向接收终端反馈证书公开秘钥,接收终端接收到CA反馈的证书公开秘钥,以用于后续将证书公开秘钥作为预置证书验证信息来验证证书签名,从而确定轻量级证书是否合法。以X.509证书为例,X.509证书中包括TBSCertificate、signatureAlgorithm、signatureValue三个部分,其中TBSCertificate包括有效期信息(Validity)、消息签名验证信息(即终端公开秘钥)(Subject Public KeyInfo)、扩展字段(Extension)等等,而得到的证书签名可以放入Extension中,与X.509证书相比,轻量级证书中只包括了有效期信息、终端公开秘钥和证书签名,因此轻量级证书的字节大小明显小于X.509证书的字节大小。
由于接收终端在验证轻量级证书和消息签名时都是单侧在执行的,那么通过接收终端单侧流程图的方式进行详细,具体如下:
请参阅图6,本申请实施例提供一种消息处理方法,包括:
601、接收终端接收发送终端发送的发送端信息,发送端消息包括轻量级证书、编码消息及编码消息的消息签名;
本实施例中接收终端接收发送终端广播发送的发送端消息,发送端消息中包括轻量级证书、编码消息及编码消息的消息签名,轻量级证书包括了证书签名、有效期信息以及消息签名验证信息,根据以上的实施例的描述,其中消息签名验证信息即为终端公开秘钥,需要说明的是,轻量级证书中除了证书签名、有效期信息以及消息签名验证信息之外,还可以包括其他信息,具体不做限定。
602、接收终端根据证书公开秘钥对轻量级证书中的证书签名进行验证,判断证书签名是否正确,若正确,执行步骤603;若错误,执行步骤605;
本实施例中,接收终端接收到的发送端消息中,轻量级证书中的证书签名,是由CA采用证书私有秘钥对有效期信息和消息签名验证信息进行签名处理后得到的,那么根据证书公开秘钥就能对证书签名进行验证,从而判断证书签名是否正确,如果证书签名正确,那么表示轻量级证书是合法的,则执行步骤603;如果证书签名不正确,那么表示轻量级证书非法,则执行步骤606。
603、接收终端确定轻量级证书合法;
本实施例中,当证书签名正确时,接收终端确定轻量级证书合法。
需要说明的是,在由于CA在颁布证书的时候,可以为证书设置使用期限,有效期信息规定的有效时间之内,轻量级证书才是合法的,从而增加安全性。那么在验证了证书签名正确时,接收终端确定轻量级证书合法之前,还需要接收终端根据有效期信息判断处于当前时间的轻量级证书是否有效,如果轻量级证书有效,那么接收终端确定所述轻量级证书合法;如果轻量级证书无效,那么接收终端确定所述轻量级证书非法。
604、接收终端根据消息签名验证信息验证消息签名是否合法,若消息签名合法,则执行步骤605;若消息签名非法,则执行步骤606;
本实施例中,接收终端得出轻量级证书是合法的,那么接收终端获取到轻量级证书中的消息签名验证信息(即终端公开秘钥),根据消息签名验证信息验证消息签名是否合法,如果消息签名合法,则执行步骤604;如果消息签名非法,则执行步骤605。
605、接收终端处理编码消息;
本实施例中,接收终端确定了消息签名是合法的,那么就可以对发送端消息中的编码消息进行解码等处理。
606、接收终端丢弃发送端消息。
本实施例中,当证书签名错误或者消息签名非法时,接收终端确定了发送终端的身份不合法或者编码消息存在篡改嫌疑,那么接收终端直接丢弃接收到的发送端消息,避免执行不明身份的发送终端的恶意指示。
本申请实施例中,对接收终端如何进行轻量级证书及消息签名的验证进行详细说明,使得接收终端与发送终端之间能够实现消息传输的同时保证通信安全性。
以上实施例中介绍本申请的消息处理方法,下面对接收终端和发送终端的模块化结构进行介绍。
请参阅图7,本申请实施例提供一种发送终端,包括:
获取模块701,用于获取编码消息;
签名模块702,用于对编码消息进行签名处理,得到消息签名;
处理模块703,用于根据轻量级证书、消息签名及编码消息,生成发送端消息,轻量级证书包括消息签名验证信息及证书签名,消息签名验证信息用于验证消息签名的合法性;
发送模块704,用于将发送端消息发送至接收终端,使得接收终端根据预置证书验证信息验证证书签名确定轻量级证书合法,且根据消息签名验证信息验证消息签名合法时,处理编码消息。
本申请实施例中,当发送终端获取到待发送的消息时,获取模块701按照预置的编码规则对待发送的消息进行编码处理,得到编码消息,签名模块702为了保证编码消息在传输过程中的完整性和发送者的身份认证,需要对编码消息进行签名处理,得到消息签名,处理模块703在编码消息上附上消息签名,然后将CA颁布的轻量级证书携带于编码消息中,得到发送端消息,发送模块704将发送端消息通过广播方式发送到接收终端,接收终端可以是一个或多个。使得接收终端在获取到发送端消息之后,根据预置证书验证信息验证证书签名确定轻量级证书是否合法,预置证书验证信息也是CA颁布预先告知接收终端的,在轻量级证书合法的情况下,接收终端再根据轻量级证书中的消息签名验证信息验证消息签名是否合法,消息签名也合法时,就表示发送端消息的发送方的身份验证通过,并且编码消息传输过程中保证了完整性。发送终端的发送端消息中携带有轻量级证书,接收终端通过轻量级证书中的证书签名及消息签名验证信息即可完成发送端消息的证书和签名验证,由于轻量级证书只包含了消息签名验证信息和证书签名,与现有的CA证书相比,轻量级证书占用的字节数小于CA证书,例如,X.509证书的大小大于1000字节,而轻量级证书的大小可以做到200字节以下,使得通信系统的开销减少,从而提高了系统容量和消息传输质量。
可选的,本申请的一些实施例中,
签名模块702,具体用于根据预置哈希函数从编码消息中生成消息摘要;
签名模块702,还用于根据终端私有密钥对消息摘要进行签名处理,得到消息签名。
本申请实施例中,签名模块702对消息的签名处理主要分为两步,第一步是签名模块702根据预置哈希函数从编码消息中提取出摘要信息,从而得到编码消息的消息摘要,由于在无线空口频繁的消息交互的通信系统中,终端与终端之间的消息发送一般采用广播方式,那么签名模块702采用的是非对称加密方式进行签名处理,非对称加密方式具体是设置有私有秘钥和公开秘钥,由于接收方需要验证发送方的身份,那么签名模块702根据终端私有密钥对消息摘要进行签名处理,得到消息签名,而接收终端是已知与终端私有密钥对应的终端公开秘钥的,因此可以使用公开秘钥来验证消息签名是否合法。
可选的,本申请的一些实施例中,消息签名验证信息为终端私有密钥对应的终端公开密钥。
本申请实施例中,由于已知了签名模块702是根据终端私有密钥对消息摘要进行签名处理的,那么消息签名验证信息用于验证消息签名的合法性,消息签名验证信息自然就是与终端私有密钥对应的终端公开密钥。
可选的,本申请的一些实施例中,轻量级证书还包括有效期信息,
发送模块704,还用于向CA发送证书请求,使得CA根据预置证书私有秘钥对CA证书的有效期信息及终端公开秘钥进行签名处理,得到证书签名,根据有效期信息、终端公开秘钥及证书签名生成轻量级证书,并向发送终端发送轻量级证书;
获取模块701,还用于获取CA发送的轻量级证书。
本申请实施例中,在轻量级证书中还可以包括有效期信息,由于CA在颁布证书的时候,可以为证书设置使用期限,有效期信息规定的有效时间之内,轻量级证书才是合法的,从而增加安全性。而轻量级证书的颁发是由CA执行的,发送模块704向CA发送证书请求,CA在接收到证书请求之后,根据预置证书私有秘钥对CA证书的有效期信息及终端公开秘钥进行签名处理,得到证书签名,根据有效期信息、终端公开秘钥及证书签名生成轻量级证书,并向发送终端发送轻量级证书;获取模块701获取CA发送的轻量级证书。以X.509证书为例,X.509证书中包括TBSCertificate、signatureAlgorithm、signatureValue三个部分,其中TBSCertificate包括有效期信息、消息签名验证信息(即终端公开秘钥)、扩展字段等等,而得到的证书签名可以放入扩展字段中,与X.509证书相比,轻量级证书中只包括了有效期信息、终端公开秘钥和证书签名,因此轻量级证书的字节大小明显小于X.509证书的字节大小。
请参阅图8,本申请实施例提供一种接收终端,包括:
接收模块801,用于接收发送终端发送的发送端信息,发送端消息包括轻量级证书、编码消息及编码消息的消息签名,轻量级证书包括消息签名验证信息及证书签名,消息签名验证信息用于验证消息签名的合法性;
验证模块802,用于根据预置证书验证信息验证证书签名,确定轻量级证书是否合法;
验证模块802,还用于当轻量级证书合法时,根据消息签名验证信息验证消息签名是否合法;
处理模块803,还用于当消息签名合法时,处理编码消息。
本申请实施例中,接收模块801接收发送终端发送的发送端信息,发送端消息包括轻量级证书、编码消息及编码消息的消息签名,轻量级证书包括消息签名验证信息及证书签名,消息签名验证信息用于验证消息签名的合法性,验证模块802根据预置证书验证信息验证证书签名,确定轻量级证书是否合法,预置证书验证信息也是CA颁布预先告知接收终端的;如果轻量级证书合法,则验证模块802根据消息签名验证信息验证消息签名是否合法;若消息签名合法,就表示发送端消息的发送方的身份验证通过,并且编码消息传输过程中保证了完整性,则处理模块803处理编码消息。发送终端的发送端消息中携带有轻量级证书,接收终端通过轻量级证书中的证书签名及消息签名验证信息即可完成发送端消息的证书和签名验证,由于轻量级证书只包含了消息签名验证信息和证书签名,与现有的CA证书相比,轻量级证书占用的字节数小于CA证书,例如,X.509证书的大小大于1000字节,而轻量级证书的大小可以做到200字节以下,使得通信系统的开销减少,从而提高了系统容量和消息传输质量。
可选的,如图9所示,本申请的一些实施例中,预置证书验证信息为CA的证书公开秘钥,接收终端还包括:
发送模块901,用于向CA发送证书验证请求,使得CA根据证书验证请求向接收终端反馈证书公开秘钥;
接收模块801,还用于接收CA反馈的证书公开秘钥。
本申请实施例中,由于在无线空口频繁的消息交互的通信系统中,采用的是非对称加密方式进行签名处理,非对称加密方式具体是设置有私有秘钥和公开秘钥,由于CA是根据预置证书私有秘钥对CA证书中的终端公开秘钥进行签名处理,得到证书签名的,那么要验证证书签名是否正确的话,就需要知道CA的证书公开秘钥来进行验证,因此发送模块901需要先向CA发送证书验证请求,使得CA根据证书验证请求向接收终端反馈证书公开秘钥,接收模块801接收到CA反馈的证书公开秘钥,以用于后续将证书公开秘钥作为预置证书验证信息来验证证书签名,从而确定轻量级证书是否合法。
可选的,如图9所示,本申请的一些实施例中,
验证模块802,还用于根据证书公开秘钥对轻量级证书中的证书签名进行验证,判断证书签名是否正确;
验证模块802,还用于当证书签名正确时,确定轻量级证书合法;
验证模块802,还用于当证书签名错误时,确定轻量级证书非法。
本申请实施例中,已知了预置证书验证信息就是证书公开秘钥,而且证书公开秘钥与CA得到证书签名时进行签名处理采用的证书私有秘钥是对应的,那么验证模块802可以根据证书公开秘钥对轻量级证书中的证书签名进行验证,判断证书签名是否正确,如果证书签名正确,那么验证模块802可以确定轻量级证书合法;如果证书签名错误,那么验证模块可以确定轻量级证书非法。
可选的,如图9所示,本申请的一些实施例中,轻量级证书还包括有效期信息,
验证模块802,还用于当证书签名正确时,根据有效期信息判断轻量级证书是否有效;
验证模块802,还用于当轻量级证书有效时,确定轻量级证书合法;
验证模块802,还用于当轻量级证书无效时,确定轻量级证书非法。
本申请实施例中,轻量级证书中还可以包括有效期信息,由于CA在颁布证书的时候,可以为证书设置使用期限,有效期信息规定的有效时间之内,轻量级证书才是合法的,从而增加安全性。那么在验证模块802验证了证书签名正确时,验证模块802确定轻量级证书合法之前,还需要验证模块802根据有效期信息判断处于当前时间的轻量级证书是否有效,如果轻量级证书有效,那么验证模块802确定轻量级证书合法;如果轻量级证书无效,那么验证模块802确定轻量级证书非法。
可选的,如图9所示,本申请的一些实施例中,
处理模块803,还用于当轻量级证书非法时,丢弃发送端消息。
本申请实施例中,在验证模块802确定了轻量级证书是非法的之后,表明接收到的发送端消息的发送者身份是不合法的,那么处理模块803不会处理发送端消息中的编码消息,采用直接丢弃的方式处理发送端消息。
可选的,如图9所示,本申请的一些实施例中,消息签名验证信息为终端公开秘钥;
验证模块802,还用于根据预置哈希函数从发送端信息中的编码消息中生成消息摘要;
验证模块802,还用于根据终端公开密钥对消息签名进行验证,得到对比摘要;
验证模块802,还用于将对比摘要与消息摘要进行比对;
验证模块802,还用于当对比摘要与消息摘要一致时,确定消息签名合法;
验证模块802,还用于当对比摘要与消息摘要不一致时,确定消息签名非法。
本申请实施例中,由于在无线空口频繁的消息交互的通信系统中,终端与终端之间的消息发送一般采用广播方式,那么采用的是非对称加密方式进行签名处理,非对称加密方式具体是设置有私有秘钥和公开秘钥,由于接收方需要验证发送方的身份,那么发送终端是根据终端私有密钥对消息摘要进行签名处理得到的消息签名,那么消息签名验证信息为终端公开秘钥,验证模块802根据预置哈希函数从发送端信息中的编码消息中生成消息摘要,验证模块是已知与终端私有密钥对应的终端公开秘钥的,因此验证模块802可以使用终端公开密钥对消息签名进行验证,得到对比摘要,如果对比摘要与消息摘要一致,则验证模块802确定消息签名合法;如果对比摘要与消息摘要不一致,则验证模块802确定消息签名非法。
可选的,如图9所示,本申请的一些实施例中,
处理模块803,还用于当消息签名非法时,丢弃发送端信息。
本申请实施例中,在验证模块802确定了轻量级证书是合法的,并且确定消息签名是非法的之后,表明接收到的发送端消息的发送者身份是不合法的,或者编码消息在传输过程中改变了,那么处理模块803不会处理发送端消息中的编码消息,采用直接丢弃的方式处理发送端消息。
请参阅图10,本申请实施例提供作为发送端的终端设备和作为接收端的终端设备之间的信号交互的示意图,包括:
发送端的终端设备11包括处理器111和收发器112,处理器111和收发器112相连接;
收发器112,用于发送终端获取编码消息;
处理器111,用于对编码消息进行签名处理,得到消息签名;
处理器111,还用于根据轻量级证书、消息签名及编码消息,生成发送端消息,轻量级证书包括消息签名验证信息及证书签名,消息签名验证信息用于验证消息签名的合法性;
收发器112,还用于将发送端消息发送至接收终端,使得接收终端根据预置证书验证信息验证证书签名确定轻量级证书合法,且根据消息签名验证信息验证消息签名合法时,处理编码消息;
接收端的终端设备12包括处理器121和收发器122,处理器121和收发器122相连接;
收发器122,用于接收发送终端发送的发送端信息,发送端消息包括轻量级证书、编码消息及编码消息的消息签名,轻量级证书包括消息签名验证信息及证书签名,消息签名验证信息用于验证消息签名的合法性;
处理器121,用于根据预置证书验证信息验证证书签名,确定轻量级证书是否合法;
处理器121,还用于当轻量级证书合法时,根据消息签名验证信息验证消息签名是否合法;
处理器121,还用于当消息签名合法时,处理编码消息。
本申请实施例中,发送端的终端设备11和接收端的终端设备12之间的消息传输是通过各种的收发器112和122来实现的,终端设备11的发送端消息中携带有轻量级证书,终端设备12通过轻量级证书中的证书签名及消息签名验证信息即可完成发送端消息的证书和签名验证,由于轻量级证书只包含了消息签名验证信息和证书签名,与现有的CA证书相比,轻量级证书占用的字节数小于CA证书,例如,X.509证书的大小大于1000字节,而轻量级证书的大小可以做到200字节以下,使得通信系统的开销减少,从而提高了系统容量和消息传输质量。
本申请还提供了一种计算机可读存储介质,计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行以上实施例所描述的消息处理方法。
本申请还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行以上实施例所描述的消息处理方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (20)

1.一种消息处理方法,其特征在于,包括:
发送终端获取编码消息;
所述发送终端对所述编码消息进行签名处理,得到消息签名;
所述发送终端根据轻量级证书、所述消息签名及所述编码消息,生成发送端消息,所述轻量级证书包括消息签名验证信息及证书签名,所述消息签名验证信息用于验证所述消息签名的合法性;
所述发送终端将所述发送端消息发送至接收终端,使得所述接收终端根据预置证书验证信息验证所述证书签名确定所述轻量级证书合法,且根据所述消息签名验证信息验证所述消息签名合法时,处理所述编码消息;
所述轻量级证书还包括有效期信息,
所述发送终端根据轻量级证书、所述消息签名及所述编码消息,生成发送端消息之前,还包括:
所述发送终端向证书颁布中心CA发送证书请求,使得所述CA根据预置证书私有秘钥对所述CA证书的有效期信息及终端公开秘钥进行签名处理,得到证书签名,根据所述有效期信息、所述终端公开秘钥及所述证书签名生成轻量级证书,并向所述发送终端发送所述轻量级证书;
所述发送终端获取所述CA发送的所述轻量级证书。
2.根据权利要求1所述的消息处理方法,其特征在于,所述发送终端对所述编码消息进行签名处理,得到消息签名,包括:
所述发送终端根据预置哈希函数从所述编码消息中生成消息摘要;
所述发送终端根据终端私有密钥对所述消息摘要进行签名处理,得到消息签名。
3.根据权利要求2所述的消息处理方法,其特征在于,所述消息签名验证信息为所述终端私有密钥对应的终端公开密钥。
4.一种消息处理方法,其特征在于,包括:
接收终端接收发送终端发送的发送端消息,所述发送端消息包括轻量级证书、编码消息及所述编码消息的消息签名,所述轻量级证书包括消息签名验证信息及证书签名,所述消息签名验证信息用于验证所述消息签名的合法性;
所述接收终端根据预置证书验证信息验证所述证书签名,确定所述轻量级证书是否合法;
若所述轻量级证书合法,则所述接收终端根据所述消息签名验证信息验证所述消息签名是否合法;
若所述消息签名合法,则所述接收终端处理所述编码消息;
所述轻量级证书还包括有效期信息,
所述接收终端确定所述轻量级证书合法之前,还包括:
当所述证书签名正确时,所述接收终端根据所述有效期信息判断所述轻量级证书是否有效;
若所述轻量级证书有效,则所述接收终端确定所述轻量级证书合法;
若所述轻量级证书无效,则所述接收终端确定所述轻量级证书非法。
5.根据权利要求4所述的消息处理方法,其特征在于,所述预置证书验证信息为证书颁布中心CA的证书公开秘钥,
所述接收终端根据预置证书验证信息验证所述证书签名,确定所述轻量级证书是否合法之前,还包括:
所述接收终端向所述CA发送证书验证请求,使得所述CA根据所述证书验证请求向所述接收终端反馈证书公开秘钥;
所述接收终端接收所述CA反馈的证书公开秘钥。
6.根据权利要求5所述的消息处理方法,其特征在于,所述接收终端根据预置证书验证信息验证所述证书签名,确定所述轻量级证书是否合法,包括:
所述接收终端根据证书公开秘钥对所述轻量级证书中的所述证书签名进行验证,判断所述证书签名是否正确;
若所述证书签名正确,则所述接收终端确定所述轻量级证书合法;
若所述证书签名错误,则所述接收终端确定所述轻量级证书非法。
7.根据权利要求6所述的消息处理方法,其特征在于,所述接收终端确定所述轻量级证书非法之后,还包括:
所述接收终端丢弃所述发送端消息。
8.根据权利要求4至7中任一项所述的消息处理方法,其特征在于,所述消息签名验证信息为终端公开秘钥;
所述接收终端根据所述消息签名验证信息验证所述消息签名是否合法,包括:
所述接收终端根据预置哈希函数从所述发送端消息中的所述编码消息中生成消息摘要;
所述接收终端根据所述终端公开密钥对所述消息签名进行验证,得到对比摘要;
所述接收终端将所述对比摘要与所述消息摘要进行比对;
若所述对比摘要与所述消息摘要一致,则所述接收终端确定所述消息签名合法;
若所述对比摘要与所述消息摘要不一致,则所述接收终端确定所述消息签名非法。
9.根据权利要求8所述的消息处理方法,其特征在于,所述接收终端确定所述消息签名非法之后,还包括:
所述接收终端丢弃所述发送端消息。
10.一种发送终端,其特征在于,包括:
获取模块,用于获取编码消息;
签名模块,用于对所述编码消息进行签名处理,得到消息签名;
处理模块,用于根据轻量级证书、所述消息签名及所述编码消息,生成发送端消息,所述轻量级证书包括消息签名验证信息及证书签名,所述消息签名验证信息用于验证所述消息签名的合法性;
发送模块,用于将所述发送端消息发送至接收终端,使得所述接收终端根据预置证书验证信息验证所述证书签名确定所述轻量级证书合法,且根据所述消息签名验证信息验证所述消息签名合法时,处理所述编码消息;
所述轻量级证书还包括有效期信息,
所述发送模块,还用于向证书颁布中心CA发送证书请求,使得所述CA根据预置证书私有秘钥对所述CA证书的有效期信息及终端公开秘钥进行签名处理,得到证书签名,根据所述有效期信息、所述终端公开秘钥及所述证书签名生成轻量级证书,并向所述发送终端发送所述轻量级证书;
所述获取模块,还用于获取所述CA发送的所述轻量级证书。
11.根据权利要求10所述的发送终端,其特征在于,
所述签名模块,具体用于根据预置哈希函数从所述编码消息中生成消息摘要;
所述签名模块,还用于根据终端私有密钥对所述消息摘要进行签名处理,得到消息签名。
12.根据权利要求11所述的发送终端,其特征在于,所述消息签名验证信息为所述终端私有密钥对应的终端公开密钥。
13.一种接收终端,其特征在于,包括:
接收模块,用于接收发送终端发送的发送端消息,所述发送端消息包括轻量级证书、编码消息及所述编码消息的消息签名,所述轻量级证书包括消息签名验证信息及证书签名,所述消息签名验证信息用于验证所述消息签名的合法性;
验证模块,用于根据预置证书验证信息验证所述证书签名,确定所述轻量级证书是否合法;
所述验证模块,还用于当所述轻量级证书合法时,根据所述消息签名验证信息验证所述消息签名是否合法;
处理模块,还用于当所述消息签名合法时,处理所述编码消息;
所述轻量级证书还包括有效期信息,
所述验证模块,还用于当所述证书签名正确时,根据所述有效期信息判断所述轻量级证书是否有效;
所述验证模块,还用于当所述轻量级证书有效时,确定所述轻量级证书合法;
所述验证模块,还用于当所述轻量级证书无效时,确定所述轻量级证书非法。
14.根据权利要求13所述的接收终端,其特征在于,所述预置证书验证信息为证书颁布中心CA的证书公开秘钥,所述接收终端还包括:
发送模块,用于向所述CA发送证书验证请求,使得所述CA根据所述证书验证请求向所述接收终端反馈证书公开秘钥;
所述接收模块,还用于接收所述CA反馈的证书公开秘钥。
15.根据权利要求14所述的接收终端,其特征在于,
所述验证模块,还用于根据证书公开秘钥对所述轻量级证书中的所述证书签名进行验证,判断所述证书签名是否正确;
所述验证模块,还用于当所述证书签名正确时,确定所述轻量级证书合法;
所述验证模块,还用于当所述证书签名错误时,确定所述轻量级证书非法。
16.根据权利要求15所述的接收终端,其特征在于,
所述处理模块,还用于当所述轻量级证书非法时,丢弃所述发送端消息。
17.根据权利要求13至16中任一项所述的接收终端,其特征在于,所述消息签名验证信息为终端公开秘钥;
所述验证模块,还用于根据预置哈希函数从所述发送端消息中的所述编码消息中生成消息摘要;
所述验证模块,还用于根据所述终端公开密钥对所述消息签名进行验证,得到对比摘要;
所述验证模块,还用于将所述对比摘要与所述消息摘要进行比对;
所述验证模块,还用于当所述对比摘要与所述消息摘要一致时,确定所述消息签名合法;
所述验证模块,还用于当所述对比摘要与所述消息摘要不一致时,确定所述消息签名非法。
18.根据权利要求17所述的接收终端,其特征在于,
所述处理模块,还用于当所述消息签名非法时,丢弃所述发送端消息。
19.一种终端设备,其特征在于,包括:
处理器和收发器,所述处理器和所述收发器相连接;
所述收发器,用于发送终端获取编码消息;
所述处理器,用于对所述编码消息进行签名处理,得到消息签名;
所述处理器,还用于根据轻量级证书、所述消息签名及所述编码消息,生成发送端消息,所述轻量级证书包括消息签名验证信息及证书签名,所述消息签名验证信息用于验证所述消息签名的合法性;
所述收发器,还用于将所述发送端消息发送至接收终端,使得所述接收终端根据预置证书验证信息验证所述证书签名确定所述轻量级证书合法,且根据所述消息签名验证信息验证所述消息签名合法时,处理所述编码消息;
所述轻量级证书还包括有效期信息,
所述处理器,还用于向证书颁布中心CA发送证书请求,使得所述CA根据预置证书私有秘钥对所述CA证书的有效期信息及终端公开秘钥进行签名处理,得到证书签名,根据所述有效期信息、所述终端公开秘钥及所述证书签名生成轻量级证书,并向所述发送终端发送所述轻量级证书;
所述收发器,还用于获取所述CA发送的所述轻量级证书。
20.一种终端设备,其特征在于,包括:
处理器和收发器,所述处理器和所述收发器相连接;
所述收发器,用于接收发送终端发送的发送端消息,所述发送端消息包括轻量级证书、编码消息及所述编码消息的消息签名,所述轻量级证书包括消息签名验证信息及证书签名,所述消息签名验证信息用于验证所述消息签名的合法性;
所述处理器,用于根据预置证书验证信息验证所述证书签名,确定所述轻量级证书是否合法;
所述处理器,还用于当所述轻量级证书合法时,根据所述消息签名验证信息验证所述消息签名是否合法;
所述处理器,还用于当所述消息签名合法时,处理所述编码消息;
所述轻量级证书还包括有效期信息,
所述处理器,还用于当所述证书签名正确时,根据所述有效期信息判断所述轻量级证书是否有效;
所述处理器,还用于当所述轻量级证书有效时,确定所述轻量级证书合法;
所述处理器,还用于当所述轻量级证书无效时,确定所述轻量级证书非法。
CN201710772009.8A 2017-08-31 2017-08-31 消息处理方法及相关设备 Active CN107682859B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201710772009.8A CN107682859B (zh) 2017-08-31 2017-08-31 消息处理方法及相关设备
PCT/CN2018/100975 WO2019042154A1 (zh) 2017-08-31 2018-08-17 消息处理方法及相关设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710772009.8A CN107682859B (zh) 2017-08-31 2017-08-31 消息处理方法及相关设备

Publications (2)

Publication Number Publication Date
CN107682859A CN107682859A (zh) 2018-02-09
CN107682859B true CN107682859B (zh) 2020-07-14

Family

ID=61135506

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710772009.8A Active CN107682859B (zh) 2017-08-31 2017-08-31 消息处理方法及相关设备

Country Status (2)

Country Link
CN (1) CN107682859B (zh)
WO (1) WO2019042154A1 (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107682859B (zh) * 2017-08-31 2020-07-14 上海华为技术有限公司 消息处理方法及相关设备
CN108833445B (zh) * 2018-07-31 2021-04-16 中国银联股份有限公司 一种适用于物联网系统的认证方法及装置
DE102018219961A1 (de) * 2018-11-21 2020-05-28 Continental Teves Ag & Co. Ohg Fahrzeugsystem und Verfahren zur Fahrzeug-zu-X Kommunikation
CN111462515A (zh) * 2020-03-31 2020-07-28 中国联合网络通信集团有限公司 车路协同管理方法、mec服务器、终端和系统
CN111951420A (zh) * 2020-08-27 2020-11-17 深圳成谷智能科技有限公司 一种etc广播消息的安全传输的方法及装置
CN112491549A (zh) * 2020-12-08 2021-03-12 平安国际智慧城市科技股份有限公司 数据信息加密校验方法、系统及计算机可读存储介质
CN114697905A (zh) * 2020-12-31 2022-07-01 华为技术有限公司 一种基于车联网的信息传输方法及其相关设备
CN114143012A (zh) * 2021-11-26 2022-03-04 北京声智科技有限公司 消息队列管理方法、装置、设备及计算机可读存储介质
CN115022820B (zh) * 2022-05-31 2023-11-14 微位(深圳)网络科技有限公司 5g消息的验证方法、终端及系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101388767A (zh) * 2008-10-14 2009-03-18 苏盛辉 基于轻量级数字签名方案的证书防伪方法
CN102833748A (zh) * 2012-09-20 2012-12-19 北京邮电大学 一种基于数字证书的无线网络轻量级认证密钥协商协议
WO2013053058A1 (en) * 2011-10-10 2013-04-18 Certicom Corp. Generating implicit certificates
WO2014195293A2 (en) * 2013-06-03 2014-12-11 Intel Mobile Communications GmbH Authentication devices, key generator devices, methods for controlling an authentication device, and methods for controlling a key generator
CN104702418A (zh) * 2015-04-07 2015-06-10 江苏大学 一种均分rsu计算量的车辆身份认证方法
CN105763330A (zh) * 2014-12-18 2016-07-13 中国科学院信息工程研究所 一种适用于电路域加密通信的轻量级证书及加密通信方法
CN106060807A (zh) * 2016-05-24 2016-10-26 中国科学院信息工程研究所 一种适用于电路域加密通信的消息传输方法
CN106789087A (zh) * 2017-01-26 2017-05-31 数安时代科技股份有限公司 确定消息的数据摘要、基于多方的数字签名的方法及系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010045985A1 (en) * 2008-10-24 2010-04-29 Nokia Siemens Networks Gmbh & Co. Kg Lightweight authentication framework for inter-network hand-over coordination in untrustworthy heterogeneous network en-vironments
US20140075186A1 (en) * 2012-09-13 2014-03-13 Texas Instruments Incorporated Multiple Access Key Fob
CN106411528B (zh) * 2016-10-17 2019-06-14 重庆邮电大学 一种基于隐式证书的轻量级认证密钥协商方法
CN107682859B (zh) * 2017-08-31 2020-07-14 上海华为技术有限公司 消息处理方法及相关设备

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101388767A (zh) * 2008-10-14 2009-03-18 苏盛辉 基于轻量级数字签名方案的证书防伪方法
WO2013053058A1 (en) * 2011-10-10 2013-04-18 Certicom Corp. Generating implicit certificates
CN102833748A (zh) * 2012-09-20 2012-12-19 北京邮电大学 一种基于数字证书的无线网络轻量级认证密钥协商协议
WO2014195293A2 (en) * 2013-06-03 2014-12-11 Intel Mobile Communications GmbH Authentication devices, key generator devices, methods for controlling an authentication device, and methods for controlling a key generator
CN105763330A (zh) * 2014-12-18 2016-07-13 中国科学院信息工程研究所 一种适用于电路域加密通信的轻量级证书及加密通信方法
CN104702418A (zh) * 2015-04-07 2015-06-10 江苏大学 一种均分rsu计算量的车辆身份认证方法
CN106060807A (zh) * 2016-05-24 2016-10-26 中国科学院信息工程研究所 一种适用于电路域加密通信的消息传输方法
CN106789087A (zh) * 2017-01-26 2017-05-31 数安时代科技股份有限公司 确定消息的数据摘要、基于多方的数字签名的方法及系统

Also Published As

Publication number Publication date
WO2019042154A1 (zh) 2019-03-07
CN107682859A (zh) 2018-02-09

Similar Documents

Publication Publication Date Title
CN107682859B (zh) 消息处理方法及相关设备
CN107770182B (zh) 家庭网关的数据存储方法及家庭网关
CN104717201B (zh) 网络装置以及网络系统
KR101508497B1 (ko) 차량용 데이터의 인증 및 획득 방법
EP2942921B1 (en) System and method for filtering digital certificates
JP5587239B2 (ja) 車車/路車間通信システム
US11811943B2 (en) Verification of messages using hash chaining
CN101902477B (zh) 发送系统、接收系统、媒体流合法性的识别方法和系统
US8274401B2 (en) Secure data transfer in a communication system including portable meters
WO2018076377A1 (zh) 一种数据传输方法、终端、节点设备以及系统
CN106792681B (zh) 用于车联网的入侵检测方法和装置及设备
CN111246474B (zh) 一种基站认证方法及装置
CN110380842B (zh) 适用于智慧网联汽车的can总线报文签名方法、装置和系统
Bruni et al. Formal security analysis of the MaCAN protocol
CN115277219A (zh) 消息加密方法、解密方法、装置及存储介质
CN106657021B (zh) 车联网中车辆消息认证方法和装置
CN113795008B (zh) V2x验签方法、装置、电子设备及可读存储介质
CN110336773B (zh) IoT设备数据的可信性保障系统、验证方法及存储介质
KR101532024B1 (ko) 차량 통신에서의 메시지 전송 방법 및 장치
Carsten et al. A system to recognize intruders in controller area network (can)
CN114786136A (zh) 路侧单元的认证方法、装置、电子设备和存储介质
CN114025328A (zh) 车辆验证方法、控制功能实体和车辆
Liu et al. Probabilistic isolation of malicious vehicles in pseudonym changing VANETs
CN113051621A (zh) 安全通信方法、设备及系统
CN111147479B (zh) Trdp协议的数据加密传输系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant