CN113114699B - 一种车辆终端身份证书申请方法 - Google Patents

一种车辆终端身份证书申请方法 Download PDF

Info

Publication number
CN113114699B
CN113114699B CN202110453416.9A CN202110453416A CN113114699B CN 113114699 B CN113114699 B CN 113114699B CN 202110453416 A CN202110453416 A CN 202110453416A CN 113114699 B CN113114699 B CN 113114699B
Authority
CN
China
Prior art keywords
vehicle
mounted terminal
certificate
random number
request message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110453416.9A
Other languages
English (en)
Other versions
CN113114699A (zh
Inventor
吴淼
李木犀
刘毅
许传斌
陈明
高铭霞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
FAW Group Corp
Original Assignee
FAW Group Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by FAW Group Corp filed Critical FAW Group Corp
Priority to CN202110453416.9A priority Critical patent/CN113114699B/zh
Publication of CN113114699A publication Critical patent/CN113114699A/zh
Application granted granted Critical
Publication of CN113114699B publication Critical patent/CN113114699B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请公开了一种车载终端身份证书申请方法,该方法可以包括:在车载终端确定自身未存储身份证书或者存储的身份证书符合证书更新时间的情况下,车载终端向车联网服务系统发送随机数请求消息,随机数请求消息中携带有预置信息;车载终端根据云端随机数、车载终端的本地随机数、预置信息获取临时会话密钥,其中,云端随机数是车联网服务系统对预置信息验证通过后发送的;车载终端根据临时会话密钥生成证书请求消息;车载终端将证书请求消息发送至车联网服务系统请求身份证书。通过这样的实现方式,可以在身份认证通过的情况下,自动申请身份证书,以保证申请终端身份的合法性,以及与证书的匹配性,同时通过加密处理的方式还能避免申请终端的信息泄露。

Description

一种车辆终端身份证书申请方法
技术领域
本申请实施例涉及车联网领域,尤其涉及一种车辆终端身份证书申请方法。
背景技术
在车联网领域,车载电子控制单元(Electronic Control Unit,ECU)与云端之间的数据传输过程中存在着被窃听和信息泄露的风险,因此需要确保车辆与云端通信双方身份的合法性以及通信数据的保密性。现有技术中通常通过离线方式和在线方式向车载ECU发放证书。但通过离线方式发放证书存在生产成本高以及密钥管理困难的问题,并且在供应商产线注入密钥会导致整车厂难以控制。另外,私钥及证书通过离线方式注入到ECU时,在密钥和证书的流转过程中,容易造成密钥泄露,同时在证书过期或即将过期时无法自动触发在线更新证书,必须线下重新注入证书后才能够连接云端,导致维护困难。而在线申请证书时,在ECU未颁发证书或者证书已经过期的情况下,云端无法辨别连接ECU身份的有效性。
发明内容
本申请提供一种车辆终端身份证书申请方法,可以在身份认证通过的情况下,自动申请身份证书,以保证申请终端身份的合法性,以及与证书的匹配性,同时通过加密处理的方式还能避免申请终端的信息泄露。
第一方面,本申请实施例提供了一种车载终端身份证书申请方法,包括:
在车载终端确定自身未存储身份证书或者存储的身份证书符合证书更新时间的情况下,车载终端向车联网服务系统发送随机数请求消息,随机数请求消息中携带有预置信息;
车载终端根据云端随机数、车载终端的本地随机数、预置信息获取临时会话密钥,其中,云端随机数是车联网服务系统对预置信息验证通过后发送的;
车载终端根据临时会话密钥生成证书请求消息;
车载终端将证书请求消息发送至车联网服务系统请求身份证书。
第二方面,本申请实施例提供了一种车载终端身份证书申请方法,包括:
车联网服务系统接收车载终端发送的随机数请求消息,随机数请求消息中携带有预置信息和车载终端生成的本地随机数;
车联网服务系统根据预置信息生成云端随机数,并将随机数发送至车载终端;
车联网服务系统接述车载终端根据云端随机数发送的证书请求消息,并对证书请求消息进行验证;
若证书请求消息验证通过,车联网服务系统向车载终端下发证书。
第三方面,本申请实施例提供了一种车载终端身份证书申请装置,包括:
发送模块,用于在上述装置确定自身未存储身份证书或者存储的身份证书符合证书更新时间的情况下,向车联网服务系统发送随机数请求消息,该随机数请求消息中携带有预置信息;
获取模块,用于根据云端随机数、车载终端身份证书申请装置的本地随机、预置信息获取临时会话密钥,其中,云端随机数是车联网服务系统对预置信息验证通过后发送的;
生成模块,用于根据临时会话密钥生成证书请求消息;
发送模块,还用于将证书请求消息发送至车联网服务系统请求身份证书。
第四方面,本申请实施例提供了一种车载终端身份证书申请装置,包括:
接收模块,用于接收车载终端发送的随机数请求消息,该随机数请求消息中携带有预置信息和车载终端生成的本地随机数;
生成模块,用于根据预置信息生成云端随机数,并将随机数发送至车载终端;
接收模块,还用于接收车载终端根据云端随机数发送的证书请求消息;
验证模块,用于对证书请求消息进行验证;
发送模块,用于在证书请求消息验证通过的情况下,向车载终端下发证书。
第五方面,本申请实施例提供了一种车载终端,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,当处理器执行计算机程序时,实现如本申请实施例提供的一种车载终端身份证书申请方法。
第六方面,本申请实施例提供了一种服务器,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,当处理器执行计算机程序时,实现如本申请实施例提供的一种车载终端身份证书申请方法。
第七方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,当该计算机程序被处理器执行时,实现如本申请实施例提供的一种车载终端身份证书申请方法。
本申请实施例提供了一种车载终端身份证书申请方法、装置、终端、服务器及存储介质,该方法可以包括:在车载终端确定自身未存储身份证书或者存储的身份证书符合证书更新时间的情况下,车载终端向车联网服务系统发送随机数请求消息,随机数请求消息中携带有预置信息;车载终端根据云端随机数、车载终端的本地随机数、预置信息获取临时会话密钥,其中,云端随机数是车联网服务系统对预置信息验证通过后发送的;车载终端根据临时会话密钥生成证书请求消息;车载终端将证书请求消息发送至车联网服务系统请求身份证书。通过这样的实现方式,可以在身份认证通过的情况下,自动申请身份证书,以保证申请终端身份的合法性,以及与证书的匹配性,同时通过加密处理的方式还能避免申请终端的信息泄露。
附图说明
图1为本申请实施例中的一种车载终端身份证书申请方法的流程图;
图2是本申请实施例中的一种构造证书请求数据包的方法流程图;
图3是本申请实施例中的证书请求消息的数据结构示意图;
图4为本申请实施例中的另一种车载终端身份证书申请方法的流程图;
图5为本申请实施例中的一种车载终端身份证书申请装置的结构示意图;
图6为本申请实施例中的另一种车载终端身份证书申请装置的结构示意图;
图7为本申请实施例中的再一种车载终端身份证书申请装置的结构示意图;
图8为本申请实施例中的一种车载终端的结构示意图;
图9为本申请实施例中的一种服务器的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本申请,而非对本申请的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本申请相关的部分而非全部结构。
另外,在本申请实施例中,“可选地”或者“示例性地”等词用于表示作例子、例证或说明。本申请实施例中被描述为“可选地”或者“示例性地”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“可选地”或者“示例性地”等词旨在以具体方式呈现相关概念。
图1为本申请实施例提供的一种车载终端身份证书申请方法的流程图,该方法可以由车载终端执行。如图1所示,该方法包括但不限于以下步骤:
S101、在车载终端确定自身未存储身份证书或者存储的身份证书符合证书更新时间的情况下,车载终端向车联网服务系统发送随机数请求消息。
本申请实施例中的车载终端可以为车辆上安装的T-Box,车载终端可以周期性检测自身存储的身份证书的剩余有效时间,以确定身份证书是否符合证书更新时间(例如,身份证书失效前一个月等),并在证书符合更新时间的情况下,向车联网服务系统发送随机数请求消息。或者,若车载终端确定自身未存储有身份证书,那么也可以向车联网服务系统发送随机数请求消息。
该随机数请求消息中携带有预置信息,预置信息可以包括设备主密钥、车载终端标识、车辆识别码(Vehicle ldentification Number,VIN)和预置根证书链。进一步地,随机数请求消息中也可以携带有车载终端生成的本地随机数。
可选地,上述随机数请求消息中携带预置信息时,可以仅携带车载终端标识和车辆识别码,也可以携带所有的预置信息,本领域技术人员可以根据实际需求进行设置,本申请实施例对此不作限定。
在本申请实施例中,可以通过密钥管理系统对每一个车型的每一种终端生成一个设备主密钥,在车载终端的安全芯片出厂前,在安全环境下将设备主密钥注入到安全芯片中进行安全存储。预置根证书链用于验证车联网服务系统的合法性和车联网服务系统下发的身份证书的合法性,同样地,该预置根证书链也需要安全存储,以防止泄露和篡改。在整车生产过程中,可以通过诊断设备在车载终端中写入车辆识别码、车载终端标识。另外,还需要保证车载终端能够成功联网,实现终端车载终端检测在特定条件下,能够自动触发证书申请。同时,车联网服务系统也需要对车辆识别码、车载终端标识、车型信息、设备主密钥等进行绑定管理。
S102、车载终端根据云端随机数、车载终端的本地随机数、预置信息获取临时会话密钥。
本步骤中的云端随机数为车联网服务系统生成的,具体地,车联网服务系统接收到车载终端发送的随机数请求消息后,可以触发车联网服务系统对随机数请求消息中携带的预置信息进行验证,并在验证通过后,生成云端随机数,进而发送至车载终端。
车载终端基于生成的本地随机数、接收到的云端随机数,以及预置信息中的车辆识别码、车辆终端标识和设备主密钥获取临时会话密钥。示例性地,车载终端根据约定的密钥生成算法对上述信息进行计算,得到临时会话密钥。
当然,上述计算过程中的密钥生成算法可以为现有技术中的任意密钥生成算法,本申请实施例对此不作限定。
S103、车载终端根据临时会话密钥生成证书请求消息。
本申请实施例中的证书请求消息可以包含两部分,一分部为有效信息,即证书请求消息中携带的证书请求数据包,另一部分为验证信息,比如认证码(MessageAuthentication Code,MAC)。车载终端生成证书请求消息的实现方式包括,车载终端构造出证书请求数据包,并利用临时会话密钥对证书请求数据包进行加密处理,这里的加密处理过程也可以采用现有技术中的加密算法实现。车载终端对加密后的证书请求数据包进行截取处理,例如,截取加密后的证书请求数据包的高16位字节作为认证码,并将认证码附在经过加密处理的证书请求数据包后,将这两者看作一个整体作为生成的证书请求消息。
在本步骤中,通过临时会话密钥对需要发送的数据包进行加密的方式,可以保证在数据包中包含敏感信息的情况下,敏感信息不会被随意窃取。进一步地,生成认证码携带在证书请求消息中可以保证该请求消息的合法性和完整性。
S104、车载终端将证书请求消息发送至车联网服务系统请求身份证书。
车载终端生成证书请求消息后,将其发送至车联网服务系统进行验证,以请求获取身份证书。
本申请实施例提供了一种车载终端身份证书申请方法,该方法可以包括:在车载终端确定自身未存储身份证书或者存储的身份证书符合证书更新时间的情况下,车载终端向车联网服务系统发送随机数请求消息,随机数请求消息中携带有预置信息;车载终端根据云端随机数、车载终端的本地随机数、预置信息获取临时会话密钥,其中,云端随机数是车联网服务系统对预置信息验证通过后发送的;车载终端根据临时会话密钥生成证书请求消息;车载终端将证书请求消息发送至车联网服务系统请求身份证书。通过这样的实现方式,可以在身份认证通过的情况下,自动申请身份证书,以保证申请终端身份的合法性,以及与证书的匹配性,同时通过加密处理的方式还能避免申请终端的信息泄露。
可选地,在执行上述步骤S101之前,本申请实施例还提供了一种实现方式包括:车载终端通过安全传输层协议(Transport Layer Security,TLS)对车联网服务系统建立单向连接,以验证车联网服务系统身份的合法性。
在确定车联网服务系统合法的情况下,车载终端可以与车联网服务系统建立双向TLS连接,以发送证书请求消息并接收车联网服务系统发送的车载终端的身份证书。
如图2所示,在一种示例中,上述步骤S103中构造证书请求数据包的实现方式可以包括但不限于以下步骤:
S201、车载终端根据云端随机数生成公私钥对。
车载终端获取到车联网服务系统发送的云端随机数后,说明车联网服务系统对车载终端上报的自身的标识等预置信息验证通过,那么车载终端生成公私钥对。
S202、车载终端根据公私钥对生成证书请求标准格式数据。
本步骤的证书请求标准格式数据可以为PKCS#10(P10)证书请求标准对应格式的数据,即将公钥作为P10信息中的第二部分,将私钥作为P10中的第三部分进行加密运算。
S203、车载终端根据证书请求标准格式数据和预置信息中的车辆识别码、车辆终端标识构造证书请求数据包。
车载终端可以将生成的证书请求标准格式数据与预置信息中的车辆识别码、车载终端标识进行组合,构造得到证书请求数据包,该证书请求数据包也即为证书请求消息中的有效信息部分。如图3所示,为证书请求消息的数据结构示意图,其中省略号(……)可以为自行设置需要携带的相关信息,比如车型信息等。
进一步地,若车联网服务系统对车载终端发送的证书请求消息验证不通过,则不下发身份证书,相反,若对证书请求消息验证通过,则可以向车载终端下发对应的身份证书。
需要说明的是,上述本地随机数、云端随机数和临时会话密钥均为一次有效,无论车联网服务系统对证书请求消息验证通过与否,上述过程中涉及到的本地随机数、云端随机数和临时会话密钥均失效。若车载终端下次申请证书,则需要重新生成相应的随机数和临时会话密钥。
示例性地,若车载终端接收到车联网服务系统发送的证书,即证书请求消息验证通过,则车载终端可以根据预置信息中的预置根证书链验证接收到的证书信息是否合法,并基于之前生成的公私钥对验证私钥与下发的证书中包含的公钥是否匹配。若证书验证通过,则车载终端安全存储接收到的新的证书,并设置原有存储的证书失效。在此基础上,车载终端可以利用新的证书与车联网服务系统重新建立安全连接,进行后续的业务安全通信。
图4为本申请实施例提供的一种车载终端身份证书申请方法的流程图,该方法可以应用于车联网服务系统,如图4所示,该方法可以包括但不限于以下步骤:
S401、车联网服务系统接收车载终端发送的随机数请求消息。
该随机数请求消息中携带有预置信息和车载终端生成的本地随机数。例如,预置信息可以包括设备主密钥、车载终端标识、车辆识别码和预置根证书链。预置信息可以提前存储于车载终端中,在申请证书时,以随机数请求消息的方式发送至车联网服务系统。
S402、车联网服务系统根据预置信息生成云端随机数,并将随机数发送至车载终端。
车联网服务系统接收到随机数请求消息中携带的预置信息后,可以将生产数据库中存储的各车辆信息与预置信息进行比较,判断发送端是否为合法的生产设备。例如,车联网服务系统可以通过生产数据库验证预置信息中的车辆识别码和车辆终端标识的绑定关系,即与已存储的车辆信息是否相同。进一步地,在上报的预置信息中还存储有车型信息的情况下,也可以验证车型信息。若验证随机数请求消息中携带的预置信息属于合法的车载终端的信息,那么车联网服务系统可以生成云端随机数,并将云端随机数发送至该合法的车载终端。
S403、车联网服务系统接收车载终端根据云端随机数发送的证书请求消息,并对证书请求消息进行验证。
车载终端获取云端随机数后可以进一步向车联网服务系统发送证书请求消息,车联网服务系统对接收到的证书请求消息进行验证。
如图3所示,为证书请求消息的数据结构示意图,那么车联网服务系统可以根据随机数请求消息中携带的信息和自身生成的云端随机数生成临时会话密钥,基于该临时会话密钥对证书请求消息进行验证。例如,车联网服务系统根据临时会话密钥和证书请求消息中携带的证书请求数据包按照加密算法进行加密计算,得到认证码。车联网服务系统比较计算得到的认证码与证书请求消息中的认证码是否相符合,若相符合,说明该证书请求消息未被篡改,属于完整的请求消息,那么车联网服务系统可以进一步对证书请求消息中的有效信息部分(即证书请求数据包)进行验证。
例如,车联网服务系统根据临时会话密钥对证书请求数据包进行解密计算,获取该证书请求数据包中的车辆识别码、车辆终端标识等信息,若车联网服务系统验证解密得到的信息与发送的随机数请求消息中携带的预置信息中的各信息相同,说明发送证书请求消息的车载终端与发送随机数请求消息的车载终端属于同一个设备,该车载终端验证通过。
进一步地,在利用临时会话密钥对证书请求数据包进行解密之后,也可以对通过公钥基础设施(Public Key Infrastructure,PKI)系统对P10信息进行验证,以判断证书请求消息的合法性。
S404、若证书请求消息验证通过,车联网服务系统向所述车载终端下发证书。
若车载终端验证通过,也即证书请求消息验证通过,那么车联网服务系统可以通过公钥基础设施(Public Key Infrastructure,PKI)系统签发新的身份证书发送至车载终端,并注销原有的身份证书,保证每一个车载终端仅有一个对应的身份证书。
可选地,在签发证书时,可以在证书中携带公钥,由车载终端基于私钥与证书中的公钥的匹配性判断接收到的证书的合法性。
在一种示例中,上述步骤S403中,车联网服务系统生成临时会话密钥的实现方式可以包括:车联网服务系统根据约定的密钥生成算法、自身生成的云端随机数、随机数请求消息中携带的车载终端生成的本地随机数、预置信息中的车辆识别码、车辆终端标识和设备主密钥计算获取临时会话密钥。
本申请实施例提供了一种车载终端身份证书申请方法,包括:车联网服务系统接收车载终端发送的随机数请求消息,随机数请求消息中携带有预置信息和车载终端生成的本地随机数;车联网服务系统根据预置信息生成云端随机数,并将随机数发送至车载终端;车联网服务系统接收车载终端根据云端随机数发送的证书请求消息,并对证书请求消息进行验证;若证书请求消息验证通过,车联网服务系统向车载终端下发证书。通过这样的实现方式,可以在身份认证通过的情况下,自动申请身份证书,以保证申请终端身份的合法性,以及与证书的匹配性,同时通过加密处理的方式还能避免申请终端的信息泄露。
图5为本申请实施例提供的一种车载终端身份证书申请装置,如图5所示,该装置可以包括:发送模块501、获取模块502、生成模块503;
发送模块,用于在上述装置确定自身未存储身份证书或者存储的身份证书符合证书更新时间的情况下,向车联网服务系统发送随机数请求消息,该随机数请求消息中携带有预置信息;
获取模块,用于根据云端随机数、车载终端身份证书申请装置的本地随机、预置信息获取临时会话密钥,其中,云端随机数是车联网服务系统对预置信息验证通过后发送的;
生成模块,用于根据临时会话密钥生成证书请求消息;
发送模块,还用于将证书请求消息发送至车联网服务系统请求身份证书。
在一种示例中,上述获取模块,用于根据约定的密钥生成算法、云端随机数、车载终端身份证书申请装置的本地随机数,以及预置信息中的车辆识别码、车辆终端标识和设备主密钥计算获取临时会话密钥。
在一种示例中,上述生成模块可包括构造单元、加密单元和生成单元;
构造单元,用于构造证书请求数据包;
加密单元,用于根据临时会话密钥对证书请求数据包进行加密;
生成单元,用于根据加密后的证书请求数据包生成认证码,以及,根据加密后的证书请求数据包和认证码生成证书请求消息。
示例性地,上述构造单元用于根据云端随机数生成公私钥对;根据公私钥对生成证书请求标准格式数据;以及根据证书请求标准格式数据和预置信息中的车辆识别码、车辆终端标识构造证书请求数据包。
如图6所示,上述装置还可以包括接收模块504;
接收模块,用于接收到车联网服务系统发送的证书,以及根据预置信息中的预置根证书链验证接收到的证书,并验证生成的公私钥对中的私钥与证书中包含的公钥的匹配性。
本申请实施例所提供的车载终端身份证书申请装置可执行本申请图1、图2实施例所提供的车载终端身份证书申请方法,具备执行方法相应的功能模块和有益效果。
图7为本申请实施例提供的一种车载终端身份证书申请装置,如图7所示,该装置可以包括:接收模块701、生成模块702、验证模块703、发送模块704;
接收模块,用于接收车载终端发送的随机数请求消息,该随机数请求消息中携带有预置信息和车载终端生成的本地随机数;
生成模块,用于根据预置信息生成云端随机数,并将随机数发送至车载终端;
接收模块,还用于接收车载终端根据云端随机数发送的证书请求消息;
验证模块,用于对证书请求消息进行验证;
发送模块,用于在证书请求消息验证通过的情况下,向车载终端下发证书。
示例性地,上述生成模块包括验证单元和生成单元;
验证单元,用于根据生产数据库验证预置信息中的车辆识别码和车辆终端标识验证是否合法;
生成单元,用于在验证通过的情况下,生成云端随机数。
在一种示例中,上述验证单元,用于根据随机数请求消息和云端随机数生成临时会话密钥,以及根据临时会话密钥和证书请求消息中携带的证书请求数据包计算认证码;若验证单元确定计算得到的认证码与证书请求消息中携带的认证码相同,则对证书请求消息中携带的证书请求数据包进行验证。
具体地,验证单元可以根据约定的密钥生成算法、云端随机数、随机数请求消息中携带的本地随机数、预置信息中的车辆识别码、车辆终端标识和设备主密钥计算获取临时会话密钥。
验证单元还用于根据临时会话密钥对证书请求数据包进行解密,获取证书请求数据包中车辆识别码、车辆终端标识,并验证车辆识别码、车辆终端标识是否与预置信息中的车辆识别码和车辆终端标识一致。
本申请实施例所提供的车载终端身份证书申请装置可执行本申请图4实施例所提供的车载终端身份证书申请方法,具备执行方法相应的功能模块和有益效果。
图8为本申请实施例提供的一种车载终端的结构示意图,如图8所示,该车载终端包括处理器801、存储器802、输入装置803和输出装置804;车载终端中处理器801的数量可以是一个或多个,图8中以一个处理器801为例;车载终端中的处理器801、存储器802、输入装置803和输出装置804可以通过总线或其他方式连接,图8中以通过总线连接为例。
存储器802作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本申请实施例图1、图2中的车载终端身份证书申请方法对应的程序指令/模块(例如,车载终端身份证书申请装置中的发送模块501、获取模块502、生成模块503)。处理器801通过运行存储在存储器802中的软件程序、指令以及模块,从而执行电子设备的各种功能应用以及数据处理,即实现上述的车载终端身份证书申请方法。
存储器802可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据云服务器的使用所创建的数据等。此外,存储器802可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器802可进一步包括相对于处理器801远程设置的存储器,这些远程存储器可以通过网络连接至设备/终端/服务器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置803可用于接收输入的数字或字符信息,以及产生与终端的用户设置以及功能控制有关的键信号输入。输出装置804可包括显示屏等显示设备。
图9为本申请实施例提供的一种服务器的结构示意图,如图9所示,该服务器包括处理器901、存储器902、输入装置903和输出装置904;服务器中处理器901的数量可以是一个或多个,图9中以一个处理器901为例;服务器中的处理器901、存储器902、输入装置903和输出装置904可以通过总线或其他方式连接,图9中以通过总线连接为例。
存储器902作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本申请实施例图4中的车载终端身份证书申请方法对应的程序指令/模块(例如,车载终端身份证书申请装置中的接收模块701、生成模块702、验证模块703、发送模块704)。处理器901通过运行存储在存储器902中的软件程序、指令以及模块,从而执行电子设备的各种功能应用以及数据处理,即实现上述的车载终端身份证书申请方法。
存储器902可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据云服务器的使用所创建的数据等。此外,存储器902可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器902可进一步包括相对于处理器901远程设置的存储器,这些远程存储器可以通过网络连接至设备/终端/服务器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置903可用于接收输入的数字或字符信息,以及产生与服务器的用户设置以及功能控制有关的键信号输入。输出装置904可包括显示屏等显示设备。
本申请实施例还提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时,用于执行上述图1、图2、图4实施例提供的一种车载终端身份证书申请方法。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本申请可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
值得注意的是,上述实施例中,车载终端身份证书申请装置所包括的各个部件只是按照功能逻辑进行划分,但并不局限于上述的划分方式,只要能够实现相应的功能即可,并不用于限制本申请的保护范围。
注意,上述仅为本申请的较佳实施例及所运用技术原理。本领域技术人员会理解,本申请不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本申请的保护范围。因此,虽然通过以上实施例对本申请进行了较为详细的说明,但是本申请不仅仅限于以上实施例,在不脱离本申请构思的情况下,还可以包括更多其他等效实施例,而本申请的范围由所附的权利要求范围决定。

Claims (6)

1.一种车载终端身份证书申请方法,其特征在于,包括:
在车载终端确定自身未存储身份证书或者存储的身份证书符合证书更新时间的情况下,所述车载终端向车联网服务系统发送随机数请求消息,所述随机数请求消息中携带有预置信息;
所述车载终端根据云端随机数、车载终端的本地随机数、所述预置信息获取临时会话密钥,其中,所述云端随机数是所述车联网服务系统对所述预置信息验证通过后发送的;
所述车载终端根据所述临时会话密钥生成证书请求消息;
所述车载终端将所述证书请求消息发送至所述车联网服务系统请求身份证书;
其中,所述车载终端根据所述临时会话密钥生成证书请求消息,包括:
所述车载终端构造证书请求数据包;
所述车载终端根据所述临时会话密钥对所述证书请求数据包进行加密;
所述车载终端根据加密后的证书请求数据包生成认证码;
所述车载终端根据所述加密后的证书请求数据包和所述认证码生成证书请求消息;
所述车载终端构造证书请求数据包,包括:
所述车载终端根据所述云端随机数生成公私钥对;
所述车载终端根据所述公私钥对生成证书请求标准格式数据,所述证书请求标准格式数据为PKCS#10(P10)证书请求标准对应格式的数据;
所述车载终端根据所述证书请求标准格式数据和所述预置信息中的车辆识别码、车辆终端标识构造证书请求数据包。
2.根据权利要求1所述的方法,其特征在于,所述车载终端根据云端随机数、车载终端的本地随机数、所述预置信息获取临时会话密钥,包括:
所述车载终端根据约定的密钥生成算法、所述云端随机数、所述车载终端的本地随机数,以及所述预置信息中的车辆识别码、车辆终端标识和设备主密钥计算获取临时会话密钥。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述车载终端接收到所述车联网服务系统发送的证书,则所述车载终端根据所述预置信息中的预置根证书链验证接收到的所述证书,并验证生成的公私钥对中的私钥与所述证书中包含的公钥的匹配性。
4.一种车载终端身份证书申请方法,其特征在于,包括:
车联网服务系统接收车载终端发送的随机数请求消息,所述随机数请求消息中携带有预置信息和所述车载终端生成的本地随机数;
所述车联网服务系统根据所述预置信息生成云端随机数,并将所述随机数发送至所述车载终端;
所述车联网服务系统接收所述车载终端根据所述云端随机数发送的证书请求消息,并对所述证书请求消息进行验证;
若所述证书请求消息验证通过,所述车联网服务系统向所述车载终端下发证书;
其中,所述车联网服务系统根据所述预置信息生成云端随机数,包括:
所述车联网服务系统根据生产数据库验证所述预置信息中的车辆识别码和车辆终端标识验证是否合法;
若验证通过,则所述车联网服务系统生成云端随机数;
所述车联网服务系统对所述证书请求消息进行验证,包括:
所述车联网服务系统根据所述随机数请求消息和所述云端随机数生成临时会话密钥;
所述车联网服务系统根据所述临时会话密钥和所述证书请求消息中携带的证书请求数据包计算认证码,所述证书请求数据包包括证书请求标准格式数据,所述证书请求标准格式数据为PKCS#10(P10)证书请求标准对应格式的数据,所述证书请求标准格式数据包括P10信息;
若所述车联网服务系统确定计算得到的认证码与所述证书请求消息中携带的认证码相同,则所述车联网服务系统对所述证书请求消息中携带的证书请求数据包进行验证;
进一步地,所述方法还包括:
在根据所述临时会话密钥对所述证书请求数据包进行解密之后,通过公钥基础设施系统对所述P10信息进行验证,以判断所述证书请求消息的合法性。
5.根据权利要求4所述的方法,其特征在于,所述车联网服务系统根据所述随机数请求消息和所述云端随机数生成临时会话密钥,包括:
所述车联网服务系统根据约定的密钥生成算法、所述云端随机数、所述随机数请求消息中携带的本地随机数、所述预置信息中的车辆识别码、车辆终端标识和设备主密钥计算获取临时会话密钥。
6.根据权利要求4所述的方法,其特征在于,所述车联网服务系统对所述证书请求消息中携带的证书请求数据包进行验证,包括:
所述车联网服务系统根据所述临时会话密钥对所述证书请求数据包进行解密,获取所述证书请求数据包中车辆识别码、车辆终端标识;
所述车联网服务系统验证所述车辆识别码、车辆终端标识是否与所述预置信息中的车辆识别码和车辆终端标识一致。
CN202110453416.9A 2021-04-26 2021-04-26 一种车辆终端身份证书申请方法 Active CN113114699B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110453416.9A CN113114699B (zh) 2021-04-26 2021-04-26 一种车辆终端身份证书申请方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110453416.9A CN113114699B (zh) 2021-04-26 2021-04-26 一种车辆终端身份证书申请方法

Publications (2)

Publication Number Publication Date
CN113114699A CN113114699A (zh) 2021-07-13
CN113114699B true CN113114699B (zh) 2023-04-28

Family

ID=76721116

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110453416.9A Active CN113114699B (zh) 2021-04-26 2021-04-26 一种车辆终端身份证书申请方法

Country Status (1)

Country Link
CN (1) CN113114699B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113890742B (zh) * 2021-09-30 2024-03-19 银联商务股份有限公司 一种客户端公钥证书更新方法和装置
CN115225318B (zh) * 2022-06-09 2023-12-22 广东省智能网联汽车创新中心有限公司 一种基于车载终端的车载以太网动态登录鉴权方法及系统
CN114978751B (zh) * 2022-06-16 2024-01-26 东软睿驰汽车技术(沈阳)有限公司 业务证书获取方法、装置和电子设备
CN115514497A (zh) * 2022-09-21 2022-12-23 宁波均联智行科技股份有限公司 一种证书下发方法及装置
CN115242410B (zh) * 2022-09-22 2022-11-29 合肥工业大学 一种基于量子随机数发生器的车内网身份认证方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111066284A (zh) * 2017-10-09 2020-04-24 华为技术有限公司 一种业务证书管理方法、终端及服务器

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101188616B (zh) * 2007-12-12 2010-07-21 四川长虹电器股份有限公司 终端申请证书的方法
CN102624531B (zh) * 2012-04-25 2014-12-03 西安西电捷通无线网络通信股份有限公司 一种数字证书自动申请方法和装置及系统
CN106936577B (zh) * 2015-12-29 2020-11-03 航天信息股份有限公司 一种用于证书申请的方法、终端和系统
CN106452772B (zh) * 2016-11-16 2019-10-25 华为技术有限公司 终端认证方法和装置
CN108650220B (zh) * 2018-03-27 2020-12-08 北京安御道合科技有限公司 发放、获取移动终端证书及汽车端芯片证书的方法、设备
EP3562089A1 (de) * 2018-04-23 2019-10-30 Siemens Aktiengesellschaft Automatisiertes zertifikatsmanagement
CN111917685B (zh) * 2019-05-07 2022-05-31 华为云计算技术有限公司 一种申请数字证书的方法
CN110380868A (zh) * 2019-08-22 2019-10-25 广东浪潮大数据研究有限公司 一种通信方法、装置及通信系统和存储介质

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111066284A (zh) * 2017-10-09 2020-04-24 华为技术有限公司 一种业务证书管理方法、终端及服务器

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
彭英慧 ; 刘海丰 ; .基于PKCS#12证书身份认证系统的实现.计算机工程与设计.2009,(第08期),全文. *

Also Published As

Publication number Publication date
CN113114699A (zh) 2021-07-13

Similar Documents

Publication Publication Date Title
CN113114699B (zh) 一种车辆终端身份证书申请方法
CN114154135B (zh) 基于国密算法的车联网通信安全认证方法、系统及设备
CN108235806B (zh) 安全访问区块链的方法、装置、系统、存储介质及电子设备
CN102111410B (zh) 一种基于代理的单点登录方法及系统
CN109547445B (zh) 一种验证客户端网络请求合法的方法及系统
CN112399382A (zh) 基于区块链网络的车联网认证方法、装置、设备和介质
CN101860540B (zh) 一种识别网站服务合法性的方法及装置
CN103237038B (zh) 一种基于数字证书的双向入网认证方法
CN111049660A (zh) 证书分发方法、系统、装置及设备、存储介质
CN109450843B (zh) 一种基于区块链的ssl证书管理方法及系统
CN104506534A (zh) 安全通信密钥协商交互方案
CN105790938A (zh) 基于可信执行环境的安全单元密钥生成系统及方法
CN110365486B (zh) 一种证书申请方法、装置及设备
CN101262342A (zh) 分布式授权与验证方法、装置及系统
CN103001936B (zh) 一种第三方应用接口授权方法和系统
CN104753881A (zh) 一种基于软件数字证书和时间戳的WebService安全认证访问控制方法
CN111698225A (zh) 一种适用于电力调度控制系统的应用服务认证加密方法
CN105072125A (zh) 一种http通信系统及方法
US20140245409A1 (en) Extension of the Attributes of a Credential Request
CN104053149A (zh) 一种实现车联网设备的安全机制的方法及系统
CN113285932B (zh) 边缘服务的获取方法和服务器、边缘设备
CN108683506B (zh) 一种数字证书申请方法、系统、雾节点和证书授权中心
CN113572795B (zh) 一种车辆安全通信方法、系统及车载终端
CN111147257A (zh) 身份认证和信息保密的方法、监控中心和远程终端单元
CN111654503A (zh) 一种远程管控方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant