CN113395160A - 证书管理方法、装置、颁发实体、管理实体及车联网设备 - Google Patents
证书管理方法、装置、颁发实体、管理实体及车联网设备 Download PDFInfo
- Publication number
- CN113395160A CN113395160A CN202010165251.0A CN202010165251A CN113395160A CN 113395160 A CN113395160 A CN 113395160A CN 202010165251 A CN202010165251 A CN 202010165251A CN 113395160 A CN113395160 A CN 113395160A
- Authority
- CN
- China
- Prior art keywords
- certificate
- security domain
- domain
- security
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Medical Informatics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例提供一种证书管理方法、装置、颁发实体、管理实体及车联网设备,该方法包括:生成安全域锚点证书列表,所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址;将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址发送给安全域管理实体,以由所述安全域管理实体将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址写入车联网设备,从而实现车联网场景下将各个安全域的域锚点证书及相关CA证书列表安全地发布给车联网设备,实现对交叉认证中的证书的管理。
Description
技术领域
本发明涉及通信技术领域,尤其是指一种证书管理方法、装置、颁发实体、管理实体及车联网设备。
背景技术
车联网安全通信是基于公钥基础设施(Public Key Infrastructure,PKI)实现的。车联网系统中证书申请实体为:
车载单元(On Board Unit,OBU):安装在车辆上的通信设备,负责车辆的车对外界(Vehicle to Everything,V2X)消息的发送和接收。
路侧单元(Road Side Unit,RSU):安装在路侧设备上的通信设备,负责路侧设备的V2X消息的发送和接收。
车联网PKI系统中证书颁发实体为:
根证书颁发机构(Root Certificate Authority,根CA):车联网安全PKI体系的安全锚点,用于向下级子CA颁发子CA证书。
注册CA(Enrollment CA,ECA):在OBU和RSU系统的安全初始化阶段,向这些实体颁发注册证书。OBU和RSU使用注册证书申请应用证书。
应用CA(Application CA,ACA):向OBU和RSU颁发其用于对播发的V2X消息进行签名的证书。
证书的种类:
根证书(Root Certificate):根CA的自签证书。根证书是一个PKI系统证书链的根节点,又称PKI系统的信任锚点。
注册证书(Enrollment Certificate):注册证书由注册CA颁发给OBU和RSU。注册证书与设备唯一对应。设备使用注册证书从各授权机构获取其他与车联网安全通信相关的应用证书。
应用证书(Application Certificate):颁发给OBU和RSU的用于对其播发的消息进行数字签名的证书。例如OBU对其播发的车辆行驶状态信息进行数字签名,RSU对其播发的交通信号灯状态信息进行数字签名。
基本应用模式:
1.OBU/RSU向注册CA申请注册证书;注册CA审核后向OBU/RSU颁发注册证书。
2.OBU/RSU利用注册证书向负责车联网应用领域的应用CA申请具体用于对V2X消息进行数字签名的应用证书;应用CA审核后向OBU/RSU颁发应用证书。
3.OBU/RSU利用应用证书对其播发的V2X消息进行数字签名,并将签名消息连同签名证书一同播发出去。
4.接收V2X签名消息的OBU/RSU首先利用预先存储的应用CA证书对消息中的签名证书进行验证,然后利用验证的签名证书验证签名消息的有效性。
在进行车联网通信时,车联网设备使用的通信证书可能是属于不同的PKI系统。例如在车辆主动安全系统中,车辆会实时播发其位置和行驶信息,该信息需要使用假名(匿名)证书进行数字签名;而向车辆颁发匿名证书的机构可能是不同的PKI系统,也即属于不同的安全域。如果不向属于其他域的设备提供验证该域证书所需的CA证书,则不能实现跨域安全通信。现有技术中仅描述使用一个根证书可信列表,用于向车联网设备提供交叉认证中需要的其他域的根证书,从而实现车联网设备安全通信中的证书交叉认证。但是现有技术中并没有管理该根证书可信列表的方案。
发明内容
本发明实施例的目的在于提供一种证书管理方法、装置、颁发实体、管理实体及车联网设备,以解决现有技术中没有用于管理交叉认证中的根证书可信列表的方案的技术问题。
为了解决上述问题,本发明实施例提供一种证书管理方法,应用于可信安全域锚点证书列表颁发实体,包括:
生成安全域锚点证书列表,所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址;
将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址发送给安全域管理实体,以由所述安全域管理实体将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址写入车联网设备。
其中,所述安全域的域CA证书列表包括:车联网互通时其他安全域需要的CA证书链。
其中,所述域锚点证书为自签名的根公钥证书,或者,所述域锚点证书为非自签名的公钥证书。
其中,所述生成安全域锚点证书列表,包括:
接收安全域管理实体发送的所述安全域管理实体所属安全域的域锚点证书,以及,所述安全域管理实体所属安全域的域CA证书列表的下载地址;
根据所述域锚点证书和域CA证书列表的下载地址,生成所述安全域锚点证书列表。
其中,所述方法还包括:
利用与所述安全域锚点证书列表的签名证书对应的私钥对所述安全域锚点证书列表进行数字签名。
其中,所述方法还包括:
将签名后的安全域锚点证书列表发送给安全域管理实体,或者,将签名后的安全域锚点证书列表发送给可信证书列表发布设备。
本发明实施例还提供一种证书管理方法,应用于安全域管理实体,包括:
接收可信安全域锚点证书列表颁发实体发送的安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址;所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址;
将所述安全域锚点证书列表的签名证书以及所述安全域锚点证书列表的下载地址,写入车联网设备。
其中,所述方法还包括:
将所述安全域管理实体所属安全域的域锚点证书以及所述安全域管理实体所属安全域的域CA证书列表的下载地址,写入车联网设备。
其中,所述安全域的域CA证书列表包括:车联网互通时其他安全域需要的CA证书链。
其中,所述域锚点证书为自签名的根公钥证书,或者,所述域锚点证书为非自签名的公钥证书。
其中,所述接收可信安全域锚点证书列表颁发实体发送的安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址之前,所述方法还包括:
向可信安全域锚点证书列表颁发实体发送所述安全域管理实体所属安全域的域锚点证书,以及,所述安全域管理实体所属安全域的域CA证书列表的下载地址,以由所述可信安全域锚点证书列表颁发实体生成安全域锚点证书列表。
其中,所述方法还包括:
利用域锚点证书对应的私钥对域CA证书列表进行数字签名。
本发明实施例还提供一种证书管理方法,应用于车联网设备,包括:
接收安全域管理实体写入的安全域锚点证书列表的签名证书以及安全域锚点证书列表的下载地址;
其中,所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址。
其中,所述方法还包括:
根据所述安全域锚点证书列表的下载地址,下载所述安全域锚点证书列表;
利用所述安全域锚点证书列表的签名证书验证下载的所述安全域锚点证书列表。
其中,所述方法还包括:
接收安全域管理实体写入的所述安全域管理实体所属安全域的域锚点证书以及所述安全域管理实体所属安全域的域CA证书列表的下载地址。
其中,所述方法还包括:
根据所述域CA证书列表的下载地址,下载所述域CA证书列表;
利用所述域锚点证书验证下载的所述域CA证书列表的数字签名。
其中,所述方法还包括:
根据所述安全域锚点证书列表包含的域CA证书列表的下载地址,下载所述域CA证书列表;
利用所述安全域锚点证书列表包含的域锚点证书验证下载的所述域CA证书列表的数字签名。
其中,所述方法还包括:
根据所述域CA证书列表,验证所述车联网设备接收到的其他安全域的公钥证书;
使用通过验证的公钥证书验证其他安全域的车联网设备发送的消息的数字签名。
本发明实施例还提供一种证书管理装置,应用于可信安全域锚点证书列表颁发实体,包括:
生成模块,用于生成安全域锚点证书列表,所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址;
第一发送模块,用于将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址发送给安全域管理实体,以由所述安全域管理实体将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址写入车联网设备。
本发明实施例还提供一种可信安全域锚点证书列表颁发实体,包括:收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述收发机在处理器的控制下接收和发送数据,所述处理器用于读取存储器中的程序,执行下列操作:
生成安全域锚点证书列表,所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址;
将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址发送给安全域管理实体,以由所述安全域管理实体将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址写入车联网设备。
其中,所述安全域的域CA证书列表包括:车联网互通时其他安全域需要的CA证书链。
其中,所述域锚点证书为自签名的根公钥证书,或者,所述域锚点证书为非自签名的公钥证书。
其中,所述处理器还用于读取存储器中的程序,执行下列操作:
接收安全域管理实体发送的所述安全域管理实体所属安全域的域锚点证书,以及,所述安全域管理实体所属安全域的域CA证书列表的下载地址;
根据所述域锚点证书和域CA证书列表的下载地址,生成所述安全域锚点证书列表。
其中,所述处理器还用于读取存储器中的程序,执行下列操作:
利用与所述安全域锚点证书列表的签名证书对应的私钥对所述安全域锚点证书列表进行数字签名。
其中,所述处理器还用于读取存储器中的程序,执行下列操作:
将签名后的安全域锚点证书列表发送给安全域管理实体,或者,将签名后的安全域锚点证书列表发送给可信证书列表发布设备。
本发明实施例还提供一种证书管理装置,应用于安全域管理实体,包括:
第一接收模块,用于接收可信安全域锚点证书列表颁发实体发送的安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址;所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址;
第一写入模块,用于将所述安全域锚点证书列表的签名证书以及所述安全域锚点证书列表的下载地址,写入车联网设备。
本发明实施例还提供一种安全域管理实体,包括:收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述收发机在处理器的控制下接收和发送数据,所述处理器用于读取存储器中的程序,执行下列操作:
接收可信安全域锚点证书列表颁发实体发送的安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址;所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址;
将所述安全域锚点证书列表的签名证书以及所述安全域锚点证书列表的下载地址,写入车联网设备。
其中,所述处理器还用于读取存储器中的程序,执行下列操作:
将所述安全域管理实体所属安全域的域锚点证书以及所述安全域管理实体所属安全域的域CA证书列表的下载地址,写入车联网设备。
其中,所述安全域的域CA证书列表包括:车联网互通时其他安全域需要的CA证书链。
其中,所述域锚点证书为自签名的根公钥证书,或者,所述域锚点证书为非自签名的公钥证书。
其中,所述处理器还用于读取存储器中的程序,执行下列操作:
向可信安全域锚点证书列表颁发实体发送所述安全域管理实体所属安全域的域锚点证书,以及,所述安全域管理实体所属安全域的域CA证书列表的下载地址,以由所述可信安全域锚点证书列表颁发实体生成安全域锚点证书列表。
其中,所述处理器还用于读取存储器中的程序,执行下列操作:
利用域锚点证书对应的私钥对域CA证书列表进行数字签名。
本发明实施例还提供一种证书管理装置,应用于车联网设备,包括:
第二接收模块,用于接收安全域管理实体写入的安全域锚点证书列表的签名证书以及安全域锚点证书列表的下载地址;
其中,所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址。
本发明实施例还提供一种车联网设备,包括:收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述收发机在处理器的控制下接收和发送数据,所述处理器用于读取存储器中的程序,执行下列操作:
接收安全域管理实体写入的安全域锚点证书列表的签名证书以及安全域锚点证书列表的下载地址;
其中,所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址。
其中,所述处理器还用于读取存储器中的程序,执行下列操作:
根据所述安全域锚点证书列表的下载地址,下载所述安全域锚点证书列表;
利用所述安全域锚点证书列表的签名证书验证下载的所述安全域锚点证书列表。
其中,所述处理器还用于读取存储器中的程序,执行下列操作:
接收安全域管理实体写入的所述安全域管理实体所属安全域的域锚点证书以及所述安全域管理实体所属安全域的域CA证书列表的下载地址。
其中,所述处理器还用于读取存储器中的程序,执行下列操作:
根据所述域CA证书列表的下载地址,下载所述域CA证书列表;
利用所述域锚点证书验证下载的所述域CA证书列表的数字签名。
其中,所述处理器还用于读取存储器中的程序,执行下列操作:
根据所述安全域锚点证书列表包含的域CA证书列表的下载地址,下载所述域CA证书列表;
利用所述安全域锚点证书列表包含的域锚点证书验证下载的所述域CA证书列表的数字签名。
其中,所述处理器还用于读取存储器中的程序,执行下列操作:
根据所述域CA证书列表,验证所述车联网设备接收到的其他安全域的公钥证书;
使用通过验证的公钥证书验证其他安全域的车联网设备发送的消息的数字签名。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如上所述的证书管理方法的步骤。
本发明的上述技术方案至少具有如下有益效果:
本发明实施例的证书管理方法、装置、颁发实体、管理实体及车联网设备中,通过可信安全域锚点证书列表颁发实体生成安全域锚点证书列表,并将安全域锚点证书列表的签名证书和安全域锚点证书列表的下载地址发送给安全域管理实体,所述安全域管理实体将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址写入车联网设备,车联网设备根据安全域锚点证书列表的下载地址,下载所述安全域锚点证书列表,并利用所述安全域锚点证书列表的签名证书验证下载的所述安全域锚点证书列表,从而实现车联网场景下将各个安全域的域锚点证书及相关CA证书列表安全地发布给车联网设备,实现对交叉认证中的证书的管理。
附图说明
图1表示本发明实施例提供的车联网可信安全域CA证书管理架构的示意图;
图2表示本发明实施例提供的证书管理方法的步骤流程图之一;
图3表示本发明实施例提供的证书管理方法的步骤流程图之二;
图4表示本发明实施例提供的证书管理方法的步骤流程图之三;
图5表示本发明实施例提供的证书管理装置的结构示意图之一;
图6表示本发明实施例提供的可信安全域锚点证书列表颁发实体的结构示意图;
图7表示本发明实施例提供的证书管理装置的结构示意图之二;
图8表示本发明实施例提供的安全域管理实体的结构示意图;
图9表示本发明实施例提供的证书管理装置的结构示意图之三;
图10表示本发明实施提供的车联网设备的结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明实施例提供的证书管理方法应用于如图1所示的车联网可信安全域CA证书管理架构;该车联网可信安全域CA证书管理架构包括:
可信安全域锚点证书列表颁发实体:确定哪些安全域是可信的,并生成安全域锚点证书列表。安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址。该安全域锚点证书列表还可包含有列表说明信息,例如发布时间、列表版本、适用范围等。该安全域锚点证书列表适用数字签名技术提供认证性、完整性和不可否认性保护。用于签名的数字证书称为:安全域锚点证书列表的签名证书。
安全域管理实体:在一个安全域内负责向车联网设备写入车联网安全通信公钥证书的机构。
车联网设备:下载其所属安全域的域CA证书列表,根据所述域CA证书列表,验证所述车联网设备接收到的其他安全域的公钥证书;使用通过验证的公钥证书验证其他安全域的车联网设备发送的消息的数字签名。
可选的,如图1所示,该车联网可信安全域CA证书管理架构还包括:
可信证书列表发布设备,应用于集中式发布方案。可信安全域锚点证书列表颁发实体将安全域锚点证书列表发布至可信证书列表发布设备,和/或,安全域管理实体将域CA证书列表发布至可信证书列表发布设备,由可信证书列表发布设备将安全域锚点证书列表和/或域CA证书列表发布至某个可信证书列表发布门户网站上,则各个安全域的车联网设备依据提供的下载地址自行下载。
如图2所示,本发明实施例提供一种证书管理方法,应用于可信安全域锚点证书列表颁发实体,包括:
步骤21,生成安全域锚点证书列表,所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址。
其中,安全域的域锚点证书为一个安全域的安全锚点(也可称为该域的根节点)的证书,所述域锚点证书为自签名的根公钥证书,或者,所述域锚点证书为非自签名的公钥证书。
该安全域的域CA证书列表包括:车联网互通时其他安全域需要的CA证书链,例如,注册CA、假名CA、应用CA、证书撤销CA等CA证书链。该域CA证书列表使用数字签名技术提供认证性、完整性和不可否认性保护。用于签名的数字证书为“域锚点证书”。
步骤22,将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址发送给安全域管理实体,以由所述安全域管理实体将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址写入车联网设备。
作为一个可选实施例,步骤21包括:
接收安全域管理实体发送的所述安全域管理实体所属安全域的域锚点证书,以及,所述安全域管理实体所属安全域的域CA证书列表的下载地址;
根据所述域锚点证书和域CA证书列表的下载地址,生成所述安全域锚点证书列表。
本发明实施例中,各个安全域的安全域管理实体生成该安全域的“域CA证书列表”,并将该安全域的域锚点证书和域CA证书列表的下载地址发送给可信安全域锚点证书列表颁发实体,可信安全域锚点证书列表颁发实体根据所述域锚点证书和域CA证书列表的下载地址,生成所述安全域锚点证书列表。例如,安全域锚点证书列表中的每个列项代表一个可信的安全域,其包含“域锚点证书”和“域CA证书列表的下载地址”。
作为本发明的又一可选实施例,所述方法还包括:
利用与所述安全域锚点证书列表的签名证书对应的私钥对所述安全域锚点证书列表进行数字签名,以提供认证性、完整性和不可否认性保护。
承接上例,本发明实施例中所述方法还包括:
将签名后的安全域锚点证书列表发送给安全域管理实体;即分布式发布方案,可信安全域锚点证书列表颁发实体将安全域锚点列表分别提供给各个安全域的安全域管理实体,然后各个安全域的车联网设备依据提供的下载地址在其安全域管理实体内自行下载。
或者,
将签名后的安全域锚点证书列表发送给可信证书列表发布设备;即集中式发布方案,可信安全域锚点证书列表颁发实体将安全域锚点证书列表发布至可信证书列表发布设备,和/或,安全域管理实体将域CA证书列表发布至可信证书列表发布设备,由可信证书列表发布设备将安全域锚点证书列表和/或域CA证书列表发布至某个可信证书列表发布门户网站上,则各个安全域的车联网设备依据提供的下载地址自行下载。
综上,本发明实施例通过可信安全域锚点证书列表颁发实体生成安全域锚点证书列表,并将安全域锚点证书列表的签名证书和安全域锚点证书列表的下载地址发送给安全域管理实体,由所述安全域管理实体将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址写入车联网设备,从而实现车联网场景下将各个安全域的域锚点证书及相关CA证书列表安全地发布给车联网设备,实现对交叉认证中的证书的管理。
如图3所示,本发明实施例还提供一种证书管理方法,应用于安全域管理实体,包括:
步骤31,接收可信安全域锚点证书列表颁发实体发送的安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址;所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址;
步骤32,将所述安全域锚点证书列表的签名证书以及所述安全域锚点证书列表的下载地址,写入车联网设备。
其中,安全域的域锚点证书为一个安全域的安全锚点(也可称为该域的根节点)的证书,所述域锚点证书为自签名的根公钥证书,或者,所述域锚点证书为非自签名的公钥证书。
该安全域的域CA证书列表包括:车联网互通时其他安全域需要的CA证书链,例如,注册CA、假名CA、应用CA、证书撤销CA等CA证书链。该域CA证书列表使用数字签名技术提供认证性、完整性和不可否认性保护。用于签名的数字证书为“域锚点证书”。
作为一个可选实施例,所述方法还包括:
将所述安全域管理实体所属安全域的域锚点证书以及所述安全域管理实体所属安全域的域CA证书列表的下载地址,写入车联网设备。
本发明实施例中,各个安全域的安全域管理实体生成该安全域的“域CA证书列表”。该安全域的域锚点证书可以由安全域管理实体生成,也可以由上级设备分发,在此不做具体限定。
换言之,在一个可信的安全域内,该安全域的安全域管理实体以安全的方式向其域内的“车联网设备”写入:
本安全域的“域锚点证书”;
本安全域的“域CA证书列表”下载地址;
“安全域锚点证书列表”的签名证书;
“安全域锚点证书列表”的下载地址。
可选的,本发明的上述实施例中,步骤31之前,所述方法还包括:
向可信安全域锚点证书列表颁发实体发送所述安全域管理实体所属安全域的域锚点证书,以及,所述安全域管理实体所属安全域的域CA证书列表的下载地址,以由所述可信安全域锚点证书列表颁发实体生成安全域锚点证书列表。
本发明实施例中,各个安全域的安全域管理实体生成该安全域的“域CA证书列表”,并将该安全域的域锚点证书和域CA证书列表的下载地址发送给可信安全域锚点证书列表颁发实体,可信安全域锚点证书列表颁发实体根据所述域锚点证书和域CA证书列表的下载地址,生成所述安全域锚点证书列表。例如,安全域锚点证书列表中的每个列项代表一个可信的安全域,其包含“域锚点证书”和“域CA证书列表的下载地址”。
作为一个可选实施例,所述方法还包括:
利用域锚点证书对应的私钥对域CA证书列表进行数字签名,以提供认证性、完整性和不可否认性保护。
综上,本发明实施例通过可信安全域锚点证书列表颁发实体生成安全域锚点证书列表,并将安全域锚点证书列表的签名证书和安全域锚点证书列表的下载地址发送给安全域管理实体,由所述安全域管理实体将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址写入车联网设备,从而实现车联网场景下将各个安全域的域锚点证书及相关CA证书列表安全地发布给车联网设备,实现对交叉认证中的证书的管理。
如图4所示,本发明实施例还提供一种证书管理方法,应用于车联网设备,包括:
步骤41,接收安全域管理实体写入的安全域锚点证书列表的签名证书以及安全域锚点证书列表的下载地址;
其中,所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址。
作为一个可选实施例,所述方法还包括:
根据所述安全域锚点证书列表的下载地址,下载所述安全域锚点证书列表;
利用所述安全域锚点证书列表的签名证书验证下载的所述安全域锚点证书列表。
进一步的,所述方法还包括:
根据所述安全域锚点证书列表包含的域CA证书列表的下载地址,下载所述域CA证书列表;
利用所述安全域锚点证书列表包含的域锚点证书验证下载的所述域CA证书列表的数字签名。
例如,获取“安全域锚点证书列表”的某个列项,使用该列项中的“域CA证书列表的下载地址”下载域CA证书列表;使用该列项中的“域锚点证书”验证下载的域CA证书列表的数字签名。
作为本发明的另一实施例,所述方法还包括:
接收安全域管理实体写入的所述安全域管理实体所属安全域的域锚点证书以及所述安全域管理实体所属安全域的域CA证书列表的下载地址。
进一步的,所述方法还包括:
根据所述域CA证书列表的下载地址,下载所述域CA证书列表;
利用所述域锚点证书验证下载的所述域CA证书列表的数字签名。
承接上例,本发明的上述实施例中,所述方法还包括:
根据所述域CA证书列表,验证所述车联网设备接收到的其他安全域的公钥证书;
使用通过验证的公钥证书验证其他安全域的车联网设备发送的消息的数字签名。
综上,本发明实施例通过可信安全域锚点证书列表颁发实体生成安全域锚点证书列表,并将安全域锚点证书列表的签名证书和安全域锚点证书列表的下载地址发送给安全域管理实体,所述安全域管理实体将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址写入车联网设备,车联网设备根据安全域锚点证书列表的下载地址,下载所述安全域锚点证书列表,并利用所述安全域锚点证书列表的签名证书验证下载的所述安全域锚点证书列表,从而实现车联网场景下将各个安全域的域锚点证书及相关CA证书列表安全地发布给车联网设备,实现对交叉认证中的证书的管理。
如图5所示,本发明实施例还提供一种证书管理装置,应用于可信安全域锚点证书列表颁发实体,包括:
生成模块51,用于生成安全域锚点证书列表,所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址;
第一发送模块52,用于将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址发送给安全域管理实体,以由所述安全域管理实体将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址写入车联网设备。
作为本发明的一个可选实施例,所述安全域的域CA证书列表包括:车联网互通时其他安全域需要的CA证书链。
作为本发明的一个可选实施例,所述域锚点证书为自签名的根公钥证书,或者,所述域锚点证书为非自签名的公钥证书。
作为本发明的一个可选实施例,所述生成模块包括:
第一子模块,用于接收安全域管理实体发送的所述安全域管理实体所属安全域的域锚点证书,以及,所述安全域管理实体所属安全域的域CA证书列表的下载地址;
第二子模块,用于根据所述域锚点证书和域CA证书列表的下载地址,生成所述安全域锚点证书列表。
作为本发明的一个可选实施例,所述装置还包括:
第一签名模块,用于利用与所述安全域锚点证书列表的签名证书对应的私钥对所述安全域锚点证书列表进行数字签名。
作为本发明的一个可选实施例,所述装置还包括:
发布模块,用于将签名后的安全域锚点证书列表发送给安全域管理实体,或者,将签名后的安全域锚点证书列表发送给可信证书列表发布设备。
综上,本发明实施例通过可信安全域锚点证书列表颁发实体生成安全域锚点证书列表,并将安全域锚点证书列表的签名证书和安全域锚点证书列表的下载地址发送给安全域管理实体,由所述安全域管理实体将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址写入车联网设备,从而实现车联网场景下将各个安全域的域锚点证书及相关CA证书列表安全地发布给车联网设备,实现对交叉认证中的证书的管理。
需要说明的是,由于证书管理装置解决问题的原理与本发明实施例中证书管理方法相似,因此该装置的实施可以参见方法的实施,重复之处不再敷述。
如图6所示,本发明实施例还提供一种可信安全域锚点证书列表颁发实体,包括:收发机620、存储器610、处理器600及存储在所述存储器610上并可在所述处理器600上运行的计算机程序,所述收发机620在处理器600的控制下接收和发送数据,所述处理器600用于读取存储器中的程序,执行下列操作:
生成安全域锚点证书列表,所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址;
将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址发送给安全域管理实体,以由所述安全域管理实体将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址写入车联网设备。
作为本发明的一个可选实施例,所述安全域的域CA证书列表包括:车联网互通时其他安全域需要的CA证书链。
作为本发明的一个可选实施例,所述域锚点证书为自签名的根公钥证书,或者,所述域锚点证书为非自签名的公钥证书。
作为本发明的一个可选实施例,所述处理器600还用于读取存储器中的程序,执行下列操作:
接收安全域管理实体发送的所述安全域管理实体所属安全域的域锚点证书,以及,所述安全域管理实体所属安全域的域CA证书列表的下载地址;
根据所述域锚点证书和域CA证书列表的下载地址,生成所述安全域锚点证书列表。
作为本发明的一个可选实施例,所述处理器600还用于读取存储器中的程序,执行下列操作:
利用与所述安全域锚点证书列表的签名证书对应的私钥对所述安全域锚点证书列表进行数字签名。
作为本发明的一个可选实施例,所述处理器600还用于读取存储器中的程序,执行下列操作:
将签名后的安全域锚点证书列表发送给安全域管理实体,或者,将签名后的安全域锚点证书列表发送给可信证书列表发布设备。
综上,本发明实施例通过可信安全域锚点证书列表颁发实体生成安全域锚点证书列表,并将安全域锚点证书列表的签名证书和安全域锚点证书列表的下载地址发送给安全域管理实体,由所述安全域管理实体将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址写入车联网设备,从而实现车联网场景下将各个安全域的域锚点证书及相关CA证书列表安全地发布给车联网设备,实现对交叉认证中的证书的管理。
需要说明的是,由于可信安全域锚点证书列表颁发实体解决问题的原理与本发明实施例中证书管理方法相似,因此该可信安全域锚点证书列表颁发实体的实施可以参见方法的实施,重复之处不再敷述。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如上所述的应用于可信安全域锚点证书列表颁发实体的证书管理方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
如图7所示,本发明实施例还提供一种证书管理装置,应用于安全域管理实体,包括:
第一接收模块71,用于接收可信安全域锚点证书列表颁发实体发送的安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址;所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址;
第一写入模块72,用于将所述安全域锚点证书列表的签名证书以及所述安全域锚点证书列表的下载地址,写入车联网设备。
作为本发明的一个可选实施例,所述装置还包括:
第二写入模块,用于将所述安全域管理实体所属安全域的域锚点证书以及所述安全域管理实体所属安全域的域CA证书列表的下载地址,写入车联网设备。
作为本发明的一个可选实施例,所述安全域的域CA证书列表包括:车联网互通时其他安全域需要的CA证书链。
作为本发明的一个可选实施例,所述域锚点证书为自签名的根公钥证书,或者,所述域锚点证书为非自签名的公钥证书。
作为本发明的一个可选实施例,所述装置还包括:
第二发送模块,用于向可信安全域锚点证书列表颁发实体发送所述安全域管理实体所属安全域的域锚点证书,以及,所述安全域管理实体所属安全域的域CA证书列表的下载地址,以由所述可信安全域锚点证书列表颁发实体生成安全域锚点证书列表。
作为本发明的一个可选实施例,所述装置还包括:
第二签名模块,用于利用域锚点证书对应的私钥对域CA证书列表进行数字签名。
综上,本发明实施例通过可信安全域锚点证书列表颁发实体生成安全域锚点证书列表,并将安全域锚点证书列表的签名证书和安全域锚点证书列表的下载地址发送给安全域管理实体,由所述安全域管理实体将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址写入车联网设备,从而实现车联网场景下将各个安全域的域锚点证书及相关CA证书列表安全地发布给车联网设备,实现对交叉认证中的证书的管理。
需要说明的是,由于证书管理装置解决问题的原理与本发明实施例中证书管理方法相似,因此该装置的实施可以参见方法的实施,重复之处不再敷述。
如图8所示,本发明实施例还提供一种安全域管理实体,包括:收发机820、存储器810、处理器800及存储在所述存储器810上并可在所述处理器800上运行的计算机程序,所述收发机810在处理器800的控制下接收和发送数据,所述处理器800用于读取存储器中的程序,执行下列操作:
接收可信安全域锚点证书列表颁发实体发送的安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址;所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址;
将所述安全域锚点证书列表的签名证书以及所述安全域锚点证书列表的下载地址,写入车联网设备。
作为本发明的一个可选实施例,所述处理器800还用于读取存储器中的程序,执行下列操作:
将所述安全域管理实体所属安全域的域锚点证书以及所述安全域管理实体所属安全域的域CA证书列表的下载地址,写入车联网设备。
作为本发明的一个可选实施例,所述安全域的域CA证书列表包括:车联网互通时其他安全域需要的CA证书链。
作为本发明的一个可选实施例,所述域锚点证书为自签名的根公钥证书,或者,所述域锚点证书为非自签名的公钥证书。
作为本发明的一个可选实施例,所述处理器800还用于读取存储器中的程序,执行下列操作:
向可信安全域锚点证书列表颁发实体发送所述安全域管理实体所属安全域的域锚点证书,以及,所述安全域管理实体所属安全域的域CA证书列表的下载地址,以由所述可信安全域锚点证书列表颁发实体生成安全域锚点证书列表。
作为本发明的一个可选实施例,所述处理器800还用于读取存储器中的程序,执行下列操作:
利用域锚点证书对应的私钥对域CA证书列表进行数字签名。
综上,本发明实施例通过可信安全域锚点证书列表颁发实体生成安全域锚点证书列表,并将安全域锚点证书列表的签名证书和安全域锚点证书列表的下载地址发送给安全域管理实体,由所述安全域管理实体将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址写入车联网设备,从而实现车联网场景下将各个安全域的域锚点证书及相关CA证书列表安全地发布给车联网设备,实现对交叉认证中的证书的管理。
需要说明的是,由于安全域管理实体解决问题的原理与本发明实施例中证书管理方法相似,因此该安全域管理实体的实施可以参见方法的实施,重复之处不再敷述。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如上所述的应用于安全域管理实体的证书管理方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
如图9所示,本发明实施例还提供一种证书管理装置,应用于车联网设备,包括:
第二接收模块91,用于接收安全域管理实体写入的安全域锚点证书列表的签名证书以及安全域锚点证书列表的下载地址;
其中,所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址。
作为本发明的一个可选实施例,所述装置还包括:
第一下载模块,用于根据所述安全域锚点证书列表的下载地址,下载所述安全域锚点证书列表;
第一验证模块,用于利用所述安全域锚点证书列表的签名证书验证下载的所述安全域锚点证书列表。
作为本发明的一个可选实施例,所述装置还包括:
第三接收模块,用于接收安全域管理实体写入的所述安全域管理实体所属安全域的域锚点证书以及所述安全域管理实体所属安全域的域CA证书列表的下载地址。
作为本发明的一个可选实施例,所述装置还包括:
第二下载模块,用于根据所述域CA证书列表的下载地址,下载所述域CA证书列表;
第二签名模块,用于利用所述域锚点证书验证下载的所述域CA证书列表的数字签名。
作为本发明的一个可选实施例,所述装置还包括:
第三下载模块,用于根据所述安全域锚点证书列表包含的域CA证书列表的下载地址,下载所述域CA证书列表;
第三签名模块,用于利用所述安全域锚点证书列表包含的域锚点证书验证下载的所述域CA证书列表的数字签名。
作为本发明的一个可选实施例,所述装置还包括:
第四验证模块,用于根据所述域CA证书列表,验证所述车联网设备接收到的其他安全域的公钥证书;
第五验证模块,用于使用通过验证的公钥证书验证其他安全域的车联网设备发送的消息的数字签名。
综上,本发明实施例通过可信安全域锚点证书列表颁发实体生成安全域锚点证书列表,并将安全域锚点证书列表的签名证书和安全域锚点证书列表的下载地址发送给安全域管理实体,所述安全域管理实体将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址写入车联网设备,车联网设备根据安全域锚点证书列表的下载地址,下载所述安全域锚点证书列表,并利用所述安全域锚点证书列表的签名证书验证下载的所述安全域锚点证书列表,从而实现车联网场景下将各个安全域的域锚点证书及相关CA证书列表安全地发布给车联网设备,实现对交叉认证中的证书的管理。
需要说明的是,由于证书管理装置解决问题的原理与本发明实施例中证书管理方法相似,因此该装置的实施可以参见方法的实施,重复之处不再敷述。
如图10所示,本发明实施例还提供一种车联网设备,包括:收发机120、存储器110、处理器100及存储在所述存储器110上并可在所述处理器100上运行的计算机程序,所述收发机120在处理器100的控制下接收和发送数据,所述处理器100用于读取存储器中的程序,执行下列操作:
接收安全域管理实体写入的安全域锚点证书列表的签名证书以及安全域锚点证书列表的下载地址;
其中,所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址。
作为本发明的一个可选实施例,所述处理器100还用于读取存储器中的程序,执行下列操作:
根据所述安全域锚点证书列表的下载地址,下载所述安全域锚点证书列表;
利用所述安全域锚点证书列表的签名证书验证下载的所述安全域锚点证书列表。
作为本发明的一个可选实施例,所述处理器100还用于读取存储器中的程序,执行下列操作:
接收安全域管理实体写入的所述安全域管理实体所属安全域的域锚点证书以及所述安全域管理实体所属安全域的域CA证书列表的下载地址。
作为本发明的一个可选实施例,所述处理器100还用于读取存储器中的程序,执行下列操作:
根据所述域CA证书列表的下载地址,下载所述域CA证书列表;
利用所述域锚点证书验证下载的所述域CA证书列表的数字签名。
作为本发明的一个可选实施例,所述处理器100还用于读取存储器中的程序,执行下列操作:
根据所述安全域锚点证书列表包含的域CA证书列表的下载地址,下载所述域CA证书列表;
利用所述安全域锚点证书列表包含的域锚点证书验证下载的所述域CA证书列表的数字签名。
作为本发明的一个可选实施例,所述处理器100还用于读取存储器中的程序,执行下列操作:
根据所述域CA证书列表,验证所述车联网设备接收到的其他安全域的公钥证书;
使用通过验证的公钥证书验证其他安全域的车联网设备发送的消息的数字签名。
综上,本发明实施例通过可信安全域锚点证书列表颁发实体生成安全域锚点证书列表,并将安全域锚点证书列表的签名证书和安全域锚点证书列表的下载地址发送给安全域管理实体,所述安全域管理实体将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址写入车联网设备,车联网设备根据安全域锚点证书列表的下载地址,下载所述安全域锚点证书列表,并利用所述安全域锚点证书列表的签名证书验证下载的所述安全域锚点证书列表,从而实现车联网场景下将各个安全域的域锚点证书及相关CA证书列表安全地发布给车联网设备,实现对交叉认证中的证书的管理。
需要说明的是,由于车联网设备解决问题的原理与本发明实施例中证书管理方法相似,因此该车联网设备的实施可以参见方法的实施,重复之处不再敷述。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如上所述的应用于车联网设备的证书管理方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本发明的保护之内。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (40)
1.一种证书管理方法,应用于可信安全域锚点证书列表颁发实体,其特征在于,包括:
生成安全域锚点证书列表,所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址;
将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址发送给安全域管理实体,以由所述安全域管理实体将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址写入车联网设备。
2.根据权利要求1所述的方法,其特征在于,所述安全域的域CA证书列表包括:车联网互通时其他安全域需要的CA证书链。
3.根据权利要求1所述的方法,其特征在于,所述域锚点证书为自签名的根公钥证书,或者,所述域锚点证书为非自签名的公钥证书。
4.根据权利要求1所述的方法,其特征在于,所述生成安全域锚点证书列表,包括:
接收安全域管理实体发送的所述安全域管理实体所属安全域的域锚点证书,以及,所述安全域管理实体所属安全域的域CA证书列表的下载地址;
根据所述域锚点证书和域CA证书列表的下载地址,生成所述安全域锚点证书列表。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
利用与所述安全域锚点证书列表的签名证书对应的私钥对所述安全域锚点证书列表进行数字签名。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
将签名后的安全域锚点证书列表发送给安全域管理实体,或者,将签名后的安全域锚点证书列表发送给可信证书列表发布设备。
7.一种证书管理方法,应用于安全域管理实体,其特征在于,包括:
接收可信安全域锚点证书列表颁发实体发送的安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址;所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址;
将所述安全域锚点证书列表的签名证书以及所述安全域锚点证书列表的下载地址,写入车联网设备。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
将所述安全域管理实体所属安全域的域锚点证书以及所述安全域管理实体所属安全域的域CA证书列表的下载地址,写入车联网设备。
9.根据权利要求7所述的方法,其特征在于,所述安全域的域CA证书列表包括:车联网互通时其他安全域需要的CA证书链。
10.根据权利要求7所述的方法,其特征在于,所述域锚点证书为自签名的根公钥证书,或者,所述域锚点证书为非自签名的公钥证书。
11.根据权利要求7所述的方法,其特征在于,所述接收可信安全域锚点证书列表颁发实体发送的安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址之前,所述方法还包括:
向可信安全域锚点证书列表颁发实体发送所述安全域管理实体所属安全域的域锚点证书,以及,所述安全域管理实体所属安全域的域CA证书列表的下载地址,以由所述可信安全域锚点证书列表颁发实体生成安全域锚点证书列表。
12.根据权利要求7所述的方法,其特征在于,所述方法还包括:
利用域锚点证书对应的私钥对域CA证书列表进行数字签名。
13.一种证书管理方法,应用于车联网设备,其特征在于,包括:
接收安全域管理实体写入的安全域锚点证书列表的签名证书以及安全域锚点证书列表的下载地址;
其中,所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址。
14.根据权利要求13所述的方法,其特征在于,所述方法还包括:
根据所述安全域锚点证书列表的下载地址,下载所述安全域锚点证书列表;
利用所述安全域锚点证书列表的签名证书验证下载的所述安全域锚点证书列表。
15.根据权利要求13所述的方法,其特征在于,所述方法还包括:
接收安全域管理实体写入的所述安全域管理实体所属安全域的域锚点证书以及所述安全域管理实体所属安全域的域CA证书列表的下载地址。
16.根据权利要求15所述的方法,其特征在于,所述方法还包括:
根据所述域CA证书列表的下载地址,下载所述域CA证书列表;
利用所述域锚点证书验证下载的所述域CA证书列表的数字签名。
17.根据权利要求14所述的方法,其特征在于,所述方法还包括:
根据所述安全域锚点证书列表包含的域CA证书列表的下载地址,下载所述域CA证书列表;
利用所述安全域锚点证书列表包含的域锚点证书验证下载的所述域CA证书列表的数字签名。
18.根据权利要求16或17所述的方法,其特征在于,所述方法还包括:
根据所述域CA证书列表,验证所述车联网设备接收到的其他安全域的公钥证书;
使用通过验证的公钥证书验证其他安全域的车联网设备发送的消息的数字签名。
19.一种证书管理装置,应用于可信安全域锚点证书列表颁发实体,其特征在于,包括:
生成模块,用于生成安全域锚点证书列表,所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址;
第一发送模块,用于将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址发送给安全域管理实体,以由所述安全域管理实体将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址写入车联网设备。
20.一种可信安全域锚点证书列表颁发实体,包括:收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;其特征在于,所述收发机在处理器的控制下接收和发送数据,所述处理器用于读取存储器中的程序,执行下列操作:
生成安全域锚点证书列表,所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址;
将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址发送给安全域管理实体,以由所述安全域管理实体将所述安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址写入车联网设备。
21.根据权利要求20所述的可信安全域锚点证书列表颁发实体,其特征在于,所述安全域的域CA证书列表包括:车联网互通时其他安全域需要的CA证书链。
22.根据权利要求20所述的可信安全域锚点证书列表颁发实体,其特征在于,所述域锚点证书为自签名的根公钥证书,或者,所述域锚点证书为非自签名的公钥证书。
23.根据权利要求20所述的可信安全域锚点证书列表颁发实体,其特征在于,所述处理器还用于读取存储器中的程序,执行下列操作:
接收安全域管理实体发送的所述安全域管理实体所属安全域的域锚点证书,以及,所述安全域管理实体所属安全域的域CA证书列表的下载地址;
根据所述域锚点证书和域CA证书列表的下载地址,生成所述安全域锚点证书列表。
24.根据权利要求20所述的可信安全域锚点证书列表颁发实体,其特征在于,所述处理器还用于读取存储器中的程序,执行下列操作:
利用与所述安全域锚点证书列表的签名证书对应的私钥对所述安全域锚点证书列表进行数字签名。
25.根据权利要求24所述的可信安全域锚点证书列表颁发实体,其特征在于,所述处理器还用于读取存储器中的程序,执行下列操作:
将签名后的安全域锚点证书列表发送给安全域管理实体,或者,将签名后的安全域锚点证书列表发送给可信证书列表发布设备。
26.一种证书管理装置,应用于安全域管理实体,其特征在于,包括:
第一接收模块,用于接收可信安全域锚点证书列表颁发实体发送的安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址;所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址;
第一写入模块,用于将所述安全域锚点证书列表的签名证书以及所述安全域锚点证书列表的下载地址,写入车联网设备。
27.一种安全域管理实体,包括:收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;其特征在于,所述收发机在处理器的控制下接收和发送数据,所述处理器用于读取存储器中的程序,执行下列操作:
接收可信安全域锚点证书列表颁发实体发送的安全域锚点证书列表的签名证书和所述安全域锚点证书列表的下载地址;所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址;
将所述安全域锚点证书列表的签名证书以及所述安全域锚点证书列表的下载地址,写入车联网设备。
28.根据权利要求27所述的安全域管理实体,其特征在于,所述处理器还用于读取存储器中的程序,执行下列操作:
将所述安全域管理实体所属安全域的域锚点证书以及所述安全域管理实体所属安全域的域CA证书列表的下载地址,写入车联网设备。
29.根据权利要求27所述的安全域管理实体,其特征在于,所述安全域的域CA证书列表包括:车联网互通时其他安全域需要的CA证书链。
30.根据权利要求27所述的安全域管理实体,其特征在于,所述域锚点证书为自签名的根公钥证书,或者,所述域锚点证书为非自签名的公钥证书。
31.根据权利要求27所述的安全域管理实体,其特征在于,所述处理器还用于读取存储器中的程序,执行下列操作:
向可信安全域锚点证书列表颁发实体发送所述安全域管理实体所属安全域的域锚点证书,以及,所述安全域管理实体所属安全域的域CA证书列表的下载地址,以由所述可信安全域锚点证书列表颁发实体生成安全域锚点证书列表。
32.根据权利要求27所述的安全域管理实体,其特征在于,所述处理器还用于读取存储器中的程序,执行下列操作:
利用域锚点证书对应的私钥对域CA证书列表进行数字签名。
33.一种证书管理装置,应用于车联网设备,其特征在于,包括:
第二接收模块,用于接收安全域管理实体写入的安全域锚点证书列表的签名证书以及安全域锚点证书列表的下载地址;
其中,所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址。
34.一种车联网设备,包括:收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;其特征在于,所述收发机在处理器的控制下接收和发送数据,所述处理器用于读取存储器中的程序,执行下列操作:
接收安全域管理实体写入的安全域锚点证书列表的签名证书以及安全域锚点证书列表的下载地址;
其中,所述安全域锚点证书列表包括:至少两个安全域的域锚点证书,以及,所述安全域的域证书颁发机构CA证书列表的下载地址。
35.根据权利要求34所述的车联网设备,其特征在于,所述处理器还用于读取存储器中的程序,执行下列操作:
根据所述安全域锚点证书列表的下载地址,下载所述安全域锚点证书列表;
利用所述安全域锚点证书列表的签名证书验证下载的所述安全域锚点证书列表。
36.根据权利要求34所述的车联网设备,其特征在于,所述处理器还用于读取存储器中的程序,执行下列操作:
接收安全域管理实体写入的所述安全域管理实体所属安全域的域锚点证书以及所述安全域管理实体所属安全域的域CA证书列表的下载地址。
37.根据权利要求36所述的车联网设备,其特征在于,所述处理器还用于读取存储器中的程序,执行下列操作:
根据所述域CA证书列表的下载地址,下载所述域CA证书列表;
利用所述域锚点证书验证下载的所述域CA证书列表的数字签名。
38.根据权利要求35所述的车联网设备,其特征在于,所述处理器还用于读取存储器中的程序,执行下列操作:
根据所述安全域锚点证书列表包含的域CA证书列表的下载地址,下载所述域CA证书列表;
利用所述安全域锚点证书列表包含的域锚点证书验证下载的所述域CA证书列表的数字签名。
39.根据权利要求37或38所述的车联网设备,其特征在于,所述处理器还用于读取存储器中的程序,执行下列操作:
根据所述域CA证书列表,验证所述车联网设备接收到的其他安全域的公钥证书;
使用通过验证的公钥证书验证其他安全域的车联网设备发送的消息的数字签名。
40.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的证书管理方法的步骤;或者,所述计算机程序被处理器执行时实现如权利要求7至12中任一项所述的证书管理方法的步骤;或者,所述计算机程序被处理器执行时实现如权利要求13至18中任一项所述的证书管理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010165251.0A CN113395160B (zh) | 2020-03-11 | 2020-03-11 | 证书管理方法、装置、颁发实体、管理实体及车联网设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010165251.0A CN113395160B (zh) | 2020-03-11 | 2020-03-11 | 证书管理方法、装置、颁发实体、管理实体及车联网设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113395160A true CN113395160A (zh) | 2021-09-14 |
| CN113395160B CN113395160B (zh) | 2022-11-01 |
Family
ID=77615309
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010165251.0A Active CN113395160B (zh) | 2020-03-11 | 2020-03-11 | 证书管理方法、装置、颁发实体、管理实体及车联网设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113395160B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114374516A (zh) * | 2021-12-02 | 2022-04-19 | 北京数字认证股份有限公司 | 证书吊销列表分发方法、设备及存储介质、服务器、车联网设备 |
| CN115378737A (zh) * | 2022-10-24 | 2022-11-22 | 中汽数据(天津)有限公司 | 跨域设备通信信任方法、装置、设备和介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101616165A (zh) * | 2009-07-28 | 2009-12-30 | 江苏先安科技有限公司 | 一种新型x509数字证书白名单发布查询验证的方法 |
| CN102088699A (zh) * | 2009-12-08 | 2011-06-08 | 中兴通讯股份有限公司 | 一种基于信任列表的系统及方法 |
| WO2012131029A1 (en) * | 2011-03-30 | 2012-10-04 | Act Wireless Ltd | Vehicle usage verification system |
| CN110535665A (zh) * | 2019-09-30 | 2019-12-03 | 恒宝股份有限公司 | 一种在线签发同根证书的方法、装置及系统 |
| CN110769001A (zh) * | 2019-11-01 | 2020-02-07 | 北京天融信网络安全技术有限公司 | 一种跨域认证方法和跨域访问方法 |
| CN110855442A (zh) * | 2019-10-10 | 2020-02-28 | 北京握奇智能科技有限公司 | 一种基于pki技术的设备间证书验证方法 |
-
2020
- 2020-03-11 CN CN202010165251.0A patent/CN113395160B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101616165A (zh) * | 2009-07-28 | 2009-12-30 | 江苏先安科技有限公司 | 一种新型x509数字证书白名单发布查询验证的方法 |
| CN102088699A (zh) * | 2009-12-08 | 2011-06-08 | 中兴通讯股份有限公司 | 一种基于信任列表的系统及方法 |
| WO2012131029A1 (en) * | 2011-03-30 | 2012-10-04 | Act Wireless Ltd | Vehicle usage verification system |
| CN110535665A (zh) * | 2019-09-30 | 2019-12-03 | 恒宝股份有限公司 | 一种在线签发同根证书的方法、装置及系统 |
| CN110855442A (zh) * | 2019-10-10 | 2020-02-28 | 北京握奇智能科技有限公司 | 一种基于pki技术的设备间证书验证方法 |
| CN110769001A (zh) * | 2019-11-01 | 2020-02-07 | 北京天融信网络安全技术有限公司 | 一种跨域认证方法和跨域访问方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114374516A (zh) * | 2021-12-02 | 2022-04-19 | 北京数字认证股份有限公司 | 证书吊销列表分发方法、设备及存储介质、服务器、车联网设备 |
| CN114374516B (zh) * | 2021-12-02 | 2022-10-21 | 北京数字认证股份有限公司 | 证书吊销列表分发方法、设备及存储介质、服务器、车联网设备 |
| CN115378737A (zh) * | 2022-10-24 | 2022-11-22 | 中汽数据(天津)有限公司 | 跨域设备通信信任方法、装置、设备和介质 |
| CN115378737B (zh) * | 2022-10-24 | 2023-01-10 | 中汽数据(天津)有限公司 | 跨域设备通信信任方法、装置、设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113395160B (zh) | 2022-11-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109788482B (zh) | 一种车联网环境下车辆间的消息匿名认证方法及系统 | |
| KR101837338B1 (ko) | Vanet을 위한 클라우드 지원 조건부 프라이버시를 보호하는 인증 방법 및 시스템 | |
| WO2015080108A1 (ja) | プログラム更新システム及びプログラム更新方法 | |
| Gisdakis et al. | SEROSA: SERvice oriented security architecture for Vehicular Communications | |
| CN109756336B (zh) | 一种认证方法、v2x计算系统及v2x计算节点 | |
| CN110365486B (zh) | 一种证书申请方法、装置及设备 | |
| CN113395160B (zh) | 证书管理方法、装置、颁发实体、管理实体及车联网设备 | |
| CN113271565B (zh) | 车辆的通信方法、装置、存储介质及程序产品 | |
| JP2017120984A (ja) | 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム | |
| CN115694891B (zh) | 一种基于中央计算平台的路侧设备通信系统及方法 | |
| Förster et al. | Rewire–revocation without resolution: A privacy-friendly revocation mechanism for vehicular ad-hoc networks | |
| CN116390090A (zh) | 一种设备认证方法、装置、设备及存储介质 | |
| CN113497707B (zh) | 一种应用证书申请方法及装置 | |
| CN113765667B (zh) | 一种匿名证书申请、设备认证方法、设备、装置及介质 | |
| CN114374516B (zh) | 证书吊销列表分发方法、设备及存储介质、服务器、车联网设备 | |
| CN115412907B (zh) | 基于区块链的VANETs匿名认证方法、装置和设备 | |
| CN116828451A (zh) | 基于区块链的网联车队身份认证方法、装置和介质 | |
| Kleberger et al. | Protecting vehicles against unauthorised diagnostics sessions using trusted third parties | |
| CN116743387A (zh) | 一种基于区块链的车辆雾服务安全通信系统、方法及终端 | |
| CN116582288A (zh) | 基于数字证书的数据连接方法、系统及可读存储介质 | |
| CN115567221A (zh) | 一种证书分级管理方法及装置 | |
| CN113225733B (zh) | 用户识别模块、证书获取方法、装置和存储介质 | |
| CN113497708B (zh) | 一种证书申请方法及装置 | |
| Foo et al. | Security issues for future intelligent transport systems | |
| CN112448809B (zh) | 密钥配置系统及相关方法和产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |