CN113541939A - 一种车联网数字证书颁发方法和系统 - Google Patents
一种车联网数字证书颁发方法和系统 Download PDFInfo
- Publication number
- CN113541939A CN113541939A CN202110711889.4A CN202110711889A CN113541939A CN 113541939 A CN113541939 A CN 113541939A CN 202110711889 A CN202110711889 A CN 202110711889A CN 113541939 A CN113541939 A CN 113541939A
- Authority
- CN
- China
- Prior art keywords
- vehicle
- certificate
- digital certificate
- filling
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种车联网数字证书颁发的方法,包含以下步骤:向车载设备查询证书状态,根据车载设备的响应启动数字证书申请过程;读取车载设备身份信息,其中的公钥是由车载设备中的安全模块提供的;将所述公钥和车载设备身份信息发送至PKI服务器,以使所述PKI服务器根据所述公钥和所述车载设备身份信息生成所述数字证书;获取所述数字证书,将所述数字证书灌装到所述车载设备中。本申请还包含用于实现所述方法的设备和系统。本申请解决车联网领域数字证书的安全下载问题,尤其是,能够在车联网车辆未出厂前完成数字证书的申请和下载。
Description
技术领域
本申请涉及车辆网技术领域,尤其涉及一种数字证书颁发的方法及装置。
背景技术
车联网是指借助新一代信息和通信技术,实现车内、车与人、车与车、车与路、车与服务平台的全方位网络连接,提升汽车智能化水平和自动驾驶能力,构建汽车和交通服务新业态,从而提高交通效率,改善汽车驾乘感受,为用户提供智能、舒适、安全、节能、高效的综合服务。随着时代的发展,智能化、车联网化成为必然的趋势。
近几年,车联网安全事件频发,安全威胁逐步升级,各种针对性的网络攻击,从感知层的各路传感器信号被攻破,到利用处于中间通信层和计算层的车载网络和车载设备漏洞攻击,实现远程控制车辆,近来针对用户数据和隐私信息窃取也日益增多,车联网的安全问题随着技术的进步越发引起世人关注。
将现有的数字证书技术应用于车联网中极大的提升了车联网系统的安全性。现有的车联网数字证书都是在车辆投入市场后将车辆中的VIN码(包含车辆的生产厂家、年代、车型、车身型式及代码、发动机代码及组装地点等信息)等设备信息通过互联网或企业网络连接PKI证书服务器进行在线申请及下载的。为保证产生数字证书的安全性,这就要求向终端颁发数字证书的过程必须是安全可靠的,增加了认证及提升网络传输安全的操作,导致证书下载复杂,用户体验较差。
发明内容
本申请提出一种车联网数字证书颁发方法和系统,解决车联网领域数字证书的安全下载问题,尤其是,能够在车联网车辆未出厂前完成数字证书的申请和下载,确保证书下载的安全性、便捷性,提升用户体验。
第一方面,本申请提出一种车联网数字证书颁发的方法,通过灌装工具实施,包括以下步骤:
向车载设备查询证书状态,根据车载设备的响应启动数字证书申请过程;
获取车载设备身份信息,其中用于数字证书申请的公钥是由车载设备中的安全模块提供的;
将所述公钥和车载设备身份信息发送至PKI服务器,以使所述PKI服务器根据所述公钥和所述车载设备身份信息生成所述数字证书;
获取所述数字证书,将所述数字证书灌装到所述车载设备中。
所述车载设备包含以下至少一种装置:车载网关、TBox、ECU、HU、导航装置。
优选地,所述车载设备身份信息包括以下至少一种:VIN,VIN+,MSISDN,IMSI,ICCID。
优选地,所述灌装工具基于UDS协议与所述车载设备通讯,完成UDS认证和指令交互。
优选地,PKI服务器生成数字证书的条件包括:与PKI服务器连接的TSP平台包含所述车载设备信息。
优选地,本申请的方法还包含以下步骤:
生成运行所述灌装工具的硬件的特征码;向PKI服务器发送所述特征码,以使所述PKI服务器生成通信证书;获取所述通信证书。
进一步地,还包含以下步骤:
提取硬件特征、计算特征码,与所述通信证书中的特征码相比较,二者相同则所述灌装工具继续运行,否则停止运行。
第二方面,本申请提出一种车联网数字证书颁发的系统,包含至少1个灌装设备、至少1个车载设备。
所述车载设备,用于接收所述灌装设备发送的证书申请指令,并通过内部的安全模块产生、存储公私密钥对、存储数字证书。
所述灌装设备,用于将所述公钥和所述车载终端身份信息发送至PKI服务器,以使PKI服务器根据所述公钥和所述车载终端身份信息生成所述数字证书;还用于获取所述认证中心生成的所述数字证书。所述灌装设备与车载设备通过USB-OBD线连接,基于UDS协议进行通信,完成UDS认证和指令交互;所述灌装设备与PKI证书服务器通过网络连接通信。
进一步地,所述车联网数字证书颁发系统还包含以下至少1种服务器:与所述灌装设备通过网络接口连接的PKI服务器、KMS服务器,连接于所述PKI服务器的TSP平台。
第三方面,本申请还提出一种灌装设备,用于实现本申请第一方面的任意一个实施例所述方法,包括:人机操作界面、UDS协议模块、处理器、网络接口、车载终端接口;所述人机操作界面、UDS协议模块、网络接口、车载终端接口均与处理器相连。
所述人机操作界面,用于识别用户输入指令、显示处理结果,例如,启动证书申请、显示证书申请处理进度和结果。
所述UDS协议模块,用于在所述灌装设备和车载设备通信过程中完成UDS认证和指令交互。
所述网络接口,用于连接PKI服务器和/或KMS服务器,接收来自所述PKI服务器的数字证书信号。
所述车载终端接口,用于通过USB-OBD线连接车载终端。
所述处理器,用于接收来自所述车载终端的信息并通过所述网络接口输出。通过所述处理器识别来自所述车载终端的信息、生成数字证书请求;通过所述处理器识别来自PKI服务器端的信息,获得所述数字证书。
第四方面,本申请还提出一种车载设备,用于实现本申请第一方面的任意一个实施例所述方法,包括远程信息处理模块(TBOX)、安全模块;所述车载设备能够连接本申请任意一个实施例所述的灌装设备。
所述安全模块,用于生成公私密钥对和/或发出生成密钥对的请求,还用于存储公私密钥对以及数字证书;
所述远程信息处理模块,用于生成和发送车载终端身份信息、接收来自所述灌装设备的数字证书信号。
本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:
本申请公开一种新的灌装设备,能够代理执行证书申请流程,进一步地,还可以通过UDS与车载设备通信,实现不同厂家和车型适配;对车载设备也可进行改造,例如在现有技术的远程信息处理模块(TBOX)基础上增加安全模块(SDK),密钥对在SDK内产生,私钥不导出,安全性高;
本申请提升车联网领域数字证书下载的安全性、便捷性,提升了用户体验。尤其是使用本申请的系统和方法,证书申请及下载流程可在在工厂生产阶段完成。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请数字证书颁发系统示意图;
图2为本申请系统中,灌装设备的实施例示意图;
图3为本申请系统中,车载设备的实施例示意图;
图4为本申请方法的实施例流程图;
图5为本申请方法的另一实施例流程图;
图6为本申请方法中数字证书申请过程的实施例流程图;
图7为本申请方法中通信证书签发和校验过程的实施例流程图;
图8为本申请方法中密钥对生成过程的实施例流程图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
以下结合附图,详细说明本申请各实施例提供的技术方案。
图1为本申请数字证书颁发系统示意图。
本申请提出一种车联网数字证书颁发的系统,包含灌装设备1、车载设备2。
所述车载设备,用于接收所述灌装设备发送的数字证书,所述数字证书和公钥、车载设备身份信息相对应,还用于存储所述数字证书;其中,所述公钥为所述车载设备发送给所述灌装设备的。
所述灌装设备,用于将所述公钥和所述车载设备身份信息发送至认证中心(例如PKI服务器3),以使所述认证中心根据所述公钥和所述车载终端身份信息生成所述数字证书;还用于获取所述认证中心生成的所述数字证书。
所述灌装设备与车载设备通过USB-OBD线连接,基于UDS协议进行通信,完成UDS认证和指令交互;所述灌装设备与PKI证书服务器通过网络连接通信。
进一步地,所述车载设备中包含安全模块,还用于生成公私密钥对、存储密钥对、存储数字证书。
或者,进一步地,所述车载设备,还用于发出生成密钥对的请求,接收包含加密后的密钥对的文件并提取所述密钥对;所述密钥对,包含所述公钥和私钥。
优选地,所述灌装设备,还用于向KMS服务器4转发所述生成密钥对的请求,接收所述包含加密后的密钥对的文件,并转发到所述车载设备。
需要说明的是,这里的“密钥对”可以是对称密钥,也可以是非对称密钥。
在本申请第一方面系统的任意一个实施例中,优选地,在设定条件下,所述灌装设备将所述公钥和所述TBOX车载终端身份信息发送至认证中心。所述设定条件,包括以下至少一种:截止时间;所述认证中心基于通信证书标识所述灌装设备;所述车载设备未存储和/或未申请过所述数字证书。
进一步优选地,灌装设备与车载设备连接后如果基于UDS协议与车通信,按照UDS协议的要求,首先需要认证。所述灌装设备支持认证过程,在实现与车通过OBD口指令交互之前,先完成车对灌装设备的认证流程,认证后方实现指令交互。
进一步优选地,灌装设备向所述车载设备发送所述绑定信息,执行灌装过程之前,通过通信证书对计算机硬件进行校验,校验过程可以由灌装设备运行,也可由车载设备运行,如实施例步骤705~708。
需要说明的是,利用该通信证书一方面能够保护传输到PKI的数据,另一方面,当灌装工具软件运行时能够通过通信证书验证所在的硬件是否被授权。
图2为本申请系统中,灌装设备的实施例示意图。
本申请还提出一种灌装设备1,用于本申请任意一个实施例所述方法或系统,所述灌装设备包括:人机操作界面11、UDS协议模块12、处理器13、网络接口14、车载终端接口15。所述人机操作界面、UDS协议模块、网络接口、车载终端接口与处理器相连。
所述人机操作界面,用于识别用户输入指令、显示处理结果。输入指令,例如可以包括:查询车载终端数据指令、申请数字证书指令、申请对称密钥指令、数字证书下载指令、数字证书灌装指令、密钥文件下载指令、密钥文件灌装指令。处理结果,例如可以包含数字证书申请成功/失败、下载成功/失败、灌装成功/失败的指示。通过人机操作界面启动证书申请,显示证书申请处理进度、处理结果。
界面包含:证书申请按钮,点击此按钮可启动证书灌装流程;具有显示证书申请处理进度的进度条,可显示证书处理进度百分比。
并在证书申请完成后显示数字证书申请成功/失败、下载成功/失败、灌装成功/失败的指示。
灌装工具具有运行日志及故障码显示框,可实现运行日志及故障码的实时显示。
此外,人机操作界面还支持工具参数配置,可设置与车载设备的连接、断开。并可对与之连接的PKI服务器端参数、证书申请类型参数进行配置。
灌装工具还支持对称密钥对生成,证书更新等功能,都提供相应的人机操作界面进行实现。
其中配置PKI服务器参数及证书申请参数,所述参数例如可以包括:
PKI服务器IP地址,PKI服务器端口、证书类型编码等。
灌装工具还可通过PKI管理员为灌装工具执行通信证书申请,该证书通常是pfx格式,该通信证书申请成功后可完成导入,导入到灌装工具安装程序所在目录下,以文件形式进行保存。
所述UDS协议模块,用于在所述灌装设备和车载设备通信过程中完成UDS认证和指令交互。
当车端OBD口有设备接入时,该设备需要与车端认证。UDS协议模块,是专用于执行UDS指令适配程序的功能模块。因为不同车型对UDS协议使用的指令矩阵定义及交互认证过程不同,UDS指令适配程序实现与不同车企定义的UDS指令对接的过程。这样,根据车企自定义USD指令,灌装设备实施对应的指令对接,实现与车载设备的通信。
所述网络接口,用于连接PKI服务器和/或KMS服务器。
所述车载终端接口,用于通过USB-OBD线16连接车载终端。选用USB-OBD线通过OBD口连接车辆。
所述处理器,用于识别来自所述车载终端的信息、生成数字证书请求。所述处理器是灌装工具的运行模块。其中,灌装工具可以是软件形态,安装于电脑端。
证书申请功能:连接PKI服务,使用从车载终端获取到的信息来申请数字证书,还可通过此种方式完成根证书灌装、二级认证等。
UDS通讯功能:基于UDS协议与车载设备通讯,完成UDS认证及业务数据交互流程。作为本申请的最佳实施例,灌装工具需要嵌入证书申请程序及UDS指令适配程序,基于UDS协议与车载设备(如TBox/HU/车载网关/导航)之间通信,并通过网络连接PKI服务器进行证书申请,灌装工具可与车载终端的TBox若干次交互来完成证书灌装业务,也可根据业务需求,对车载设备进行证书更新,流程基本相同,都是通过车载设备与灌装工具指令交互实现的。
通过该工具及方法在智能车辆产线阶段即可实现对车辆进行证书灌装,具体可支持密钥对生成过程、申请证书过程、证书灌装过程。
图3为本申请系统中,车载设备的实施例示意图。
本申请还提出一种车载设备2,用于本申请的任意一个实施例所述系统,包括远程信息处理模块21、安全模块22。
本申请中的车载设备与现有技术不同,需要对现有技术的TBox进行改造,在内部预置安全组件SDK。例如,本申请的安全模块,是运行所述安全组件的功能模块,安全组件SDK以库的形式部署在设备应用目录中,支撑TBox应用配合完成证书灌装。该安全组件具体功能为:产生和存储公私密钥对、生成证书申请信息、存储数字证书。
具体地,
所述安全模块,用于生成非对称密钥对和/或发出生成对称密钥的请求;
所述远程信息处理模块,用于读取和发送所述车载设备身份信息、产生证书申请的其他数据、存储所述数字证书。
本申请的车载设备是以下至少一种:车载网关、TBox、ECU、HU、导航装置。
本申请的车载设备身份信息,包括但不限于以下信息:车辆标识(Vehicleidentification number,VIN或VIN+)码、国际移动用户综合业务数字网(Mobilesubscriber international integrated service digital network,MISSDN)、国际移动用户识别(International mobile subscriber identification number,IMSI)码和集成电路卡识别(Integrate circuit card identity,ICCID)码。
图4为本申请方法的实施例流程图。
本申请还提出一种车联网数字证书颁发的方法,用于实施本申请的任意一个实施例所述系统,包含以下步骤:
步骤401、所述车载设备,向所述灌装设备发送申请数字证书请求;所述申请数字证书请求中,包含公钥和车载终端身份信息;
步骤402、所述灌装设备,将所述公钥和所述车载终端身份信息发送至认证中心,以使所述认证中心根据所述公钥和所述车载终端身份信息生成所述数字证书;获取所述认证中心生成的所述数字证书;
步骤403、所述车载设备接收所述灌装设备发送的与所述公钥、车载终端身份信息相对应的数字证书,导入并存储所述数字证书。
本申请通过电脑端安装灌装工具软件与车载设备及PKI服务器进行数据交互,在智能车辆产线阶段即可完成。
图5为本申请方法的另一实施例流程图。
进一步地,还包含以下步骤:
步骤501、所述车载设备,发出生成密钥对的请求;
步骤502、所述灌装设备,向KMS服务器转发所述生成非对称密钥对的请求,接收所述包含加密后的密钥对的文件,并转发到所述车载设备;
步骤503、所述车载设备,接收包含加密后的密钥对的文件并提取所述密钥对;所述非对称密钥对,包含用于数字证书申请的所述公钥和所述私钥。
需要说明的是,当使用KMS服务器生成而不是车载终端自行生成的证书申请公私密钥对,步骤501~503应在实施步骤401~403之前完成。
图6为本申请方法中数字证书申请过程的实施例流程图。
本申请的方法是通过灌装工具软件来实施的,灌装设备与车载设备具体交互流程,包含以下步骤601~611:
步骤601、灌装设备发送证书状态查询指令(指令1)给车载设备(例如TBox);
步骤602、车载设备查询设备证书状态,将状态返回给灌装设备;
步骤603、灌装设备读取返回的状态信息,如状态为无数字证书,则确认未申请,进入步骤604,如状态为有数字证书则停止交互;
步骤604、发送车载设备身份信息(例如车载设备序列号)查询指令(指令2)给车载设备;
步骤605、车载设备查询设备身份信息(车载设备序列号)并将信息返回给灌装设备;
步骤606、灌装设备发送证书申请指令(指令3);
步骤607、车载设备调用公私钥生成函数,获取公钥和私钥,储存私钥,将生成的公钥及设备序列号信息返回给灌装设备。
一个可选的方案是,安全模块(SDK)内部生成非对称密钥对,基于此非对称密钥对来产生证书申请数据,这时,是通过车载终端中的功能模块生成证书申请的密钥对并存储的,安全性较高;
另一个可选的方案是,所述公私钥生成函数发出密钥对生成请求,通过外部设备生成密钥对,再反馈至所述车载设备内部存储。
步骤608、灌装设备接收上述信息,并通过网络传输给PKI证书服务器;
所述车载设备,向所述灌装设备发送申请数字证书请求;所述申请数字证书请求中,包含公钥和TBOX身份信息;
灌装设备与车载设备交互过程中,获取了车载设备身份信息,包含但不限于以下至少一项信息:VIN(根据具体业务需要该设备序列号可能是车载设备序列号,也可能是VIN+车载设备序列号)、MISSDN、IMSI、ICCID。
此外,在部分类型的数字证书申请过程中,车载设备端将产生的公钥构造PKCS#10证书,将公钥以PKCS#10证书的形式结合其他设备身份信息处理成数字证书请求报文数据传输给PKI服务器端进行证书申请。
申请证书时,是将所述身份信息填写到待申请的证书主题中,证书被PKI服务器签发后,就完成了设备与证书的绑定。私钥保存在车载设备中,公钥被设备提供出来,用于签发证书。
步骤609、PKI证书服务器端生成证书反馈给灌装设备;
在步骤608中,所述灌装设备,将所述公钥和所述车载设备身份信息发送至认证中心,以使所述认证中心根据所述公钥和所述车载设备身份信息生成所述数字证书;在步骤609中,所述灌装设备获取所述认证中心生成的所述数字证书;
步骤610、灌装设备发送证书数据给车载设备(指令4);
步骤611、车载设备导入和存储数字证书。
在步骤611中,所述车载设备调用证书导入函数完成证书导入,并将证书在车载设备内存储模块完成存储,将导入成功的信息反馈给灌装设备,并完成设备证书灌装状态的更新。
存储所述数字证书的存储模块,例如可以在SDK中,也可以在TBOX中。
优选地,在本申请的方法中,如本申请设备和系统的实施例所述,灌装工具基于UDS协议与所述车载设备通讯,完成UDS认证和指令交互。
图7为本申请方法中通信证书签发和校验过程的实施例流程图。
在实施例步骤608~609中,优选地,PKI服务器生成数字证书的条件包括:TSP平台包含所述车载设备信息。为此,所述PKI服务器具体还可验证车辆硬件参数信息。PKI后台根据配置,可以选择是否需访问业务系统比如TSP服务器,确定是否需要对设备进行身份验证,一般地,通过TSP提供白名单服务,只允许给TSP已知的设备签发证书。例如,PKI证书连接TSP平台,此时TSP属于服务端支撑制证系统,主要负责创建证书白名单,白名单是车厂业务部门将要出厂的车辆和/或车载设备信息通过某一业务系统事先上传到TSP的,以实现只给事先在TSP端备案的设备签发数字证书。为此,车辆和/或车载设备信息需要事先同步到TSP系统中。
在步骤608~609的灌装设备与PKI服务器交互之前,PKI系统为灌装设备签发通信证书,用来保护PKI服务器与灌装设备之间的网络通信安全,同时基于通信证书来标识灌装设备身份。通信证书采用基于文件的软证书,存在被复制和盗用的风险,为了降低这个风险,在灌装设备中,需要建立通信证书与灌装设备的特征信息(例如运行灌装工具的电脑硬件特征)的绑定机制。在灌装设备运行过程中,检测电脑硬件特征与是否与通信证书匹配,以确保系统安全。
为此,本申请的方法还包含通信证书签发的步骤,以实现:
生成运行所述灌装工具的硬件的特征码;向PKI服务器发送所述特征码,以使所述PKI服务器生成通信证书;获取所述通信证书。进一步地,本申请的方法还包含通信证书校验的步骤,以实现:提取硬件特征、计算特征码,与所述通信证书中的特征码相比较,二者相同则所述灌装工具继续运行,否则停止运行。
具体地,通信证书签发过程实施例如下(701~704):
步骤701、灌装设备提取硬件特征;
例如,灌装工具提取灌装设备中的CPUID(CPU唯一标识)和/或网卡MAC地址,作为硬件特征。
步骤702、计算硬件特征码HF;
例如,所述灌装工具以硬件特征数据为输入参数,计算哈希值。
步骤703、发送通信证书请求,包含硬件特征码;
向PKI服务器发出通信证书请求,使服务器生成通信证书。所述通信证书中包含了步骤702中的硬件特征码。
步骤704、导入通信证书;
通信证书由灌装设备存储在灌装工具程序文件所在的目录下,还可存储在车载设备、或其他用于实施通信证书匹配校验的设备中。
具体地,通信证书匹配校验过程实施例如下(705~708):
步骤705、用于校验的设备获取硬件特征;
用于校验的设备从与之连接的灌装设备获取硬件特征。当灌装设备包含处理器时,所述硬件特征可包含CPUID,当灌装设备包含网络接口时,所述硬件特征还可包含网络接口的MAC地址。
在步骤705中,在通信过程中,执行校验的设备应自灌装设备中实时获取硬件特征。执行校验的装置通常是灌装工具,由灌装工具验证电脑硬件特征是否与通信证书匹配,防止软件形态的灌装工具被复制或盗用。此外,执行校验的装置还可以是PKI服务器、KMS服务器、车载设备或灌装设备中运行灌装工具的处理器。
步骤706、计算硬件特征码HF;
执行校验的设备,根据实时获取的硬件特征计算硬件特征码;
步骤707、解析通信证书中的特征码得到HF-C;
执行校验的设备,根据储存的通信证书,解析取得特征码HF-C;
步骤708、计算的硬件特征码HF与通信证书中解析的特征码HF-C相同,则执行数字证书灌装过程;否则拒绝执行数字证书申请流程。
图8为本申请方法中对称密钥生成过程的实施例流程图。
进一步地,本申请实施例还包含通过灌装设备协助生成对称密钥的过程。一方面为方便车联网系统对车载设备或车辆的统一管理,且可用于传输数据的线路保护。现有的ECU不能各自产生对称密钥,另一方面,如果车内ECU直接连接车联网KMS(密钥管理系统)申请产生对称密钥,ECU需要主动连接KMS来获取对称密钥。
本实施例中,通过灌装设备协助产生对称密钥流程,包括灌装设备连接KMS,KMS产生密钥对,罐装给车内的ECU。具体包含以下步骤:
步骤801、灌装设备向信任中心的KMS服务器发送对称密钥生成请求;
对称密钥生成请求可以来自车载终端的安全模块,此时,灌装设备向KMS服务器转发对称密钥生成请求;
可选地,灌装设备代为生成指定车型的对称密钥生成请求,发送到KMS服务器。
步骤802、KMS服务器生成对称密钥并储存;
所述对称密钥储存在KMS服务器或信任中心的其他本地数据库。
步骤803、下载加密后的对称密钥;
灌装设备按设定地址下载对称密钥,获得加密的数据文件。下载时,获得的对称密钥已经私有算法加密。
步骤804、向车载设备灌装对称密钥文件;
所述灌装设备向车载设备发出灌装对称密钥的指令;所述车载设备处理灌装指令将密钥存储到约定的路径,返回灌装指令相应结果。
步骤805、对称密钥存储和解密;
所述车载设备使用设定的密钥存储路径初始化SDK库,调用SDK库,使用私有算法从密钥文件中提取对称密钥。当使用时,调用SDK库使用对称密钥进行数据传送和处理。
此外,灌装工具还可实现证书更新功能,交互流程不一一赘述。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (9)
1.一种车联网数字证书颁发的方法,通过灌装工具实施,其特征在于,包括以下步骤:
向车载设备查询证书状态,根据车载设备的响应启动数字证书申请过程;
获取车载设备身份信息,其中用于数字证书申请的公钥是由车载设备中的安全模块提供的;
将所述公钥和车载设备身份信息发送至PKI服务器,以使所述PKI服务器根据所述公钥和所述车载设备身份信息生成所述数字证书;
获取所述数字证书,将所述数字证书灌装到所述车载设备中。
2.如权利要求1所述方法,其特征在于,
基于UDS协议与所述车载设备通讯,完成UDS认证和指令交互。
3.如权利要求1所述方法,其特征在于,
PKI服务器生成数字证书的条件包括:与PKI服务器连接的TSP平台包含所述车载设备信息。
4.如权利要求1所述方法,其特征在于,还包含以下步骤:
生成运行所述灌装工具的硬件的特征码;向PKI服务器发送所述特征码,以使所述PKI服务器生成通信证书;获取所述通信证书。
5.如权利要求4所述方法,其特征在于,还包含以下步骤:
提取硬件特征、计算特征码,与所述通信证书中的特征码相比较,二者相同则所述灌装工具继续运行,否则停止运行。
6.一种车联网数字证书颁发的系统,其特征在于,包含灌装设备、车载设备;
所述车载设备,用于接收所述灌装设备发送的证书申请指令,并通过内部的安全模块产生、存储公私密钥对,存储数字证书。
所述灌装设备,用于将所述公钥和所述车载终端身份信息发送至PKI服务器,以使所述PKI服务器根据所述公钥和所述车载终端身份信息生成所述数字证书;还用于获取所述认证中心生成的所述数字证书;
所述灌装设备与车载设备通过USB-OBD线连接,基于UDS协议进行通信,完成UDS认证和指令交互;所述灌装设备与PKI证书服务器通过网络连接通信。
7.如权利要求6所述系统,其特征在于,
所述车载设备是以下至少一种:车载网关、TBox、ECU、HU、导航装置。
8.一种灌装设备,用于实现权利要求1~6任意一项所述方法,其特征在于,包括:人机操作界面、UDS协议模块、处理器、网络接口、车载终端接口;所述人机操作界面、UDS协议模块、网络接口、车载终端接口均与处理器相连;
所述人机操作界面,用于启动证书申请,显示证书申请处理进度、处理结果;
所述UDS协议模块,用于在所述灌装设备和车载设备通信过程中完成UDS认证和指令交互;
所述网络接口,用于连接PKI服务器;
所述车载终端接口,用于通过USB-OBD线连接车载终端;
所述处理器,用于识别来自所述车载终端、PKI服务器端的信息、生成数字证书请求。
9.一种车载设备,用于实现权利要求1~6任意一项所述方法,其特征在于,包括远程信息处理模块、安全模块;
所述远程信息处理模块,用于生成和发送车载终端身份信息、接收来自所述灌装设备的数字证书信号。
所述安全模块,用于生成公私密钥对、存储公私密钥对以及数字证书。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110711889.4A CN113541939B (zh) | 2021-06-25 | 2021-06-25 | 一种车联网数字证书颁发方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110711889.4A CN113541939B (zh) | 2021-06-25 | 2021-06-25 | 一种车联网数字证书颁发方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113541939A true CN113541939A (zh) | 2021-10-22 |
| CN113541939B CN113541939B (zh) | 2022-12-06 |
Family
ID=78096754
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110711889.4A Active CN113541939B (zh) | 2021-06-25 | 2021-06-25 | 一种车联网数字证书颁发方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113541939B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114513315A (zh) * | 2022-04-21 | 2022-05-17 | 北京远特科技股份有限公司 | 一种车载设备信息采集的安全认证方法及系统 |
| CN115982788A (zh) * | 2022-12-16 | 2023-04-18 | 深圳市芊熠智能硬件有限公司 | 一种车牌许可证有效性验证方法及相关装置 |
| CN116094730A (zh) * | 2023-01-18 | 2023-05-09 | 中国第一汽车股份有限公司 | 一种车辆ecu数字证书申请方法及系统 |
Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001069140A (ja) * | 1999-08-30 | 2001-03-16 | Nippon Telegr & Teleph Corp <Ntt> | データ格納システム及びデータ格納プログラムを格納した記憶媒体 |
| JP2001320356A (ja) * | 2000-02-29 | 2001-11-16 | Sony Corp | 公開鍵系暗号を使用したデータ通信システムおよびデータ通信システム構築方法 |
| US6948061B1 (en) * | 2000-09-20 | 2005-09-20 | Certicom Corp. | Method and device for performing secure transactions |
| CN101305542A (zh) * | 2005-12-29 | 2008-11-12 | 中兴通讯股份有限公司 | 一种数字证书与密钥下载方法 |
| CN103166755A (zh) * | 2011-12-14 | 2013-06-19 | 卓望数码技术(深圳)有限公司 | 一种颁发移动用户身份数字证书的方法及系统 |
| US20130311772A1 (en) * | 2012-05-17 | 2013-11-21 | Zenerji Llc | Non-pki digital signatures and information notary public in the cloud |
| CN104333576A (zh) * | 2014-10-21 | 2015-02-04 | 普华基础软件股份有限公司 | 一种ecu升级装置及方法 |
| CN106027247A (zh) * | 2016-07-29 | 2016-10-12 | 宁夏丝路通网络支付有限公司北京分公司 | Pos密钥远程下发方法 |
| EP3082356A1 (en) * | 2015-04-17 | 2016-10-19 | Gemalto SA | Method to check and prove the authenticity of an ephemeral public key |
| US20160323114A1 (en) * | 2015-05-03 | 2016-11-03 | Ronald Francis Sulpizio, JR. | Temporal key generation and pki gateway |
| US20170324566A1 (en) * | 2016-05-06 | 2017-11-09 | Pacific Star Communications, Inc. | Unified encryption configuration management and setup system |
| CN111061499A (zh) * | 2019-12-31 | 2020-04-24 | 上海赫千电子科技有限公司 | 一种基于文件系统的ecu更新方法及系统 |
| CN111091430A (zh) * | 2019-11-29 | 2020-05-01 | 航天信息股份有限公司 | 一种开票二维码处理方法及系统 |
| CN111865919A (zh) * | 2020-06-16 | 2020-10-30 | 郑州信大捷安信息技术股份有限公司 | 一种基于v2x的数字证书申请方法及系统 |
| CN112766962A (zh) * | 2021-01-20 | 2021-05-07 | 中信银行股份有限公司 | 证书的接收、发送方法及交易系统、存储介质、电子装置 |
| CN112784310A (zh) * | 2019-11-04 | 2021-05-11 | 中国移动通信有限公司研究院 | 证书的管理方法、证书授权中心、管理节点及车联网终端 |
-
2021
- 2021-06-25 CN CN202110711889.4A patent/CN113541939B/zh active Active
Patent Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001069140A (ja) * | 1999-08-30 | 2001-03-16 | Nippon Telegr & Teleph Corp <Ntt> | データ格納システム及びデータ格納プログラムを格納した記憶媒体 |
| JP2001320356A (ja) * | 2000-02-29 | 2001-11-16 | Sony Corp | 公開鍵系暗号を使用したデータ通信システムおよびデータ通信システム構築方法 |
| US6948061B1 (en) * | 2000-09-20 | 2005-09-20 | Certicom Corp. | Method and device for performing secure transactions |
| CN101305542A (zh) * | 2005-12-29 | 2008-11-12 | 中兴通讯股份有限公司 | 一种数字证书与密钥下载方法 |
| CN103166755A (zh) * | 2011-12-14 | 2013-06-19 | 卓望数码技术(深圳)有限公司 | 一种颁发移动用户身份数字证书的方法及系统 |
| US20130311772A1 (en) * | 2012-05-17 | 2013-11-21 | Zenerji Llc | Non-pki digital signatures and information notary public in the cloud |
| CN104333576A (zh) * | 2014-10-21 | 2015-02-04 | 普华基础软件股份有限公司 | 一种ecu升级装置及方法 |
| EP3082356A1 (en) * | 2015-04-17 | 2016-10-19 | Gemalto SA | Method to check and prove the authenticity of an ephemeral public key |
| US20160323114A1 (en) * | 2015-05-03 | 2016-11-03 | Ronald Francis Sulpizio, JR. | Temporal key generation and pki gateway |
| US20170324566A1 (en) * | 2016-05-06 | 2017-11-09 | Pacific Star Communications, Inc. | Unified encryption configuration management and setup system |
| CN106027247A (zh) * | 2016-07-29 | 2016-10-12 | 宁夏丝路通网络支付有限公司北京分公司 | Pos密钥远程下发方法 |
| CN112784310A (zh) * | 2019-11-04 | 2021-05-11 | 中国移动通信有限公司研究院 | 证书的管理方法、证书授权中心、管理节点及车联网终端 |
| CN111091430A (zh) * | 2019-11-29 | 2020-05-01 | 航天信息股份有限公司 | 一种开票二维码处理方法及系统 |
| CN111061499A (zh) * | 2019-12-31 | 2020-04-24 | 上海赫千电子科技有限公司 | 一种基于文件系统的ecu更新方法及系统 |
| CN111865919A (zh) * | 2020-06-16 | 2020-10-30 | 郑州信大捷安信息技术股份有限公司 | 一种基于v2x的数字证书申请方法及系统 |
| CN112766962A (zh) * | 2021-01-20 | 2021-05-07 | 中信银行股份有限公司 | 证书的接收、发送方法及交易系统、存储介质、电子装置 |
Non-Patent Citations (2)
| Title |
|---|
| YINCANJU: "Design of PKI-based mobile bank security system", 《重庆邮电大学学报(自然科学版)》 * |
| 郑丽萍等: "一种基于摘要口令加密私钥的数字签名模式", 《计算机安全》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114513315A (zh) * | 2022-04-21 | 2022-05-17 | 北京远特科技股份有限公司 | 一种车载设备信息采集的安全认证方法及系统 |
| CN114513315B (zh) * | 2022-04-21 | 2022-07-12 | 北京远特科技股份有限公司 | 一种车载设备信息采集的安全认证方法及系统 |
| CN115982788A (zh) * | 2022-12-16 | 2023-04-18 | 深圳市芊熠智能硬件有限公司 | 一种车牌许可证有效性验证方法及相关装置 |
| CN115982788B (zh) * | 2022-12-16 | 2024-02-13 | 深圳市芊熠智能硬件有限公司 | 一种车牌许可证有效性验证方法及相关装置 |
| CN116094730A (zh) * | 2023-01-18 | 2023-05-09 | 中国第一汽车股份有限公司 | 一种车辆ecu数字证书申请方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113541939B (zh) | 2022-12-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113541939B (zh) | 一种车联网数字证书颁发方法和系统 | |
| CN107650863B (zh) | 车辆共享方法及系统 | |
| US9990783B2 (en) | Regulating vehicle access using cryptographic methods | |
| CN111510485B (zh) | 一种ota升级包下载方法、装置、车辆端以及服务器 | |
| WO2021135258A1 (zh) | 一种基于智能钥匙的车辆使用方法及装置 | |
| WO2017101310A1 (zh) | 一种车辆远程控制方法、装置及系统 | |
| EP3457344A1 (en) | Payment authentication method, apparatus and system for onboard terminal | |
| US9179311B2 (en) | Securing vehicle service tool data communications | |
| CN110126782A (zh) | 一种车辆智能钥匙申请方法及装置 | |
| CN103201996A (zh) | 提供无线机动车访问的方法 | |
| CN110138781A (zh) | 一种车辆的绑定方法及装置 | |
| CN113114699B (zh) | 一种车辆终端身份证书申请方法 | |
| CN113015159B (zh) | 初始安全配置方法、安全模块及终端 | |
| CN109637034B (zh) | 基于虚拟钥匙的车辆分时租赁方法及系统 | |
| CN115834253B (zh) | 身份验证方法、身份验证系统、客户端和服务端 | |
| US20240064134A1 (en) | In-vehicle network ota security communication method and apparatus, vehicle-mounted system, and storage medium | |
| CN102209096B (zh) | 车载终端访问管理系统及管理方法 | |
| CN111845624A (zh) | 一种无钥匙启动车辆的方法 | |
| CN112784310A (zh) | 证书的管理方法、证书授权中心、管理节点及车联网终端 | |
| CN114697925A (zh) | 一种虚拟钥匙的分享系统及方法 | |
| CN104702562A (zh) | 终端融合业务接入方法、系统与终端 | |
| CN116954648A (zh) | 一种基于ota升级包加密的整车ecu升级系统及方法 | |
| CN112440935A (zh) | 车辆蓝牙钥匙的授权方法、装置、系统及存储介质 | |
| CN109624924A (zh) | 一种基于无钥匙情况下的控车方法 | |
| CN114244505A (zh) | 一种基于安全芯片的安全通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |