CN114189335B - 数字证书签发及更新方法、ca系统和存储介质 - Google Patents
数字证书签发及更新方法、ca系统和存储介质 Download PDFInfo
- Publication number
- CN114189335B CN114189335B CN202111346013.0A CN202111346013A CN114189335B CN 114189335 B CN114189335 B CN 114189335B CN 202111346013 A CN202111346013 A CN 202111346013A CN 114189335 B CN114189335 B CN 114189335B
- Authority
- CN
- China
- Prior art keywords
- identification code
- certificate
- vehicle
- issuing
- digital certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 62
- 238000004458 analytical method Methods 0.000 claims abstract description 50
- 230000007246 mechanism Effects 0.000 claims description 6
- 238000013475 authorization Methods 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 4
- 238000004891 communication Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000011664 signaling Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- RKTYLMNFRDHKIL-UHFFFAOYSA-N copper;5,10,15,20-tetraphenylporphyrin-22,24-diide Chemical compound [Cu+2].C1=CC(C(=C2C=CC([N-]2)=C(C=2C=CC=CC=2)C=2C=CC(N=2)=C(C=2C=CC=CC=2)C2=CC=C3[N-]2)C=2C=CC=CC=2)=NC1=C3C1=CC=CC=C1 RKTYLMNFRDHKIL-UHFFFAOYSA-N 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例公开了一种数字证书签发及更新方法、CA系统和存储介质,涉及车辆安全技术领域。其中,数字证书签发方法包括:存储备案方提供的备案信息;接收车联网设备发送的数字证书签发请求消息,所述签发请求消息包括:请求签发证书的车辆对应的第一标识码;向第三方标识解析系统发送解析请求消息,所述解析请求消息包括所述第一标识码,以供所述第三方标识解析系统对所述第一标识码进行解析得到对应的车辆信息;如果从所述第三方标识解析系统获取的、解析后的车辆信息与所述备案信息中的、包括所述第一标识码的车辆信息不一致,签发失败。本实施例引入第三方标识解析系统对车辆的标识码进行解析,降低了对备案信息的依赖程度。
Description
技术领域
本发明实施例涉及车辆安全技术领域,尤其涉及一种数字证书签发及更新方法、CA系统和存储介质。
背景技术
车联网是通过信息通信技术实现人、车、路、平台等功能实体之间的数据交互和信息分享。车辆与其他实体之间的高频次通信,加大了车辆被攻击的可能性。为解决通信安全问题,将数字证书作为车辆身份鉴别信息,来抵御信息伪造、篡改等安全攻击。
现有技术中,CA(Certificate Authoriy,授权认证)系统在签发数字证书时,仅依赖于生产商提供的备案信息进行车辆身份鉴别。如果发起请求的车辆在备案信息中存在,CA系统则认为通过了身份鉴别,签发相应的证书。由于CA系统无法掌握备案信息相关的编码算法,因此无法对备案信息的对错进行判断,导致身份鉴别的可靠性较差。
发明内容
本发明实施例提供一种数字证书签发及更新方法、CA系统和存储介质,引入第三方标识解析系统对车辆的标识码进行解析,通过解析信息和备案信息共同进行车辆身份鉴别,降低了对备案信息的依赖程度。
第一方面,本发明实施例提供了一种数字证书签发方法,应用于CA系统,包括:
存储备案方提供的备案信息,所述备案信息包括:多个待签发证书车辆的车辆信息,所述车辆信息中包括每个待签发证书车辆对应的标识码;
接收车联网设备发送的数字证书签发请求消息,所述签发请求消息包括:请求签发证书的车辆对应的第一标识码;
向第三方标识解析系统发送解析请求消息,所述解析请求消息包括所述第一标识码,以供所述第三方标识解析系统对所述第一标识码进行解析得到对应的车辆信息;
如果从所述第三方标识解析系统获取的、解析后的车辆信息与所述备案信息中的、包括所述第一标识码的车辆信息不一致,签发失败;
其中,每个标识码用于唯一标识不同的车辆,不同的标识码用于签发不同的数字证书。
第二方面,本发明实施例提供了一种数字证书更新方法,应用于CA系统,包括:
接收车联网设备发送的数字证书更新请求消息,所述更新请求消息包括:请求更新证书的车辆对应的第二标识码和待更新证书,所述待更新证书包括:所述待更新证书的签发车辆对应的第三标识码;
如果所述第二标识码与所述第三标识码不一致,更新失败;
其中,所述CA系统存储有证书管理信息,所述证书管理信息包括已签发的多个证书ID与多个签发车辆的标识码之间的对应关系,其中,每个标识码用于唯一标识不同的车辆。
第三方面,本发明实施例还提供了一种CA系统,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现任一实施例所述的数字证书签发方法或数字证书更新方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现任一实施例所述的数字证书签发方法或数字证书更新方法。
本实施例的技术效果是:CA系统在证书签发过程中通过第三方标识解析系统对签发请求消息中的第一标识码进行解析,如果解析后的车辆信息与备案方备案的车辆信息不一致,则签发失败。通过引入第三方标识解析系统,可以有效排除备案信息错误带来的身份鉴别错误,避免了对备案信息的单一依赖,也可以对其他错误原因(如标识码灌装错误、签发请求消息发送错误等)进行及时预警,进一步提高身份鉴别的可靠性。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种数字证书签发方法的流程图;
图2是本发明实施例提供的另一种数字证书签发方法的流程图;
图3是本发明实施例提供的一种数字证书签发方法的信令图;
图4是本发明实施例提供的一种数字证书更新方法的流程图;
图5是本发明实施例提供的另一种数字证书更新方法的流程图;
图6是本发明实施例提供的一种数字证书更新方法的信令图;
图7是本发明实施例提供的一种CA系统的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将对本发明的技术方案进行清楚、完整的描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施例,都属于本发明所保护的范围。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明的描述中,还需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
图1是本发明实施例提供的一种数字证书签发方法的流程图,适用于CA系统对车辆身份进行鉴别后签发数字证书的情况,本实施例由CA系统执行。如图1所示,本实施例提供的方法具体包括:
S110、存储备案方提供的备案信息,所述备案信息包括:多个待签发证书车辆的车辆信息,所述车辆信息中包括每个待签发证书车辆对应的标识码。每个标识码用于唯一标识不同的车辆,不同的标识码用于签发不同的数字证书。
本实施例提供的证书签发方法涉及四方通信端:车辆、CA系统、第三方标识解析系统和备案方。图2是本发明实施例提供的另一种数字证书签发方法的流程图,显示了四方通信段之间的交互过程。其中,备案方负责将需要签发数字证书的多个车辆的车辆信息备案至CA系统,车辆负责向CA系统请求签发数字证书,CA系统负责向车辆签发数字证书并管理数字证书,第三方标识解析系统负责对CA系统发送的第一标识码进行解析。其中,在备案信息中每个车辆对应一条车辆信息,任一车辆的车辆信息中包括该车辆的标识码;第一标识码为备案信息中的任一标识码。
具体来说,如图2所示,在CA系统签发数字证书之前,首先由备案方将需要签发数字证书的车辆信息以安全方式备案至CA系统,以供CA系统对请求签发证书的车辆进行身份鉴别。备案方包括车辆生产商和零部件生产商。如果一零部件与车辆一一对应,则可以由该零部件的生产商备案车辆信息。在车辆在出厂或上市之前,备案方将标识码灌装在车辆或零部件内。
S120、接收车联网设备发送的数字证书签发请求消息,所述签发请求消息包括:请求签发证书的车辆对应的第一标识码。
如图2所示,当车辆需要进行车联网通信时,向CA系统发送签发请求消息,请求签发数字证书。图3是本发明实施例提供的一种数字证书签发方法的信令图,显示了车辆、CA系统和第三方解析系统之间的信令交互过程。如图3所示,车联网设备在发送签发请求消息前,通过预置的安全服务组件与CA系统建立安全通信链路。安全服务组件用于在建立网络连接前对网络连接的对象进行身份鉴别,当身份鉴别通过后,安全服务组件才可建立网络连接。
网络连接建立后,车联网设备读取预先灌装的第一标识码,生成包括第一标识码的签发请求消息并发送给安全服务组件。其中第一标识码用于唯一标识请求签发证书的车辆。安全服务组件将接收到的签发请求消息进行加密后发送至CA系统。
现有技术中车辆只能在生产线由生产商请求签发证书,本实施例中通过车联网设备发起数字证书签发请求消息,使得车辆在上市后以及消费者使用过程中都可以请求签发证书,减小了生产线的压力,也提高了请求签发证书的灵活性。
S130、向第三方标识解析系统发送解析请求消息,所述解析请求消息包括所述第一标识码,以供所述第三方标识解析系统对所述第一标识码进行解析得到对应的车辆信息。
具体来说,CA系统接收到签发请求消息后,对签发请求消息进行解密,读取第一标识码。然后,CA系统向第三方标识解析系统发送解析请求消息,请求第三方表示解析系统解析所述第一标识码。
需要说明的是,如图2和图3所示,在第三方标识解析系统解析第一标识码之前,备案方还将由车辆信息到标识码的编码算法预先备案至第三方标识解析系统。第三方标识解析系统接收到解析请求消息后,根据备案方备案的编码算法对第一标识码进行解析,将解析得到的车辆信息返回给CA系统。
S140、如果从所述第三方标识解析系统获取的、解析后的车辆信息与所述备案信息中的、包括所述第一标识码的车辆信息不一致,签发失败。具体来说,CA系统收到解析后的车辆信息后,将该车辆信息与备案信息中第一标识码所在的车辆信息进行比较。如果二者不一致,则认为签发请求有误,拒绝签发数字证书。
现有技术中由于CA系统无法掌握车辆信息与标识码之间的编码算法,因此无法对备案信息的真伪和对错进行判断,只能依赖备案信息进行车辆身份鉴别,导致身份鉴别的安全性能较差。例如,假设A车和B车的车辆信息都存在于备案信息中,但A车的车辆信息中包括了B车的标识码,即备案信息错误。这时,当A车发出包含B车的标识码的签发请求消息时,CA系统会将B车的数字证书错误地签发给A车。又例如,假设备案信息无误,但A车灌装了B车的标识码,当A车发出包含B车标识码的签发请求消息时,CA系统经比对发现备案信息中存在B车的标识码,因此也会将B车的数字证书错误地签发给A车。而本实施例中采用第三方鉴别的方式,针对第一标识码,CA系统比较解析后的车辆信息与备案的车辆信息是否一致,以此对请求签发证书的车辆进行身份鉴别,防止将数字证书签发给不正确的车辆。
可选地,如果从所述第三方标识解析系统获取的、解析后的车辆信息与所述备案信息中的、包括所述第一标识码的车辆信息不一致,签发失败,包括:如果从所述第三方标识解析系统获取的、解析后的车辆信息与所述备案信息中的、包括所述第一标识码的车辆信息不一致,向所述备案方发送签发失败消息,所述签发失败消息用于提示所述备案方进行如下操作:修改所述备案信息;和/或重新灌装标识码。
具体来说,CA系统拒绝签发证书后,向备案方反馈签发失败消息,用于通知备案方:第一标识码对应的解析后的车辆信息与备案的车辆信息不一致。备案方收到签发失败消息后,核实二者不一致的原因。原因可能有多种,例如备案信息错误(如A车的车辆信息中包括了B车的标识码),或标识码灌装错误(如B车的标识码灌装给了A车)等。如果备案信息错误,备案方则修改备案信息。如果标识码灌装错误,备案方则重新灌装标识码。
可选地,如果从所述第三方标识解析系统获取的、解析后的车辆信息与所述备案信息中的、包括所述第一标识码的车辆信息不一致,签发失败,包括:如果从所述第三方标识解析系统获取的、解析后的车辆信息与所述备案信息中的、包括所述第一标识码的车辆信息不一致,签发失败,向所述车联网设备发送签发失败消息。
签发失败消息还可以发送给车联网设备,用于通知车联网设备:第一标识码对应的解析后的车辆信息与备案的车辆信息不一致。车联网设备收到请求失败消息后,核实二者不一致的原因。原因可能有多种,例如标识码灌装错误(如B车的标识码灌装给了A车),或证书签发请求消息发送错误(如请求消息在发送中遭到了篡改)等。如果标识码灌装错误,车联网设备可以通过备案方重新灌装标识码。如果证书签发请求消息发送错误,车联网设备则重新发送请求消息。
本实施例的技术效果是:CA系统在证书签发过程中通过第三方标识解析系统对签发请求消息中的第一标识码进行解析,如果解析后的车辆信息与备案方备案的车辆信息不一致,则签发失败。通过引入第三方标识解析系统,可以有效排除备案信息错误带来的身份鉴别错误,避免了对备案信息的单一依赖,也可以对其他错误原因(如标识码灌装错误、签发请求消息发送错误等)进行及时预警,进一步提高身份鉴别的可靠性。
在上述实施例和下述实施例的基础上,可选地,向第三方标识解析系统发送的标识码解析请求之后,还包括:如果从所述第三方标识解析系统获取的、解析后的车辆信息与所述备案信息中的、包含所述第一标识码的车辆信息一致,签发对应的数字证书,所述数字证书包括所述第一标识码;存储所述第一标识码和证书ID的对应关系,作为证书管理信息。
具体来说,如图2和图3所示,如果第三方标识解析系统返回的解析后的车辆信息与备案方备案的车辆信息一致,则CA系统向请求签发证书的车辆签发对应的数字证书,并向安全服务组件发送包括数字证书的消息。数字证书中的用户信息包括所述第一标识码。签发数字证书后,CA系统将第一标识码和证书ID之间的对应关系保存为证书管理信息,用于对数字证书进行管理。安全服务组件收到包括数字证书的消息后,对该消息进行解密,得到数字证书并发送至车联网设备。
可选地,所述数字证书不包括:标识码之外的车辆信息。本实施例的数字证书包括车辆的标识码,由于标识码与车辆一一对应,通过标识码即可以实现车辆身份的识别,因此数字证书不包括标识码之外的其他车辆信息,例如车辆生产商的信息,车辆的型号、设备信息等。这样可以减少车联网通信量,满足低延时、高频率的通信要求。
图4是本发明实施例提供的一种数字证书更新方法的流程图,适用于对车辆身份进行鉴别后更新数字证书的情况,本实施例由CA系统执行。所述CA系统存储有上述实施例中生成的证书管理信息,其中的数字证书由CA系统采用上述任一实施例的方法签发。如图4所示,本实施例提供的方法具体包括:
S210、接收车联网设备发送的数字证书更新请求消息。所述更新请求消息包括:请求更新证书的车辆对应的第二标识码和待更新证书,所述待更新证书包括:所述待更新证书的签发车辆对应的第三标识码。
当数字证书即将失效时,车联网设备可在线发起更新请求消息。与上述实施例相同,本实施例中每个标识码用于唯一标识不同的车辆。更新请求消息包括:第二标识码和待更新证书,第二标识码用于唯一标识请求更新证书的车辆,即车联网设备所在的车辆。待更新证书中包括第三标识码,第三标识码用于标识CA系统原本将待更新的数字证书签发给了哪一辆车。
S220、如果所述第二标识码与所述第三标识码不一致,更新失败。
CA系统接收到更新请求消息后,对请求更新证书的车辆进行身份鉴别。本实施例提供了三种鉴别方式,本步骤为鉴别方式一:通过比较第二标识码和第三标识码,验证更新请求消息是否有误。具体来说,CA系统读取待更新数字证书中的第三标识码,比较第三标识码与直接从更新请求消息读取的第二标识码是否一致。如果一致,则进行下一步操作;如果不一致,则认为出现请求错误,拒绝更新请求。通过方式一,在更新请求消息内部即判断出请求有误,防止出现A车请求更新签发给B车的数字证书。
可选地,接收车联网设备发送的数字证书更新请求消息之后,还包括:如果所述第二标识码与待更新证书ID的对应关系在所述证书管理信息不存在,更新失败。
本步骤提供了鉴别方式二:通过判断第二标识码与待更新证书ID的对应关系在证书管理信息中是否存在,验证请求车辆的身份信息。由于在证书签发时,CA系统已经对车辆身份进行了鉴别,因此认为证书管理信息中的对应关系是正确的。通过比较更新请求消息中的对应关系与证书管理信息中的对应关系,就可以实现对车辆身份的鉴别。如果存在,则进行下一步操作;如果不存在,则认为出现更新错误,拒绝更新请求。通过方式二,防止出现更新请求与证书管理信息矛盾的情况。
可选地,所述待更新证书还包括:签发机构签名;接收车联网设备发送的数字证书更新请求消息之后,还包括:根据所述签发机构签名,判断所述待更新证书的签发机构与为所述CA系统是否一致;如果所述签发机构与所述CA系统不一致,更新失败。
本步骤提供了鉴别方式三:通过待更新证书中包括的签发机构签名,验证所述待更新证书中是否为本CA系统所签发。具体来说,CA系统读取获取请求消息中包含的待更新数字证书,读取待更新数字证书中的签发机构签名。然后,CA系统根据所述签名判断此证书是否为自己签发,如果是,进行下一步操作;如果不是,则认为出现证书错误,拒绝更新请求。通过方式三,防止出现CA系统更新了其他证书颁发机构签发的证书。
可选地,认为证书错误后,CA系统向车联网设备发送CA错误消息,车联网设备接收到CA错误消息后核实所述待更新证书的签发机构。
更新失败的原因多种多样,以上三种鉴别方式可以分别鉴别出请求错误、更新错误和证书错误三种原因。针对这三种原因,CA系统可以向车联网设备发送三种不同的报错消息:请求错误消息、更新错误消息和证书错误消息,与以上三种原因一一对应。车联网设备可以根据消息类型识别出失败原因,进行采取相应的措施进行纠错。通过这种方式,本实施例可在一定程度上实现失败原因的解析。
需要说明的是,以上三种鉴别方式可以独立存在,也可以以任意形式相互组合。图5是本发明实施例提供的另一种数字证书更新方法的流程图。该数字证书更新方法应用于CA系统,包括了三种鉴别方式,并按照方式三、方式一、方式二的顺序依次进行。图6是图5对应的信令图。如图5和图6所示,CA系统首先通过方式三验证待更新证书是否为自己签发。如果不是,则认为出现证书错误,更新失败。如果是,则CA系统继续采用方式一验证更新请求消息内部的第二标识码和第三标识码是否一致。如果不一致,则认为出现请求错误,更新失败。如果一致,则CA系统继续采用方式二验证第二标识码与待更新证书ID的对应关系在证书管理信息中是否存在。如果不存在,则认为出现更新错误,同样更新失败。如果存在,则CA系统对待更新证书进行更新,将更新的证书加密后发送至车辆的安全服务组件。
需要说明的是,图6中车联网设备与CA系统的通信仍是通过预置的安全服务组件进行的。安全服务组件用于与CA系统建立网络连接,并在数据传输过程中对数据进行加密解密,以保证通信网络的安全。具体过程与图3中的描述类似,在此不再赘述。
本实施例的技术效果是:CA系统在证书更新过程中通过比较更新请求消息中的第二标识码与待更新数字证书中的第三标识码,确认更新请求消息本身可靠性;通过判断第二标识码与待更新数字ID的对应关系在CA系统的证书管理信息中是否存在,确认车辆身份的可靠性;通过鉴别待更新证书是否为CA系统签发,确认待更新证书的可靠性。以上三种鉴别方式可任意组合,从多个角度共同验证车辆身份,提高身份鉴别的准确性和可靠性,保证网络通信安全。
图7为本发明实施例提供的一种CA系统的结构示意图,如图7所示,该设备包括处理器70、存储器71、输入装置72和输出装置73;设备中处理器70的数量可以是一个或多个,图7中以一个处理器70为例;设备中的处理器70、存储器71、输入装置72和输出装置73可以通过总线或其他方式连接,图7中以通过总线连接为例。
存储器71作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的数字证书签发方法或数字证书更新方法对应的程序指令/模块。处理器70通过运行存储在存储器71中的软件程序、指令以及模块,从而执行设备的各种功能应用以及数据处理,即实现上述的数字证书签发方法或数字证书更新方法。
存储器71可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器71可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器71可进一步包括相对于处理器70远程设置的存储器,这些远程存储器可以通过网络连接至设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置72可用于接收输入的数字或字符信息,以及产生与设备的用户设置以及功能控制有关的键信号输入。输出装置73可包括显示屏等显示设备。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现任一实施例的数字证书签发方法或数字证书更新方法。
本发明实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如”C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案。
Claims (9)
1.一种数字证书签发方法,应用于认证授权CA系统,其特征在于,包括:
存储备案方提供的备案信息,所述备案信息包括:多个待签发证书车辆的车辆信息,所述车辆信息中包括每个待签发证书车辆对应的标识码;在车辆在出厂或上市之前,备案方将标识码灌装在车辆或零部件内;
接收车联网设备发送的数字证书签发请求消息,所述签发请求消息包括:请求签发证书的车辆对应的第一标识码;
向第三方标识解析系统发送解析请求消息,所述解析请求消息包括所述第一标识码,以供所述第三方标识解析系统对所述第一标识码进行解析得到对应的车辆信息;在所述第三方标识解析系统解析第一标识码之前,所述备案方将由车辆信息到标识码的编码算法预先备案至第三方标识解析系统;所述第三方标识解析系统接收到解析请求消息后,根据备案方备案的编码算法对第一标识码进行解析,将解析得到的车辆信息返回给CA系统;
如果从所述第三方标识解析系统获取的、解析后的车辆信息与所述备案信息中的、包括所述第一标识码的车辆信息不一致,签发失败;
其中,每个标识码用于唯一标识不同的车辆,不同的标识码用于签发不同的数字证书;
如果从所述第三方标识解析系统获取的、解析后的车辆信息与所述备案信息中的、包含所述第一标识码的车辆信息一致,签发对应的数字证书,所述数字证书包括所述第一标识码;
存储所述第一标识码和证书ID的对应关系,作为证书管理信息。
2.根据权利要求1所述的方法,其特征在于,所述数字证书不包括:标识码之外的车辆信息。
3.根据权利要求1或2所述的方法,其特征在于,如果从所述第三方标识解析系统获取的、解析后的车辆信息与所述备案信息中的、包括所述第一标识码的车辆信息不一致,签发失败,包括:
如果从所述第三方标识解析系统获取的、解析后的车辆信息与所述第一标识码中的、包括所述第一标识码的车辆信息不一致,向所述备案方发送签发失败消息,所述签发失败消息用于提示所述备案方进行如下操作:
修改所述备案信息;和/或
重新灌装标识码。
4.一种数字证书更新方法,应用于认证授权CA系统,所述CA系统执行权利要求1-3任一项所述的数字证书签发方法,其特征在于,包括:
接收车联网设备发送的数字证书更新请求消息,所述更新请求消息包括:请求更新证书的车辆对应的第二标识码和待更新证书,所述待更新证书包括:所述待更新证书的签发车辆对应的第三标识码;
如果所述第二标识码与所述第三标识码不一致,更新失败;
其中,所述CA系统存储有证书管理信息,所述证书管理信息包括已签发的多个证书ID与多个签发车辆的标识码之间的对应关系,其中,每个标识码用于唯一标识不同的车辆。
5.根据权利要求4所述的方法,其特征在于,接收车联网设备发送的数字证书更新请求消息之后,还包括:
如果所述第二标识码与待更新证书ID的对应关系在所述证书管理信息不存在,更新失败。
6.根据权利要求4所述的方法,其特征在于,接收车联网设备发送的数字证书更新请求消息之后,还包括:
如果所述第二标识码与所述第三标识码一致,判断所述第二标识码与待更新证书ID的对应关系在所述证书管理信息中是否存在;
如果所述第二标识码与待更新证书ID的对应关系在所述证书管理信息中不存在,更新失败。
7.根据权利要求4-6中任一所述的方法,其特征在于,所述待更新证书还包括:签发机构签名;
接收车联网设备发送的数字证书更新请求消息之后,还包括:
根据所述签发机构签名,判断所述待更新证书的签发机构与为所述CA系统是否一致;
如果所述签发机构与所述CA系统不一致,更新失败。
8.一种认证授权CA系统,其特征在于,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-3中任一所述的数字证书签发方法,或如权利要求4-7中任一所述的数字证书更新方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-3中任一所述的数字证书签发方法,或如权利要求4-7中任一所述的数字证书更新方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111346013.0A CN114189335B (zh) | 2021-11-15 | 2021-11-15 | 数字证书签发及更新方法、ca系统和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111346013.0A CN114189335B (zh) | 2021-11-15 | 2021-11-15 | 数字证书签发及更新方法、ca系统和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114189335A CN114189335A (zh) | 2022-03-15 |
CN114189335B true CN114189335B (zh) | 2024-02-13 |
Family
ID=80540414
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111346013.0A Active CN114189335B (zh) | 2021-11-15 | 2021-11-15 | 数字证书签发及更新方法、ca系统和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114189335B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115802350B (zh) * | 2023-02-07 | 2023-05-05 | 中汽智联技术有限公司 | 证书撤销状态验证系统、方法和存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111917685A (zh) * | 2019-05-07 | 2020-11-10 | 华为技术有限公司 | 一种申请数字证书的方法 |
CN112784310A (zh) * | 2019-11-04 | 2021-05-11 | 中国移动通信有限公司研究院 | 证书的管理方法、证书授权中心、管理节点及车联网终端 |
-
2021
- 2021-11-15 CN CN202111346013.0A patent/CN114189335B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111917685A (zh) * | 2019-05-07 | 2020-11-10 | 华为技术有限公司 | 一种申请数字证书的方法 |
CN112784310A (zh) * | 2019-11-04 | 2021-05-11 | 中国移动通信有限公司研究院 | 证书的管理方法、证书授权中心、管理节点及车联网终端 |
Also Published As
Publication number | Publication date |
---|---|
CN114189335A (zh) | 2022-03-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111131313B (zh) | 智能网联汽车更换ecu的安全保障方法及系统 | |
CN108521333B (zh) | 一种基于动态口令进行离线认证的登录方法及系统 | |
CN111376865B (zh) | 车辆数字钥匙激活方法、系统及存储介质 | |
US20080170697A1 (en) | Methods and systems for using PKCS registration on mobile environment | |
CN108696356B (zh) | 一种基于区块链的数字证书删除方法、装置及系统 | |
CN110611569A (zh) | 一种认证方法及相关设备 | |
CN111884811B (zh) | 一种基于区块链的数据存证方法和数据存证平台 | |
CN113285932B (zh) | 边缘服务的获取方法和服务器、边缘设备 | |
EP3851983B1 (en) | Authorization method, auxiliary authorization component, management server and computer readable medium | |
CN112883382A (zh) | 一种车辆刷写的方法、车联网盒、车辆及存储介质 | |
CN114189335B (zh) | 数字证书签发及更新方法、ca系统和存储介质 | |
WO2023093500A1 (zh) | 一种访问验证方法及装置 | |
CN114513310A (zh) | 一种车辆诊断设备的认证方法、装置、电子设备及介质 | |
CN108632037B (zh) | 公钥基础设施的公钥处理方法及装置 | |
EP3787250A1 (en) | Authentication between a telematic control unit and a core server system | |
CN113505353A (zh) | 一种认证方法、装置、设备和存储介质 | |
CN110808998B (zh) | 身份认证器的初始化、身份认证方法以及装置 | |
CN115134154B (zh) | 认证方法、装置、远程控制车辆的方法及系统 | |
CN107113316A (zh) | 一种app认证的系统和方法 | |
CN110636473A (zh) | 车辆蓝牙通信方法、装置、电子设备及可读存储介质 | |
CN112887099B (zh) | 数据签名方法、电子设备及计算机可读存储介质 | |
CN115065522A (zh) | 安全认证方法、车载控制器、远程通信终端和存储介质 | |
CN114615309A (zh) | 客户端接入控制方法、装置、系统、电子设备及存储介质 | |
CN116070225A (zh) | Api认证鉴权的方法、系统、运行控制装置及存储介质 | |
CN113766450A (zh) | 车辆虚拟钥匙共享方法及移动终端、服务器、车辆 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |