CN114297591A - 一种数字证书的校验方法、装置、电子设备及存储介质 - Google Patents
一种数字证书的校验方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114297591A CN114297591A CN202111579225.3A CN202111579225A CN114297591A CN 114297591 A CN114297591 A CN 114297591A CN 202111579225 A CN202111579225 A CN 202111579225A CN 114297591 A CN114297591 A CN 114297591A
- Authority
- CN
- China
- Prior art keywords
- control unit
- digital certificate
- list
- verification
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及车联网技术领域,本发明公开了一种数字证书的校验方法、装置、电子设备及存储介质。该发明提供的该校验方法应用于数字证书校验模块,该数字证书校验模块接收第一控制单元发送的验证请求,该验证请求携带有第二控制单元的标识,该第一控制单元、该第二控制单元和该数字证书校验模块设于同一车辆中,并通过获取数字证书列表;该数字证书列表用于表征控制单元的标识与该控制单元的数字证书有效性的对应关系;该数字证书列表存储在该数字证书验证模块;从而后续可以基于该数字证书列表和该第二控制单元的标识确定出验证结果;并将该验证结果发送给该第一控制单元。本申请提供的校验方法具有验证效率和可靠性高的优点。
Description
技术领域
本发明涉及车联网技术领域,特别涉及一种数字证书的校验方法、装置、电子设备及存储介质。
背景技术
在目前智能网联车辆中,车辆搭载动力系统、车身系统和娱乐系统。车辆通过接入点(Access Point Name,APN)、3/4G以及WIFI等网络可实现和汽车远程服务提供商(Telematics Service Provider,TSP)通信,完成安全监测、远程故障诊断和空中升级等。另外,用户可以通过移动APP对车辆获取当前状态信息,进行远程/近程操控等。可以看到,智能网联车辆网络体系架构复杂,涉及范围很广,在汽车终端、移动端和后端服务等的通信、业务过程中可能面临各类安全风险,如:
1)终端被伪造,非法连接服务端,TSP/OTA服务端被钓鱼;
2)指令或业务数据明文传输被截获,敏感信息泄露;
3)指令或业务数据被截获篡改,执行错误请求,造成安全事故。
发明内容
本发明要解决的是现有技术中智能网联车辆中的信息传输的安全性低的技术问题。
为解决上述技术问题,本申请于一方面公开了一种数字证书的校验方法,应用于数字证书校验模块,该校验方法包括:
接收第一控制单元发送的验证请求;该验证请求携带有第二控制单元的标识;该第一控制单元、该第二控制单元和该数字证书校验模块设于同一车辆中;
获取数字证书列表;该数字证书列表用于表征控制单元的标识与该控制单元的数字证书有效性的对应关系;该数字证书列表存储在该数字证书验证模块;
基于该数字证书列表和该第二控制单元的标识确定出验证结果;
将该验证结果发送给该第一控制单元。
可选的,该数字证书列表包括数字证书无效列表;
该数字证书无效列表包括无效的该控制单元的标识;
该基于该数字证书列表和该第二控制单元的标识确定出验证结果,包括:
基于该数字证书无效列表和该第二控制单元的标识确定出验证结果;
若该数字证书无效列表中存在该第二控制单元的标识,则确定该验证结果为该第二控制单元的数字证书无效;否则,确定该验证结果为该第二控制单元的数字证书有效。
可选的,该数字证书列表包括数字证书有效列表;
该数字证书有效列表包括有效的该控制单元的标识;
该基于该数字证书列表和该第二控制单元的标识确定出验证结果,包括:
基于该数字证书有效列表和该第二控制单元的标识确定出验证结果;
若该数字证书有效列表中存在该第二控制单元的标识,则确定该验证结果为该第二控制单元的数字证书有效;否则,确定该验证结果为该第二控制单元的数字证书无效。
可选的,该基于该数字证书列表和该第二控制单元的标识确定出验证结果,包括:
若该数字证书列表中存在该第二控制单元的标识,则基于该数字证书列表和该第二控制单元的标识确定出验证结果。
可选的,该若该数字证书列表中存在该第二控制单元的标识,则基于该数字证书列表和该第二控制单元的标识确定出验证结果之后,还包括:
若该数字证书列表中不存在该第二控制单元的标识,则生成更新请求,该更新请求携带有请求内容;
将该更新请求发送给在线证书状态协议(Online Certificate StatusProtocol,0CSP)服务器;
接收0CSP服务器发送的更新后的数字证书列表;该更新后的数字证书列表为该0CSP服务器基于该请求内容确定的;
基于该更新后的数字证书列表和该第二控制单元的标识确定出验证结果。
可选的,该验证请求还携带有该第一控制单元对所述第一控制单元的标识进行加密的签名;
该基于该数字证书列表和该第二控制单元的标识确定出验证结果,包括:
获取该数字证书校验模块的私钥;
基于该数字证书校验模块的私钥对签名进行解密操作,得到该第一控制单元的标识;
基于该第一控制单元的标识和该数字证书列表确定出校验结果;
若该校验结果为正确,则基于该数字证书列表和该第二控制单元的标识确定出验证结果;否则,不执行验证该第二控制单元的标识的过程。
本申请于另一方面还公开了一种数字证书校验装置,设置于数字证书校验模块,包括:
接收模块,用于接收第一控制单元发送的验证请求;该验证请求携带有第二控制单元的标识;该第一控制单元、该第二控制单元和该数字证书校验模块设于同一车辆中;
获取模块,用于获取数字证书列表;该数字证书列表用于表征控制单元的标识与该控制单元的数字证书有效性的对应关系;该数字证书列表存储在该数字证书验证模块;
确定模块,用于基于该数字证书列表和该第二控制单元的标识确定出验证结果;
发送模块,用于将该验证结果发送给该第一控制单元。
本申请于另一方面还公开了一种数字证书校验系统,其包括通信连接的第一控制单元、第二控制单元和数字证书校验模块;
该第一控制单元、该第二控制单元和该数字证书校验模块设于同一车辆中;
该数字校验模块用于接收第一控制单元发送的验证请求;该验证请求携带有第二控制单元的标识;该第一控制单元、该第二控制单元和该数字证书校验模块设于同一车辆中;获取数字证书列表;该数字证书列表用于表征控制单元的标识与该控制单元的数字证书有效性的对应关系;该数字证书列表存储在该数字证书验证模块;基于该数字证书列表和该第二控制单元的标识确定出验证结果;将该验证结果发送给该第一控制单元。
本申请于另一方面还公开了一种电子设备,该电子设备包括处理器和存储器,该存储器中存储有至少一条指令、至少一段程序、代码集或指令集,该至少一条指令、该至少一段程序、该代码集或指令集由该处理器加载并执行以实现上述的校验方法。
本申请于另一方面还公开了一种计算机存储介质,该计算机存储介质中存储有至少一条指令或至少一段程序,该至少一条指令或至少一段程序由处理器加载并执行以实现上述的校验方法。
采用上述技术方案,本申请提供的数字证书校验方法具有如下有益效果:
本申请提供了一种数字证书的校验方法,应用于数字证书校验模块,该数字证书校验模块接收第一控制单元发送的验证请求,该验证请求携带有第二控制单元的标识,该第一控制单元、该第二控制单元和该数字证书校验模块设于同一车辆中,并通过获取数字证书列表;该数字证书列表用于表征控制单元的标识与该控制单元的数字证书有效性的对应关系;该数字证书列表存储在该数字证书验证模块;从而后续可以基于该数字证书列表和该第二控制单元的标识确定出验证结果;并将该验证结果发送给该第一控制单元,以使第一控制单元可以执行基于接收到的第二控制单元发送的指令,否则,第一控制单元不执行,从而保证两个控制单元交互过程中数据的可靠性;且由于本申请提供的该校验方法是一种基于本地化的校验过程,即离线也可以进行,具有验证效率和可靠性高的优点。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请一种可选的应用场景图;
图2为本申请第一种可选的校验方法的流程图;
图3为本申请第二种可选的校验方法的流程示意图;
图4为本申请第三种可选的校验方法的流程示意图;
图5为本申请一种可选的校验装置的结构示意图;
图6为本申请一种可选的校验方法的服务器的硬件结构框图。
以下对附图作补充说明:
10-车辆;20-数字证书校验系统;201-第一控制单元;202-第二控制单元;203-数字证书校验模块。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
如图1所示,图1为本申请一种可选的应用场景图。该场景包括车辆10和设于该车辆10上的数字证书校验系统20,该数字证书校验系统20包括第一控制单元201、第二控制单元202和数字证书校验模块203,该数字证书校验模块203用于接收第一控制单元201发送的验证请求,该验证请求携带有第二控制单元202的标识,该第一控制单元201、该第二控制单元202和该数字证书校验模块203设于同一车辆中,并通过获取数字证书列表;该数字证书列表用于表征控制单元的标识与该控制单元的数字证书有效性的对应关系;该数字证书列表存储在该数字证书验证模块;从而后续可以基于该数字证书列表和该第二控制单元202的标识确定出验证结果;并将该验证结果发送给该第一控制单元。由于本申请提供的该校验方法是一种基于本地化的校验过程,即离线也可以进行,具有验证效率和可靠性高的优点。
而现有技术中采用数字证书进行校验的方法,常常需要在每次通讯时,都查询移动车联网的云端线证书状态协议(Online Certificate Status Protocol,0CSP)校验平台,一般的控车指令及应用往往需要在很短的时间处理(几十毫秒),因为校验数字证书无法快速响应,基于公钥基础设施(Public Key Infrastructure,PKI)的整车通信技术没有很好应用,重新定义快速校验机制变成很有重要意义。而本申请创建了本地的数字证书校验模块,后续可以利用代理的云端线证书状态协议(Online Certificate StatusProtocol,0CSP)服务器的查询内容,可以建立了本地的证书失效黑名单(CertificateRevocation List,CRL),大大提高了车端电子控制单元(Electronic Control Unit,ECU)的数字证书检验的失效性。
可选的,第一控制单元、第二控制单元和数字证书校验模块之间通信连接。
可选的,该数字证书校验模块设于远程信息处理器(TelematicsBOX,T-BOX)上。
可选的,该第一控制单元、第二控制单元设置于终端上。
可选的,终端可以是台式电脑,笔记本电脑、手机、平板电脑,数字助理、智能可穿戴设备等类型的实体设备;其中,智能可穿戴设备可以包括智能手环、智能手表、智能眼镜、智能头盔等。
该终端可以包括通过数据总线相连的显示屏、存储设备和处理器。所述显示屏用于待监控设备的虚拟图像以及待监控设备中各个子设备之间的连接关系,该显示屏可以是手机或者平板电脑的触摸屏等。存储设备用于存储拍摄装置的程序代码和数据资料等,该存储设备可以是终端的内存,也可以是智能媒体卡(smart media card)、安全数字卡(secure digital card)、快闪存储器卡(flash card)等储存设备。所述处理器可以是单核或多核处理器。
以下介绍本申请一种校验方法的具体实施例,图2为本申请第一种可选的校验方法的流程示意图,本说明书提供了如实施例或流程图的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的系统或服务器产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。具体的如图2所示,该方法可以包括:
S201:接收第一控制单元发送的验证请求;该验证请求携带有第二控制单元的标识;该第一控制单元、该第二控制单元和该数字证书校验模块设于同一车辆中。
可选的,该第二控制单元的标识可以是第二控制单元的名称、编号或者其对应的数字证书的序列号等可以标识第二控制单元身份的内容。
可选的,本申请实施例可以是当第一控制单元接收到第二控制单元发送的数据请求或者当第一控制单元需要向第二控制单元发送数据的场景中,则该第一控制单元需要对第二控制单元的数字证书有效性进行验证。
S202:获取数字证书列表;该数字证书列表用于表征控制单元的标识与该控制单元的数字证书有效性的对应关系;该数字证书列表存储在该数字证书验证模块。
可选的,该数字证书列表可以是以下任意一种或者两种结合的列表:第一种,该数字证书列表为数字证书无效列表;第二种,该数字证书列表为数字证书有效列表。
需要说明的是,无论是数字证书无效列表还是数字证书有效列表均包含以下内容:对象标识、对象的数字证书序列号和对应的数字证书的有效期限(或者是当前时间是否有效的内容),例如,当前时间为2021年10月13号,则可以在该数字证书有效列表上显示时间为2021年10月13号,以及在数字证书的有效性一列显示对于的对象的数字证书为“无效”或者“有效”;对于有效数字证书列表,当在一个控制单元的数字证书有效期为2000年10月12号至2021年10月12号,则当到2021年10月13号时,将从有效数字列表中剔除该控制单元。
可选的,该数字证书校验模块会定期更新该数字证书列表;该数字证书列表上还可以列示更新时间,可选的,该数字证书校验模块可以向0CSP服务器发送更新请求,由于该0CSP服务器与证书颁发机构(Certification Authority,CA)数据库会建立联系,从而使得该0CSP服务器会对更新请求进行解析操作,从而得到请求内容,基于该请求内容从CA数据库中查询到最新的数字证书状态信息,该0CSP服务器会将最新的数字证书状态信息进行封装并进行签名,并通过HTTP通道将其发送给数字证书校验模块,该数字证书校验模块则会对上述信息进行签名验证以及解析操作,可以得到更新的数字证书列表。
可选的,数字证书校验模块对数字证书列表进行更新的时间可以根据需要设置,例如,可以是在驻车期间或者是有wifi的环境中,可以是3-5小时更新一次,也可以是几天甚至一周更新一次。
可选的,该数字证书校验模块可以采用两种方式更新数字证书列表,一种是基于更新请求向0CSP服务器获取到更新数字证书列表,另一种可以是只要数字证书状态发生变化,则0CSP服务器就会将更新的内容发送给数字证书校验模块;同理,控制单元获取对象的数字证书的状态的过程也可以是包括上述两种,一种是基于主动请求获取,另一种是被动接收数字证书校验模块主动下发的数字证书状态更新信息。
S203:基于该数字证书列表和该第二控制单元的标识确定出验证结果。
于一种可行的实施方式中,该数字证书列表为数字证书无效列表;该数字证书无效列表包括无效的该控制单元的标识;步骤S203可以具体阐述为:基于该数字证书无效列表和该第二控制单元的标识确定出验证结果,若该数字证书无效列表中存在该第二控制单元的标识,则确定该验证结果为该第二控制单元的数字证书无效;否则,确定该验证结果为该第二控制单元的数字证书有效。从而提高当数字证书无效列表包含的较少的对象标识时,基于数字证书无效列表的方式确定验证结果具有验证效率高的优点。
需要说明的是,上述数字证书无效列表包括数字证书被吊销的列表,也包括数字证书的有效期失效的列表。
于一种可行的实施方式中,该数字证书列表为数字证书有效列表,该数字证书有效列表包括有效的该控制单元的标识;步骤S203可以具体阐述为:基于该数字证书有效列表和该第二控制单元的标识确定出验证结果,若该数字证书有效列表中存在该第二控制单元的标识,则确定该验证结果为该第二控制单元的数字证书有效;否则,确定该验证结果为该第二控制单元的数字证书无效。从而可以提高当数字证书有效列表包含较少的对象标识时,基于数字证书有效列表的方式确定验证结果具有验证效率高的优点。
于一种可行的实施方式中,步骤S203可以具体阐述为:若该数字证书列表中存在该第二控制单元的标识,则基于该数字证书列表和该第二控制单元的标识确定出验证结果。从而基于更全的数字证书的有效性的数据确定出验证结果,保证了验证结果的可靠性。
可选的,当数字证书列表中仅是列示了每个数字证书对应的有效期,则步骤S203中的基于该数字证书列表和该第二控制单元的标识确定出验证结果则可以具体表示为:获取当前时间,基于所述第二控制单元的标识从所述数字证书列表中确定出第一控制单元的数字证书的有效期,若所述当前时间属于所述有效期,则确定所述验证结果为有效,否则为无效。于另一种可选的实施方式中,当数字证书列表中列示了每个数字证书在当前时间的有效性;则步骤S203中的基于该数字证书列表和该第二控制单元的标识确定出验证结果则可以具体表示为:基于所述第二控制单元的标识从所述数字证书列表中确定出验证结果。从而进一步提高了该校验方法的灵活性。
为了克服由于数字证书列表未及时更新,进而造成上述验证结果错误的情况,提高验证结果的准确性。于一种可行的实施方式中,参阅图3,图3为本申请第二种可选的校验方法的流程示意图。步骤S203还可以具体阐述为:
S301:若该数字证书列表中不存在该第二控制单元的标识,则生成更新请求,该更新请求携带有请求内容。
可选的,该请求内容携带有请求事项,例如获取控制单元的标识、控制单元的数字证书的序列号以及对应的数字证书的有效期等。
也就是说,该第二控制单元可能是一个新的控制单元,其会对应一个新的数字证书,如果正常的安全传输层协议(Transport Layer Security,TLS)双向认证通过与数字证书校验模块的挑战与应答,同时也验证数字证书校验模块发布的可信序列证书号,保证证书的时效性和换件(例如,将原来的第二控制单元进行更换了)情况下,旧件(即旧的第二控制单元)的数字证书被取消,其序列号不在本车的数字证书列表上。
如果本地上的旧的第二控制单元的证书认证失败,读取新的第二控制单元的身份标识信息,并发送至TSP进行验证,并在验证成功后接收来自TSP的新本地的数字证书文件及公钥信息。
于一种可行的实施方式中,还可以采用哈希消息认证码(Hash-based MessageAuthentication Code,HMAC)的认证方式进行双向验证,具体过程如下:先由客户ECU端向服务ECU发出一个验证请求。服务ECU接到此请求后生成一个随机数并通过车内CAN网络传输给客户端。客户ECU端将收到的随机数与协商好的对称密钥进行HMAC-SHA1运算并得到一个结果作为认证证据传给服务器。与此同时,服务ECU也使用该随机数与存储在服务器数据库中的该客户ECU端的密钥进行HMAC-SHA1运算,如果服务ECU的运算结果与客户端传回的响应结果相同,则认为客户ECU端是一个合法ECU。进而可以提高本申请的数字证书校验方法的灵活性。
可选的,上述客户ECU可以是第一控制单元或者第二控制单元,上述服务ECU可以是数字证书校验模块;实际上也可以应用于其他的两端双向认证。
S302:将该更新请求发送给在线证书状态协议(Online Certificate StatusProtocol,0CSP)服务器。
S303:接收0CSP服务器发送的更新后的数字证书列表;该更新后的数字证书列表为该0CSP服务器基于该请求内容确定的。
S304:基于该更新后的数字证书列表和该第二控制单元的标识确定出验证结果。
于一种可行的实施方式中,该验证请求还携带有该第一控制单元对所述第一控制单元的标识进行加密的签名;参阅图4,图4为本申请第三种可选的校验方法的流程示意图。步骤S203可以具体阐述为:
S401:获取该数字证书校验模块的私钥。
可选的,上述签名是第一控制单元基于数字证书校验模块的公钥以及相应的加密算法(例如安全散列算法256)对第一控制单元的标识进行加密,从而得到签名。
S402:基于该数字证书校验模块的私钥对该签名进行解密操作,得到该第一控制单元的标识。
S403:基于该第一控制单元的标识和该数字证书列表确定出校验结果。
也就是说,需要从数字证书列表中确认该第一控制单元的数字证书是否为有效状态,若有效,即校验结果为正确,否则,确定该校验结果为不正确。
S404:若该校验结果为正确,则基于该数字证书列表和该第二控制单元的标识确定出验证结果;否则,不执行验证该第二控制单元的标识的过程。
可选的,由于本申请是基于公钥基础设施(Public Key Infrastructure,PKI)的整车通信技术,因此,为了保证控制单元之间或者是控制单元与数字证书校验模块之间的通信数据的可靠性,避免发生信息泄露以及终端被篡改的问题,每个发送对象(例如控制单元和数字证书校验模块)对其发送的信息均进行第一签名,形成加密文件,而后续的接收对象则可以通过基于该接收对象的私钥对第一签名进行解密操作,从而可以避免信息泄露,且还可以让发送对象对其发送的数据利用其的私钥进行第二签名,后续接收对象还可以利用发送对象的公钥对第二签名进行验证操作,进而可以确定该信息是可信任的发送对象发送的信息,后续才会对该信息内容进行相应的处理,保证了数据传输过程的可靠性。
可选的,对于上述步骤S401-S402以接收对象(数字证书校验模块)和发送对象(第一控制单元)为例阐述,可以表示为,对发送对象的可信度的验证,还可以让发送对象利用接收对象的公钥对其的标识进行加密形成第三签名,从而后续可以基于接收对象利用其私钥对该第三签名进行解密,从而得到接收对象标识。
需要说明的是,对于每一个验证请求相对的回复由回复类型和实际回复字节组成。所有确定的回复都必须经过数字签名,以保证这个信息的真实性和完整性。签名密钥属于主机厂的CA,即颁发这张证书的权威、可信的第三方机构,因此,在任何情况下,用户都能够信任这个响应信息。一个确定的回复信息由以下组成:回复语法的版本和响应器名称(即数字证书校验模块的名称),对每一张被提及证书的回复,均包括证书标识、证书状态值(有效、注销或未知)、回复有效期、签名算法对象标识符号、对回复信息散列后的签名和可选扩展。
可选的,上述对第二控制单元的数字证书的状态进行验证的过程还可以采用如下方法:第一控制单元发送获取请求,该获取请求携带有第一请求内容,第一控制单元接收数字证书校验模块基于该请求内容发送的报文,该报文为包含数字证书列表以及数字证书校验模块签名后的文件,第二控制单元获取数字证书校验模块的公钥,基于该公钥对签名进行验证操作,如果验证通过,则说明该文件为数字证书校验模块发送的,可以信任该数字证书列表中的内容,基于第二控制单元的标识和数字证书列表确定验证结果;也就是说,本申请实施例中,对第二控制单元的数字证书进行验证的过程可以由第一控制单元确定,第一控制单元获取到数字证书列表后,可以将其存储在其的存储区域中,若后续该第一控制单元还需要对第二控制单元或者是其他控制单元的数字证书进行验证时,可以直接从存储区域中调用,或者形成历史数据,且为了进一步保证本地存储区域中的数字证书列表的可靠性,还可以对当前时间是否符合数字证书列表更新时间域进行判断,可以进一步在提高数字证书校验的效率的基础上,保证数字证书列表的可靠性。
S204:将该验证结果发送给该第一控制单元。
参阅图5,图5为本申请一种可选的校验装置的结构示意图。本申请于另一方面还公开了一种数字证书校验装置,设置于数字证书校验模块,包括:
接收模块501,用于接收第一控制单元发送的验证请求;该验证请求携带有第二控制单元的标识;该第一控制单元、该第二控制单元和该数字证书校验模块设于同一车辆中;
获取模块502,用于获取数字证书列表;该数字证书列表用于表征控制单元的标识与该控制单元的数字证书有效性的对应关系;该数字证书列表存储在该数字证书验证模块;
确定模块503,用于基于该数字证书列表和该第二控制单元的标识确定出验证结果;
发送模块504,用于将该验证结果发送给该第一控制单元。
于一种可行的实施方式中,该数字证书列表包括数字证书无效列表,该数字证书无效列表包括无效的该控制单元的标识;该装置包括:
该确定模块,还用于基于该数字证书无效列表和该第二控制单元的标识确定出验证结果;若该数字证书无效列表中存在该第二控制单元的标识,则确定该验证结果为该第二控制单元的数字证书无效;否则,确定该验证结果为该第二控制单元的数字证书有效。
于一种可行的实施方式中,该数字证书列表包括数字证书有效列表;该数字证书有效列表包括有效的该控制单元的标识;该装置包括:
该确定模块,还用于基于该数字证书有效列表和该第二控制单元的标识确定出验证结果;若该数字证书有效列表中存在该第二控制单元的标识,则确定该验证结果为该第二控制单元的数字证书有效;否则,确定该验证结果为该第二控制单元的数字证书无效。
于一种可行的实施方式中,该装置包括:
该确定模块,还用于若该数字证书列表中存在该第二控制单元的标识,则基于该数字证书列表和该第二控制单元的标识确定出验证结果。
于一种可行的实施方式中,该装置包括:
该确定模块,还用于若该数字证书列表中不存在该第二控制单元的标识,则生成更新请求,该更新请求携带有请求内容;将该更新请求发送给在线证书状态协议(OnlineCertificate Status Protocol,0CSP)服务器;接收0CSP服务器发送的更新后的数字证书列表;该更新后的数字证书列表为该0CSP服务器基于该请求内容确定的;基于该更新后的数字证书列表和该第二控制单元的标识确定出验证结果。
于一种可行的实施方式中,该验证请求还携带有该第一控制单元对所述第一控制单元的标识进行加密的签名;
该装置包括:
该确定模块,还用于获取该数字证书校验模块的私钥;基于该数字证书校验模块的私钥对该签名进行解密操作,得到该第一控制单元的标识;基于该第一控制单元的标识和该数字证书列表确定出校验结果;若该校验结果为正确,则基于该数字证书列表和该第二控制单元的标识确定出验证结果;否则,不执行验证该第二控制单元的标识的过程。
本申请于另一方面还公开了一种数字证书校验系统,其包括通信连接的第一控制单元、第二控制单元和数字证书校验模块;
该第一控制单元、该第二控制单元和该数字证书校验模块设于同一车辆中;
该数字校验模块用于接收第一控制单元发送的验证请求;该验证请求携带有第二控制单元的标识;该第一控制单元、该第二控制单元和该数字证书校验模块设于同一车辆中;获取数字证书列表;该数字证书列表用于表征控制单元的标识与该控制单元的数字证书有效性的对应关系;该数字证书列表存储在该数字证书验证模块;基于该数字证书列表和该第二控制单元的标识确定出验证结果;将该验证结果发送给该第一控制单元。
本申请实施例所提供的方法实施例可以在计算机终端、服务器或者类似的运算装置中执行。以运行在服务器上为例,图6为本申请一种可选的校验方法的服务器的硬件结构框图。如图6所示,该服务器600可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(Central Processing Units,CPU)610(中央处理器610可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器630,一个或一个以上存储应用程序623或数据622的存储介质620(例如一个或一个以上海量存储设备)。其中,存储器630和存储介质620可以是短暂存储或持久存储。存储在存储介质620的程序可以包括一个或一个以上模块,每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器610可以设置为与存储介质620通信,在服务器600上执行存储介质620中的一系列指令操作。服务器600还可以包括一个或一个以上电源660,一个或一个以上有线或无线网络接口650,一个或一个以上输入输出接口640,和/或,一个或一个以上操作系统621,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
输入输出接口640可以用于经由一个网络接收或者发送数据。上述的网络具体实例可包括服务器600的通信供应商提供的无线网络。在一个实例中,输入输出接口640包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,输入输出接口640可以为射频(RadioFrequency,RF)模块,其用于通过无线方式与互联网进行通讯。
本领域普通技术人员可以理解,图6所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,服务器600还可包括比图6中所示更多或者更少的组件,或者具有与图6所示不同的配置。
本申请的实施例还提供了一种电子设备,该电子设备包括处理器和存储器,存储器中存储有至少一条指令、至少一段程序、代码集或指令集,该至少一条指令、该至少一段程序、该代码集或该指令集由处理器加载并执行以实现如上述的校验方法。
本申请的实施例还提供了一种计算机存储介质,所述计算机存储介质可设置于服务器之中以保存用于实现方法实施例中一种校验方法相关的至少一条指令、至少一段程序、代码集或指令集,该至少一条指令、该至少一段程序、该代码集或指令集由该处理器加载并执行以实现上述校验方法。
可选的,在本实施例中,上述存储介质可以位于计算机网络的多个网络服务器中的至少一个网络服务器。可选的,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是:上述本申请实施例先后顺序仅仅为了描述,不代表实施例的优劣。且上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本申请的较佳实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种数字证书的校验方法,其特征在于,应用于数字证书校验模块,包括:
接收第一控制单元发送的验证请求;所述验证请求携带有第二控制单元的标识;所述第一控制单元、所述第二控制单元和所述数字证书校验模块设于同一车辆中;
获取数字证书列表;所述数字证书列表用于表征控制单元的标识与所述控制单元的数字证书有效性的对应关系;所述数字证书列表存储在所述数字证书验证模块;
基于所述数字证书列表和所述第二控制单元的标识确定出验证结果;
将所述验证结果发送给所述第一控制单元。
2.根据权利要求1所述的校验方法,其特征在于,所述数字证书列表包括数字证书无效列表;
所述数字证书无效列表包括无效的所述控制单元的标识;
所述基于所述数字证书列表和所述第二控制单元的标识确定出验证结果,包括:
基于所述数字证书无效列表和所述第二控制单元的标识确定出验证结果;
若所述数字证书无效列表中存在所述第二控制单元的标识,则确定所述验证结果为所述第二控制单元的数字证书无效;否则,确定所述验证结果为所述第二控制单元的数字证书有效。
3.根据权利要求1所述的校验方法,其特征在于,所述数字证书列表包括数字证书有效列表;
所述数字证书有效列表包括有效的所述控制单元的标识;
所述基于所述数字证书列表和所述第二控制单元的标识确定出验证结果,包括:
基于所述数字证书有效列表和所述第二控制单元的标识确定出验证结果;
若所述数字证书有效列表中存在所述第二控制单元的标识,则确定所述验证结果为所述第二控制单元的数字证书有效;否则,确定所述验证结果为所述第二控制单元的数字证书无效。
4.根据权利要求1所述的校验方法,其特征在于,所述基于所述数字证书列表和所述第二控制单元的标识确定出验证结果,包括:
若所述数字证书列表中存在所述第二控制单元的标识,则基于所述数字证书列表和所述第二控制单元的标识确定出验证结果。
5.根据权利要求4所述的校验方法,其特征在于,所述若所述数字证书列表中存在所述第二控制单元的标识,则基于所述数字证书列表和所述第二控制单元的标识确定出验证结果之后,还包括:
若所述数字证书列表中不存在所述第二控制单元的标识,则生成更新请求,所述更新请求携带有请求内容;
将所述更新请求发送给在线证书状态协议(0CSP)服务器;
接收0CSP服务器发送的更新后的数字证书列表;所述更新后的数字证书列表为所述0CSP服务器基于所述请求内容确定的;
基于所述更新后的数字证书列表和所述第二控制单元的标识确定出验证结果。
6.根据权利要求1所述的校验方法,其特征在于,所述验证请求还携带有所述第一控制单元对第一控制单元的标识进行加密的签名;
所述基于所述数字证书列表和第二控制单元的标识确定出验证结果,包括:
获取所述数字证书校验模块的私钥;
基于所述数字证书校验模块的私钥对所述签名进行解密操作,得到所述第一控制单元的标识;
基于所述第一控制单元的标识和所述数字证书列表确定出校验结果;
若所述校验结果为正确,则基于所述数字证书列表和所述第二控制单元的标识确定出验证结果;否则,不执行验证所述第二控制单元的标识的过程。
7.一种数字证书校验装置,其特征在于,应用于数字证书校验模块,包括:
接收模块,用于接收第一控制单元发送的验证请求;所述验证请求携带有第二控制单元的标识;所述第一控制单元、所述第二控制单元和所述数字证书校验模块设于同一车辆中;
获取模块,用于获取数字证书列表;所述数字证书列表用于表征控制单元的标识与所述控制单元的数字证书有效性的对应关系;所述数字证书列表存储在所述数字证书验证模块;
确定模块,用于基于所述数字证书列表和所述第二控制单元的标识确定出验证结果;
发送模块,用于将所述验证结果发送给所述第一控制单元。
8.一种数字证书校验系统,其特征在于,包括通信连接的第一控制单元、第二控制单元和数字证书校验模块;
所述第一控制单元、所述第二控制单元和所述数字证书校验模块设于同一车辆中;
所述数字校验模块用于接收第一控制单元发送的验证请求;所述验证请求携带有第二控制单元的标识;所述第一控制单元、所述第二控制单元和所述数字证书校验模块设于同一车辆中;获取数字证书列表;所述数字证书列表用于表征控制单元的标识与所述控制单元的数字证书有效性的对应关系;所述数字证书列表存储在所述数字证书验证模块;基于所述数字证书列表和所述第二控制单元的标识确定出验证结果;将所述验证结果发送给所述第一控制单元。
9.一种电子设备,所述电子设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1-6任一所述的校验方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或至少一段程序由处理器加载并执行以实现如权利要求1-6任一项所述的校验方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111579225.3A CN114297591A (zh) | 2021-12-22 | 2021-12-22 | 一种数字证书的校验方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111579225.3A CN114297591A (zh) | 2021-12-22 | 2021-12-22 | 一种数字证书的校验方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114297591A true CN114297591A (zh) | 2022-04-08 |
Family
ID=80969410
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111579225.3A Pending CN114297591A (zh) | 2021-12-22 | 2021-12-22 | 一种数字证书的校验方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114297591A (zh) |
-
2021
- 2021-12-22 CN CN202111579225.3A patent/CN114297591A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11888993B2 (en) | Digital certificate application method | |
| EP3742696B1 (en) | Identity management method, equipment, communication network, and storage medium | |
| US20230353390A1 (en) | Method for upgrading certificate of pos terminal, server, and pos terminal | |
| CN111526159B (zh) | 建立数据连接的方法、装置、终端设备及存储介质 | |
| EP3425842B1 (en) | Communication system and communication method for certificate generation | |
| US20070257813A1 (en) | Secure network bootstrap of devices in an automatic meter reading network | |
| CN112887282B (zh) | 一种身份认证方法、装置、系统及电子设备 | |
| CN108923925B (zh) | 应用于区块链的数据存储方法和装置 | |
| CN112788042B (zh) | 物联网设备标识的确定方法及物联网设备 | |
| CN113472790B (zh) | 基于https协议的信息传输方法、客户端及服务器 | |
| CN110381075B (zh) | 基于区块链的设备身份认证方法和装置 | |
| CN113114699A (zh) | 一种车辆终端身份证书申请方法 | |
| CN110740038B (zh) | 区块链及其通信方法、网关、通信系统和存储介质 | |
| CN113285932B (zh) | 边缘服务的获取方法和服务器、边缘设备 | |
| CN115665138A (zh) | 一种汽车ota升级系统及方法 | |
| CN115114630A (zh) | 一种数据共享方法、装置及电子设备 | |
| CN112182009A (zh) | 区块链的数据更新方法及装置、可读存储介质 | |
| CN114297591A (zh) | 一种数字证书的校验方法、装置、电子设备及存储介质 | |
| CN114553542A (zh) | 一种数据包加密方法、装置及电子设备 | |
| CN113868713A (zh) | 一种数据验证方法、装置、电子设备及存储介质 | |
| CN113992336A (zh) | 基于区块链的加密网络离线数据可信交换方法及装置 | |
| CN114980012A (zh) | 一种车联网设备认证方法、装置及存储介质 | |
| CN114640491A (zh) | 通信方法和系统 | |
| CN116456341B (zh) | 数据保全认证方法、装置、设备及存储介质 | |
| CN110830243B (zh) | 对称密钥分发方法、装置、车辆及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |