CN114710358B - 安全认证信息获取方法、装置、车辆、系统和存储介质 - Google Patents

安全认证信息获取方法、装置、车辆、系统和存储介质 Download PDF

Info

Publication number
CN114710358B
CN114710358B CN202210383753.XA CN202210383753A CN114710358B CN 114710358 B CN114710358 B CN 114710358B CN 202210383753 A CN202210383753 A CN 202210383753A CN 114710358 B CN114710358 B CN 114710358B
Authority
CN
China
Prior art keywords
authentication information
security
safety
server
vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210383753.XA
Other languages
English (en)
Other versions
CN114710358A (zh
Inventor
陈明
李木犀
吴淼
刘毅
高铭霞
梁晨
邵馨蕊
胡闯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
FAW Group Corp
Original Assignee
FAW Group Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by FAW Group Corp filed Critical FAW Group Corp
Priority to CN202210383753.XA priority Critical patent/CN114710358B/zh
Publication of CN114710358A publication Critical patent/CN114710358A/zh
Application granted granted Critical
Publication of CN114710358B publication Critical patent/CN114710358B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/30Computing systems specially adapted for manufacturing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明实施例公开了一种安全认证信息获取方法、装置、车辆、系统和存储介质,该方法应用于车辆,车辆上安装有安全芯片,安全芯片用于存储安全认证信息,该方法包括:确定安全芯片中是否存储有安全认证信息;若安全芯片中存储有安全认证信息,基于安全认证信息进行安全通信;若安全芯片中没有存储安全认证信息,通过车联网服务器从车联网密码机获取安全认证信息,并基于安全认证信息进行安全通信。本发明实施例基于安全芯片中的安全认证信息进行安全通信;若安全芯片中未存储安全认证信息,可以通过车联网控制器获取安全认证信息,解决由于网络因素影响导致安全认证信息获取过程耗时较长的问题,满足不同车辆控制器的安全认证信息获取需求。

Description

安全认证信息获取方法、装置、车辆、系统和存储介质
技术领域
本发明涉及通信技术领域,尤其涉及一种安全认证信息获取方法、装置、车辆、系统和存储介质。
背景技术
在智能网联汽车给用户带来更加良好的驾乘体验时,满足各网联部分相互间的身份认证、安全信任、信息交互、数据保密等信息安全需求也尤为重要。
目前,为满足信息安全需求,会利用控制器通过网络从车厂加密机中在线申请密钥和证书,再将申请到的密钥和证书预置在控制器中,以达到满足各网联部分相互间的身份认证、安全信任等信息安全需求的目的。
控制器在线申请密钥和证书,就会受到网络稳定性差或者网速慢等因素的影响,从而导致申请密钥和证书的过程耗时较长。
发明内容
本发明实施例提供一种安全认证信息获取方法、装置、车辆、系统和存储介质,更加灵活的满足不同车辆控制器的安全认证信息获取需求,扩大了获取安全认证信息的适用性。
第一方面,本发明实施例提供一种安全认证信息获取方法,应用于车辆,所述车辆上安装有安全芯片,所述安全芯片用于存储产线密码机获取的并借由产线服务器通过证书载入工具载入的安全认证信息,包括:
确定所述安全芯片中是否存储有所述安全认证信息;
在所述安全芯片中存储有所述安全认证信息时,基于所述安全认证信息进行安全通信;
在所述安全芯片中没有存储所述安全认证信息时,通过车联网服务器从车联网密码机获取所述安全认证信息,并基于所述安全认证信息进行安全通信。
第二方面,本发明实施例提供一种安全认证信息获取装置,应用于车辆,所述车辆上安装有安全芯片,所述安全芯片用于存储产线密码机获取的并借由产线服务器通过证书载入工具载入的安全认证信息,所述装置包括:
安全认证信息确定模块,用于确定所述安全芯片中是否存储有所述安全认证信息;
通信模块,用于在所述安全芯片中存储有所述安全认证信息时,基于所述安全认证信息进行安全通信;
安全认证信息获取模块,用于在所述安全芯片中没有存储所述安全认证信息时,通过车联网服务器从车联网密码机获取所述安全认证信息,并基于所述安全认证信息进行安全通信。
第三方面,本发明实施例还提供了一种车辆,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如本发明实施例中任一所述的安全认证信息获取方法。
第四方面,本发明实施例还提供了一种安全认证信息获取系统,所述安全认证信息获取系统包括车联网密码机、车联网服务器、产线密码机、产线服务器以及用于执行如本发明实施例中任一所述的安全认证信息获取方法的车辆。
第五方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本发明实施例中任一所述的安全认证信息获取方法。
本发明实施例中,安全认证信息获取方法应用于车辆,车辆上安装有安全芯片,安全芯片用于存储产线密码机获取的并借由产线服务器通过证书载入工具载入的安全认证信息,通过确定安全芯片中是否存储有安全认证信息;在安全芯片中存储有安全认证信息时,基于安全认证信息进行安全通信;在安全芯片中没有存储安全认证信息时,通过车联网服务器从车联网密码机获取安全认证信息,并基于安全认证信息进行安全通信。本发明实施例通过将安全认证信息存储于安全芯片中,从而基于安全芯片中的安全认证信息进行安全通信;当安全芯片中未存储安全认证信息时,可以通过车联网控制器获取安全认证信息,并基于安全认证信息进行安全通信,解决了由于网络因素影响导致安全认证信息获取过程耗时较长的问题,提供了线上线下两种安全认证信息获取途径,避免了安全认证信息获取只能通过车辆控制器线上获取带来的不便,更加灵活的满足不同车辆控制器的安全认证信息获取需求,扩大了获取安全认证信息的适用性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1是本发明实施例提供的安全认证信息获取方法的一个流程示意图;
图2是本发明实施例提供的获取安全认证信息的一个示意图;
图3是本发明实施例提供的获取安全认证信息的另一个示意图;
图4是本发明实施例提供的安全认证信息获取方法的另一个流程示意图;
图5是本发明实施例提供的对安全认证信息进行验证的一个示意图;
图6是本发明实施例提供的安全认证信息获取装置的一个结构示意图;
图7是本发明实施例提供的车辆的一个结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
应当理解,本发明的方法实施方式中记载的各个步骤可以按照不同的顺序执行,和/或并行执行。此外,方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本发明的范围在此方面不受限制。
下面介绍本发明实施例提供的安全认证信息获取方法,图1是本发明实施例提供的安全认证信息获取方法的一个流程示意图,该方法可以由本发明实施例提供的安全认证信息获取装置来执行,该装置可采用软件和/或硬件的方式实现。在一个具体的实施例中,该装置可以集成在车辆中。以下实施例将以该装置集成在车辆中为例进行说明,参考图1,该方法具体可以包括如下步骤:
步骤101,确定安全芯片中是否存储有安全认证信息。
其中,安全认证信息可以理解为用于与其他车辆控制器或第三方设备进行通信的密钥&证书;安全芯片可以是用于存储产线密码机获取的并借由产线服务器通过证书载入工具载入的安全认证信息。
具体地,可以在车辆出厂前,通过车联网密码机、车联网服务器、供应商服务器、产线服务器和产线密码机的产线进行线下获取安全认证信息,并通过证书载入工具将安全认证信息载入车辆上安装的安全芯片中;图2是本发明实施例提供的获取安全认证信息的一个示意图,如图2所示,在车联网密码机210接收到车企服务器下达的订单之后,车联网密码机210可以基于订单批量生成原始认证信息,并使用C1/K1对原始认证信息进行加密和签名,得到一次加密认证信息,将一次加密认证信发送至车联网服务器211;车联网服务器211对接收到的一次加密认证信进行解密和验证,验证无误后使用C2/K2对一次加密认证信进行加密和签名,得到二次加密认证信息,并将二次加密认证信息发送至供应商服务器212;供应商服务器212将接收到的二次加密认证信息进行解密和验证,可以得到安全认证信息,供应商服务器212将安全认证信息发送至产线密码机213;产线密码机213可以将接收到的安全认证信息发送至产线服务器214;产线服务器214可以通过证书载入工具将安全认证信息载入安全芯片;在安全芯片被载入安全认证信息后,可以通过产线上的工作人员将载入安全认证信息的安全芯片安装于车辆215中;在载入安全认证信息的安全芯片被安装到车辆215中后,车辆215可以获取安全芯片中的安全认证信息。
其中,C1/K1、C2/K2可以理解为预先定义的两种不同的密钥和证书;C1/K1可以用于车联网密码机210和车联网服务器211之间的信息的加密、解密以及验证;C2/K2可以用于车联网服务器211和供应商服务器212之间的信息的加密、解密和验证;C1/K1、C2/K2可以提前由车联网密码机210生成,通过安全通道线下传递到车联网服务器211和供应商服务器212。在本发明实施例提供的获取安全认证信息的方法中,签名和验签可以使用X509标准格式的数字证书;加密算法可以采用AES128,其中,AES(Advanced Encryption Standard)是一种区块加密标准算法,AES128可以理解为密钥长度为128位的区块加密标准算法。
通过本发明实施例提供的基于产线的线下获取安全认证信息的方法,可以解决由于受到网络因素的影响导致获取安全认证信息耗时较长的问题,提供了一种线下获取安全认证信息的方法,提高了获取安全认证信息的速度,并通过对安全认证信息的加密和签名,确保了安全认证信息的完整性。
进一步地,可以通过车辆控制器确定安全芯片中是否存储有安全认证信息。
步骤102,在安全芯片中存储有安全认证信息时,基于安全认证信息进行安全通信。
其中,安全通信可以理解为车辆控制器与其他控制器或者第三方设备之间的信息交互。
具体地,在通过车辆控制器确定安全芯片中存储有安全信息时,车辆控制器可以基于安全认证信息进行安全通信。
示例地,在通过车辆控制器确定安全芯片中存储有安全认证信息时,车辆控制器可以基于安全认证信息进行与其他车辆控制器或者第三方设备之间的身份认证。
步骤103,在安全芯片中没有存储安全认证信息时,通过车联网服务器从车联网密码机获取安全认证信息,并基于安全认证信息进行安全通信。
其中,车联网服务器可以理解为汽车远程服务提供商服务器;车联网密码机可以理解为生成安全认证信息的密码机。
具体地,在车辆控制器确定安全芯片中没有存储安全认证信息时,车辆控制器可以按照申请数据组装申请报文内容,并将申请报文发送至车联网服务器;车联网服务器在接收到申请报文后,可以进行车辆控制器的身份验证,在身份验证后,将申请报文发送给车联网密码机;车联网密码机接收到申请报文后,按照定义好的模板进行安全认证信息的生成和签发。
示例地,在通过车辆控制器确定安全芯片中没有存储安全认证信息时,可以通过车辆控制器在线申请安全认证信息从而获取安全认证信息,图3是本发明实施例提供的获取安全认证信息的另一个示意图,如图3所示,在车辆215上电后,车辆215的控制器需要检查是否存在安全认证信息,如果车辆215的控制器确定不存在安全认证信息,则进入安全认证信息申请流程。车辆215的控制器按照申请数据组装申请报文内容并通过TLS安全通道发送至车联网服务器211;车联网服务器211接收到申请报文后,进行车辆215的身份验证操作,然后通过TLS(Transport Layer Security,传输层安全协议)安全通道将申请报文发往车联网密码机210;车联网密码机210接收到申请报文后,按照定义好的模板进行安全认证信息的生成和签发,然后将安全认证信息发往车联网服务器211;车联网服务器211接收到安全认证信息后,提取安全认证信息并进行加密,然后透传给车辆215;车辆215收到安全认证信息后,进行本地信息的验证,然后将安全认证信息进行安全存储,确保不被外界窃取,从而基于安全认证信息进行安全通信。
其中,TLS安全通道可以理解为车辆215、车联网服务器211和车联网密码机210之间透过网络创建的安全连接,TLS安全通道可以防止在交换数据时受到窃听及篡改,通过TLS安全通道传送安全认证信息的方式,可以确保安全认证信息不被篡改和窃取,增加了安全认证信息的安全性。
本发明实施例中,通过确定安全芯片中是否存储有安全认证信息;在安全芯片中存储有安全认证信息时,基于安全认证信息进行安全通信;在安全芯片中没有存储安全认证信息时,通过车联网服务器从车联网密码机获取安全认证信息,并基于安全认证信息进行安全通信。本发明实施例通过将安全认证信息存储于安全芯片中,从而基于安全芯片中的安全认证信息进行安全通信;当安全芯片中未存储安全认证信息时,可以通过车联网控制器获取安全认证信息,并基于安全认证信息进行安全通信,解决了由于网络因素影响导致安全认证信息获取过程耗时较长的问题,提供了线上线下两种安全认证信息获取途径,避免了安全认证信息获取只能通过车辆控制器线上获取带来的不便,更加灵活的满足不同车辆控制器的安全认证信息获取需求,扩大了获取安全认证信息的适用性,确保了安全认证信息的完整性和安全性。
下面进一步描述本发明实施例提供的安全认证信息获取方法,图4是本发明实施例提供的安全认证信息获取方法的另一个流程示意图。如图4所示,本实施例的安全认证信息获取方法具体可以包括如下步骤:
步骤401,确定安全芯片中是否存储有安全认证信息,在安全芯片中没有存储安全认证信息时,执行步骤402;在安全芯片中存储有安全认证信息时,执行步骤404。
步骤402,向车联网服务器发送信息申请报文,以使得车联网服务器在对车辆进行身份验证之后将信息申请报文转发给车联网密码机。
其中,信息申请报文可以理解为申请安全认证信息的报文。
具体地,在车辆控制器确定安全芯片中没有存储安全认证信息时,车辆控制器可以向车联网服务器发送信息申请报文;车联网服务器在接收到信息申请报文后,可以对车辆进行身份验证,在对车辆进行身份验证之后,车联网服务器可以将信息申请报文转发给车联网密码机。
步骤403,通过车联网服务器获取车联网密码机生成的安全认证信息,并基于安全认证信息进行安全通信。
具体地,可以在车联网服务器将信息申请报文转发给车联网密码机之后,车联网密码机可以基于信息申请报文生成安全认证信息,并将生成的安全认证信息发送至车联网服务器;车联网服务器在接收到安全认证信息之后,可以将安全认证信息透传给车辆控制器;车辆控制器在接收到安全认证信息之后,可以基于接收到的安全认证信息进行安全通信。
步骤404,对安全认证信息进行验证,得到验证结果。
具体地,可以通过对安全认证信息中的基础信息、时间、公私钥以及安全认证信息的合法性进行验证,得到验证结果。
步骤405,确定验证结果是否合格,在验证结果不合格时,执行步骤406;在验证结果是合格时,执行步骤407。
具体地,在安全认证信息同时满足多个预设条件时,确定验证结果合格,在安全认证信息不满足多个预设条件中的任意一者时,确定验证结果不合格,多个预设条件包括:安全认证信息的基础信息与安全芯片的基础信息匹配;安全认证信息合法;安全认证信息的时间属于有效期范围;安全认证信息的公私钥匹配成功。
示例地,图5是本发明实施例提供的对安全认证信息进行验证的一个示意图,如图5所示,在车辆控制器上电后,首先确定证书基础信息与安全芯片的基础信息是否匹配,可以读取安全芯片中的SN项,使用约定好的算法计算证书的CN值,将CN值与证书中的SN项进行比对,如果一致则确定证书基础信息与安全芯片的基础信息匹配;如果不一致,则证书基础信息与安全芯片的基础信息不匹配。
继续确定安全认证信息是否合法,可以利用预置的根证书链去校验安全认证信息中的证书合法性,即车辆控制器校验证书是否为车企X509 PKI系统进行签发。如果校验证书合法性结果为合法,则确定安全认证信息合法;如果校验证书合法性结果为不合法,则表示证书已遭到篡改,为非法证书,确定安全认证信息不合法。
然后确定安全认证信息的时间是否属于有效期范围,可以在获取本地时间后,对证书有效期进行检查;本地时间需要落在证书起始、终止时间内。如果本地时间需落在证书起始、终止时间,则确定安全认证信息的时间属于有效期范围;如果本地时间需落在证书起始、终止时间内,则确定安全认证信息的时间不属于有效期范围。
最后确定安全认证信息的公私钥是否匹配成功,可以使用安全认证信息中证书中的私钥和公钥进行一次签名和验签的计算,判断公私钥的匹配关系是否正确;如果公私钥的匹配关系正确,说明证书有效,确定安全认证信息的公私钥匹配成功;如果公私钥的匹配关系不正确,说明证书无效,确定安全认证信息的公私钥匹配失败;其中密钥直接通过诊断仪跟车辆之间进行加解密配对完成匹配。
本发明实施例中,通过在安全认证信息同时满足多个预设条件时,确定验证结果合格,在安全认证信息不满足多个预设条件中的任意一者时,确定验证结果不合格,提高了安全认证信息的验证准确率,确保了安全认证信息的正确性。
步骤406,确定验证结果对应的诊断码并展示诊断码。
具体地,在确定验证结果不合格时,可以确定验证结果对应的诊断码并展示诊断码。
示例地,表1是本发明实施例提供的证书诊断码、对应信息和对应信息的释义的关系表。
表1证书诊断码、对应信息和对应信息的释义的关系表
如表1所示,0xFF对应信息为证书不存在,即上电后经过控制器判断,证书不存在;0x00对应信息为证书校验成功;0x01对应信息为证书与芯片不匹配,即证书CN与安全芯片SN不匹配;0x02对应信息为证书不合法,即使用车企根证链校验失败,证书非法或被篡改;0x03对应信息为证书时间不匹配,即证书有效期中的起始时间晚于控制器本地时间,说明证书未到生效时间;0x04对应信息为证书有效期失效,即证书有效期中的结束时间早于控制器本地时间,证书已经失效;0x05对应信息为证书公私钥不匹配,即证书公私钥不匹配,公私钥被篡改或制证异常;0x0D对应信息为其他,即除上述以外的异常情况。
如果车辆控制器确定安全认证信息中的起始时间晚于控制器本地时间,说明证书未到生效时间,则可以确定证书时间不匹配,如图5所示,证书时间不匹配时,需要记录对应诊断码(0x03),在记录诊断码之后并展示诊断码(0x03)。
本发明实施例中,通过对安全认证信息进行验证,得到验证结果;确定验证结果是否合格;在验证结果合格时,基于安全认证信息进行安全通信;在验证结果不合格时,确定验证结果对应的诊断码并展示诊断码,可以确保安全认证信息的完整性和正确性,提高载入安全认证信息的准确率。
步骤407,基于安全认证信息进行安全通信。
本发明实施例中,通过确定安全芯片中是否存储有安全认证信息,在安全芯片中没有存储安全认证信息时,向车联网服务器发送信息申请报文,以使得车联网服务器在对车辆进行身份验证之后将信息申请报文转发给车联网密码机,通过车联网服务器获取车联网密码机生成的安全认证信息,并基于安全认证信息进行安全通信;在安全芯片中存储有安全认证信息时,对安全认证信息进行验证,得到验证结果,确定验证结果是否合格,在验证结果不合格时,确定验证结果对应的诊断码并展示诊断码;在验证结果是合格时,基于安全认证信息进行安全通信。即本发明实施例中,可以通过对安全芯片中的安全认证信息进行验证,得到验证结果,确定验证结果是否合格,在验证结果不合格时,确定验证结果对应的诊断码并展示诊断码;在验证结果合格时,而基于安全芯片中的安全认证信息进行安全通信,解决了由于网络因素影响导致安全认证信息获取过程耗时较长的问题,提供了线上线下两种安全认证信息获取途径,避免了安全认证信息获取只能通过车辆控制器线上获取带来的不便,更加灵活的满足不同车辆控制器的安全认证信息获取需求,扩大了获取安全认证信息的适用性,确保了存储于安全芯片中的安全认证信息的正确性。
图6是本发明实施例提供的安全认证信息获取装置的一个结构示意图,该装置适用于执行本发明实施例提供的安全认证信息获取方法。如图6所示,该装置具体可以包括:
安全认证信息确定模块501,用于确定所述安全芯片中是否存储有所述安全认证信息;
通信模块502,用于在所述安全芯片中存储有所述安全认证信息时,基于所述安全认证信息进行安全通信;
安全认证信息获取模块503,用于在所述安全芯片中没有存储所述安全认证信息时,通过车联网服务器从车联网密码机获取所述安全认证信息,并基于所述安全认证信息进行安全通信。
可选地,通信模块502,具体用于:
对所述安全认证信息进行验证,得到验证结果;
确定所述验证结果是否合格;
在所述验证结果合格时,基于所述安全认证信息进行安全通信。
可选地,通信模块502,具体用于:
在所述验证结果不合格时,确定所述验证结果对应的诊断码并展示所述诊断码。
可选地,通信模块502确定所述验证结果是否合格,包括:
在所述安全认证信息同时满足多个预设条件时,确定所述验证结果合格,在所述安全认证信息不满足所述多个预设条件中的任意一者时,确定所述验证结果不合格,所述多个预设条件包括:
安全认证信息的基础信息与所述安全芯片的基础信息匹配;
安全认证信息合法;
安全认证信息的时间属于有效期范围;
安全认证信息的公私钥匹配成功。
可选地,安全认证信息获取模块503,具体用于:
在所述安全芯片中没有存储所述安全认证信息时,向所述车联网服务器发送信息申请报文,以使得所述车联网服务器在对所述车辆进行身份验证之后将所述信息申请报文转发给所述车联网密码机;
通过所述车联网服务器获取所述车联网密码机生成的所述安全认证信息,并基于所述安全认证信息进行安全通信。
本领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述功能模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本发明实施例的装置,通过确定安全芯片中是否存储有安全认证信息;在安全芯片中存储有安全认证信息时,基于安全认证信息进行安全通信;在安全芯片中没有存储安全认证信息时,通过车联网服务器从车联网密码机获取安全认证信息,并基于安全认证信息进行安全通信。本发明实施例通过将安全认证信息存储于安全芯片中,从而基于安全芯片中的安全认证信息进行安全通信;当安全芯片中未存储安全认证信息时,可以通过车联网控制器获取安全认证信息,并基于安全认证信息进行安全通信,解决了由于网络因素影响导致安全认证信息获取过程耗时较长的问题,提供了线上线下两种安全认证信息获取途径,避免了安全认证信息获取只能通过车辆控制器线上获取带来的不便,更加灵活的满足不同车辆控制器的安全认证信息获取需求,扩大了获取安全认证信息的适用性。
本发明实施例还提供了一种车辆,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任一实施例提供的安全认证信息获取方法。
本发明实施例还提供了一种安全认证信息获取系统,安全认证信息获取系统如图2所示,包括车联网密码机210、车联网服务器211、产线密码机213、产线服务器214以及用于执行上述任一实施例提供的安全认证信息获取方法的车辆215。
安全认证信息获取系统还包括如图2所示的供应商服务器212;供应商服务器212用于从车联网服务器211获取二次加密认证信息,对二次加密认证信息进行解密验证得到安全认证信息,将安全认证信息发送给产线密码机213,以使得产线密码机213借由产线服务器214通过证书载入工具将安全认证信息载入安全芯片;
二次加密认证信息由车联网服务器211对从车联网密码机210获取的一次加密认证信息进行解密、验证并加密得到,一次加密认证信息由车联网密码机210对车联网密码机210生成的原始认证信息进行加密得到。
本发明实施例还提供了一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现上述任一实施例提供的安全认证信息获取方法。
下面参考图7,其示出了适于用来实现本发明实施例的车辆600的结构示意图。本发明实施例中的车辆可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图7示出的车辆仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,车辆600可以包括处理装置(例如中央处理器、图形处理器等)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储装置608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM 603中,还存储有车辆600操作所需的各种程序和数据。处理装置601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
通常,以下装置可以连接至I/O接口605:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置606;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置607;包括例如磁带、硬盘等的存储装置608;以及通信装置609。通信装置609可以允许车辆600与其他设备进行无线或有线通信以交换数据。虽然图7示出了具有各种装置的车辆600,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本发明的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明的实施例包括一种计算机程序产品,其包括承载在非暂态计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置609从网络上被下载和安装,或者从存储装置608被安装,或者从ROM 602被安装。在该计算机程序被处理装置601执行时,执行本发明实施例的方法中限定的上述功能。需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块和/或单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块和/或单元也可以设置在处理器中,例如,可以描述为:一种处理器包括安全认证信息获取模块、通信模块和安全认证信息确定模块。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:确定安全芯片中是否存储有安全认证信息;在安全芯片中存储有安全认证信息时,基于安全认证信息进行安全通信;在安全芯片中没有存储安全认证信息时,通过车联网服务器从车联网密码机获取安全认证信息,并基于安全认证信息进行安全通信。
根据本发明实施例的技术方案,通过确定安全芯片中是否存储有安全认证信息;在安全芯片中存储有安全认证信息时,基于安全认证信息进行安全通信;在安全芯片中没有存储安全认证信息时,通过车联网服务器从车联网密码机获取安全认证信息,并基于安全认证信息进行安全通信。本发明实施例通过将安全认证信息存储于安全芯片中,从而基于安全芯片中的安全认证信息进行安全通信;当安全芯片中未存储安全认证信息时,可以通过车联网控制器获取安全认证信息,并基于安全认证信息进行安全通信,解决了由于网络因素影响导致安全认证信息获取过程耗时较长的问题,提供了线上线下两种安全认证信息获取途径,避免了安全认证信息获取只能通过车辆控制器线上获取带来的不便,更加灵活的满足不同车辆控制器的安全认证信息获取需求,扩大了获取安全认证信息的适用性。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。

Claims (9)

1.一种安全认证信息获取方法,其特征在于,应用于车辆,所述车辆上安装有安全芯片,所述安全芯片用于存储产线密码机获取的并借由产线服务器通过证书载入工具载入的安全认证信息,所述方法包括:
确定所述安全芯片中是否存储有所述安全认证信息;
在所述安全芯片中存储有所述安全认证信息时,基于所述安全认证信息进行安全通信;
在所述安全芯片中没有存储所述安全认证信息时,通过TLS安全通道向车联网服务器发送信息申请报文,以使得所述车联网服务器在对所述车辆进行身份验证之后、并通过所述TLS安全通道将所述信息申请报文转发给车联网密码机,通过所述车联网服务器获取所述车联网密码机生成的所述安全认证信息,并基于所述安全认证信息进行安全通信;
其中,在所述车辆出厂前,通过所述车联网密码机、所述车联网服务器、供应商服务器、产线服务器和所述产线密码机的产线进行线下获取所述安全认证信息,并通过证书载入工具将所述安全认证信息载入所述车辆上安装的安全芯片中,包括:在所述车联网密码机接收到车企服务器下达的订单之后,所述车联网密码机基于订单批量生成原始认证信息,并使用C1/K1对原始认证信息进行加密和签名,得到一次加密认证信息,将所述一次加密认证信发送至所述车联网服务器;所述车联网服务器对接收到的所述一次加密认证信进行解密和验证,验证无误后使用C2/K2对所述一次加密认证信进行加密和签名,得到二次加密认证信息,并将所述二次加密认证信息发送至所述供应商服务器;所述供应商服务器将接收到的所述二次加密认证信息进行解密和验证,得到安全认证信息,所述供应商服务器将所述安全认证信息发送至所述产线密码机;所述产线密码机将接收到的所述安全认证信息发送至所述产线服务器;所述产线服务器通过证书载入工具将所述安全认证信息载入安全芯片;其中,所述C1/K1、所述C2/K2为预先定义的两种不同的密钥和证书;所述C1/K1用于所述车联网密码机和所述车联网服务器之间的信息的加密、解密以及验证;所述C2/K2用于所述车联网服务器和所述供应商服务器之间的信息的加密、解密和验证。
2.根据权利要求1所述的方法,其特征在于,所述在所述安全芯片中存储有所述安全认证信息时,基于所述安全认证信息进行安全通信,包括:
对所述安全认证信息进行验证,得到验证结果;
确定所述验证结果是否合格;
在所述验证结果合格时,基于所述安全认证信息进行安全通信。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
在所述验证结果不合格时,确定所述验证结果对应的诊断码并展示所述诊断码。
4.根据权利要求2所述的方法,其特征在于,所述确定所述验证结果是否合格,包括:
在所述安全认证信息同时满足多个预设条件时,确定所述验证结果合格,在所述安全认证信息不满足所述多个预设条件中的任意一者时,确定所述验证结果不合格,所述多个预设条件包括:
安全认证信息的基础信息与所述安全芯片的基础信息匹配;
安全认证信息合法;
安全认证信息的时间属于有效期范围;
安全认证信息的公私钥匹配成功。
5.一种安全认证信息获取装置,其特征在于,应用于车辆,所述车辆上安装有安全芯片,所述安全芯片用于存储产线密码机获取的并借由产线服务器通过证书载入工具载入的安全认证信息,所述装置包括:
安全认证信息确定模块,用于确定所述安全芯片中是否存储有所述安全认证信息;
通信模块,用于在所述安全芯片中存储有所述安全认证信息时,基于所述安全认证信息进行安全通信;
安全认证信息获取模块,用于在所述安全芯片中没有存储所述安全认证信息时,通过TLS安全通道向车联网服务器发送信息申请报文,以使得所述车联网服务器在对所述车辆进行身份验证之后、并通过所述TLS安全通道将所述信息申请报文转发给车联网密码机,通过所述车联网服务器获取所述车联网密码机生成的所述安全认证信息,并基于所述安全认证信息进行安全通信;
其中,在所述车辆出厂前,通过所述车联网密码机、所述车联网服务器、供应商服务器、产线服务器和所述产线密码机的产线进行线下获取所述安全认证信息,并通过证书载入工具将所述安全认证信息载入所述车辆上安装的安全芯片中,包括:在所述车联网密码机接收到车企服务器下达的订单之后,所述车联网密码机基于订单批量生成原始认证信息,并使用C1/K1对原始认证信息进行加密和签名,得到一次加密认证信息,将所述一次加密认证信发送至所述车联网服务器;所述车联网服务器对接收到的所述一次加密认证信进行解密和验证,验证无误后使用C2/K2对所述一次加密认证信进行加密和签名,得到二次加密认证信息,并将所述二次加密认证信息发送至所述供应商服务器;所述供应商服务器将接收到的所述二次加密认证信息进行解密和验证,得到安全认证信息,所述供应商服务器将所述安全认证信息发送至所述产线密码机;所述产线密码机将接收到的所述安全认证信息发送至所述产线服务器;所述产线服务器通过证书载入工具将所述安全认证信息载入安全芯片;其中,所述C1/K1、所述C2/K2为预先定义的两种不同的密钥和证书;所述C1/K1用于所述车联网密码机和所述车联网服务器之间的信息的加密、解密以及验证;所述C2/K2用于所述车联网服务器和所述供应商服务器之间的信息的加密、解密和验证。
6.一种车辆,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至4中任一所述的安全认证信息获取方法。
7.一种安全认证信息获取系统,其特征在于,所述安全认证信息获取系统包括车联网密码机、车联网服务器、产线密码机、产线服务器以及用于执行如权利要求1至4任一项所述的安全认证信息获取方法的车辆。
8.根据权利要求7所述的系统,其特征在于,所述系统还包括供应商服务器;
所述供应商服务器用于从所述车联网服务器获取二次加密认证信息,对所述二次加密认证信息进行解密验证得到所述安全认证信息,将所述安全认证信息发送给所述产线密码机,以使得所述产线密码机借由所述产线服务器通过所述证书载入工具将所述安全认证信息载入所述安全芯片;
所述二次加密认证信息由所述车联网服务器对从所述车联网密码机获取的一次加密认证信息进行解密、验证并加密得到,所述一次加密认证信息由所述车联网密码机对所述车联网密码机生成的原始认证信息进行加密得到。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至4中任一所述的安全认证信息获取方法。
CN202210383753.XA 2022-04-12 2022-04-12 安全认证信息获取方法、装置、车辆、系统和存储介质 Active CN114710358B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210383753.XA CN114710358B (zh) 2022-04-12 2022-04-12 安全认证信息获取方法、装置、车辆、系统和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210383753.XA CN114710358B (zh) 2022-04-12 2022-04-12 安全认证信息获取方法、装置、车辆、系统和存储介质

Publications (2)

Publication Number Publication Date
CN114710358A CN114710358A (zh) 2022-07-05
CN114710358B true CN114710358B (zh) 2024-01-16

Family

ID=82173927

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210383753.XA Active CN114710358B (zh) 2022-04-12 2022-04-12 安全认证信息获取方法、装置、车辆、系统和存储介质

Country Status (1)

Country Link
CN (1) CN114710358B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108260102A (zh) * 2018-01-04 2018-07-06 西南交通大学 基于代理签名的lte-r车-地通信非接入层认证方法
CN108650220A (zh) * 2018-03-27 2018-10-12 北京安御道合科技有限公司 发放、获取移动终端证书及汽车端芯片证书的方法、设备
CN111479244A (zh) * 2020-05-08 2020-07-31 郑州信大捷安信息技术股份有限公司 一种v2i车联网身份认证系统及方法
CN113411294A (zh) * 2021-04-30 2021-09-17 中汽研(天津)汽车工程研究院有限公司 基于安全云端公钥保护的车载安全通信方法、系统和装置
CN113965328A (zh) * 2021-10-21 2022-01-21 上海交通大学 可信执行环境的数字钥匙离线情况的权限转移方法及系统
CN114154135A (zh) * 2022-02-07 2022-03-08 南京理工大学 基于国密算法的车联网通信安全认证方法、系统及设备

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108260102A (zh) * 2018-01-04 2018-07-06 西南交通大学 基于代理签名的lte-r车-地通信非接入层认证方法
CN108650220A (zh) * 2018-03-27 2018-10-12 北京安御道合科技有限公司 发放、获取移动终端证书及汽车端芯片证书的方法、设备
CN111479244A (zh) * 2020-05-08 2020-07-31 郑州信大捷安信息技术股份有限公司 一种v2i车联网身份认证系统及方法
CN113411294A (zh) * 2021-04-30 2021-09-17 中汽研(天津)汽车工程研究院有限公司 基于安全云端公钥保护的车载安全通信方法、系统和装置
CN113965328A (zh) * 2021-10-21 2022-01-21 上海交通大学 可信执行环境的数字钥匙离线情况的权限转移方法及系统
CN114154135A (zh) * 2022-02-07 2022-03-08 南京理工大学 基于国密算法的车联网通信安全认证方法、系统及设备

Also Published As

Publication number Publication date
CN114710358A (zh) 2022-07-05

Similar Documents

Publication Publication Date Title
CN110519309B (zh) 数据传输方法、装置、终端、服务器及存储介质
EP3457344A1 (en) Payment authentication method, apparatus and system for onboard terminal
CN107358441B (zh) 支付验证的方法、系统及移动设备和安全认证设备
CN107743067B (zh) 数字证书的颁发方法、系统、终端以及存储介质
CN103503366A (zh) 管理针对认证设备的数据
CN113794734A (zh) 车载can总线加密通信方法、控制装置和可读存储介质
CN110190958A (zh) 一种车辆的身份验证方法、装置、电子设备及存储介质
CN111510448A (zh) 汽车ota升级中的通讯加密方法、装置及系统
CN110555300A (zh) 应用程序授权方法、客户端、服务器、终端设备及介质
US20120124378A1 (en) Method for personal identity authentication utilizing a personal cryptographic device
CN111030827A (zh) 信息交互方法、装置、电子设备、及存储介质
CN107171814A (zh) 一种数字证书更新方法及装置
CN115766294B (zh) 云服务器资源认证处理方法、装置、设备及存储介质
CN114710358B (zh) 安全认证信息获取方法、装置、车辆、系统和存储介质
CN114301597B (zh) 密钥验证方法、设备及可读存储介质
CN110602075A (zh) 一种加密访问控制的文件流处理的方法、装置及系统
CN113810779B (zh) 码流验签方法、装置、电子设备和计算机可读介质
CN111935138B (zh) 安全登录的防护方法、装置及电子设备
CN114650181A (zh) 电子邮件加解密方法、系统、设备及计算机可读存储介质
WO2016165662A1 (zh) 一种手机准数字证书子系统及其系统及其方法
CN114640491A (zh) 通信方法和系统
CN110851270A (zh) 资源转移方法、装置、设备及介质
CN114297682B (zh) 一种生成业务记录的方法、系统和电子设备
CN114726539B (zh) 一种基于可信密码模块tcm的离线升级方法
CN115967920A (zh) 一种汽车蓝牙密钥安全管理方法、系统、设备和介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant