CN114978751A - 业务证书获取方法、装置和电子设备 - Google Patents
业务证书获取方法、装置和电子设备 Download PDFInfo
- Publication number
- CN114978751A CN114978751A CN202210689120.1A CN202210689120A CN114978751A CN 114978751 A CN114978751 A CN 114978751A CN 202210689120 A CN202210689120 A CN 202210689120A CN 114978751 A CN114978751 A CN 114978751A
- Authority
- CN
- China
- Prior art keywords
- pki
- client
- preset
- result
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 62
- 238000012795 verification Methods 0.000 claims description 64
- 230000006854 communication Effects 0.000 claims description 55
- 238000004891 communication Methods 0.000 claims description 54
- 238000012545 processing Methods 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 abstract description 8
- 238000013461 design Methods 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 8
- 230000002457 bidirectional effect Effects 0.000 description 5
- VIEYMVWPECAOCY-UHFFFAOYSA-N 7-amino-4-(chloromethyl)chromen-2-one Chemical compound ClCC1=CC(=O)OC2=CC(N)=CC=C21 VIEYMVWPECAOCY-UHFFFAOYSA-N 0.000 description 2
- 101000838578 Homo sapiens Serine/threonine-protein kinase TAO2 Proteins 0.000 description 2
- 102100028949 Serine/threonine-protein kinase TAO2 Human genes 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 101000838579 Homo sapiens Serine/threonine-protein kinase TAO1 Proteins 0.000 description 1
- 102100028948 Serine/threonine-protein kinase TAO1 Human genes 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种业务证书获取方法、装置和电子设备,涉及车联网的技术领域,本发明提供的业务证书获取方法,在PKI系统与客户端之间部署PKI前置代理服务器,任何情况下,PKI前置代理服务器和客户端均能通过预设服务端证书、预设CA私钥、预设安全代理专用CA证书以及预先协商的预置共享密钥的生成算法实现双向的身份认证。PKI前置代理服务器的部署以及客户端业务证书获取流程的设计,能够有效地降低PKI系统受到恶意攻击的风险,保障了PKI系统的安全。
Description
技术领域
本发明涉及车联网的技术领域,尤其是涉及一种业务证书获取方法、装置和电子设备。
背景技术
当前的社会环境下,车辆终端的数量庞大,PKI(Public Key Infrastructure,公钥基础设施)系统通过人工审核的方式来处理车辆使用者向其提出的证书获取请求几乎无法完成。因此,目前主要是预置统一的证书或临时证书供车辆终端初始连接,再将PKI系统开放权限到TSP(Telematics Service Provider,远程服务供应商)等业务服务器,由业务服务器从业务角度校验车辆真实性,最后以代理的方式从PKI系统申请证书。
业务服务器只能通过预设业务逻辑来对客户端进行校验,来防止非法的证书获取操作。但是,简单的业务逻辑很容易被攻击者破解,攻击者通过假冒客户端(车辆终端)获取到合法的客户端证书,从而攻击业务服务器,或者直接对PKI系统发起攻击。由于PKI系统并没有校验客户端的机制,所以现有的证书获取方法无法保证PKI系统的安全。
发明内容
本发明的目的在于提供一种业务证书获取方法、装置和电子设备,以降低了PKI系统受到恶意攻击的风险,保障了PKI系统的安全。
第一方面,本发明提供一种业务证书获取方法,应用于客户端,所述方法包括:将第一随机数和所述客户端的唯一ID发送至PKI前置代理服务器;其中,所述PKI前置代理服务器部署于所述客户端与PKI系统之间;接收所述PKI前置代理服务器返回的预设服务端证书、第一加密结果和第二随机数;其中,所述第一加密结果为所述PKI前置代理服务器确定所述唯一ID合法的情况下,利用预设CA私钥对所述第一随机数进行加密后得到的结果;基于预设安全代理专用CA证书和所述第一随机数对所述预设服务端证书和所述第一加密结果进行校验,得到第一校验结果;在确定所述第一校验结果为通过的情况下,利用第一预置共享密钥对所述第二随机数进行加密,得到第二加密结果,并将所述第二加密结果发送至所述PKI前置代理服务器;接收所述PKI前置代理服务器反馈的通讯密钥,并利用所述通讯密钥通过所述PKI前置代理服务器向所述PKI系统获取业务证书;其中,所述通讯密钥是所述PKI前置代理服务器对所述第二加密结果校验通过的情况下生成的密钥。
在可选的实施方式中,所述基于预设安全代理专用CA证书和所述第一随机数对所述预设服务端证书和所述第一加密结果进行校验,得到第一校验结果,包括:判断所述预设服务端证书是否为所述预设安全代理专用CA证书签发的证书;若是,则利用所述预设服务端证书所包含的预设CA公钥对所述第一加密结果进行解密,得到第一解密结果;判断所述第一解密结果是否与所述第一随机数相同;若所述第一解密结果与所述第一随机数相同,则确定所述第一校验结果为通过;若所述第一解密结果与所述第一随机数不同,则确定所述第一校验结果为不通过。
在可选的实施方式中,在利用第一预置共享密钥对所述第二随机数进行加密之前,所述方法还包括:利用第一预设根密钥对所述客户端的唯一ID进行处理,得到所述第一预置共享密钥。
在可选的实施方式中,所述客户端的唯一ID包括以下至少一种:VIN,IMEI,ICCID,SN。
第二方面,本发明提供一种业务证书获取方法,应用于PKI前置代理服务器,所述方法包括:接收客户端发送的第一随机数和所述客户端的唯一ID;其中,所述PKI前置代理服务器部署于所述客户端与PKI系统之间;在确定所述唯一ID合法的情况下,利用预设CA私钥对所述第一随机数进行加密,得到第一加密结果;将预设服务端证书、所述第一加密结果和第二随机数发送至所述客户端;接收所述客户端反馈的第二加密结果;其中,所述第二加密结果为所述客户端对所述预设服务端证书和所述第一加密结果校验通过的情况下,利用第一预置共享密钥对所述第二随机数进行加密后得到的结果;对所述第二加密结果进行校验,得到第二校验结果,并在确定所述第二校验结果为通过的情况下,发送通讯密钥至所述客户端,以使所述客户端利用所述通讯密钥通过所述PKI前置代理服务器向所述PKI系统获取业务证书。
在可选的实施方式中,在对所述第二加密结果进行校验之前,所述方法还包括:利用第二预设根密钥对所述客户端的唯一ID进行处理,得到第二预置共享密钥。
在可选的实施方式中,所述对所述第二加密结果进行校验,得到第二校验结果,包括:利用所述第二预置共享密钥对所述第二加密结果进行解密,得到第二解密结果;判断所述第二解密结果是否与所述第二随机数相同;若所述第二解密结果与所述第二随机数相同,则确定所述第二校验结果为通过;若所述第二解密结果与所述第二随机数不同,则确定所述第二校验结果为不通过。
第三方面,本发明提供一种业务证书获取装置,应用于客户端,所述装置包括:第一发送模块,用于将第一随机数和所述客户端的唯一ID发送至PKI前置代理服务器;其中,所述PKI前置代理服务器部署于所述客户端与PKI系统之间;第一接收模块,用于接收所述PKI前置代理服务器返回的预设服务端证书、第一加密结果和第二随机数;其中,所述第一加密结果为所述PKI前置代理服务器确定所述唯一ID合法的情况下,利用预设CA私钥对所述第一随机数进行加密后得到的结果;校验模块,用于基于预设安全代理专用CA证书和所述第一随机数对所述预设服务端证书和所述第一加密结果进行校验,得到第一校验结果;加密发送模块,用于在确定所述第一校验结果为通过的情况下,利用第一预置共享密钥对所述第二随机数进行加密,得到第二加密结果,并将所述第二加密结果发送至所述PKI前置代理服务器;接收获取模块,用于接收所述PKI前置代理服务器反馈的通讯密钥,并利用所述通讯密钥通过所述PKI前置代理服务器向所述PKI系统获取业务证书;其中,所述通讯密钥是所述PKI前置代理服务器对所述第二加密结果校验通过的情况下生成的密钥。
第四方面,本发明提供一种业务证书获取装置,应用于PKI前置代理服务器,所述装置包括:第二接收模块,用于接收客户端发送的第一随机数和所述客户端的唯一ID;其中,所述PKI前置代理服务器部署于所述客户端与PKI系统之间;加密模块,用于在确定所述唯一ID合法的情况下,利用预设CA私钥对所述第一随机数进行加密,得到第一加密结果;第二发送模块,用于将预设服务端证书、所述第一加密结果和第二随机数发送至所述客户端;第三接收模块,用于接收所述客户端反馈的第二加密结果;其中,所述第二加密结果为所述客户端对所述预设服务端证书和所述第一加密结果校验通过的情况下,利用第一预置共享密钥对所述第二随机数进行加密后得到的结果;校验发送模块,用于对所述第二加密结果进行校验,得到第二校验结果,并在确定所述第二校验结果为通过的情况下,发送通讯密钥至所述客户端,以使所述客户端利用所述通讯密钥通过所述PKI前置代理服务器向所述PKI系统获取业务证书。
第五方面,本发明提供一种电子设备,包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述前述实施方式中任一项所述的方法的步骤。
本发明提供的业务证书获取方法,应用于客户端,该方法包括:将第一随机数和客户端的唯一ID发送至PKI前置代理服务器;其中,PKI前置代理服务器部署于客户端与PKI系统之间;接收PKI前置代理服务器返回的预设服务端证书、第一加密结果和第二随机数;其中,第一加密结果为PKI前置代理服务器确定唯一ID合法的情况下,利用预设CA私钥对第一随机数进行加密后得到的结果;基于预设安全代理专用CA证书和第一随机数对预设服务端证书和第一加密结果进行校验,得到第一校验结果;在确定第一校验结果为通过的情况下,利用第一预置共享密钥对第二随机数进行加密,得到第二加密结果,并将第二加密结果发送至PKI前置代理服务器;接收PKI前置代理服务器反馈的通讯密钥,并利用通讯密钥通过PKI前置代理服务器向PKI系统获取业务证书;其中,通讯密钥是PKI前置代理服务器对第二加密结果校验通过的情况下生成的密钥。
本发明提供的业务证书获取方法,在PKI系统与客户端之间部署PKI前置代理服务器,任何情况下,PKI前置代理服务器和客户端均能通过预设服务端证书、预设CA私钥、预设安全代理专用CA证书以及预先协商的预置共享密钥的生成算法实现双向的身份认证。PKI前置代理服务器的部署以及客户端业务证书获取流程的设计,能够有效地降低PKI系统受到恶意攻击的风险,保障了PKI系统的安全。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种业务证书获取方法的流程图;
图2为本发明实施例提供的一种业务证书获取系统的简易系统框图;
图3为本发明实施例提供的一种客户端与PKI前置代理服务器之间的通信流程示意图;
图4为本发明实施例提供的另一种业务证书获取方法的流程图;
图5为本发明实施例提供的一种业务证书获取装置的功能模块图;
图6为本发明实施例提供的另一种业务证书获取装置的功能模块图;
图7为本发明实施例提供的一种电子设备的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图,对本发明的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
在客户端(车辆终端)的业务证书损坏或换件等情况下,客户端没有自己的证书供服务端(TSP/PKI)验证,只有客户端对服务端的单向认证,TSP服务器往往也只能通过预设业务逻辑对客户端进行验证,基于此来防止非法的证书获取操作。但是,简单的业务逻辑很容易被攻击者破解,攻击者可以通过假冒客户端获取到合法的客户端证书,从而攻击业务服务器,或者直接对PKI系统发起攻击。
另外,某些情况下的客户端并没有通过业务服务器代理PKI系统,这种情况下的业务证书申请和更新只能直接对接PKI系统,PKI系统本身并没有自动校验客户端的机制,且此种方法PKI系统需要直接暴露给客户端,导致PKI系统的安全无法保证。有鉴于此,本发明实施例提供了一种业务证书的获取方法,用以缓解上文中所提出的技术问题。
实施例一
图1为本发明实施例提供的一种业务证书获取方法的流程图,该方法应用于客户端,如图1所示,该方法具体包括如下步骤:
步骤S102,将第一随机数和客户端的唯一ID发送至PKI前置代理服务器。
在本发明实施例中,PKI前置代理服务器部署于客户端与PKI系统之间,具体的,图2为本发明实施例提供的一种业务证书获取系统的简易系统框图,通过图2可知,本发明实施例中,PKI认证客户端以SDK或守护进程方式集成在客户端(车辆终端),便于客户端业务开发者集成;PKI认证服务端(位于PKI前置代理服务器中)以前置代理方式集成在数据中心侧,这种前置代理方式只需要对客户端提供服务,并上联PKI系统,这种系统设计不需要改动PKI系统的网络配置,且由于不影响PKI系统的已有环境,所以可快速集成,兼容性更好,方便部署。
当客户端存在业务证书的获取需求时,客户端需要向PKI前置代理服务器发起身份认证流程,图3为本发明实施例提供的一种客户端与PKI前置代理服务器之间的通信流程示意图,如图3所示,首先,客户端将第一随机数和客户端的唯一ID发送至PKI前置代理服务器,第一随机数,顾名思义即客户端随机生成的一串数字,本发明实施例不对第一随机数的字符数量进行具体限定,用户可以根据实际需求进行设置。可选地,客户端的唯一ID包括以下至少一种:VIN,IMEI,ICCID,SN。也即,客户端的唯一ID可以是VIN,IMEI,ICCID,SN中的一种或多种,其组合方式可以有多种选择形式,由于攻击者不容易得到客户端的唯一ID和组合方式,所以在一定程度上能够提升身份认证流程的安全性。
步骤S104,接收PKI前置代理服务器返回的预设服务端证书、第一加密结果和第二随机数。
其中,第一加密结果为PKI前置代理服务器确定唯一ID合法的情况下,利用预设CA私钥对第一随机数进行加密后得到的结果。
当PKI前置代理服务器接收到客户端发送的消息(第一随机数和唯一ID)之后,首先,PKI前置代理服务器在预设客户端ID表中查询其接收到的唯一ID是否存在,若确定不存在,则认为该ID为非法ID,PKI前置代理服务器将忽略当前客户端的身份认证请求,并断开其与客户端的连接链路。
若确定其接收到的客户端唯一ID存在,则认为该ID合法,进而PKI前置代理服务器将利用其预设CA私钥对第一随机数进行加密,以得到第一加密结果。PKI前置代理服务器对客户端唯一ID的合法性检验可理解为对客户端身份的初步认证。
得到第一加密结果之后,接下来,PKI前置代理服务器再将预设服务端证书、第一加密结果和第二随机数共同返回给客户端,其中,第二随机数是PKI前置代理服务器随机生成的一串数字,本发明实施例不对第二随机数的字符数量进行具体限定,用户可以根据实际需求进行设置。预设服务端证书(包括预设CA公钥+证书信息+签名)和预设CA私钥均是PKI系统预先配置在PKI前置代理服务器中的,同时,PKI系统还为客户端配置有预设安全代理专用CA证书,并且,PKI前置代理服务器中的预设服务端证书是由客户端中的预设安全代理专用CA证书签发的。
步骤S106,基于预设安全代理专用CA证书和第一随机数对预设服务端证书和第一加密结果进行校验,得到第一校验结果。
通过上文中的描述可知,预设服务端证书是由预设安全代理专用CA证书签发的,第一加密结果是由预设CA私钥对第一随机数加密得来的,且预设CA公钥和预设CA私钥是一对密钥,因此,客户端在接收到预设服务端证书和第一加密结果之后,即可根据上文中所描述的关系链,利用预设安全代理专用CA证书和第一随机数对其进行校验,从而得到第一校验结果,其中,第一校验结果包括以下其中一种:通过,不通过。
校验不通过即表示PKI前置代理服务器的身份认证失败,此时,客户端将断开与当前PKI前置代理服务器之间的通信链路;校验通过即表示PKI前置代理服务器的身份认证通过。接下来的步骤,需要进一步让PKI前置代理服务器承认客户端的身份,以完成双向身份认证。
步骤S108,在确定第一校验结果为通过的情况下,利用第一预置共享密钥对第二随机数进行加密,得到第二加密结果,并将第二加密结果发送至PKI前置代理服务器。
如果第一校验结果为通过,那么客户端将利用其第一预置共享密钥PSK1(Pre-Shared Key)对PKI前置代理服务器发送的第二随机数进行加密,并将得到的第二加密结果返回给PKI前置代理服务器。在本发明实施例中,为了支持客户端与PKI前置代理服务器之间的双向身份认证,客户端与PKI前置代理服务器预先确定了预置共享密钥PSK的生成方法,因此,当PKI前置代理服务器接收到第二加密结果之后,根据其已知的PSK生成方法,即可对第二加密结果进行解密,并根据其解密结果对客户端的身份进行校验。
步骤S110,接收PKI前置代理服务器反馈的通讯密钥,并利用通讯密钥通过PKI前置代理服务器向PKI系统获取业务证书。
其中,通讯密钥是PKI前置代理服务器对第二加密结果校验通过的情况下生成的密钥。
如果第二加密结果不能通过校验,则表示客户端的身份认证失败,此时,PKI前置代理服务器将断开与当前客户端之间的通信链路;如果第二加密结果可以通过校验,则表示客户端的身份认证成功。接下来,PKI前置代理服务器将反馈通讯密钥给客户端,客户端接收成功之后,即可利用通讯密钥通过PKI前置代理服务器向PKI系统获取业务证书。具体为:客户端发送业务证书请求(携带通讯密钥)至PKI前置代理服务器,PKI前置代理服务器确定通讯密钥无误后,发送证书获取请求至PKI系统,之后PKI系统响应该请求并反馈相应业务证书至PKI前置代理服务器,PKI前置代理服务器再将业务证书转发至客户端,同时PKI前置代理服务器对该业务证书进行本地备份存储。
本发明提供的业务证书获取方法,在PKI系统与客户端之间部署PKI前置代理服务器,任何情况下,PKI前置代理服务器和客户端均能通过预设服务端证书、预设CA私钥、预设安全代理专用CA证书以及预先协商的预置共享密钥的生成算法实现双向的身份认证。PKI前置代理服务器的部署以及客户端业务证书获取流程的设计,能够有效地降低PKI系统受到恶意攻击的风险,保障了PKI系统的安全。
在一个可选的实施方式中,上述步骤S106,基于预设安全代理专用CA证书和第一随机数对预设服务端证书和第一加密结果进行校验,得到第一校验结果,具体包括如下步骤:
步骤S1061,判断预设服务端证书是否为预设安全代理专用CA证书签发的证书。
若是,则执行下述步骤S1062;若否,则断开客户端与PKI前置代理服务器之间的通信连接。
步骤S1062,利用预设服务端证书所包含的预设CA公钥对第一加密结果进行解密,得到第一解密结果。
步骤S1063,判断第一解密结果是否与第一随机数相同。
若第一解密结果与第一随机数相同,则执行下述步骤S1064;若第一解密结果与第一随机数不同,则执行下述步骤S1065。
步骤S1064,确定第一校验结果为通过。
步骤S1065,确定第一校验结果为不通过。
具体的,通过上文中的描述可知,常规情况下,PKI前置代理服务器中预存的预设服务端证书应该是客户端中存储的预设安全代理专用CA证书签发的,因此,当客户端接收到PKI前置代理服务器发送的预设服务端证书之后,首先判断其是否为自身存储的预设安全代理专用CA证书签发的,如果是,则可进行下一步,否则,客户端将断开其与PKI前置代理服务器之间的通信链路。
在确定预设服务端证书合法之后,客户端进一步利用预设服务端证书所包含的预设CA公钥对第一加密结果进行解密,已知第一加密结果是PKI前置代理服务器利用预设CA私钥对客户端发送的第一随机数进行加密后得到的结果,且预设CA公钥与预设CA私钥是一对密钥,因此,如果第一解密结果与第一随机数相同,则可确定第一校验结果为通过;否则,第一校验结果不通过。
在一个可选的实施方式中,在执行利用第一预置共享密钥对第二随机数进行加密的步骤之前,本发明方法还包括如下内容:
利用第一预设根密钥对客户端的唯一ID进行处理,得到第一预置共享密钥。
上文中介绍了,客户端与PKI前置代理服务器预先确定了预置共享密钥PSK的生成方法,并基于此来协助二者进行双向身份认证,在本发明实施例中,客户端通过MAC算法(HMAC或CMAC)利用第一预设根密钥对客户端的唯一ID做摘要,由此派生出上文中所述的第一预置共享密钥PSK1。
在本发明实施例中,在客户端与PKI前置代理服务器中分别预置了MAC所使用的预设根密钥作为认证的基础,由于对称加解密算法可以用指定长度的任意数据作为密钥,因此,通讯两端可使用客户端的唯一ID作为认证的元素,进而可得到相同的HASH结果,保证两端最终使用相同对称密钥,从而成功通讯。进一步的,MAC算法是基于密钥的HASH算法,由于MAC使用了预设根密钥,且预设根密钥预置在软件或芯片中,所以即使攻击者得到ID也无法生成MAC算法算出的最终密钥(PSK),避免了使用普通无密钥的HASH算法任何人都能根据ID算出最终密钥的安全性问题。
另外,在本发明实施例中,车辆终端(客户端)的初始连接是基于PSK方式的TLS(Transport Layer Security,传输层安全性协议),且产线灌装初始证书时采用通过联网的云端下载的方式进行,由于车辆终端可自动联网下载证书,所以不再需要人工下载证书写入终端,降低了人员接触证书导致的证书泄漏风险。
实施例二
图4为本发明实施例提供的另一种业务证书获取方法的流程图,该方法应用于PKI前置代理服务器,如图4所示,该方法具体包括如下步骤:
步骤S201,接收客户端发送的第一随机数和客户端的唯一ID。
其中,PKI前置代理服务器部署于客户端与PKI系统之间。客户端的唯一ID包括以下至少一种:VIN,IMEI,ICCID,SN。
步骤S202,在确定唯一ID合法的情况下,利用预设CA私钥对第一随机数进行加密,得到第一加密结果。
步骤S203,将预设服务端证书、第一加密结果和第二随机数发送至客户端。
步骤S204,接收客户端反馈的第二加密结果。
其中,第二加密结果为客户端对预设服务端证书和第一加密结果校验通过的情况下,利用第一预置共享密钥对第二随机数进行加密后得到的结果。
步骤S205,对第二加密结果进行校验,得到第二校验结果,并在确定第二校验结果为通过的情况下,发送通讯密钥至客户端,以使客户端利用通讯密钥通过PKI前置代理服务器向PKI系统获取业务证书。
上述实施例一中已经详细描述了客户端要获取业务证书时,客户端与PKI前置代理服务器之间的通信流程,具体可参考上文,此处不再赘述。
本发明实施例提供的业务证书获取方法,PKI前置代理服务器部署于PKI系统与客户端之间,任何情况下,PKI前置代理服务器和客户端均能通过预设服务端证书、预设CA私钥、预设安全代理专用CA证书以及预先协商的预置共享密钥的生成算法实现双向的身份认证。PKI前置代理服务器的部署以及客户端业务证书获取流程的设计,能够有效地降低PKI系统受到恶意攻击的风险,保障了PKI系统的安全。
在一个可选的实施方式中,在执行对第二加密结果进行校验的步骤之前,本发明方法还包括如下内容:
利用第二预设根密钥对客户端的唯一ID进行处理,得到第二预置共享密钥。
通过上文中的描述可知,在客户端对PKI前置代理服务器的身份认证通过之后,将发送第二加密结果至PKI前置代理服务器,其中,第二加密结果是客户端利用其第一预置共享密钥对第二随机数进行加密后得到的,而第一预置共享密钥是客户端利用其预置的第一预设根密钥对唯一ID进行处理后得到的。并且,已知在客户端与PKI前置代理服务器中分别预置了相应的预设根密钥作为认证的基础。因此,如果PKI前置代理服务器需要对第二加密结果进行解密,那么首先需要利用其预置的第二预设根密钥对客户端的唯一ID进行处理,得到第二预置共享密钥PSK2。
可选地,PKI前置代理服务器通过MAC算法(HMAC或CMAC)利用第二预设根密钥对客户端的唯一ID做摘要,由此派生出第二预置共享密钥PSK2。显然,如果PKI前置代理服务器与客户端均为合法终端,那么二者通过对客户端的唯一ID进行处理所得到的PSK1和PSK2应相同。
在一个可选的实施方式中,上述步骤S205中,对第二加密结果进行校验,得到第二校验结果,具体包括如下内容:
步骤S2051,利用第二预置共享密钥对第二加密结果进行解密,得到第二解密结果。
步骤S2052,判断第二解密结果是否与第二随机数相同。
若第二解密结果与第二随机数相同,则执行下述步骤S2053;若第二解密结果与第二随机数不同,则执行下述步骤S2054。
步骤S2053,确定第二校验结果为通过。
步骤S2054,确定第二校验结果为不通过。
具体的,PKI前置代理服务器计算出第二预置共享密钥之后,即可利用其对第二加密结果进行解密,如果第二解密结果与其在前述认证流程中发送给客户端的第二随机数不同,则可确定第二校验结果为不通过,也即,客户端的身份认证失败,此时,PKI前置代理服务器将断开与当前客户端之间的通信链路;如果第二解密结果与第二随机数相同,则可确定第二校验结果为通过,也即,客户端的身份认证成功。接下来,PKI前置代理服务器将反馈通讯密钥给客户端,客户端接收成功之后,即可利用通讯密钥通过PKI前置代理服务器向PKI系统获取业务证书。
实施例三
本发明实施例还提供了一种业务证书获取装置,该业务证书获取装置应用于客户端,且主要用于执行上述实施例一所提供的业务证书获取方法,以下对本发明实施例提供的业务证书获取装置做具体介绍。
图5是本发明实施例提供的一种业务证书获取装置的功能模块图,如图5所示,该装置主要包括:第一发送模块11,第一接收模块12,校验模块13,加密发送模块14,接收获取模块15,其中:
第一发送模块11,用于将第一随机数和客户端的唯一ID发送至PKI前置代理服务器;其中,PKI前置代理服务器部署于客户端与PKI系统之间。
第一接收模块12,用于接收PKI前置代理服务器返回的预设服务端证书、第一加密结果和第二随机数;其中,第一加密结果为PKI前置代理服务器确定唯一ID合法的情况下,利用预设CA私钥对第一随机数进行加密后得到的结果。
校验模块13,用于基于预设安全代理专用CA证书和第一随机数对预设服务端证书和第一加密结果进行校验,得到第一校验结果。
加密发送模块14,用于在确定第一校验结果为通过的情况下,利用第一预置共享密钥对第二随机数进行加密,得到第二加密结果,并将第二加密结果发送至PKI前置代理服务器。
接收获取模块15,用于接收PKI前置代理服务器反馈的通讯密钥,并利用通讯密钥通过PKI前置代理服务器向PKI系统获取业务证书;其中,通讯密钥是PKI前置代理服务器对第二加密结果校验通过的情况下生成的密钥。
可选地,校验模块13具体用于:
判断预设服务端证书是否为预设安全代理专用CA证书签发的证书。
若是,则利用预设服务端证书所包含的预设CA公钥对第一加密结果进行解密,得到第一解密结果。
判断第一解密结果是否与第一随机数相同。
若第一解密结果与第一随机数相同,则确定第一校验结果为通过。
若第一解密结果与第一随机数不同,则确定第一校验结果为不通过。
可选地,该装置还包括:
第一处理模块,用于利用第一预设根密钥对客户端的唯一ID进行处理,得到第一预置共享密钥。
可选地,客户端的唯一ID包括以下至少一种:VIN,IMEI,ICCID,SN。
实施例四
本发明实施例还提供了一种业务证书获取装置,该业务证书获取装置应用于PKI前置代理服务器,且主要用于执行上述实施例二所提供的业务证书获取方法,以下对本发明实施例提供的业务证书获取装置做具体介绍。
图6是本发明实施例提供的另一种业务证书获取装置的功能模块图,如图6所示,该装置主要包括:第二接收模块21,加密模块22,第二发送模块23,第三接收模块24,校验发送模块25,其中:
第二接收模块21,用于接收客户端发送的第一随机数和客户端的唯一ID;其中,PKI前置代理服务器部署于客户端与PKI系统之间。
加密模块22,用于在确定唯一ID合法的情况下,利用预设CA私钥对第一随机数进行加密,得到第一加密结果。
第二发送模块23,用于将预设服务端证书、第一加密结果和第二随机数发送至客户端。
第三接收模块24,用于接收客户端反馈的第二加密结果;其中,第二加密结果为客户端对预设服务端证书和第一加密结果校验通过的情况下,利用第一预置共享密钥对第二随机数进行加密后得到的结果。
校验发送模块25,用于对第二加密结果进行校验,得到第二校验结果,并在确定第二校验结果为通过的情况下,发送通讯密钥至客户端,以使客户端利用通讯密钥通过PKI前置代理服务器向PKI系统获取业务证书。
可选地,该装置还包括:
第二处理模块,用于利用第二预设根密钥对客户端的唯一ID进行处理,得到第二预置共享密钥。
可选地,校验发送模块25包括:
解密单元,用于利用第二预置共享密钥对第二加密结果进行解密,得到第二解密结果。
判断单元,用于判断第二解密结果是否与第二随机数相同。
第一确定单元,用于在第二解密结果与第二随机数相同的情况下,确定第二校验结果为通过。
第一确定单元,用于在第二解密结果与第二随机数不同的情况下,确定第二校验结果为不通过。
实施例五
参见图7,本发明实施例提供了一种电子设备,该电子设备包括:处理器60,存储器61,总线62和通信接口63,所述处理器60、通信接口63和存储器61通过总线62连接;处理器60用于执行存储器61中存储的可执行模块,例如计算机程序。
其中,存储器61可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口63(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线62可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器61用于存储程序,所述处理器60在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器60中,或者由处理器60实现。
处理器60可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器60中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器60可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器61,处理器60读取存储器61中的信息,结合其硬件完成上述方法的步骤。
本发明实施例所提供的一种业务证书获取方法、装置和电子设备的计算机程序产品,包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该发明产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
此外,术语“水平”、“竖直”、“悬垂”等术语并不表示要求部件绝对水平或悬垂,而是可以稍微倾斜。如“水平”仅仅是指其方向相对“竖直”而言更加水平,并不是表示该结构一定要完全水平,而是可以稍微倾斜。
在本发明的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种业务证书获取方法,其特征在于,应用于客户端,所述方法包括:
将第一随机数和所述客户端的唯一ID发送至PKI前置代理服务器;其中,所述PKI前置代理服务器部署于所述客户端与PKI系统之间;
接收所述PKI前置代理服务器返回的预设服务端证书、第一加密结果和第二随机数;其中,所述第一加密结果为所述PKI前置代理服务器确定所述唯一ID合法的情况下,利用预设CA私钥对所述第一随机数进行加密后得到的结果;
基于预设安全代理专用CA证书和所述第一随机数对所述预设服务端证书和所述第一加密结果进行校验,得到第一校验结果;
在确定所述第一校验结果为通过的情况下,利用第一预置共享密钥对所述第二随机数进行加密,得到第二加密结果,并将所述第二加密结果发送至所述PKI前置代理服务器;
接收所述PKI前置代理服务器反馈的通讯密钥,并利用所述通讯密钥通过所述PKI前置代理服务器向所述PKI系统获取业务证书;其中,所述通讯密钥是所述PKI前置代理服务器对所述第二加密结果校验通过的情况下生成的密钥。
2.根据权利要求1所述的方法,其特征在于,所述基于预设安全代理专用CA证书和所述第一随机数对所述预设服务端证书和所述第一加密结果进行校验,得到第一校验结果,包括:
判断所述预设服务端证书是否为所述预设安全代理专用CA证书签发的证书;
若是,则利用所述预设服务端证书所包含的预设CA公钥对所述第一加密结果进行解密,得到第一解密结果;
判断所述第一解密结果是否与所述第一随机数相同;
若所述第一解密结果与所述第一随机数相同,则确定所述第一校验结果为通过;
若所述第一解密结果与所述第一随机数不同,则确定所述第一校验结果为不通过。
3.根据权利要求1所述的方法,其特征在于,在利用第一预置共享密钥对所述第二随机数进行加密之前,所述方法还包括:
利用第一预设根密钥对所述客户端的唯一ID进行处理,得到所述第一预置共享密钥。
4.根据权利要求3所述的方法,其特征在于,所述客户端的唯一ID包括以下至少一种:VIN,IMEI,ICCID,SN。
5.一种业务证书获取方法,其特征在于,应用于PKI前置代理服务器,所述方法包括:
接收客户端发送的第一随机数和所述客户端的唯一ID;其中,所述PKI前置代理服务器部署于所述客户端与PKI系统之间;
在确定所述唯一ID合法的情况下,利用预设CA私钥对所述第一随机数进行加密,得到第一加密结果;
将预设服务端证书、所述第一加密结果和第二随机数发送至所述客户端;
接收所述客户端反馈的第二加密结果;其中,所述第二加密结果为所述客户端对所述预设服务端证书和所述第一加密结果校验通过的情况下,利用第一预置共享密钥对所述第二随机数进行加密后得到的结果;
对所述第二加密结果进行校验,得到第二校验结果,并在确定所述第二校验结果为通过的情况下,发送通讯密钥至所述客户端,以使所述客户端利用所述通讯密钥通过所述PKI前置代理服务器向所述PKI系统获取业务证书。
6.根据权利要求5所述的方法,其特征在于,在对所述第二加密结果进行校验之前,所述方法还包括:
利用第二预设根密钥对所述客户端的唯一ID进行处理,得到第二预置共享密钥。
7.根据权利要求6所述的方法,其特征在于,所述对所述第二加密结果进行校验,得到第二校验结果,包括:
利用所述第二预置共享密钥对所述第二加密结果进行解密,得到第二解密结果;
判断所述第二解密结果是否与所述第二随机数相同;
若所述第二解密结果与所述第二随机数相同,则确定所述第二校验结果为通过;
若所述第二解密结果与所述第二随机数不同,则确定所述第二校验结果为不通过。
8.一种业务证书获取装置,其特征在于,应用于客户端,所述装置包括:
第一发送模块,用于将第一随机数和所述客户端的唯一ID发送至PKI前置代理服务器;其中,所述PKI前置代理服务器部署于所述客户端与PKI系统之间;
第一接收模块,用于接收所述PKI前置代理服务器返回的预设服务端证书、第一加密结果和第二随机数;其中,所述第一加密结果为所述PKI前置代理服务器确定所述唯一ID合法的情况下,利用预设CA私钥对所述第一随机数进行加密后得到的结果;
校验模块,用于基于预设安全代理专用CA证书和所述第一随机数对所述预设服务端证书和所述第一加密结果进行校验,得到第一校验结果;
加密发送模块,用于在确定所述第一校验结果为通过的情况下,利用第一预置共享密钥对所述第二随机数进行加密,得到第二加密结果,并将所述第二加密结果发送至所述PKI前置代理服务器;
接收获取模块,用于接收所述PKI前置代理服务器反馈的通讯密钥,并利用所述通讯密钥通过所述PKI前置代理服务器向所述PKI系统获取业务证书;其中,所述通讯密钥是所述PKI前置代理服务器对所述第二加密结果校验通过的情况下生成的密钥。
9.一种业务证书获取装置,其特征在于,应用于PKI前置代理服务器,所述装置包括:
第二接收模块,用于接收客户端发送的第一随机数和所述客户端的唯一ID;其中,所述PKI前置代理服务器部署于所述客户端与PKI系统之间;
加密模块,用于在确定所述唯一ID合法的情况下,利用预设CA私钥对所述第一随机数进行加密,得到第一加密结果;
第二发送模块,用于将预设服务端证书、所述第一加密结果和第二随机数发送至所述客户端;
第三接收模块,用于接收所述客户端反馈的第二加密结果;其中,所述第二加密结果为所述客户端对所述预设服务端证书和所述第一加密结果校验通过的情况下,利用第一预置共享密钥对所述第二随机数进行加密后得到的结果;
校验发送模块,用于对所述第二加密结果进行校验,得到第二校验结果,并在确定所述第二校验结果为通过的情况下,发送通讯密钥至所述客户端,以使所述客户端利用所述通讯密钥通过所述PKI前置代理服务器向所述PKI系统获取业务证书。
10.一种电子设备,包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210689120.1A CN114978751B (zh) | 2022-06-16 | 2022-06-16 | 业务证书获取方法、装置和电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210689120.1A CN114978751B (zh) | 2022-06-16 | 2022-06-16 | 业务证书获取方法、装置和电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114978751A true CN114978751A (zh) | 2022-08-30 |
CN114978751B CN114978751B (zh) | 2024-01-26 |
Family
ID=82963586
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210689120.1A Active CN114978751B (zh) | 2022-06-16 | 2022-06-16 | 业务证书获取方法、装置和电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114978751B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116094730A (zh) * | 2023-01-18 | 2023-05-09 | 中国第一汽车股份有限公司 | 一种车辆ecu数字证书申请方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102664739A (zh) * | 2012-04-26 | 2012-09-12 | 杜丽萍 | 一种基于安全证书的pki实现方法 |
US20140013390A1 (en) * | 2012-07-05 | 2014-01-09 | Cyber-Ark Software Ltd. | System and method for out-of-band application authentication |
US20210120404A1 (en) * | 2019-10-18 | 2021-04-22 | Huawei Technologies Co., Ltd. | Issuing offline pki certificates in distributed v2x network |
CN113114699A (zh) * | 2021-04-26 | 2021-07-13 | 中国第一汽车股份有限公司 | 一种车辆终端身份证书申请方法 |
CN113596046A (zh) * | 2021-08-03 | 2021-11-02 | 中电金信软件有限公司 | 一种双向认证方法及装置 |
-
2022
- 2022-06-16 CN CN202210689120.1A patent/CN114978751B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102664739A (zh) * | 2012-04-26 | 2012-09-12 | 杜丽萍 | 一种基于安全证书的pki实现方法 |
US20140013390A1 (en) * | 2012-07-05 | 2014-01-09 | Cyber-Ark Software Ltd. | System and method for out-of-band application authentication |
US20210120404A1 (en) * | 2019-10-18 | 2021-04-22 | Huawei Technologies Co., Ltd. | Issuing offline pki certificates in distributed v2x network |
CN113114699A (zh) * | 2021-04-26 | 2021-07-13 | 中国第一汽车股份有限公司 | 一种车辆终端身份证书申请方法 |
CN113596046A (zh) * | 2021-08-03 | 2021-11-02 | 中电金信软件有限公司 | 一种双向认证方法及装置 |
Non-Patent Citations (2)
Title |
---|
SANGRAM RAY DEPARTMENT OF COMPUTER SCIENCE AND ENGINEERING, INDIAN SCHOOL OF MINES DHANBAD, DHANBAD, INDIA ; G. P. BISWAS: "《Design of Mobile-PKI for using mobile phones in various applications》", 《 2011 INTERNATIONAL CONFERENCE ON RECENT TRENDS IN INFORMATION SYSTEMS》 * |
武旭升: "《公钥可验证的无证书公钥密码体制》", 《信息科技》, no. 2017 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116094730A (zh) * | 2023-01-18 | 2023-05-09 | 中国第一汽车股份有限公司 | 一种车辆ecu数字证书申请方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN114978751B (zh) | 2024-01-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102036242B (zh) | 一种移动通讯网络中的接入认证方法和系统 | |
CN102299930B (zh) | 一种保障客户端软件安全的方法 | |
CN109040070B (zh) | 文件发送方法、设备及计算机可读存储介质 | |
CN111510485A (zh) | 一种ota升级包下载方法、装置、车辆端以及服务器 | |
CN110572418A (zh) | 车辆身份认证的方法、装置、计算机设备及存储介质 | |
CN112019566B (zh) | 数据的传输方法、服务器、客户端及计算机存储介质 | |
WO2011076008A1 (zh) | 一种wapi终端与应用服务器传输文件的系统及方法 | |
CN115022092B (zh) | 车辆软件升级方法、设备和存储介质 | |
CN107483415B (zh) | 一种共享用电交互系统的双向认证方法 | |
CN109714360B (zh) | 一种智能网关及网关通信处理方法 | |
CN110662091B (zh) | 第三方直播视频接入方法、存储介质、电子设备及系统 | |
CN106878122B (zh) | 一种网络接入方法及系统 | |
CN106027251A (zh) | 一种身份证读卡终端与云认证平台数据传输方法和系统 | |
CN113612852A (zh) | 一种基于车载终端的通信方法、装置、设备及存储介质 | |
CN114830572A (zh) | 一种数据传输方法、装置、设备、系统及存储介质 | |
CN114978751B (zh) | 业务证书获取方法、装置和电子设备 | |
CN113115309B (zh) | 车联网的数据处理方法、装置、存储介质和电子设备 | |
CN112583588B (zh) | 一种通信方法及装置、可读存储介质 | |
CN116419217B (zh) | Ota数据升级方法、系统、设备及存储介质 | |
CN113922974A (zh) | 一种信息处理方法及系统、前端、服务端、存储介质 | |
WO2022022057A1 (zh) | 会话票证的处理方法、装置、电子设备及计算机可读存储介质 | |
CN112995213B (zh) | 一种安全认证方法及其应用装置 | |
CN116232716A (zh) | 一种基于puf的物联网ota升级方法及存储介质 | |
CN113872769B (zh) | 基于puf的设备认证方法、装置、计算机设备及存储介质 | |
CN105915531B (zh) | 一种屏幕解锁方法及终端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |