CN115379414A - 证书发放方法和装置 - Google Patents

证书发放方法和装置 Download PDF

Info

Publication number
CN115379414A
CN115379414A CN202210659360.7A CN202210659360A CN115379414A CN 115379414 A CN115379414 A CN 115379414A CN 202210659360 A CN202210659360 A CN 202210659360A CN 115379414 A CN115379414 A CN 115379414A
Authority
CN
China
Prior art keywords
message
terminal device
network
shared key
network device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210659360.7A
Other languages
English (en)
Inventor
王勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202210659360.7A priority Critical patent/CN115379414A/zh
Publication of CN115379414A publication Critical patent/CN115379414A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/009Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本申请实施例提供一种证书发放方法和装置,该方法包括:终端设备先向第一网络设备发送第一消息,第一消息用于请求第一网络设备发放注册证书,其中,第一消息包括公钥以及第一信息,第一信息用于确定终端设备的设备信息;然后,终端设备接收第一网络设备发送的第二消息,第二消息包括注册证书,注册证书根据终端设备的设备信息以及公钥生成。终端设备与第一网络设备通过交互,实现在线发放注册证书,无需在终端设备生产过程中预先配置注册证书,本申请实施例的方法不仅能够提高证书发放方式的灵活性,还能够减少终端设备的生产步骤,可以应用于车联网,例如V2X、LTE‑V、V2V等。

Description

证书发放方法和装置
本申请是分案申请,原申请的申请号是201910913345.9,原申请日是2019年9月25日,原 申请的全部内容通过引用结合在本申请中。
技术领域
本申请实施例涉及通信技术,尤其涉及一种证书发放方法和装置。
背景技术
车联网(vehicle to everything,V2X)是未来智能交通运输的关键技术,通过部署全球定 位系统(global positioning system,GPS)、射频识别(radio frequencyidentification,RFID)、 摄像头图像处理等装置,车联网设备完成自身环境以及状态信息的采集,通过互联网技术, 使得车辆与车辆、车辆与基站、基站与基站等V2X设备之间能够进行无线通信,以获得车辆 信息、路况信息、行人信息等一系列交通信息,从而提供驾驶安全性、减少拥堵、提高交通 效率、以及提供车载娱乐服务等。
目前,车联网通信系统是通过证书来保护V2X设备间的通信安全,证书包括管理类证书 和通信类证书,其中,管理证书包括授权证书和注册证书两种。具体地,授权证书是V2X设 备生产厂商向授权证书颁发机构(certificate authority,CA)申请的证书,以获得V2X设备 生产权限,V2X设备中存储的注册证书是V2X设备生产厂商在生产的V2X设备出厂前,通 过授权证书为V2X设备申请的证书,该注册证书将保存于V2X设备中用于申请其他证书。
目前,V2X设备的注册证书是V2X设备生产厂商通过离线的方式申请的,注册证书发放 方式灵活性较低。
发明内容
本申请提供一种证书发放方法和装置,用于提高注册证书发放的灵活性。
第一方面,本申请实施例提供一种证书发放方法,包括:终端设备先向第一网络设备发 送第一消息,第一消息用于请求第一网络设备发放注册证书,其中,第一消息包括公钥以及 第一信息,第一信息用于确定终端设备的设备信息;然后,终端设备接收第一网络设备发送 的第二消息,第二消息包括注册证书,注册证书根据终端设备的设备信息以及公钥生成。终 端设备与第一网络设备通过交互,实现在线发放注册证书,无需在终端设备生产过程中预先 配置注册证书,不仅能够提高证书发放方式的灵活性,还能够减少终端设备的生产步骤。
在第一方面的第一实施例中,终端设备根据第一共享密钥对第二消息进行解密,获得注 册证书,其中,所述第二消息是根据第一共享密钥加密后得到的消息,第一共享密钥为终端 设备与第一网络设备之间共享的密钥。
根据第一方面或第一方面的第一实施例,在第一方面的第二实施例中,终端设备向第一 网络设备发送第一消息之前,还包括:终端设备生成公私钥对。
根据第一方面或第一方面的第一实施例或第一方面的第二实施例,在第一方面的第三实 施例中,终端设备的设备信息包括以下一项或多项:车牌、电子车牌、车辆识别号码(Vehicle Identification Number,VIN)、设备号。
根据第一方面或第一方面的第二实施例或第一方面的第三实施例,在第一方面的第四实 施例中,终端设备向第一网络设备发送第一消息,包括:若所述终端设备与所述第一网络设 备之间共享的密钥在对应的有效期内,所述终端设备向所述第一网络设备发送所述第一消息。
根据第一方面或第一方面的第二实施例或第一方面的第三实施例,在第一方面的第五实 施例中,所述方法还包括:
若终端设备与第一网络设备之间共享的密钥不在对应的有效期内,或者,终端设备与第 一网络设备之间不存在共享的密钥,则终端设备与第一网络设备协商获得所述第一共享密钥。
根据第一方面的第五实施例,在第一方面的第六实施例中,终端设备与第一网络设备协 商获得所述第一共享密钥,包括:
终端设备根据第二共享密钥、终端设备的标识、第一网络设备的标识以及随机数,生成 所述第一共享密钥,其中,所述第二共享密钥为所述终端设备与锚点网元之间共享的密钥。
根据第一方面的第六实施例,在第一方面的第七实施例中,所述方法还包括:
终端设备接收第一网络设备发送的第三消息,所述第三消息包括所述第一共享密钥对应 的有效期。
根据第一方面的第六实施例或第一方面的第七实施例,在第一方面的第八实施例中,终 端设备根据第二共享密钥、终端设备的标识、第一网络设备的标识以及随机数,生成所述第 一共享密钥之前,还包括:
终端设备向第一网络设备发送第四消息,所述第四消息用于请求所述第一网络设备认证 所述终端设备,所述第四消息包括所述第一信息,所述第一信息用于确定第二共享密钥。
根据第一方面的第六实施例或第一方面的第七实施例或第一方面的第八实施例,在第一 方面的第九实施例中,终端设备根据第二共享密钥、终端设备的标识、第一网络设备的标识 以及随机数,生成所述第一共享密钥之后,还包括:终端设备接收所述第一网络设备发送的 第五消息,所述第五消息用于指示所述终端设备所述第一共享密钥协商成功。
根据第一方面的第六实施例,在第一方面的第十实施例中,终端设备根据第二共享密钥、 终端设备的标识、第一网络设备的标识以及随机数,生成所述第一共享密钥,包括:
若所述终端设备与所述锚点网元之间共享的密钥在对应的有效期,终端设备根据第二共 享密钥、终端设备的标识、第一网络设备的标识以及所述随机数,生成所述第一共享密钥。
本申请实施例中,若终端设备与第一网络设备之间共享的密钥在对应的有效期内,则终 端设备可以根据第二共享密钥、终端设备的标识、第一网络设备的标识以及所述随机数,生 成所述第一共享密钥,之后终端设备可以根据第一共享密钥对第二消息进行解密,获取第二 消息中的注册证书,提高了注册证书的安全性。
第二方面,本申请实施例提供一种证书发放方法,包括:第一网络设备接收终端设备发 送的第一消息,其中,第一消息包括公钥以及第一信息,第一信息用于确定终端设备的设备 信息;然后,第一网络设备根据第一信息获得终端设备的设备信息,并根据终端设备的设备 信息以及公钥生成注册证书;之后,第一网络设备向终端设备发送第二消息,第二消息包括 注册证书。终端设备与第一网络设备通过交互,实现在线发放注册证书,无需在终端设备生 产过程中预先配置注册证书,不仅能够提高证书发放方式的灵活性,还能够减少终端设备的 生产步骤。
在第二方面的第一实施例中,第一网络设备向终端设备发送第二消息,包括:第一网络 设备根据第一共享密钥对第二消息进行加密处理,得到加密后的第二消息,其中,第一共享 密钥为终端设备与第一网络设备之间共享的密钥;然后,第一网络设备向终端设备发送加密 后的第二消息。
根据第二方面或第二方面的第一实施例,在第二方面的第二实施例中,第一网络设备根 据第一信息获得终端设备的设备信息,包括:第一网络设备向锚点网元发送所述第一信息, 请求所述锚点网元发送与所述第一信息对应的所述终端设备的设备信息;所述第一网络设备 接收所述锚点网元发送的所述终端设备的设备信息。
根据第二方面或第二方面的第一实施例,在第二方面的第三实施例中,第一网络设备根 据第一信息获得终端设备的设备信息包括:第一网络设备向锚点网元发送第一信息;然后, 第一网络设备接收锚点网元发送的终端设备的永久性标识;接着,第一网络设备根据终端设 备的永久性标识确定终端设备的设备信息。
根据第二方面或第二方面的第一实施例至第三实施例中任一实施例,在第二方面的第四 实施例中,终端设备的设备信息包括以下一项或多项:车牌、电子车牌、车辆识别号码VIN、 设备号。
根据第二方面的第一实施例至第四实施例中任一实施例,在第二方面的第五实施例中, 第一网络设备根据第一共享密钥对所述注册证书进行加密处理,得到所述加密后的第二消息, 包括:
若所述终端设备与所述第一网络设备之间共享的密钥在对应的有效期内,所述第一网络 设备根据所述第一共享密钥对所述注册证书进行加密处理,得到所述加密后的第二消息。
根据第二方面或第二方面的第一实施例至第四实施例中任一实施例,在第二方面的第六 实施例中,第一网络设备根据第一共享密钥对所述第二消息进行加密处理之前,还包括:
若终端设备与第一网络设备之间共享的密钥不在对应的有效期内,或者,终端设备与第 一网络设备之间不存在共享的密钥,则第一网络设备与终端设备协商获得所述第一共享密钥。
根据第二方面的第六实施例,在第二方面的第七实施例中,第一网络设备与终端设备协 商获得所述第一共享密钥,包括:
第一网络设备先向锚点网元发送第六消息,第六消息包括第一信息以及第一网络设备的 标识;然后,第一网络设备接收锚点网元发送的第七消息,第七消息包括第一共享密钥。
根据第二方面的第七实施例,在第二方面的第八实施例中,第一网络设备向终端设备发 送第五消息,第五消息用于指示终端设备第一共享密钥协商成功。
根据第二方面的第七实施例或第二方面的第八实施例,在第二方面的第九实施例中,所 述方法还包括:第一网络设备向终端设备发送第三消息,所述第三消息包括所述第一共享密 钥对应的有效期。
本申请实施例中,若终端设备与第一网络设备之间共享的密钥不在对应的有效期内,则 第一网络设备从锚点网元处获得第一共享密钥,之后第一网络设备可以根据第一共享密钥对 第二消息进行加密处理,得到加密后的第二消息,并将加密后的第二消息发送至终端设备, 提高了注册证书的安全性。
第三方面,本申请实施例提供一种证书发放方法包括:锚点网元接收第一网络设备发送 的第一信息,第一信息用于确定终端设备的设备信息;锚点网元根据第一信息确定终端设备 的设备信息;接着,锚点网元向第一网络设备发送终端设备的设备信息,所述终端设备的设 备信息以及公钥用于生成终端设备的注册证书;或者,锚点网元根据第一信息确定终端设备 的永久性标识,之后锚点网元向第一网络设备发送终端设备的永久性标识,所述终端设备的 永久性标识用于确定所述终端设备的设备信息。
本申请实施例中,锚点网元通过向第一网络设备发送终端设备的设备信息,第一网络设 备根据终端设备的设备信息以及公钥生成注册证书,或者锚点网元向第一网络设备发送终端 设备的永久性标识,第一网络设备可以根据终端设备的永久性标识确定终端设备的设备信息, 并根据终端设备的设备信息以及公钥生成注册证书,之后第一网络设备可以通过在线的方式 向终端设备发放注册证书,无需在终端设备生产过程中预先配置注册证书,不仅能够提高证 书发放方式的灵活性,还能够减少终端设备的生产步骤。
在第三方面的第一实施例中,锚点网元根据第一信息确定终端设备的设备信息包括:锚 点网元先根据第一信息确定终端设备的永久性标识;然后,锚点网元根据终端设备的永久性 标识确定终端设备的设备信息。
根据第三方面或第三方面的第一实施例,在第三方面的第二实施例中,所述方法还包括: 锚点网元接收所述第一网络设备发送的第六消息,其中,所述第六消息包括所述第一信息以 及所述第一网络设备的标识,所述第一信息用于确定第二共享密钥,其中,所述第二共享密 钥为所述终端设备与所述锚点网元之间共享的密钥;所述锚点网元根据第一信息确定第二共 享密钥,并根据所述第二共享密钥、所述终端设备的标识以及所述第一网络设备的标识,生 成所述第一共享密钥;所述锚点网元向所述第一网络设备发送第七消息,所述第七消息包括 所述第一共享密钥。
根据第三方面或第三方面的第一实施例或第三方面的第二实施例,在第三方面的第三实 施例中,终端设备的设备信息包括以下一项或多项:车牌、电子车牌、车辆识别号码VIN、 设备号。
根据第三方面的第二实施例,在第三方面的第四实施例中,所述方法还包括:
锚点网元先确定第一共享密钥对应的有效期;然后,锚点网元向第一网络设备发送第一 共享密钥对应的有效期。
根据第三方面的第二实施例或者第三方面的第四实施例,在第三方面的第五实施例中, 锚点网元根据第一信息确定第二共享密钥,包括:
若终端设备与锚点网元之间共享的密钥在对应的有效期内,则锚点网元根据所述第一信 息确定所述第二共享密钥。
本申请实施例中,若终端设备与第一网络设备之间共享的密钥不在对应的有效期内或者 终端设备与第一网络设备之间共享的密钥不存在时,锚点网元根据第二共享密钥、终端设备 的标识以及第一网络设备的标识,生成第一共享密钥,之后,锚点网元将第一共享密钥发送 至第一网络设备,第一网络设备可以根据第一共享密钥对第二消息进行加密处理,并将加密 后的第二消息发送至终端设备,从而提高注册证书的安全性。
第四方面,本申请实施例还提供一种证书发放装置,包括:
收发模块,用于向第一网络设备发送第一消息,第一消息用于请求第一网络设备发放注 册证书,其中,第一消息包括公钥以及第一信息,第一信息用于确定终端设备的设备信息;
所述收发模块,还用于接收第一网络设备发送的第二消息,其中,所述第二消息包括所 述注册证书,所述注册证书根据所述终端设备的设备信息以及所述公钥生成。
终端设备与第一网络设备通过交互,实现在线发放注册证书,无需在终端设备生产过程 中预先配置注册证书,不仅能够提高证书发放方式的灵活性,还能够减少终端设备的生产步 骤。
在第四方面的第一实施例中,所述装置还包括:处理模块;
所述处理模块,用于根据第一共享密钥对第二消息进行解密,获得注册证书;其中,所 述第二消息是根据第一共享密钥加密后得到的消息,所述第一共享密钥为所述终端设备与所 述第一网络设备之间共享的密钥。
根据第四方面或第四方面的第一实施例,在第四方面的第二实施例中,所述处理模块, 还用于生成公私钥对。根据第四方面或第四方面的第一实施例或第四方面的第二实施例,在 第四方面的第三实施例中,终端设备的设备信息包括以下一项或多项:车牌、电子车牌、车 辆识别号码VIN、设备号。
根据第四方面或第四方面的第二实施例或第四方面的第三实施例,在第四方面的第四实 施例中,处理模块,还用于确定终端设备与第一网络设备之间共享的密钥是否在对应的有效 期内,若终端设备与第一网络设备之间共享的密钥在对应的有效期内,所述收发模块向所述 第一网络设备发送所述第一消息。
根据第四方面或第四方面的第二实施例或第四方面的第三实施例,在第四方面的第五实 施例中,所述方法还包括:
若所述处理模块确定终端设备与第一网络设备之间共享的密钥不在对应的有效期内,或 者,终端设备与第一网络设备之间不存在共享的密钥,则所述处理模块还用于与第一网络设 备协商获得所述第一共享密钥。
根据第四方面的第五实施例,在第四方面的第六实施例中,所述处理模块具体用于根据 第二共享密钥、终端设备的标识、第一网络设备的标识以及随机数,生成所述第一共享密钥, 其中,所述第二共享密钥为所述终端设备与锚点网元之间共享的密钥。
根据第四方面的第六实施例,第四方面的第七实施例中,所述处理模块根据第二共享密 钥、终端设备的标识、第一网络设备的标识以及随机数,生成所述第一共享密钥之前,所述 收发模块还用于接收第一网络设备发送的第三消息,所述第三消息包括所述第一共享密钥对 应的有效期。
根据第四方面的第六实施例或第四方面的第七实施例,在第四方面的第八实施例中,所 述收发模块还用于向第一网络设备发送第四消息,所述第四消息用于请求所述第一网络设备 认证所述终端设备,所述第四消息包括所述第一信息,所述第一信息用于确定第二共享密钥。
根据第四方面的第六实施例或第四方面的第七实施例或第四方面的第八实施例,在第四 方面的第九实施例中,所述处理模块根据第二共享密钥、终端设备的标识、第一网络设备的 标识以及随机数,生成所述第一共享密钥之后,所述收发模块还用于接收第一网络设备发送 的第五消息,所述第五消息用于指示所述终端设备所述第一共享密钥协商成功。
根据第四方面的第六实施例,在第四方面的第十实施例中,所述处理模块具体用于确定 终端设备与锚点网元之间共享的密钥是否在对应的有效期内,若确定终端设备与锚点网元之 间共享的密钥在对应的有效期内,则所述处理模块根据第二共享密钥、终端设备的标识、第 一网络设备的标识以及所述随机数,生成所述第一共享密钥。
本申请实施例中,若处理模块确定终端设备与第一网络设备之间共享的密钥在对应的有 效期内,则终端设备可以根据第二共享密钥、终端设备的标识、第一网络设备的标识以及所 述随机数,生成所述第一共享密钥,之后终端设备可以根据第一共享密钥对第二消息进行解 密,获取第二消息中的注册证书,提高了注册证书的安全性。
第五方面,本申请实施例提供一种证书发放装置,包括:
收发模块,用于接收终端设备发送的第一消息,其中,第一消息包括公钥以及第一信息, 第一信息用于确定终端设备的设备信息;
所述收发模块,还用于根据所述第一信息获得所述终端设备的设备信息;
处理模块,用于根据所述设备的设备信息以及所述公钥生成所述注册证书;
所述收发模块,还用于向终端设备发送第二消息,所述第二消息包括所述注册证书。
在第五方面的第一实施例中,所述处理模块,还用于根据第一共享密钥对所述第二消息 进行加密处理,得到加密后的第二消息,所述第一共享密钥为所述终端设备与所述第一网络 设备之间共享的密钥;
相应地,所述收发模块用于向所述终端设备发送加密后的第二消息。
根据第五方面或第五方面的第一实施例,在第五方面的第二实施例中,所述收发模块具 体用于向锚点网元发送所述第一信息,请求所述锚点网元发送与所述第一信息对应的所述终 端设备的设备信息;
所述收发模块还用于接收所述锚点网元发送的所述终端设备的设备信息。
根据第五方面或第五方面的第一实施例,在第五方面的第三实施例中,所述收发模块具 体用于向锚点网元发送所述第一信息;
所述收发模块还用于接收所述锚点网元发送的所述终端设备的永久性标识;
所述处理模块用于根据终端设备的永久性标识确定终端设备的设备信息。
根据第五方面或第五方面的第一实施例至第三实施例中任一实施例,在第五方面的第四 实施例中,终端设备的设备信息包括以下一项或多项:车牌、电子车牌、车辆识别号码VIN、 设备号。
根据第五方面的第一实施例至第四实施例中任一实施例,在第五方面的第五实施例中, 所述处理模块具体用于若确定所述终端设备与第一网络设备之间共享的密钥在对应的有效期 内,则根据所述第一共享密钥对所述注册证书进行加密处理,得到所述加密后的第二消息。
根据第五方面或第五方面的第一实施例至第四实施例中任一实施例,在第五方面的第六 实施例中,若所述处理模块确定终端设备与第一网络设备之间共享的密钥不在对应的有效期 内,或者,终端设备与第一网络设备之间不存在共享的密钥,则所述收发模块还用于与第一 网络设备协商获得所述第一共享密钥。
根据第五方面的第六实施例,在第五方面的第七实施例中,所述收发模块具体用于向锚 点网元发送第六消息,第六消息包括第一信息以及第一网络设备的标识;
所述收发模块还用于接收锚点网元发送的第七消息,第七消息包括第一共享密钥。
根据第五方面的第七实施例,在第五方面的第八实施例中,所述收发模块还用于向终端 设备发送第五消息,第五消息与用于指示终端设备第一共享密钥协商成功。
根据第五方面的第七实施例或第五方面的第八实施例,在第五方面的第九实施例中,所 述收发模块还用于向终端设备发送第三消息,所述第三消息包括所述第一共享密钥对应的有 效期。
本申请实施例中,若终端设备与第一网络设备之间共享的密钥不在对应的有效期内,则 第一网络设备从锚点网元处获得第一共享密钥,之后第一网络设备可以根据第一共享密钥对 第二消息进行加密处理,得到加密后的第二消息,并将加密后的第二消息发送至终端设备, 提高了注册证书的安全性。
第六方面,本申请实施例提供一种证书发放装置,包括:
收发模块,用于接收第一网络设备发送的第一信息,第一信息用于确定终端设备的设备 信息;
处理模块,用于根据第一信息确定终端设备的设备信息;
所述收发模块,还用于向第一网络设备发送终端设备的设备信息,所述终端设备的设备 信息以及公钥用于生成终端设备的注册证书;
所述处理模块,还用于根据第一信息确定终端设备的永久性标识;
所述收发模块,还用于向所述第一网络设备发送所述终端设备的永久性标识,所述终端 设备的永久性标识用于确定所述终端设备的设备信息。
本申请实施例中,锚点网元通过向第一网络设备发送终端设备的设备信息,第一网络设 备根据终端设备的设备信息以及公钥生成注册证书,或者锚点网元向第一网络设备发送终端 设备的永久性标识,第一网络设备可以根据终端设备的永久性标识确定终端设备的设备信息, 并根据终端设备的设备信息以及公钥生成注册证书,之后第一网络设备可以通过在线的方式 向终端设备发放注册证书,无需在终端设备生产过程中预先配置注册证书,不仅能够提高证 书发放方式的灵活性,还能够减少终端设备的生产步骤。
在第六方面的第一实施例中,处理模块,具体用于根据第一信息确定终端设备的永久性 标识;
所述处理模块,还用于根据终端设备的永久性标识确定终端设备的设备信息。
根据第六方面或第六方面的第一实施例,在第六方面的第二实施例中,所述收发模块还 用于接收所述第一网络设备发送的第六消息,其中,所述第六消息包括所述第一信息以及所 述第一网络设备的标识,所述第一信息用于确定第二共享密钥,其中,所述第二共享密钥为 所述终端设备与所述锚点网元之间共享的密钥;
所述处理模块,还用于根据第一信息确定第二共享密钥,并根据所述第二共享密钥、所 述终端设备的标识以及所述第一网络设备的标识,生成所述第一共享密钥;
所述收发模块,还用于向第一网络设备发送第七消息,所述第七消息包括所述第一共享 密钥。
根据第六方面或第六方面的第一实施例或第六方面的第二实施例,在第六方面的第三实 施例中,终端设备的设备信息包括以下一项或多项:车牌、电子车牌、车辆识别号码VIN、 设备号。
根据第六方面的第二实施例,在第六方面的第四实施例中,所述处理模块,还用于确定 第一共享密钥对应的有效期;
所述收发模块,还用于向第一网络设备发送第一共享密钥对应的有效期。
根据第六方面的第二实施例或者第六方面的第四实施例,在第六方面的第五实施例中, 所述处理模块,具体用于确定终端设备与锚点网元之间共享的密钥在对应的有效期内时,根 据第一信息确定第二共享密钥。
本申请实施例中,若终端设备与第一网络设备之间共享的密钥不在对应的有效期内或者 终端设备与第一网络设备之间共享的密钥不存在时,锚点网元根据第二共享密钥、终端设备 的标识以及第一网络设备的标识,生成第一共享密钥,之后,锚点网元将第一共享密钥发送 至第一网络设备,第一网络设备可以根据第一共享密钥对第二消息进行加密处理,并将加密 后的第二消息发送至终端设备,从而提高注册证书的安全性。
第七方面,本申请实施例还提供一种证书发放装置,包括:
收发器,用于向第一网络设备发送第一消息,第一消息用于请求第一网络设备发放注册 证书,其中,第一消息包括公钥以及第一信息,第一信息用于确定终端设备的设备信息;
所述收发器,还用于接收第一网络设备发送的第二消息,其中,所述第二消息包括所述 注册证书,所述注册证书根据所述终端设备的设备信息以及所述公钥生成。
终端设备与第一网络设备通过交互,实现在线发放注册证书,无需在终端设备生产过程 中预先配置注册证书,不仅能够提高证书发放方式的灵活性,还能够减少终端设备的生产步 骤。
在第七方面的第一实施例中,所述装置还包括:处理器;
所述处理器,用于根据第一共享密钥对第二消息进行解密,获得注册证书;其中,所述 第二消息是根据第一共享密钥加密后得到的消息,所述第一共享密钥为所述终端设备与所述 第一网络设备之间共享的密钥。
根据第七方面或第七方面的第一实施例,在第七方面的第二实施例中,所述处理器,还 用于生成公私钥对。根据第七方面或第七方面的第一实施例或第七方面的第二实施例,在第 七方面的第三实施例中,终端设备的设备信息包括以下一项或多项:车牌、电子车牌、车辆 识别号码VIN、设备号。
根据第七方面或第七方面的第二实施例或第七方面的第三实施例,在第七方面的第四实 施例中,处理器还用于确定终端设备与第一网络设备之间共享的密钥是否在对应的有效期内, 若终端设备与第一网络设备之间共享的密钥在对应的有效期内,所述收发器向所述第一网络 设备发送所述第一消息。
根据第七方面或第七方面的第二实施例或第七方面的第三实施例,在第七方面的第五实 施例中,所述方法还包括:
若所述处理器确定终端设备与第一网络设备之间共享的密钥不在对应的有效期内,或者, 终端设备与第一网络设备之间不存在共享的密钥,则所述处理器还用于与第一网络设备协商 获得所述第一共享密钥。
根据第七方面的第五实施例,在第七方面的第六实施例中,所述处理器具体用于根据第 二共享密钥、终端设备的标识、第一网络设备的标识以及随机数,生成所述第一共享密钥, 其中,所述第二共享密钥为所述终端设备与锚点网元之间共享的密钥。
根据第七方面的第六实施例,第七方面的第七实施例中,所述处理器根据第二共享密钥、 终端设备的标识、第一网络设备的标识以及随机数,生成所述第一共享密钥之前,所述收发 器还用于接收第一网络设备发送的第三消息,所述第三消息包括所述第一共享密钥对应的有 效期。
根据第七方面的第六实施例或第七方面的第七实施例,在第七方面的第八实施例中,所 述收发器还用于向第一网络设备发送第四消息,所述第四消息用于请求所述第一网络设备认 证所述终端设备,所述第四消息包括所述第一信息,所述第一信息用于确定第二共享密钥。
根据第七方面的第六实施例或第七方面的第七实施例或第七方面的第八实施例,在第七 方面的第九实施例中,所述处理器根据第二共享密钥、终端设备的标识、第一网络设备的标 识以及随机数,生成所述第一共享密钥之后,所述收发器还用于接收第一网络设备发送的第 五消息,所述第五消息用于指示所述终端设备所述第一共享密钥协商成功。
根据第七方面的第六实施例,在第七方面的第十实施例中,所述处理器具体用于确定终 端设备与锚点网元之间共享的密钥是否在对应的有效期内,若确定终端设备与锚点网元之间 共享的密钥在对应的有效期内,则所述处理器根据第二共享密钥、终端设备的标识、第一网 络设备的标识以及所述随机数,生成所述第一共享密钥。
需要说明的是,在一些实施例中,终端设备还包括:存储器,存储器用于存储程序代码。 当所述程序代码执行时,所述终端设备用于实现第一方面任一实施例的方法。
本申请实施例中,若处理模块确定终端设备与第一网络设备之间共享的密钥在对应的有 效期内,则终端设备可以根据第二共享密钥、终端设备的标识、第一网络设备的标识以及所 述随机数,生成所述第一共享密钥,之后终端设备可以根据第一共享密钥对第二消息进行解 密,获取第二消息中的注册证书,提高了注册证书的安全性。
第八方面,本申请实施例提供一种证书发放装置,包括:
收发器,用于接收终端设备发送的第一消息,其中,第一消息包括公钥以及第一信息, 第一信息用于确定终端设备的设备信息;
所述收发器,还用于根据所述第一信息获得所述终端设备的设备信息;
处理器,用于根据所述设备的设备信息以及所述公钥生成所述注册证书;
所述收发器,还用于向终端设备发送第二消息,所述第二消息包括所述注册证书。
在第八方面的第一实施例中,所述处理器,还用于根据第一共享密钥对所述第二消息进 行加密处理,得到加密后的第二消息,所述第一共享密钥为所述终端设备与所述第一网络设 备之间共享的密钥;
相应地,所述收发器用于向所述终端设备发送加密后的第二消息。
根据第八方面或第八方面的第一实施例,在第八方面的第二实施例中,所述收发器具体 用于向锚点网元发送所述第一信息,请求所述锚点网元发送与所述第一信息对应的所述终端 设备的设备信息;
所述收发器还用于接收所述锚点网元发送的所述终端设备的设备信息。
根据第八方面或第八方面的第一实施例,在第八方面的第三实施例中,所述收发器具体 用于向锚点网元发送所述第一信息;
所述收发器还用于接收所述锚点网元发送的所述终端设备的永久性标识;
所述处理器用于根据终端设备的永久性标识确定终端设备的设备信息。
根据第八方面或第八方面的第一实施例至第三实施例中任一实施例,在第八方面的第四 实施例中,终端设备的设备信息包括以下一项或多项:车牌、电子车牌、车辆识别号码VIN、 设备号。
根据第八方面的第一实施例至第四实施例中任一实施例,在第八方面的第五实施例中, 所述处理器具体用于若确定所述终端设备与第一网络设备之间共享的密钥在对应的有效期内, 则根据所述第一共享密钥对所述注册证书进行加密处理,得到所述加密后的第二消息。
根据第八方面或第八方面的第一实施例至第四实施例中任一实施例,在第八方面的第六 实施例中,若所述处理器确定终端设备与第一网络设备之间共享的密钥不在对应的有效期内, 或者,终端设备与第一网络设备之间不存在共享的密钥,则所述收发器还用于与第一网络设 备协商获得所述第一共享密钥。
根据第八方面的第六实施例,在第八方面的第七实施例中,所述收发器具体用于向锚点 网元发送第六消息,第六消息包括第一信息以及第一网络设备的标识;
所述收发器还用于接收锚点网元发送的第七消息,第七消息包括第一共享密钥。
根据第八方面的第七实施例,在第八方面的第八实施例中,所述收发器还用于向终端设 备发送第五消息,第五消息与用于指示终端设备第一共享密钥协商成功。
根据第八方面的第七实施例或第八方面的第八实施例,在第八方面的第九实施例中,所 述收发器还用于向终端设备发送第三消息,所述第三消息包括所述第一共享密钥对应的有效 期。
本申请实施例中,若终端设备与第一网络设备之间共享的密钥不在对应的有效期内,则 第一网络设备从锚点网元处获得第一共享密钥,之后第一网络设备可以根据第一共享密钥对 第二消息进行加密处理,得到加密后的第二消息,并将加密后的第二消息发送至终端设备, 提高了注册证书的安全性。
第九方面,本申请实施例提供一种证书发放装置,包括:
收发器,用于接收第一网络设备发送的第一信息,第一信息用于确定终端设备的设备信 息;
处理器,用于根据第一信息确定终端设备的设备信息;
所述收发器,还用于向第一网络设备发送终端设备的设备信息,所述终端设备的设备信 息以及公钥用于生成终端设备的注册证书;
所述处理器,还用于根据第一信息确定终端设备的永久性标识;
所述收发器,还用于向所述第一网络设备发送所述终端设备的永久性标识,所述终端设 备的永久性标识用于确定所述终端设备的设备信息。
本申请实施例中,锚点网元通过向第一网络设备发送终端设备的设备信息,第一网络设 备根据终端设备的设备信息以及公钥生成注册证书,或者锚点网元向第一网络设备发送终端 设备的永久性标识,第一网络设备可以根据终端设备的永久性标识确定终端设备的设备信息, 并根据终端设备的设备信息以及公钥生成注册证书,之后第一网络设备可以通过在线的方式 向终端设备发放注册证书,无需在终端设备生产过程中预先配置注册证书,不仅能够提高证 书发放方式的灵活性,还能够减少终端设备的生产步骤。
在第九方面的第一实施例中,处理器具体用于根据第一信息确定终端设备的永久性标识;
所述处理器,还用于根据终端设备的永久性标识确定终端设备的设备信息。
根据第九方面或第九方面的第一实施例,在第九方面的第二实施例中,所述收发器还用 于接收所述第一网络设备发送的第六消息,其中,所述第六消息包括所述第一信息以及所述 第一网络设备的标识,所述第一信息用于确定第二共享密钥,其中,所述第二共享密钥为所 述终端设备与所述锚点网元之间共享的密钥;
所述处理器,还用于根据第一信息确定第二共享密钥,并根据所述第二共享密钥、所述 终端设备的标识以及所述第一网络设备的标识,生成所述第一共享密钥;
所述收发器,还用于向第一网络设备发送第七消息,所述第七消息包括所述第一共享密 钥。
根据第九方面或第九方面的第一实施例或第九方面的第二实施例,在第九方面的第三实 施例中,终端设备的设备信息包括以下一项或多项:车牌、电子车牌、车辆识别号码VIN、 设备号。
根据第九方面的第二实施例,在第九方面的第四实施例中,所述处理器,还用于确定第 一共享密钥对应的有效期;
所述收发器,还用于向第一网络设备发送第一共享密钥对应的有效期。
根据第九方面的第二实施例或者第九方面的第四实施例,在第九方面的第五实施例中, 所述处理器,具体用于确定终端设备与锚点网元之间共享的密钥在对应的有效期内时,根据 第一信息确定第二共享密钥。
需要说明的是,在一些实施例中,锚点网元还包括:存储器,存储器用于存储程序代码。 当所述程序代码执行时,所述锚点网元用于实现第三方面任一实施例的方法。
本申请实施例中,若终端设备与第一网络设备之间共享的密钥不在对应的有效期内或者 终端设备与第一网络设备之间共享的密钥不存在时,锚点网元根据第二共享密钥、终端设备 的标识以及第一网络设备的标识,生成第一共享密钥,之后,锚点网元将第一共享密钥发送 至第一网络设备,第一网络设备可以根据第一共享密钥对第二消息进行加密处理,并将加密 后的第二消息发送至终端设备,从而提高注册证书的安全性。
第十方面,本申请实施例提供一种证书发放装置,包括:接口和处理器,接口和处理器 耦合。
处理器用于执行如第一方面本申请任一实施例或者第二方面本申请任一实施例或者第三 方面本申请任一实施例的证书发放方法。
第十一方面,本申请实施例提供一种计算机可读存储介质,计算机可读存储介质存储有 计算机程序,计算机程序包含至少一段代码,至少一段代码可由计算机执行,以控制计算机 执行如第一方面本申请任一实施例或者第二方面本申请任一实施例或者第三方面本申请任一 实施例的证书发放方法。
其中,程序可以全部或者部分存储在与处理器封装在一起的存储介质上,也可以部分或 者全部存储在不与处理器封装在一起的存储器上。
第十二方面,本申请实施例提供一种处理器,处理器包括:
至少一个电路,用于向第一网络设备发送第一消息,所述第一消息用于请求所述第一网 络设备发放注册证书,所述第一消息包括公钥以及第一信息,其中,所述第一信息用于确定 所述终端设备的设备信息;
至少一个电路,用于接收所述第一网络设备发送的第二消息,其中,所述第二消息包括 所述注册证书,所述注册证书根据所述终端设备的设备信息以及所述公钥生成。
其中,上述处理器可以为芯片。
第十三方面,本申请实施例提供一种处理器,处理器包括:
至少一个电路,用于接收终端设备发送的第一消息,所述第一消息用于请求所述第一网 络设备发放注册证书,所述第一消息包括公钥以及第一信息,其中,所述第一信息用于确定 所述终端设备的设备信息;
至少一个电路,用于根据第一信息获得所述终端设备的设备信息,并根据所述终端设备 的设备信息以及所述公钥生成所述注册证书;
至少一个电路,用于向终端设备发送第二消息,所述第二消息包括所述注册证书。
其中,上述处理器可以为芯片。
第十四方面,本申请实施例提供一种处理器,处理器包括:
至少一个电路,用于接收第一网络设备发送的第一信息,所述第一信息用于确定所述终 端设备的设备信息;
至少一个电路,用于根据所述第一信息,确定所述终端设备的设备信息;
至少一个电路,用于向第一网络设备发送所述终端设备的设备信息,所述终端设备的设 备信息以及公钥用于生成所述终端设备的注册证书;
至少一个电路,用于根据所述第一信息,确定所述终端设备的永久性标识;
至少一个电路,用于向第一网路设备发送终端设备的永久性标识,所述终端设备的永久 性标识用于确定所述终端设备的设备信息。
其中,上述处理器可以为芯片。
第十五方面,本申请实施例还提供一种通信系统,包括:如上所述的终端设备、如上所 述的第一网络设备和如上所述的锚点网元。
附图说明
图1为现有的GBA架构的示意图;
图2为本申请一实施例提供的无线接入网设备的协议栈示意图;
图3为本申请一实施例提供的证书发放方法流程图;
图4为本申请另一实施例提供的证书发放方法流程图;
图5为本申请另一实施例提供的证书发放方法流程图;
图6为本申请另一实施例提供的证书发放方法流程图;
图7为本申请另一实施例提供的证书发放方法流程图;
图8为本申请一实施例提供的证书发放装置的结构示意图;
图9为本申请另一实施例提供的证书发放装置的结构示意图;
图10为本申请另一实施例提供的证书发放装置的结构示意图;
图11为本申请另一实施例提供的证书发放装置的结构示意图;
图12为本申请一实施例提供的终端设备的结构示意图;
图13为本申请一实施例提供的通信系统的结构图。
具体实施方式
图1为现有GBA架构示意图。如图1所示,该通用引导架构(GBA架构)包括:引导 服务功能(bootstrapping server function,BSF)、用户设备(User Equipment,UE)、网络应用 功能(network application function,NAF)和签约位置功能(subscriber locatorfunction,SLF)。 其中,BSF作为中间枢纽,通过Ub接口与UE交互,执行UE与BSF之间的认证;通过Zh 接口可以从归属用户服务器(home subscriber server,HSS)获得UE认证相关的参数,HSS 存储有UE与认证相关的参数;通过Zn接口与NAF交互;通过Dz接口与SLF交互,在多个HSS场景下,BSF可从SLF处得到UE对应的HSS名称。另外,UE通过Ua接口与NAF 交互。由于每个应用都对应有一个NAF,因此,BSF和UE可能与多个NAF进行交互。
如上所述,已定义的GBA AKA认证标准中,参与方包括UE、BSF和HSS,基于UE与 HSS之间共享的根密钥,实现UE与BSF之间Ks的密钥协商;通过执行引导(bootstrapping) 过程,在BSF与UE之间建立一个共享的密钥。具体地,UE与BSF是基于超文本传输协议 HTTP完成GBA AKA认证的,其具体步骤如下:UE发送UE ID至BSF;BSF发送UE ID至 归属用户服务器(Home Subscriber Server,HSS);HSS根据UE ID,确定UE ID对应的根密钥, 并且计算得到认证向量(authentication vector,AV),AV=(RAND,AUTN,CK,IK,XRES), 并发送AV至BSF,其中,RAND表示随机数,AUTN表示认证令牌(authentication token), CK表示加密密钥(cipher key),IK表示完整性保护密钥(integrity key),XRES表示期望的用户 响应(expected user response);BSF发送AV中RAND和AUTN至UE;UE验证AUTN,并计 算得到CK、IK和RES,RES表示用户响应(user response);UE发送RES至BSF;BSF对比 XRES和RES,验证RES是否正确;若验证成功,BSF计算Ks=CK||IK;BSF发送引导标识 符(bootstrappingtransaction identifier,B-TID)和Key lifetime至UE,其中,BSF基于RAND 和BSF servername生成B-TID,即base64encode(RAND)@BSF_servers_domain_name, base64encode(RAND)代表对RAND进行Base64编码转换,Key lifetime表示Ks的有效期; UE计算得到Ks=CK||IK。另外,图2示出UE与BSF之间一种可能的协议栈格式,从该协议 栈也可看出现有的GBA AKA认证是基于HTTP的。
图3为本申请一实施例提供的证书发放方法流程图。如图3所示,该方法包括如下步骤:
S301、终端设备向第一网络设备发送第一消息,其中,所述第一消息包括公钥以及第一 信息。相应地,第一网络设备接收终端设备发送的第一消息。
S302、第一网络设备根据第一信息确定终端设备的设备信息。
S303、第一网络设备根据终端设备的设备信息以及公钥生成注册证书。
本申请实施例中,根据终端设备的设备信息以及终端设备发送的公钥生成的注册证书保 存于终端设备中,该注册证书为终端设备用于申请其他证书的基础证书,示例性地,其他证 书可以包括通信证书。
S304、第一网络设备向终端设备发送第二消息。相应地,终端设备接收第一网络设备发 送的第二消息。
示例性地,本申请实施例中的终端设备可以为V2X设备,例如为车辆、路侧单元RSU等,可以理解的是终端设备也可以称为用户设备,第一网络设备可以为GBA架构中的NAF,NAF又可以称为应用服务器、外部应用服务器等其他命名,本申请实施例对此不作限制。
可选地,第一信息可以为B-TID,B-TID能够用于确定终端设备的设备信息。可选地, B-TID又可以称为交易ID、识别ID、第一ID、GBA会话ID等其他命名,本申请实施例对 此不作限制。例如,若终端设备为车辆时,第一网络设备根据B-TID能够确定车辆的车牌、 型号、车辆识别码等车辆的设备信息。
终端设备的设备信息包括终端设备的永久标识信息,例如,终端设备的设备信息可以包 括以下一项或多项:车牌、电子车牌、车辆识别号码VIN、设备号等。若终端设备为车辆, 设备号可以为不停车电子收费系统(electronic toll collection,ETC)设备号、则终端设备的设 备信息可以包括:车辆识别码、车牌、电子车牌、ETC设备号等。若终端设备为路侧单元, 设备号可以为RSU设备号,则终端设备的设备信息可以包括RSU设备号。
本申请实施例中,若终端设备需要获取注册证书,终端设备先向第一网络设备发送用于 请求第一网络设备发放注册证书的第一消息,其中,第一消息包括公钥以及第一信息,第一 信息可以为终端设备的临时标识信息,第一信息能够用于确定终端设备的设备信息。然后, 第一网络设备根据第一信息确定终端设备的设备信息。接着,第一网络设备根据终端设备的 设备信息以及终端设备发送的公钥生成该终端设备的注册证书,并向终端设备发送第二消息, 其中,第二消息包括注册证书。
本申请实施例中,终端设备通过向第一网络设备发送用于请求第一网络设备发放注册证 书的第一消息,第一网络设备根据接收到的第一消息获得注册证书,并将注册证书通过在线 的方式发放给终端设备。本申请实施例中的方法能够实现在线发放注册证书,无需在终端设 备生产过程中预先配置注册证书,通过本申请实施例中的方法不仅能够减少生产设备的步骤, 也能够提高证书发放方式的灵活性。
可选地,在一些实施例中,第一网络设备在执行S304之后,还可以执行步骤S3041-S3043:
S3041、第一网络设备根据第一共享密钥对第二消息进行加密,得到加密后的第二消息。
其中,根据第一共享密钥对第二消息进行加密的具体实现方式,本申请实施例不作限制。
S3042、第一网络设备将加密后的第二消息发送至终端设备。相应地,终端设备接收第一 网络设备发送的加密后的第二消息。
S3043、终端设备根据第一共享密钥对第二消息进行解密,获得注册证书。
本申请实施例中,第一网络设备在获得注册证书后,先根据注册证书生成第二消息,之 后,第一网络设备可以采用S304中的方式,直接将第二消息发送至终端设备,或者,第一网 络设备也可采用S3041-S3043中的方式,通过第一共享密钥对第二消息进行加密,获得加密 后的第二消息,并将加密后的第二消息发送至终端设备,终端设备根据第一共享密钥对加密 后的第二消息进行解密,获得其中的注册证书。其中,第一共享密钥为终端设备与第一网络 设备之间共享的密钥。
具体地,若终端设备与第一网络设备之间共享的密钥在对应的有效期内,则第一网络设 备根据第一共享密钥对第二消息进行加密,得到加密后的第二消息,若终端设备与第一网络 设备之间共享的密钥不在对应的有效期内,或者终端设备与第一网络设备之间不存在第一共 享密钥,则第一网络设备与终端设备协商获得第一网络设备与终端设备之间共享的密钥,即 协商获得第一共享密钥,之后,第一网络设备根据协商获得的第一共享密钥对第二消息进行 加密,得到加密后的第二消息,再将加密后的第二消息发送至终端设备。
例如,第一网络设备为GBA架构中的NAF,第一共享密钥KAF为终端设备与NAF之间共享的密钥,且KAF在对应的有效期内,那么,NAF根据终端设备的设备信息以及终端设备 发送的公钥生成注册证书,并根据注册证书生成第二消息,然后,NAF根据KAF对第二消息 进行加密,得到加密后的第二消息,并将加密后的第二消息发送至终端设备,终端设备根据 KAF对接收到的加密后的第二消息进行解密,获得注册证书。
本申请实施例中,第一网络设备向终端设备发放注册证书时,通过第一共享密钥对第二 消息进行加密,并将加密后的第二消息发送至终端设备,能够保证第二消息中注册证书的安 全性。
图4为本申请另一实施例提供的证书发放方法流程图。如图4所示,该方法包括如下步 骤:
S401、终端设备向第一网络设备发送第一消息,其中,所述第一消息包括公钥以及第一 信息。相应地,第一网络设备接收终端设备发送的第一消息。
本申请实施例中,S401与图3所示实施例中S301类似,可参照图3所示实施例中关于 S301的描述内容,此处不展开赘述。
在图3所示实施例的基础上,S302可通过S402-S405中的方式实现:
S402、第一网络设备将第一信息发送至锚点网元。相应地,锚点网元接收第一网络设备 发送的第一信息。
S403、锚点网元根据第一信息确定终端设备的永久性标识。
S404、锚点网元向第一网络设备发送终端设备的永久性标识。相应地,第一网络设备接 收锚点网元发送的终端设备的永久性标识。
S405、第一网络设备根据终端设备的永久性标识确定终端设备的设备信息。
本申请实施例中,第一信息具体用于确定终端设备的永久性标识(subscriptionpermanent identifier,SUPI),终端设备的SUPI与终端设备的设备信息之间具有对应关系,因此,可根 据终端设备的SUPI以及终端设备的SUPI与终端设备的设备信息之间的对应关系确定终端设 备的设备信息。
示例性地,第一网络设备可以为GBA架构中的NAF,锚点网元可以为GBA架构中的BSF,第一信息为B-TID,BSF可以根据B-TID确定终端设备的永久性标识,接着,BSF将 终端设备的SUPI发送至NAF,之后NAF备根据终端设备的SUPI以及终端设备的SUPI与 终端设备的设备信息之间的对应关系确定终端设备的设备信息。
S406、第一网络设备根据终端设备的设备信息以及公钥生成注册证书。
S407、第一网络设备向终端设备发送第二消息。相应地,终端设备接收第一网络设备发 送的第二消息。
本申请实施例中,S406-S407与图3所示实施例中S303-S304类似,可参照图3所示实施 例中关于S303-S304的描述内容,此处不展开赘述。
S4061、第一网络设备根据第一共享密钥对第二消息进行加密,得到加密后的第二消息。
S4062、第一网络设备将加密后的第二消息发送至终端设备。相应地,终端设备接收第一 网络设备发送的加密后的第二消息。
S4063、终端设备根据第一共享密钥对第二消息进行解密,获得注册证书。
在一些实施例中,S406之后也可执行S4071-S4073,其中,本申请实施例中S4071-S4073 与图3所示实施例中S3041-S3043类似,可参照图3所示实施例中关于S3041-S3043的描述 内容,此处不展开赘述。
本申请实施例中,若终端设备需要获取注册证书,终端设备通过向第一网络设备发送用 于请求第一网络设备发放注册证书的第一消息,第一网络设备将第一消息中的第一信息转发 至锚点网元,锚点网元根据第一信息确定终端设备的SUPI,锚点网元将终端设备的SUPI发 送至第一网络设备,第一网络设备根据终端设备的SUPI以及终端设备的SUPI与终端设备的 设备信息之间的对应关系确定终端设备的设备信息,接着第一网络设备根据终端设备的设备 信息以及终端设备发送的公钥生成注册证书,并将注册证书通过在线的方式发放给终端设备。 本申请实施例中的方法能够实现在线发放注册证书,无需在终端设备生产过程中预先配置注 册证书,通过本申请实施例中的方法不仅能够减少生产设备的步骤,也能够提高证书发放方 式的灵活性。
另外,若终端设备与第一网络设备之间共享的密钥在对应的有效期内,则第一网络设备 根据第一共享密钥对第二消息进行加密,得到加密后的第二消息,若终端设备与第一网络设 备之间共享的密钥不在对应的有效期内,或者终端设备与第一网络设备之间不存在第一共享 密钥,则第一网络设备与终端设备协商获得第一共享密钥,之后,第一网络设备根据协商获 得的第一共享密钥对第二消息进行加密,得到加密后的第二消息,再将加密后的第二消息发 送至终端设备。
本申请实施例中,通过第一共享密钥对第二消息进行加密,并将加密后的第二消息发送 至终端设备,能够保证第二消息中注册证书的安全性。
图5为本申请另一实施例提供的证书发放方法流程图。如图5所示,该方法包括以下步 骤:
S501、终端设备向第一网络设备发送第一消息,其中,所述第一消息包括公钥以及第一 信息。相应地,第一网络设备接收终端设备发送的第一消息。
本申请实施例中,S501与图3所示实施例中S301类似,可参照图3所示实施例中关于 S301的描述内容,此处不展开赘述。
在图3所示实施例的基础上,S302可通过S502-S505中的方式实现:
S502、第一网络设备将第一信息发送至锚点网元。相应地,锚点网元接收第一网络设备 发送的第一信息。
S503、锚点网元根据第一信息确定终端设备的永久性标识。
S504、锚点网元根据终端设备的永久性标识确定终端设备的设备信息。
S505、锚点网元向第一网络设备发送终端设备的设备信息。相应地,第一网络设备接收 锚点网元发送的终端设备的设备信息。
本申请实施例中,第一信息可以用于确定终端设备的SUPI,终端设备的SUPI与终端设 备的设备信息之间具有对应关系,因此,锚点网元先根据第一信息确定终端设备的SUPI,接 着锚点网元根据终端设备的SUPI,以及终端设备的SUPI与终端设备的设备信息之间的对应 关系确定终端设备的设备信息,并将确定的终端设备的设备信息发送至第一网络设备。
示例性地,第一网络设备可以为GBA架构中的NAF,锚点网元可以为GBA架构中的BSF,第一信息为B-TID,BSF先根据B-TID确定终端设备的SUPI,接着BSF根据终端设备 的SUPI以及终端设备的SUPI与终端设备的设备信息之间的对应关系确定终端设备的设备信息,之后,BSF将终端设备的设备信息发送至NAF。
S506、第一网络设备根据终端设备的设备信息以及公钥生成注册证书。
S507、第一网络设备向终端设备发送第二消息。相应地,终端设备接收第一网络设备发 送的第二消息。
S5071、第一网络设备根据第一共享密钥对第二消息进行加密,得到加密后的第二消息。
S5072、第一网络设备将加密后的第二消息发送至终端设备。相应地,终端设备接收第一 网络设备发送的加密后的第二消息。
S5073、终端设备根据第一共享密钥对第二消息进行解密,获得注册证书。
在一些实施例中,S506之后也可执行S5071-S5073,其中,本申请实施例中S5071-S5073 与图3所示实施例中S3041-S3043类似,可参照图3所示实施例中关于S3041-S3043的描述 内容,此处不展开赘述。
本申请实施例中,若终端设备需要获取注册证书,终端设备通过向第一网络设备发送用 于请求第一网络设备发放注册证书的第一消息,第一网络设备将第一消息中的第一信息转发 至锚点网元,锚点网元根据第一信息确定终端设备的SUPI,接着根据终端设备的永久性标识 确定终端设备的设备信息,之后锚点网元将终端设备的设备信息发送至第一网络设备,第一 网络设备根据终端设备的设备信息以及终端设备发送的公钥生成注册证书,并将注册证书通 过在线的方式发放给终端设备。本申请实施例中的方法能够实现在线发放注册证书,无需在 终端设备生产过程中预先配置注册证书,通过本申请实施例中的方法不仅能够减少生产设备 的步骤,也能够提高证书发放方式的灵活性。
另外,若终端设备与第一网络设备之间共享的密钥在对应的有效期内,则第一网络设备 根据第一共享密钥对第二消息进行加密,得到加密后的第二消息,若终端设备与第一网络设 备之间共享的密钥不在对应的有效期内,或者终端设备与第一网络设备之间不存在第一共享 密钥,则第一网络设备与终端设备协商获得第一共享密钥,之后,第一网络设备根据协商获 得的第一共享密钥对第二消息进行加密,得到加密后的第二消息,再将加密后的第二消息发 送至终端设备。
本申请实施例中,通过第一共享密钥对第二消息进行加密,并将加密后的第二消息发送 至终端设备,能够保证第二消息中注册证书的安全性。
图6为本申请另一实施例提供的证书发放方法流程图。如图6所示,该方法包括以下步 骤:
若终端设备与第一网络设备确定使用第一共享密钥对注册证书进行加密传输时,可由终 端设备或第一网络设备判断第一共享密钥是否在对应的有效期内,或者终端设备与第一网络 设备之间是否存在第一共享密钥。本申请实施例中,以终端设备判断第一共享密钥是否在对 应的有效期内,或者终端设备与第一网络设备之间是否存在第一共享密钥为例进行详细说明。
S601、终端设备确定第一共享密钥是否在对应的有效期内,或者确定终端设备与第一网 络设备之间是否存在第一共享密钥。
S602、终端设备向第一网络设备发送第四消息。相应地,第一网络设备接收终端设备发 送的第四消息。第一网络设备接收到第四消息后执行S604。
若终端设备确定第一共享密钥不在对应的有效期内,或者终端设备确定终端设备与第一 网络设备之间不存在第一共享密钥,则终端设备向第一网络设备发送第四信息,其中,第四 消息用于请求第一网络设备认证该终端设备,第四消息包括第一信息,第一网络设备根据第 一信息可以确定第二共享密钥。本申请实施例中,第一网络设备认证该终端设备的目的在于 协商获得第一共享密钥。
例如,第一网络设备为GBA架构中的NAF,锚点网元为GBA架构中的BSF,第一信息为B-TID,那么,若终端设备确定KAF不在对应的有效期内,或者终端设备确定终端设备与NAF之间不存在KAF,则终端设备向NAF发送第四信息,第四信息包括B-TID,NAF接收 B-TID,并根据B-TID确定Ks。
S603、终端设备根据第二共享密钥、终端设备的标识、第一网络设备的标识以及随机数 生成第一共享密钥。
其中,第二共享密钥为终端设备与锚点网元之间共享的密钥。例如,锚点网元为BSF, 则第二共享密钥为终端设备与BSF之间共享的密钥,即Ks。
终端设备的标识可以为永久性标识或临时标识,包括但不限于以下任意一项:用户密封 标识(subscription concealed identifier,SUCI),国际移动用户识别码(international mobile subscriber identity,IMSI),IP多媒体私有标识(IPmultimedia private identity,IMPI),临时IP多 媒体私有ID(temporary IP multimediaprivate identity,TMPI),全球唯一临时标识(globally unique temporary identifier,GUTI),临时移动台标识符(temporary mobile station identity,TMSI), IP多媒体公共标识(IP multimedia public Identity,IMPU),应用标识(App ID),网络标识(网络ID),服务标识(service ID),NAI等可以唯一标识终端设备的身份标识。
第一网络设备的标识可以为永久性标识或临时标识,包括但不限于以下任意一项:SUCI, IMSI,IMPI,TMPI,GUTI,TMSI,IMPU,App ID,网络ID,service ID,NAI等可以 唯一标识第一网络设备的身份标识。
随机数是终端设备与锚点网元协商获得第二共享密钥过程中,锚点网元发送给终端设备 的参数。
具体地,若第二共享密钥在对应的有效期内,则终端设备可以根据第二共享密钥、终端 设备的标识,第一网络设备的标识以及随机数生成第一共享密钥。可选地,本申请实施例中 对于终端设备根据第二共享密钥、终端设备的标识,第一网络设备的标识以及随机数生成第 一共享密钥的方式不作限制。
例如,若第二共享密钥为终端设备与BSF之间共享的密钥Ks,随机数RAND为终端设备与BSF协商获得Ks过程中BSF发送给终端设备的参数,则终端设备可以通过下述方式生成KAF:KAF=KDF(Ks,“gba-me”,RAND,IMPI,NAF_Id),其中,KDF为密钥推导函数 (keyderivation function),IMPI为终端设备的标识,第一网络设备为NAF,NAF_Id为NAF 的标识,NAF_Id=FQDN of the NAF||Ua security protocol identifier。
需要说明的是,若终端设备判断第一共享密钥不在对应的有效期内或者终端设备与第一 网络设备之间不存在第一共享密钥,则S602与S603的执行顺序不分先后。
S604、第一网络设备向锚点网元发送第六消息。相应地,锚点网元接收第一网络设备发 送的第六消息。其中,第六消息包括第一信息以及第一网络设备的标识。
S605、锚点网元根据第一信息以及第一网络设备的标识,生成第一共享密钥。
具体地,锚点网元根据第一信息确定第二共享密钥、终端设备的标识以及随机数,并根 据第二共享密钥、终端设备的标识、随机数以及第一网络设备的标识生成第一共享密钥。其 中,锚点网元生成第一共享密钥的方式与终端设备生成第一共享密钥的方式相同。
例如,锚点网元为BSF,第一网络设备为NAF,第一信息为B-TID,第一网络设备的标识为NAF_Id,BSF接收到NAF发送的B-TID以及NAF_Id,BSF根据B-TID确定Ks、IMPI 以及RAND,之后BSF根据KAF=KDF(Ks,“gba-me”,RAND,IMPI,NAF_Id)生成KAF
需要说明的是,若锚点网元根据第一信息确定第二共享密钥不在对应的有效期内,则锚 点网元与终端设备可根据现有的GBA AKA认证流程协商获得第二共享密钥,详细可参照图 1所示实施例中的详细描述。
S606、锚点网元向第一网络设备发送第七消息。相应地,第一网络设备接收锚点网元发 送的第七消息。其中,第七消息包括第一共享密钥。
S607、第一网络设备向终端设备发送的第五消息。相应地,终端设备接收第一网络设备 发送的第五消息。其中,第五消息用于指示终端设备第一共享密钥协商成功。
可选地,在一些实施例中,S604之后还包括:
S605′、锚点网元确定第一共享密钥对应的有效期。
S606′、锚点网元向第一网络设备发送第一共享密钥对应的有效期。相应地,第一网络设 备接收锚点网元发送的第一共享密钥对应的有效期。
可选地,本申请实施例中可以通过同一条信令来执行S606以及S606′,也可以通过不同 的信令来执行S606以及S606′。
S607′、第一网络设备向终端设备发送第三消息。相应地,终端设备接收第一网络设备发 送的第三消息。
其中,第三消息包括第一共享密钥对应的有效期(key lifetime)。终端设备接收到第一网 络设备发送的第三消息,根据第三消息确定第一共享密钥对应的有效期。终端设备可在下一 次执行本申请实施例的方法时,根据第一共享密钥对应的有效期判断第一共享密钥是否失效。
可选地,本申请实施例中可以通过同一条信令来执行S607以及S607′,也可以通过不同 的信令来执行S607以及S607′。
S608、终端设备向第一网络设备发送第一消息,其中,所述第一消息包括公钥以及第一 信息。相应地,第一网络设备接收终端设备发送的第一消息。
可选地,在一些实施例中,S601-S607也可以在S608之后,S611之前执行。
S609、第一网络设备根据第一信息确定终端设备的设备信息。
S610、第一网络设备根据终端设备的设备信息以及公钥获得注册证书。
S611、第一网络设备根据第一共享密钥对第二消息进行加密,得到加密后的第二消息。
S612、第一网络设备将加密后的第二消息发送至终端设备。相应地,终端设备接收第一 网络设备发送的加密后的第二消息。
S613、终端设备根据第一共享密钥对第二消息进行解密,获得注册证书。
本申请实施例中,若终端设备与第一网络设备确定要使用基于GBA来获取注册证书时, 且终端设备与第一网络设备之间共享的密钥不在对应的有效期或者终端设备与第一网络设备 之间不存在第一共享密钥时,终端设备与第一网络设备执行GBA AKA流程,获得第一共享 密钥,通过该第一共享密钥对第一网络设备生成的注册证书进行加密,得到加密后的第二消 息,并将加密后的第二消息发送至终端设备,终端设备根据第一共享密钥对加密后的第二消 息进行解密,获得注册证书。本申请实施例的方法能够实现在线发放注册证书,无需在终端 设备生产过程中预先配置注册证书,通过本申请实施例中的方法不仅能够减少生产设备的步 骤,也能够提高证书发放方式的灵活性。
另外,本申请实施例中,通过第一共享密钥对第二消息进行加密,并将加密后的第二消 息发送至终端设备,能够保证第二消息中注册证书的安全性。
图7为本申请另一实施例提供的证书发放方法流程图。如图7所示,该方法包括以下步 骤:
若终端设备与第一网络设备确定使用第一共享密钥对注册证书进行加密传输时,可由终 端设备或第一网络设备判断第一共享密钥是否在对应的有效期内,或者终端设备与第一网络 设备之间是否存在第一共享密钥。本申请实施例中,以第一网络设备判断第一共享密钥是否 在对应的有效期内,或者终端设备与第一网络设备之间是否存在第一共享密钥为例进行详细 说明。
S701、终端设备向第一网络设备发送第一消息,其中,所述第一消息包括公钥以及第一 信息。相应地,第一网络设备接收终端设备发送的第一消息。
S702、第一网络设备根据第一信息确定终端设备的设备信息。
S703、第一网络设备根据终端设备的设备信息以及公钥获得注册证书。
S704、第一网络设备根据第一信息确定第一共享密钥是否在对应的有效期内,或者终端 设备与第一网络设备之间是否存在第一共享密钥。
若第一网络设备根据第一信息确定第一共享密钥不在对应的有效期内,或者终端设备与 第一网络设备之间不存在第一共享密钥,则第一网络设备与终端设备可以通过S705-S710中 的方式协商获得第一共享密钥。若第一网络设备根据第一信息确定第一共享密钥在对应的有 效期内,则执行S711。
需要说明的是,S704与S702的执行顺序不分先后。
S705、第一网络设备向终端设备发送通知消息。相应地,终端设备接收第一网络设备发 送的通知消息。该通知消息用于通知终端设备协商获得第一共享密钥。
S706、终端设备根据第二共享密钥、终端设备的标识、第一网络设备的标识以及随机数 生成第一共享密钥。
具体地,终端接收第一网络设备发送的通知消息,确定终端设备与第一网络设备需要协 商获得第一共享密钥,则终端设备根据第二共享密钥、终端设备的标识、第一网络设备的标 识以及随机数生成第一共享密钥。其中,终端设备的标识、第一网络设备的标识以及随机数 可参照上述实施例中的描述内容,此处不再赘述。
示例性地,第一网络设备为NAF,第一信息为B-TID,第一网络设备的标识为NAF_Id, 终端设备的标识为IMPI,终端设备可以根据KAF=KDF(Ks,“gba-me”,RAND,IMPI,NAF_Id) 生成KAF
S707、第一网络设备向锚点网元发送第六消息。相应地,锚点网元接收第一网络设备发 送的第六消息。
其中,第六消息用于请求锚点网元生成第一共享密钥,第六消息包括第一信息以及第一 网络设备的标识。
其中,S705与S707的执行顺序不分先后。
S708、锚点网元根据第一信息以及第一网络设备的标识,生成第一共享密钥。
其中,锚点网元根据第二共享密钥生成第一共享密钥的方式与终端设备根据第二共享密 钥生成第一共享密钥的方式相同。
具体地,锚点网元根据第一信息确定第二共享密钥、终端设备的标识以及随机数,并根 据第二共享密钥、终端设备的标识、随机数以及第一网络设备的标识生成第一共享密钥。其 中,锚点网元生成第一共享密钥的方式与终端设备生成第一共享密钥的方式相同。
例如,锚点网元为BSF,第一网络设备为NAF,第一信息为B-TID,第一网络设备的标识为NAF_Id,BSF接收到NAF发送的B-TID以及NAF_Id,BSF根据B-TID确定Ks、IMPI 以及RAND,之后BSF根据KAF=KDF(Ks,“gba-me”,RAND,IMPI,NAF_Id)生成KAF
需要说明的是,若锚点网元根据第一信息确定第二共享密钥不在对应的有效期内,则锚 点网元与终端设备可根据现有的GBA AKA认证流程协商获得第二共享密钥,详细可参照图 1所示实施例中的详细描述。
S709、锚点网元向第一网络设备发送第七消息。相应地,第一网络设备接收锚点网元发 送的第七消息。其中,第七消息包括第一共享密钥。
S710、第一网络设备向终端设备发送第五消息。相应地,终端设备接收第一网络设备发 送的第五消息。
其中,第五消息用于指示终端设备第一共享密钥协商成功。终端设备接收第一网络设备 发送的第五信息,根据第五消息确定第一共享密钥协商成功。
可选地,在一些实施例中,S707之后还包括:
S708′、锚点网元确定第一共享密钥对应的有效期。
S709′、锚点网元向第一网络设备发送第一共享密钥对应的有效期。相应地,第一网络设 备接收锚点网元发送的第一共享密钥对应的有效期。
可选地,本申请实施例中可以通过同一条信令来执行S708以及S708′,也可以通过不同 的信令来执行S708以及S708′。
S710′、第一网络设备向终端设备发送第三消息。相应地,终端设备接收第一网络设备发 送的第三消息。
其中,第三消息包括第一共享密钥对应的有效期(key lifetime)。终端设备接收到第一网 络设备发送的第三消息,根据第三消息确定第一共享密钥对应的有效期。终端设备可在下一 次执行本申请实施例的方法时,根据第一共享密钥对应的有效期判断第一共享密钥是否失效。
可选地,本申请实施例中可以通过同一条信令来执行S710以及S710′,也可以通过不同 的信令来执行S710以及S710′。
S711、第一网络设备根据第一共享密钥对第二消息进行加密,获得加密后的第二消息。
本申请实施例中,第一网络设备根据第一共享密钥对第二消息进行加密的具体实现方式 不作限制。
S712、第一网络设备向终端设备发送加密后的第二消息。
S713、终端设备根据第一共享密钥对第二消息进行解密,获得注册证书。
本申请实施例中,若终端设备与第一网络设备确定要使用基于GBA来获取注册证书时, 且终端设备与第一网络设备之间共享的密钥不在对应的有效期或者终端设备与第一网络设备 之间不存在第一共享密钥时,终端设备与第一网络设备执行GBA AKA流程,获得第一共享 密钥,通过该第一共享密钥对第一网络设备生成的注册证书进行加密,得到加密后的第二消 息,并将加密后的第二消息发送至终端设备,终端设备根据第一共享密钥对加密后的第二消 息进行解密,获得注册证书。本申请实施例的方法能够实现在线发放注册证书,无需在终端 设备生产过程中预先配置注册证书,通过本申请实施例中的方法不仅能够减少生产设备的步 骤,也能够提高证书发放方式的灵活性。
另外,本申请实施例中,通过第一共享密钥对第二消息进行加密,并将加密后的第二消 息发送至终端设备,能够保证第二消息中注册证书的安全性。
图8为本申请一实施例提供的证书发放装置的结构示意图。该证书发放装置可以是终端设备,也可以是终端设备的部件(例如,集成电路,芯片等等),或者可以是其他通信模块,用于实现对应方法实施例中对应于终端设备的操作,如图8所示,本实施例的证书发放装置,可以包括:收发模块801。
收发模块801,用于向第一网络设备发送第一消息,第一消息用于请求第一网络设备发 放注册证书,其中,第一消息包括公钥以及第一信息,第一信息用于确定终端设备的设备信 息;
所述收发模块801,还用于接收第一网络设备发送的第二消息,其中,所述第二消息包 括所述注册证书,所述注册证书根据所述终端设备的设备信息以及所述公钥生成。
在一些实施例中,证书发放装置还包括:处理模块802。
处理模块802,用于根据第一共享密钥对第二消息进行解密,获得注册证书;其中,所 述第二消息是根据第一共享密钥加密后得到的消息,所述第一共享密钥为所述终端设备与所 述第一网络设备之间共享的密钥。
在一些实施例中,处理模块802,还用于生成公私钥对。
在一些实施例中,终端设备的设备信息包括以下一项或多项:车牌、电子车牌、不停车 电子收费系统ETC设备号、车辆识别号码VIN、设备号。
在一些实施例中,处理模块802,还用于确定终端设备与第一网络设备之间共享的密钥 是否在对应的有效期内,若终端设备与第一网络设备之间共享的密钥在对应的有效期内,所 述收发模块801向所述第一网络设备发送所述第一消息。
在一些实施例中,若处理模块802确定终端设备与第一网络设备之间共享的密钥不在对 应的有效期内,或者,终端设备与第一网络设备之间不存在共享的密钥,则所述处理模块802 还用于与第一网络设备协商获得所述第一共享密钥。
在一些实施例中,处理模块802,具体用于根据第二共享密钥、终端设备的标识、第一 网络设备的标识以及随机数,生成所述第一共享密钥,其中,所述第二共享密钥为所述终端 设备与锚点网元之间共享的密钥。
在一些实施例中,处理模块802根据第二共享密钥、终端设备的标识、第一网络设备的 标识以及随机数,生成所述第一共享密钥之前,收发模块801,还用于接收第一网络设备发 送的第三消息,所述第三消息包括所述第一共享密钥对应的有效期。
在一些实施例中,收发模块801,还用于向第一网络设备发送第四消息,所述第四消息 用于请求所述第一网络设备认证所述终端设备,所述第四消息包括所述第一信息,所述第一 信息用于确定第二共享密钥。
在一些实施例中,处理模块802根据第二共享密钥、终端设备的标识、第一网络设备的 标识以及随机数,生成所述第一共享密钥之后,收发模块801还用于接收第一网络设备发送 的第五消息,所述第五消息用于指示所述终端设备所述第一共享密钥协商成功。
在一些实施例中,处理模块802具体用于确定终端设备与锚点网元之间共享的密钥是否 在对应的有效期内,若确定终端设备与锚点网元之间共享的密钥在对应的有效期内,则所述 处理模块802根据第二共享密钥、终端设备的标识、第一网络设备的标识以及所述随机数, 生成所述第一共享密钥。
本实施例以上所述的证书发放装置,可以用于执行上述各对应方法实施例中终端设备执 行的技术方案,其实现原理和技术效果类似,其中各个模块的功能可以参考方法实施例中相 应的描述,此处不再赘述。图9为本申请另一实施例提供的证书发放装置的结构示意图。该 证书发放装置可以是第一网络设备,也可以是第一网络设备的部件(例如,集成电路,芯片 等等),或者可以是其他通信模块,用于实现对应方法实施例中对应于第一网络设备的操作, 如图9所示,本实施例的证书发放装置,可以包括:收发模块901和处理模块902。
收发模块901,用于接收终端设备发送的第一消息,其中,第一消息包括公钥以及第一 信息,第一信息用于确定终端设备的设备信息;
收发模块901,还用于根据第一信息获得终端设备的设备信息;
处理模块902,用于根据所述终端设备的设备信息以及所述公钥生成所述注册证书;
收发模块901,还用于向终端设备发送第二消息,所述第二消息包括所述注册证书。
在一些实施例中,处理模块902,还用于根据第一共享密钥对所述第二消息进行加密处 理,得到加密后的第二消息,所述第一共享密钥为所述终端设备与所述第一网络设备之间共 享的密钥;
相应地,收发模块901用于向所述终端设备发送加密后的第二消息。
在一些实施例中,收发模块901具体用于向锚点网元发送所述第一信息,请求所述锚点 网元发送与所述第一信息对应的所述终端设备的设备信息;
收发模块901还用于接收所述锚点网元发送的所述终端设备的设备信息处理模块902。
在一些实施例中,收发模块901,具体用于向锚点网元发送所述第一信息;
收发模块901,还用于接收所述锚点网元发送的所述终端设备的永久性标识;
处理模块902,用于根据终端设备的永久性标识确定终端设备的设备信息处理模块902。
在一些实施例中,终端设备的设备信息包括以下一项或多项:车牌、电子车牌、不停车 电子收费系统ETC设备号、车辆识别号码VIN、设备号。
在一些实施例中,处理模块902具体用于若确定所述终端设备与第一网络设备之间共享 的密钥在对应的有效期内,则根据所述第一共享密钥对所述注册证书进行加密处理,得到所 述加密后的第二消息。
在一些实施例中,若处理模块902确定终端设备与第一网络设备之间共享的密钥不在对 应的有效期内,或者,终端设备与第一网络设备之间不存在共享的密钥,则收发模块901还 用于与第一网络设备协商获得所述第一共享密钥。
在一些实施例中,收发模块901,具体用于向锚点网元发送第六消息,第六消息包括第 一信息以及第一网络设备的标识;
收发模块901,还用于接收锚点网元发送的第七消息,第七消息包括第一共享密钥。
在一些实施例中,收发模块901还用于向终端设备发送第五消息,第五消息与用于指示 终端设备第一共享密钥协商成功。
在一些实施例中,收发模块901还用于向终端设备发送第三消息,所述第三消息包括所 述第一共享密钥对应的有效期。
本实施例以上所述的证书发放装置,可以用于执行上述各对应方法实施例中第一网络设 备执行的技术方案,其实现原理和技术效果类似,其中各个模块的功能可以参考方法实施例 中相应的描述,此处不再赘述。
图10为本申请另一实施例提供的证书发放装置的结构示意图,该证书发放装置可以是锚 点网元,也可以是锚点网元的部件(例如,集成电路,芯片等等),或者可以是其他证书发放 装置,用于实现各对应方法实施例中对应于锚点网元的操作,如图10所示,本实施例的证书 发放装置,可以包括:收发模块1001和处理模块1002。
收发模块1001,用于接收第一网络设备发送的第一信息,第一信息用于确定终端设备 的设备信息;
处理模块1002,用于根据第一信息确定终端设备的设备信息;
所述收发模块1001,还用于向第一网络设备发送终端设备的设备信息,所述终端设备的 设备信息以及公钥用于生成终端设备的注册证书;
所述处理模块1002,还用于根据第一信息确定终端设备的永久性标识;
所述收发模块1001,还用于向所述第一网络设备发送所述终端设备的永久性标识,所述 终端设备的永久性标识用于确定所述终端设备的设备信息。
在一些实施例中,处理模块1002具体用于根据第一信息确定终端设备的永久性标识;
所述处理模块1002,还用于根据终端设备的永久性标识确定终端设备的设备信息。
在一些实施例中,收发模块1001还用于接收所述第一网络设备发送的第六消息,其中, 所述第六消息包括所述第一信息以及所述第一网络设备的标识,所述第一信息用于确定第二 共享密钥,其中,所述第二共享密钥为所述终端设备与所述锚点网元之间共享的密钥;
处理模块1002,还用于根据第一信息确定第二共享密钥,并根据所述第二共享密钥、所 述终端设备的标识以及所述第一网络设备的标识,生成所述第一共享密钥;
收发模块1001,还用于向第一网络设备发送第七消息,所述第七消息包括所述第一共享 密钥。
在一些实施例中,终端设备的设备信息包括以下一项或多项:车牌、电子车牌、不停车 电子收费系统ETC设备号、车辆识别号码VIN、设备号。
在一些实施例中,处理模块1002,还用于确定第一共享密钥对应的有效期;
所述收发模块1001,还用于向第一网络设备发送第一共享密钥对应的有效期。
在一些实施例中,处理模块1002,具体用于确定终端设备与锚点网元之间共享的密钥在 对应的有效期内时,根据第一信息确定第二共享密钥。
图11为本申请另一实施例提供的证书发放装置的结构示意图。如图11所示,本实施例 所示的证书发放装置可以是前述方法实施例提到的终端设备(或者可用于终端设备的部件) 或者第一网络设备(或者可用于第一网络设备的部件)或者锚点网元(或者可用于锚点网元 的部件)。证书发放装置可以用于实现上述方法实施例中描述的对应于终端设备或者第一网络 设备或者锚点网元的方法,具体参见上述方法实施例中的说明。
所述证书发放装置1100可以包括一个或多个处理器1100,所述处理器1100也可以称为 处理单元,可以实现一定的控制或者处理功能。所述处理器1100可以是通用处理器或者专用 处理器等。例如可以是基带处理器、或中央处理器。基带处理器可以用于对通信协议以及通 信数据进行处理,中央处理器可以用于对通信装置进行控制,执行软件程序,处理软件程序 的数据。
在一种可选的设计中,处理器1101也可以存有指令1103或者数据(例如中间数据)。其 中,所述指令1103可以被所述处理器运行,使得所述证书发放装置1100执行上述方法实施 例中描述的对应于终端设备或者第一网络设备或者锚点网元的方法。
在又一种可能的设计中,证书发放装置1100可以包括电路,所述电路可以实现前述方法 实施例中发送或接收或者通信的功能。
可选的,所述证书发放装置1100中可以包括一个或多个存储器1102,其上可以存有指 令1104,所述指令可在所述处理器上被运行,使得所述证书发放装置1100执行上述方法实 施例中描述的方法。
可选的,所述存储器中也可以是存储有数据。所述处理器和存储器可以单独设置,也可 以集成在一起。
可选的,所述证书发放装置1100还可以包括收发器1105和/或天线1106。所述处理器1101 可以称为处理单元,对证书发放装置(终端设备或者第一网络设备或者锚点网元)进行控制。 所述收发器1105可以称为收发单元、收发机、收发电路、或者收发器等,用于实现证书发放 装置的收发功能。
在一个设计中,若该证书发放装置用于实现对应于上述各实施例中终端设备的操作时,
例如可以由收发器1105向第一网络设备发送第一消息,第一消息用于请求所述第一网络 设备发放注册证书,所述第一消息包括公钥以及第一信息,其中,所述第一信息用于确定所 述终端设备的设备信息;且收发器1105接收所述第一网络设备发送的第二消息,其中,所述 第二消息包括所述注册证书,所述注册证书根据所述终端设备的设备信息以及所述公钥生成。
在另一个设计中,若该证书发放装置用于实现对应于上述各实施例中第一网络设备的操 作时,
例如可以由收发器1105接收终端设备发送的第一消息,所述第一消息用于请求所述第一 网络设备发放注册证书,所述第一消息包括公钥以及第一信息,其中,所述第一信息用于确 定所述终端设备的设备信息;
处理器1101根据所述第一信息获得所述终端设备的设备信息,并根据所述终端设备的设 备信息以及所述公钥生成所述注册证书;
收发器1105向所述终端设备发送第二消息,所述第二消息包括所述注册证书。
在另一个设计中,若该证书发放装置用于实现对应于上述各实施例中锚点网元的操作时,
例如可以由收发器1105接收第一网络设备发送的第一信息,所述第一信息用于确定所述 终端设备的设备信息;处理器1101根据所述第一信息,确定所述终端设备的设备信息;收发 器1105向所述第一网络设备发送所述终端设备的设备信息,所述终端设备的设备信息以及公 钥用于生成所述终端设备的注册证书;或者,处理器1101根据所述第一信息,确定所述终端 设备的永久性标识;相应地,收发器1105向所述第一网络设备发送所述终端设备的永久性标 识,所述终端设备的永久性标识用于确定所述终端设备的设备信息。
其中,上述处理器1101和收发器1105的具体实现过程可以参见上述各实施例的相关描述, 此处不再赘述。
本申请中描述的处理器1101和收发器1105可实现在集成电路(integratedcircuit,IC)、模 拟IC、射频集成电路(radio frequency integrated circuit,RFIC)、混合信号IC、专用集成电路 (application specific integrated circuit,ASIC)、印刷电路板(printed circuit board,PCB)、电 子设备等上。该处理器和收发器也可以用各种1C工艺技术来制造,例如互补金属氧化物半 导体(complementary metal oxidesemiconductor,CMOS)、N型金属氧化物半导体 (nMetal-oxide-semiconductor,NMOS)、P型金属氧化物半导体(positive channel metal oxide semiconductor,PMOS)、双极结型晶体管(Bipolar Junction Transistor,BJT)、双极 CMOS(BiCMOS)、硅锗(SiGe)、砷化镓(GaAs)等。
虽然在以上的实施例描述中,证书发放装置1100以终端设备或者第一网络设备为例来描 述,但本申请中描述的通信装置的范围并不限于上述终端设备或第一网络设备,而且通信装 置的结构可以不受图11的限制。证书发放装置1100可以是独立的设备或者可以是较大设备 的一部分。例如所述设备可以是:
(1)独立的集成电路IC,或芯片,或,芯片系统或子系统;
(2)具有一个或多个IC的集合,可选的,该IC集合也可以包括用于存储数据和/或指 令的存储部件;
(3)ASIC,例如调制解调器(MSM);
(4)可嵌入在其他设备内的模块;
(5)接收机、无线设备、移动单元,网络设备等等;
(6)其他等等。
图12为本申请一实施例提供的一种终端设备的结构示意图。该终端设备可适用于本申请 上述各实施例中所述的终端设备。为了便于说明,图12仅示出了终端设备的主要部件。如图 12所示,终端设备1200包括处理器、存储器、控制电路、天线以及输入输出装置。处理器 主要用于对通信协议以及通信数据进行处理,以及对整个终端设备进行控制,执行软件程序, 处理软件程序的数据。存储器主要用于存储软件程序和数据。射频电路主要用于基带信号与 射频信号的转换以及对射频信号的处理。天线主要用于收发电磁波形式的射频信号。输入输 出装置,例如触摸屏、显示屏,键盘等主要用于接收用户输入的数据以及对用户输出数据。
当终端设备开机后,处理器可以读取存储单元中的软件程序,解释并执行软件程序的指 令,处理软件程序的数据。当需要通过无线发送数据时,处理器对待发送的数据进行基带处 理后,输出基带信号至射频电路,射频电路将基带信号进行射频处理后将射频信号通过天线 以电磁波的形式向外发送。当有数据发送到终端时,射频电路通过天线接收到射频信号,将 射频信号转换为基带信号,并将基带信号输出至处理器,处理器将基带信号转换为数据并对 该数据进行处理。
本领域技术人员可以理解,为了便于说明,图12仅示出了一个存储器和处理器。在实际 的终端中,可以存在多个处理器和存储器。存储器也可以称为存储介质或者存储设备等,本 申请实施例对此不做限制。
作为一种可选的实现方式,处理器可以包括基带处理器和中央处理器,基带处理器主要 用于对通信协议以及通信数据进行处理,中央处理器主要用于对整个终端进行控制,执行软 件程序,处理软件程序的数据。图12中的处理器集成了基带处理器和中央处理器的功能,本 领域技术人员可以理解,基带处理器和中央处理器也可以是各自独立的处理器,通过总线等 技术互联。本领域技术人员可以理解,终端设备可以包括多个基带处理器以适应不同的网络 制式,终端设备可以包括多个中央处理器以增强其处理能力,终端设备的各个部件可以通过 各种总线连接。所述基带处理器也可以表述为基带处理电路或者基带处理芯片。所述中央处 理器也可以表述为中央处理电路或者中央处理芯片。对通信协议以及通信数据进行处理的功 能可以内置在处理器中,也可以以软件程序的形式存储在存储单元中,由处理器执行软件程 序以实现基带处理功能。
在一个例子中,可以将具有收发功能的天线和控制电路视为终端设备1200的收发模块 1201,将具有处理功能的处理器视为终端设备1200的处理模块1202。如图12所示,终端设 备1200包括收发模块1201和处理模块1202。收发模块也可以称为收发器、收发机、收发装 置等。可选的,可以将收发模块1201中用于实现接收功能的器件视为接收模块,将收发模块 1201中用于实现发送功能的器件视为发送模块,即收发模块1201包括接收模块和发送模块 示例性的,接收模块也可以称为接收机、接收器、接收电路等,发送模块可以称为发射机、 发射器或者发射电路等。
图13为本申请一实施例提供的一种通信系统的结构示意图。如图13所示,本实施例所 述的通信系统1300可以包括:终端设备1301、第一网络设备1302和锚点网元1303。终端设 备1301可以为一个或多个。其中,终端设备1301可以采用图8或图11或图12所示装置实 施例的结构,其对应地,可以执行上述任一方法实施例有关终端设备的技术方案,其实现原 理和技术效果类似,此处不再赘述。第一网络设备1302可采用图9或图11所示装置实施例 的结构,其对应地,可以执行上述任一方法实施例有关第一网络设备的技术方案,其实现原 理和技术效果类似,此处不再赘述。锚点网元可采用图10或图11所示装置实施例的结构, 其对应地,可以执行上述任一方法实施例有关锚点网元的技术方案。
需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分, 实际实现时可以有另外的划分方式。在本申请的实施例中的各功能模块可以集成在一个处理 模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。 上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以 存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对 现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该 计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个 人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例所述方 法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各 种可以存储程序代码的介质。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当 使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包 括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产 生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算 机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从 一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从 一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL)) 或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进 行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或 多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例 如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk (SSD))等。

Claims (19)

1.一种证书发放方法,其特征在于,包括:
第一网络设备接收终端设备发送的第一消息,所述第一消息用于请求所述第一网络设备发放注册证书,所述第一消息包括公钥以及引导标识符B-TID;
所述第一网络设备根据所述引导标识符B-TID和所述公钥生成所述注册证书;
所述第一网络设备向所述终端设备发送第二消息,所述第二消息包括所述注册证书;
其中,所述第一网络设备根据所述引导标识符B-TID和所述公钥生成所述注册证书,包括:
所述第一网络设备向锚点网元发送所述引导标识符B-TID,请求所述锚点网元发送与所述引导标识符B-TID对应的所述注册证书的证书生成信息;
所述第一网络设备接收所述锚点网元发送的所述证书生成信息;以及
所述第一网络设备根据所述证书生成信息和所述公钥生成所述注册证书;
或者,
所述第一网络设备根据所述引导标识符B-TID和所述公钥生成所述注册证书,包括:
所述第一网络设备向锚点网元发送所述引导标识符B-TID;
所述第一网络设备接收所述锚点网元发送的所述终端设备的永久性标识;
所述第一网络设备根据所述终端设备的永久性标识确定所述证书生成信息;以及
所述第一网络设备根据所述证书生成信息和所述公钥生成所述注册证书。
2.根据权利要求1所述的方法,其特征在于,所述第一网络设备向所述终端设备发送第二消息,包括:
所述第一网络设备根据第一共享密钥对所述第二消息进行加密处理,得到加密后的第二消息,其中,所述第一共享密钥为所述终端设备与所述第一网络设备之间共享的密钥;
所述第一网络设备向所述终端设备发送加密后的第二消息。
3.根据权利要求2所述的方法,其特征在于,在所述第一网络设备根据第一共享密钥对所述第二消息进行加密处理之前,所述方法还包括:
所述第一网络设备确定所述第一网络设备与所述终端设备之间共享的密钥包括在有效期内的所述第一共享密钥。
4.根据权利要求2所述的方法,其特征在于,在所述第一网络设备根据第一共享密钥对所述第二消息进行加密处理之前,所述方法还包括:
所述第一网络设备确定所述第一网络设备与所述终端设备之间不存在有效的共享密钥;
所述第一网络设备与所述终端设备协商获得所述第一共享密钥。
5.根据权利要求4所述的方法,其特征在于,所述第一网络设备与所述终端设备协商获得所述第一共享密钥,包括:
第一网络设备向锚点网元发送第六消息,所述第六消息包括用于确定第二共享密钥的信息,所述第二共享密钥为所述终端设备与锚点网元之间共享的密钥;
所述第一网络设备接收所述锚点网元发送的第七消息,所述第七消息包括所述第一共享密钥,所述第一共享密钥是根据第二共享密钥确定的。
6.根据权利要求2所述的方法,其特征在于,所述方法还包括:
第一网络设备向终端设备发送第三消息,所述第三消息用于指示所述第一共享密钥的有效期。
7.一种证书发放方法,其特征在于,包括:
终端设备向第一网络设备发送第一消息,所述第一消息用于请求所述第一网络设备发放注册证书,所述第一消息包括公钥以及引导标识符B-TID,所述引导标识符B-TID用于所述第一网络设备向锚点网元请求所述注册证书的证书生成信息;
所述终端设备接收所述第一网络设备发送的第二消息,其中,所述第二消息包括所述注册证书,所述注册证书根据所述证书生成信息以及所述公钥生成。
8.根据权利要求1所述的方法,其特征在于,还包括:
所述终端设备根据第一共享密钥对所述第二消息进行解密,获得所述注册证书;其中,所述第二消息是根据第一共享密钥加密后得到的消息,所述第一共享密钥为所述终端设备与所述第一网络设备之间共享的密钥。
9.根据权利要求2所述的方法,其特征在于,在所述终端设备向第一网络设备发送第一消息之前,所述方法还包括:
所述终端设备确定所述终端设备与所述第一网络设备之间共享的密钥包括在有效期内的所述第一共享密钥。
10.根据权利要求2所述的方法,其特征在于,在所述终端设备向第一网络设备发送第一消息之前,所述方法还包括:
所述终端设备确定所述终端设备与第一网络设备之间不存在有效的共享密钥;
所述终端设备与所述第一网络设备协商获得所述第一共享密钥。
11.根据权利要求4所述的方法,其特征在于,所述第一共享密钥是根据第二共享密钥确定的,所述第二共享密钥为所述终端设备与锚点网元之间共享的密钥。
12.根据权利要求5所述的方法,其特征在于,所述第二共享密钥在有效期内。
13.根据权利要求2所述的方法,其特征在于,所述方法还包括:
所述终端设备接收所述第一网络设备发送的第三消息,所述第三消息用于指示所述第一共享密钥的有效期。
14.一种证书发放方法,其特征在于,包括:
锚点网元接收第一网络设备发送的终端设备的引导标识符B-TID;
所述锚点网元根据所述引导标识符B-TID,确定证书生成信息,所述证书生成信息用于生成所述终端设备的注册证书;
所述锚点网元向所述第一网络设备发送所述证书生成信息;或者,
所述锚点网元根据所述引导标识符B-TID,确定所述终端设备的永久性标识;
所述锚点网元向所述第一网络设备发送所述永久性标识,所述永久性标识用于确定证书生成信息,所述证书生成信息用于生成所述终端设备的注册证书。
15.根据权利要求14所述的方法,其特征在于,所述方法还包括:
所述锚点网元接收所述第一网络设备发送的第六消息;
所述锚点网元根据所述第六消息确定第二共享密钥,所述第二共享密钥为所述终端设备与所述锚点网元之间共享的密钥;
所述锚点网元根据所述第二共享密钥确定所述第一共享密钥;
所述锚点网元向所述第一网络设备发送第七消息,所述第七消息包括所述第一共享密钥。
16.根据权利要求15所述的方法,其特征在于,所述方法还包括:
所述锚点网元向所述第一网络设备发送所述第一共享密钥的有效期。
17.根据权利要求15或16所述的方法,其特征在于,在所述锚点网元根据所述第二共享密钥确定所述第一共享密钥之前,所述方法还包括:
所述锚点网元确定所述第二共享密钥在有效期内。
18.一种证书发放装置,其特征在于,包括:存储器和处理器;
所述存储器,用于存储程序代码;
所述处理器,用于运行所述程序代码,以使所述证书发放装置执行如权利要求1至6任一项或者7至13任一项或者14至17任一项所述的证书发放方法。
19.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序包含至少一段代码,所述至少一段代码可由计算机执行,以控制所述计算机执行如权利要求1至6任一项或者7至13任一项或者14至17任一项所述的证书发放方法。
CN202210659360.7A 2019-09-25 2019-09-25 证书发放方法和装置 Pending CN115379414A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210659360.7A CN115379414A (zh) 2019-09-25 2019-09-25 证书发放方法和装置

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN202210659360.7A CN115379414A (zh) 2019-09-25 2019-09-25 证书发放方法和装置
CN201910913345.9A CN112654013B (zh) 2019-09-25 2019-09-25 证书发放方法和装置

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN201910913345.9A Division CN112654013B (zh) 2019-09-25 2019-09-25 证书发放方法和装置

Publications (1)

Publication Number Publication Date
CN115379414A true CN115379414A (zh) 2022-11-22

Family

ID=75342306

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201910913345.9A Active CN112654013B (zh) 2019-09-25 2019-09-25 证书发放方法和装置
CN202210659360.7A Pending CN115379414A (zh) 2019-09-25 2019-09-25 证书发放方法和装置

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN201910913345.9A Active CN112654013B (zh) 2019-09-25 2019-09-25 证书发放方法和装置

Country Status (1)

Country Link
CN (2) CN112654013B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115706610A (zh) * 2021-08-06 2023-02-17 北京小米移动软件有限公司 时间更新方法、装置、存储介质及电子设备

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1315268C (zh) * 2003-11-07 2007-05-09 华为技术有限公司 一种验证用户合法性的方法
CN100512137C (zh) * 2004-04-22 2009-07-08 华为技术有限公司 一种删除会话事务标识及其对应信息的方法
CN1697370A (zh) * 2004-05-14 2005-11-16 华为技术有限公司 一种无线局域网移动终端申请证书的方法
CN100563154C (zh) * 2004-11-05 2009-11-25 华为技术有限公司 一种保证用户身份标识私密性的方法
JP2006246272A (ja) * 2005-03-07 2006-09-14 Fuji Xerox Co Ltd 証明書取得システム
CN101043328A (zh) * 2006-03-24 2007-09-26 华为技术有限公司 通用引导框架中密钥更新方法
CN102299797A (zh) * 2010-06-23 2011-12-28 财团法人工业技术研究院 认证方法、密钥分配方法及认证与密钥分配方法
CN102740286A (zh) * 2012-05-23 2012-10-17 杨涛 一种基于浮动车的可追溯车辆自组网通信隐私保护方法
CN104737571B (zh) * 2012-10-29 2019-12-17 瑞典爱立信有限公司 保护在通信网络中发送的有效载荷
GB2518256A (en) * 2013-09-13 2015-03-18 Vodafone Ip Licensing Ltd Communicating with a machine to machine device
CN104780141B (zh) * 2014-01-10 2018-07-03 电信科学技术研究院 一种车联网系统中的消息证书获取方法和设备
CN104394000A (zh) * 2014-12-11 2015-03-04 江苏大学 一种车载网中基于假名验证公钥的批量认证方法
CN106921496A (zh) * 2015-12-25 2017-07-04 卓望数码技术(深圳)有限公司 一种数字签名方法和系统
JP6668898B2 (ja) * 2016-04-05 2020-03-18 株式会社オートネットワーク技術研究所 通信システム及び車載通信装置
US20190036896A1 (en) * 2017-07-27 2019-01-31 Cisco Technology, Inc. Generic Bootstrapping Architecture (GBA) Based Security Over Constrained Application Protocol (CoAP) for IoT Devices
CN107360002B (zh) * 2017-08-15 2020-02-07 武汉信安珞珈科技有限公司 一种数字证书的申请方法
US10943005B2 (en) * 2017-11-22 2021-03-09 Aeris Communications, Inc. Secure authentication of devices for internet of things
CN108390885B (zh) * 2018-03-01 2020-08-07 北京华为数字技术有限公司 一种获得设备标识的方法、通信实体、通信系统及存储介质
CN108650220B (zh) * 2018-03-27 2020-12-08 北京安御道合科技有限公司 发放、获取移动终端证书及汽车端芯片证书的方法、设备

Also Published As

Publication number Publication date
CN112654013B (zh) 2022-06-14
CN112654013A (zh) 2021-04-13

Similar Documents

Publication Publication Date Title
CN110474875B (zh) 基于服务化架构的发现方法及装置
CN109428874B (zh) 基于服务化架构的注册方法及装置
US9923721B2 (en) Key agreement and authentication for wireless communication
US10924268B2 (en) Key distribution method, and related device and system
CN108347417B (zh) 一种网络认证方法、用户设备、网络认证节点及系统
US10790995B2 (en) Oracle authentication using multiple memory PUFs
US20070079362A1 (en) Method for secure device discovery and introduction
CN102480713B (zh) 一种汇聚节点与移动通信网络间的通信方法、系统及装置
CN112491533B (zh) 一种密钥生成方法及装置
CN107689864B (zh) 一种认证方法,服务器,终端以及网关
CN112994873B (zh) 一种证书申请方法及设备
US20100023768A1 (en) Method and system for security key agreement
CN112602290B (zh) 一种身份验证方法、装置和可读存储介质
EP4247027A1 (en) Communication method and apparatus
EP4327505A2 (en) Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network
CN111357305B (zh) 可移动平台的通信方法、设备、系统及存储介质
WO2023279283A1 (zh) 建立车辆安全通信的方法、车辆、终端及系统
CN108882233B (zh) 一种imsi的加密方法、核心网和用户终端
CN101296107A (zh) 通信网络中基于身份标识加密技术的安全通信方法及装置
CN112654013B (zh) 证书发放方法和装置
CN111247770B (zh) 一种使用ibc保护车辆外部通信的方法和相关系统
CN113365243B (zh) 通信方法、装置、设备及系统
US9979539B2 (en) Method and system of authenticating a network device in a location based verification framework
EP4283955A1 (en) Communication key configuration method and apparatus
WO2009004590A2 (en) Method, apparatus, system and computer program for key parameter provisioning

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination