CN116614814B - 基于v2x通信的x.509证书申请方法、设备和介质 - Google Patents
基于v2x通信的x.509证书申请方法、设备和介质 Download PDFInfo
- Publication number
- CN116614814B CN116614814B CN202310868355.1A CN202310868355A CN116614814B CN 116614814 B CN116614814 B CN 116614814B CN 202310868355 A CN202310868355 A CN 202310868355A CN 116614814 B CN116614814 B CN 116614814B
- Authority
- CN
- China
- Prior art keywords
- certificate
- authentication
- request message
- application
- eca
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 230000006854 communication Effects 0.000 title claims abstract description 55
- 238000004891 communication Methods 0.000 title claims abstract description 53
- 238000013475 authorization Methods 0.000 claims abstract description 86
- 238000012795 verification Methods 0.000 claims description 24
- 230000005540 biological transmission Effects 0.000 claims description 3
- 230000002159 abnormal effect Effects 0.000 abstract description 14
- 230000008569 process Effects 0.000 description 9
- 206010000117 Abnormal behaviour Diseases 0.000 description 6
- 238000004590 computer program Methods 0.000 description 6
- 230000003993 interaction Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及无线通信网络技术领域,公开了一种基于V2X通信的X.509证书申请方法、设备和存储介质。该方法包括:通过V2X设备向认证授权系统发送身份认证请求,以使认证授权系统对其进行身份认证,并在身份认证通过后反馈会话密钥以及ECA证书,进而V2X设备生成证书申请请求消息并发送至509RA,使得509RA生成授权请求发送至认证授权系统,认证授权系统根据会话密钥以及ECA证书对证书申请请求消息进行安全性校验,如果通过则查看ECA证书是否有效,并将查看结果反馈至509RA,使得509RA判断查看结果是否为证书有效,若是,则向509CA发送证书签发申请以生成509证书下发至该V2X设备,实现了基于V2X通信的509证书下发,解决现有技术中509CA为异常的设备下发509证书的情况。
Description
技术领域
本发明涉及无线通信网络技术领域,尤其涉及一种基于V2X通信的X.509证书申请方法、设备和介质。
背景技术
随着汽车和交通基础设施智能化、网联化程度的不断提高,越来越多的信息和数据需要在各交通参与主体之间进行高频率的信息交互,包括车车、车人、车路及车云。在V2X(Vehicle to Everything,车用无线通信技术)通信过程中,海量的车载和路侧终端进行高频率的通信交互,通信过程的安全受到行业的广泛关注,针对于C-V2X(蜂窝V2X)场景下证书发放规模巨大,终端签名、验证的效率和性能要求高,对此提出采用V2X数字证书,实现交互过程中的身份认证、安全传输和完整性校验,保障车与车、车与路侧设备之间通信的V2X数据的真实性、完整性。
与此同时,同时车企为了满足车云通信场景,建设了X.509证书体系。一辆车的车载终端上就有2套数字证书。然而,现有技术存在509CA为异常的设备下发509证书的情况,进而导致车云通信存在安全隐患。
有鉴于此,特提出本发明。
发明内容
为了解决上述技术问题,本发明提供了一种基于V2X通信的X.509证书申请方法、设备和介质,解决现有技术中509CA为异常的设备下发509证书的情况,进而保证了车云通信的安全性。
本发明实施例提供了一种基于V2X通信的X.509证书申请方法,由申请系统执行,所述申请系统包括V2X设备、认证授权系统、509RA以及509CA,该方法包括:
所述V2X设备向所述认证授权系统发送身份认证请求,以使所述认证授权系统对所述V2X设备进行身份认证,并在身份认证通过后向所述V2X设备反馈会话密钥以及ECA证书;
所述V2X设备基于所述会话密钥和所述ECA证书生成证书申请请求消息并发送至所述509RA,以使所述509RA基于所述证书申请请求消息生成授权请求发送至所述认证授权系统;
所述认证授权系统基于所述会话密钥以及所述ECA证书对所述授权请求中的证书申请请求消息进行安全性校验,若安全性校验通过,则查看所述ECA证书是否有效,并将查看结果反馈至所述509RA;
所述509RA判断所述查看结果是否为证书有效,若是,则向所述509CA发送证书签发申请,以使所述509CA生成所述V2X设备的509证书,并将所述509证书发送至所述V2X设备。
本发明实施例提供了一种电子设备,所述电子设备包括:
处理器和存储器;
所述处理器通过调用所述存储器存储的程序或指令,用于执行任一实施例所述的基于V2X通信的X.509证书申请方法的步骤。
本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行任一实施例所述的基于V2X通信的X.509证书申请方法的步骤。
本发明实施例具有以下技术效果:
通过V2X设备向认证授权系统发送身份认证请求,以使认证授权系统对V2X设备进行身份认证,并在身份认证通过后反馈会话密钥以及ECA证书,进而V2X设备根据会话密钥和ECA证书生成证书申请请求消息并发送至509RA,使得509RA生成授权请求发送至认证授权系统,认证授权系统根据该V2X设备的会话密钥以及ECA证书对509RA发送的授权请求中的证书申请请求消息进行安全性校验,如果通过则查看ECA证书是否有效,并将查看结果反馈至509RA,使得509RA判断查看结果是否为证书有效,若是,则向509CA发送证书签发申请,进而509CA生成该V2X设备的509证书并下发至该V2X设备,实现了基于V2X通信对V2X设备进行509证书下发,该方法通过认证授权系统对V2X设备进行身份认证并将ECA证书是否有效反馈至509RA,可以将V2X设备是否异常告知509RA,进而509RA可以仅为不存在异常的V2X设备下发509证书,解决现有技术中509CA为异常的设备下发509证书的情况,进而保证了车云通信的安全性,并且,通过认证授权系统对证书申请请求消息进行安全性校验,避免了证书申请请求消息被其它设备恶意破解的情况,并且,还保证了发送证书申请请求消息的V2X设备已进行过身份认证,进一步避免了为异常设备下发509证书的情况。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于V2X通信的X.509证书申请方法的流程图;
图2为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将对本发明的技术方案进行清楚、完整的描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施例,都属于本发明所保护的范围。
在对本发明实施例提供的基于V2X通信的X.509证书申请方法进行介绍之前,先对该方法解决的技术问题进行说明。在现有技术中,V2X CA(Certificate Authority,证书认证机构)中通过异常行为管理系统进行异常行为识别和判决,将判决结果通知V2X CA相关证书机构进行处置,而509CA并没有异常判决,这就导致设备在进行509证书申请时,509CA无法预知该设备是否正常,进而导致509CA为异常的设备下发509证书。
因此,为了解决上述技术问题,本发明实施例提供了一种基于V2X通信的X.509证书申请方法,将V2X通信用于X.509证书的申请过程中,可以避免509CA为异常的设备下发509证书的情况,进而保证了车云通信的安全性,并且,避免了证书申请请求消息被其它设备恶意破解的情况,进一步保证了不为异常设备下发509证书。
本发明实施例提供的基于V2X通信的X.509证书申请方法,主要适用于通过V2X通信的方式为V2X设备下发509证书的情况。本发明实施例提供的基于V2X通信的X.509证书申请方法可以由申请系统执行,申请系统包括V2X设备、认证授权系统、509RA以及509CA。
图1为本发明实施例提供的一种基于V2X通信的X.509证书申请方法的流程图。参见图1,该基于V2X通信的X.509证书申请方法具体包括:
S110、V2X设备向认证授权系统发送身份认证请求,以使认证授权系统对V2X设备进行身份认证,并在身份认证通过后向V2X设备反馈会话密钥以及ECA证书。
在本发明实施例中,申请系统中的V2X设备可以是使用V2X证书通信的设备,如,车辆、路侧设备、手机等使用V2X设备通信的相关软硬件设备。申请系统中的认证授权系统可以是V2X 通信体系中的异常行为管理系统,也可以是V2X 通信体系中与异常行为管理系统通信的相关证书系统。申请系统中的509RA和509CA(Registration Authority,注册机构)是X.509通信体系中的机构,具体509RA可以是509CA的下属机构,509RA负责在证书申请过程中帮助509CA进行身份验证。V2X 通信体系用于车车通信或车路通信等业务场景,X.509通信体系用于车云通信的业务场景。
具体的,若V2X设备存在509证书申请需求,如V2X设备需要与云端通信且不存在509证书,则可以先向认证授权系统发送身份认证请求。
示例性的,V2X设备可以基于有效的共享会话密钥接入认证授权系统,若V2X设备没有有效的共享会话密钥,则V2X设备可以通过蜂窝网接入认证授权系统。
具体的,认证授权系统基于V2X设备发送的身份认证请求,对V2X设备进行身份认证。例如,认证授权系统可以根据该V2X设备的设备标识以及根密钥对V2X设备进行身份认证。如果身份认证通过,则认证授权系统可以向EC(Enrollment Certificate,注册证书)机构请求该V2X设备的ECA(Enrollment Certificate Authority,注册证书颁发机构)证书,进而EC机构将该V2X设备的ECA证书发送给认证授权系统,认证授权系统对该ECA证书进行存储,并向V2X设备反馈ECA证书以及会话密钥。
其中,申请系统中的认证授权系统可以与V2X 通信体系中的EC机构建立安全的通信通道,以确保两者之间数据交互的安全性。认证授权系统可以根据3GPP TS 33.220协议实现。ECA证书可以是V2X 通信体系中用于鉴别V2X设备的身份的证书,即可以理解为V2X设备的身份证书。会话密钥可以是V2X设备与认证授权系统之间通信的密钥。
S120、V2X设备基于会话密钥和ECA证书生成证书申请请求消息并发送至509RA,以使509RA基于证书申请请求消息生成授权请求发送至认证授权系统。
具体的,V2X设备在进行身份认证后,可以根据认证授权系统反馈的会话密钥以及ECA证书,生成证书申请请求消息,并将其发送至509RA。其中,证书申请请求消息可以是用于请求509证书的消息。
在一种具体的实施方式中,申请系统还包括设备公钥模块,在V2X设备基于会话密钥和ECA证书生成证书申请请求消息并发送至509RA之前,还包括:V2X设备向设备公钥模块发送P10文件请求,并获取设备公钥模块反馈的P10文件;
相应的,V2X设备基于会话密钥和ECA证书生成证书申请请求消息并发送至509RA,包括:V2X设备基于会话密钥对P10文件进行加密,并基于ECA证书对加密后的P10文件进行签名,得到证书申请请求消息,将证书申请请求消息发送至509RA。
其中,设备公钥模块可以是V2X设备内的PKI(Public Key Infrastructure,公钥基础设备)系统的SDK(Software Development Kit,软件开发包)。具体的,V2X设备可以先向设备公钥模块发送P10文件请求,以向设备公钥模块请求P10文件,P10文件是申请509证书的请求文件。
进一步的,V2X设备在得到设备公钥模块反馈的P10文件之后,V2X设备使用会话密钥对P10文件进行加密,并使用ECA证书对加密后的P10文件进行签名,将加密和签名后的P10文件作为证书申请请求消息,进而发送至509RA。
通过该方式,实现了对P10文件的加密和签名,进而保证了发送证书申请请求消息的V2X设备已通过身份认证,避免将509证书下发给未通过身份认证的V2X设备,进一步保证了509证书的安全下发。
其中,针对设备公钥模块生成P10文件的过程,在一种示例中,在V2X设备向设备公钥模块发送P10文件请求之后,还包括:设备公钥模块生成密钥对,其中,密钥对包括公钥和私钥;设备公钥模块基于公钥生成证书请求信息,基于私钥生成签名信息,根据证书请求信息和签名信息生成P10文件。
其中,设备公钥模块在接收到P10文件请求后,可以生成RSA密钥对,密钥对中的私钥将被用于加密和解密数据,密钥对中的公钥将被用于验证V2X设备的身份信息。
具体的,设备公钥模块根据公钥、V2X设备请求的P10文件的文件名以及其它相关信息(如单位等)生成证书请求信息,即请求体,进而使用私钥生成签名信息,以使用私钥对证书请求信息进行签名,最后由证书请求信息以及签名信息生成P10文件。其中,P10文件包括证书请求信息以及签名信息,证书请求信息包括版本、名称以及公钥,签名信息包括签名算法和私钥。
为了进一步提高P10文件的安全性,设备公钥模块还可以使用V2X设备发送的P10文件请求中的设备信息作为私钥,生成密钥对,进而使用设备信息对证书请求信息进行签名得到P10文件。通过上述方式,实现了P10文件的生成,保证了P10文件的安全性。
在一种示例中,在设备公钥模块生成密钥对之前,还包括:设备公钥模块对P10文件请求中的车架号、T-BOX序列号、会话密钥以及ECA证书进行验证,若验证通过,则执行生成密钥对的操作。
即,在V2X设备向设备公钥模块发送P10文件请求之后,设备公钥模块可以先对V2X设备进行验证,具体可以根据车架号、T-BOX序列号、会话密钥以及ECA证书进行验证,如果验证通过,则设备公钥模块进一步生成密钥对以生成P10文件,若验证未通过,则设备公钥模块可以向V2X设备返回验证未通过的响应信息。通过该方式,可以进一步保证P10文件的安全下发,避免将P10文件下发给异常设备。
具体的,V2X设备在得到P10文件后,通过对其进行加密和签名,得到证书申请请求消息,将其发送至509RA。
在一种可选的实施方式中,将证书申请请求消息发送至509RA,包括:V2X设备基于安全传输协议建立单向通道;V2X设备基于所述单向通道将证书申请请求消息发送至509RA。
其中,V2X设备可以建立基于安全传输协议(Transport Layer Security,TLS)的单向通道,进而通过该单向通道向509RA发送证书申请请求消息。通过该方式,可以保证V2X设备与509RA之间传输证书申请请求消息的安全性,避免证书申请请求消息被其它设备获取后破解,进而保证了509证书的下发安全性。
进一步的,509RA在接收到证书申请请求消息后,生成授权请求,并将其发送至认证授权系统。
S130、认证授权系统基于会话密钥以及ECA证书对授权请求中的证书申请请求消息进行安全性校验,若安全性校验通过,则查看ECA证书是否有效,并将查看结果反馈至509RA。
其中,认证授权系统在接收到509RA的授权请求后,通过会话密钥和ECA证书对授权请求中证书申请请求消息进行安全性校验,以判断V2X设备是否已通过身份认证。
示例性的,若V2X设备没有通过身份认证,则V2X设备无法获取到认证授权系统反馈的会话密钥以及ECA证书,进而V2X可能通过其它密钥和证书生成证书申请请求消息,导致认证授权系统对证书申请请求消息的安全性校验不通过。
在一种具体的实施方式中,认证授权系统基于会话密钥以及ECA证书对授权请求中的证书申请请求消息进行安全性校验,包括:认证授权系统基于会话密钥对授权请求中的证书申请请求消息进行解密,并基于ECA证书对授权请求中的证书申请请求消息进行验签;若解密成功且验签成功,则确定授权请求中的证书申请请求消息安全性校验通过。
即,认证授权系统基于会话密钥解密,并根据ECA证书对证书申请请求消息验签,如果解密成功且验签成功,则安全性校验通过,表示该V2X设备已通过身份认证。在该实施方式中,通过对V2X设备生成的证书申请请求消息进行解密和验签,验证该V2X设备是否已通过身份认证,避免了为未通过身份认证的V2X设备下发509证书,进一步保证了车云通信的安全性。
具体的,如果安全性校验通过,则认证授权系统可以查看该V2X设备的ECA证书是否有效。其中,ECA证书是否有效用于反映对应的V2X设备是否异常,即反映该V2X设备是否在与其它V2X设备进行V2X通信的过程中存在异常行为。若V2X设备被检测出异常,则ECA证书可以被吊销,处于无效状态,若V2X设备未被检测出异常,则ECA证书可以处于有效状态。
进一步的,认证授权系统将ECA证书是否有效的查看结果反馈至509RA,其中,查看结果可以是证书有效或证书无效。
在一种示例中,在认证授权系统基于会话密钥以及ECA证书对授权请求中的证书申请请求消息进行安全性校验之后,还包括:若安全性校验未通过,则认证授权系统向509RA反馈校验失败信息;509RA基于校验失败信息,向V2X设备反馈证书申请失败信息。
即,如果安全性校验未通过,即解密失败或验签失败,则认证授权系统可以向509RA发送校验失败信息,进而509RA在接收到该校验失败信息后,向V2X设备发送证书申请失败信息。通过该方式,可以在安全性校验未通过时,拒绝向V2X设备下发509证书,避免了为未通过身份认证的V2X设备下发509证书,进一步保证了车云通信的安全性。
S140、509RA判断查看结果是否为证书有效,若是,则向509CA发送证书签发申请,以使509CA生成V2X设备的509证书,并将509证书发送至V2X设备。
具体的,如果查看结果为证书有效,即V2X设备不存在异常,则509RA可以向509CA发送证书签发申请,509CA基于该证书签发申请生成509证书,并将509证书下发至V2X设备。
在一种示例中,若查看结果为证书无效,则509RA向V2X设备反馈证书申请失败信息。
即,如果查看结果为证书无效,即V2X设备存在异常,则509RA可以反馈证书申请失败信息至V2X设备。通过该方式,可以在证书无效时,拒绝向V2X设备下发509证书,避免了为异常的V2X设备下发509证书,进一步保证了车云通信的安全性。
在本发明实施例中,基于已有的V2XCA体系,通过V2XCA的认证授权系统完成设备是否异常的身份认证,进而基于认证授权系统与509RA之间的交互,完成509证书申请,统一两套证书对于一个V2X设备是否异常的判决。V2X设备的车载网关获取认证授权系统的身份认证响应,后通过ECA证书和会话密钥生成用于请求509证书的证书申请请求消息,以进行509证书的签发。通过V2X设备的车载网关预置的身份认证流程,统一V2X证书和509证书对于异常设备的响应,优化整个申请流程。
本发明具有以下技术效果:通过V2X设备向认证授权系统发送身份认证请求,以使认证授权系统对V2X设备进行身份认证,并在身份认证通过后反馈会话密钥以及ECA证书,进而V2X设备根据会话密钥和ECA证书生成证书申请请求消息并发送至509RA,使得509RA生成授权请求发送至认证授权系统,认证授权系统根据该V2X设备的会话密钥以及ECA证书对509RA发送的授权请求中的证书申请请求消息进行安全性校验,如果通过则查看ECA证书是否有效,并将查看结果反馈至509RA,使得509RA判断查看结果是否为证书有效,若是,则向509CA发送证书签发申请,进而509CA生成该V2X设备的509证书并下发至该V2X设备,实现了基于V2X通信对V2X设备进行509证书下发,该方法通过认证授权系统对V2X设备进行身份认证并将ECA证书是否有效反馈至509RA,可以将V2X设备是否异常告知509RA,进而509RA可以仅为不存在异常的V2X设备下发509证书,解决现有技术中509CA为异常的设备下发509证书的情况,进而保证了车云通信的安全性,并且,通过认证授权系统对证书申请请求消息进行安全性校验,避免了证书申请请求消息被其它设备恶意破解的情况,并且,还保证了发送证书申请请求消息的V2X设备已进行过身份认证,进一步避免了为异常设备下发509证书的情况。
图2为本发明实施例提供的一种电子设备的结构示意图。如图2所示,电子设备400包括一个或多个处理器401和存储器402。
处理器401可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元,并且可以控制电子设备400中的其他组件以执行期望的功能。
存储器402可以包括一个或多个计算机程序产品,所述计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令,处理器401可以运行所述程序指令,以实现上文所说明的本发明任意实施例的基于V2X通信的X.509证书申请方法以及/或者其他期望的功能。在所述计算机可读存储介质中还可以存储诸如初始外参、阈值等各种内容。
在一个示例中,电子设备400还可以包括:输入装置403和输出装置404,这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。该输入装置403可以包括例如键盘、鼠标等等。该输出装置404可以向外部输出各种信息,包括预警提示信息、制动力度等。该输出装置404可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。
当然,为了简化,图2中仅示出了该电子设备400中与本发明有关的组件中的一些,省略了诸如总线、输入/输出接口等等的组件。除此之外,根据具体应用情况,电子设备400还可以包括任何其他适当的组件。
除了上述方法和设备以外,本发明的实施例还可以是计算机程序产品,其包括计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本发明任意实施例所提供的基于V2X通信的X.509证书申请方法的步骤。
所述计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本发明实施例操作的程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、C++等,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
此外,本发明的实施例还可以是计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本发明任意实施例所提供的基于V2X通信的X.509证书申请方法的步骤。
所述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
需要说明的是,本发明所用术语仅为了描述特定实施例,而非限制本申请范围。如本发明说明书中所示,除非上下文明确提示例外情形,“一”、“一个”、“一种”和/或“该”等词并非特指单数,也可包括复数。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法或者设备中还存在另外的相同要素。
还需说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。除非另有明确的规定和限定,术语“安装”、“相连”、“连接”等应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案。
Claims (10)
1.一种基于V2X通信的X.509证书申请方法,其特征在于,由申请系统执行,所述申请系统包括V2X设备、认证授权系统、509RA以及509CA,所述方法包括:
所述V2X设备向所述认证授权系统发送身份认证请求,以使所述认证授权系统对所述V2X设备进行身份认证,并在身份认证通过后向所述V2X设备反馈会话密钥以及ECA证书;
所述V2X设备基于所述会话密钥和所述ECA证书生成证书申请请求消息并发送至所述509RA,以使所述509RA基于所述证书申请请求消息生成授权请求发送至所述认证授权系统;
所述认证授权系统基于所述会话密钥以及所述ECA证书对所述授权请求中的证书申请请求消息进行安全性校验,若安全性校验通过,则查看所述ECA证书是否有效,并将查看结果反馈至所述509RA;
所述509RA判断所述查看结果是否为证书有效,若是,则向所述509CA发送证书签发申请,以使所述509CA生成所述V2X设备的509证书,并将所述509证书发送至所述V2X设备。
2.根据权利要求1所述的方法,其特征在于,所述申请系统还包括设备公钥模块,在所述V2X设备基于所述会话密钥和所述ECA证书生成证书申请请求消息并发送至所述509RA之前,还包括:
所述V2X设备向所述设备公钥模块发送P10文件请求,并获取所述设备公钥模块反馈的P10文件;
相应的,所述V2X设备基于所述会话密钥和所述ECA证书生成证书申请请求消息并发送至所述509RA,包括:
所述V2X设备基于所述会话密钥对所述P10文件进行加密,并基于所述ECA证书对加密后的P10文件进行签名,得到证书申请请求消息,将所述证书申请请求消息发送至所述509RA。
3.根据权利要求2所述的方法,其特征在于,在所述V2X设备向所述设备公钥模块发送P10文件请求之后,还包括:
所述设备公钥模块生成密钥对,其中,所述密钥对包括公钥和私钥;
所述设备公钥模块基于所述公钥生成证书请求信息,基于所述私钥生成签名信息,根据所述证书请求信息和所述签名信息生成P10文件。
4.根据权利要求3所述的方法,其特征在于,在所述设备公钥模块生成密钥对之前,还包括:
所述设备公钥模块对所述P10文件请求中的车架号、T-BOX序列号、会话密钥以及ECA证书进行验证,若验证通过,则执行生成密钥对的操作。
5.根据权利要求2所述的方法,其特征在于,将所述证书申请请求消息发送至所述509RA,包括:
所述V2X设备基于安全传输协议建立单向通道;
所述V2X设备基于所述单向通道将所述证书申请请求消息发送至所述509RA。
6.根据权利要求2所述的方法,其特征在于,所述认证授权系统基于所述会话密钥以及所述ECA证书对所述授权请求中的证书申请请求消息进行安全性校验,包括:
所述认证授权系统基于所述会话密钥对所述授权请求中的证书申请请求消息进行解密,并基于所述ECA证书对所述授权请求中的证书申请请求消息进行验签;
若解密成功且验签成功,则确定所述授权请求中的证书申请请求消息安全性校验通过。
7.根据权利要求1所述的方法,其特征在于,在所述认证授权系统基于所述会话密钥以及所述ECA证书对所述授权请求中的证书申请请求消息进行安全性校验之后,还包括:
若安全性校验未通过,则所述认证授权系统向所述509RA反馈校验失败信息;
所述509RA基于所述校验失败信息,向所述V2X设备反馈证书申请失败信息。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述查看结果为证书无效,则所述509RA向所述V2X设备反馈证书申请失败信息。
9.一种电子设备,其特征在于,所述电子设备包括:
处理器和存储器;
所述处理器通过调用所述存储器存储的程序或指令,用于执行如权利要求1至8任一项所述的基于V2X通信的X.509证书申请方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行如权利要求1至8任一项所述的基于V2X通信的X.509证书申请方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310868355.1A CN116614814B (zh) | 2023-07-17 | 2023-07-17 | 基于v2x通信的x.509证书申请方法、设备和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310868355.1A CN116614814B (zh) | 2023-07-17 | 2023-07-17 | 基于v2x通信的x.509证书申请方法、设备和介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116614814A CN116614814A (zh) | 2023-08-18 |
CN116614814B true CN116614814B (zh) | 2023-10-10 |
Family
ID=87682126
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310868355.1A Active CN116614814B (zh) | 2023-07-17 | 2023-07-17 | 基于v2x通信的x.509证书申请方法、设备和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116614814B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117082519B (zh) * | 2023-10-16 | 2024-01-02 | 中汽智联技术有限公司 | 多体系兼容的车联网网络通信方法、设备和存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112602290A (zh) * | 2019-08-02 | 2021-04-02 | 华为技术有限公司 | 一种身份验证方法及装置 |
CN113015159A (zh) * | 2019-12-03 | 2021-06-22 | 中国移动通信有限公司研究院 | 初始安全配置方法、安全模块及终端 |
CN115314532A (zh) * | 2022-07-05 | 2022-11-08 | 国网上海能源互联网研究院有限公司 | 一种配电终端与物联网主站信息交互方法及装置 |
CN115694891A (zh) * | 2022-09-23 | 2023-02-03 | 智己汽车科技有限公司 | 一种基于中央计算平台的路侧设备通信系统及方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102357954B1 (ko) * | 2021-05-13 | 2022-02-08 | 아우토크립트 주식회사 | V2x 환경을 위한 키와 인증서에 대한 안전하고 자동화된 부트스트래핑 방법 및 장치 |
-
2023
- 2023-07-17 CN CN202310868355.1A patent/CN116614814B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112602290A (zh) * | 2019-08-02 | 2021-04-02 | 华为技术有限公司 | 一种身份验证方法及装置 |
CN113015159A (zh) * | 2019-12-03 | 2021-06-22 | 中国移动通信有限公司研究院 | 初始安全配置方法、安全模块及终端 |
CN115314532A (zh) * | 2022-07-05 | 2022-11-08 | 国网上海能源互联网研究院有限公司 | 一种配电终端与物联网主站信息交互方法及装置 |
CN115694891A (zh) * | 2022-09-23 | 2023-02-03 | 智己汽车科技有限公司 | 一种基于中央计算平台的路侧设备通信系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN116614814A (zh) | 2023-08-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114154135B (zh) | 基于国密算法的车联网通信安全认证方法、系统及设备 | |
CN110769393B (zh) | 一种车路协同的身份认证系统及方法 | |
US20200177398A1 (en) | System, certification authority, vehicle-mounted computer, vehicle, public key certificate issuance method, and program | |
WO2022105176A1 (zh) | 基于区块链网络的车联网认证方法、装置、设备和介质 | |
CN111953705A (zh) | 物联网身份认证方法、装置及电力物联网身份认证系统 | |
CN104753881B (zh) | 一种基于软件数字证书和时间戳的WebService安全认证访问控制方法 | |
CN111447187A (zh) | 一种异构物联网的跨域认证方法 | |
US20200228988A1 (en) | V2x communication device and method for inspecting forgery/falsification of key thereof | |
CN108141444B (zh) | 经改善的认证方法和认证装置 | |
US20140189827A1 (en) | System and method for scoping a user identity assertion to collaborative devices | |
CN111372247A (zh) | 一种基于窄带物联网的终端安全接入方法及终端安全接入系统 | |
CN113114699B (zh) | 一种车辆终端身份证书申请方法 | |
CN115022092B (zh) | 车辆软件升级方法、设备和存储介质 | |
CN111552270B (zh) | 用于车载诊断的安全认证和数据传输方法及装置 | |
CN116614814B (zh) | 基于v2x通信的x.509证书申请方法、设备和介质 | |
CN110708388A (zh) | 用于提供安全服务的车身安全锚节点设备、方法以及网络系统 | |
JP2023544529A (ja) | 認証方法およびシステム | |
CN112883382A (zh) | 一种车辆刷写的方法、车联网盒、车辆及存储介质 | |
CN113285932B (zh) | 边缘服务的获取方法和服务器、边缘设备 | |
WO2018108293A1 (en) | Methods, devices and vehicles for authenticating a vehicle during a cooperative maneuver | |
CN113572795B (zh) | 一种车辆安全通信方法、系统及车载终端 | |
CN111541660B (zh) | 用于远程车辆控制的身份认证方法 | |
CN111800270B (zh) | 一种证书签名方法、装置、存储介质及计算机设备 | |
CN112583588B (zh) | 一种通信方法及装置、可读存储介质 | |
KR20190078154A (ko) | 차량용 통합 인증 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |