CN117082519B - 多体系兼容的车联网网络通信方法、设备和存储介质 - Google Patents
多体系兼容的车联网网络通信方法、设备和存储介质 Download PDFInfo
- Publication number
- CN117082519B CN117082519B CN202311328964.4A CN202311328964A CN117082519B CN 117082519 B CN117082519 B CN 117082519B CN 202311328964 A CN202311328964 A CN 202311328964A CN 117082519 B CN117082519 B CN 117082519B
- Authority
- CN
- China
- Prior art keywords
- certificate
- vehicle
- pseudonym
- cloud
- vehicle end
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006854 communication Effects 0.000 title claims abstract description 119
- 238000004891 communication Methods 0.000 title claims abstract description 115
- 238000000034 method Methods 0.000 title claims abstract description 65
- 238000012795 verification Methods 0.000 claims abstract description 64
- 230000004044 response Effects 0.000 claims abstract description 38
- 238000004458 analytical method Methods 0.000 claims abstract description 30
- 230000005540 biological transmission Effects 0.000 abstract description 2
- 235000016496 Panda oleosa Nutrition 0.000 description 28
- 240000000220 Panda oleosa Species 0.000 description 28
- 230000006870 function Effects 0.000 description 18
- 238000010586 diagram Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 238000004590 computer program Methods 0.000 description 6
- 238000013475 authorization Methods 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/44—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
Abstract
本发明涉及数字信息传输技术领域,公开了一种多体系兼容的车联网网络通信方法、设备和存储介质。该方法包括:第一车端生成通信数据,并使用车端V2X证书签名,将签名后的通信数据与车端V2X证书发送至云端,进而V2X解析模块将该车端V2X证书中包含的认证中心的X509证书的哈希标识,与预先存储的全域X509证书链进行比对,以验证该车端V2X证书是否可信,云端在证书可信的情况下,对通信数据进行验签,若验签通过则反馈响应数据至第一车端,实现基于V2X证书的车云通信,在车端仅具备V2X证书体系的情况下实现与云端的通信,无需再为车端部署X509证书体系。
Description
技术领域
本发明涉及数字信息传输技术领域,尤其涉及一种多体系兼容的车联网网络通信方法、设备和存储介质。
背景技术
当前车联网场景中,车云通信使用X509证书体系,车车、车路、车人通信使用V2X证书体系。X509和V2X两套证书体系完全独立,车企为了支持车辆的X509和V2X功能,需要分别部署X509CA和V2XCA两套PKI(Public Key Infrastructure,公钥基础设施)系统。
车端为了保证各类通信功能安全,需要同时支持V2X和X509两套证书体系的使用,这对于车企和车端都是一个很大的负担。同时,对产线维护、灌装数字证书的流程和车端维护相应的证书链和证书下载地址来说都更加的复杂。
有鉴于此,特提出本发明。
发明内容
为了解决上述技术问题,本发明提供了一种多体系兼容的车联网网络通信方法、设备和存储介质,实现基于V2X证书的车云通信功能,即使车辆目前只具备单一体系,也可以便于实现另一体系的功能扩展。
本发明实施例提供了一种多体系兼容的车联网网络通信方法,应用于多体系兼容系统,所述系统包括各认证中心,该方法包括:
第一车端生成通信数据,并使用车端V2X证书对通信数据进行签名,将签名后的通信数据与所述车端V2X证书发送至云端,其中,所述车端V2X证书包括发行人信息,所述发行人信息包括签发所述车端V2X证书的认证中心的X509证书的哈希标识;
云端将所述车端V2X证书发送至V2X解析模块,所述V2X解析模块获取所述车端V2X证书中的发行人信息、公钥以及签名;
所述V2X解析模块于预先存储的全域X509证书链中,查询哈希标识与所述发行人信息中的X509证书的哈希标识一致的X509证书,基于查询到的X509证书的公钥对所述车端V2X证书中的签名进行验签,将证书验签结果与所述车端V2X证书中的公钥反馈至所述云端;
所述云端判断所述证书验签结果是否为验签通过,若是,则基于所述车端V2X证书中的公钥对所述通信数据进行验签,若数据验签结果为验签通过,则反馈响应数据至所述第一车端。
本发明实施例提供了一种电子设备,所述电子设备包括:
处理器和存储器;
所述处理器通过调用所述存储器存储的程序或指令,用于执行任一实施例所述的多体系兼容的车联网网络通信方法的步骤。
本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行任一实施例所述的多体系兼容的车联网网络通信方法的步骤。
本发明实施例具有以下技术效果:
第一车端生成通信数据,并使用车端V2X证书对其进行签名,将签名后的通信数据与车端V2X证书发送至云端,进而云端将车端V2X证书发送至V2X解析模块,V2X解析模块将该车端V2X证书中包含的认证中心的X509证书的哈希标识,与预先存储的全域X509证书链进行比对,以查找出哈希标识一致的X509证书,通过查询到的X509证书的公钥对车端V2X证书中的签名进行验签,进而将证书验签结果和车端V2X证书中的公钥反馈至云端,云端在判断出验签通过时,进一步根据车端V2X证书中的公钥对通信数据进行验签,若验签通过则反馈响应数据至第一车端,该方法可以实现基于V2X证书的车云通信,在车端仅具备V2X证书体系的情况下,使用车端的V2X证书可以完成与云端之间的通信,即使车辆只具备单一体系,也可以便于实现另一体系的功能扩展,无需再为车端部署X509证书体系以申请X509证书,解决了现有技术中车端维护两套证书链和证书下载地址操作复杂且成本高的问题。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种多体系兼容的车联网网络通信方法的流程图;
图2为本发明实施例提供的一种基于V2X证书的车云通信过程示意图;
图3为本发明实施例提供的一种基于X509证书的V2X通信过程示意图;
图4为本发明实施例提供的一种多体系兼容系统的示意图;
图5为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将对本发明的技术方案进行清楚、完整的描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施例,都属于本发明所保护的范围。
图1是本发明实施例提供的一种多体系兼容的车联网网络通信方法的流程图,该方法可以应用于多体系兼容系统,该系统包括各认证中心。参见图1,该多体系兼容的车联网网络通信方法具体包括:
S110、第一车端生成通信数据,并使用车端V2X证书对通信数据进行签名,将签名后的通信数据与车端V2X证书发送至云端,其中,车端V2X证书包括发行人信息,发行人信息包括签发车端V2X证书的认证中心的X509证书的哈希标识。
在本发明实施例中,多体系兼容系统中的认证中心(CA,CertificateAuthority)可以是ICA(IntermediateCertificateAuthority,中间证书颁发机构)、ECA(EnrollmentCertificate Authority,注册证书颁发机构)、PCA(Pseudonym Certificate Authority,假名证书颁发机构)、ACA(Application Certificate Authority,应用证书颁发机构)等。
具体的,第一车端可以是具备V2X证书体系的车端。多体系兼容系统中的认证中心(可以是ICA、ECA、PCA或ACA)在为第一车端签发车端V2X证书时,可以在车端V2X证书的发行人字段(issuer字段)中写入发行人信息。发行人字段可以用于标识证书的上级CA,具体为上级CA所使用的证书的哈希标识。
其中,发行人信息除了包括签发该车端V2X证书的认证中心的V2X证书的哈希标识之外,还包括签发该车端V2X证书的认证中心的X509证书的哈希标识。针对签发该车端V2X证书的认证中心,该认证中心的V2X证书和X509证书可以是使用相同密钥对签发的。
换言之,认证中心可以先将自身的V2X证书的哈希标识写入至第一车端的车端V2X证书中的发行人字段中,进而在已写入的V2X证书的哈希标识的后方,再增加自身的X509证书的哈希标识。
示例性的,哈希标识可以是hashid8,hashid8可以通过如下方式得到:对整个证书的内容使用SM3算法进行hash(哈希)运算,取运算结果中的最后8个字节的数据,得到hashid8。
具体的,第一车端在具备车云通信需求时,可以生成通信数据,进而使用自身的车端V2X证书对其进行签名。例如,使用车端V2X证书对应的私钥对通信数据进行签名。进一步的,第一车端将签名后的通信数据以及签名该通信数据的车端V2X证书发送至云端。
在本发明实施例中,云端可以理解为云端中的应用系统。云端的应用系统可以预先通过X509RA向注册CA申请云端X509证书,注册CA使用自己的X509证书为应用系统签发X509证书,并将本CA域的全域X509证书链以及为应用系统签发的云端X509证书,一并返回给应用系统,进而应用系统可以存储全域X509证书链和注册CA为其签发的云端X509证书。
其中,全域X509证书链可以是从根CA证书到ICA证书,以及从ICA证书到应用CA(如ECA、ACA、PCA等),所有CA的X509证书的集合。
S120、云端将车端V2X证书发送至V2X解析模块,V2X解析模块获取车端V2X证书中的发行人信息、公钥以及签名。
具体的,云端在接收到第一车端发送的车端V2X证书与通信数据后,可以根据车端V2X证书确定第一车端为V2X证书体系,进而将该车端V2X证书转发至V2X解析模块进行验签,以验证该车端V2X证书是否可信。
在一种具体的实施方式中,在使用车端V2X证书对通信数据进行签名之后,还包括:将通信数据中的证书体系标识设置为V2X体系;
相应的,在云端将车端V2X证书发送至V2X解析模块之前,还包括:云端判断通信数据中的证书体系标识是否为V2X体系,若是,则执行将车端V2X证书发送至V2X解析模块的步骤。
即,第一车端可以在对通信数据进行签名之后,将通信数据中的证书体系标识设置为V2X体系,进而云端在获取到通信数据后,可以解析通信数据中的证书体系标识,若为V2X体系,则将第一车端发送的车端V2X证书发送至V2X解析模块。
当然,若云端解析到通信数据中的证书体系标识为X509体系,或者,云端未接收到车端V2X证书,则可以使用传统的X509通信体系,实现车云通信流程。
通过该方式,可以实现对X509体系和V2X体系的区分,以便于针对具备V2X体系的车辆,结合V2X解析模块实现车云通信,针对具备X509体系的车辆,使用传统方案中的X509通信流程实现车云通信。
在本发明实施例中,V2X解析模块可以是集成于云端中的模块。例如,可以在现有的云端架构中添加V2X解析模块,即可实现对车端发送的V2X证书的验证,进而实现云端与车端之间的通信。
具体的,V2X解析模块在接收到云端发送的车端V2X证书后,对其进行解析,得到车端V2X证书中的发行人信息、公钥以及签名。
S130、V2X解析模块于预先存储的全域X509证书链中,查询哈希标识与发行人信息中的X509证书的哈希标识一致的X509证书,基于查询到的X509证书的公钥对车端V2X证书中的签名进行验签,将证书验签结果与车端V2X证书中的公钥反馈至云端。
具体的,V2X解析模块可以将发行人信息中的X509证书的哈希标识,与预先存储的全域X509证书链中各X509证书的哈希标识进行比对,进而从中查找到与发行人信息中的X509证书的哈希标识一致的X509证书。
进一步的,V2X解析模块使用查询到的X509证书中的公钥,对车端V2X证书中的签名进行验签。具体的,认证中心在为第一车端签发车端V2X证书时,可以使用自身的X509证书对应的私钥,对车端V2X证书进行签名。如果V2X解析模块使用查询到的X509证书中的公钥对车端V2X证书验签通过,则表示该车端V2X证书是由全域X509证书链中的认证中心签发的,该车端V2X证书可信。
进一步的,V2X解析模块将车端V2X证书的证书验签结果与车端V2X证书中的公钥返回给云端。
S140、云端判断证书验签结果是否为验签通过,若是,则基于车端V2X证书中的公钥对通信数据进行验签,若数据验签结果为验签通过,则反馈响应数据至第一车端。
具体的,云端在接收到V2X解析模块反馈的证书验签结果和车端V2X证书中的公钥之后,判断证书验签结果是否为验签通过。如果为验签通过,则表示第一车端所发送的车端V2X证书可信,云端可以进一步使用车端V2X证书中的公钥对通信数据进行验签,即验证通信数据中的签名。
如果通信数据的数据验签结果为验签通过,则表示该通信数据可信,未被其它设备恶意篡改,进而云端可以基于该通信数据生成响应数据,并反馈响应数据至第一车端。
需要说明的是,第一车端使用车端V2X证书对通信数据签名,且云端使用车端V2X证书中的公钥对通信数据进行验签的目的在于:可以保证云端所接收到的通信数据的准确性,避免被其它设备恶意篡改,进而保证了车云通信的安全性。
可选的,在云端判断证书验签结果是否为验签通过之后,还包括:若云端判断证书验签结果为验签失败,则向第一车端返回车端证书不可信的提示信息;
相应的,在基于车端V2X证书中的公钥对通信数据进行验签之后,还包括:若数据验签结果为验签失败,则向第一车端返回验签失败的提示信息。
即,如果云端判断证书验签结果为验签失败,则可以直接向第一车端返回车端证书不可信的提示信息。以及,如果云端判断数据验签结果为验签失败,则向第一车端返回验签失败的提示信息。
通过上述方式,可以实现在云端对车端V2X证书验签失败或对通信数据验签失败的情况下,对第一车端进行提示,进而第一车端可以重新发送通信数据,或者重新申请V2X证书。
为了进一步提高云端与第一车端之间的通信安全性,云端在向第一车端返回响应数据之前,还可以对响应数据进行签名。
在一种具体的实施方式中,反馈响应数据至第一车端,包括:云端基于通信数据生成对应的响应数据,基于云端X509证书对应的私钥对响应数据进行签名,并将签名后的响应数据与云端X509证书反馈至第一车端;
相应的,在反馈响应数据至第一车端之后,还包括:第一车端获取云端X509证书中的授权密钥标识符,并于预先存储的可信域证书列表中,查询公钥哈希值与云端X509证书的授权密钥标识符相同的证书,基于查询到的证书中的公钥对云端X509证书中的签名进行验签,若验签通过,则基于云端X509证书中的公钥对响应数据进行验签。
具体的,云端在生成响应数据后,可以使用自身的云端X509证书对应的私钥对其进行签名,进而将签名后的响应数据与签名该响应数据的云端X509证书返回给第一车端。
进一步的,第一车端在接收到响应数据与云端X509证书之后,可以对云端X509证书进行解析,得到证书中的授权密钥标识符。其中,授权密钥标识符可以是X509证书中标识此证书的上级CA的内容,具体为X509证书的颁发者证书的公钥的哈希值。
进一步的,第一车端将授权密钥标识符与预先存储的可信域证书列表中各CA的V2X证书的公钥哈希值进行比对,从中查询出与授权密钥标识符相同的V2X证书。其中,可信域证书列表可以包括一个CA域中所有CA的V2X证书。
进而第一车端使用查询到的V2X证书中的公钥对云端X509证书中的签名进行验签。若验签通过,则表示云端X509证书可信,即云端X509证书是由可信域证书列表中的CA所签发的。进一步的,第一车端可以使用云端X509证书的公钥对响应数据中的签名进行验签,进而在验签通过后对该响应数据进行响应,例如,将响应数据转发至车辆上的其它控制器,或者,基于响应数据生成回复数据发送至云端,等。
在上述实施方式中,云端对响应数据进行签名,进而第一车端先验证云端X509证书是否可信,在可信的情况下,进一步对响应数据进行验签,保证了响应数据不会被其它设备恶意篡改,且保证了与可信的云端进行通信,极大提高了车云通信的安全性。
本发明实施例具有以下技术效果:第一车端生成通信数据,并使用车端V2X证书对其进行签名,将签名后的通信数据与车端V2X证书发送至云端,进而云端将车端V2X证书发送至V2X解析模块,V2X解析模块将该车端V2X证书中包含的认证中心的X509证书的哈希标识,与预先存储的全域X509证书链进行比对,以查找出哈希标识一致的X509证书,通过查询到的X509证书的公钥对车端V2X证书中的签名进行验签,进而将证书验签结果和车端V2X证书中的公钥反馈至云端,云端在判断出验签通过时,进一步根据车端V2X证书中的公钥对通信数据进行验签,若验签通过则反馈响应数据至第一车端,该方法可以实现基于V2X证书的车云通信,在车端仅具备V2X证书体系的情况下,使用车端的V2X证书可以完成与云端之间的通信,即使车辆只具备单一体系,也可以便于实现另一体系的功能扩展,无需再为车端部署X509证书体系以申请X509证书,解决了现有技术中为车端管理两套证书链、下载地址等信息时操作复杂且成本高的问题。
示例性的,图2为本发明实施例提供的一种基于V2X证书的车云通信过程示意图。该过程包括如下步骤:1、车端SDK(Software Development Kit,软件开发工具包)生成通信数据,并使用车端V2X证书对该数据进行签名,并将证书体系标识设置为V2X体系;2、发送签名后的通信数据和车端V2X证书至云端的应用系统;3、云端的应用系统查询数据中的证书体系标识是否为V2X体系;4、若是,则将车端V2X证书发送至V2X解析模块;5、V2X解析模块解析出证书中的issuer字段、公钥和签名;6、查询本地X509证书链中哈希标识与issuer字段中第二个值相同的证书;7、使用查询到的证书对车端V2X证书进行验签;8、V2X解析模块返回验签结果以及车端V2X证书中的公钥至云端的应用系统;9、应用系统使用公钥对通信数据的签名进行验签;10、若验签通过,则返回响应数据至车端SDK;11、车端SDK对响应数据进行验签。
本发明实施例提供的方法,针对只具备V2X体系的车端,可以在车端部署SDK,并在云端部署V2X解析模块即可实现基于V2X证书的车云通信,无需对车端功能进行升级使车辆同时管理X509证书和V2X证书,降低了X509证书体系与V2X证书体系的兼容成本,该方法将两套证书体系融为一体,车企只要部署一套系统即可实现对两套证书体系的支持。
考虑到在V2X证书体系中,车端申请假名证书时需要使用注册证书对申请请求进行签名并验证车端身份,而车端注册证书通常是在产线上进行申请灌装,对于已经下产线的只具备X509证书而没有集成注册证书的车辆来说,如果想获得假名证书使用V2X通信功能,则需要返厂进行注册证书灌装或者以其他机制安全的获得注册证书,流程繁琐耗时。
因此,本发明实施例提供的多体系兼容的车联网网络通信方法,除了针对只具备V2X证书体系的车端,可以实现基于V2X证书的车云通信之外,还可以针对只具备X509证书体系的车端,实现基于X509证书代替注册证书申请假名证书,进而实现基于X509证书的V2X通信,如车车通信、车路通信、车人通信等。
在一种具体的实施方式中,多体系兼容系统还包括假名注册中心和假名认证中心,本发明实施例提供的方法还包括如下步骤:
S210、第二车端生成假名证书申请请求,使用车端X509证书对假名证书申请请求进行签名,并确定假名证书申请请求中的签名者信息为车端X509证书,将假名证书申请请求发送至假名注册中心。
其中,第二车端可以是仅具备X509证书体系的车端。假名注册中心可以是假名RA(Registration Authority),假名认证中心可以是假名CA。
具体的,第二车端在具备V2X通信的需求时,可以按照假名注册中心的接口规范,生成假名证书申请请求,并使用自身的车端X509证书对应的私钥对假名证书申请请求进行签名,并将假名证书申请请求中的签名者信息设置为车端X509证书,最后将假名证书申请请求发送至假名注册中心。
其中,签名者信息可以是假名证书申请请求中的签名者字段(singer字段)中写入的内容。签名者字段用于标识请求的签名者。
S220、假名注册中心获取假名证书申请请求的签名者信息中的车端X509证书,并解析出签名者信息中的车端X509证书的授权密钥标识符,于预先存储的可信域证书列表中,查询公钥哈希值与车端X509证书的授权密钥标识符相同的证书,基于查询到的证书中的公钥对车端X509证书中的签名进行验签,若验签通过,则基于车端X509证书中的公钥对假名证书申请请求进行验签。
其中,假名注册中心在接收到假名证书申请请求后,可以先验证假名证书申请请求中的签名者信息,以判断签名者信息中的车端X509证书是否为可信的证书。
为了进一步保证整个假名证书申请过程中的安全性,避免被其它设备窃取请求或修改请求,第二车端在签名假名证书申请请求之后,还可以使用假名注册中心的中心V2X证书对假名证书申请请求进行加密。
例如,可选的,在确定假名证书申请请求中的签名者信息为车端X509证书之后,还包括:第二车端基于假名注册中心的中心V2X证书对假名证书申请请求进行加密;
相应的,在假名注册中心获取假名证书申请请求的签名者信息中的车端X509证书之前,还包括:假名注册中心基于中心V2X证书对假名证书申请请求进行解密。
即,第二车端可以使用假名注册中心的中心V2X证书中的公钥对假名证书申请请求进行加密,进而将签名以及加密后的假名证书申请请求发送给假名注册中心。进一步的,假名注册中心根据自身的中心V2X证书的私钥对接收到的假名证书申请请求进行解密。通过该方式,可以进一步保证假名证书申请过程的安全性。
具体的,假名注册中心可以判断假名证书申请请求中的签名者信息是否为X509证书,若是,则对假名证书申请请求进行解析,得到其中签名者信息中的车端X509证书。
进一步的,假名注册中心对该车端X509证书进行解析,得到车端X509证书中的授权密钥标识符,将其与预先存储的可信域证书列表中各证书的公钥哈希值进行比对,从中查询出与授权密钥标识符一致的证书。
进一步的,假名注册中心基于查询到的证书中的公钥,对车端X509证书中的签名进行验签,若验签通过,则表示该车端X509证书是由可信域证书列表中的CA所签发的,该车端X509证书可信,进而假名注册中心可以使用车端X509证书中的公钥对假名证书申请请求进行验签,以验证该假名证书申请请求是否可信。
S230、假名注册中心在假名证书申请请求验签通过的情况下,向假名认证中心发送假名证书申请请求,以获取假名认证中心返回的假名证书,并存储假名证书以供第二车端下载。
具体的,如果假名证书申请请求验签通过,则假名注册中心可以向假名认证中心发送假名证书申请请求,假名认证中心在接收到该假名证书申请请求后,可以签发假名证书并返回给假名注册中心。
进一步的,假名注册中心在接收到假名证书后,可以对其进行存储,等待第二车端下载该假名证书。
可选的,在向假名认证中心发送假名证书申请请求的同时,还包括:假名注册中心向第二车端发送响应数据,以通知第二车端假名证书的下载时间。
即,在假名注册中心验证出车端X509证书可信以及假名证书申请请求可信的情况下,假名注册中心可以同时向假名认证中心发送假名证书申请请求,并向第二车端返回响应数据,以告知第二车端假名证书的下载时间,进而实现对第二车端的证书下载提醒。
可选的,在存储假名证书以供所述第二车端下载之后,还包括:第二车端下载假名证书,基于假名证书与其它车端、其它路侧设备或其它智能终端通信。
其中,假名证书为第二车端与其它设备(其它车端、其它路侧设备或其它智能终端通信)之间通信所使用的证书。
需要说明的是,注册证书是具备V2X证书体系的各设备所持有的基本证书,用于表示设备的身份,若要与其它设备之间进行V2X通信,则需要使用功能性的证书,即假名证书、身份证书或应用证书。假名证书、身份证书和应用证书均属于V2X证书,对于车端来说,与其它设备之间进行V2X通信,所需的即是假名证书,对于路侧设备来说,与其它设备之间进行V2X通信,所需的即是身份证书,对于特殊设备(如警车、特殊作业车等)来说,与其它设备之间进行V2X特殊消息通信,所需的即是身份证书。
在本发明实施例中,第二车端在下载假名证书之后,即可使用假名证书实现与其它设备之间的V2X通信功能。
通过上述S210-S230,第二车端通过自身的车端X509证书对假名证书申请请求进行签名,并于假名证书申请请求中设置签名者信息为该车端X509证书,进而假名注册中心结合预先存储的可信域证书列表,验证车端X509证书是否可信,在可信的情况下进一步验证假名证书申请请求是否可信,若可信则将该请求转发至假名认证中心以使假名认证中心签发假名证书,实现了基于X509证书的假名证书申请,进而实现了基于X509证书的V2X通信功能,车端无需回到产线灌装注册证书,为单一体系的车辆提供了多体系通信的功能。
示例性的,图3为本发明实施例提供的一种基于X509证书的V2X通信过程示意图。如图3所示,该过程包括如下步骤:首先,车端SDK生成PC证书请求,并使用自身的车端X509证书对请求进行签名,将车端X509证书写入至请求中的signer字段,进而将请求发送给假名RA;其次,假名RA接收到PC证书请求,解析获取签发者信息,判断签发者信息是否为X509证书,若是,则进一步解析出证书中的授权密钥标识符,根据授权密钥标识符在可信域证书列表中查询对应的V2X证书,使用V2X证书验证该车端X509证书,使用车端X509证书验证PC证书请求,向假名CA发送PC证书请求;最后,假名CA接收到PC证书请求,对假名RA的身份进行验证,验证通过后签发假名证书。
在本发明实施例中,多体系兼容系统还可以包括X509RA、注册RA以及应用RA。示例性的,图4为本发明实施例提供的一种多体系兼容系统的示意图,如图所示,该系统包括RCA(Root Certificate Authority)、ICA、ECA、PCA、ACA、X509RA、注册RA、假名RA以及应用RA。其中,X509RA可以将ECA签发的X509证书下发给车端,注册RA可以将ECA签发的注册证书下发给车端,假名RA可以将PCA签发的假名证书下发给车端,应用RA可以将ACA签发的应用证书和身份证书下发给车端。
本发明实施例提供的多体系兼容的车联网网络通信方法,实现了X509体系与V2X体系的兼容,将两套证书体系融为一体,车企只需要部署一套系统即可实现对两套证书体系的支持,并且,即使车辆目前只具备单一体系,也可以基于本发明实施例提供的方法,实现另一套体系的通信功能,便于对已出厂的车辆实现功能扩展。
并且,在本发明实施例提供的X509与V2X体系兼容的车联网网络通信方法中,各级CA可以使用相同的密钥对同时签发V2X和X509两套证书,构成V2X和X509两套证书链。车企只需要部署维护一套PKI系统即可同时支持X509和V2X证书功能。在V2X证书的issuer字段增加签发此证书的CA机构的X509证书的hashid8值,便于进行证书链的追溯。在兼容体系中只需要在云端的应用系统中集成V2X解析模块,即可实现基于V2X证书的车云通信功能。并且可以实现基于X509证书的假名证书申请,便于车端进行V2X功能的扩展。
图5为本发明实施例提供的一种电子设备的结构示意图。如图5所示,电子设备400包括一个或多个处理器401和存储器402。
处理器401可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元,并且可以控制电子设备400中的其他组件以执行期望的功能。
存储器402可以包括一个或多个计算机程序产品,所述计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令,处理器401可以运行所述程序指令,以实现上文所说明的本发明任意实施例的多体系兼容的车联网网络通信方法以及/或者其他期望的功能。在所述计算机可读存储介质中还可以存储诸如初始外参、阈值等各种内容。
在一个示例中,电子设备400还可以包括:输入装置403和输出装置404,这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。该输入装置403可以包括例如键盘、鼠标等等。该输出装置404可以向外部输出各种信息,包括预警提示信息、制动力度等。该输出装置404可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。
当然,为了简化,图5中仅示出了该电子设备400中与本发明有关的组件中的一些,省略了诸如总线、输入/输出接口等等的组件。除此之外,根据具体应用情况,电子设备400还可以包括任何其他适当的组件。
除了上述方法和设备以外,本发明的实施例还可以是计算机程序产品,其包括计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本发明任意实施例所提供的多体系兼容的车联网网络通信方法的步骤。
所述计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本发明实施例操作的程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、C++等,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
此外,本发明的实施例还可以是计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本发明任意实施例所提供的多体系兼容的车联网网络通信方法的步骤。
所述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
需要说明的是,本发明所用术语仅为了描述特定实施例,而非限制本申请范围。如本发明说明书中所示,除非上下文明确提示例外情形,“一”、“一个”、“一种”和/或“该”等词并非特指单数,也可包括复数。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法或者设备中还存在另外的相同要素。
还需说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。除非另有明确的规定和限定,术语“安装”、“相连”、“连接”等应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案。
Claims (10)
1.一种多体系兼容的车联网网络通信方法,其特征在于,应用于多体系兼容系统,所述系统包括各认证中心,所述方法包括:
第一车端生成通信数据,并使用车端V2X证书对通信数据进行签名,将签名后的通信数据与所述车端V2X证书发送至云端,其中,所述车端V2X证书包括发行人信息,所述发行人信息包括签发所述车端V2X证书的认证中心的X509证书的哈希标识;
云端将所述车端V2X证书发送至V2X解析模块,所述V2X解析模块获取所述车端V2X证书中的发行人信息、公钥以及签名;
所述V2X解析模块于预先存储的全域X509证书链中,查询哈希标识与所述发行人信息中的X509证书的哈希标识一致的X509证书,基于查询到的X509证书的公钥对所述车端V2X证书中的签名进行验签,将证书验签结果与所述车端V2X证书中的公钥反馈至所述云端;
所述云端判断所述证书验签结果是否为验签通过,若是,则基于所述车端V2X证书中的公钥对所述通信数据进行验签,若数据验签结果为验签通过,则反馈响应数据至所述第一车端。
2.根据权利要求1所述的方法,其特征在于,在所述使用车端V2X证书对通信数据进行签名之后,还包括:
将所述通信数据中的证书体系标识设置为V2X体系;
相应的,在所述云端将所述车端V2X证书发送至V2X解析模块之前,所述方法还包括:
所述云端判断所述通信数据中的证书体系标识是否为V2X体系,若是,则执行将所述车端V2X证书发送至V2X解析模块的步骤。
3.根据权利要求1所述的方法,其特征在于,所述反馈响应数据至所述第一车端,包括:
所述云端基于所述通信数据生成对应的响应数据,基于云端X509证书对应的私钥对所述响应数据进行签名,并将签名后的响应数据与所述云端X509证书反馈至所述第一车端;
相应的,在所述反馈响应数据至所述第一车端之后,还包括:
所述第一车端获取所述云端X509证书中的授权密钥标识符,并于预先存储的可信域证书列表中,查询公钥哈希值与所述云端X509证书的授权密钥标识符相同的证书,基于查询到的证书中的公钥对所述云端X509证书中的签名进行验签,若验签通过,则基于所述云端X509证书中的公钥对所述响应数据进行验签。
4.根据权利要求1所述的方法,其特征在于,在所述云端判断所述证书验签结果是否为验签通过之后,还包括:
若所述云端判断所述证书验签结果为验签失败,则向所述第一车端返回车端证书不可信的提示信息;
相应的,在基于所述车端V2X证书中的公钥对所述通信数据进行验签之后,还包括:
若数据验签结果为验签失败,则向所述第一车端返回验签失败的提示信息。
5.根据权利要求1所述的方法,其特征在于,所述多体系兼容系统还包括假名注册中心和假名认证中心,所述方法还包括:
第二车端生成假名证书申请请求,使用车端X509证书对所述假名证书申请请求进行签名,并确定所述假名证书申请请求中的签名者信息为所述车端X509证书,将所述假名证书申请请求发送至所述假名注册中心;
所述假名注册中心获取所述假名证书申请请求的签名者信息中的车端X509证书,并解析出所述签名者信息中的车端X509证书的授权密钥标识符,于预先存储的可信域证书列表中,查询公钥哈希值与所述车端X509证书的授权密钥标识符相同的证书,基于查询到的证书中的公钥对所述车端X509证书中的签名进行验签,若验签通过,则基于所述车端X509证书中的公钥对所述假名证书申请请求进行验签;
所述假名注册中心在所述假名证书申请请求验签通过的情况下,向所述假名认证中心发送所述假名证书申请请求,以获取所述假名认证中心返回的假名证书,并存储所述假名证书以供所述第二车端下载。
6.根据权利要求5所述的方法,其特征在于,在所述确定所述假名证书申请请求中的签名者信息为所述车端X509证书之后,还包括:
所述第二车端基于所述假名注册中心的中心V2X证书对所述假名证书申请请求进行加密;
相应的,在所述假名注册中心获取所述假名证书申请请求的签名者信息中的车端X509证书之前,所述方法还包括:
所述假名注册中心基于中心V2X证书对所述假名证书申请请求进行解密。
7.根据权利要求5所述的方法,其特征在于,在向所述假名认证中心发送所述假名证书申请请求的同时,还包括:
所述假名注册中心向所述第二车端发送响应数据,以通知所述第二车端假名证书的下载时间。
8.根据权利要求5所述的方法,其特征在于,在所述存储所述假名证书以供所述第二车端下载之后,还包括:
所述第二车端下载所述假名证书,基于所述假名证书与其它车端、其它路侧设备或其它智能终端通信。
9.一种电子设备,其特征在于,所述电子设备包括:
处理器和存储器;
所述处理器通过调用所述存储器存储的程序或指令,用于执行如权利要求1至8任一项所述的多体系兼容的车联网网络通信方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行如权利要求1至8任一项所述的多体系兼容的车联网网络通信方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311328964.4A CN117082519B (zh) | 2023-10-16 | 2023-10-16 | 多体系兼容的车联网网络通信方法、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311328964.4A CN117082519B (zh) | 2023-10-16 | 2023-10-16 | 多体系兼容的车联网网络通信方法、设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117082519A CN117082519A (zh) | 2023-11-17 |
| CN117082519B true CN117082519B (zh) | 2024-01-02 |
Family
ID=88719810
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311328964.4A Active CN117082519B (zh) | 2023-10-16 | 2023-10-16 | 多体系兼容的车联网网络通信方法、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117082519B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115499837A (zh) * | 2022-08-29 | 2022-12-20 | 北京车网科技发展有限公司 | 基于安全传输层协议的通信方法、装置、设备及存储介质 |
| CN115516886A (zh) * | 2020-04-29 | 2022-12-23 | 黑莓有限公司 | 用于处理v2x实体的动态网络安全态势的方法和系统 |
| CN115567197A (zh) * | 2022-08-29 | 2023-01-03 | 北京车网科技发展有限公司 | 数字证书申请方法、装置、设备及计算机存储介质 |
| CN115633356A (zh) * | 2022-12-19 | 2023-01-20 | 中汽智联技术有限公司 | 基于x509数字证书申请v2x数字证书的方法和系统 |
| CN115801223A (zh) * | 2023-01-13 | 2023-03-14 | 北京中宏立达科技发展有限公司 | 一种基于ca证书的标识密钥体系与pki体系兼容方法 |
| CN116386360A (zh) * | 2022-11-23 | 2023-07-04 | 郑州信大捷安信息技术股份有限公司 | 基于v2x的优先通行方法及系统 |
| CN116614814A (zh) * | 2023-07-17 | 2023-08-18 | 中汽智联技术有限公司 | 基于v2x通信的x.509证书申请方法、设备和介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230141992A1 (en) * | 2020-08-10 | 2023-05-11 | Lg Electronics Inc. | Apparatus and server for v2x service |
-
2023
- 2023-10-16 CN CN202311328964.4A patent/CN117082519B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115516886A (zh) * | 2020-04-29 | 2022-12-23 | 黑莓有限公司 | 用于处理v2x实体的动态网络安全态势的方法和系统 |
| CN115499837A (zh) * | 2022-08-29 | 2022-12-20 | 北京车网科技发展有限公司 | 基于安全传输层协议的通信方法、装置、设备及存储介质 |
| CN115567197A (zh) * | 2022-08-29 | 2023-01-03 | 北京车网科技发展有限公司 | 数字证书申请方法、装置、设备及计算机存储介质 |
| CN116386360A (zh) * | 2022-11-23 | 2023-07-04 | 郑州信大捷安信息技术股份有限公司 | 基于v2x的优先通行方法及系统 |
| CN115633356A (zh) * | 2022-12-19 | 2023-01-20 | 中汽智联技术有限公司 | 基于x509数字证书申请v2x数字证书的方法和系统 |
| CN115801223A (zh) * | 2023-01-13 | 2023-03-14 | 北京中宏立达科技发展有限公司 | 一种基于ca证书的标识密钥体系与pki体系兼容方法 |
| CN116614814A (zh) * | 2023-07-17 | 2023-08-18 | 中汽智联技术有限公司 | 基于v2x通信的x.509证书申请方法、设备和介质 |
Non-Patent Citations (1)
| Title |
|---|
| IBE技术在V2X通信中的应用;王艳艳;罗璎珞;;汽车技术(第08期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117082519A (zh) | 2023-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10642969B2 (en) | Automating internet of things security provisioning | |
| KR102375777B1 (ko) | 온보드 단말기를 위한 지불 인증 방법, 장치 및 시스템 | |
| CN110225063B (zh) | 汽车车载系统的升级方法、升级系统、服务器及车载终端 | |
| CN111510485B (zh) | 一种ota升级包下载方法、装置、车辆端以及服务器 | |
| WO2015080108A1 (ja) | プログラム更新システム及びプログラム更新方法 | |
| CN110621014B (zh) | 一种车载设备及其程序升级方法、服务器 | |
| EP1712992A1 (en) | Updating of data instructions | |
| US20210249145A1 (en) | Information communication device, authentication program for information communication device, and authentication method | |
| CN115802350B (zh) | 证书撤销状态验证系统、方法和存储介质 | |
| CN111405525B (zh) | 一种路侧单元的鉴权方法及设备、计算机可读存储介质 | |
| CN113709695A (zh) | 车辆使用的授权方法及系统 | |
| CN115378737A (zh) | 跨域设备通信信任方法、装置、设备和介质 | |
| CN116614814B (zh) | 基于v2x通信的x.509证书申请方法、设备和介质 | |
| CN114730332B (zh) | 使用远程主机以认证装置 | |
| JP2020092289A (ja) | 機器統合システム及び更新管理システム | |
| CN117082519B (zh) | 多体系兼容的车联网网络通信方法、设备和存储介质 | |
| CN113055181A (zh) | Ota文件安全处理方法、装置及系统 | |
| Adelsbach et al. | Secure software delivery and installation in embedded systems | |
| CN114826719A (zh) | 基于区块链的可信终端认证方法、系统、设备和存储介质 | |
| CN115118759B (zh) | 一种车载设备的数据传输方法和系统 | |
| CN114124578B (zh) | 一种通信方法、装置、车辆及存储介质 | |
| CN117527268B (zh) | 一种基于区块链的多方数字证书验证方法与系统 | |
| CN113938300B (zh) | 分级控制方法及装置 | |
| WO2022162815A1 (ja) | ソフトウェア更新装置、車載端末装置及びソフトウェア更新システム | |
| CN117270903A (zh) | 车载应用更新方法、装置、设备以及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |