WO2014121708A2

WO2014121708A2 - 一种消息证书的申请方法、设备及系统

Info

Publication number: WO2014121708A2
Application number: PCT/CN2014/071527
Authority: WO
Inventors: 周巍
Original assignee: 电信科学技术研究院
Priority date: 2013-02-06
Filing date: 2014-01-27
Publication date: 2014-08-14
Also published as: CN103973760A; CN103973760B; WO2014121708A3

Abstract

公开了一种消息证书的申请方法、设备及系统，用于解决现有技术中未有涉及到如何申请临时消息证书的技术方案的问题。本发明实施例的方法包括：CMC在确定需要为自身管理的车辆申请消息证书后，向该车辆的OBU发送指示信息，该指示信息用于指示OBU生成相应的消息证书申请请求；CMC在接收到OBU发送的反馈信息后，将该反馈信息中携带的该OBU生成的消息证书申请请求发送给CA；CMC接收该CA发送的消息证书，并存储该消息证书，该消息证书是CA根据该OBU的消息证书申请请求生成的。

Description

一种消息证书的申请方法、设备及系统

本申请要求在 2013年 2月 6 日提交中国专利局、申请号为 201310048259.9、发明名称为"一种消息证书的申请方法、设备及系统"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明涉及无线通信领域，特别涉及一种消息证书的申请方法、设备及系统。

背景技术

美国及欧洲对智能交通领域中的车联网技术都已进行了多年的研究。车联网技术主要的应用目的是减少交通事故的发生。在车联网系统中，车辆上的车载设备（ On-Board Unit, 0BU )监控车辆的位置及行驶信息，并向周围车辆广播这些信息，同时该车辆上的 0BU 还接收其他车辆的 0BU发送的信息；该车辆上的 0BU将分析本车辆及其他车辆的行驶信息，并将可能的交通威胁及时通知给驾驶员。

在道路上行驶的车辆按其功能可以分为多种，例如，消防车、救护车、警车、校车、公交车辆和普通私家车等。这些车辆在道路上的通行优先级一般是不同，例如，消防车或救护车的通行优先级要高于普通私家车。然而，这些拥有较高通行优先权的车辆只能在执行公务时，才能使用其优先通行的权利。为避免权利滥用，一种可行的技术方案是：尽可能精确地控制各个车辆对特殊通行优先权的使用，即只在车辆需要行使其优先通行权利的时间段内为其提供所需的权利。

在车联网系统中，车辆用于签发其所播放消息的证书称为消息证书。车辆所拥有的各项权利通常保存在消息证书中，例如， IEEE 1609.2中定义的车联网专用证书。消息证书一般随签发的消息一起发送给接收者（如 OBU ), 以便消息接收者能够验证收到的消息。消息证书包含用于验证消息签名的公钥和发送者的权利描述。接收者收到消息后首先验证消息证书的有效性，然后利用收到的消息证书验证消息的有效性。接收者还可以通过分析消息证书中的权利描述，确定该发送消息的车辆是否是具有优先通行权利的车辆，若是，则接收方可以通过显示屏向驾驶者提供相应信息，以便驾驶者釆取相应的避让措施。

在车联网系统中，所有车辆都拥有普通消息证书，该普通消息证书所描述的通行优先权最低。除了普通消息证书，那些拥有较高通行优先权的特种车辆还拥有描述其较高通行优先权的特种消息证书。在这种情况下，该特种车辆所拥有的权利是其所有消息证书所描述的权利的总和。为限制特种车辆对其特殊通行权的滥用，可以通过精确颁发特种消息证书的有效时间来到达控制其对特殊权利的使用。例如，对于公共交通车辆来说，规定其只能在工作日上下班高峰时段使用其高优先权的消息证书。若要精确控制公交车辆对其高通行优先权的使用，就需要在每个工作日为公交车颁发两张分别描述其在两个时间段内高通行优先权的特种消息证书。特种消息证书按其生命周期可分为长寿命周期证书和短寿命消息证书，短寿命消息证书又称为临时消息证书。临时消息证书通常颁发给公交车辆、校车等只在某些时段需要较高通行优先权的车辆。

车联网技术目前还处于研究和相关标准的制定阶段，许多议题尚未得到关注。至目前为止，相关的技术标准均未涉及到如何申请临时消息证书的技术方案，也未发现有相关的研究工作讨论此议题。发明内容

本发明实施例提供了一种消息证书的申请方法、设备及系统。用于解决现有技术中未有涉及到如何申请临时消息证书的技术方案的问题。

第一方面，本发明实施例提供了一种消息证书的申请方法，包括：

CMC在确定需要为自身管理的车辆申请消息证书后，向所述车辆的车载设备 OBU发送指示信息，所述指示信息用于指示所述 OBU生成相应的消息证书申请请求；

所述 CMC在接收到所述 OBU发送的反馈信息后，将所述反馈信息中携带的所述 OBU 生成的消息证书申请请求发送给认证中心 CA;

所述 CMC接收所述 CA发送的消息证书，并存储所述消息证书，所述消息证书是所述 CA根据所述 OBU的消息证书申请请求生成的。

本发明实施例的 CMC在确定需要为自身管理的车辆申请消息证书时，向车辆的 OBU 发送指示信息，以指示 OBU生成相应的消息证书申请请求；在接收到 OBU发送的反馈信息后，将反馈信息中携带的消息证书申请请求发送给 CA; 以及接收所述 CA发送的消息证书，并存储该消息证书，从而实现了消息证书的申请及管理过程。

结合第一方面，在第一种可能的实现方式中，所述指示信息中携带待申请消息证书的有效期信息以及如下信息中的至少一个信息：

消息类型标识，用于标识所述指示信息的消息类型；

密钥对标识，用于标识指示所述 OBU生成的密钥对；

所述待申请消息证书的权利描述；所述 OBU对应的 OBU认证证书标识；以及

所述 CMC对应的 CMC认证证书。

结合第一方面，在第二种可能的实现方式中，所述反馈信息还携带如下信息中的至少一个信息：

消息类型标识，用于标识所述反馈信息的消息类型；

密钥对标识，用于标识所述 OBU生成的密钥对；以及

所述 CMC对应的 CMC认证证书标识。

结合第一方面，在第三种可能的实现方式中，所述消息证书申请请求中携带待申请消息证书的有效期信息以及如下信息中的至少一个信息：

所述 OBU生成的公钥；

所述待申请消息证书的权利描述；以及

所述 OBU对应的 OBU认证证书。

结合第一方面或第一方面的上述任意一种可能的实现方式，在第四种可能的实现方式中，所述 CMC向所述 OBU发送指示信息，具体包括：

所述 CMC釆用自身的 CMC认证证书对所述指示信息进行数据签名处理，并将处理后的指示信息发送给所述 OBU。

结合第一方面，在第五种可能的实现方式中，所述 CMC将所述反馈信息中携带的所述 OBU生成的消息证书申请请求发送给 CA, 具体包括：

所述 CMC对所述反馈信息进行验证 , 并在验证通过后 , 将所述反馈信息中携带的消息证书申请请求发送给所述 CA。

结合第一方面的第五种可能的实现方式，在第六种可能的实现方式中，所述 CMC按照以下步骤对所述反馈信息进行验证：

所述 CMC根据所述反馈信息中携带的 CMC认证证书标识，确定自身为所述反馈信息的接收方；

所述 CMC根据自身保存的根证书，确定所述消息证书申请请求中携带的 OBU认证证书有效；

所述 CMC根据所述消息证书申请请求中携带的 OBU认证证书，验证所述反馈信息有效。

结合第一方面的第六种可能的实现方式，在第七种可能的实现方式中，所述 CMC对所述反馈信息进行验证，还包括：

所述 CMC根据所述反馈信息中携带的密钥对标识，确定本地保存的与所述 OBU的待申请消息证书相关的信息；

所述 CMC确定所述反馈信息中携带待申请消息证书的有效期信息以及待申请消息证书的权利描述，与本地保存的所述 OBU相应的待申请消息证书的有效期信息以及待申请消息证书的权利描述一致。

结合第一方面，在第八种可能的实现方式中，所述 CMC在接收到所述 CA发送的消息证书之后，还包括：

所述 CMC将所述消息证书发送给所述 OBU。

结合第一方面的第八种可能的实现方式，在第九种可能的实现方式中，所述 CMC向所述 OBU发送所述指示信息，具体包括：

所述 CMC通过路测设备 RSU将所述指示信息发送给所述 OBU; 或者，所述 CMC通过第四代移动通信 4G、第三代移动通信 3G、通用分组无线服务 GPRS或无线局域网 WLAN, 将所述指示信息发送给所述 OBU;

所述 CMC将所述消息证书发送给所述 OBU, 具体包括：

所述 CMC通过所述 RSU将所述消息证书发送给所述 OBU; 或者，所述 CMC通过 4G、 3G、 GPRS或 WLAN, 将所述消息证书发送给所述 OBU;

其中，所述 RSU分别与所述 CMC及所述 OBU建立连接。第二方面、本发明实施例提供的另一种申请消息证书的方法，包括：

OBU根据接收到的来自 CMC发送的指示信息，生成相应的消息证书申请请求；所述 OBU向所述 CMC发送反馈信息，所述反馈信息中携带有所述消息证书申请请求。本发明实施例的 CMC在确定需要为自身管理的车辆申请消息证书时，向车辆的 OBU 发送指示信息，以指示 OBU生成相应的消息证书申请请求；在接收到 OBU发送的反馈信息后，将反馈信息中携带的消息证书申请请求发送给 CA; 以及接收所述 CA发送的消息证书，并存储该消息证书，从而实现了消息证书的申请及管理过程。

结合第二方面，在第一种可能的实现方式中，所述 OBU在接收到 CMC发送的指示信息后，且所述 OBU生成相应的消息证书申请请求之前，还包括：

所述 OBU根据所述指示信息，生成所述待申请消息证书对应的密钥对，所述密钥对包含公钥及私钥。

结合第二方面的第一种可能的实现方式，在第二种可能的实现方式中，所述 OBU根据所述指示信息，生成所述待申请消息证书对应的密钥对，具体包括：

所述 OBU对接收到的指示信息进行验证，并在验证通过后，根据所述指示信息生成所述待申请消息证书对应的密钥对。

结合第二方面的第二种可能的实现方式，在第三种可能的实现方式中，所述 OBU按照以下步骤对接收到的指示信息进行验证：

所述 OBU根据所述指示信息携带的 OBU认证证书标识，确定自身为所述指示信息的接收方；

所述 OBU根据自身保存的根证书，确定所述指示信息中携带的 CMC认证证书有效；所述 OBU根据所述指示信息中携带的 CMC认证证书，验证所述指示信息有效。结合第二方面或第二方面的上述任意一种可能的实现方式，在第四种可能的实现方式中，所述指示信息中携带待申请消息证书的有效期信息以及如下信息中的至少一个信息：类型标识，用于标识所述指示信息的类型；

密钥对标识，用于标识指示所述 OBU生成的密钥对；

所述待申请消息证书的权利描述；

所述 OBU对应的 OBU认证证书标识；以及

所述 CMC对应的 CMC认证证书。

结合第二方面或第二方面的上述任意一种可能的实现方式，在第五种可能的实现方式中，所述反馈信息还携带如下信息中的至少一个信息：

类型标识，用于标识所述反馈信息的类型；

密钥对标识，用于标识所述 OBU生成的密钥对；以及

所述 CMC对应的 CMC认证证书标识。

结合第二方面或第二方面的上述任意一种可能的实现方式，在第六种可能的实现方式中，所述消息证书申请请求中携带待申请消息证书的有效期信息以及如下信息中的至少一个信息：

所述 OBU生成的公钥；

所述待申请消息证书的权利描述；以及

所述 OBU对应的 OBU认证证书。

结合第二方面或第二方面的上述任意一种可能的实现方式，在第七种可能的实现方式中，所述 OBU生成相应的消息证书申请请求，具体包括：

所述 OBU釆用自身的 OBU认证证书对自身生成的消息证书申请请求进行数字签名处理，并将处理后的消息证书申请请求携带在所述反馈信息中；

所述 OBU向所述 CMC发送反馈信息，具体包括：

所述 OBU釆用自身的 OBU认证证书对生成的反馈信息进行数字签名处理，并将处理后的反馈信息发送给所述 CMC。

结合第二方面，在第八种可能的实现方式中，所述 OBU向所述 OBU发送所述反馈信息，具体包括：

所述 OBU通过所述 RSU将所述反馈信息发送给所述 CMC; 或者，

所述 OBU通过 4G、 3G、 GPRS或 WL AN, 将所述反馈信息发送给所述 CMC;

其中，所述 RSU分别与所述 CMC及所述 OBU建立连接。

结合第二方面，在第九种可能的实现方式中，所述方法还包括：

所述 OBU接收所述 CMC发送的消息证书，并存储所述消息证书，所述消息证书是所述 CA根据所述消息证书申请请求生成的。第三方面、本发明实施例提供的一种证书管理中心 CMC, 包括：

第一处理模块，用于在确定需要为自身管理的车辆申请消息证书后，向所述车辆的车载设备 OBU发送指示信息，所述指示信息用于指示所述 OBU生成相应的消息证书申请请求；

第二处理模块，用于在接收到所述 OBU发送的反馈信息后，将所述反馈信息中携带的所述 OBU生成的消息证书申请请求发送给认证中心 CA;

第三处理模块，用于接收所述 CA发送的消息证书，并存储所述消息证书，所述消息证书是所述 CA根据所述 OBU的消息证书申请请求生成的。

结合第三方面，在第一种可能的实现方式中，所述第一处理模块还用于：

釆用自身的 CMC认证证书对所述指示信息进行数据签名处理，并将处理后的指示信息发送给所述 OBU。

结合第三方面，在第二种可能的实现方式中，所述第二处理模块具体用于：对所述反馈信息进行验证，并在验证通过后，将所述反馈信息中携带的消息证书申请请求发送给所述 CA。

结合第三方面，在第三种可能的实现方式中，所述第二处理模块按照以下步骤对所述反馈信息进行验证：

根据所述反馈信息中携带的 CMC认证证书标识，确定自身为所述反馈信息的接收方；根据自身保存的根证书，确定所述消息证书申请请求中携带的 OBU认证证书有效；以及根据所述消息证书申请请求中携带的 OBU认证证书，验证所述反馈信息有效。

结合第三方面的第三种可能的实现方式，在第四种可能的实现方式中，所述第二处理模块还用于：

根据所述反馈信息中携带的密钥对标识，确定本地保存的与所述 OBU的待申请消息证书相关的信息；以及

确定所述反馈信息中携带待申请消息证书的有效期信息以及待申请消息证书的权利描述，与本地保存的所述 OBU相应的待申请消息证书的有效期信息以及待申请消息证书的权利描述一致。

结合第三方面，在第五种可能的实现方式中，所述第三处理模块还用于：

将所述消息证书发送给所述 OBU。

结合第五方面，在第六种可能的实现方式中，所述第一处理模块具体用于：通过 RSU 将所述指示信息发送给所述 OBU; 或者，通过 4G、 3G、 GPRS或 WLAN, 将所述指示信息发送给所述 OBU;

所述第三处理模块具体用于：通过所述 RSU将所述消息证书发送给所述 OBU; 或者，通过 4G、 3G、 GPRS或 WLAN, 将所述消息证书发送给所述 OBU;

其中，所述 RSU分别与所述 CMC及所述 OBU建立连接。第四方面、本发明实施例提供的一种车载设备 OBU , 包括：

申请请求生成模块，用于根据接收到的来自 CMC发送的指示信息，生成相应的消息证书申请请求；

发送模块，用于向所述 CMC发送反馈信息，所述反馈信息中携带有所述消息证书申请请求。

结合第四方面，在第一种可能的实现方式中，所述申请请求生成模块具体用于：根据所述指示信息，生成所述待申请消息证书对应的密钥对，所述密钥对包含公钥及私钥。

结合第四方面的第一种可能的实现方式，在第二种可能的实现方式中，所述申请请求生成模块具体用于：

对接收到的指示信息进行验证，并在验证通过后 , 根据所述指示信息生成所述待申请消息证书对应的密钥对。

结合第四方面的第二种可能的实现方式，在第三种可能的实现方式中，所述申请请求生成模块按照以下步骤对接收到的指示信息进行验证：

根据所述指示信息携带的 OBU认证证书标识，确定自身为所述指示信息的接收方；根据自身保存的根证书，确定所述指示信息中携带的 CMC认证证书有效；以及根据所述指示信息中携带的 CMC认证证书，验证所述指示信息有效。

结合第四方面的上述任意一种可能的实现方式，在第四种可能的实现方式中，特征在于，

所述申请请求生成模块还用于：釆用自身的 OBU认证证书对生成的消息证书申请请求进行数字签名处理，并将处理后的消息证书申请请求携带在所述反馈信息中；

所述发送模块还用于：釆用自身的 OBU认证证书对生成的反馈信息进行数字签名处理，并将处理后的反馈信息发送给所述 CMC。

结合第四方面，在第五种可能的实现方式中，所述发送模块具体用于：

通过所述 RSU将所述反馈信息发送给所述 CMC; 或者，

通过 4G、 3G、 GPRS或 WLAN, 将所述反馈信息发送给所述 CMC;

其中，所述 RSU分别与所述 CMC及所述 OBU建立连接。

结合第四方面，在第六种可能的实现方式中，该 OBU还包括：

存储模块，用于接收所述 CMC发送的消息证书，并存储所述消息证书，所述消息证书是所述 CA根据所述消息证书申请请求生成的。第五方面、本发明实施例提供的一种证书管理中心 CMC, 包括：

处理器，用于在确定需要为自身管理的车辆申请消息证书后，向所述车辆的车载设备 OBU发送指示信息，所述指示信息用于指示所述 OBU生成相应的消息证书申请请求，在接收到所述 OBU发送的反馈信息后，将所述反馈信息中携带的所述 OBU生成的消息证书申请请求发送给认证中心 CA, 以及接收所述 CA发送的消息证书，并存储所述消息证书，所述消息证书是所述 CA根据所述 OBU的消息证书申请请求生成的。

结合第五方面，在第一种可能的实现方式中，所述处理器还用于：

结合第五方面，在第二种可能的实现方式中，所述处理器具体用于：

对所述反馈信息进行验证，并在验证通过后，将所述反馈信息中携带的消息证书申请请求发送给所述 CA。

结合第五方面，在第三种可能的实现方式中，所述处理器按照以下步骤对所述反馈信息进行验证：

结合第五方面的第三种可能的实现方式，在第四种可能的实现方式中，所述处理器还用于：

据所述反馈信息中携带的密钥对标识，确定本地保存的与所述 OBU的待申请消息证书相关的信息；以及

结合第五方面，在第五种可能的实现方式中，所述处理器还用于：

将所述消息证书发送给所述 OBU。

结合第五方面，在第六种可能的实现方式中，所述处理器具体用于：通过 RSU将所述指示信息发送给所述 OBU; 或者，通过 4G、 3G、 GPRS或 WLAN, 将所述指示信息发送给所述 OBU;

所述处理器具体用于：通过所述 RSU将所述消息证书发送给所述 OBU; 或者，通过

4G、 3G、 GPRS或 WLAN, 将所述消息证书发送给所述 OBU;

其中，所述 RSU分别与所述 CMC及所述 OBU建立连接。第六方面、本发明实施例提供的一种车载设备 OBU , 包括：

处理器，用于根据接收到的来自 CMC发送的指示信息，生成相应的消息证书申请请发送端口，用于向所述 CMC发送反馈信息，所述反馈信息中携带有所述消息证书申请请求。

结合第六方面，在第一种可能的实现方式中，所述处理器具体用于：

根据所述指示信息，生成所述待申请消息证书对应的密钥对，所述密钥对包含公钥及私钥。

结合第六方面的第一种可能的实现方式，在第二种可能的实现方式中，所述处理器具体用于：

结合第六方面的第二种可能的实现方式，在第三种可能的实现方式中，所述处理器按照以下步骤对接收到的指示信息进行验证：

结合第六方面的上述任意一种可能的实现方式，在第四种可能的实现方式中，特征在于，

所述处理器还用于：釆用自身的 OBU认证证书对生成的消息证书申请请求进行数字签名处理，并将处理后的消息证书申请请求携带在所述反馈信息中；

所述发送端口还用于：釆用自身的 OBU认证证书对生成的反馈信息进行数字签名处理，并将处理后的反馈信息发送给所述 CMC。

结合第六方面，在第五种可能的实现方式中，所述发送端口具体用于：

通过所述 RSU将所述反馈信息发送给所述 CMC; 或者，

通过 4G、 3G、 GPRS或 WLAN, 将所述反馈信息发送给所述 CMC;

其中，所述 RSU分别与所述 CMC及所述 OBU建立连接。

结合第六方面，在第六种可能的实现方式中，该 OBU还包括：

存储器，用于接收所述 CMC发送的消息证书，并存储所述消息证书，所述消息证书是所述 CA根据所述消息证书申请请求生成的。第七方面、本发明实施例提供的一种消息证书的申请系统，包括：

CMC , 用于在确定需要为自身管理的车辆申请消息证书后，向所述车辆的车载设备 OBU发送指示信息，所述指示信息用于指示所述 OBU生成相应的消息证书申请请求；在接收到所述 OBU发送的反馈信息后，将所述反馈信息中携带的所述 OBU生成的消息证书申请请求发送给认证中心 CA; 以及接收所述 CA发送的消息证书，并存储所述消息证书；

OBU , 用于根据接收到的来自所述 CMC发送的指示信息，生成相应的消息证书申请请求；以及向所述 CMC发送反馈信息，所述反馈信息中携带有所述消息证书申请请求；

CA, 用于根据接收到的来自所述 CMC发送的消息证书申请请求，为生成所述 OBU 对应的消息证书，并将生成的消息证书发送给所述 CMC。

本发明实施例的 CMC在确定需要为自身管理的车辆申请消息证书时，向车辆的 OBU 发送指示信息，以指示 OBU生成相应的消息证书申请请求；在接收到 OBU发送的反馈信息后，将反馈信息中携带的消息证书申请请求发送给 CA; 以及接收所述 CA发送的消息证书，并存储该消息证书，从而实现了消息证书的申请及管理过程。附图说明

图 1为本发明实施例提供的消息证书的申请系统的结构示意图；

图 2为本发明实施例提供的证书管理中心的结构示意图；

图 3为本发明实施例提供的车载设备的结构示意图；

图 4为本发明实施例提供的消息证书的申请方法流程示意图；

图 5为本发明实施例提供的另一消息证书的申请方法流程示意图；

图 6为本发明实施例提供的申请系统的网络架构示意图；

图 7为本发明实施例提供的申请系统的各设备之间的交互示意图。

图 8为本发明实施例提供的证书管理中心的实体结构示意图；

图 9为本发明实施例提供的车载设备的实体结构示意图。具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。本发明实施例 CMC在确定需要为自身管理的车辆申请消息证书时，向车辆的 OBU发送指示信息，以指示 OBU生成相应的消息证书申请请求；在接收到 OBU发送的反馈信息后，将反馈信息中携带的消息证书申请请求发送给 CA; 以及接收所述 CA发送的消息证书，并存储该消息证书，从而实现了消息证书的申请及管理过程。

首先，对本发明实施例中涉及的各设备进行说明，具体如下：

认证中心（Certificate Authority, CA )为各种证书（如认证证书、消息证书等）颁发机构，主要负责车联网消息证书的颁发；

证书管理中心（ Certificate Management Center, CMC ) 负责消息证书的申请以及将 CA签发的消息证书分发给相应的车载设备（On-Board Unit, OBU );具体过程包括： CMC 首先要求 OBU按照设定的有效期生成相应的消息证书申请请求，然后代替 OBU向 CA申请消息证书，最后根据需要将 CA颁发的消息证书写入相应的 0BU; —个车联网系统可以有多个 CMC,而一个 CMC可以管理至少一个 0BU或路侧设备（ Road Side Unit, RSU ), 具体数量可根据实际应用的需求灵活设置。例如，在一个城市可以只设置一个证书管理中心统一管理整个城市所有公共汽车临时证书的申请和分发，也可以为每一个公共汽车管理站分别设置一个证书管理中心以方便对车辆的各种消息证书的管理；

RSU为 0BU与 CMC之间的数据通信提供通道，并可暂存 0BU与 CMC之间传输的数据；一个 CMC可以与多个 RSU相连接，通信时， CMC与 RSU之间的连接为端到端连接；一个 RSU可以与多个 0BU相连接，通信时， RSU与 0BU之间的连接为端到端连接；

0BU根据 CMC的要求生成密钥对（包括公钥及私钥）和消息证书申请请求，并将生成的消息证书申请请求发送给 CMC , 然后接收来自 CMC的消息证书，之后即可利用收到的消息证书签发需要播发的消息；

当然， CMC也可以通过无线网络（如 3G、 4G、 GPRS或 WLAN等）直接与 OBU 建立端到端的安全通信连接，在该情况下，消息证书的颁发可以不通过 RSU的转发。

另外，本发明实施中涉及的 0BU认证证书，每个 0BU可利用自身对应的 0BU认证证书向 CA申请消息证书，该 0BU对应的 0BU认证证书中还规定了该 0BU所能拥有的最大权利；

CMC认证证书，每个 CMC可利用自身对应的 CMC认证证书签发与 0BU通信时的各种消息；

0BU消息证书，每个 0BU可利用自身对应的 0BU消息证书签需要播发的各种消息，该 0BU对应的 0BU消息证书所拥有的权利是该 0BU对应的 0BU认证证书所拥有的权利的子集；

根证书， OBU与 CMC可利用该根证书验证从对方收到的证书。

需要说明的是，本发明实施例中，不对消息证书的格式进行限定，消息证书既可以釆用 IEEE 1609.2中定义的证书格式，也可以釆用能够实现消息证书的功能的其他证书格式。

下面结合说明书附图对本发明实施例作进一步详细描述。

参见图 1所示，本发明实施例消息证书的申请系统，包括：

CMC10, 用于在确定需要为自身管理的车辆申请消息证书时，向该车辆的 OBU20发送指示信息，该指示信息用于指示 OBU20生成相应的消息证书申请请求；在接收到 OBU20 发送的反馈信息后，将该反馈信息中携带的该 OBU20 生成的消息证书申请请求发送给 CA30; 以及接收 CA30发送的消息证书，并存储该消息证书，该消息证书是 CA30根据 OBU20的消息证书申请请求生成的；

OBU20, 用于根据接收到的来自 CMC10发送的指示信息，生成相应的消息证书申请请求；以及向 CMC 10发送反馈信息，该反馈信息中携带有消息证书申请请求；

CA30, 用于根据接收到的来自 CMC10发送的消息证书申请请求，为生成 OBU20对应的消息证书，并将生成的消息证书发送给 CMC10。

本发明实施例优选适用于车联网系统中临时消息证书的申请，但本发明实施例消息证书的申请过程也适用于其他证书的申请。

进一步，参见图 2所示，本发明实施例提供的 CMC, 包括：

第一处理模块 101 , 用于在确定需要为自身管理的车辆申请消息证书后，向该车辆的 OBU发送指示信息，其中，指示信息用于指示该 OBU生成相应的消息证书申请请求；第二处理模块 102, 用于在接收到 OBU发送的反馈信息后，将该反馈信息中携带的 OBU生成的消息证书申请请求发送给 CA;

第三处理模块 103 , 用于接收 CA发送的消息证书，并存储该消息证书，其中，该消息证书是 CA根据该 OBU的消息证书申请请求生成的。

本发明实施例中，第一处理模块 101 向 OBU发送的指示信息中携带待申请消息证书的有效期信息以及如下信息中的至少一个信息：

消息类型（Message Type, MT )标识，用于标识该指示信息的消息类型；密钥对标识（ Key Identity, KID ), 用于标识该 CMC指示 OBU生成的密钥对；待申请消息证书的权利描述（ Privilege Constraint , PC );

该 OBU对应的 OBU认证证书标识（ OBU Certificate Identity, OCID );

以及该 CMC对应的 CMC认证证书（ CMC Certificate, CC )。其中，待颁布的消息证书的有效期信息包括：该有效期的起始时刻（如 T1 )及该有效期的终止时刻（如 T2 )。

优选的，该指示信息中携带待申请消息证书的有效期信息以及上述所有信息，但该指示信息携带的内容不限于上述信息。

本发明实施例中，第二处理模块 102接收到的来自 OBU的反馈信息除携带自身生成的消息证书申请请求外，还携带如下信息中的至少一个信息：

消息类型标识，用于标识该反馈信息的消息类型；

密钥对标识 KID, 用于标识该 OBU生成的密钥对；以及

该 CMC对应的 CMC认证证书标识。

优选的，该反馈信息中携带消息证书申请请求以及上述所有信息，但该反馈信息携带的信息不限于上述信息。

本发明实施例中，反馈信息中携带消息证书申请请求携带待申请消息证书的有效期信息以及如下信息中的至少一个信息：

该 OBU生成的公钥（ Public Key, PK );

待申请消息证书的权利描述；以及

该 OBU对应的 OBU认证证书。

优选的，该消息证书申请请求携带待申请消息证书的有效期信息以及上述所有信息，但该消息证书申请请求携带的信息不限于上述信息。

进一步，第一处理模块 101还用于：釆用自身的 CMC认证证书对自身生成的指示信息进行数据签名处理，并将处理后的指示信息发送给 OBU。

本发明实施例中，第一处理模块 101 居以下步骤生成指示信息：

第一处理模块 101生成经其 CMC认证证书签名的指示信息，该指示信息的主要内容为 [MT, KID, T1 , T2, PC, OCID, CC] , 其中， MT为消息类型标识， KID为需要该 OBU 生成的密钥对的标识， T1 为该待申请消息证书的有效期的起始时刻， T2为该有效期终止时刻， PC为其他可能的权利限制描述， OCID为 OBU认证证书标识， CC为 CMC认证证书；然后，该第一处理模块 101将与指示信息相关的某些信息写入本地存储的信息表中，该信息表的结构如表 1所示；最后，该第一处理模块 101将该指示信息发送给 OBU。

表 1 CMC中存储与指示信息相关的信息表

进一步，第一处理模块 101按下列方式中的一种将指示信息发送给 0BU: 方式 A1、通过 RSU将指示信息发送给 OBU;

具体的：该第一处理模块 101 与 RSU建立端到端的通信连接，并将指示信息发送给 RSU; 该 RSU接收并緩存该指示信息；该 RUS与 OBU建立端到端的通信连接，并将该指示信息发送给该 OBU。

方式 A2、通过第三代合作伙伴计划（ 3rd Generation Partnership Project, 3G )、第四代合作伙伴计划（4th Generation Partnership Project, 4G )、通用分组无线服务（ General Packet Radio Service, GPRS )或无线局域接入网 ( Wireless Local Access Network, WLAN ), 将指示信息发送给 OBU;

具体的：该第一处理模块 101与 OBU建立端到端的通信连接，并将该指示信息直接发送给该 0BU。

进一步，第二处理模块 102具体用于：

对接收到的反馈信息进行验证，并在验证通过后 , 将该反馈信息中携带的消息证书申请请求发送给 CA。

具体的，第二处理模块 102按照以下步骤对接收到的反馈信息进行验证：

根据该反馈信息中携带的 CMC认证证书标识，确定自身为该反馈信息的接收方；根据自身保存的根证书，确定该消息证书申请请求中携带的 0BU认证证书有效；以及根据该消息证书申请请求中携带的 0 B U认证证书，验证该反馈信息有效。

进一步，若第二处理模块 102确定自身不是该反馈信息的接收方、或者该消息证书申请请求中携带的 0BU认证证书无效、或者该反馈信息无效，则该第二处理模块 102终止处理。

进一步，第二处理模块 102还用于：根据该反馈信息中携带的密钥对标识，确定本地保存的与该 0BU 的待申请消息证书相关的信息；以及确定该反馈信息中携带待申请消息证书的有效期信息以及待申请消息证书的权利描述，与本地保存的该 0BU相应的待申请消息证书的有效期信息以及待申请消息证书的权利描述一致。

进一步，若第二处理模块 102确定该反馈信息中携带待申请消息证书的有效期信息以及待申请消息证书的权利描述，与本地保存的 0BU相应的待申请消息证书的有效期信息以及待申请消息证书的权利描述不一致，则该第二处理模块 102终止处理。

本发明实施例中， CA在接收到 CMC发送的消息证书申请请求后，首先验证该消息证书申请请求，并在验证通过后 , 该 CA根据该 0BU对应的 0BU认证证书中的权利描述、该消息证书申请请求中携带的待申请消息证书的有效期信息以及待申请消息证书的权利描述，为该 0BU签发相应的消息证书，并将签发的消息证书发送给 CMC。进一步，第三处理模块 103还用于：

在接收到 CA发送的消息证书之后，将该消息证书发送给 0BU。

具体的，该第三处理模块 103在接收到 CA发送的消息证书之后，直接将该消息证书发送给相应的 OBU; 或者根据实际需要，在该消息证书的有效期到达之前发送给相应的 OBU。

进一步，第三处理模块 103按下列方式中的一种将消息证书发送给 OBU:

方式 B1、通过 RSU将该消息证书发送给 OBU;

具体的：该第三处理模块 103与 RSU建立端到端的通信连接，并将该消息证书发送给 RSU; 该 RSU接收并緩存该消息证书；该 RUS与 OBU建立端到端的通信连接，并将该消息证书发送给该 0 B U。

方式 B2、通过 4G、 3G、 GPRS或 WLAN , 将该消息证书发送给 OBU;

具体的：该第三处理模块 103与 OBU建立端到端的通信连接，并将该消息证书直接发送给该 OBU。

基于上述实施例，参见图 3所示，本发明实施例提供的 OBU , 包括：

申请请求生成模块 201 , 用于根据接收到的来自 CMC发送的指示信息，生成相应的消息证书申请请求；

发送模块 202, 用于向 CMC发送反馈信息，该反馈信息中携带有消息证书申请请求。进一步，该 OBU还包括：

存储模块 203, 用于接收 CMC发送的消息证书，并存储该消息证书。

进一步，申请请求生成模块 201具体用于：

在接收到 CMC发送的指示信息后，根据该指示信息，生成该待申请消息证书对应的密钥对，该密钥对包含公钥（PK )及私钥（SK ), 并使用该指示信息中携带的密钥对标识来标识生成的密钥对（PK, SK )。

优选的，申请请求生成模块 201具体用于：

对接收到的指示信息进行验证，并在验证通过后，根据该指示信息生成包含公钥及私钥的密钥对。

具体的，申请请求生成模块 201按照以下步骤对该指示信息进行验证：

根据该指示信息携带的 OBU认证证书标识，确定自身为该指示信息的接收方；根据自身保存的根证书，确定该指示信息中携带的 CMC认证证书有效；以及根据该指示信息中携带的 CMC认证证书，验证该指示信息有效。

进一步，若该申请请求生成模块 201确定自身不是该指示信息的接收方、或者确定该指示信息中携带的 CMC认证证书无效、或者验证该指示信息无效，则该申请请求生成模块 201结束处理。

进一步，该申请请求生成模块 201在生成密钥对后，将与该密钥对相关的信息存储于本地信息表中，该信息表如表 2所示：

表 2 OBU中存储与密钥对相关的信息表

进一步，该申请请求生成模块 201还用于：釆用自身的 OBU认证证书对生成的消息证书申请请求进行数字签名处理，并将处理后的消息证书申请请求携带在反馈信息中。

优选的，该消息证书申请请求的主要内容为 [PK, T1 , T2, PC, OC], 其中， PK为待申请消息证书对应的公钥， T1 为待申请消息证书的有效期的起始时刻， T2为该有效期的终止时刻， PC为其他可能的权利限制描述， OC为 OBU认证证书。

进一步，发送模块 202还用于：釆用自身的 OBU认证证书对生成的反馈信息进行数字签名处理，并将处理后的反馈信息发送给 CMC。

优选的，该反馈信息的主要内容为 [MT, KID, CCID, CR], 其中， MT为该反馈信息的消息类型， KID为密钥对标识， CCID为 CMC认证证书标识， CR为消息证书申请请求。

进一步，发送模块 202按照下列方式中的一种将反馈信息发送给 CMC:

方式 C1、通过 RSU将该反馈信息发送给 CMC;

具体的：该发送模块 202与 RSU建立端到端的通信连接，并将反馈信息发送给 RSU; 该 RSU接收并緩存该反馈信息；该 RUS与 CMC建立端到端的通信连接，并将该反馈信息发送给该 CMC。

方式 C2、通过 4G、 3G、 GPRS或 WLAN , 将该反馈信息发送给 CMC;

具体的：该发送模块 202与 CMC建立端到端的通信连接，并将该反馈信息直接发送给该 CMC。

基于上述实施例，参见图 4所示，本发明实施例还提供了一种消息证书的申请方法，包括以下步骤：

步骤 41、 CMC在确定需要为自身管理的车辆申请消息证书后，向该车辆的 OBU发送指示信息，该指示信息用于指示该 OBU生成相应的消息证书申请请求；

步骤 42、 CMC在接收到 OBU发送的反馈信息后，将该反馈信息中携带的该 OBU生成的消息证书申请请求发送给 CA;

步骤 43、 CMC接收 CA发送的消息证书，并存储该消息证书，该消息证书是 CA根据该 OBU的消息证书申请请求生成的。

本发明实施例中，指示信息中携带待申请消息证书的有效期信息以及如下信息中的至少一个信息：

消息类型标识，用于标识该指示信息的消息类型；

密钥对标识，用于标识指示该 OBU生成的密钥对；

待申请消息证书的权利描述；

该 0 B U对应的 0 B U认证证书标识；以及

该 CMC对应的 CMC认证证书。

本发明实施例中，反馈信息还携带如下信息中的至少一个信息：

消息类型标识，用于标识该反馈信息的消息类型；

密钥对标识，用于标识该 OBU生成的密钥对；以及

该 CMC对应的 CMC认证证书标识。

本发明实施例中，消息证书申请请求中携带待申请消息证书的有效期信息以及如下信息中的至少一个信息：

该 OBU生成的公钥；

待申请消息证书的权利描述；以及

该 OBU对应的 OBU认证证书。

进一步，步骤 41 中， CMC向 OBU发送指示信息，具体包括：

CMC釆用自身的 CMC认证证书对该指示信息进行数据签名处理，并将处理后的指示信息发送给 OBU。

进一步，步骤 41 中， CMC向 OBU发送指示信息，具体包括：

CMC通过 RSU将该指示信息发送给 OBU ,其中，该 RSU分别与该 CMC及该 OBU 建立连接；或者， CMC通过 4G、 3G、 GPRS或 WLAN , 将该指示信息发送给 OBU。

进一步，步骤 42中， CMC将接收到的反馈信息中携带的该 OBU生成的消息证书申请请求发送给 CA, 具体包括：

CMC 对该反馈信息进行验证 , 并在验证通过后，将该反馈信息中携带的消息证书申请请求发送给 CA。

具体的，该 CMC按照以下步骤对反馈信息进行验证：

CMC根据该反馈信息中携带的 CMC认证证书标识，确定自身为该反馈信息的接收方； CMC根据自身保存的根证书，确定该消息证书申请请求中携带的 OBU认证证书有效；以及 CMC根据该消息证书申请请求中携带的 OBU认证证书，验证该反馈信息有效。进一步，步骤 42中， CMC对反馈信息进行验证之后，还包括：

CMC根据该反馈信息中携带的密钥对标识，确定本地保存的与该 OBU的待申请消息证书相关的信息；以及

CMC 确定该反馈信息中携带待申请消息证书的有效期信息以及待申请消息证书的权利描述，与本地保存的该 OBU相应的待申请消息证书的有效期信息以及待申请消息证书的权利描述一致。

进一步，步骤 43中， CMC在接收到 CA发送的消息证书之后，还包括：

CMC将接收到的消息证书发送给 OBU。

具体的，该 CMC在接收到 CA发送的消息证书之后，直接将该消息证书发送给相应的 OBU; 或者根据实际需要，在该消息证书的有效期到达之前发送给相应的 OBU。

进一步，步骤 43中， CMC将消息证书发送给 OBU , 具体包括：

CMC通过 RSU将该消息证书发送给 OBU ,其中，该 RSU分别与该 CMC及该 OBU 建立连接；或者， CMC通过 4G、 3G、 GPRS或 WLAN , 将该消息证书发送给 OBU。

基于上述实施例，参见图 5所示，本发明实施例还提供了一种申请消息证书的方法，包括以下步骤：

步骤 51、 OBU根据接收到的来自 CMC发送的指示信息，生成相应的消息证书申请请求；

步骤 52、 0 B U向 C M C发送反馈信息，该反馈信息中携带有消息证书申请请求。进一步，该方法还包括：

步骤 53、 OBU接收 CMC发送的消息证书，并存储该消息证书。

消息类型标识，用于标识该指示信息的消息类型；

密钥对标识，用于标识指示该 OBU生成的密钥对；

待申请消息证书的权利描述；

该 0 B U对应的 0 B U认证证书标识；以及

该 CMC对应的 CMC认证证书。

进一步，步骤 51 中， OBU在接收到 CMC发送的指示信息后，且在 OBU生成相应的消息证书申请请求之前，还包括：

OBU根据接收到的指示信息，生成待申请消息证书对应的密钥对，该密钥对包含公钥及私钥。

进一步，步骤 51 中， 0BU根据指示信息，生成待申请消息证书对应的密钥对，具体包括： OBU对接收到的指示信息进行验证，并在验证通过后，根据该指示信息生成待申请消息证书对应的密钥对。

具体的， OBU按照以下步骤对该指示信息进行验证：

OBU根据该指示信息携带的 OBU认证证书标识，确定自身为该指示信息的接收方； OBU根据自身保存的根证书，确定该指示信息中携带的 CMC认证证书有效；以及 OBU根据该指示信息中携带的 CMC认证证书，验证该指示信息有效。

进一步，步骤 51 中， OBU生成相应的消息证书申请请求，具体包括：

OBU釆用自身的 OBU认证证书对自身生成的消息证书申请请求进行数字签名处理，并将处理后的消息证书申请请求携带在反馈信息中。

该 OBU生成的公钥；

待申请消息证书的权利描述；以及

该 OBU对应的 OBU认证证书。

进一步，步骤 52中， OBU向 CMC发送反馈信息，具体包括：

OBU釆用自身的 OBU认证证书对生成的反馈信息进行数字签名处理，并将处理后的反馈信息发送给 CMC。

消息类型标识，用于标识该反馈信息的消息类型；

密钥对标识，用于标识该 OBU生成的密钥对；以及

该 CMC对应的 CMC认证证书标识。

进一步，步骤 52中， OBU向 OBU发送反馈信息，具体包括：

OBU通过 RSU将该反馈信息发送给 CMC,其中，该 RSU分别与该 CMC及该 OBU 建立连接；或者，

OBU通过 4G、 3G、 GPRS或 WLAN , 将该反馈信息发送给 CMC。

下面从 OBU、 CMC与 CA之间的交互过程来说明本发明实施例申请消息证书的过程，本发明实施例的消息证书申请系统参见图 6所示，该系统中各设备之间的交互参见图 7所示，包括：

步骤 71、 CMC发起消息证书申请流程，以请求 OBU生成可用于向 CA申请消息证书的消息证书申请；

步骤 72、 CMC将生成的消息发送给 OBU;

步骤 73、 OBU验证收到的消息并生成消息证书申请；

步骤 74、 OBU将生成的消息证书申请发送给 CMC;

步骤 75、 CMC验证收到的消息，并将消息证书申请发送给 CA;

步骤 76、 CA验证收到的消息证书申请，并在验证正确的情况下，根据 OBU认证证书中的权利描述、消息证书申请中的有效期信息和其他可能的权利限制描述为 OBU签发消息证书；

步骤 77、 CA将颁发的消息证书发送给 CMC;

步骤 78、 CMC将颁发的消息证书发送给 OBU;

步骤 79、 OBU存储收到的消息证书，然后利用该消息证书签发将要播发的消息。下面结合一个具体实施例，对本发明的消息证书的申请过程进行说明。

实施例 1、本实施例以向公交车辆颁发有效期从 2012-12-20 07:00:00至 2012-12-20 09:59:59的临时消息证书为例进行说明：

第 1步： CMC要求 OBU生成可用于向 CA申请消息证书的消息证书申请；具体过程为：

CMC生成经其 CMC认证证书签名的要求 OBU生成消息证书申请的消息，该消息的主要内容如下：

[01 , KEY100001 , 2012-12-20 07:00:00, 2012-12-20 09:59:59, XYZ... ,OBU000001 , CMC_CERT];

其中， 01为消息类型标识， KEY000001为新生成密钥对的标识， 2012-12-20 07:00:00 为消息证书有效期起始时刻， 2012-12-20 09:59:59 为消息证书有效期终止时刻， XYZ... 为其他可能的权利限制描述，OBU000001为 OBU认证证书的 ID, CMC_CERT代表 CMC 认证证书；

CMC将与上述消息相关的某些信息写入本地消息信息表中，如表 3所示：

表 3 CMC的本地消息信息表第 2步： CMC将生成的消息发送给 OBU;

第 3步： 0 B U验证收到的消息并生成消息证书申请；

具体过程为： OBU 接收 RSU 发送来的消息； OBU 首先通过消息中的 OCID=OBU000001 确定该消息是发送给自身，然后该 OBU利用本地保存的才证书 -验证 CMC_CERT证书的有效性，并利用 CMC_CERT验证接收到的消息的有效性，若验证通过则继续进行下一步，否则终止当前过程； OBU 生成密钥对（ ABCDE1234... , MNOPQ5678... )，其中 "ABCDE1234... "为公钥， "MNOPQ5678... "为私钥，并用 KID= "KEY000001 " 标识该密钥对，然后将相关信息存储在本地信息表中，如表 4所示：

表 4 OBU的本地信息表

OBU生成经其认证证书签名的消息证书申请，该消息证书申请的主要内容为：

[ABCDE1234... , 2012-12-20 07:00:00, 2012-12-20 09:59:59, XYZ... , OBU-CERT]; 其中， ABCDE1234...为申请消息证书中的公钥, 2012-12-20 07:00:00为申请消息证书的有效期的起始时刻， 2012-12-20 09:59:59为申请消息证书有效期的终止时刻， OBU-CERT代表 OBU认证证书； OBU生成经其认证证书签名的将要发送给 CMC的消息，消息的主要内容: ¾。下：

[02, KEY000001 , CMC000001 , CERT-REQ];

其中， 02为消息类型， KEY000001为密钥对的标识， CMC000001为 CMC认证证书标识， CERT-REQ为消息证书申请。

第 4步： OBU将生成的消息证书申请发送给 CMC；

第 5步： CMC验证收到的消息，并将消息证书申请发送给 C A;

具体过程为：

CMC接收来自 RSU的消息； CMC首先通过消息中的 CCID=CMC000001确定该消息是发送给自身，然后 CMC利用根证书验证 OBU-CERT的有效性，并进一步利用 OBU-CERT 验证消息的有效性，若验证通过则继续进行下一步，否则终止当前过程； CMC根据消息中的 KID=KEY000001在本地消息信息表（如表 3所示）中查找到相关信息，然后将消息证书申请中的证书有效期以及其他权利限制描述与存储在本地表中的证书有效期及其他权利限制描述相比较，并确定相同，从而继续进行下一步； CMC将 "消息证书申请"发送给

CA。

第 6步： CA验证收到的消息证书申请，并在验证正确的情况下颁发该消息证书；第 7步： CA将颁发的消息证书发送给 CMC;

第 8步： CMC将颁发的消息证书发送给 OBU;

第 9步： OBU存储收到的消息证书，该 OBU即可利用该消息证书签发将要播发的消息。

上述方法处理流程可以用软件程序实现，该软件程序可以存储在存储介盾中，当存储的软件程序被调用时，执行上述方法步骤。

基于上述实施例，参阅图 8所示，本发明实施例中， CMC包括处理器 801 :

处理器 801 , 用于在确定需要为自身管理的车辆申请消息证书后，向车辆的车载设备 OBU发送指示信息，指示信息用于指示 OBU生成相应的消息证书申请请求，在接收到 OBU 发送的反馈信息后，将反馈信息中携带的 OBU生成的消息证书申请请求发送给认证中心 CA, 以及接收 CA发送的消息证书，并存储消息证书，消息证书是 CA根据 OBU的消息证书申请请求生成的。

处理器 801还用于：

釆用自身的 CMC认证证书对指示信息进行数据签名处理，并将处理后的指示信息发送给 OBU。

结合第五方面，在第二种可能的实现方式中，处理器具体用于：

对反馈信息进行验证，并在验证通过后，将反馈信息中携带的消息证书申请请求发送给 CA。

处理器 801按照以下步骤对反馈信息进行验证：

根据反馈信息中携带的 CMC认证证书标识，确定自身为反馈信息的接收方；根据自身保存的根证书，确定消息证书申请请求中携带的 OBU认证证书有效；以及根据消息证书申请请求中携带的 OBU认证证书，验证反馈信息有效。

结合第五方面的第三种可能的实现方式，在第四种可能的实现方式中，处理器还用于：根据反馈信息中携带的密钥对标识，确定本地保存的与 OBU的待申请消息证书相关的信息；以及

确定反馈信息中携带待申请消息证书的有效期信息以及待申请消息证书的权利描述，与本地保存的 OBU相应的待申请消息证书的有效期信息以及待申请消息证书的权利描述一致。处理器 801还用于：

将消息证书发送给 OBUo

处理器具体 801用于：通过 RSU将指示信息发送给 OBU; 或者，通过 4G、 3G、 GPRS 或 WLAN, 将指示信息发送给 OBU;

处理器 801具体用于：通过 RSU将消息证书发送给 OBU; 或者，通过 4G、 3G、 GPRS 或 WLAN , 将消息证书发送给 OBU;

其中， RSU分别与 CMC及 OBU建立连接。

基于上述实施例，参阅图 9所示，本发明实施例中， OBU包括处理器 901和发送端口 902 , 包括：

处理器 901 , 用于根据接收到的来自 CMC发送的指示信息，生成相应的消息证书申请请求；

发送端口 902 , 用于向 CMC发送反馈信息，反馈信息中携带有消息证书申请请求。处理器 901具体用于：

根据指示信息，生成待申请消息证书对应的密钥对，密钥对包含公钥及私钥。

处理器 901具体用于：

对接收到的指示信息进行验证，并在验证通过后 , 根据指示信息生成待申请消息证书对应的密钥对。

处理器 901按照以下步骤对接收到的指示信息进行验证：

根据指示信息携带的 OBU认证证书标识，确定自身为指示信息的接收方；根据自身保存的根证书，确定指示信息中携带的 CMC认证证书有效；以及根据指示信息中携带的 CMC认证证书，验证指示信息有效。

处理器 901还用于：釆用自身的 OBU认证证书对生成的消息证书申请请求进行数字签名处理，并将处理后的消息证书申请请求携带在反馈信息中；

发送端口 902还用于：釆用自身的 OBU认证证书对生成的反馈信息进行数字签名处理，并将处理后的反馈信息发送给 CMC。

发送端口 902具体用于：

通过 RSU将反馈信息发送给 CMC; 或者，

通过 4G、 3G、 GPRS或 WLAN, 将反馈信息发送给 CMC;

其中， RSU分别与 CMC及 OBU建立连接。

该 OBU还包括：

存储器 903 , 用于接收 CMC发送的消息证书，并存储消息证书，消息证书是 CA根据消息证书申请请求生成的。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可釆用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可釆用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介盾（包括但不限于磁盘存储器、 CD-ROM、光学存储器等）上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备（系统）、和计算机程序产品的流程图和 /或方框图来描述的。应理解可由计算机程序指令实现流程图和 /或方框图中的每一流程和 /或方框、以及流程图和 /或方框图中的流程和 /或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样，倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

权利要求

1、一种消息证书的申请方法，其特征在于，该方法包括：

证书管理中心 CMC在确定需要为自身管理的车辆申请消息证书后，向所述车辆的车载设备 OBU发送指示信息，所述指示信息用于指示所述 OBU生成相应的消息证书申请请求；

2、如权利要求 1 所述的方法，其特征在于，所述指示信息中携带待申请消息证书的有效期信息以及如下信息中的至少一个信息：

消息类型标识，用于标识所述指示信息的消息类型；

密钥对标识，用于标识指示所述 OBU生成的密钥对；

所述待申请消息证书的权利描述；

所述 OBU对应的 OBU认证证书标识；以及

所述 CMC对应的 CMC认证证书。

3、如权利要求 1 所述的方法，其特征在于，所述反馈信息还携带如下信息中的至少一个信息：

消息类型标识，用于标识所述反馈信息的消息类型；

密钥对标识，用于标识所述 OBU生成的密钥对；以及

所述 CMC对应的 CMC认证证书标识。

4、如权利要求 1 所述的方法，其特征在于，所述消息证书申请请求中携带待申请消息证书的有效期信息以及如下信息中的至少一个信息：

所述 OBU生成的公钥；

所述待申请消息证书的权利描述；以及

所述 OBU对应的 OBU认证证书。

5、如权利要求 1~4任一项所述的方法，其特征在于，所述 CMC向所述 OBU发送指示信息，具体包括：

6、如权利要求 1所述的方法，其特征在于，所述 CMC将所述反馈信息中携带的所述 OBU生成的消息证书申请请求发送给 CA, 具体包括：

7、如权利要求 6所述的方法，其特征在于，所述 CMC按照以下步骤对所述反馈信息进行验证：

8、如权利要求 7所述的方法，其特征在于，所述 CMC对所述反馈信息进行验证，还包括：

9、如权利要求 1所述的方法，其特征在于，所述 CMC在接收到所述 CA发送的消息证书之后，还包括：

所述 CMC将所述消息证书发送给所述 OBU。

10、如权利要求 9所述的方法，其特征在于，所述 CMC向所述 OBU发送所述指示信息，具体包括：

所述 CMC将所述消息证书发送给所述 OBU, 具体包括：

所述 CMC通过所述 RSU将所述消息证书发送给所述 OBU; 或者，所述 CMC通过

4G、 3G、 GPRS或 WLAN, 将所述消息证书发送给所述 OBU; 其中，所述 RSU分别与所述 CMC及所述 OBU建立连接。

11、一种申请消息证书的方法，其特征在于，该方法包括：

OBU根据接收到的来自 CMC发送的指示信息，生成相应的消息证书申请请求；所述 OBU向所述 CMC发送反馈信息，所述反馈信息中携带有所述消息证书申请请求。

12、如权利要求 11所述的方法，其特征在于，所述 OBU在接收到 CMC发送的指示信息后，且所述 OBU生成相应的消息证书申请请求之前，还包括：

13、如权利要求 12所述的方法，其特征在于，所述 OBU根据所述指示信息，生成所述待申请消息证书对应的密钥对，具体包括：

14、如权利要求 13所述的方法，其特征在于，所述 OBU按照以下步骤对接收到的指示信息进行验证：

所述 OBU根据自身保存的根证书，确定所述指示信息中携带的 CMC认证证书有效；所述 OBU根据所述指示信息中携带的 CMC认证证书，验证所述指示信息有效。

15、如权利要求 11~14任一项所述的方法，其特征在于，所述指示信息中携带待申请消息证书的有效期信息以及如下信息中的至少一个信息：

类型标识，用于标识所述指示信息的类型；

密钥对标识，用于标识指示所述 OBU生成的密钥对；

所述待申请消息证书的权利描述；

所述 OBU对应的 OBU认证证书标识；以及

所述 CMC对应的 CMC认证证书。

16、如权利要求 11~14任一项所述的方法，其特征在于，所述反馈信息还携带如下信息中的至少一个信息：

类型标识，用于标识所述反馈信息的类型；

密钥对标识，用于标识所述 OBU生成的密钥对；以及

所述 CMC对应的 CMC认证证书标识。

17、如权利要求 11~14任一项所述的方法，其特征在于，所述消息证书申请请求中携带待申请消息证书的有效期信息以及如下信息中的至少一个信息：

所述 OBU生成的公钥；

所述待申请消息证书的权利描述；以及

所述 OBU对应的 OBU认证证书。

18、如权利要求 11 14任一项所述的方法，其特征在于，所述 OBU生成相应的消息证书申请请求，具体包括：

所述 OBU向所述 CMC发送反馈信息，具体包括：

19、如权利要求 11所述的方法，其特征在于，所述 OBU向所述 OBU发送所述反馈信息，具体包括：

所述 OBU通过所述 RSU将所述反馈信息发送给所述 CMC; 或者，

所述 OBU通过 4G、 3G、 GPRS或 WL AN, 将所述反馈信息发送给所述 CMC; 其中，所述 RSU分别与所述 CMC及所述 OBU建立连接。

20、如权利要求 11所述的方法，其特征在于，所述方法还包括：

所述 OBU接收所述 CMC发送的消息证书，并存储所述消息证书，所述消息证书是所述 CA根据所述消息证书申请请求生成的。

21、一种证书管理中心 CMC , 其特征在于，该 CMC包括：

第三处理模块，用于接收所述 CA发送的消息证书，并存储，所述消息证书是所述 CA 根据所述 OBU的消息证书申请请求生成的。

22、如权利要求 21所述的 CMC , 其特征在于，所述第一处理模块还用于：釆用自身的 CMC认证证书对所述指示信息进行数据签名处理，并将处理后的指示信息发送给所述 OBU。

23、如权利要求 21所述的 CMC , 其特征在于，所述第二处理模块具体用于：对所述反馈信息进行验证，并在验证通过后，将所述反馈信息中携带的消息证书申请请求发送给所述 CA。

24、如权利要求 23所述的 CMC, 其特征在于，所述第二处理模块按照以下步骤对所述反馈信息进行验证：

25、如权利要求 24所述的 CMC, 其特征在于，所述第二处理模块还用于：根据所述反馈信息中携带的密钥对标识，确定本地保存的与所述 OBU的待申请消息证书相关的信息；以及

26、如权利要求 21所述的 CMC, 其特征在于，所述第三处理模块还用于：将所述消息证书发送给所述 OBU。

27、如权利要求 26所述的 CMC, 其特征在于，

所述第一处理模块具体用于：通过 RSU将所述指示信息发送给所述 OBU; 或者，通过 4G、 3G、 GPRS或 WLAN, 将所述指示信息发送给所述 OBU;

其中，所述 RSU分别与所述 CMC及所述 OBU建立连接。

28、一种车载设备 OBU, 其特征在于，该 OBU包括：

29、如权利要求 28所述的 OBU, 其特征在于，所述申请请求生成模块具体用于：根据所述指示信息，生成所述待申请消息证书对应的密钥对，所述密钥对包含公钥及私钥。

30、如权利要求 29所述的 OBU, 其特征在于，所述申请请求生成模块具体用于：对接收到的指示信息进行验证，并在验证通过后 , 根据所述指示信息生成所述待申请消息证书对应的密钥对。

31、如权利要求 30所述的 OBU, 其特征在于，所述申请请求生成模块按照以下步骤对接收到的指示信息进行验证：

32、如权利要求 29 31任一项所述的 OBU, 其特征在于，

33、如权利要求 28所述的 OBU, 其特征在于，所述发送模块具体用于：

通过所述 RSU将所述反馈信息发送给所述 CMC; 或者，

通过 4G、 3G、 GPRS或 WLAN, 将所述反馈信息发送给所述 CMC;

其中，所述 RSU分别与所述 CMC及所述 OBU建立连接。

34、如权利要求 28所述的 OBU, 其特征在于，该 OBU还包括：

存储模块，用于接收所述 CMC发送的消息证书，并存储所述消息证书，所述消息证书是所述 CA根据所述消息证书申请请求生成的。

35、一种消息证书的申请系统，其特征在于，该通信系统包括：

CMC , 用于在确定需要为自身管理的车辆申请消息证书后，向所述车辆的车载设备

OBU发送指示信息，所述指示信息用于指示所述 OBU生成相应的消息证书申请请求；在接收到所述 OBU发送的反馈信息后，将所述反馈信息中携带的所述 OBU生成的消息证书申请请求发送给认证中心 CA; 以及接收所述 CA发送的消息证书，并存储所述消息证书，所述消息证书是所述 CA根据所述 OBU的消息证书申请请求生成的；

OBU, 用于根据接收到的来自所述 CMC发送的指示信息，生成相应的消息证书申请请求；以及向所述 CMC发送反馈信息，所述反馈信息中携带有所述消息证书申请请求；