WO2020224621A1

WO2020224621A1 - 一种申请数字证书的方法

Info

Publication number: WO2020224621A1
Application number: PCT/CN2020/089027
Authority: WO
Inventors: 朱锦涛; 彭宇才
Original assignee: 华为技术有限公司
Priority date: 2019-05-07
Filing date: 2020-05-07
Publication date: 2020-11-12
Also published as: CN111917685A; US20210226802A1; EP3840327A4; CN111917685B; US11888993B2; EP3840327A1

Abstract

本申请提出一种申请数字证书的方法。车联网终端向车联网服务器提供能够证明车联网终端身份的安全凭证，并请求车联网服务器为其申请证书。该安全凭证可以是预置在车联网终端中的令牌，也可以是车辆的数字签名。车联网服务器根据安全凭证对车联网终端的身份进行验证，验证通过后，选择合适的证书服务器为车联网终端申请证书。该方案对车联网终端而言，降低了车联网终端申请证书的复杂度，对证书服务器而言，减小了证书服务器面向海量车联网终端的情况下被攻击的安全风险。

Description

一种申请数字证书的方法

技术领域

本申请涉及通信领域，尤其涉及一种车联网领域申请数字证书的方法、装置和系统。

背景技术

车联网(Vehicle to Everything,V2X)中的PC5接口用于车辆之间，车辆与行人或骑行者之间，以及车辆与基础设施之间等车联网终端间进行广播通信。为提升PC5接口上传输的广播消息的安全性，降低安全威胁和风险(如广播消息被篡改的风险)，车联网终端向证书服务器申请短期证书，在发送的消息中携带该短期证书，并使用与短期证书对应的私钥对消息进行数字签名，以对消息提供完整性保护。

按照欧洲C-ITS证书管理系统(C-ITS Credential Management System,CCMS)和美国安全证书管理系统(Security Credential Management System,SCMS)相关标准的要求，车联网终端每周需要切换使用10-100张短期证书，以防止第三方追踪，实现隐私保护。另外，在实际应用中，往往会部署多个用于签发证书的证书服务器，如在不同的地域、行政区划部署不同的证书服务器，或部署不同的证书服务器用于签发不同权限级别的证书。因此，车联网终端需要和根据不同地域、授权级别等维度部署的证书服务器对接，以申请短期证书。复杂的证书服务器的部署，增加了车联网终端获取证书的复杂性，多个证书服务器信息的存储也会对车联网终端的性能造成一定的影响。

发明内容

本申请提出一种申请数字证书的方案构思，该方案构思下，车联网服务器作为车联网终端的代理，代替车联网终端向一个或多个证书服务器申请假名证书。该方案对车联网终端而言，降低了车联网终端申请证书的复杂度，对证书服务器而言，减小了证书服务器面向海量车联网终端的情况下被攻击的安全风险。

基于如上方案构思，本申请提出一种申请数字证书的方法。车联网终端向车联网服务器提供能够证明车联网终端身份的安全凭证，并请求车联网服务器为其申请证书。该安全凭证可以是预置在车联网终端中的令牌，也可以是车辆的数字签名。令牌可以是生产车联网终端的企业服务器预置在车联网终端中的信息，其中包含了车联网终端的标识。车联网服务器根据安全凭证对车联网终端的身份进行验证，验证通过后，选择合适的证书服务器为车联网终端申请证书。车联网服务器选择证书服务器的方法可以有多种，可以根据车联网终端的权限，合法区域信息和位置信息中的一种或多种，选择相应的证书服务器申请证书。车联网服务器选择证书所依据的车联网终端的权限和合法区域信息，可以从车联网终端提供的安全凭证中提取，也可以是预置在车联网服务器中的信息，如果安全凭证中包含这些信息，以安全凭证中包含的信息为准。

在如上方法的基础之上，本申请还进一步提出能够提供传输层安全和应用层安全的方案。车联网终端上预置车联网服务器的证书，车联网服务器上预置车联网终端的预配置证书。此外，车联网服务器、企业服务器和证书服务器互相预置对方的证书。基于这些证书，一方面，车辆和车联网服务器间，车联网服务器和假名证书服务器间，车企服务器和车联网服务器间可以互相认证对方的身份，建立传输层的安全连接，如基于安全传输层协议(Transport Layer Security，TLS)建立的安全传输通道，以保证传输层安全；另一方面，在如上方法流程中，发送方在发送的消息中携带根据自己的证书生成的数字签名，接收方可以根据证书中的公钥，可以验证对方的数字签名，实现传输内容的完整性保护，并验证发送方的身份，保证应用层安全。

本申请所提出的申请数字证书的方法，该方法涉及车联网终端(或内置在车联网终端中的车联网通信装置)，车联网服务器和证书服务器，还可能涉及生产车联网终端的企业服务器。因此，本申请还提供实现如上方法的装置和服务器。

另外，本申请还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述申请数字证书的方法。

最后，本申请提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述申请数字证书的方法。

附图说明

图1为本申请实施例提供的一种申请数字证书的方案架构示意图；

图2为本申请实施例提供的一种申请数字证书的方法流程示意图；

图3为本申请实施例提供的一种直接申请假名证书的方法流程示意图；

图4为本申请实施例提供的一种先申请注册证书再申请假名证书的方法流程示意图；

图5为本申请实施例提供的另一种申请假名证书的方法流程示意图；

图6为本申请实施例所采用的装置结构示意图。

具体实施方式

图1所示为本申请实施例提供的一种用于获取车联网证书的系统架构图。图中包括101车联网通信装置，102车联网服务器和103证书服务器。

101车联网通信装置具体可以是车联网终端或集成在车联网终端中功能单元或芯片。本申请中所述车联网终端的类型不限，可以是车辆，非机动车，路测单元(Road Side Unit，RSU)，便携设备，可穿戴设备等。当车联网终端为车辆时，集成在车联网终端中功能单元具体可以是集成在车辆中的车载盒子(Telematics BOX，T-Box)，或域控制器(Domian Control ler，DC)，或多域控制器(Multi-Domian Control ler，MDC)，或车载单元(On board Unit，OBU)等。

102车联网服务器可以是对车联网终端进行管理的车联网平台或车联网服务器。车联网服务器的具体部署形态本申请不做限定，具体可以是云端部署，还可以是独立的计算机设备等。

103证书服务器，具体可以是进行注册管理或签发长期证书的证书服务器，一般称之为注册证书服务器或长期证书服务器，如CCMS中的注册证书服务器为EA(Enrollment Authority)，SCMS中的注册证书服务器为ECA(Enrollment Certificate Authority)，注册证书服务器签发的证书称之为注册证书或长期证书；103证书服务器，还可以是签发短期证书的证书服务器，一般称之为假名证书服务器或短期证书服务器或业务证书服务器，如CCMS中的假名证书服务器为AA(Authorization Authority)，SCMS中的假名证书服务器为PCA(Pseudonym Certificate Authority)，假名证书服务器所签发证书称之为短期证书(short-term certificate)，还可以称之为假名证书(Pseudonym certificate)或业务证书(authorization ticket)，假名证书的有效期较注册证书而言更短，车联网终端需要定期的申请更新。以防止第三方追踪，实现隐私保护。在实际应用中，往往会部署多个证书服务器，如在不同的地域、行政区划部署不同的证书服务器，或部署不同的证书服务器用于签发不同权限级别的证书。

需要说明的是，本申请实施例中所说的证书为数字证书，证书中包含用于标识证书持有者身份的标识和公钥等信息。假设A持有B的证书，B在发送给A的消息中携带使用该证书生成的数字签名，具体地，使用B的证书对应的私钥，对消息中的部分内容(如头域和净荷部分或头域和净荷部分的哈希)进行加密，生成数字签名；则A在收到消息后，可以使用B的证书中的公钥解密该数字签名，验证消息中的头域和净荷与解密后的内容是否一致，以防止消息篡改，实现消息的完整性保护；另外，由于使用B的证书对应的私钥生成的数字签名，只有B的证书中包含的公钥可以解密，A通过验证B的数字签名，还可以验证消息发送者的身份，即证明消息是B发送的。

还需要说明的是，使用证书对应的私钥对消息中的部分内容进行计算(如加密计算)，生成数字签名，并在消息中携带该数字签名的方法或过程在本申请实施例中也被称为对消息进行签名或对消息进行数字签名；消息接收方使用发送方的证书中包含的公钥对消息中包含的数字签名进行解密，验证消息发送方的身份和消息完整性的方法和过程，本申请实施例中也被称为验证消息的数字签名或验证数字签名。

本申请实施例中的方案还可能涉及企业服务器。当车联网通信装置为独立运行或使用的车联网终端时，企业服务器为生产车联网通信装置的企业用于管理车联网通信装置的服务器或平台；当车联网通信装置为集成在车联网终端中的功能单元时，企业服务器为生产车联网终端的企业用于管理车联网终端的服务器。在本申请实施例中，企业服务器可能向车联网服务器导入车联网终端的初始信息或预配置信息，如车联网终端的预配置证书，车联网终端的合法区域信息和权限信息等；企业服务器还可能为车辆生成安全凭证，安全凭证中包含车联网终端的初始信息和企业服务器的数字签名。车联网平台、企业服务器和证书服务器可能提前互相预置对方的证书，用于进行身份验证并建立安全通道，进而实现消息和信息的安全传输。

需要说明的是，车联网终端的合法区域信息用于指示车联网终端可以合法行驶或运行的区域。以车辆为例，这个区域可以是车辆上牌的归属地、或者车辆可以合法行驶的区域。如，在中国区域内销售的车辆，其合法区域信息可能包含中国所有的省，但不包括中国以外的区域。又比如，某些特种车辆，可能只能在某些园区使用，不能在园区之外使用；车联网终端的权限信息用于指示或限制车辆可以发送哪些类型的消息以及具体某种类型的消息中可以携带哪些内容，例如车联网终端的权限信息限制车辆可以发送协作感知消息(Cooperative Awareness Message，CAM)，分散环境通知信息(Decentralized Environmental Notification Message，DENM)或基本安全消息(basic safety message， BSM)等消息中的一种或几种消息类型，还可以具体限制车联网终端在发送DENM消息时可以发送的内容，如天气类告警、路况类告警等。

下面，基于图1所示的架构，对本申请所提出的方法进行进一步的介绍。车辆是一种典型的车联网终端，以下实施例中，以车辆为例进行描述。本领域技术人员应该理解的是，本申请中以车辆为例的实施例还可以应用于其它类型的车联网终端。还应该理解的是，本申请以下实施例中所描述的车辆相关的方法流程，实际上是由车辆中集成的车联网通信装置实现的，即本申请中所述的车辆相关的功能是由车辆中集成的车联网通信装置提供的。

首先，以图2所示的流程图为例，对本申请实施例提出的方法进行概要介绍。

201、车联网服务器接收来自车辆的第一证书请求，第一证书请求中包括所述车辆的安全凭证。本申请实施例中所述的安全凭证，指可以用于验证车辆身份的凭证，具体形式不限，可以是企业服务器(如车企服务器)发布给车辆的用于标识车辆身份的凭证，还可以是车辆使用自己的预配置证书生成的数字签名。

202、车联网服务器根据安全凭证对所述车辆的身份进行验证。车联网服务器连接海量的车联网终端，出于安全考虑，车联网服务器需要首先确认车辆的身份是否合法，只有在车辆身份通过验证的情况下，车联网服务器才为车辆申请证书。基于不同的安全凭证类型，车联网服务器对安全凭证进行相应的验证。假设安全凭证为车企服务器发布给车辆的凭证，车联网服务器可以通过校验安全凭证中数字签名的方式进行验证，也可以将安全凭证发给车企服务器进行验证。假设安全凭证为车辆使用自己的预配置证书生成的数字签名，则车联网服务器需要通过预置的车辆的预配置证书验证车辆的数字签名。安全凭证的类型和安全凭证的验证有很多种实现方式，本申请实施例中无法一一列举，各种安全凭证的类型和安全凭证的验证方式都可以适用于本申请实施例的主体方案和主体流程，本文将在后面的实施例中基于几种具体的安全凭证类型进一步介绍本申请实施例所提出的方案。

203、由于在实际部署中，不同的地域、行政区划会部署不同的证书服务器，也有的国家或地区还会部署分级的证书服务器用于签发不同权限级别或权限范围的证书。因此除了对车辆的身份进行验证，车联网服务器还需要根据车辆的合法区域，或车辆的权限信息，或车辆当前的地理位置信息，或综合如上各种信息，选择向哪个证书服务器申请证书。

204、车联网服务器向选定的证书服务器发送第二证书请求，代替车辆向证书服务器申请证书。出于安全考虑，第二证书请求中携带指示信息和车联网服务器的安全凭证。指示信息用于指示证书服务器，该请求为车联网服务器代替车辆发送的证书请求。车联网服务器的安全凭证用于使证书服务器验证车联网服务器的身份。与车辆的安全凭证类似，车联网服务器的安全凭证及验证方法也可以有多种，本文将在后面的实施例中举例说明。

205、车联网服务器接收证书服务器签发的证书，并将所述证书发送给所述车辆。车辆获取证书后，可以在后续发送的V2X消息中携带该证书，并在消息中携带使用该证书对应的私钥对消息进行计算获得的数字签名，接收该V2X消息的车辆，根据数字签名中的公钥，就可以验证消息的完整性和消息发送方的身份。

图2所示的方法中，不限定证书服务器的类型，证书服务器可以是注册证书服务器，也可以是假名证书服务器。如果是注册证书服务器，则204和205步骤中签发的是注册证书；如果是假名证书服务器，则204和205步骤中签发的是假名证书。图2所示的方法，一方面，车联网服务器为证书服务器屏蔽了海量的车联网终端，证书服务器不必直接面对海量的车联网终端，也不必预置用于与车联网终端建立安全连接的车联网终端的安全信息(如车辆的预配置证书)，即证书服务器无需直接与海量车联网终端建立一对一的安全连接，证书服务器只需要与车联网服务器通信，简化了证书服务器的配置，降低了证书服务器的安全风险；另外一方面，车联网服务器为车联网终端屏蔽了证书服务器侧复杂的组网或架构，车联网终端不必感知证书服务器的部署组网或架构，只需要与车联网服务器通信，就可以申请到所需的证书，简化了车联网终端侧的配置，车联网终端上只需要配置车联网服务器侧的信息，就可以通过车联网服务器获取证书。

图3所示方法流程为图2中概要方案的一种可能的技术实现方式。

300：图3所示的方法流程需要如下一些预置条件：

车辆：车辆上预置车联网服务器的证书和地址，还需要预置车辆的预配置证书或预配置证书对应的密钥对(公钥Kp1，私钥Kq1)。

车联网服务器、车企服务器和假名证书服务器：互相预置对方的证书。

车辆的预配置证书，预置的车联网服务器的证书、车企服务器的证书和假名证书服务器的证书的格式可能为X.509格式，证书中包含身份标识和公钥信息等。基于这些证书，一方面，车辆和车联网服务器间，车联网服务器和假名证书服务器间，车企服务器和车联网服务器间可以互相认证对方的身份，建立传输层的安全连接，如TLS连接；另一方面，根据证书中的公钥，可以验证对方的数字签名，实现传输内容的完整性保护。如车联网服务器向假名证书服务器发送的消息中可以携带使用车联网服务器的证书生成的数字签名，假名证书服务器使用预置的车联网服务器的证书中的公钥，验证车联网服务器的数字签名，保证消息内容的完整性。

301：车联网服务器从车企服务器获取车辆的预配置信息。预配置信息包括车辆的预配置证书，还可能包括车企指定的车辆的合法区域信息和权限信息。

302：车企服务器为车辆分配安全凭证，并将安全凭证预置在车辆中。本申请实施例中，安全凭证为令牌Token，其中至少包括车辆的标识，用来唯一标识这个车辆，如VIN码，伪VIN码，或保证唯一性的随机数等。安全凭证中包含了车企服务器使用车企服务器的证书对安全凭证中的部分内容生成的数字签名，用以保证安全凭证的完整性，保证安全凭证不被篡改。具体的，车企服务器使用车企服务器的证书对应的私钥对Token的头域和净荷部分进行加密，加密后的结果作为车企服务器的数字签名包含在Token中。可选的，Token中还包括车企指定的车辆的合法区域信息和权限信息等。需要说明的是，301和302消息在时间上没有先后关系，这里的编号仅用于区分消息，不限定先后顺序。

表一、Token令牌举例

303：车辆需要获取证书或更新证书的时候，向车联网服务器发送证书请求，请求车联网服务器为其申请证书。为方便描述，车辆向车联网服务器发送的证书请求，在本申请实施例中也被称为第一证书请求。第一证书请求中携带302步骤中获得的安全凭证和公钥Kp2。安全凭证中的车辆标识用于向车联网服务器证明自己的身份。Kp2为车辆根据预置的(如车辆生产阶段预置的)根密钥生成的密钥对(公钥Kp2，私钥Kq2)中的公钥，其中私钥Kq2由车辆自己保存，公钥Kp2通过车联网服务器带给证书服务器，以使证书服务器在签发给车辆的证书中包含此公钥Kp2。可选的，车辆还可以生成另外一对密钥(公钥Kp3，私钥Kq3)，车辆保留其中的私钥Kq3，在发给车联网服务器的请求消息中携带公钥Kp3，通过车联网服务器将公钥Kp3带给证书服务器，证书服务器使用Kp3对签发的证书进行加密，降低证书由车联网服务器发送给车辆的过程中的安全风险，如防止车联网服务器对证书进行篡改。需要说明的是，由于车辆预置了车联网服务器的证书，车联网服务器预置了车辆的预配置证书，车辆和车联网服务器间可以互相认证对方的身份，建立双向认证的安全传输通道，如TLS连接。车辆和车联网服务器间的安全传输通道可以在发送证书请求之前建立，也可以在发送证书请求后再建立，不同之处在于，如果安全传输通道在车辆发送证书请求之后建立，则车联网服务器在收到证书请求时，由于尚未与车辆建立安全连接，暂不处理车辆的证书请求，待安全传输通道建立后，再处理车辆的证书请求。

304：车联网服务器收到车辆的第一证书请求，提取请求中的Token，根据预置的车企服务器的证书，验证Token中包含的车企服务器的数字签名。具体的，车联网服务器使用车企服务器的证书中的公钥解密Token中车企服务器的数字签名，将解密后的数字签名的内容与Token中头域和净荷的内容进行对比，如果解密后的数字签名的内容与Token中头域和净荷的内容一致，则数字签名验证通过。车联网服务器进一步提取Token中的车辆的标识，与预置的车辆的预配置证书中的车辆的标识进行比较，如果Token中携带的车辆的标识和车辆的预配置证书中的车辆的标识一致，则车辆的身份验证通过。通过304步骤，车联网服务器在传输层安全通道的基础上，进一步对应用层传输的车辆身份进行了安全认证，提升了安全等级。如果身份验证未通过，则车联网服务器丢弃车辆的证书请求消息，无需进行进一步的处理。

305：车联网服务器根据车辆的合法区域信息和权限信息中的至少一种，选定一个假名证书服务器。如果Token中包含了合法区域信息和权限信息，则以Token中包含的合法区域信息和权限信息为准选择假名证书服务器并发送第二证书请求；如果Token中没有包含合法区域信息和权限信息，则以301步骤中从车企服务器获取的车辆的合法区域信息和权限信息为准选择假名证书服务器并发送第二证书请求。

306：车联网服务器向选定的假名证书服务器发送第二证书请求。该请求中包含车辆的公钥Kp2。可选的，还包含指示信息，车辆的公钥Kp3，车辆的权限信息，以及车联网服务器的数字签名等一项或多项信息。请求中包含的指示信息，用于指示证书服务器该请求为车联网服务器代替车辆发送的证书请求。请求中包含的Kp2，用于使假名证书服务器在假名证书中包含此公钥信息。请求中包含的车辆的公钥Kp3，用于使假名证书服务器使用Kp3对签发给车辆的假名证书进行加密，由于只有车辆拥有与Kp3对应的私钥Kq3，因此只有车辆可以解密该假名证书，防止假名证书在传输过程中被篡改。请求中包含的合法区域信息和权限信息，用于使证书服务器在签发的证书中包含证书服务器授权的权限信息。请求中包含的车联网服务器的数字签名，则用于使证书服务器验证车联网服务器的身份，实现消息传输的完整性保护。

307：假名证书服务器为车辆签发假名证书并发送给车联网服务器。假名证书中包括车辆的公钥Kp2，还可能包括假名证书服务器为车辆授权的权限信息等其它信息。在306消息中包含Kp3的情况下，假名证书服务器使用Kp3对假名证书加密后，再发送给车联网服务器。本申请对假名证书的格式不做限定，可以是遵从IEEE 1609.2规范的证书，也可以是其它格式的证书。

308：车联网服务器将假名证书或加密后的假名证书发送给车辆。

本领域技术人员应该理解的是，虽然图3以假名证书服务器为例进行证书申请的方法流程说明，但图3所示的方法流程，适用于任何类型的证书服务器，车辆和车联网服务器还可以使用图3所示的方法流程向其他类型的证书服务器申请对应的证书。

图2所示的方法，车联网服务器在收到201第一证书请求后，不仅可以向一个证书服务器发送第二证书请求，还可以向多个证书服务器发送证书请求，请求多个证书。图4给出了一种车联网服务器向多个证书服务器申请证书的实例。

与图3相比，图4中包含两个证书服务器，一个注册证书服务器，一个假名证书服务器。下面对比图3所述的方法，对图4的方法进行描述，主要描述与图3不同之处，与图 3相同之处，不再赘述。

400：图3中300步骤所描述的预置条件仍然适用于图4中所述的方法，除此之外，车联网服务器和注册证书服务器还需要预置对方的证书，可选的，车联网服务器和注册证书服务器间可以使用对方的证书建立传输层安全通道。

401-404：参考图3中301-304步骤的描述。

405：车联网服务器根据车辆的合法区域信息和权限信息中的至少一种，选定一个注册证书服务器。

406：车联网服务器向选定的注册服务器发送注册证书请求，请求中包含车辆的标识，车辆的权限信息和车辆的公钥Kp1。其中Kp1可以是车辆在403消息中带给车联网服务器的，也可以是车联网服务器从车辆的预配置证书中提取的公钥。与306消息类似，注册证书请求中还可以包含指示信息和车联网服务器的数字签名。其中指示信息和车联网服务器的数字签名的作用参见306步骤的描述。

407：注册证书服务器为车辆签发注册证书并发送给车联网服务器。注册证书的格式可以是IEEE 1609.2格式，也可以是其它格式。注册证书服务器为车辆签发注册证书中包括注册证书服务器授权的权限信息，车辆的公钥Kp1，还可能包括注册证书服务器授权的合法区域信息等信息。

408：车联网服务器根据注册证书中包含车辆的合法区域信息和权限信息中的至少一种，选定一个假名证书服务器。

409：车联网服务器向选定的假名证书服务器发送假名证书请求。请求中包括车辆的公钥Kp2，注册证书，还可能包括指示信息，车辆的公钥Kp3，车辆的权限信息，以及车联网服务器的数字签名等一项或多项信息。

410：假名证书服务器为车辆签发假名证书并发送给车联网服务器。具体参见307步骤。

411：车联网服务器将获得的注册证书和假名证书发送给车辆。车辆在后续发送的V2X消息中携带该证书，并使用该证书对消息进行签名。

需要说明的是，图4所示的方法中，车联网服务器首先要获得车辆的注册证书，然后再申请假名证书。注册证书的有效时长比假名证书的有效时长要长，不是申请假名证书的时候都要去申请注册证书，如果在404步骤后，车联网服务器确定车辆已经有对应的注册证书，则405-407步骤可以跳过，直接执行408步骤。

在图3和图4所示的方法中，车辆在303和403消息中向车联网服务器发送的安全凭证由车企服务器生成并预置在车辆中。实际部署中，车辆也可以自己生成安全凭证，如图5所示，本申请实施例提供图2所示方法的另一种具体实现方式。下面对比图4所述的方法，对图5的方法进行描述，主要描述与图4不同之处，与图4相同之处，不再赘述。

500：图4中400步骤所述的预置条件适用于图5中所述的方法，除此之外，车辆上还需要预置车辆的标识，车辆的标识可以是车企服务器在生产阶段配置在车辆上的，也可以是通过其它方式配置。

501：参照401的描述：

503：与图4中所述的方法相比，图5所述的方法不需要车企服务器为车辆分配并传递安全凭证，及图5中不再需要类似302或402的步骤。与303或403步骤相比，车辆在发送的第一证书请求中包括车辆的标识，公钥Kp2，可选的，还包括公钥Kp3。车辆使用预配置证书对第一证书请求消息进行签名。

504：车联网服务器收到车辆的第一证书请求，使用车辆的预配置证书验证503消息的数字签名。验证成功后，车联网服务器提取第一证书请求中的车辆的标识，与预置的车辆的预配置证书中的车辆的标识进行比较，如果第一证书请求中携带的车辆的标识和车辆的预配置证书中的车辆的标识一致，则车辆的身份验证通过。

505-511：与图4中的405-411相同，这里不再赘述。

本申请实施例中车联网服务器确定证书服务器的方法(如203，或305，或405，或408，或505，或508等步骤)，可能有多种实现方式。考虑到各地网络的部署情况或政策法规的差异性，或不同业务场景下的业务特点，车联网服务器可能通过多种方式进行证书服务器的选择，本申请实施例对此不进行限定。如，车联网服务器不仅可以根据车辆的合法区域或车辆的权限信息进行证书服务器的选择，车联网服务器还可以根据车辆当前的位置信息进行证书服务器的选择。即车辆在第一证书请求中携带车辆的位置信息，如全球定位系统(Global Positioning System，GPS)定位信息，车联网服务器根据车辆的位置信息，选择注册证书服务器，假名证书服务器等证书服务器。

上述主要从方法流程的角度对本发明实施例提供的方案进行了介绍。可以理解的是，本申请实施例中所述的车辆，车企服务器，车联网服务器和各种证书服务器等实体为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的方法流程，本发明能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

例如，如上实施例中的集成在车联网终端上的车联网通信装置，车企服务器，车联网服务器和各种证书服务器均可以由如图6所示的装置来实现。

装置600包括至少一个处理器601，通信总线602，存储器603以及至少一个通信接口604。装置600可以是一个通用计算机或服务器或者是一个专用计算机或服务器。

处理器601可以是一个通用中央处理器(central processing unit，CPU)，微处理器，特定应用集成电路(application-specific integrated circuit，ASIC)，或一个或多个用于控制本发明方案程序执行的集成电路。

通信总线602可包括一通路，在上述组件之间传送信息。

通信接口604，可以是任何收发器或IP端口或总线接口等，用于与内部或外部设备或装置或通信网络通信，如以太网，无线接入网(radio access network，RAN)，无线局域网(wireless local area networks，WLAN)等。如车联网通信装置为集成在车辆内部的功能单元时，车联网通信装置的通信接口604可能包括与车辆外部网络进行通信的收发器，还包括与车辆其它内部单元通信的总线接口，如控制器局域网络(Controller Area Network,CAN)总线接口等。

存储器603可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过总线与处理器相连接。存储器也可以和处理器集成在一起。

其中，存储器603用于存储执行本发明方案的应用程序代码，并由处理器601来控制执行。处理器601用于执行存储器603中存储的应用程序代码，从而实现本专利方法中车企服务器，车联网服务器或各种证书服务器的功能。

在具体实现中，作为一种实施例，处理器601可以包括一个或多个CPU，例如图6中的CPU0和CPU1。

在具体实现中，作为一种实施例，装置600可以包括多个处理器，例如图6中的处理器601和处理器608。这些处理器中的每一个可以是一个单核(s ingle-CPU)处理器，也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

在具体实现中，作为一种实施例，装置600还可以包括输出设备605和输入设备606。输出设备605和处理器601通信，可以以多种方式来显示信息。例如，输出设备605可以是液晶显示器(liquid crystal display，LCD),发光二级管(light emitting diode，LED)显示设备，阴极射线管(cathode ray tube，CRT)显示设备，或投影仪(projector)等。输入设备606和处理器601通信，可以以多种方式接受用户的输入。例如，输入设备506可以是鼠标、键盘、触摸屏设备或传感设备等。

当图6所示的装置为芯片时，通信接口604的功能/实现过程还可以通过管脚或电路等来实现，所述存储器为所述芯片内的存储单元，如寄存器、缓存等，所述存储单元还可以是位于所述芯片外部的存储单元。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机程序可以加载在云端服务器上，也可以加载在本地部署的计算机服务器上。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。

本领域技术人员应该理解的是，以上所述仅为本申请的具体实施方式而已，并不用于限定本申请的保护范围，凡在本申请所述实施例的基础之上，所做的任何等同替换、改进等，均应包括在本发明的保护范围之内。在权利要求中，“包括”或“包含”排除其他组成部分或步骤，“一”或“一个”不排除多个的情况。单个处理器或其它单元可以实现权利要求中列举的若干项功能。不同的从属权利要求中记载了某些措施，但这并不表示这些措施不能结合起来产生良好的效果。

Claims

一种申请数字证书的方法，其特征在于，

车联网服务器接收车辆的第一证书请求，所述第一证书请求中包括所述车辆的安全凭证；所述车联网服务器根据所述安全凭证对所述车辆的身份进行验证；

所述车辆的身份验证通过的情况下，所述车联网服务器根据所述车辆的合法区域信息，权限信息和所述车辆的地理位置信息中的至少一种，确定证书服务器；

所述车联网服务器向所述证书服务器发送第二证书请求；

所述车联网服务器接收所述证书服务器签发的证书，并将所述证书发送给所述车辆。
根据权利要求1所述的方法，其特征在于，所述车联网服务器预置所述车辆的预配置证书，所述车辆的预配置证书中包括所述车辆的标识。
根据权利要求2所述的方法，其特征在于，所述车联网服务器根据所述安全凭证对所述车辆的身份进行验证之前，所述方法还包括：

所述车联网服务器根据所述车辆的预配置证书与所述车辆建立双向安全通道。
根据权利要求2-3任一所述的方法，其特征在于，所述车联网服务器预置车企服务器的证书，所述安全凭证由所述车企服务器向所述车辆发布，所述安全凭证中包括用于标识所述车辆的第一标识和所述车企服务器的数字签名；

所述车联网服务器根据所述安全凭证对所述车辆的身份进行验证，具体包括：

所述车联网服务器根据所述车企服务器的证书验证所述车企服务器的数字签名；

所述车企服务器的数字签名验证通过的情况下，所述车联网服务器判断所述安全凭证中的第一标识和所述车辆的预配置证书中所述车辆的标识是否一致；

如果一致，则所述车辆的身份验证通过。
根据权利要求2-3任一所述的方法，其特征在于，所述第一证书请求中还包括所述车辆的第一标识，所述安全凭证为所述车辆的数字签名；

所述车联网服务器根据所述安全凭证对所述车辆的身份进行验证，具体包括：

所述车联网服务器根据所述车辆的预配置证书验证所述车辆的数字签名；

所述车辆的数字签名验证通过的情况下，所述车联网服务器判断所述第一证书请求中包括的所述第一标识和所述车辆的预配置证书中所述车辆的标识是否一致；如果一致，则所述车辆的身份验证通过。
根据权利要求4所述的方法，其特征在于，所述车辆的安全凭证中还包括所述车辆的合法区域信息和权限信息中的至少一种，所述车联网服务器根据所述安全凭证中的所述车辆的合法区域信息和权限信息中的至少一种，确定证书服务器。
根据权利要求5所述的方法，其特征在于，所述车联网服务器预置所述车辆的合法区域信息和权限信息中的至少一种，所述车联网服务器根据预置的所述车辆的合法区域信息和权限信息中的至少一种，确定证书服务器。
根据权利要求5所述的方法，其特征在于，所述第一证书请求中还包括所述车辆的地理位置信息，所述车联网服务器根据所述车辆的地理位置信息，确定证书服务器。
根据权利要求1-8任一所述的方法，其特征在于，所述证书服务器为假名证书服务器，所述证书服务器签发的证书为假名证书。
根据权利要求9所述的方法，其特征在于，所述车联网服务器确定所述假名证书服务器之前，所述车联网服务器向注册证书服务器申请注册证书；所述车联网服务器根据所述注册证书服务器签发的注册证书中的权限信息，确定所述假名证书服务器。
根据权利要求10所述的方法，其特征在于，所述车联网服务器向注册证书服务器申请注册证书，具体包括，

所述车联网服务器根据所述安全凭证中或预置的所述车辆的合法区域信息和权限信息，还有所述车辆的地理位置信息中的至少一种，确定注册证书服务器；

所述车联网服务器向所述注册证书服务器发送注册证书请求，所述注册证书请求中包括所述车辆的标识和第一公钥Kp1，还包括所述安全凭证中或预置的所述合法区域信息和所述权限信息中的至少一种，所述Kp1为所述车辆的预配置证书中包括的信息或所述车辆发送的证书请求中包含的信息；

所述车联网服务器接收所述注册服务器为所述车辆签发的注册证书，所述注册证书中包括所述注册证书服务器为所述车辆授权的权限信息和所述Kp1。
根据权利要求1-11任一所述的方法，其特征在于，所述来自车辆的第一证书请求中还包括第二公钥Kp2，所述车联网服务器向所述假名证书服务器发送的第二证书请求中包括所述Kp2，以使所述证书服务器签发的证书中包括所述Kp2。
根据权利要求1-12任一所述的方法，其特征在于，

所述来自车辆的第一证书请求中还包括第三公钥Kp3；

所述车联网服务器向所述证书服务器发送的第二证书请求中包括所述Kp3；

所述车联网服务器接收的所述证书服务器签发的证书，为所述证书服务器使用所述Kp3加密后的证书。
根据权利要求1-13任一所述的方法，其特征在于，

所述车联网服务器向所述证书服务器发送的第二证书请求中包含第一指示，所述第一指示用于指示所述第二证书请求为所述车联网服务器代替所述车辆发送的请求。
根据权利要求1-14任一所述的方法，其特征在于，

所述车联网服务器向所述证书服务器发送的第二证书请求中还包含所述车联网服务器的数字签名。
根据权利要求1-15任一所述的方法，其特征在于，

所述车联网服务器向所述证书服务器发送的第二证书请求中还包含所述车辆的权限信息。
一种申请数字证书的方法，其特征在于，

车联网通信装置向车联网服务器发送第一证书请求，所述车联网通信装置集成在车辆中，所述第一证书请求中包括所述车辆的安全凭证，所述第一证书请求用于请求所述车联网服务器为所述车辆向证书服务器申请证书，所述安全凭证用于使车联网服务器对所述车辆的身份进行验证；

所述车联网通信装置接收所述车联网服务器为所述车辆申请的证书。
根据权利要求17所述的方法，其特征在于，所述安全凭证为车企服务器预置在所述车辆中的，所述安全凭证中包括用于标识所述车辆的第一标识和所述车企服务器的数字签名。
根据权利要求18所述的方法，其特征在于，所述安全凭证中还包括所述车辆的合法区域信息和权限信息中的至少一种，所述车辆的合法区域信息和权限信息中的至少一种用于使所述车联网服务器确定证书服务器。
根据权利要求17所述的方法，其特征在于，所述第一证书请求中还包括所述车辆的第一标识，所述安全凭证为所述车辆的数字签名。
根据权利要求20所述的方法，其特征在于，所述车辆的数字签名为所述车辆使用所述车辆的预配置证书对应的私钥生成的数字签名。
根据权利要求21所述的方法，其特征在于，所述第一证书请求中还包括所述车辆的地理位置信息，所述车辆的地理位置信息用于是所述车联网服务器确定证书服务器。
根据权利要求17-22任一所述的方法，其特征在于，所述车联网服务器为所述车辆申请的证书为注册证书和假名证书中的至少一种。
根据权利要求17-23任一所述的方法，其特征在于，所述第一证书请求中还包括第二公钥Kp2，所车联网通信装置接收的证书中包括所述Kp2。
根据权利要求17-24任一所述的方法，其特征在于，所述来自车辆的第一证书请求中还包括第三公钥Kp3，所述车联网通信装置接收的证书为使用所述Kp3加密的证书。
一种申请数字证书的系统，其特征在于，包括车联网通信装置和车联网服务器，其中，所述车联网通信装置用于向所述车联网服务器发送第一证书请求，所述车联网通信装置集成在车辆中，所述第一证书请求中包括所述车辆的安全凭证；

所述车联网服务器用于根据所述安全凭证对所述车辆的身份进行验证，并在所述车辆的身份验证通过的情况下，向证书服务器发送第二证书请求，并将所述证书服务器签发的证书发送给所述车联网通信装置，所述证书服务器为所述车联网服务器根据所述车辆的合法区域信息，权限信息和所述车辆的地理位置信息中的至少一种而确定。
根据权利要求26所述的系统，其特征在于，所述车联网服务器预置所述车辆的预配置证书，所述车辆的预配置证书中包括所述车辆的标识。
根据权利要求27所述的系统，其特征在于，所述车联网服务器还用于根据所述车辆的预配置证书与所述车辆建立双向安全通道。
根据权利要求27-28任一所述的系统，其特征在于，所述车联网服务器预置车企服务器的证书，所述安全凭证由所述车企服务器向所述车辆发布，所述安全凭证中包括用于标识所述车辆的第一标识和所述车企服务器的数字签名；

所述车联网服务器用于根据所述车企服务器的证书验证所述车企服务器的数字签名；

所述车企服务器的数字签名验证通过的情况下，所述车联网服务器还用于判断所述安全凭证中的第一标识和所述车辆的预配置证书中所述车辆的标识是否一致，如果一致，则所述车辆的身份验证通过。
根据权利要求27-28任一所述的系统，其特征在于，所述第一证书请求中还包括所述车辆的第一标识，所述安全凭证为所述车辆的数字签名；

所述车联网服务器用于根据所述车辆的预配置证书验证所述车辆的数字签名；

所述车辆的数字签名验证通过的情况下，所述车联网服务器还用于判断所述第一证书请求中包括的所述第一标识和所述车辆的预配置证书中所述车辆的标识是否一致，如果一致，则所述车辆的身份验证通过。
根据权利要求29所述的系统，其特征在于，所述车辆的安全凭证中还包括所述车辆的合法区域信息和权限信息中的至少一种，所述车联网服务器用于根据所述安全凭证中的所述车辆的合法区域信息和权限信息中的至少一种，确定证书服务器。
根据权利要求30所述的系统，其特征在于，所述车联网服务器预置所述车辆的合法区域信息和权限信息中的至少一种，所述车联网服务器用于根据预置的所述车辆的合法区域信息和权限信息中的至少一种，确定证书服务器。
根据权利要求30所述的系统，其特征在于，所述第一证书请求中还包括所述车辆的地理位置信息，所述车联网服务器用于根据所述车辆的地理位置信息，确定证书服务器。
根据权利要求26-33任一所述的系统，其特征在于，所述证书服务器为假名证书服务器，所述证书服务器签发的证书为假名证书。
根据权利要求34所述的系统，其特征在于，所述车联网服务器确定所述假名证书服务器之前，所述车联网服务器还用于向注册证书服务器申请注册证书；所述车联网服务器用于根据所述注册证书服务器签发的注册证书中的权限信息，确定所述假名证书服务器。
根据权利要求35所述的系统，其特征在于，

所述车联网服务器用于根据所述安全凭证中或预置的所述车辆的合法区域信息和权限信息，还有所述车辆的地理位置信息中的至少一种，确定注册证书服务器；

所述车联网服务器还用于向所述注册证书服务器发送注册证书请求，所述注册证书请求中包括所述车辆的标识和第一公钥Kp1，还包括所述安全凭证中或预置的所述合法区域信息和所述权限信息中的至少一种，所述Kp1为所述车辆的预配置证书中包括的信息或所述车辆发送的证书请求中包含的信息；

所述车联网服务器还用于接收所述注册服务器为所述车辆签发的注册证书，所述注册证书中包括所述注册证书服务器为所述车辆授权的权限信息和所述Kp1。
根据权利要求26-36任一所述的系统，其特征在于，所述来自车联网通信装置的第一证书请求中还包括第二公钥Kp2，所述车联网服务器向所述假名证书服务器发送的第二证书请求中包括所述Kp2，以使所述证书服务器签发的证书中包括所述Kp2。
根据权利要求26-37任一所述的系统，其特征在于，

所述来自车联网通信装置的第一证书请求中还包括第三公钥Kp3；

所述车联网服务器向所述证书服务器发送的第二证书请求中包括所述Kp3；

所述车联网服务器接收的所述证书服务器签发的证书，为所述证书服务器使用所述Kp3加密后的证书。
根据权利要求26-38任一所述的系统，其特征在于，

所述车联网服务器向所述证书服务器发送的第二证书请求中包含第一指示，所述第一指示用于指示所述第二证书请求为所述车联网服务器代替所述车辆发送的请求。
一种车联网服务器，其特征在于，包括：通信接口、存储器和处理器，

所述通信接口用于与车联网服务器外部的装置或设备进行通信；

所述存储器用于存储程序；

所述处理器用于执行所述存储器中存储的程序，当所述程序被执行时，所述车联网服务器执行如权利要求1-16任一所述的方法。
一种车联网通信装置，其特征在于，包括：通信接口、存储器和处理器，

所述通信接口用于与车联网通信装置外部的装置或设备进行通信；

所述存储器用于存储程序；

所述处理器用于执行所述存储器中存储的程序，当所述程序被执行时，所述车载通信装置执行如权利要求17-25任一所述的方法。
一种计算机可读存储介质，其特征在于，包括计算机指令，当所述计算机指令在计算机上运行时，使得所述计算机执行如权利要求1至25中任一项所述的方法。