WO2021184313A1

WO2021184313A1 - 证书列表更新方法及装置

Info

Publication number: WO2021184313A1
Application number: PCT/CN2020/080261
Authority: WO
Inventors: 彭建芬
Original assignee: 华为技术有限公司
Priority date: 2020-03-19
Filing date: 2020-03-19
Publication date: 2021-09-23
Also published as: JP2023518402A; CN112740617A; CN114629636A; EP4113896A1; EP4113896A4; CN112740617B; US20230015877A1; KR20220154195A

Abstract

本申请实施例提供一种证书列表更新方法及装置，涉及智能网联车技术领域，用于根据获取到的证书记录，更新存储于该第一车辆的证书列表，以减少第一车辆的车载设备中需要存储的证书记录，保证第一车辆的车载设备内存储的证书列表的完整性。该方法包括：获取证书记录，所述证书记录是由网络侧设备发送给所述第一车辆的，所述证书记录包括至少一个被撤销的证书或有效证书；根据所述证书记录更新存储于所述第一车辆的证书列表，所述证书列表用于记录属于所述第一车辆的设备的被撤销的证书或有效证书，或用于记录属于第一车辆组的设备的被撤销的证书或有效证书，其中，所述第一车辆组包括所述第一车辆。

Description

证书列表更新方法及装置

技术领域

本申请涉及智能网联车技术领域，尤其涉及一种证书列表更新方法及装置。

背景技术

随着智能化、网联化的发展，网络侧设备(例如服务器)或者车载设备可以通过车联网技术跟踪了解车辆的情况，车辆的功能也不断增加，为用户的生活带来便利。在车联网系统中，非法设备可以通过车联网系统发送干扰数据给车辆，或者监控车辆信息并控制车辆，从而干扰车辆功能的实现，威胁车辆安全。为了保证车辆安全，通常在车载设备启动后，或者在使用车辆某项功能(例如自动驾驶)前，基于数字证书也就是车载设备的设备证书，对相关的车载设备进行认证，以确认相关车载设备的身份，保证相关车载设备的合法性。其中，数字证书的有效性可以通过存储在车载设备中的私钥来保障。若数字证书因私钥泄露等原因失效，则证书签发机构(certificate authority，CA)撤销该数字证书，并将该数字证书放入其公开发布的数字证书撤销列表(certificate revocation list，CRL)中，以便于车辆获知该CRL。

在现有技术中，通常采用包括监管节点(例如CA)和运营节点(例如车载设备)的联盟区块链系统，对公开发布的CRL进行维护。每个运营节点上都存储有一条相同的注销区块链，该注销区块链中包括所有的运营节点的证书撤销记录。若注销区块链中存储的证书撤销记录较多，则可能会由于存储注销区块链的运营节点的存储空间有限，出现运营节点无法存储所有的证书撤销记录的情况，导致部分证书撤销记录丢失，从而威胁车辆安全。

发明内容

本申请提供一种证书列表更新方法及装置，根据由网络侧设备发送给第一车辆的证书记录，更新存储于第一车辆的证书列表，以减少第一车辆中需要存储的证书记录，保证第一车辆的车载设备内存储的证书列表的完整性。

为达到上述目的，本申请采用如下技术方案：

第一方面，本申请实施例提供一种证书列表更新方法，涉及通信技术领域。该方法包括：获取证书记录，该证书记录是由网络侧设备发送给第一车辆的，该证书记录包括至少一个被撤销的证书或有效证书。根据证书记录更新存储于第一车辆的证书列表，该证书列表用于针对第一车辆记录属于第一车辆的设备的被撤销的证书或有效证书，或用于针对第一车辆组记录属于第一车辆组的设备的被撤销的证书或有效证书，其中，第一车辆组包括第一车辆。该证书列表用于针对第一车辆记录属于第一车辆的设备的被撤销的证书或有效证书，并且不包括非第一车辆的设备的被撤销的证书或有效证书。或者，该证书列表用于针对第一车辆组记录属于第一车辆组的设备的被撤销的证书或有效证书，并且不包括非第一车辆组的设备的撤销的证书或有效证书。

通过上述过程，本申请可以根据包括至少一个被撤销的证书或有效证书的证书记录，更新存储于第一车辆的证书列表。由于该证书列表是针对第一车辆或第一车辆组记录属于第一车辆或第一车辆组的设备的被撤销的证书或有效证书，因此可以减少第一车辆中的车载设备内需要存储的证书记录，在车载设备的存储空间有限的情况下，尽可能保证设备内存储的证书列表的完整性，从而保证车辆安全。

在一种可能的实现方式中，证书记录是由网络侧设备针对第一车辆或第一车辆组生成的，并且该证书记录中的每一个被撤销的证书或有效证书均为属于第一车辆或第一车辆组的设备的证书。

在一种可能的实现方式中，证书记录是由网络侧设备针对第一车辆或第一车辆组生成的，且该证书记录中的每一个被撤销的证书或有效证书均为属于第一车辆或第一车辆组的设备的证书，则根据证书记录更新存储于第一车辆的证书列表，包括：将证书记录中的每一个被撤销的证书或有效证书添加入证书列表中。

通过上述过程，网络侧设备针对第一车辆或第一车辆组生成证书记录，然后第一车辆接收到网络侧设备发送的证书记录，并将该证书记录更新存储于第一车辆的证书列表中。由于第一车辆的证书列表用于存储第一车辆或第一车辆组的证书记录，相对于存储所有车辆的证书记录来说，该证书列表中存储的内容较少，因此可以在车内设备的存储空间有限的情况下，可以尽可能保证第一车辆内存储的证书记录的完整性，从而保证车辆安全。

在一种可能的实现方式中，根据证书记录更新存储与第一车辆的证书列表，包括：确定证书记录中属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书，然后将属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书添加到证书列表中。

通过上述过程，网络侧设备在获取到证书记录后，将证书记录直接发送给第一车辆，第一车辆确定属于第一车辆或第一车辆组的被撤销的证书或有效证书，并将该属于第一车辆或第一车辆组的被撤销的证书或有效证书更新保存到证书列表中。相对于存储所有车辆的证书记录来说，该证书列表中存储的内容较少，因此可以在车内设备的存储空间有限的情况下，可以尽可能保证第一车辆内存储的证书记录的完整性，从而保证车辆安全。

在一种可能的实现方式中，证书列表中还包括属于第二车辆的设备的被撤销的证书或有效证书，该第二车辆为第一车辆组内除第一车辆之外的其他车辆，第二车辆的设备的被撤销的证书或有效证书用于第一车辆对第二车辆进行认证。

通过上述过程，证书列表中还包括与第一车辆属于同一车辆组的第二车辆的证书记录，从而使得第一车辆可以根据证书列表对第二车辆进行认证，从而保证第一车辆组内的车辆之间通信的安全性。

在一种可能的实现方式中，根据证书记录更新存储与第一车辆的证书列表，包括获取第一证书列表数据块的标识，该第一证书列表数据块为更新前的证书列表对应的数据块。然后，根据第一证书列表数据块的标识和证书记录生成更新后的证书列表数据块，该更新后的证书列表数据块中包括区块头和区块体，更新后的证书列表数据块的区块头包括第一证书列表数据块的标识，更新后的证书列表数据块的区块体包括证书记录。

通过上述过程，证书列表中的证书记录是以区块链的形式进行存储的，可以保证证书列表中所存储的证书记录的安全性，从而提高车辆安全性。另外，更新后的证书列表数据块包括区块头和区块体，该区块头包括第一证书列表数据块的标识，该区块体包括证书记录，也就是说该更新后的证书列表数据块中只是新增的证书记录和第一证书列表数据块的标识，而不会重复存储之前的证书记录。因此，更新后的证书列表数据块的体积较小，在车辆内设备的存储空间有限的情况下，可以尽可能的保证第一车辆内存储的证书记录的完整性，从而保证车辆安全。

在一种可能的实现方式中，更新后的证书列表的数据的区块头还包括证书记录的标识。

在一种可能的实现方式中，更新后的证书列表的数据的区块体还包括第一证书列表数据块。

在一种可能的实现方式中，第一证书列表数据块的标识为根据该第一证书列表数据块生成的哈希值，证书记录的标识为根据该证书记录生成的哈希值。

在一种可能的实现方式中，在根据证书记录更新存储于第一车辆的证书列表之前，该方法还包括：根据证书记录中的签名信息对证书记录进行验证，若验证成功，则根据证书记录更新存储于第一车辆的证书列表。

在一种可能的实现方式中，被撤销的证书包括车辆标识、设备标识或设备类型中的一种或多种。有效证书包括车辆标识、设备标识或设备类型中的一种或多种。其中，设备类型包括网联设备和非网联设备，网联设备为车辆中与外界设备，例如其他车辆上的车载设备或网络侧设备，进行通信的车载设备，非网联设备为车辆中通过网联设备与外界设备进行通信的车载设备。

在一种可能的实现方式中，设备标识中包括车辆标识。

相对于现有技术中根据车载设备的设备标识，在数据库中查找该设备标识对应的车载设备所在车辆的标识，在本申请中，车载设备的设备标识中包括其所在车辆的标识，可以实现车载设备与车辆的绑定，使得网络侧设备在下发证书记录时，直接根据车载设备的标识，确定该车载设备所在的车辆，从而提高网络侧设备下发证书记录的效率。

第二方面，本申请实施例提供一种证书列表更新方法，涉及通信技术领域。该方法包括：向第一车辆发送证书记录，该证书记录中包括至少一个被撤销的证书或有效证书，证书记录用于第一车辆更新存储于第一车辆的证书列表，该证书列表用于针对第一车辆记录属于第一车辆的设备的被撤销的证书或有效证书，并且不包括非第一车辆的设备的被撤销的证书或有效证书。或者，该证书列表用于针对第一车辆组记录属于第一车辆组的设备的被撤销的证书或有效证书，并且不包括非第一车辆组的设备的被撤销的证书或有效证书。其中，第一车辆组包括第一车辆。

在一种可能的实现方式中，至少一个被撤销的证书或有效证书均为属于第一车辆或第一车辆组的设备的证书，在向第一车辆发送证书记录之前，该方法还包括：确定第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书。然后根据属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书，生成针对第一车辆或第一车辆组的证书记录。

在一种可能的实现方式中，确定属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书，包括：根据被撤销的证书或有效证书中的设备标识或车辆标识，确定属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书。

在一种可能的实现方式中，确定属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书，包括：通过查询车辆证书管理系统，确定属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书。

在一种可能的实现方式中，在生成证书记录之前，该方法还包括：网络侧设备确定至少一个被撤销的证书对应的设备中不包括网联设备，该网联设备为第一车辆的网联设备。然后网络侧设备向第一车辆发送证书记录，包括向第一车辆内的网联设备发送证书记录。其中，第一车辆的网联设备为第一车辆中用于与外界设备，例如其他车辆上的车载设备或者网络侧设备等，进行通信的车载设备。

在一种可能的实现方式中，在生成证书记录之前，该方法还包括：确定至少一个被撤销的证书对应的设备中包括网联设备，即第一车辆的网联设备。然后，网络侧设备通知第一车辆的用户进行网联设备的重新注册，在确定用户已完成网联设备的重新注册后，向第一车辆发送证书记录。其中，向第一车辆发送证书记录包括：向第一车辆内的网联设备发送证书记录。

在一种可能的实现方式中，设备标识中包括车辆标识。

在一种可能的实现方式中，证书列表包括属于第二车辆的设备的被撤销的证书或有效证书，第二车辆为第一车辆组内除第一车辆之外的其他车辆，第二车辆的设备的被撤销的证书或有效证书用于第一车辆对第二车辆进行认证。

第三方面，本申请实施例提供一种证书列表更新装置，该装置用于第一车辆，包括获取单元和更新单元：获取单元，用于获取证书记录。其中，证书记录是由网络侧设备发送给所述第一车辆的，证书记录包括至少一个被撤销的证书或有效证书。更新单元，用于根据证书记录更新存储于第一车辆的证书列表，该证书列表用于针对第一车辆记录属于第一车辆的设备的被撤销的证书或有效证书，并且不包括非第一车辆的设备的被撤销的证书或有效证书。或者，该证书列表用于针对第一车辆组记录属于第一车辆组的设备的被撤销的证书或有效证书，并且不包括非第一车辆组的设备的被撤销的证书或有效证书。其中，第一车辆组包括第一车辆。

在一种可能的实现方式中，证书记录是由网络侧设备针对第一车辆或第一车辆组生成的，并且证书记录中的每一个被撤销的证书或有效证书均为属于第一车辆或第一车辆组的设备的证书。

在一种可能的实现方式中，更新单元，用于根据证书记录更新存储于第一车辆的证书列表，包括：将证书记录中的每一个被撤销的证书或有效证书添加入证书列表中。

在一种可能的实现方式中，更新单元，用于根据证书记录更新存储于第一车辆的证书列表，包括：确定证书记录中属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书，然后将属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书添加到证书列表中。

在一种可能的实现方式中，证书列表还包括属于第二车辆的设备的被撤销的证书或有效证书，第二车辆为第一车辆组内除第一车辆之外的其他车辆，第二车辆的设备的被撤销的证书或有效证书用于第一车辆对第二车辆进行认证。

在一种可能的实现方式中，更新单元，用于根据证书记录更新存储于第一车辆的证书列表，包括：获取第一证书列表数据块的标识，第一证书列表数据块为更新前的证书列表对应的数据块，然后根据第一证书列表数据块的标识和证书记录生成更新后的证书列表数据块，更新后的证书列表数据块包括区块头和区块体，更新后的证书列表数据块的区块头包括第一证书列表数据块的标识，更新后的证书列表数据块的区块体包括证书记录。

在一种可能的实现方式中，更新后的证书列表数据块的区块头还包括证书记录的标识。

在一种可能的实现方式中，更新后的证书列表数据块的区块体还包括第一证书列表数据块。

在一种可能的实现方式中，第一证书列表数据块的标识为根据第一证书列表数据块生成的哈希值，证书记录的标识为根据证书记录生成的哈希值。

在一种可能的实现方式中，更新单元，用于根据证书记录更新第一车辆或第一车辆组的证书列表之前，该装置还包括：验证单元，用于根据证书记录中的签名信息对证书记录进行验证。该更新单元，还用于若验证成功，则根据证书记录更新存储于第一车辆的证书列表。

在一种可能的实现方式中，被撤销的证书包括车辆标识、设备标识或设备类型中的一种或多种。有效证书包括车辆标识、设备标识或设备类型中的一种或多种。

在一种可能的实现方式中，设备标识中包括车辆标识。

第四方面，本申请提供一种证书更新装置，该装置用于网络侧设备，包括：发送单元，用于向第一车辆发送证书记录。其中，证书记录包括至少一个被撤销的证书或有效证书，该证书记录用于第一车辆更新存储于该第一车辆的证书列表。该证书列表用于针对第一车辆记录属于第一车辆的设备的被撤销的证书或有效证书，并且不包括非第一车辆的设备的被撤销的证书或有效证书。或者，该证书列表用于针对第一车辆组记录属于第一车辆组的设备的被撤销的证书或有效证书，并且不包括非第一车辆组的设备的被撤销的证书或有效证书。其中，第一车辆组包括第一车辆。

在一种可能的实现方式中，至少一个被撤销的证书或有效证书均为属于第一车辆或第一车辆组的设备的证书，在发送单元，用于向第一车辆发送证书记录之前，该装置还包括：确定单元，用于确定属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书。生成单元，用于根据属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书，生成针对第一车辆或第一车辆组的证书记录。

在一种可能的实现方式中，确定单元，用于确定属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书，包括：根据被撤销的证书或有效证书中的设备标识或车辆标识，确定属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书。

在一种可能的实现方式中，确定单元，用于确定属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书，包括：通过查询车辆证书管理系统，确定属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书。

在一种可能的实现方式中，在生成单元，用于根据属于第一车辆或第一车辆组的设备的被撤销的证书或有效证书，生成针对第一车辆或第一车辆组的证书记录之前，该装置还包括：确定单元，用于确定至少一个被撤销的证书对应的设备不包括网联设备，该网联设备为第一车辆的网联设备。发送单元，用于向第一车辆发送证书记录，包括：向第一车辆内的网联设备发送证书记录。其中，第一车辆的网联设备为第一车辆中用于与外界设备，例如其他车辆上的车载设备或者网络侧设备等，进行通信的车载设备。

在一种可能的实现方式中，在生成单元，用于根据属于第一车辆或第一车辆组的设备的被撤销的证书或有效证书，生成证书记录之前，该装置还包括：确定单元，用于确定至少一个被撤销的证书对应的设备包括网联设备，即第一车辆的网联设备。通知单元，用于通知第一车辆的用户进行网联设备的重新注册。确定单元，还用于确定用户已完成该网联设备的重新注册。发送单元，用于向第一车辆发送证书记录，包括：向第一车辆内的网联设备发送证书记录。

在一种可能的实现方式中，设备标识中包括车辆标识。

在一种可能的实现方式中，证书列表还包括属于第二车辆的设备的被撤销的证书或有效证书，第二车辆为所述第一车辆组内除第一车辆之外的其他车辆，第二车辆的设备的被撤销的证书或有效证书用于第一车辆对所述第二车辆进行认证。

第五方面，本申请还提供一种证书列表更新装置，包括处理器和存储器；其中，存储器用于存储计算机程序指令，处理器用于运行计算机程序指令以使该证书列表更新装置执行如第一方面所述的证书列表更新方法。

第六方面，本申请还提供一种证书列表更新装置，包括处理器和存储器；其中，存储器用于存储计算机程序指令，处理器用于运行计算机程序指令以使该证书列表更新装置执行如第二方面所述的证书列表更新方法。

第七方面，本申请还提供一种计算机可读存储介质，包括计算机指令，当计算机指令被处理器运行时，使得证书列表更新装置执行如第一方面或第二方面所述的证书列表更新方法。

第八方面，本申请还提供一种计算机程序产品，当计算机程序产品在处理器上运行时，使得证书列表更新装置执行如第一方面或第二方面所述的证书列表更新方法。

第九方面，本申请还提供一种证书列表更新系统，该系统中包括如第三方面所述的证书列表更新装置和如第四方面所述的证书列表更新装置。

第十方面，本申请还提供一种证书列表更新系统，该系统中包括如第五方面所述的证书列表更新装置和如第六方面所述的证书列表更新装置。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍。

图1(a)为本申请实施例提供的一种车辆的数字化认证场景的示意图；

图1(b)为本申请实施例提供的另一种车辆的数字化认证场景的示意图；

图2为本申请实施例提供的一种证书列表更新方法的流程图；

图3为本申请实施例提供的一种证书列表更新方法的流程图；

图4为本申请实施例提供的网络侧设备获取被撤销的证书或有效证书的流程图；

图5为本申请实施例提供的向原始设备生产商进行设备注册的方法流程图；

图6为本申请实施例提供的一种证书列表更新方法的流程图；

图7为本申请实施例提供的一种证书列表更新方法的流程图；

图8为本申请实施例提供的一种证书列表更新装置的结构框图；

图9为本申请实施例提供的一种证书列表更新装置的结构框图；

图10为本申请实施例提供的一种证书列表更新装置的结构框图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了解决现有技术中由于车内设备的存储空间有限，若车内设备需要存储的证书记录较多，则可能会出现部分证书记录丢失的情况，从而威胁车辆安全的问题，本申请提出一种证书列表更新方法，该方法应用于车辆的数字化认证场景中，该数字化认证场景中包括网络侧设备以及车辆等，如图1(a)所示。在该数字化认证场景中，车辆的数量为n(n>＝1)个，这n个车辆可以属于同一车辆组，也可以属于不同车辆组。关于车辆组的介绍可以参见下述内容，在此不进行赘述。

其中，网络侧设备可以为一个或多个云端服务器等(图中未示出)。

网络侧设备，用于在车辆上的至少一个设备的证书(该证书可以为数字证书)被撤销后，获取到至少一个被撤销的证书。其中，该至少一个被撤销的证书可以是属于同一车辆的设备的证书，也可以是属于不同车辆的设备的证书。随后，网络侧设备根据获取到的至少一个被撤销的证书，生成相关的证书记录，并将其生成的证书记录发送给车辆。网络侧设备，还用于在车辆上的至少一个设备的证书更新后，获取至少一个有效证书。其中，该至少一个有效证书可以是属于同一车辆的设备的证书，也可以是属于不同车辆的设备的证书。随后，网络侧设备根据获取到的至少一个有效证书，生成相关的证书记录，并将其生成的证书记录发送给车辆。可选的，网络侧设备还用于在接收到被撤销的证书或有效证书后，对其接收到的被撤销的证书或有效证书进行验证，以保证被撤销的证书或有效证书的真实性和合法性等安全属性。若验证通过，则网络侧设备用于根据获取到的被撤销的证书或有效证书，生成证书记录，该证书记录中包含CA利用私钥写入该证书记录的签名信息。

车辆用于接收网络侧设备发送的证书记录，并根据该证书记录更新存储于该车辆的证书列表。可选的，车辆还用于在接收到证书记录后，对证书记录中的签名信息等进行验证，以保证该证书记录的真实性和合法性等安全属性。若验证通过，则车辆根据该证书记录更新存储在该车辆中的证书列表。

以图1(a)所示的车辆1为例，车辆内的车载设备包括车载信息盒(telematics box，T-Box)、网关(gateway，GW)、车载诊断系统(on board diagnostics，OBD)、车身控制单元(body control module，BCM)、人机接口(human machine interface，HMI)、车辆控制单元(vehicle control unit，VCU)、智能计算中心(mobile data center，MDC)、无钥匙进入及启动系统(passive entry passive start，PEPS)、电子控制单元(electronic control unit，ECU)1、ECU2、ECU3、ECU4、无线电能传输(wireless power transmission，WPT)、电池管理系统(battery management system，BMS)、ECU5、传感器sensor 1、传感器sensor 2等。

可选的，在本申请实施例中，车辆上的设备即车载设备，可以划分为网联设备和非网联设备。其中，网联设备为其所在车辆上用来与外界设备，例如网络侧设备或其他车辆上的车载设备，进行通信的车载设备。非网联设备为其所在车辆上通过网联设备与其他车辆上的车载设备或网络侧设备进行通信的设备。以图1(a)所示的车辆1为例，车辆1中的T-Box设备的设备类型为网联设备，车辆1上除网联设备T-Box设备的车载设备，例如BCM、MDC、ECU1等车载设备的设备类型为非网联设备。可选的，车辆上的网联设备还可以是车载信息娱乐系统(in-vehicle infotainment，IVI)等。

其中，T-Box为联网设备，用于与外界设备，即除该T-Box所在车辆外的其他车辆上的车载设备或者网络侧设备等，进行通信。例如，在本申请实施例中，T-Box从网络侧设备接收属于其所在车辆(或者车辆组)的车载设备的证书记录，该证书记录中包括属于T-Box所在车辆(或车辆组)的车载设备的被撤销的证书或有效证书。T-Box还用于根据接收到的证书记录中的签名信息等，对该证书记录进行验证，以保证该证书记录的真实性和合法性等安全属性。T-Box还用于在其接收到的证书记录通过其验证后，将该证书记录发送给其他车载设备，即非联网设备进行验证，或者在该证书记录未通过其验证时，丢弃该证书记录。T-Box还用于在其接收到的证书记录通过非联网设备的验证后，根据该证书记录更新存储于其所在车辆的证书列表。T-Box还用于在其接收到的证书记录未通过其他车载设备的验证时，将其接收到的该证书记录丢弃。T-Box还用于通过车辆内的网关GW等与其所在车辆内的非网联设备进行通信，例如，在本申请中，T-Box将更新的证书列表通过GW等发送给其所在车辆内的其他车载设备。

GW为非联网设备，用于实现其所在车辆内的其他非网联设备与网联设备T-Box之间的通信，或者非网联设备之间的通信，例如，GW从T-Box接收证书记录，并对其接收到的证书记录中的签名信息进行验证，以保证该证书记录的真实性和合法性等安全属性。GW接收到的证书记录通过其验证，则GW将其接收到的证书记录转发给其所在车辆内的非网联设备，例如OBD。若GW接收到的证书记录未通过其验证，即验证失败，则GW通知网联设备T-Box该证书记录未通过其验证，使得T-Box丢弃该证书记录。

OBD为非联网设备，用于检测与控制系统有关的系统或相关的部件是否发生故障，并在有故障发生时，向驾驶员等发出警告。OBD还用于通过GW与其所在车辆内的其他车载设备(包括联网设备与非联网设备)进行通信，或者通过GW和T-Box与网络侧设备进行通信。OBD还用于对从GW接收到的证书记录中的签名信息等进行验证，以保证该证书记录的真实性和合法性等安全属性。若验证通过，则OBD通知网联设备T-Box该证书记录通过其验证，若验证失败，则OBD将其接收到的该证书记录丢弃，并通知T-Box该证书记录未通过其验证。可选的，OBD还用于接收T-Box生成的更新的证书列表。

在本申请实施例中，车辆上的非网联设备，例如BCM、HMI、VCU和MDC为域控制器，这4个域控制器分别对应域1、域2、域3和域4。其中，BCM是车辆上的重要的控制器，用于控制车辆车身用电器，例如雨刷、电动窗、门锁、灯具等。BCM对应的域1中包括PEPS、ECU 1以及ECU 2等设备，PEPS用于在无钥匙的情况下，使驾驶员可以进入车辆，或者开启车辆，ECU 1和ECU 2为车辆中的微型控制器，用于控制车辆。HMI对应的域2中包括ECU 3和ECU 4等设备，HMI用于建立人与计算机之间的联系，还用于交换信息，实现信息传输，ECU 3和ECU 4等为车辆中的微型控制器，用于控制车辆。VCU对应的域3中包括WPT、BMS以及ECU 5等设备，VCU用于获取驾驶员操控信息、车辆行驶信息等，向其他装置发送控制指令，在不同工作状态下，结合电机、电池和发动机等来控制和驱动车辆。WPT为借助电磁场或电磁波进行能量传递的技术，BMS用于建立电池与用户之间的联系，提高电池利用率，减少电池的过度充电和过度放电等，ECU 5等为车辆中的微型控制器，用于控制车辆。MDC对应的域4中包括sensor 1以及sensor 2等，MDC用于收集传感器，即sensor 1和sensor 2等传感器获取到的数据，该数据为用于自动驾驶的数据，并经由GW将该数据发送给其他设备。除了OBD外，车辆内的其他车载设备，如域控制器及域内设备，还用于接收网联设备发送的证书记录，并对该证书记录中的签名信息进行验证，以保证该证书记录的真实性和合法性等安全属性。车辆内的其他车载设备，如域控制器及域内设备，还用于将验证结果发送给联网设备T-Box，以使得T-Box根据非网联设备对该证书记录的验证结果，丢弃该证书记录或者根据该证书记录更新存储于其所在车辆的证书列表。

其中，域控制器还用于对其所属域的域内设备的设备证书(数字证书)进行验证，以保证该设备证书的真实性、合法性和有效性等安全属性。若验证成功后，则域内设备可以通过域控制器和GW与其他设备进行通信。不同域内的设备需要通过其所属域的域控制器来进行通信，同一域内的设备可以直接进行通信。可选的，若不同域内的设备之间直接连接，例如，不同域内的设备之间通过蓝牙等直接连接，则不同域内的设备可以直接进行通信。也就是说，车辆1中的T-Box、OBD、BCM、HMI、VCU、MDC之间通过GW进行通信，或者，T-Box、OBD、BCM、HMI、VCU、MDC之间也可以直接进行通信。其中，域控制器与域内设备均为非联网设备。

示例性的，若域3内的ECU 5要与域1内的ECU 2进行通信，且ECU 5与ECU2未直接连接，则ECU 2与ECU 5之间通过BCM和VCU经由GW进行通信。若域3内的ECU 5需要与域1内的ECU 2进行通信，ECU 5与ECU 2通过蓝牙直接连接，则ECU 2与ECU 5之间可以通过BCM和VCU经由GW进行通信，也可以经由蓝牙直接通信。

可选的，在域内设备，即域1-4内的设备开启后，域控制器还用于对开启的域内设备的身份进行验证，即对域内设备的设备证书进行验证，以保证该设备证书的真实性、合法性和有效性等安全属性，若该设备证书验证通过，即确定该域内设备的身份是合法的，则该开启的域内设备可以正常运行。或者车辆的某项功能使用前，确定与该功能相关的域控制器和域内设备，然后由网联设备对与该功能相关的设备的设备证书进行验证，以确定这些设备的身份的合法性。若与该功能相关的设备的设备证书通过验证，则可以确定这些设备的身份是合法的，则这些设备可以正常使用。若验证不通过，则关闭未通过验证的设备或者禁用该某项功能。

在一种可能的实现方式中，某一设备的有效证书为可以保证该设备的身份的合法性的设备证书，该设备证书可以为数字证书，一般的，某一设备的设备证书在一定时间段内有效，该一定时间段为该设备的设备证书的有效期。在对某一设备的身份进行验证时，确定该设备的设备标识，若该设备的设备证书中的设备标识与该设备标识相同，且该设备证书未超过其有效期或该设备证书未被撤销，则该设备证书通过验证，也就是该设备证书对应的设备的合法性通过验证。若某一设备的设备证书中的设备标识与该设备标识不同，或者该设备证书超过其有效期，或者该设备证书为被撤销的证书，则该设备证书的验证不通过，也就是该设备证书对应的设备的身份不合法。

在一种可能的实现方式中，某一设备的设备证书的有效性还通过保存在数字证书对应的设备中的私钥和该数字证书的有效期来保证。网络侧设备利用私钥对该设备证书进行签名(即对公钥和设备标识进行加密，得到加密信息)，此时，车辆中的网联设备和车载设备可以通过其保存的私钥，对该设备证书的签名信息进行验证(即利用该私钥对加密信息进行解密，得到公钥和设备标识)，若验证通过(即得到的公钥与设备标识与加密信息相同)，且该设备证书未超过其有效期，该设备证书未被撤销，则该设备证书通过验证，该设备证书对应的设备是合法的。

示例性的，若要开启自动驾驶功能，VCU需要通过对MDC的设备证书进行验证，来确定该MDC的身份的合法性，HMI和MDC之间需要相互验证彼此的设备证书，来确定HMI和MDC的身份的合法性。在上述验证通过后，则VCU、HMI和MDC的身份是合法的，该自动驾驶功能可以正常开启。可选的，VCU、HMI和MDC中涉及到的自动驾驶的功能可以正常使用。

通过上述过程，首先，本申请实施例可以通过设备的数字证书来保证设备身份的合法性，在使用设备之前，对设备对应的数字证书进行验证，可以防止非授权设备对车辆进行监听，或者发送指令来干扰车辆，保证车辆的安全。其次，本申请实施例对包含被撤销证书或有效证书的证书记录进行验证，可以保证证书记录的真实性和合法性等，从而保证车辆安全。再次，本申请实施例中的证书记录是网络侧设备根据其接收到的被撤销的证书或有效证书生成的，因此证书列表在更新时仅更新了新增的证书记录，在车辆内的设备的存储空间有限的情况下，可以尽可能的存储有关于车辆的证书记录，减少证书记录的丢失，从而保证车辆安全。

除了图1(a)所示的应用场景，本发明实施例还可用于基于中央计算架构(central computing architecture，CCA)的车辆内的设备身份验证。参见图1(b)，中央计算架构包括若干整车集成单元(vehicle integrated/integration unit，VIU)和多个汽车零部件，其中，多个VIU组成一个环网，实现高带宽、低时延、高可靠处理能力，能够简化车载网络配置、提升升级维护效率。多个汽车零部件可以连接到VIU，并通过VIU连接至域控制单元(domain controller，DC)，如智能座舱域控制器(cockpit domain controler，CDC)、移动计算中心(mobile data center，MDC)(或称智能计算中心)或整车域控制器(vehicle domain control，VDC)，避免了传统的实现汽车电子控制功能的系统中，每个汽车零部件都需要通过各自的线束连接至域控制单元DC，有利于减少实现汽车电子控制功能的系统中的线束长度。

上述描述的网络侧设备和车辆的具体工作过程，可以参考下述方法实施例中的对应过程，在此不再赘述。

在对本申请涉及到的方法实施例进行详细介绍前，先对本申请涉及到的车辆组进行介绍如下：

在一种可能的实现方式中，车辆组可以是根据车辆的品牌划分的，也可以是根据车辆的型号划分的，还可以是根据车辆所处的位置划分的。当然，车辆组也可以是根据其他条件，例如车辆颜色等等来进行划分的，并不局限于上述提到的划分方式。

示例性的，以某一时刻某一停车场内的停放着的20辆车为例，该停车场内包括A区域和B区域，A区域内有15辆车，B区域内有5辆车。A区域的15辆车中有5辆车属于a品牌，10辆车属于b品牌，B区域内的5辆车中有3辆车属于c品牌，2辆车属于b品牌。a品牌的车中有2辆属于d系列，3辆属于e系列，b品牌的车中有8辆车属于f系列，6辆属于g系列，c品牌的车中有2辆属于h系列，1辆属于i系列。若按照车辆所处的区域A和B对这20辆车划分车辆组，则可以得到两个车辆组，分别为车辆组1和车辆组2，A区域内的15辆车属于车辆组1，B区域内的5辆车属于车辆组2；若按照车辆品牌对停车场内的20辆车划分车辆组，则可以得到3个车辆组，分别为车辆组1、车辆组2和车辆组3，a品牌的车属于车辆组3，b品牌的车属于车辆组4，c品牌的车属于车辆组5；若按照车辆型号划分车辆组，则可以得到6个车辆组，分别为车辆组1、车辆组2、车辆组3、车辆组4、车辆组5和车辆组6，d系列的车属于车辆组1，e系列的车属于车辆组2，f系列的车属于车辆组3，g系列的车属于车辆组4，h系列的车属于车辆组5，i系列的车属于车辆组6。

为了减少第一车辆或第一车辆组中需要存储的证书记录，保证车载设备内存储的车载证书列表的完整性。本申请提供一种证书列表更新方法，网络侧设备在获取到被撤销的证书或者有效证书后，根据获取到的被撤销的证书或有效证书，生成针对第一车辆或第一车辆组的证书记录。然后，网络侧设备将这些证书记录发送给第一车辆。相应的，该第一车辆获取到网络侧设备发送的针对第一车辆或第一车辆组的证书记录。最后，第一车辆根据接收到的证书记录，更新存储于第一车辆的证书列表。如图2所示，该证书列表更新方法主要包括以下步骤S201-S203：

S201、网络侧设备根据获取到的被撤销的证书或有效证书，生成针对第一车辆或第一车辆组的证书记录。

其中，第一车辆组为多个车辆组中的任意一个车辆组，第一车辆为该第一车辆组中的任一车辆。该网络侧设备生成的证书记录用于第一车辆更新存储于第一车辆的证书列表，该证书记录可以为一条，也可以为多条，且该证书记录为网络侧设备针对第一车辆或第一车辆组生成的，该证书记录中的每一个被撤销的证书或有效证书均为属于第一车辆或第一车辆组的设备的证书。其中，第一车辆的证书列表用于针对第一车辆记录属于第一车辆的设备的被撤销的证书或有效证书，并且不包括非第一车辆的设备的被撤销的证书或有效证书。或者第一车辆的证书列表用于针对第一车辆组记录属于第一车辆组的设备的被撤销的证书或有效证书，并且不包括非第一车辆组的被撤销的证书或有效证书。

可选的，在至少一个设备的证书被撤销后，网络侧设备获取到至少一个被撤销的证书。在至少一个设备进行注册后，网络侧设备获取到至少一个有效证书。网络侧设备在获取到这些被撤销的证书或者有效证书后，根据这些被撤销的证书或有效证书对应的设备所在的车辆，生成针对第一车辆或第一车辆组的证书记录。其中，该证书记录中包括至少一个被撤销的证书或者至少一个有效证书。

在一种可能的实现方式中，网络侧设备获取到被撤销的证书或有效证书的编号，并根据该编号向车辆证书管理系统进行查询，来获取该编号对应的被撤销的证书或有效证书。其中，该车辆证书管理系统可以位于网络侧设备上，也可以位于其他设备上。该车辆证书管理系统用于管理车辆的设备证书，包括车辆上的设备的被撤销的证书和车辆上的设备的有效证书。当某一设备的有效证书的有效期结束后，该车辆证书管理系统可以将该有效证书确定为失效证书，也就是被撤销的证书。或者，该车辆证书管理系统也可以根据其接收到的指令等，将某一设备的有效证书确定为被撤销的证书。该车辆证书管理系统中存储有被撤销的证书的编号以及有效证书的编号，还存储有该被撤销的证书的编号或该有效证书的编号对应的证书，被撤销的证书或有效证书对应的车载设备所在的车辆的标识、该车载设备的标识、该车辆所在车辆组内的车辆的标识以及每一车辆标识对应的车辆上的网联设备的设备标识等。

需要说明的是，网络侧设备所生成的针对第一车辆或第一车辆组的证书记录，是根据新增的被撤销的证书或有效证书生成的，因此该证书记录的数量较少。相对于将已有的证书记录和新增的证书记录一并发送给第一车辆的设备进行存储来说，仅将新增的证书记录发送给第一车辆的车载设备进行存储，可以在车载设备的存储空间有限的情况下，尽量减少其存储当前接收到的证书记录所需要的空间，从而减少其所存储的证书记录的丢失，保证其存储的证书列表的完整性，保证车辆安全。

S202、网络侧设备发送针对第一车辆或第一车辆组的证书记录给第一车辆。

网络侧设备根据第一车辆的车辆标识，将其生成的针对第一车辆或第一车辆组的证书记录，发送给第一车辆的网联设备。相应的，第一车辆中的网联设备接收网络侧设备发送的针对第一车辆或第一车辆组的证书记录。

在一种可能的实现方式中，若网络侧设备生成的证书记录是针对第一车辆的证书记录，则该证书记录中包括属于第一车辆的设备的被撤销的证书或有效证书。若网络侧设备生成的证书记录时针对第一车辆组的证书记录，则该证书记录中包括属于第一车辆组的设备的被撤销的证书或有效证书。

需要说明的是，通过上述过程，本申请将针对第一车辆或第一车辆组的证书记录下发给第一车辆的网联设备，相对于网络侧设备将所有车辆的证书记录，发送给第一车辆进行存储所需要的存储空间来说，该第一车辆存储第一车辆或第一车辆组的证书记录所需的存储空间较小。因此，在车载设备的存储空间较小的情况下，本申请实施例可以减少存储在第一车辆上的车载设备中的证书记录的丢失，从而保证第一车辆所存储的证书记录的完整性，提高车辆安全性。

S203、第一车辆根据其接收到的证书记录更新存储于该第一车辆的证书列表。

第一车辆的网联设备将其接收到的证书记录中的每一个被撤销的证书或有效证书，加入到第一车辆的证书列表中，并将该证书列表发送给第一车辆内的非网联设备，以实现第一车辆的证书列表的更新。其中，该证书列表中包括之前的被撤销的证书记录或有效证书，以及新增的被撤销的证书或有效证书。

在另一种可能的实现方式中，根据第一车辆的网联设备将其接收到的证书记录中的每一个被撤销的证书或有效证书，生成新的证书列表，并将该新的证书列表发送给第一车辆内的非网联设备。其中，该新的证书列表中只包括新增的被撤销的证书或有效证书。

需要说明的是，通过上述过程，网络侧设备根据其获取到的被撤销的证书或有效证书，以及该被撤销的证书或有效证书对应的设备所在的车辆，生成针对第一车辆或第一车辆组的证书记录，并将该证书记录发送给第一车辆，随后第一车辆根据接收到的证书记录，更新存储于第一车辆的证书列表。由于网络侧设备生成的证书记录为新增的被撤销的证书或有效证书的证书记录，且该证书记录是针对于第一车辆或第一车辆组的，第一车辆接收到的需要存储的证书记录较少，根据该证书记录得到的证书列表所需要的存储空间较小，在车载设备的存储空间有限的情况下，本申请实施例可以减少车辆内车载设备所需要存储的证书记录的丢失，从而尽可能保证车辆内车载设备存储的证书列表的完整性，保证车辆的安全性。

为了减少第一车辆中的车载设备需要存储的证书记录，保证车载设备内存储的证书列表的完整性。本申请还提供一种证书列表更新方法，如图3所示，该方法中包括步骤S301-S306：

S301、网络侧设备获取被撤销的证书或有效证书。

关于被撤销的证书或有效证书的介绍可以参见下述内容，在此不进行赘述。

可选的，在至少一个车载设备的证书被撤销后，网络侧设备获取到至少一个被撤销的证书。在至少一个车载设备进行注册或者更新后，网络侧设备获取到至少一个有效证书。

可选的，网络侧设备获取到被撤销的证书或有效证书后，对其获取到的被撤销的证书对应的车载设备中是否包括网联设备进行判断。若网络侧设备获取到的被撤销的证书对应的设备中包括网联设备，则网络侧设备通知第一车辆的用户进行该网联设备的重新注册。在用户完成该网联设备的重新注册后，网络侧设备获取到该网联设备的有效证书，此时网络侧设备根据该网联设备重新注册完成前接收到的被撤销的证书或有效证书，和该网联设备重新注册后得到的该网联设备的有效证书，生成证书记录。若网络侧设备获取到的被撤销的证书对应的车载设备中不包括网联设备，则网络侧设备根据其已获取到的被撤销的证书或有效证书生成证书记录。

在一种可能的实现方式中，如图4所示，网络侧设备获取到被撤销的证书或有效证书后，对其获取到的被撤销的证书对应的车载设备中是否包括网联设备进行判断。若网络侧设备获取到的被撤销的证书对应的车载设备中包括网联设备，则网络侧设备确定其是否有接收到该网联设备的有效证书，即该网联设备的设备证书是否更新。若该网络侧设备获取到的被撤销证书对应的车载设备中包括该网联设备的同时，还获取到了该网联设备的有效证书，即该网联设备的设备证书已更新，则网络侧设备不再通知用户完成该网联设备的重新注册，根据其接收到的被撤销的证书和有效证书，生成证书记录。若网络侧设备获取到的被撤销证书对应的设备中包括该网联设备的同时，未获取到该网联设备的有效证书，即该网联设备的设备证书未更新，则该网络侧设备通知用户完成该网联设备的重新注册，并获取到该网络设备的有效证书。随后，网络侧设备根据其获取到的被撤销的证书和有效证书，生成证书记录。若网络侧设备获取到的被撤销的证书对应的车载设备中不包括网联设备，也就是说只包括非网联设备，则网络侧设备根据其获取到的被撤销的证书或有效证书来生成证书记录。

在一种可能的实现方式中，网络侧设备获取到被撤销的证书或有效证书的编号，并根据该编号向车辆证书管理系统进行查询，来获取该编号对应的被撤销的证书或有效证书。其中，该车辆证书管理系统可以位于网络侧设备上，也可以位于其他设备上。该车辆证书管理系统用于管理车辆的设备证书，包括车辆上的设备的被撤销的证书和车辆上的设备的有效证书。当某一设备的有效证书的有效期结束后，该车辆证书管理系统可以将该有效证书确定为失效证书，也就是被撤销的证书。或者，该车辆证书管理系统也可以根据其接收到的指令等，将某一设备的有效证书确定为被撤销的证书。该车辆证书管理系统中存储有被撤销的证书的编号以及有效证书的编号，还存储有被撤销的证书或有效证书对应的设备所在的车辆的标识、该设备的标识、该车辆所在车辆组内的车辆的标识以及每一车辆标识对应的车辆上的网联设备的设备标识等。

S302、网络侧设备确定属于第一车辆或第一车辆组的至少一个被撤销的证书或有效证书。

可选的，网络侧设备通过上述步骤S301获取到被撤销的证书或有效证书后，根据该被撤销的证书或有效证书中的设备标识(网联设备的设备标识或非网联设备的设备标识)或者车辆标识，来确定属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书。

在另一种可能的实现方式中，网络侧设备通过上述步骤S301获取到被撤销的证书或有效证书后，通过查询车辆证书管理系统，确定网络侧设备获取到的证书中，属于第一车辆或者第一车辆组的设备的至少一个被撤销的证书或有效证书。

在另一种可能的实现方式中，网络侧设备获取到被撤销的证书或有效证书的编号，用户根据该编号向车辆证书管理系统进行查询，确定该编号对应的被撤销的证书或有效证书，该被撤销的证书或有效证书对应的设备所在的车辆，以及该车辆所在的车辆组等。然后，网络侧设备根据在车辆证书管理系统中查询到的被撤销的证书或有效证书，以及该被撤销的证书或有效证书对应的设备所在的车辆或车辆组，确定属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书。

S303、网络侧设备根据属于第一车辆或第一车辆组的至少一个被撤销的证书或有效证书，生成针对第一车辆或第一车辆组的证书记录。

可选的，网络侧设备根据属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书，生成针对第一车辆或第一车辆组的证书记录。

在另一种可能的实现方式中，网络侧设备获取到被撤销的证书或有效证书的编号，用户根据该编号向车辆证书管理系统进行查询，确定该编号对应的被撤销的证书或有效证书，并确定该被撤销的证书或有效证书对应的设备所在的车辆的标识、该车辆所在的车辆组的标识、该车辆组内所有车辆的标识。随后，网络侧设备根据其从车辆证书管理系统查询到的信息，生成针对第一车辆或第一车辆组的证书记录。其中，该针对第一车辆的证书记录中包括属于第一车辆的设备的被撤销的证书或有效证书的编号、第一车辆的车辆标识、第一车辆的网联设备的设备标识以及该被撤销的证书或有效证书对应的设备的设备标识。针对第一车辆组的证书记录中包括属于第一车辆组的设备的被撤销的证书或有效证书的编号、第一车辆组内所有车辆的标识、第一车辆组内所有车辆上的网联设备的设备标识以及该被撤销的证书或有效证书对应的设备的设备标识等。

在一种可能的实现方式中，由CA执行上述步骤S301-S303，该CA可以与车辆证书管理系统位于网络侧设备的同一服务器上，也可以位于网络侧设备的不同服务器上。

S304、网络侧设备发送针对第一车辆或第一车辆组的证书记录给第一车辆。

网络侧设备根据第一车辆的车辆标识，将针对第一车辆或第一车辆组的证书记录发送给第一车辆的网联设备。相应的，第一车辆的网联设备接收网络侧设备发送的针对第一车辆或第一车辆组的证书记录。

在另一种可能的实现方式中，网络侧设备根据第一车辆组内的所有车辆的标识，将针对第一车辆或第一车辆组的证书记录发送给第一车辆组内的所有车辆。其中，该第一车辆位于第一车辆组内。

S305、第一车辆对其接收到的证书记录进行验证。

可选的，网络侧设备在生成证书记录后，利用私钥将签名信息写入证书记录中。第一车辆中的网联设备在其接收到针对第一车辆或第一车辆组的证书记录后，根据其存储的私钥对其接收到的证书记录中的签名信息进行验证。若验证成功，例如该第一车辆的网联设备利用其存储的私钥对证书记录中的签名信息进行解密得到的信息，与网络侧设备写入证书记录中的信息相同，则第一车辆的网联设备根据其接收到的证书记录，更新存储于第一车辆的证书列表；若验证失败，则第一车辆的网联设备确定其接收到的证书记录为不合法的，或者说是不正确的，并将该证书记录丢弃。

示例性的，以图1(a)所示的车辆1的构成为例，T-Box对其接收到的证书记录中的签名信息进行验证，若验证通过，则T-Box根据其接收到的证书记录，更新存储于第一车辆的证书列表，若验证失败，则T-Box将其接收到的证书记录丢弃。

可选的，第一车辆的网联设备对其接收到的证书记录进行验证，若验证通过，则将网联设备将该证书记录下发给车载设备进行验证，若该证书记录通过预设数量的车载设备的验证，则第一车辆的网联设备根据其接收到的证书记录，更新存储于第一车辆的证书列表；若该证书记录未通过网联设备的验证，或者未通过大于等于预设数量的车载设备的验证，则该网联设备确定其接收到的证书记录为不合法的，或者说是不正确的，并将该证书记录丢弃。

示例性的，以预设数量为4，图1(a)所示的车辆1的构成为例，T-Box为网联设备，车辆上的其他车载设备为非网联设备。T-Box对其接收到的证书记录中的签名信息进行验证，若验证通过，则T-Box将其接收到的证书记录发送给GW进行验证；若验证失败，则T-Box确定其接收到的证书记录为不合法或者不正确的，并将该证书记录丢弃。以T-Box接收到的证书记录通过T-Box的验证为例，GW接收到T-Box发送的证书记录，并对该证书记录中的签名信息进行验证，若验证通过，则该证书记录已通过2个车载设备GW与T-Box的验证，GW将该证书记录发送给域控制器，例如BCM、HMI、VCU以及MDC等，以及其他与GW直接通信的车载设备，例如OBD系统，进行验证；若验证失败，则GW通知T-Box该证书记录是不合法的，以使得T-Box丢弃该证书记录。以该证书记录通过GW的验证为例，域控制器以及其他与GW直接通信的车载设备对接收GW发送的证书记录进行验证，若该证书记录通过其中2个车载设备的验证，则该证书记录已通过4个车载设备的验证，T-Box确定该证书记录是合法的，并根据其接收到的证书记录更新存储于第一车辆的证书列表；若该证书记录仅通过1个域控制器的验证，则该1个域控制器将该证书记录发送给其域内设备，若该证书记录通过至少1个域内设备的验证，则该证书记录已通过4个车载设备的验证，T-Box确定该证书记录是合法的，并根据其接收到的证书记录更新存储于第一车辆的证书列表；若该证书记录未通过域控制器以及与GW直接通信的车载设备中至少2个车载设备的验证，则T-Box确定该证书记录是不合法的，并将该证书记录丢弃。

需要说明的是，第一车辆所接收到的证书记录可能为一条，也可能为多条，每一条证书记录中包括网络侧设备写入的签名信息。第一车辆的车载设备可以对其接收到的证书记录进行逐条验证，并将通过网联设备和非网联设备验证的证书记录用于更新存储于第一车辆的证书列表。

S306、第一车辆根据接收到的证书记录，更新存储于第一车辆的证书列表。

可选的，第一车辆的网联设备将其接收到的证书记录中的每一个被撤销的证书或有效证书，加入到第一车辆的证书列表中，并将该证书列表发送给第一车辆内的非联网设备，以实现第一车辆的证书列表的更新。其中，该证书列表中包括之前的被撤销的证书记录或有效证书，以及新增的被撤销的证书或有效证书。

在另一种可能的实现方式中，第一车辆的网联设备根据其接收到的证书记录中的每一个被撤销的证书或有效证书，生成新的证书列表，并将该新的证书列表发送给第一车辆内的非网联设备。其中，该新的证书列表中只包括新增的被撤销的证书或有效证书。

可选的，第一车辆的证书列表可以以其联网设备接收到的证书记录的形式进行存储，也可以以其他形式进行存储，例如区块链形式。

可选的，第一车辆的证书列表以区块链的形式存储在第一车辆中的各个车载设备上。第一车辆获取第一证书列表数据块的标识，该第一证书列表数据块为更新前的证书列表对应的数据块，也就是根据上一次网联设备接收到的证书记录所生成的证书列表数据块。然后，网联设备对根据第一证书列表数据块的标识和证书记录，生成更新后的证书列表数据块。其中，更新后的证书列表数据块中包括区块头和区块体，以及区块大小和证书数量(也就是证书记录中被撤销的证书或有效证书的数量)，也就是证书记录的数量等。更新后的证书列表数据块的区块头包括第一证书列表数据块的标识，更新后的证书列表数据块的区块体包括第一车辆接收到的证书记录。最后，网联设备将生成的更新后的证书列表数据块，发送给其所在车辆上的非网联设备。

在一种可能的实现方式中，更新后的证书列表数据块的区块头还包括网联设备接收到的证书记录的标识，也就是更新后的证书列表数据块的标识。

示例性的，网联设备所生成的更新后的证书列表数据块的组成如表1所示，包括区块大小、区块头、区块体以及证书数量。区块大小为2字节。区块头中包含前一区块的标识，即第一证书列表数据块的标识，该标识可以是该第一证书列表数据块的哈希值，以及默克尔根。其中，默克尔根是根据前一区块的哈希值和证书记录进行计算得到的，也就是更新后的证书列表数据块的标识，也即证书记录的标识，默克尔根的大小为32字节，前一区块的哈希值(标识)为32字节。证书数量，即证书记录中的被撤销的证书和有效证书的数量，为1字节。区块体中包含该证书记录。

表1

需要说明的是，利用区块链的形式存储第一车辆的证书列表，且更新后的证书列表数据块和第一证书列表数据块之间，通过两者的标识进行连接，可以防止存储的证书记录被篡改，并减小存储证书列表所需的存储空间，从而减少证书记录的丢失，保证网联设备和车载设备存储的证书列表的完整性和安全性。

另外，上述第一车辆存储的证书列表中除包括属于第一车辆的被撤销的证书或有效证书外，还包括属于第二车辆的被撤销的证书或有效证书。其中，第二车辆为第一车辆组内除第一车辆外的其他车辆。当第一车辆组内的第一车辆与第二车辆进行通信时，第一车辆可以根据第二车辆的被撤销的证书或有效证书中的签名信息，对第二车辆的身份进行验证，以确定第二车辆的身份的合法性，保障第一车辆与第二车辆之间通信的安全性。

通过上述过程，网络侧发送给第一车辆的证书记录为针对第一车辆或第一车辆组的证书记录，该证书记录的数量较少，第一车辆所需要存储的证书记录越少，因此第一车辆所需要的存储证书列表的存储空间越小，在车辆上的设备的存储空间有限的情况下，可以减少证书记录的丢失，尽可能保证网联设备和车载设备存储的证书列表的完整性和安全性。

下面对上述内容中提到的被撤销的证书或有效证书进行介绍：

可选的，被撤销的证书中包括车辆标识、设备标识或设备类型中的一种或多种，其中，该车辆标识为该被撤销的证书对应的设备所在的车辆的标识，该设备标识为该被撤销的证书对应的车载设备的设备标识，设备类型包括网联设备或非网联设备等。关于网联设备和非联网设备的划分可以参见上述内容，在此不再赘述。有效证书中包括车辆标识、设备标识或设备类型中的一种或多种，其中，车辆标识为该有效证书对应的设备所在车辆的标识，设备标识为该有效证书对应的车载设备的设备标识，该设备类型为网联设备或非网联设备等。

在一种可能的实现方式中，设备标识中包括车辆标识，该车辆标识为该设备标识对应的车载设备所在车辆的车辆标识。此时，被撤销的证书或有效证书对应的设备与该设备所在的车辆强绑定，确定被撤销的证书或有效证书对应的设备的标识，即可确定该被撤销的证书或有效证书对应的设备所属的车辆的标识。因此，网络侧设备在下发证书记录时，直接根据车载设备的设备标识，确定该车载设备所在的车辆，从而提高网络侧设备下发证书记录的效率。

在一种可能的实现方式中，设备标识中包括其对应的车载设备的设备类型。

在一种可能的实现方式中，设备标识中还包括设备生产时间以及设备生产厂家等信息。

一般的，设备生产商会在设备中安装根证书，该根证书可以是来自CA的根证书。然后，在车辆进行设备的装配时，会在原始设备生产商(original equipment manufacturer，OEM)处对装配在该车辆上的设备进行注册，也就是确定该设备的设备证书。在车辆上的设备更换到其他车辆上，或者该设备的设备证书失效时，还需要在OEM处对该设备进行重新注册。若设备证书对应的设备的设备标识与其所在车辆的车辆标识强绑定，则在确定或者更新该设备的设备证书时，需要确定并重新刷写该设备的标识。

示例性的，以设备ECU的标识中包括设备类型和其所在车辆的车辆标识为例。如图5所示，ECU先根据其设备信息和设备标识编码形式，确定其设备标识，该设备信息中包括设备类型、设备生产时间以及设备生产厂家等信息。随后，ECU随机生成一对公私钥，将私钥写入硬件安全模块(Hardware security module，HSM)，并通过网联设备将其设备标识和公钥发送给OEM。OEM根据接收到的公钥，对设备标识进行验证，以确定该设备是否合法。若验证通过，则OEM确定该设备合法，将车辆识别码(vehicle identification number，VIN)加入到ECU的设备标识中。随后，OEM根据ECU的设备标识以及接收到的公钥等信息，生成ECU的设备证书。OEM通过网联设备将其生成的ECU的设备证书和设备标识发送给ECU，相应的，ECU通过网联设备接收OEM发送的设备证书和设备标识，并对其接收到的设备证书进行验证，以确定该设备证书的正确性。在确定该设备证书正确后，ECU将该设备证书，写入到HSM中保存并刷写其设备标识。最后，OEM接收设备注册成功的消息，确定ECU注册成功。可选的，OEM还将ECU的设备证书发送给车辆设备证书管理系统以及CA等。可选的，OEM还可以确定设备证书的有效期。

可选的，在另一种可能的实现方式中，设备生产商会在设备中安装根证书，该根证书可以是来自CA的根证书。随后，若该设备的设备类型为非联网设备，则该设备可以随机生成公私钥，并通过其所在车辆上的联网设备，主动将该非联网设备的设备标识和公钥发送给CA进行重新注册，以确定该非联网设备的有效证书，即新的设备证书，保证设备的安全性。

示例性的，设备1安装在车辆1中，该设备1为非联网设备。此时，该设备1的设备证书为设备证书1，该设备证书1中包含车辆1的标识。若该设备1从车辆1转移到车辆2中，则设备证书1失效，网络侧设备获取到关于设备1的被撤销的证书，并根据该被撤销的证书生成证书记录。可选的，该证书记录中包括设备1被撤销的设备证书1。另，设备1通过网联设备将其设备证书更新为设备证书2，该设备证书2中包括车辆2的标识。

通过上述过程，网络侧设备根据获取到的被撤销的证书或有效证书，生成针对第一车辆或第一车辆组的证书记录，且该证书记录为新增的证书记录，因此，在第一车辆内的设备的存储空间有限的情况下，该第一车辆所需要存储的证书记录的数量较少，可以减少第一车辆内车载设备需要存储的证书记录的丢失，从而保证第一车辆的证书列表中的完整性，保证车辆的安全。

为了减少第一车辆中需要存储的证书记录，保证车载设备内存储的证书列表的完整性，本申请还提供一种证书列表更新方法，网络侧设备在获取到被撤销的证书或者有效证书后，根据获取到的被撤销的证书或有效证书，生成证书记录。然后，网络侧设备将获取到的证书记录发送给第一车辆。相应的，该第一车辆获取到网络侧设备发送的证书记录后，确定其中属于第一车辆或第一车辆组的证书记录，并根据所述属于第一车辆或第一车辆组的证书记录更新存储于第一车辆的证书列表。如图6所示，该证书列表更新方法主要包括以下步骤S601-S603：

S601、网络侧设备根据获取到的被撤销的证书或有效证书，生成证书记录。

其中，第一车辆组为多个车辆组中的任意一个车辆组，第一车辆为该第一车辆组中的任一车辆。该网络侧设备生成的证书记录用于第一车辆更新存储于第一车辆的证书列表，该证书记录可以为一条，也可以为多条。第一车辆的证书列表用于针对第一车辆记录属于第一车辆的设备的被撤销的证书或有效证书，或者用于针对第一车辆组记录属于第一车辆组的设备的被撤销的证书或有效证书。关于车辆组介绍，可参见上述内容。

可选的，在至少一个设备的证书被撤销后，网络侧设备获取到至少一个被撤销的证书。在至少一个设备进行注册后，网络侧设备获取到至少一个有效证书。网络侧设备在获取到这些被撤销的证书或者有效证书后，根据这些被撤销的证书或有效证书对应的设备所在的车辆，生成证书记录。其中，该证书记录中包括至少一个被撤销的证书或者至少一个有效证书。

需要说明的是，网络侧设备所生成的证书记录为新增的证书记录，相对于将已有的证书记录和新增的证书记录均发送给第一车辆的设备进行存储来说，将新增的证书记录发送给第一车辆的设备进行存储，可以在该设备的存储空间有限的情况下，尽量减少该设备存储当前接收到的证书记录所需要的空间，减少该设备所存储的证书记录的丢失，从而保证车载设备存储的证书列表的完整性，保证车辆安全。

S602、网络侧设备发送证书记录给第一车辆。

网络侧设备将其生成的证书记录，发送给第一车辆的网联设备。相应的，第一车辆中的网联设备接收网络侧设备发送的证书记录。

S603、第一车辆根据其接收到的证书记录更新存储于该第一车辆的证书列表。

第一车辆的网联设备根据其接收到的证书记录中的被撤销的证书或有效证书对应的设备的设备标识，和该设备所在车辆的车辆标识，确定其接收到的证书记录中属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书。然后，将属于第一车辆或第一车辆组的至少一个被撤销的证书或有效证书，加入到第一车辆的证书列表中，并将该证书列表发送给第一车辆内的非网联设备，以实现第一车辆的证书列表的更新。其中，该证书列表中包括之前的被撤销的证书记录或有效证书，以及新增的被撤销的证书或有效证书。

在另一种可能的实现方式中，第一车辆的网联设备根据其接收到的证书记录中的被撤销的证书或有效证书对应的设备的设备标识，和该设备所在的车辆的车辆标识，确定其接收到的证书记录中属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书。然后，第一车辆的网联设备根据其接收到的证书记录中属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书，生成新的证书列表，并将该新的证书列表发送给第一车辆内的非网联设备。其中，该新的证书列表中只包括新增的属于第一车辆或第一车辆组的被撤销的证书或有效证书。

需要说明的是，通过上述过程，网络侧设备根据其获取到的被撤销的证书或有效证书，以及该被撤销的证书或有效证书对应的设备所在的车辆，生成新增的证书记录，并将该新增的证书记录发送给第一车辆，随后第一车辆根据接收到的证书记录，确定证书记录中属于第一车辆或第一车辆组的被撤销的证书或有效证书，并根据属于第一车辆或第一车辆组的被撤销的证书或有效证书，更新存储于第一车辆的证书列表。综上，网络侧生成的证书记录为新增的被撤销的证书或有效证书的证书记录，且第一车辆只存储针对于第一车辆或第一车辆组的证书记录中。因此，第一车辆接收到的需要存储的证书记录较少，根据该证书记录得到的证书列表所需要的存储空间较小，则在车辆内设备的存储空间有限的情况下，可以减少车辆所需要存储的证书记录的丢失，从而尽可能保证车辆内存储的证书列表的完整性，保证车辆的安全性。

为了减少第一车辆中需要存储的证书记录，保证车载设备内存储的车载证书列表的完整性。本申请还提供一种证书列表更新方法，如图7所示，该方法中包括步骤S701-S706：

S701、网络侧设备获取被撤销的证书或有效证书。

关于被撤销的证书或有效证书的介绍可以参见上述内容。

可选的，关于该步骤的具体实现可参见上述步骤S301，在此不再赘述。

S702、网络侧设备获取到的被撤销的证书或有效证书，生成证书记录。

可选的，网络侧设备根据获取到的至少一个被撤销的证书或有效证书，生成证书记录。该证书记录为所有车辆的新增的被撤销的证书或有效证书的证书记录。

在另一种可能的实现方式中，网络侧设备获取到被撤销的证书或有效证书的编号，用户根据该编号向车辆证书管理系统进行查询，确定该编号对应的被撤销的证书或有效证书，并确定该被撤销的证书或有效证书对应的设备所在的车辆的标识、该车辆所在的车辆组的标识、该车辆组内所有车辆的标识。随后，网络侧设备根据其从车辆证书管理系统查询到的信息，生成证书记录。其中，该证书记录中包括被撤销的证书或有效证书的编号、车辆的标识、车辆的网联设备的标识以及该被撤销的证书或有效证书对应的设备的标识。

在一种可能的实现方式中，由CA执行上述步骤S701-S702，该CA可以与车辆证书管理系统位于网络侧设备的同一服务器上，也可以位于网络侧设备的不同服务器上。

S703、网络侧设备发送证书记录给第一车辆。

网络侧设备将其生成的所有证书记录发送给第一车辆的网联设备。相应的，第一车辆的网联设备接收网络侧设备发送的证书记录。

S704、第一车辆对其接收到的证书记录进行验证。

可选的，关于该步骤S704的具体实现可以参见上述步骤S305，在此不再赘述。

需要说明的是，第一车辆所接收到的证书记录可能为一条，也可能为多条，每一条证书记录中包括网络侧设备写入的签名信息。第一车辆的车载设备可以对其接收到的证书记录进行逐条验证，并将通过网联设备和非联网设备验证的证书记录用于更新存储于第一车辆的证书列表。

S705、第一车辆根据接收到的证书记录，确定证书记录中属于第一车辆或第一车辆组的设备的被撤销的证书或有效证书。

第一车辆的网联设备根据其接收到的证书记录中的被撤销的证书或有效证书对应的设备的设备标识，或者该设备所在的车辆的车辆标识，确定属于第一车辆或第一车辆组的设备的被撤销的证书或有效证书。

可选的，该步骤S705可以在步骤S704之前执行。

S706、第一车辆根据属于第一车辆或第一车辆组的设备的被撤销的证书或有效证书，更新存储于第一车辆的证书列表。

可选的，第一车辆的网联设备将属于第一车辆或第一车辆组的设备的被撤销的证书或有效证书，加入到第一车辆的证书列表中，并将该证书列表发送给第一车辆内的非网联设备，以实现第一车辆的证书列表的更新。其中，该证书列表中包括之前的被撤销的证书记录或有效证书，以及新增的被撤销的证书或有效证书。

在另一种可能的实现方式中，第一车辆的网联设备根据证书记录中属于第一车辆或第一车辆组的每一个被撤销的证书或有效证书，生成新的证书列表，并将该证书列表发送给第一车辆内的非网联设备。其中，该新的证书列表中只包括新增的被撤销的证书或有效证书。

可选的，第一车辆的证书列表以区块链的形式存储在第一车辆中的各个设备上，其中，该证书列表用于针对第一车辆或第一车辆组记录属于第一车辆或第一车辆组的设备的被撤销的证书或有效证书。关于第一车辆的证书列表以区块链的形式存储的具体实现，可以参见上述步骤S306的表述，在此不再赘述。

需要说明的是，利用区块链的形式存储第一车辆的证书列表，且更新后的证书列表数据块和第一证书列表数据块之间，通过两者的标识进行链接，可以防止存储的证书记录被篡改，并减小存储证书列表所需的存储空间，从而减少证书记录的丢失，保证网联设备和非联网设备存储的证书列表的完整性和安全性。

通过上述过程，网络侧设备发送给第一车辆的证书记录为所有车辆的新增的证书记录，第一车辆所需要存储的证书记录为第一车辆或第一车辆组的被撤销的证书或有效证书对应的证书记录，因此第一车辆所需要存储的证书记录较少，且第一车辆所需要的存储证书列表的存储空间越小。在车辆上的设备的存储空间有限的情况下，本申请实施例可以减少证书记录的丢失，尽可能保证网联设备和非网联设备存储的证书列表的完整性和安全性。

本申请还提供一种证书列表更新装置，该装置用于第一车辆，该装置用于执行上述图2、图3给出的方法实施例中第一车辆执行的操作。该装置还可以是路侧单元(road side unit，RSU)。如图8所示，该装置中包括获取单元801、更新单元802，以及验证单元803。

获取单元801，用于获取证书记录。

其中，该证书记录是由网络侧设备发送给第一车辆的，该证书记录中包括至少一个被撤销的证书或有效证书。

在一种可能的实现方式中，被撤销的证书中包括车辆标识、设备标识或设备类型中的一种或多种。有效证书中包括车辆标识、设备标识或设备类型中的一种或多种。其中，该设备类型为网联设备或非网联设备。

在一种可能的实现方式中，设备标识中包括车辆标识，该车辆标识为该设备标识对应的车载设备所在的车辆的标识。

更新单元802，用于根据证书记录更新存储于所述第一车辆的证书列表。

其中，该证书列表用于针对第一车辆记录属于第一车辆的设备的被撤销的证书或有效证书，或者用于针对第一车辆组记录属于第一车辆组的设备的被撤销的证书或有效证书。第一车辆组内包括第一车辆。

可选的，获取单元801所获取到的证书记录是由网络侧设备针对第一车辆或第一车辆组生成的，并且证书记录中的每一个被撤销的证书或有效证书均为属于第一车辆或第一车辆组的设备的证书。此时，更新单元802，用于根据证书记录更新存储于第一车辆的证书列表包括：将证书记录中的每一个被撤销的证书或有效证书添加入该第一车辆的证书列表中。

在一种可能的实现方式中，更新单元802用于根据证书记录更新存储于第一车辆的证书列表，包括：获取第一证书列表数据块的标识，该第一证书列表数据块为更新前的证书列表对应的数据块，然后根据该第一证书列表数据块的标识和获取单元801获取到的证书记录生成更新后的证书列表数据块，该更新后的证书列表数据块中包括区块头和区块体，该更新后的证书列表数据块的区块头包括第一证书列表数据块的标识，该更新后的证书列表数据块的区块体包括证书记录。

在一种可能的实现方式中，更新后的证书列表数据块的区块头中还包括获取单元801获取到的证书记录的标识。

在一种可能的实现方式中，更新后的证书列表数据块的区块体中还包括第一证书列表数据块。

在一种可能的实现方式中，第一证书列表数据块的标识为根据第一证书列表数据块生成的哈希值，证书记录的标识为根据该证书记录生成的哈希值。

可选的，在更新单元802，用于根据证书记录更新存储于第一车辆的证书列表之前，该装置中还包括验证单元803，该验证单元803用于根据获取单元801获取到的证书记录中的签名信息对该证书记录进行验证，若验证通过，则更新单元802还用于根据该证书记录更新存储于第一车辆的证书列表。

可选的，第一车辆的证书列表中还包括属于第二车辆的设备的被撤销的证书或有效证书，该第二车辆为第一车辆组内除第一车辆之外的其他车辆，该第二车辆的设备的被撤销的证书或有效证书用于第一车辆对第二车辆进行认证。

本申请还提供一种证书列表更新装置，该装置用于网络侧设备，该装置用于执行上述图2、图3给出的方法实施例中网络侧设备执行的操作。如图9所示，该装置中包括发送单元901、确定单元902、生成单元903以及通知单元904。

发送单元901，用于向第一车辆发送证书记录。

其中，该证书记录中包括至少一个被撤销的证书或有效证书，该证书记录用于第一车辆更新存储于第一车辆的证书列表。该证书列表用于针对第一车辆记录属于第一车辆的设备的被撤销的证书或有效证书，或者用于针对第一车辆组记录属于第一车辆组的设备的被撤销的证书或有效证书，第一车辆组中至少包括该第一车辆。

在一种可能的实现方式中，被撤销的证书中包括车辆标识、设备标识或设备类型中的一种或多种。有效证书中包括车辆标识、设备标识或设备类型中的一种或多种。其中，设备类型为网联设备或非联网设备。

可选的，在发送单元901向第一车辆发送证书记录之前，该装置还包括确定单元902和生成单元903。其中，确定单元902，用于确定属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书。生成单元903，用于根据属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书，生成针对该第一车辆或第一车辆组的证书记录。

在一种可能的实现方式中，确定单元902用于确定属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书，包括：根据被撤销的证书或有效证书中的设备标识或者车辆标识，确定属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书。

在一种可能的实现方式中，确定单元902用于确定属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书，包括：通过查询车辆证书管理系统，确定属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书。

在一种可能的实现方式中，在生成单元903用于根据属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书，生成针对该第一车辆或第一车辆组的证书记录之前，确定单元902还用于确定至少一个被撤销的证书对应的设备中不包括网联设备，此时，发送单元901用于向第一车辆发送证书记录，包括：向第一车辆内的网联设备发送证书记录。

在一种可能的实现方式中，在生成单元903用于根据属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书，生成针对该第一车辆或第一车辆组的证书记录之前，确定单元902还用于确定至少一个被撤销的证书对应的设备中包括网联设备，然后由通知单元904，通知第一车辆的用户进行网联设备的重新注册。最后由确定单元902确定用户已完成该网联设备的重新注册，此时发送单元901用于向第一车辆发送证书记录包括：向第一车辆内的网联设备发送证书记录。

本申请还提供一种证书列表更新装置，该装置用于第一车辆，该装置用于执行上述图6、图7给出的方法实施例中第一车辆执行的操作。如图8所示，该装置中包括该装置中包括获取单元801、更新单元802，以及验证单元803。

获取单元801，用于获取证书记录。

可选的，更新单元802用于根据证书记录更新存储于第一车辆的证书列表，包括：确定证书记录中属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书，然后将属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书，添加到第一车辆的证书列表中。

本申请还提供一种证书列表更新装置，该装置用于网络侧设备，该装置用于执行上述图6、图7给出的方法实施例中网络侧设备执行的操作。如图9所示，该装置中包括发送单元901、确定单元902、生成单元903以及通知单元904。

发送单元901，用于向第一车辆发送证书记录。

在一种可能的实现方式中，被撤销的证书中包括车辆标识、设备标识或设备类型中的一种或多种。有效证书中包括车辆标识、设备标识或设备类型中的一种或多种。其中，设备类型为网联设备或非网联设备。

可选的，在发送单元901在向第一车辆发送证书记录之前，该装置还包括生成单元903。其中，生成单元903，用于根据至少一个被撤销的证书或有效证书，生成证书记录。

在一种可能的实现方式中，在生成单元903用于根据至少一个被撤销的证书或有效证书，生成证书记录之前，确定单元902用于确定至少一个被撤销的证书对应的设备中不包括网联设备，此时，发送单元901用于向第一车辆发送证书记录，包括：向第一车辆内的网联设备发送证书记录。

在一种可能的实现方式中，在生成单元903用于根据至少一个被撤销的证书或有效证书，生成证书记录之前，确定单元902还用于确定至少一个被撤销的证书对应的设备中包括网联设备，然后由通知单元904，通知第一车辆的用户进行网联设备的重新注册。最后由确定单元902确定用户已完成该网联设备的重新注册，此时发送单元901用于向第一车辆发送证书记录包括：向第一车辆内的网联设备发送证书记录。

图8-图9中的各个单元的只一个或多个可以软件、硬件、固件或其结合实现。所述软件或固件包括但不限于计算机程序指令或代码，并可以被硬件处理器所执行。所述硬件包括但不限于各类集成电路，如中央处理单元(CPU)、数字信号处理器(DSP)、现场可编程门阵列(FPGA)或专用集成电路(ASIC)。

参照图10所示，本申请还提供了一种证书列表更新装置，该装置用于第一车辆，可用于执行上述图2、图3或图6、图7给出的方法实施例中第一车辆所执行的操作。该装置包括存储器1001，处理器1002，通信接口1003和总线1004。处理器1002用于运行计算机程序指令以使该证书列表更新装置执行上述图2、图3、图6、图7给出的证书列表更新方法中第一车辆所执行的操作。通信接口1003用于支持装置与其他网络实体的通信。存储器1001用于存储装置的程序代码和数据。

本申请还提供了一种证书列表更新装置，该装置用于网络侧设备，可用于执行上述图2、图3或图6、图7给出的方法实施例中网络侧设备所执行的操作。该装置的结构也可以参考图10所示，包括存储器1001，处理器1002，通信接口1003和总线1004。处理器1002用于运行计算机程序指令以使该证书列表更新装置执行上述图2、图3、图6、图7给出的证书列表更新方法中网络侧设备所执行的操作。通信接口1003用于支持装置与其他网络实体的通信。存储器1001用于存储装置的程序代码和数据。

上述处理器1002(或者描述为控制器)可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，单元模块和电路。该处理器或控制器可以是中央处理器，通用处理器，数字信号处理器，专用集成电路，现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，单元模块和电路。所述处理器1002也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等。

通信接口1003可以是收发电路。

存储器1001可以包括易失性存储器，例如随机存取存储器；该存储器也可以包括非易失性存储器，例如只读存储器，快闪存储器，硬盘或固态硬盘；该存储器还可以包括上述种类的存储器的组合。

总线1004可以是扩展工业标准结构(extended industry standard architecture，EISA)总线等。总线1004可以分为地址总线、数据总线、控制总线等。为便于表示，图10中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

本申请实施例提供一种计算机可读存储介质，包括计算机指令，当计算机指令被处理器运行时，使得证书列表更新装置执行上述图2、图3、图6、图7给出的证书列表更新方法中第一车辆或网络侧设备所执行的操作。

本申请实施例还提供一种包含指令的计算机程序产品，当指令在计算机上运行时，使得计算机执行上述图2、图3、图6、图7给出的证书列表更新方法中第一车辆或网络侧设备所执行的操作。

本申请还提供一种证书列表更新系统，该系统中包括上述网络侧的证书列表更新装置和车辆侧的证书列表更新装置。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本领域的技术人员可以清楚地了解到，本申请提供的各实施例的描述可以相互参照，为描述的方便和简洁，例如关于本申请实施例提供的各装置、设备的功能以及执行的步骤可以参照本申请方法实施例的相关描述，各方法实施例之间、各装置实施例之间也可以互相参照。

上述实施例可以全部或部分通过软件，硬件，固件或者其任意组合实现。当使用软件程序实现时，上述实施例可以全部或部分地以计算机程序产品的形式出现，计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本申请实施例的流程或功能。

其中，所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质，(例如，软盘，硬盘、磁带)、光介质(例如，DVD)或者半导体介质(例如固态硬盘(solid state disk，SSD))等。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个装置，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是物理上分开的，或者也可以不是物理上分开的，作为单元显示的部件可以是一个物理单元或多个物理单元，即可以位于一个地方，或者也可以分布到多个不同地方。在应用过程中，可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一个设备(可以是个人计算机，服务器，网络设备，单片机或者芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。

Claims

一种证书列表更新方法，所述方法用于第一车辆，其特征在于，所述方法包括：

获取证书记录，所述证书记录是由网络侧设备发送给所述第一车辆的，所述证书记录包括至少一个被撤销的证书或有效证书；

根据所述证书记录更新存储于所述第一车辆的证书列表，所述证书列表用于记录属于所述第一车辆的设备的被撤销的证书或有效证书，或用于记录属于第一车辆组的设备的被撤销的证书或有效证书，其中，所述第一车辆组包括所述第一车辆。
根据权利要求1所述的证书列表更新方法，其特征在于，所述证书记录包括的每一个被撤销的证书或有效证书均为属于所述第一车辆或所述第一车辆组的设备的证书。
根据权利要求2所述的证书列表更新方法，其特征在于，所述根据所述证书记录更新存储于所述第一车辆的证书列表，包括：

将所述证书记录中的每一个被撤销的证书或有效证书添加入所述证书列表中。
根据权利要求1所述的证书列表更新方法，其特征在于，所述根据所述证书记录更新存储于所述第一车辆的证书列表，包括：

确定所述证书记录中属于所述第一车辆或所述第一车辆组的设备的至少一个被撤销的证书或有效证书；

将所述属于所述第一车辆或所述第一车辆组的设备的至少一个被撤销的证书或有效证书添加到所述证书列表中。
根据权利要求1-4任一项所述的证书列表更新方法，其特征在于，所述第一车辆组还包括第二车辆，所述证书列表还包括属于第二车辆的设备的被撤销的证书或有效证书，所述第二车辆的设备的被撤销的证书或有效证书用于所述第一车辆对所述第二车辆进行认证。
根据权利要求1-5中任一项所述的证书列表更新方法，其特征在于，所述根据所述证书记录更新存储于所述第一车辆的证书列表，包括：

获取第一证书列表数据块的标识，所述第一证书列表数据块为更新前的证书列表对应的数据块；

根据所述第一证书列表数据块的标识和所述证书记录生成更新后的证书列表数据块，所述更新后的证书列表数据块包括区块头和区块体，所述更新后的证书列表数据块的区块头包括所述第一证书列表数据块的标识，所述更新后的证书列表数据块的区块体包括所述证书记录中属于所述第一车辆或所述第一车辆组的设备的被撤销的证书或有效证书。
根据权利要求6所述的证书列表更新方法，其特征在于，所述更新后的证书列表数据块的区块头还包括所述证书记录的标识。
根据权利要求6或7所述的证书列表更新方法，其特征在于，所述更新后的证书列表数据块的区块体还包括所述第一证书列表数据块。
根据权利要求1-8任一项所述的证书列表更新方法，其特征在于，所述根据所述证书记录更新存储于所述第一车辆的证书列表之前，所述方法还包括：

根据所述证书记录中的签名信息对所述证书记录进行验证；

若验证成功，则根据所述证书记录更新存储于所述第一车辆的证书列表。
根据权利要求1-9任一项所述的证书列表更新方法，其特征在于，所述被撤销的证书包括车辆标识、设备标识或设备类型中的一种或多种；

所述有效证书包括车辆标识、设备标识或设备类型中的一种或多种。
一种证书列表更新方法，所述方法用于网络侧设备，其特征在于，所述方法包括：

确定属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书，其中，所述第一车辆属于所述第一车辆组；

生成证书记录，所述证书记录包括所述属于所述第一车辆或所述第一车辆组的设备的至少一个被撤销的证书或有效证书；

向所述第一车辆发送所述证书记录。
根据权利要求11所述的证书列表更新方法，其特征在于，所述确定属于所述第一车辆或所述第一车辆组的设备的至少一个被撤销的证书或有效证书，包括：

根据被撤销的证书或有效证书中的设备标识或车辆标识，确定属于所述第一车辆或所述第一车辆组的设备的至少一个被撤销的证书或有效证书。
根据权利要求11所述的证书列表更新方法，其特征在于，所述确定属于所述第一车辆或所述第一车辆组的设备的至少一个被撤销的证书或有效证书，包括：

通过查询车辆证书管理系统，确定属于所述第一车辆或所述第一车辆组的设备的至少一个被撤销的证书或有效证书。
根据权利要求11-13任一项所述的证书列表更新方法，其特征在于，在生成所述证书记录之前，所述方法还包括：

确定所述至少一个被撤销的证书对应的设备不包括网联设备；

所述向第一车辆发送证书记录包括：向所述第一车辆内的网联设备发送所述证书记录。
根据权利要求11-13任一项所述的证书列表更新方法，其特征在于，在生成所述证书记录之前，所述方法还包括：

确定所述至少一个被撤销的证书对应的设备包括网联设备；

通知所述第一车辆的用户进行网联设备的重新注册；

确定所述用户已完成所述网联设备的重新注册；

所述向第一车辆发送证书记录包括：向所述第一车辆内的网联设备发送所述证书记录。
根据权利要求11-15任一项所述的证书列表更新方法，其特征在于，所述被撤销的证书包括车辆标识、设备标识或设备类型中的一种或多种；

所述有效证书包括车辆标识、设备标识或设备类型中的一种或多种。
根据权利要求11-16任一项所述的方法，其特征在于，所述第一车辆组还包括第二车辆，所述证书列表还包括属于第二车辆的设备的被撤销的证书或有效证书，所述第二车辆的设备的被撤销的证书或有效证书用于所述第一车辆对所述第二车辆进行认证。
一种证书列表更新装置，其特征在于，所述装置用于第一车辆，包括：

获取单元，用于获取证书记录，其中，所述证书记录是由网络侧设备发送给所述第一车辆的，所述证书记录包括至少一个被撤销的证书或有效证书；

更新单元，用于根据所述证书记录更新存储于所述第一车辆的证书列表，所述证书列表用于记录属于所述第一车辆的设备的被撤销的证书或有效证书，或用于记录属于第一车辆组的设备的被撤销的证书或有效证书，其中，所述第一车辆组包括所述第一车辆。
根据权利要求18所述的证书列表更新装置，其特征在于，并且所述证书记录中的每一个被撤销的证书或有效证书均为属于所述第一车辆或所述第一车辆组的设备的证书。
根据权利要求18或19所述的证书列表更新装置，其特征在于，所述更新单元，用于根据所述证书记录更新存储于所述第一车辆的证书列表，包括：

将所述证书记录中的每一个被撤销的证书或有效证书添加入所述证书列表中。
根据权利要求18所述的证书列表更新装置，其特征在于，所述更新单元，用于根据所述证书记录更新存储于所述第一车辆的证书列表，包括：

确定所述证书记录中属于所述第一车辆或所述第一车辆组的设备的至少一个被撤销的证书或有效证书；

将所述属于所述第一车辆或所述第一车辆组的设备的至少一个被撤销的证书或有效证书添加到所述证书列表中。
根据权利要求18-21中任一项所述的证书列表更新装置，其特征在于，所述第一车辆组还包括第二车辆，所述证书列表还包括属于第二车辆的设备的被撤销的证书或有效证书，所述第二车辆的设备的被撤销的证书或有效证书用于所述第一车辆对所述第二车辆进行认证。
根据权利要求18-22中任一项所述的证书列表更新装置，其特征在于，所述更新单元，用于根据所述证书记录更新存储于所述第一车辆的证书列表，包括：

获取第一证书列表数据块的标识，所述第一证书列表数据块为更新前的证书列表对应的数据块；

根据所述第一证书列表数据块的标识和所述证书记录生成更新后的证书列表数据块，所述更新后的证书列表数据块包括区块头和区块体，所述更新后的证书列表数据块的区块头包括所述第一证书列表数据块的标识，所述更新后的证书列表数据块的区块体包括所述证书记录中属于所述第一车辆或所述第一车辆组的设备的被撤销的证书或有效证书。
根据权利要求23所述的证书列表更新装置，其特征在于，所述更新后的证书列表数据块的区块头还包括所述证书记录的标识。
根据权利要求23或24所述的证书列表更新装置，其特征在于，所述更新后的证书列表数据块的区块体还包括所述第一证书列表数据块。
根据权利要求18-25任一项所述的证书列表更新装置，其特征在于，所述更新单元，用于根据所述证书记录更新存储于所述第一车辆的证书列表之前，所述装置还包括：

验证单元，用于根据所述证书记录中的签名信息对所述证书记录进行验证；

所述更新单元，还用于若验证成功，则根据所述证书记录更新存储于所述第一车辆的证书列表。
根据权利要求18-26任一项所述的证书列表更新装置，其特征在于，所述被撤销的证书包括车辆标识、设备标识或设备类型中的一种或多种；

所述有效证书包括车辆标识、设备标识或设备类型中的一种或多种。
一种证书列表更新装置，其特征在于，所述装置用于网络侧设备，包括：

确定单元，用于确定属于第一车辆或第一车辆组的设备的至少一个被撤销的证书或有效证书，其中，所述第一车辆属于所述第一车辆组；

生成单元，用于生成证书记录，所述证书记录包括所述属于所述第一车辆或所述第一车辆组的设备的至少一个被撤销的证书或有效证书；

发送单元，用于向所述第一车辆发送所述证书记录。
根据权利要求28所述的装置，其特征在于，所述确定属于所述第一车辆或所述第一车辆组的设备的至少一个被撤销的证书或有效证书，包括：

根据被撤销的证书或有效证书中的设备标识或车辆标识，确定属于所述第一车辆或所述第一车辆组的设备的至少一个被撤销的证书或有效证书。
根据权利要求28所述的装置，其特征在于，所述确定属于所述第一车辆或所述第一车辆组的设备的至少一个被撤销的证书或有效证书，包括：

通过查询车辆证书管理系统，确定属于所述第一车辆或所述第一车辆组的设备的至少一个被撤销的证书或有效证书。
根据权利要求28-30中任一项所述的装置，其特征在于，

所述确定单元，还用于确定所述至少一个被撤销的证书对应的设备不包括网联设备；

所述发送单元，用于向所述第一车辆发送证书记录，包括：向所述第一车辆内的网联设备发送所述证书记录。
根据权利要求28-30中任一项所述的装置，其特征在于，

所述确定单元，还用于确定所述至少一个被撤销的证书对应的设备包括网联设备，以及确定用户已完成所述网联设备的重新注册；

所述装置还包括通知单元，用于通知所述第一车辆的用户进行网联设备的重新注册；

所述向所述第一车辆发送证书记录，包括向所述第一车辆内的网联设备发送所述证书记录。
根据权利要求28-32中任一项所述的装置，其特征在于，所述被撤销的证书包括车辆标识、设备标识或设备类型中的一种或多种；

所述有效证书包括车辆标识、设备标识或设备类型中的一种或多种。
根据权利要求28-33中任一项所述的证书列表更新装置，其特征在于，所述第一车辆组还包括第二车辆，所述证书列表还包括属于第二车辆的设备的被撤销的证书或有效证书，所述第二车辆的设备的被撤销的证书或有效证书用于所述第一车辆对所述第二车辆进行认证。
一种证书列表更新装置，其特征在于，包括：处理器和存储器；其中，存储器用于存储计算机程序指令，所述处理器运行所述计算机程序指令以使所述证书列表更新装置执行权利要求1-10任一项所述的证书列表更新方法。
一种证书列表更新装置，其特征在于，包括：处理器和存储器；其中，存储器用于存储计算机程序指令，所述处理器运行所述计算机程序指令以使所述证书列表更新装置执行权利要求11-17任一项所述的证书列表更新方法。
一种计算机可读存储介质，其特征在于，包括计算机指令，当所述计算机指令被处理器运行时，使得证书列表更新装置执行如权利要求1-17任一项所述的证书列表更新方法。
一种计算机程序产品，其特征在于，当所述计算机程序产品在处理器上运行时，使得证书列表更新装置执行如权利要求1-17任一项所述的证书列表更新方法。