WO2022171177A1 - 通信密钥配置方法及装置 - Google Patents

Abstract

本申请提供了一种通信密钥配置方法及装置，其中，证书密钥管理服务器可接收来自第一终端的第一消息，该第一消息包含第一证书和第二证书。证书密钥管理服务器可基于该第一证书验证第一终端具有利用第二证书请求该通信密钥的身份凭证，进而，证书密钥管理服务器可利用第二证书中的第一公钥对分配给该第一终端的通信密钥进行加密，获得该通信密钥的密文，从而将包含该通信密钥的密文的第二消息发送给该第一终端。可见，该方法不仅能够为第一终端直接分配通信密钥以减少协商密钥所需的消息交互数量，而且还可利用第一证书验证第一终端所具有的身份凭证，并利用第二证书为通信密钥加密，从而极大的保障了通信密钥的分配和传递的安全性。

Description

通信密钥配置方法及装置

本申请要求于2021年02月10日提交中国专利局、申请号为202110184217.2、申请名称为“通信密钥配置方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及车联网、通信技术领域，尤其涉及一种通信密钥配置方法及装置。

背景技术

随着车端传感器的数量的增加、功能的增强和精度的提高，车端设备采集到的地理位置信息、车辆轨迹、车辆周边信息等信息的信息量极大增加和敏感度也极大提升，因此，对数据安全性的要求也越来越高。云端设备为了收集车端采集到的传感器数据，以对自动驾驶等应用进行优化，需要车端设备将数据上传到云端。

为了保障数据上传的安全性，云端设备需要与车端设备通过协商密钥的方式，获得密钥，进而对数据进行加密后上传。然而密钥协商过程需要多次消息交互，通信数据量大，影响数据上传性能。另外，密钥协商获得的临时密钥的安全性与协商双方产生的随机数的随机性有关，一旦随机数的随机性降低，会导致易被攻击者预测的风险，从而导致数据的安全性较差。因此，如何配置通信中数据所用的密钥以保证数据的安全性成为一个亟待解决的问题。

发明内容

本申请实施例提供了一种通信密钥配置方法及装置，能够直接为车辆分配通信密钥减少所需的消息交互数量，并保障通信密钥的分配和传递的安全性，从而保证数据的安全性。

第一方面，本申请提供了一种通信密钥配置方法，该方法中，证书密钥管理服务器接收来自第一终端的第一消息，该第一消息包含第一证书和第二证书；证书密钥管理服务器利用第一证书，验证第一终端具有利用该第二证书请求通信密钥的身份凭证；证书密钥管理服务器可利用该第二证书对分配给第一终端的通信密钥进行加密，获得通信密钥的密文；从而将包含该通信密钥的密文的第二消息发送给该第一终端。

可选的，第一终端可为车辆或车辆模块，如车载设备。可选的，第一终端还可为机器人、无人机等智能设备或运输工具，或者为智能设备、运输工具等设备中的部件或模块等。证书密钥管理服务器支持与多个机器人、无人机等智能设备，或多车辆、多个车端设备等运输工具，或智能设备、运输工具等设备中的部件或模块进行通信连接，且对于这些智能设备、运输工具或其中的部件或模块来说，证书密钥管理服务器较为可信。

可见，证书密钥管理服务器在收到来自第一终端的第一消息后，可直接为该第一终端分配通信密钥以避免密钥协商获得的密钥无法保证密钥强度的问题；并且证书密钥管理服务器可利用第一证书验证第一终端具有利用第二证书请求通信密钥的身份凭证，以保证通信密钥分配给有身份凭证的车辆；以及证书密钥管理服务器还可利用第二证书对分配给车辆的通信密钥进行加密，以保证通信密钥传递的安全性。

另外，本申请由证书密钥管理服务器为车辆分配通信密钥，与车辆直接和云服务器协商密钥的方式相比，也有利于满足监管和审计的需求。

一种可选的实施方式中，第一证书可不同于设备证书，该第一证书可专用于验证请求密钥的车辆的身份凭证，避免由于设备证书不容易更新和撤销，第一终端直接使用设备证书请 求密钥导致设备证书使用次数太多而易泄露设备证书对应的私钥的问题，进而导致通信密钥的泄露。可选的，第一证书还可以比设备证书的更新频率更高，即使第一证书对应的私钥被泄露，也可再次申请新的第一证书，撤销已泄露的注册证书，使得后续身份凭证的验证不受影响，提高安全性。

一种可选的实施方式，第二证书可为专用于通信密钥分发的证书。本申请使用第二证书保证通信密钥传递的机密性，能够相比于设备证书或第一证书加密通信密钥的方式，进一步的提高第二证书的更新频率，即使第二证书对应的第二私钥泄露后，也可申请新的第二证书，同时撤销已泄露的第二证书，使后续通信密钥的传递不受影响，提高安全性。

另外，一个车辆所具有的第一证书的个数可为多个，分别对应不同的业务；一个车辆所具有的第二证书的个数也可为多个，分别对应同一业务的不同数据，本申请不做限定。

一种可选的实施方式中，来自第一终端的第一消息还包含第一签名。这样，证书密钥管理服务器根据第一证书中的第一公钥验证第一终端具有利用第二证书请求通信密钥的身份凭证，可包括：证书密钥管理服务器根据第一消息和第一证书中的第一公钥，校验第一签名；证书密钥管理服务器在第一签名校验通过时，确定第一终端具有第一消息和所述第一证书对应的第一私钥(或者，第一终端具有第一证书对应的第一私钥且第一消息未被篡改)，该第一消息和该第一私钥用于指示第一终端具有利用第二证书请求通信密钥的身份凭证。从而，有利于证书密钥管理服务器为具有身份凭证的车辆分配通信密钥。

一种可选的实施方式中，证书密钥管理服务器发送的第二消息还包含第二签名。该第二签名是证书密钥管理服务器利用通信密钥的密文和自身证书对应的私钥生成的，用于指示该第二消息来自证书密钥管理服务器。从而，有利于第一终端根据第二签名验证第二消息来源的合法性，进而能够使用该通信密钥进行数据传输。

本申请中，上述所述的第一证书和第二证书可由证书密钥管理服务器为第一终端分配。例如但不限于，证书密钥管理服务器接收来自第一终端的第一消息之前，如第一终端激活或交付客户等阶段，为第一终端分配第一证书和第二证书。

一种可选的实施方式中，证书密钥管理服务器为第一终端分配第二证书的相关操作可包括但不限于以下步骤：证书密钥管理服务器接收来自第一终端的第三消息，该第三消息包含第一证书和第二公钥；证书密钥管理服务器利用第一证书中第一公钥，验证第一终端具有利用第二证书请求通信密钥的身份凭证；证书密钥管理服务器利用来自第一终端的第二公钥，生成第二证书；证书密钥管理服务器向第一终端发送第四消息，该第四消息中包括该第二证书。可见，该实施方式保证了第二证书能够分发给具有对应身份凭证的车辆，使得车辆可以利用本申请所述的通信密钥配置方法向证书密钥管理服务器直接请求通信密钥。

可选的，该来自第一终端的第三消息可为第二证书请求消息，用于请求第二证书，进而请求通信密钥。

可选的，该来自第一终端的第三消息还包含第三签名。这样，证书密钥管理服务器利用第一证书，验证第一终端具有利用第二证书请求通信密钥的身份凭证，包括：证书密钥管理服务器根据第二公钥和第一证书中的第一公钥，校验第三签名；证书密钥管理服务器在第三签名校验通过时，确定第一终端具有第二公钥和第一证书对应的第一私钥(或者，第一终端具有第一证书对应的第一私钥且第二公钥未被篡改)；该第二公钥和该第一私钥用于指示第一终端具有利用第二证书请求通信密钥的身份凭证。进而，有利于通过上述所述的第四消息将第二证书分配给具有该对应身份凭证的车辆。

一种可选的实施方式中，证书密钥管理服务器为第一终端分配第一证书的相关操作可包 括但不限于以下步骤：证书密钥管理服务器接收来自第一终端的第五消息；该第五消息包括设备证书和第一公钥；证书密钥管理服务器利用设备证书，验证第一终端具有请求第一证书的身份凭证；证书密钥管理服务器基于来自第一终端的第一公钥生成第一证书；证书密钥管理服务器向第一终端发送第六消息，该第六消息中包括该第一证书。可见，该实施方式不仅能够为车辆分配第一证书，还能够保证被分配第一证书的车辆为具有对应身份凭证的车辆。

可选的，第五消息中还包括第四签名。这样，证书密钥管理服务器利用设备证书，验证第一终端具有请求第一证书的身份凭证，包括：证书密钥管理服务器根据第一公钥和设备证书中的第三公钥，校验第四签名；证书密钥管理服务器在第四签名校验通过时，确定第一终端具有第一公钥和设备证书对应的第三私钥，第一公钥和第三私钥用于指示第一终端具有请求第一证书的身份凭证。可见，该实施方式能够保证被分配第一证书的车辆为具有对应身份凭证的车辆。

本申请提供的通信密钥配置方法还可以包括：证书密钥管理服务器通过安全通道，向云服务器传输分配给第一终端的通信密钥。从而，有利于云服务器能够利用该通信密钥，解密第一终端上传的采用该通信密钥加密的数据，进而有利于云服务器优化自动驾驶等应用。

可选的，上述所述的通信密钥配置方法的相关操作、第一证书分配的相关操作、第二证书分配的相关操作，包括但不限于，分别在不同的三个阶段中执行。如一个阶段，可执行第一证书分配的相关操作，另一阶段，可执行第二证书分配的相关操作，又一阶段，可执行通信密钥配置的相关操作。可选的，第一终端申请第一证书、第二证书以及通信密钥的更新周期也可互为不同。从而，有利于改善第一终端触发各个阶段相关操作的灵活性，也有利于改善第一终端中各功能模块划分的灵活性。

第二方面，本申请还提供了一种通信密钥配置方法，该方法与第一方面所述的通信密钥配置方法相对应，是从第一终端的角度进行阐述的。该方法中，第一终端可向证书密钥管理服务器发送第一消息；该第一消息包含第一证书和第二证书；第一终端接收第二消息；该第二消息是证书密钥管理服务器利用第一证书验证第一终端具有利用第二证书请求通信密钥的身份凭证后发送的；第二消息包含第一终端的通信密钥的密文；第一终端利用第二证书对应的第二私钥，解密该通信密钥的密文，获得通信密钥。

可选的，第一终端可为车辆或车辆模块，如车载设备。可选的，第一终端还可为机器人、无人机等智能设备或运输工具，或者为智能设备、运输工具等设备中的部件或模块等。证书密钥管理服务器支持与多个机器人、无人机等智能设备，或多车辆、多个车端设备等运输工具，或智能设备、运输工具等设备中的部件或模块进行通信连接，且对于这些智能设备、运输工具或其中的部件或模块来说，证书密钥管理服务器较为可信。

可见，本申请中，第一终端可通过第一消息申请通信密钥，从而可直接接收来自证书密钥管理服务器返回的第二消息，以获得通信密钥，避免了第一终端需与通信对端，如云服务器，协商获得的密钥无法保证密钥强度的问题；并且，一方面，第一终端能够利用第一证书向证书密钥管理服务器指示自身为有身份凭证的车辆，另一方面，第一终端能够利用第二证书对应的第二私钥唯一获知证书密钥管理服务器分配给自身的通信密钥，保证了通信密钥传递的安全性。

另外，本申请中，第一终端可从证书密钥管理服务器获取通信密钥，与车辆直接和云服务器协商通信密钥的方式相比，更有利于满足监管和审计的需求。

一种可选的实施方式中，第一证书可不同于设备证书，该第一证书可专用于验证请求密 钥的车辆的身份凭证，避免由于设备证书不容易更新和撤销，第一终端直接使用设备证书请求密钥导致设备证书使用次数太多而易泄露设备证书对应的私钥的问题，进而导致通信密钥的泄露。可选的，第一证书还可以比设备证书的更新频率更高，即使第一证书对应的私钥被泄露，也可再次申请新的第一证书，撤销已泄露的第一证书，使得后续身份凭证的验证不受影响，提高安全性。

一种可选的实施方式，第二证书可为专用于通信密钥分发的证书。本申请使用第二证书保证通信密钥传递的机密性，能够相比于设备证书或第一证书加密通信密钥的方式，进一步的提高第二证书的更新频率更高，即使第二证书对应的第二私钥泄露后，也可申请新的第二证书，同时撤销已泄露的第二证书，使后续通信密钥的传递不受影响，提高安全性。

一种可选的实施方式中，第一终端发送的第一消息中还包括第一签名，即第一终端向证书密钥管理服务器发送第一消息之前，所述方法还包括：第一终端利用第一证书、第二证书和第一证书对应的第一私钥，生成第一签名；第一签名用于证书密钥管理服务器结合第一证书验证第一终端具有利用第二证书请求通信密钥的身份凭证。从而，有利于证书密钥管理服务器为具有身份凭证的第一终端分配通信密钥。

一种可选的实施方式中，第二消息还包含第二签名；第一终端接收第二消息之后，所述方法还包括：第一终端利用证书密钥管理服务器的证书中的公钥，校验第二签名；第一终端在第二签名校验通过时，确定第二消息来自证书密钥管理服务器。可选的，第一终端利用通信密钥的密文和证书密钥管理服务器的证书中的公钥，校验第二签名。可见，该实施方式有利于第一终端根据第二签名验证第二消息来源的合法性，进而能够使用该通信密钥进行数据传输，从而提高了通信密钥的安全性。

本申请中，上述所述的第一证书和第二证书可由第一终端分别申请。例如但不限于，第一终端发送第一消息之前，如第一终端激活或交付客户等阶段，第一终端向证书密钥管理服务器请求第一证书和第二证书。

一种可选的实施方式中，第一终端向证书密钥管理服务器请求第二证书，包括但不限于以下步骤：第一终端向证书密钥管理服务器发送第三消息，第三消息包括第一证书和第二公钥；第一终端接收第四消息；第四消息是证书密钥管理服务器利用第一证书验证第一终端具有利用第二证书请求通信密钥的身份凭证后发送的；第四消息中包括证书密钥管理服务器基于第二公钥生成的第二证书。可见，该实施方式可以向证书密钥管理服务器指示第一终端是具有对应身份凭证的车辆，从而使得第一终端获得第二证书。

可选的，第三消息中还包括第三签名；即第一终端向证书密钥管理服务器发送第三消息之前，所述方法还包括：第一终端根据第二公钥和第一证书对应的第一私钥，生成第三签名；第三签名用于证书密钥管理服务器结合第一证书验证第一终端具有利用第二证书请求所述通信密钥的身份凭证。

一种可选的实施方式中，第一终端向证书密钥管理服务器请求第一证书，可包括但不限于以下相关操作：第一终端向证书密钥管理服务器发送第五消息；第五消息包括设备证书和第一公钥；第一终端接收第六消息；第六消息是证书密钥管理服务器利用设备证书验证第一终端具有请求第一证书的身份凭证后发送的；第六消息中包括证书密钥管理服务器基于第一公钥生成的第一证书。可见，该实施方式可以向证书密钥管理服务器指示第一终端是具有对应身份凭证的车辆，从而使得第一终端获得第一证书。

可选的，所述第五消息中还包括第四签名；第一终端向证书密钥管理服务器发送第五消息之前，所述方法还包括：第一终端根据第一公钥和设备证书对应的第三私钥，生成第四签 名；第四签名用于证书密钥管理服务器结合设备证书验证第一终端具有请求第一证书的身份凭证。

本申请提供的通信密钥配置方法中，第一终端利用第二证书对应的第二私钥，解密通信密钥的密文，获得通信密钥之后，该方法还包括：第一终端利用通信密钥对待传输数据进行加密，获得待传输数据的密文；第一终端将待传输数据的密文上传到云服务器。从而，有利于云服务器安全获得这些数据，进而有利于云服务器优化自动驾驶等应用。

可选的，一种方式，第一终端将待传输数据的密文上传给云服务器的同时，还可以将对应通信密钥的密钥标识以及第一终端的车辆标识一并上传给云服务器；另一种方式，第一终端将待传输数据的密文和对应通信密钥的密钥标识上传给云服务器。从而使得云服务器能够采用对应的通信密钥解密数据的密文。通信密钥对应的密钥标识可由第一终端在第二消息中获得，即由证书密钥管理服务器为第一终端分配通信密钥时一并生成。

第三方面，本申请还提供一种数据解密方法，是从云服务器的角度进行阐述的，即云服务器可预先被推送或主动获取每个车辆对应的通信密钥，进而，基于每个车辆分别对应的通信密钥来解密对应车辆上传的数据的密文。可选的，若一个车辆可具有多个通信密钥，以对不同安全要求的数据进行加密上传，那么，云服务器还需预先被推送或主动获取每个车辆对应的多个通信密钥以及每个通信密钥的通信密钥标识；相应地，云服务器接收来自各个车辆的数据的密文的同时，还能够接收该数据的密文对应的通信密钥标识，进而选择对应的通信密钥解密该数据的密文。可见，该数据解密方法避免了云服务器与车辆之间协商通信密钥所导致的通信密钥强度不够的问题，减少了交互的消息数量，从而有利于减少对数据上传性能的影响。

第四方面，本申请还提供了一种通信密钥配置装置，包括接收单元、处理单元和发送单元。所述通信密钥配置装置用于实现第一方面或者第一方面的任意一种可能的实施方式所描述的方法。

第五方面，本申请还提供了另一种通信密钥配置装置，包括接收单元、处理单元和发送单元。所述通信密钥配置装置用于实现第二方面或者第二方面的任意一种可能的实施方式所描述的方法。

第六方面，本申请还提供了一种数据解密装置，包括接收单元、处理单元。所述数据解密装置用于实现第三方面或者第三方面的任意一种可能的实施方式所描述的方法。

上述第四方面至第六方面中任一方面中的发送单元或接收单元也可以为收发器，用于发送和/或接收上述第四方面至第六方面中任一方面中的数据；处理单元也可以为处理器，用于处理上述第四方面至第六方面中任一方面中的数据。

第七方面，本申请提供了一种芯片系统，该芯片系统包括至少一个处理器，用于支持实现上述第一方面至第三方面中的任一方面中所涉及的功能，例如，例如接收或处理上述方法中所涉及的数据和/或信息。

在一种可能的设计中，所述芯片系统还包括存储器，所述存储器，用于保存程序指令和数据，存储器位于处理器之内或处理器之外。该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件。

第八方面，本申请还提供一种通信密钥配置装置，所述通信密钥配置装置包括至少一个 处理器和通信接口，所述通信接口用于发送和/或接收数据，所述至少一个处理器用于调用至少一个存储器中存储的计算机程序，以使得通信密钥配置装置实现如第一方面至第三方面中的任一方面或第一方面至第三方面中任意一种可能的实施方式所描述的方法。

第九方面，本申请还提供一种通信密钥配置系统，该通信密钥配置系统包括证书密钥管理服务器、云服务器和第一终端中至少两个设备。其中，该证书密钥管理服务器用于实现上述第一方面或第一方面的任一种可能的实现方式所描述的方法，该第一终端用于实现上述第二方面或第二方面的一种可能的实现方式所描述的方法；云服务器用于获取或接收证书密钥管理服务器为第一终端分配的通信密钥。

第十方面，本申请还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，当所述计算机程序在一个或多个处理器上运行时，实现第一方面至第三方面中任一方面(或实现其任意一种可能的实施方式)所描述的方法。

第十一方面，本申请实施例公开了一种计算机程序产品，当所述计算机程序产品在一个或多个处理器上运行时，实现第一方面至第三方面中任一方面(或实现其任意一种可能的实施方式)所描述的方法。

附图说明

图1是本申请示出的一种通信系统的架构示意图；

图2是本申请实施例提供的一种通信密钥配置系统的结构示意图；

图3是本申请实施例提供的一种通信密钥配置方法的流程示意图；

图4是本申请实施例提供的另一种通信密钥配置方法的流程示意图；

图5是本申请实施例提供的又一种通信密钥配置方法的流程示意图；

图6是本申请实施例提供的一种第一证书获取方法的流程示意图；

图7是本申请实施例提供的一种第二证书获取方法的流程示意图；

图8是本申请实施例提供的一种通信密钥配置装置的结构示意图；

图9是本申请实施例提供的一种通信密钥配置装置的结构示意图；

图10是本申请实施例提供的一种芯片的结构示意图。

具体实施方式

下面结合本申请实施例中的附图对本申请实施例中的技术方案进行描述。

需要说明的是，本申请实施例使用“第一”、“第二”等序数词是用于对多个对象进行区分，不用于限定多个对象的顺序、时序、优先级或重要程度。例如，第一消息、第二消息、第三消息等，只是为了区分不同的消息类型，而并不是表示这两种消息的结构、重要程度等不同。

本申请实施例中，签名的过程中通常会使用到公钥和私钥，公钥和私钥是一对互相加解密的密钥。其中，私钥私密存储，公钥对外公开。在使用时，使用公钥加密明文得到密文，使用私钥解密密文得到明文。或者，使用私钥对原文进行签名，使用公钥和签名验证原文是否被篡改。

签名与验签的工作流程可以为(以双方分别为A节点和B节点为例)：A节点将原文进行哈希(hash)，得到第一hash值；A节点用自己的私钥对第一hash值加密得到签名值，将原文、签名值发送给B节点；B节点用公钥将签名值进行解密，得到第二hash值；B节点将原文进行hash得到第三hash值，对比第二hash值与第三hash值是否一致，以验证原文是否 被篡改。

其中，公钥的来源，可以是数字证书中的公钥。其中，数字证书(也可以称为安全证书)是标志身份的一个数字认证，通常是由证书授权(Certificate Authority，CA)中心或受信任的第三方设备所颁发的一种较为权威与公正的证书。B节点可以通过公钥的数字证书确定公钥为B节点的公钥。

应理解，前述的关于公钥、私钥以及签名等的解释只是用于简单叙述实现的原理，并不限定使用时一定使用相同的参数进行实现。例如，签名的具体实现过程中还可以有其他的改进和变体。另外需要说明的是，本申请实施例提到的“认证”、“校验”、“验证”，可以用于指示检查是否正确或合理、以及检查是否被篡改的意思。

对本申请实施例的系统架构和业务场景进行描述。

需要说明的是，本申请描述的系统架构及业务场景是为了更加清楚的说明本申请的技术方案，并不构成对于本申请提供的技术方案的限定，本领域普通技术人员可知，随着系统架构的演变和新业务场景的出现，本申请提供的技术方案对于类似的技术问题，同样适用。

请参见图1，图1是本申请示例的一种通信系统的架构示意图，该通信系统可包括业务云平台101(也可以称为云服务器)和车辆102。例如但不限于，车辆102是基于车辆电子电气(Electrical/Electronic Architecture，E/E)架构的车辆，参见区域103，车辆102可以包括以下部件中的至少一个：移动数据中心(Mobile Data Center，MDC)、人机交互(Human–Machine Interaction，HMI)、网关(gateway，GW)、汽车盒子(Telematics BOX，Tbox或称为TCU)、电子控制单元(Electronic Control Unit，ECU)等。其中，GW是整车的核心部件，其作为整车网络的数据交互枢纽，可将控制区域网络(Controller Area Network，CAN)、局域互联网络(Local Interconnect Network，LIN)、多媒体数据传输(Media Oriented System Transport，MOST)等网络数据在不同网络中进行路由。MDC是车辆的智能车载计算平台。T-BOX主要用于和车辆外部、后台系统和手机应用(application，APP)通信。HMI是车辆的信息输入、娱乐、交互系统。ECU是车辆内的控制器。

为了保障车辆102向业务云平台101上传的数据的安全性，车辆102需要与业务云平台101通过密钥协商、密钥派生等方式获得通信密钥，进而，车辆102将上传的数据利用该通信密钥加密后上传给业务云平台101。然而，数据上传连接建立过程中进行密钥协商、密钥派生等方式会需要多次消息交互、通信数据量较大，影响数据上传性能。另外，密钥协商获得的临时密钥的安全性与协商双方产生的随机数的随机性有关，一旦随机数的随机性降低，会导致易被攻击者预测的风险，从而导致数据的安全性较差。

本申请提供一种通信密钥配置系统，能够直接为车辆分配通信密钥减少所需的消息交互数量，并保障通信密钥的分配和传递的安全性，从而保证数据的安全性。

请参阅图2，图2是本申请实施例提供的一种通信密钥配置系统的结构示意图，该系统包括证书密钥管理服务器201、第一终端202和云服务器203中的至少两个设备。例如，该系统包括证书密钥管理服务器201、第一终端202和云服务器203中的两个设备，那么该系统可通过通信接口与该两个设备之外的另一设备进行交互。其中，图2以该系统包括三个设备为例进行阐述。其中：

证书密钥管理服务器201是具有数据处理能力的设备，可以是实体设备如主机、服务器等，也可以是虚拟设备如虚拟机、容器等。证书密钥管理服务器201能够与第一终端202进行信息传输，例如，为第一终端202分配通信密钥；证书密钥管理服务器201能够与云服务 器203进行信息传输，例如，将为第一终端202分配的通信密钥通过安全通道，推送给云服务器203。在一些具体的实施场景中，也将证书密钥管理服务器201称为证书/密钥管理服务器。

第一终端202可为车辆，或者为车辆中的设备，如车载设备等。可选的，第一终端202可为机器人、无人机等智能设备或车辆等运输工具，或者为智能设备、运输工具等设备中的部件或模块等。

云服务器203是具有数据处理能力的设备，可以是实体设备如主机、服务器等，也可以是虚拟设备如虚拟机、容器等。需要说明的是，此处为了便于描述称为服务器，具体实现过程中可以是服务器，也可以是其他具有数据处理能力的设备，或者是设备中的一个模块(例如芯片或集成电路)。云服务器203为收集车辆采集到的地理位置信息、车辆轨迹、车辆周边信息等数据的服务器。

基于该通信密钥配置系统，终端可执行通信密钥的初始化操作，也可称为通信密钥配置操作。例如，第一终端202可向证书密钥管理服务器201发送通信密钥请求，该通信密钥请求中可包含第一终端202具有的第一证书和第二证书。证书密钥管理服务器201利用第一证书，验证第一终端202具有利用该第二证书请求通信密钥的身份凭证；证书密钥管理服务器201可利用该第二证书对分配给第一终端202的通信密钥进行加密，获得通信密钥的密文，进而传递给第一终端202，从而保证通信密钥的安全性。可选的，该通信密钥请求还可包含第一签名和请求时间等，具体的，第一签名可用于由证书密钥管理服务器201结合第一证书验证第一终端202具有利用该第二证书请求通信密钥的身份凭证；请求时间可用于由证书密钥管理服务器201验证该通信密钥请求的新鲜性，以避免被复制重复请求通信密钥。第一终端202可接收来自证书密钥管理服务器201的通信密钥的密文。可选的，证书密钥管理服务器201可将分配给第一终端202的通信密钥通过安全通道传输给云服务器203。

可选的，第一终端202中可包括证书密钥管理模块，该证书密钥管理模块可执行上述所述的通信密钥请求的操作，接收来自证书密钥管理服务器201的通信密钥的密文，以及对该通信密钥的密文进行解密等操作，此处不再详述。

可选的，基于该通信密钥配置系统，终端可执行对待传输的数据进行加密等操作。例如，第一终端202可利用请求获得的通信密钥对待传输的数据进行加密后，获得数据的密文。

可选的，该第一终端202还可包括数据加密模块，该数据加密模块可利用请求获得的通信密钥对待传输的数据进行加密后，获得数据的密文。可选的，第一终端202中的证书密钥管理模块和数据加密模块可部署在图1所示的同一模块中，如MDC；或者，第一终端202中具有多套证书密钥管理模块和数据加密模块，图1所示的多个模块中，如MDC、Tbox、GW等车载设备中均可部署一套或多套证书密钥管理模块和数据加密模块，以用于管理不同的证书和通信密钥。

可选的，基于该通信密钥配置系统，终端与云服务器之间可执行数据安全传输等操作。例如，第一终端202将数据的密文上传给云服务器203。可选的，该第一终端202还可包括数据打包模块和传输模块，该数据打包模块可将数据的密文打包成数据报文，由传输模块将该数据报文发送给云服务器203。

可选的，基于该通信密钥配置系统，云服务器可执行数据解密等操作。例如，云服务器203使用证书密钥管理服务器201传输的第一终端202的通信密钥对该数据的密文进行解密。

可选的，终端执行通信密钥的初始化操作之前，终端还可执行证书的初始化操作。例如，第一终端202可分别向证书密钥管理服务器201发送第一证书请求、第二证书请求，或者， 第一终端202可向证书密钥管理服务器201发送证书请求以请求第一证书和第二证书。进而，证书密钥管理服务器201可分别或同时为第一终端202分配第一证书、第二证书。

其中，第一证书请求中可包括第一终端202的设备证书和第一公钥；证书密钥管理服务器201可根据该设备证书，验证第一终端202具有请求第一证书的身份凭证；证书密钥管理服务器201可利用第一公钥，生成第一证书并发送给第一终端202。其中，第二证书请求中可包括第一终端202的第一证书和第二公钥；证书密钥管理服务器201可根据该第一证书，验证第一终端202具有利用第二证书请求通信密钥的身份凭证；证书密钥管理服务器201可利用第二公钥，生成第二证书并发送给第一终端202。可选的，证书请求中可包括第一终端202的设备证书、第一公钥和第二公钥；证书密钥管理服务器201可根据该设备证书，验证第一终端202具有请求第一证书的身份凭证；证书密钥管理服务器201可利用第一公钥生成第一证书以及利用第二公钥生成第二证书；证书密钥管理服务器201可将第一证书和第二证书一并发送给第一终端202。

可选的，在一些终端初始化等场景，如车辆首次启动的场景，可一并执行证书初始化、通信密钥初始化的相关操作；在一些数据上传业务等场景，可执行通信密钥初始化的相关操作即可，即终端的相关证书已经通过之前的证书初始化阶段完成。

可选的，上述所述的第一证书请求、第二证书请求，或证书请求，接收来自证书密钥管理服务器201的第一证书、第二证书等操作可由上述所述的第一终端202中证书密钥管理模块执行。

可选的，证书密钥管理服务器201可以部署有证书管理模块和密钥管理模块中的至少一项。证书密钥管理服务器201可通过证书管理模块执行证书初始化的相关操作，如为第一终端202分配第一证书、第二证书；证书密钥管理服务器201可通过密钥管理模块，执行通信密钥初始化的相关操作，如为第一终端202分配通信密钥。

可选的，云服务器203中可包括证书密钥管理模块、数据解密模块、数据拆包模块以及传输模块中的至少一个。其中，证书密钥管理模块可主动从证书密钥管理服务器获取第一终端202的通信密钥，也可接收证书密钥管理服务器推送的第一终端202的通信密钥；传输模块可接收来自第一终端202的数据报文，并由数据拆包模块从该数据报文中获取数据的密文，进而由解密模块根据该第一终端202的通信密钥解密该数据的密文，获得该数据。

可见，图2所示的系统中，证书密钥管理服务器201可直接为该第一终端202分配通信密钥以避免密钥协商获得的密钥无法保证密钥强度的问题；并且证书密钥管理服务器201可利用第一证书验证第一终端202具有利用第二证书请求通信密钥的身份凭证，以保证通信密钥分配给有身份凭证的终端；以及证书密钥管理服务器还可利用第二证书对分配给第一终端202的通信密钥进行加密，以保证通信密钥传递的安全性。另外，该系统由证书密钥管理服务器201为第一终端202分配通信密钥，与第一终端202直接和云服务器203协商密钥的方式相比，也有利于满足监管和审计的需求。

以下从证书密钥管理服务器、第一终端、云服务器之间交互的角度，对本申请提供的通信密钥配置方法进行相关的阐述。

请参阅图3，图3是本申请实施例提供的一种通信密钥配置方法的流程示意图。可选的，图3所示的通信密钥配置方法可基于图2所示的结构来实现。如图3所示，该通信密钥配置方法可包括但不限于以下步骤：

S301、第一终端向证书密钥管理服务器发送第一消息。

S302、证书密钥管理服务器接收该第一消息。

其中，证书密钥管理服务器的相关描述可以参看前述对证书密钥管理服务器201的描述。该证书密钥管理服务器可以是一个服务器，也可以是多个服务器组成的服务器集群，还可以是分布式的服务器。

该第一消息包含第一证书和第二证书。第一证书用于验证第一终端具有利用该第二证书请求通信密钥的身份凭证；第二证书用于加密分配给第一终端的通信密钥。应理解，第一消息也可以包含多条消息。例如，第一消息包含消息A和消息B，其中消息A中包含第一证书，消息B中包含第二证书。可选的，第一消息可以是通信密钥请求消息，也可以是其他类型的消息。可选的，第一消息中可携带标识以告知证书密钥管理服务器，第一终端请求通信密钥。

S303、证书密钥管理服务器根据第一证书，验证第一终端具有利用第二证书请求通信密钥的身份凭证；

可选的，第一证书可不同于设备证书，该第一证书可专用于验证第一终端的身份凭证，避免由于设备证书不容易更新和撤销，第一终端直接使用设备证书请求密钥导致设备证书使用次数太多而易泄露设备证书对应的私钥的问题，进而导致通信密钥的泄露。可选的，第一证书还可以比设备证书的更新频率更高，即使第一证书对应的私钥被泄露，也可再次申请新的第一证书，撤销已泄露的注册证书，使得后续身份凭证的验证不受影响，提高安全性。

可选的，证书密钥管理服务器还可利用第一证书的根证书对第一证书进行验证，以保证第一证书是由自身颁布的，是可信的。

S304、证书密钥管理服务器可利用该第二证书对分配给第一终端的通信密钥进行加密，获得通信密钥的密文。

可选的，第二证书可为专用于通信密钥分发的证书。采用第二证书保证通信密钥传递的机密性，相比于采用设备证书或第一证书加密通信密钥的方式，能够进一步的提高第二证书的更新频率，即使第二证书对应的第二私钥泄露后，也可申请新的第二证书，同时撤销已泄露的第二证书，使后续通信密钥的传递不受影响，提高安全性。

S305、证书密钥管理服务器向该第一终端发送第二消息。

其中，该第二消息包含分配给第一终端的通信密钥的密文。

S306、证书密钥管理服务器通过安全通道，向云服务器传输分配给第一终端的通信密钥。

可选的，步骤S305与S306之间执行的先后顺序，本申请不做限定。

相应地，第一终端可接收第二消息，云服务器可获得第一终端的通信密钥。

可选的，证书密钥管理服务器通过安全通道，主动向云服务器推送分配给第一终端的通信密钥；可选的，云服务器也可主动向证书密钥管理服务器获取该第一终端的通信密钥，本申请实施例不做限定。

可见，本申请实施例中，证书密钥管理服务器在收到来自第一终端的第一消息后，可直接为该第一终端分配通信密钥以避免密钥协商获得的密钥无法保证密钥强度的问题；并且证书密钥管理服务器可利用第一证书验证第一终端具有利用第二证书请求通信密钥的身份凭证，以保证通信密钥分配给有身份凭证的车辆；以及证书密钥管理服务器还可利用第二证书对分配给车辆的通信密钥进行加密，以保证通信密钥传递的安全性。另外，本申请由证书密钥管理服务器为车辆分配通信密钥，与车辆直接和云服务器协商密钥的方式相比，也有利于满足监管和审计的需求。

请参阅图4，图4是本申请实施例提供的另一种通信密钥配置方法的流程示意图。图4 所示的通信密钥配置方法与图3所示的通信密钥配置方法相比，第一消息中还包含第一签名。如图4所示，第一终端在发送第一消息之前，第一终端可根据第一证书、第二证书和第一证书对应的第一私钥，生成第一签名。例如，第一终端利用第一证书对应的第一私钥，对第一消息中的内容(如第一证书、第二证书)进行签名，获得第一签名。其中，该签名采用的算法可基于第一证书获知。

相应地，证书密钥管理服务器在发送第二消息之前，例如，如图4所示，在接收到第一消息后，证书密钥管理服务器根据第一消息和第一证书中的第一公钥，校验第一签名；证书密钥管理服务器在第一签名校验通过时，确定第一终端具有第一消息和第一证书对应的第一私钥，该第一消息和该第一私钥用于指示第一终端具有利用第二证书请求通信密钥的身份凭证。可见，该实施方式使得证书密钥管理服务器获知该第一终端是合法的，且具有对应的身份凭证，从而有利于保证通信密钥分配的安全性。

可选的，第二消息中还可包含第二签名。如图4所示，证书密钥管理服务器根据通信密钥的密文和自身证书对应的私钥，生成第二签名。相应的，如图4所示，第一终端接收第二消息之后，第一终端利用通信密钥的密文和证书密钥管理服务器的证书中的公钥，校验第二签名；第一终端在第二签名校验通过时，确定第二消息来自证书密钥管理服务器。可见，该实施方式使得第一终端根据第二签名验证第二消息来源的合法性，进而能够使用该通信密钥进行数据传输，从而提高了通信密钥的安全性。

其中，证书密钥管理服务器根据通信密钥的密文和自身证书对应的私钥，生成第二签名，可以包括：证书密钥管理服务器利用自身证书对应的私钥，计算通信密钥的密文的哈希值，进而得到第二签名。

可选的，第一消息中还可以包括通信密钥的请求时间，即第一消息的发送时间，从而保证第一消息的新鲜性，避免第一消息被其他第三方复制后多次请求通信密钥。相应地，第二消息中还可以包括响应时间，即第二消息的发送时间，从而也能够保证第二消息的新鲜性，避免第二消息被其他第三方复制后多次使用，导致加密的数据安全性不够。

请参阅图5，图5是本申请实施例提供的又一通信密钥配置方法的流程示意图。图5所示的通信密钥配置方法与上述图3、图4所示的通信密钥配置方法的不同之处在于，在图3、图4所示的通信密钥配置方法的相关操作之前，证书密钥管理服务器可向第一终端分配第一证书和第二证书，即第一证书、第二证书分配阶段。以下结合图6、图7对第一证书的获取流程以及第二证书的获取流程进行阐述。

如图6所示的第一证书获取流程示意图，第一证书获取流程可包括但不限于以下相关操作：

S601、第一终端向证书密钥管理服务器发送第五消息。

S602、证书密钥管理服务器接收来自第一终端的第五消息。

该第五消息包括设备证书和第一公钥，其中，第一终端需要预置设备证书。其中，第一公钥可以是第一终端采用非对称密码算法生成的公私钥对，该公私钥对包括第一公钥和第一私钥。第一公钥用于由证书密码管理服务器生成第一证书，第一私钥用于对所述的对第一消息、第三消息或第三消息中的第二公钥进行签名，以告知证书密钥管理服务器第一终端具有利用第二证书请求通信密钥的身份凭证。

S603、证书密钥管理服务器利用设备证书，验证第一终端具有请求第一证书的身份凭证。

该证书密钥管理服务器需要预置设备证书的根证书，用于验证第一终端的设备证书，进 而确定第一终端是否具有请求第一证书的身份凭证。

可选的，所述第五消息中还包括第四签名；第一终端向证书密钥管理服务器发送第五消息之前，所述方法还包括：第一终端根据第一公钥和设备证书对应的第三私钥，生成第四签名；第四签名用于证书密钥管理服务器结合设备证书验证第一终端具有请求第一证书的身份凭证。其中，第一终端根据可利用设备证书对应的第三私钥，对第一公钥或第五消息进行签名，获得第四签名。可选的，该签名采用的算法可由设备证书指定。

相应地，证书密钥管理服务器利用设备证书，验证第一终端具有请求第一证书的身份凭证，还包括：证书密钥管理服务器根据第一公钥和设备证书中的第三公钥，校验第四签名；证书密钥管理服务器在第四签名校验通过时，确定第一终端具有第一公钥和设备证书对应的第三私钥，第一公钥和第三私钥用于指示第一终端具有请求第一证书的身份凭证。也就是说，证书密钥管理服务器不仅利用设备证书的根证书验证设备证书，还在设备证书验证通过时，利用设备证书中的第三公钥和第五消息中的第一公钥，校验第四签名，这样，通过第一公钥的完整性未被篡改的校验结果，保证被分配第一证书的车辆为具有对应身份凭证的车辆。

S604、证书密钥管理服务器基于来自第一公钥生成第一证书。

S605、证书密钥管理服务器向第一终端发送第六消息，该第六消息中包括该第一证书。

S606、第一终端接收第六消息。

也就是说，第六消息是证书密钥管理服务器利用设备证书验证第一终端具有请求第一证书的身份凭证后发送的。

可选的，该部分获取的第一证书可以有多个，对应于不同的业务数据。例如，若一些车辆开通了激光雷达数据上传业务，但没有开通摄像头图片上传业务，则证书密钥管理服务器就可以只分配一个第一证书，对应于激光雷达数据上传业务。若另一些车辆该两种业务都已开通，则证书密钥管理服务器就可以为其分配两个注册证书，分别对应于两种业务。相应地，第一终端执行上述所述的通信密钥配置方法时，第一终端可针对不同业务，携带对应的第一证书。

可选的，第五消息中还可以包括第一证书的请求时间，即第五消息的发送时间，从而保证第五消息的新鲜性，避免第五消息被其他第三方复制后多次请求第一证书。相应地，第六消息中还可以包括响应时间，即第六消息的发送时间，从而也能够保证第六消息的新鲜性，避免第六消息被其他第三方复制后多次使用，导致第一证书的安全性不够。

可选的，第四签名还可结合第一证书的请求时间生成，本申请不做限定。

可见，图6所示的第一证书获取流程可以保证证书密钥管理服务器向具有对应身份凭证的车辆分配第一证书。

如图7所示的第二证书获取流程示意图，第二证书获取流程可包括但不限于以下相关操作：

S701、第一终端向证书密钥管理服务器发送第三消息。

S702、证书密钥管理服务器接收来自第一终端的第三消息。

该第三消息包括第一证书和第二公钥，其中，第一终端具有第一证书。

S703、证书密钥管理服务器利用第一证书，验证第一终端具有利用第二证书请求通信密钥的身份凭证。

可选的，所述第三消息中还包括第三签名；第一终端向证书密钥管理服务器发送第三消息之前，所述方法还包括：第一终端根据第二公钥和第一证书对应的第一私钥，生成第三签 名；第三签名用于证书密钥管理服务器结合第一证书验证第一终端具有利用第二证书请求通信密钥的身份凭证。其中，第一终端根据可利用第一证书对应的第一私钥，对第二公钥或第三消息进行签名，获得第三签名。可选的，该签名采用的算法可由第一证书指定。

相应地，证书密钥管理服务器利用第一证书，验证第一终端具有利用第二证书请求通信密钥的身份凭证，还包括：证书密钥管理服务器根据第二公钥和第一证书中的第一公钥，校验第三签名；证书密钥管理服务器在第三签名校验通过时，确定第一终端具有第一公钥和设备证书对应的第三私钥，第一公钥和第三私钥用于指示第一终端具有利用第二证书请求通信密钥的身份凭证。也就是说，证书密钥管理服务器不仅利用设备证书验证第一证书，还在第一证书验证通过时，利用第一证书中的第一公钥和第三消息中的第二公钥，校验第三签名，这样，通过第二公钥的完整性未被篡改的校验结果，保证被分配第二证书的车辆为具有对应身份凭证的车辆。

S704、证书密钥管理服务器基于来自第二公钥生成第二证书。

S705、证书密钥管理服务器向第一终端发送第四消息，该第四消息中包括该第二证书。

S706、第一终端接收第四消息。

也就是说，第四消息是证书密钥管理服务器利用第一证书验证第一终端具有利用第二证书请求通信密钥的身份凭证后发送的。

可选的，该部分获取的第二证书可以有多个，分别用于保护不同的通信密钥。例如，在实际进行数据加密上传业务时，需要上传的数据可能有不同的分类以及对应的不同安全要求。例如，激光雷达的数据中可能包括地理信息坐标、激光点云原始数据、结构化数据等，这些数据的安全要求可能不同，比如高精度的地理信息坐标数据安全要求很高，加密所用的通信密钥需要每天更新，而激光点云原始数据安全要求相对较低，加密所用的通信密钥可以一个月更新一次。因此，在这种场景下，证书密钥管理服务器可以为车端设备，如第一终端，分配多个第二证书，以请求不同类型的通信密钥用于不同类型数据的加密。也就是说，对于每种类型的通信密钥，可以使用不同的第二证书进行保护。

可选的，第三消息中还可以包括第二证书的请求时间，即第三消息的发送时间，从而保证第三消息的新鲜性，避免第三消息被其他第三方复制后多次请求第二证书。相应地，第四消息中还可以包括响应时间，即第四消息的发送时间，从而也能够保证第四消息的新鲜性，避免第六消息被其他第三方复制后多次使用，导致第二证书的安全性不够。

可选的，第三签名还可结合第二证书的请求时间生成，本申请不做限定。

可见，图7所示的第二证书获取流程可以保证证书密钥管理服务器向具有对应身份凭证的车辆分配第二证书。

本申请实施例提供的一种数据加密方法。该数据加密方法可采用上述图3、图4所示的通信密钥配置方法，获得的通信密钥对第一终端采集的数据进行加密，获得数据的密文，并上传到云服务器。以下对数据加密流程进行简单阐述。该数据加密流程可包括但不限于以下步骤：

S801、第一终端确定待加密数据。

该待加密数据可称为明文。若明文中有不加密的内容，则将不加密的内容设为密码算法的可鉴别数据(即作为密码算法的输入参数之一)，将需要加密的内容设为密码算法的明文输入，生成初始向量(initialization vector，IV)。可选的，数据加解密需要所使用的参数IV长度为128比特，其生成方法，本申请实施例不做限定，可选的，参数IV可包括但不限于以下 两种方式：

方案1：参数IV由48比特的时间和80比特的随机数组成。48比特的时间是“年月日时分秒”组成的14位10进制数的2进制表示；80比特的随机数是通过随机数生成算法产生。

方案2：参数IV是随机数(128bit)，加密时间和明文串接后作为加密算法输入获得的。

S802、第一终端利用密码算法和上述分配的通信密钥对该明文进行加密，生成密文。

S803、第一终端确定生成的密文、参数IV、通信密钥的标识、第一终端的标识一起作为数据密文。

可选的，该步骤S801至S803可由第一终端中的加密模块来执行。

其中，通信密钥的标识可由证书密钥管理服务器在为第一终端分配该通信密钥时生成，进而携带于第二消息中发送给第一终端。这样，对于第一终端配置有多个通信密钥的情况，第一终端可在数据密文中携带该标识以告知云服务器，采用对应的通信密钥来解密该数据密文。

第一终端的标识可以是车辆识别代号(Vehicle Identification Number，VIN)、设备证书序列号等能够标识车端设备的信息。

可选的，在步骤S803之后，第一终端可将该数据密文上传给云服务器，该数据密文的传输过程可基于安全传输协议，如超文本传输安全协议(Hyper Text Transfer Protocol over Secure Socket Layer，HTTPS)进行。

可见，该数据加密方法可直接利用证书密钥管理服务器分配的通信密钥对数据进行加密，与第一终端还需云服务器协商通信密钥或派生通信密钥的方式相比，大大减少了数据上传过程中所需的交互消息量，避免了交互消息量过大对数据上传的影响。

相应地，本申请实施例提供的一种数据解密方法。数据解密方法可采用上述图3、图4所示的通信密钥配置方法中，云服务器可利用证书密钥管理服务器通过安全通道传输给云服务器的通信密钥，执行相关操作。以下对数据解密流程进行简单阐述。该数据解密流程可包括但不限于以下步骤：

S901、云服务器接收数据密文。

其中，该数据密文如上所述包括S802生成的密文、参数IV、通信密钥的标识、第一终端的标识。

S902、云服务器根据通信密钥的标识、第一终端的标识，确定对应的通信密钥。

S903、云服务器利用通信密钥和参数IV，使用密码算法解密，获得明文；

可选的，云服务器还可以根据参数IV中的时间比特，判断数据密文的新鲜性。例如，参数IV中的时间和当前时间差别过大时，认为数据密文无效，从而避免云服务器获得错误的明文。

可选的，云服务器可输出获得的明文。可选的，步骤S901至S903的相关操作可由云服务器中的解密模块执行。

可见，该数据解密方法中，云服务器可直接利用证书密钥管理服务器分配给第一终端的通信密钥对数据密文进行解密，与云服务器还需和第一终端协商通信密钥或派生通信密钥的方式相比，大大减少了数据上传过程中所需的交互消息量，避免了交互消息量过大对数据上传的影响。

可选的，上述数据加密方法中，数据在加密之前，可先进行数据压缩处理；相应地，该数据解密方法中，数据密文解密后获得的明文可进行解压缩处理。可见，该实施方式能够处 理某些大数据量的上传业务，如摄像头头像视频上传业务等。

需要说明的是，上述各实施例中的步骤可以根据实际需要进行顺序调整、合并和删减。

上述本申请提供的实施例中，分别从证书密钥管理服务器、第一终端以及云服务器等角度对本申请实施例提供的相关方法进行了介绍。为了实现本申请实施例提供的方法中的各功能，证书密钥管理服务器、第一终端以及云服务器可以包括硬件结构、软件模块，以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。下面将结合图8至图10详细描述本申请实施例相关的通信装置。

图8示出了通信密钥配置装置的示意性框图，通信密钥配置装置800可以执行上述方法实施例中证书密钥管理服务器的相关操作，该通信密钥配置装置800可以是图2所示的证书密钥管理服务器，也可以是证书密钥管理服务器中的一个器件，例如芯片或集成电路等。其中，该通信密钥配置装置可包括但不限于：

通信单元801，用于接收来自第一终端的第一消息，该第一消息包含第一证书和第二证书；

处理单元802，用于利用所述第一证书，验证该第一终端具有利用第二证书请求通信密钥的身份凭证；

该处理单元802，还用于利用第二证书，对分配给第一终端的通信密钥进行加密，获得通信密钥的密文；

所述通信单元801，还用于向第一终端发送第二消息，该第二消息包含该通信密钥的密文。

可见，该通信密钥配置装置不仅能够为第一终端直接分配通信密钥以减少协商密钥所需的消息交互数量，而且还可利用第一证书验证第一终端所具有的身份凭证，并利用第二证书为通信密钥加密，从而极大的保障了通信密钥的分配和传递的安全性。

一种可选的实施方式中，第一消息中还包括第一签名。处理单元802根据第一证书，验证第一终端具有利用第二证书请求通信密钥的身份凭证，具体为：根据第一证书中的第一公钥，校验该第一签名；在该第一签名校验通过时，确定第一终端具有第一消息和第一证书对应的第一私钥，第一消息和第一私钥用于指示第一终端具有利用第二证书请求通信密钥的身份凭证。可见，该实施方式保证了该通信密钥配置装置为具有对应身份凭证的第一终端分配通信密钥。

一种可选的实施方式中，该第二消息还包含第二签名。处理单元802，还用于在通信单元801向第一终端发送第二消息之前，利用自身证书对应的私钥和通信密钥的密文，生成第二签名；该第二签名用于指示第二消息来自证书密钥管理服务器。

一种可选的实施方式中，通信单元801，还用于向第一终端发送第一证书和第二证书。可选的，通信单元801可在不同时刻分别发送第一证书、第二证书，如通过多条消息分别发送；或者通信单元801可在同一时刻发送第一证书、第二证书，如通过一条消息发送。

一种可选的实施方式中，该通信密钥配置装置800中，

通信单元801，还用于接收来自第一终端的第三消息，该第三消息包含第一证书和第二公钥；

处理单元802，还用于利用第一证书，验证第一终端具有利用第二证书请求通信密钥的身份凭证；

处理单元802，还用于利用该第二公钥，生成第二证书；

通信单元801，用于向第一终端发送第四消息，该第四消息中包括所述第二证书。

可选的，该通信密钥配置装置800中，第二证书生成的相关操作与第二签名生成的相关操作可由不同的软件模块执行，如由两个处理单元分别执行，即本申请实施例中不限定该通信密钥配置装置800具有的处理单元的个数。

可选的，处理单元802利用第一证书，验证第一终端具有利用第二证书请求通信密钥的身份凭证的操作，可以在通信单元801向第一终端发送第四消息之前执行。

可选的，第三消息中还包括第三签名。处理单元802利用第一证书，验证第一终端具有利用第二证书请求通信密钥的身份凭证，包括：

处理单元802，用于根据第二公钥和所述第一证书中的第一公钥，校验第三签名；

处理单元802，还用于在所述第三签名校验通过时，确定第一终端具有第二公钥和第一证书对应的第一私钥；该第二公钥和该第一私钥用于指示第一终端具有利用第二证书请求通信密钥的身份凭证。

一种可选的实施方式中，该通信密钥配置装置800中：

通信单元801，还用于接收来自第一终端的第五消息；所述第五消息包括设备证书和第一公钥；

处理单元802，还用于利用设备证书，验证第一终端具有请求第一证书的身份凭证；

处理单元802，还用于基于所述第一公钥生成第一证书；

通信单元801，还用于向所述第一终端发送第六消息，所述第六消息中包括该第一证书。

可选的，该通信密钥配置装置800中，第一证书生成的相关操作与第二签名生成的相关操作可由不同的软件模块执行，如由两个处理单元分别执行，即本申请实施例中不限定该通信密钥配置装置800具有的处理单元的个数。可选的，该通信密钥配置装置800中，第一证书生成的相关操作、第二证书生成的相关操作以及第二签名生成的相关操作可由不同的软件模块执行，如由三个处理单元分别执行，即本申请实施例中不限定该通信密钥配置装置800具有的处理单元的个数。

可选的，第五消息中还包括第四签名。处理单元802利用所述设备证书，验证所述第一终端具有请求所述第一证书的身份凭证，具体为：根据第一公钥和设备证书中的第三公钥，校验第四签名；在第四签名校验通过时，确定第一终端具有第一公钥和设备证书对应的第三私钥，第一公钥和第三私钥用于指示第一终端具有请求第一证书的身份凭证。

该通信密钥配置装置800中，通信单元801还用于通过安全通道，向云服务器传输分配给第一终端的通信密钥。从而，有利于云服务器对第一终端上传的数据的密文进行解密，获得数据。

另一实施例中，该通信密钥配置装置800可以执行上述方法实施例中第一终端的相关操作，图8中所示的通信密钥配置装置800可以为图1或图2所示的系统中的第一终端，或为第一终端中的一个器件，例如，芯片或集成电路等，再例如图1中所示的MDC、Tbox、GW等车载设备。该通信密钥配置装置800中：

通信单元801，用于向证书密钥管理服务器发送第一消息；该第一消息包含第一证书和第二证书；

该通信单元801，还用于接收第二消息；该第二消息是证书密钥管理服务器利用第一证书验证第一终端具有利用第二证书请求通信密钥的身份凭证后发送的；第二消息包含第一终端的通信密钥的密文；

处理单元802，利用第二证书对应的第二私钥，解密通信密钥的密文，获得通信密钥。

可见，该通信密钥配置装置800可直接从证书密钥管理服务器获得通信密钥以减少协商密钥所需的消息交互数量，而且还可向证书密钥管理服务器发送第一证书和第二证书，使得证书密钥管理服务器可利用该第一证书验证第一终端所具有的身份凭证，并利用第二证书为通信密钥加密，从而极大的保障了通信密钥的分配和传递的安全性。

一种可选的实施方式中，第一消息中还包括第一签名。处理单元802在通信单元801向证书密钥管理服务器发送第一消息之前，还用于利用第一证书对应的第一私钥和第一证书、第二证书，生成第一签名；第一签名用于证书密钥管理服务器结合第一证书验证第一终端具有利用第二证书请求通信密钥的身份凭证。

一种可选的实施方式中，第二消息还包含第二签名。处理单元802在通信单元801接收第二消息之后，还用于利用证书密钥管理服务器的证书中的公钥，校验第二签名；以及在第二签名校验通过时，确定第二消息来自证书密钥管理服务器。可见，该实施方式使得通信密钥配置装置800可获知该通信密钥来源的合法性。

一种可选的实施方式中，通信单元801，还用于向证书密钥管理服务器请求第一证书和第二证书。

一种可选的实施方式中，通信单元801向证书密钥管理服务器请求第二证书，具体为：向证书密钥管理服务器发送第三消息，该第三消息包括第一证书和第二公钥；接收第四消息；第四消息是证书密钥管理服务器利用第一证书验证所述第一终端具有利用所述第二证书请求所述通信密钥的身份凭证后发送的；第四消息中包括证书密钥管理服务器基于第二公钥生成的第二证书。

一种可选的实施方式中，第三消息中还包括第三签名。处理单元802在通信单元801向证书密钥管理服务器发送第三消息之前，根据第二公钥和第一证书对应的第一私钥，生成第三签名；所述第三签名用于所述证书密钥管理服务器结合所述第一证书验证所述第一终端具有利用所述第二证书请求所述通信密钥的身份凭证。从而，使得证书密钥管理服务器根据该第三签名，获知该通信密钥配置装置800具有利用第二证书请求通信密钥的身份凭证，从而及时为该通信密钥配置装置800分配第二证书。

一种可选的实施方式中，通信单元801向证书密钥管理服务器请求第一证书，具体为：

向证书密钥管理服务器发送第五消息；第五消息包括设备证书和第一公钥；

接收第六消息；第六消息是证书密钥管理服务器利用设备证书验证第一终端具有请求第一证书的身份凭证后发送的；第六消息中包括证书密钥管理服务器基于第一公钥生成的第一证书。

可选的，第五消息中还包括第四签名。处理单元802在通信单元801向证书密钥管理服务器发送第五消息之前，根据第一公钥和所述设备证书对应的第三私钥，生成第四签名；第四签名用于证书密钥管理服务器结合设备证书验证第一终端具有请求第一证书的身份凭证。从而，使得证书密钥管理服务器根据该第四签名，获知该通信密钥配置装置800具有请求第一证书的身份凭证，从而及时为该通信密钥配置装置800分配第一证书。

一种可选的实施方式中，处理单元802在利用所述第二证书对应的第二私钥，解密所述通信密钥的密文，获得所述通信密钥之后，可利用通信密钥对待传输数据进行加密，获得待传输数据的密文，即上传的数据的密文；进而，由通信单元801将该待传输数据的密文上传到云服务器。

又一实施例中，该通信密钥配置装置800可以执行上述方法实施例中云服务器的相关操作，图8中所示的通信密钥配置装置800可以为图1或图2所示的系统中的云服务器，或为云服务器中的一个器件，例如芯片或集成电路等。该通信密钥配置装置800中：通信单元801，可用于获取或接收证书密钥管理服务器分配给第一终端的通信密钥；处理单元802，可用于基于该通信密钥对第一终端上传的数据的密文进行解密，获得数据。从而，有利于及时对自动驾驶等应用的优化。

图9示出了通信密钥配置装置900的示意性框图。

一种实现方式中，通信密钥配置装置900对应上述通信密钥配置方法中的证书密钥管理服务器。可选的，通信密钥配置装置900为执行上述各方法实施例的证书密钥管理服务器中的装置，如芯片、芯片系统、或处理器等。该通信密钥配置装置900可用于实现上述方法实施例中描述的方法，具体可以参见上述方法实施例中的说明。

另一种实现方式中，通信密钥配置装置900对应上述通信密钥配置方法中的第一终端。可选的，通信密钥配置装置900为执行上述各方法实施例的第一终端中的装置，如芯片、芯片系统、或处理器等，或如图1中所示的MDC、Tbox、GW等车载设备。

该通信密钥配置装置900可用于实现上述方法实施例中描述的方法，具体可以参见上述方法实施例中的说明。

通信密钥配置装置900可以包括一个或多个处理器901。处理器901可以是通用处理器或者专用处理器等。通信密钥配置装置900还可以包括收发器905。收发器905可以称为收发单元、收发机、或收发电路等，用于实现收发功能。收发器905可以包括接收器和发送器，接收器可以称为接收机或接收电路等，用于实现接收功能；发送器可以称为发送机或发送电路等，用于实现发送功能。可选的，通信密钥配置装置900中可以包括一个或多个存储器902，其上可以存有指令904，该指令904可为计算机程序，所述计算机程序可在通信密钥配置装置900上被运行，使得通信密钥配置装置900执行上述方法实施例中描述的方法。可选的，所述存储器902中还可以存储有数据。通信密钥配置装置900和存储器902可以单独设置，也可以集成在一起。

一种实施方式中，对于通信密钥配置装置900用于实现上述方法实施例中证书密钥管理服务器的功能：

处理器901用于执行图3至图5中任一附图所示的步骤S303、S304；或者执行图6中的步骤S603、S604；或者执行图7中的步骤S703、S704。

收发器905用于执行图3至图5中任一附图所示的步骤S302、S305、S306；或者执行图6中的步骤S602、S605；或者执行图7中的步骤S702、S705。

另一种实施方式中，对于通信密钥配置装置900用于实现上述方法实施例中第一终端的功能：

收发器905用于执行图3至图5中任一附图所示的通信密钥配置方法中步骤S301以及接收第二消息的操作；或者用于执行图6中的步骤S601以及接收第六消息，或者执行图7中的步骤S701以及接收第四消息。

又一种实施方式中，对于通信密钥配置装置900用于实现上述方法实施例中云服务器的功能：

收发器905用于执行图3至图5中任一附图所示的通信密钥配置方法中获得通信密钥的操作；或者数据加密方法中接收数据的密文的操作；

处理器901用于执行数据解密方法中数据解密的相关操作。

在一种实现方式中，处理器901中可以包括用于实现接收和发送功能的收发器。例如该收发器可以是收发电路，或者是接口，或者是接口电路。用于实现接收和发送功能的收发电路、接口或接口电路可以是分开的，也可以集成在一起。上述收发电路、接口或接口电路可以用于代码/数据的读写，或者，上述收发电路、接口或接口电路可以用于信号的传输或传递。

在一种实现方式中，处理器901可以存有指令703，该指令可为计算机程序，计算机程序903在处理器901上运行，可使得通信密钥配置装置900执行上述方法实施例中描述的方法。计算机程序903可能固化在处理器901中，该种情况下，处理器901可能由硬件实现。

在一种实现方式中，通信密钥配置装置900可以包括电路，所述电路可以实现前述方法实施例中发送或接收或者通信的功能。本申请中描述的处理器和收发器可实现在集成电路(integrated circuit，IC)、模拟IC、射频集成电路(radio frequency integrated circuit，RFIC)、混合信号IC、专用集成电路(application specific integrated circuit，ASIC)、印刷电路板(printed circuit board，PCB)、电子设备等上。该处理器和收发器也可以用各种IC工艺技术来制造，例如互补金属氧化物半导体(complementary metal oxide semiconductor，CMOS)、N型金属氧化物半导体(nMetal-oxide-semiconductor，NMOS)、P型金属氧化物半导体(positive channel metal oxide semiconductor，PMOS)、双极结型晶体管(bipolar junction transistor，BJT)、双极CMOS(BiCMOS)、硅锗(SiGe)、砷化镓(GaAs)等。

以上实施例描述中的通信密钥配置装置900可以是证书密钥管理服务器或其中的部件；或者以上实施例描述中的通信密钥配置装置900可以是第一终端，如车辆，或第一终端中的部件，如车载设备等；或者以上实施例描述中的通信密钥配置装置900可以是云服务器或云服务器中的部件等。通信密钥配置装置900可以是独立的设备或者可以是较大设备的一部分。例如通信密钥配置装置900可以是：

(1)独立的集成电路IC，或芯片，或，芯片系统或子系统；

(2)可嵌入在其他设备内的模块；

(3)移动单元、车载设备云设备、人工智能设备等等。

对于通信密钥配置装置900可以是芯片或芯片系统的情况，可参见图10所示的芯片的结构示意图。图10所示的芯片包括处理器1001和接口1002。其中，处理器1001的数量可以是一个或多个，接口1002的数量可以是多个。

对于芯片用于实现上述方法实施例中证书密钥管理服务器的功能：

处理器1001用于执行图3至图5中任一附图所示的步骤S303、S304；或者执行图6中的步骤S603、S604；或者执行图7中的步骤S703、S704。

接口1002用于执行图3至图5中任一附图所示的步骤S302、S305、S306；或者执行图6中的步骤S602、S605；或者执行图7中的步骤S702、S705。

对于芯片用于实现上述方法实施例中第一终端的功能：

接口1002用于执行图3至图5中任一附图所示的通信密钥配置方法中步骤S301以及接收第二消息的操作；或者用于执行图6中的步骤S601以及接收第六消息，或者执行图7中的步骤S701以及接收第四消息。

对于芯片用于实现上述方法实施例中云服务器的功能：

接口1002用于执行图3至图5中任一附图所示的通信密钥配置方法中获得通信密钥的操作；或者数据加密方法中接收数据的密文的操作；

处理器1001用于执行数据解密方法中数据解密的相关操作。

可选的，该芯片还可以执行上述方法实施例中的相关实施方式，此处不再详述。

本领域技术人员还可以了解到本申请实施例列出的各种说明性逻辑块(illustrative logical block)和步骤(step)可以通过电子硬件、电脑软件，或两者的结合进行实现。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用，可以使用各种方法实现所述的功能，但这种实现不应被理解为超出本申请实施例保护的范围。

本申请还提供一种通信密钥配置系统，该通信密钥配置系统可以包括上述三种实施例分别所述的三种通信密钥配置装置中的至少两种装置。例如，该通信密钥配置系统包括，一种通信密钥配置装置，该通信密钥配置装置可执行上述方法实施例中证书密钥管理服务器的相关操作；另一种通信密钥配置装置，该通信密钥配置装置可执行上述方法实施例中第一终端的相关操作。再例如，该通信密钥配置系统包括，一种通信密钥配置装置，该通信密钥配置装置可执行上述方法实施例中证书密钥管理服务器的相关操作；另一种通信密钥配置装置，该通信密钥配置装置可执行上述方法实施例中第一终端的相关操作；以及又一种通信密钥配置装置，该通信密钥配置装置可执行上述方法实施例中云服务器的相关操作。

本申请还提供一种通信密钥配置系统，该通信密钥配置系统可以包括证书密钥管理服务器、第一终端以及云服务器中的至少两种设备。例如，该通信密钥配置系统包括上述方法实施例中所述的证书密钥管理服务器；以及上述方法实施例中第一终端。再例如，该通信密钥配置系统包括上述方法实施例中证书密钥管理服务器、上述方法实施例中第一终端以及上述方法实施例中云服务器。

本申请还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机可读存储介质被计算机执行时实现上述任一方法实施例的功能。

本申请还提供了一种计算机程序产品，该计算机程序产品被计算机执行时实现上述任一方法实施例的功能。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机程序。在计算机上加载和执行所述计算机程序时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机程序可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机程序可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，高密度数字视频光盘(digital video disc，DVD))、或者半导体介质(例如，固态硬盘(solid state disk，SSD))等。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (46)

1. 一种通信密钥配置方法，其特征在于，包括：

   证书密钥管理服务器接收来自第一终端的第一消息，所述第一消息包含第一证书和第二证书；

   所述证书密钥管理服务器利用所述第一证书，验证所述第一终端具有利用所述第二证书请求通信密钥的身份凭证；

   所述证书密钥管理服务器利用所述第二证书，对分配给所述第一终端的通信密钥进行加密，获得所述通信密钥的密文；

   所述证书密钥管理服务器向所述第一终端发送第二消息，所述第二消息包含所述通信密钥的密文。
2. 根据权利要求1所述的方法，其特征在于，所述第一消息中还包括第一签名，

   所述证书密钥管理服务器利用所述第一证书，验证所述第一终端具有利用所述第二证书请求通信密钥的身份凭证，包括：

   所述证书密钥管理服务器根据所述第一消息和所述第一证书中的第一公钥，校验所述第一签名；

   所述证书密钥管理服务器在所述第一签名校验通过时，确定所述第一终端具有所述第一证书对应的第一私钥，所述第一私钥用于指示所述第一终端具有利用所述第二证书请求通信密钥的身份凭证。
3. 根据权利要求1或2所述的方法，其特征在于，所述第二消息还包含第二签名；

   所述证书密钥管理服务器向所述第一终端发送第二消息之前，所述方法还包括：

   所述证书密钥管理服务器根据所述通信密钥的密文和自身证书对应的私钥，生成所述第二签名；

   所述第二签名用于指示所述第二消息来自所述证书密钥管理服务器。
4. 根据权利要求1至3任一项所述的方法，其特征在于，所述证书密钥管理服务器接收来自第一终端的第一消息之前，所述方法还包括：

   所述证书密钥管理服务器向所述第一终端发送第四消息，所述第四消息包括所述第二证书。
5. 根据权利要求4所述的方法，其特征在于，所述证书密钥管理服务器向所述第一终端发送所述第四消息之前，所述方法还包括：

   所述证书密钥管理服务器接收来自第一终端的第三消息，所述第三消息包含所述第一证书和第二公钥；

   所述证书密钥管理服务器利用所述第一证书，验证所述第一终端具有利用所述第二证书请求通信密钥的身份凭证；

   所述证书密钥管理服务器利用所述第二公钥，生成所述第二证书。
6. 根据权利要求5所述的方法，其特征在于，所述第三消息中还包括第三签名；

   所述证书密钥管理服务器利用所述第一证书，验证所述第一终端具有利用所述第二证书请求通信密钥的身份凭证，包括：

   所述证书密钥管理服务器根据所述第二公钥和所述第一证书中的第一公钥，校验所述第三签名；

   所述证书密钥管理服务器在所述第三签名校验通过时，确定所述第一终端具有所述第一证书对应的第一私钥；所述第一私钥用于指示所述第一终端具有利用所述第二证书请求通信密钥的身份凭证。
7. 根据权利要求1至6任一项所述的方法，其特征在于，所述证书密钥管理服务器接收来自第一终端的第一消息之前，所述方法还包括：

   所述证书密钥管理服务器向所述第一终端发送第六消息，所述第六消息包括所述第一证书。
8. 根据权利要求7所述的方法，其特征在于，所述证书密钥管理服务器向所述第一终端发送所述第六消息之前，所述方法还包括：

   所述证书密钥管理服务器接收来自第一终端的第五消息；所述第五消息包括设备证书和与所述第一证书对应的第一公钥；

   所述证书密钥管理服务器利用所述设备证书，验证所述第一终端具有请求所述第一证书的身份凭证；

   所述证书密钥管理服务器基于所述与所述第一证书对应的第一公钥生成所述第一证书。
9. 根据权利要求8所述的方法，其特征在于，所述第五消息中还包括第四签名；

   所述证书密钥管理服务器利用所述设备证书，验证所述第一终端具有请求所述第一证书的身份凭证，包括：

   所述证书密钥管理服务器根据所述与所述第一证书对应的第一公钥和所述设备证书中的第三公钥，校验所述第四签名；

   所述证书密钥管理服务器在所述第四签名校验通过时，确定所述第一终端具有所述设备证书对应的第三私钥，所述第三私钥用于指示所述第一终端具有请求所述第一证书的身份凭证。
10. 根据权利要求1至9任一项所述的方法，其特征在于，所述方法还包括：

    所述证书密钥管理服务器通过安全通道，向云服务器传输所述分配给所述第一终端的通信密钥。
11. 一种通信密钥配置方法，其特征在于，包括：

    第一终端向证书密钥管理服务器发送第一消息，所述第一消息包含第一证书和第二证书；其中，所述第一证书用于验证所述第一终端具有利用所述第二证书请求通信密钥的身份凭证；

    所述第一终端接收第二消息，所述第二消息包含通信密钥的密文，所述通信密钥的密文为经由所述第二证书对所述第一终端的通信密钥进行加密之后的密文；

    所述第一终端利用所述第二证书对应的第二私钥，解密所述通信密钥的密文，获得所述通信密钥。
12. 根据权利要求11所述的方法，其特征在于，所述第二消息与所述第一终端具有利用所述第二证书请求通信密钥的身份凭证的验证结果相关联。
13. 根据权利要求11或12所述的方法，其特征在于，所述第一消息中还包括第一签名，

    所述第一终端向证书密钥管理服务器发送第一消息之前，所述方法还包括：

    第一终端根据所述第一证书、所述第二证书和所述第一证书对应的第一私钥，生成所述第一签名；

    所述第一签名用于所述第一终端具有利用所述第二证书请求所述通信密钥的身份凭证的验证。
14. 根据权利要求11至13任一项所述的方法，其特征在于，所述第二消息还包含第二签名；

    所述第一终端接收第二消息之后，所述方法还包括：

    所述第一终端利用所述证书密钥管理服务器的证书中的公钥，校验所述第二签名；

    所述第一终端在所述第二签名校验通过时，确定所述第二消息来自所述证书密钥管理服务器。
15. 根据权利要求11至13任一项所述的方法，其特征在于，所述第一终端向证书密钥管理服务器发送第一消息之前，所述方法还包括：

    所述第一终端向所述证书密钥管理服务器请求所述第二证书。
16. 根据权利要求15所述的方法，其特征在于，所述第一终端向所述证书密钥管理服务器请求所述第二证书，包括：

    所述第一终端向所述证书密钥管理服务器发送第三消息，所述第三消息包括所述第一证书和第二公钥；

    所述第一终端接收第四消息；所述第四消息中包括经由所述第二公钥生成的所述第二证书。
17. 根据权利要求16所述的方法，其特征在于，所述第三消息中还包括第三签名；

    所述第一终端向所述证书密钥管理服务器发送第三消息之前，所述方法还包括：

    所述第一终端根据所述第二公钥和所述第一证书对应的第一私钥，生成所述第三签名；

    所述第三签名用于所述第一终端具有利用所述第二证书请求所述通信密钥的身份凭证的验证。
18. 根据权利要求11至17任一项所述的方法，其特征在于，所述第一终端向证书密钥管理服务器发送第一消息之前，所述方法还包括：

    所述第一终端向所述证书密钥管理服务器请求所述第一证书。
19. 根据权利要求18所述的方法，其特征在于，所述第一终端向所述证书密钥管理服务器请求所述第一证书，包括：

    所述第一终端向所述证书密钥管理服务器发送第五消息；所述第五消息包括设备证书和 与所述第一证书对应的第一公钥，所述设备证书用于所述第一终端具有请求所述第一证书的身份凭证的验证；

    所述第一终端接收第六消息；所述第六消息中包括经由所述第一公钥生成的所述第一证书。
20. 根据权利要求19所述的方法，其特征在于，所述第五消息中还包括第四签名；

    所述第一终端向证书密钥管理服务器发送第五消息之前，所述方法还包括：

    所述第一终端根据所述与所述第一证书对应的第一公钥和所述设备证书对应的第三私钥，生成所述第四签名；

    所述第四签名用于所述第一终端具有请求所述第一证书的身份凭证的验证。
21. 根据权利要求11至20任一项所述的方法，其特征在于，所述第一终端利用所述第二证书对应的第二私钥，解密所述通信密钥的密文，获得所述通信密钥之后，所述方法还包括：

    所述第一终端利用所述通信密钥对待传输数据进行加密，获得所述待传输数据的密文；

    所述第一终端将所述待传输数据的密文上传到云服务器。
22. 一种通信密钥配置装置，其特征在于，包括：

    通信单元，用于接收来自第一终端的第一消息，所述第一消息包含第一证书和第二证书；

    处理单元，用于利用所述第一证书，验证所述第一终端具有利用所述第二证书请求通信密钥的身份凭证；

    所述处理单元，还用于利用所述第二证书，对分配给所述第一终端的通信密钥进行加密，获得所述通信密钥的密文；

    所述通信单元，还用于向所述第一终端发送第二消息，所述第二消息包含所述通信密钥的密文。
23. 根据权利要求22所述的装置，其特征在于，所述第一消息中还包括第一签名，

    所述处理单元利用所述第一证书，验证所述第一终端具有利用所述第二证书请求通信密钥的身份凭证，具体为：

    根据所述第一消息和所述第一证书中的第一公钥，校验所述第一签名；

    在所述第一签名校验通过时，确定所述第一终端具有所述第一证书对应的第一私钥，所述第一私钥用于指示所述第一终端具有利用所述第二证书请求通信密钥的身份凭证。
24. 根据权利要求22或23所述的装置，其特征在于，所述第二消息还包含第二签名；

    所述通信单元向所述第一终端发送第二消息之前，所述处理单元，还用于根据所述通信密钥的密文和自身证书对应的私钥，生成所述第二签名；

    所述第二签名用于指示所述第二消息来自所述证书密钥管理服务器。
25. 根据权利要求22至24任一项所述的装置，其特征在于，

    所述通信单元，还用于向所述第一终端发送第四消息，所述第四消息包括所述第二证书。
26. 根据权利要求25所述的装置，其特征在于，

    所述通信单元，还用于在向所述第一终端发送所述第四消息之前，接收来自第一终端的第三消息，所述第三消息包含所述第一证书和第二公钥；

    所述处理单元，还用于利用所述第一证书，验证所述第一终端具有利用所述第二证书请求通信密钥的身份凭证；以及利用所述第二公钥，生成所述第二证书。
27. 根据权利要求26所述的装置，其特征在于，所述第三消息中还包括第三签名；

    所述处理单元利用所述第一证书，验证所述第一终端具有利用所述第二证书请求通信密钥的身份凭证，具体为：

    根据所述第二公钥和所述第一证书中的第一公钥，校验所述第三签名；

    在所述第三签名校验通过时，确定所述第一终端具有所述第一证书对应的第一私钥；所述第一私钥用于指示所述第一终端具有利用所述第二证书请求通信密钥的身份凭证。
28. 根据权利要求22至27任一项所述的装置，其特征在于，

    所述通信单元，还用于在接收来自第一终端的第一消息之前，向所述第一终端发送第六消息，所述第六消息包括所述第一证书。
29. 根据权利要求28所述的装置，其特征在于，

    所述通信单元，还用于在向所述第一终端发送所述第六消息之前，接收来自第一终端的第五消息；所述第五消息包括设备证书和与所述第一证书对应的第一公钥；

    所述处理单元，还用于利用所述设备证书，验证所述第一终端具有请求所述第一证书的身份凭证；以及基于所述与所述第一证书对应的第一公钥生成所述第一证书。
30. 根据权利要求29所述的装置，其特征在于，所述第五消息中还包括第四签名；

    所述处理单元，利用所述设备证书，验证所述第一终端具有请求所述第一证书的身份凭证，具体为：

    根据所述与所述第一证书对应的第一公钥和所述设备证书中的第三公钥，校验所述第四签名；

    在所述第四签名校验通过时，确定所述第一终端具有所述设备证书对应的第三私钥，所述第三私钥用于指示所述第一终端具有请求所述第一证书的身份凭证。
31. 根据权利要求22至30任一项所述的装置，其特征在于，

    所述通信单元，还用于通过安全通道，向云服务器传输所述分配给所述第一终端的通信密钥。
32. 一种通信密钥配置装置，其特征在于，包括：

    通信单元，用于向证书密钥管理服务器发送第一消息；所述第一消息包含第一证书和第二证书；其中，所述第一证书用于验证第一终端具有利用所述第二证书请求通信密钥的身份凭证；

    所述通信单元，还用于接收第二消息；所述第二消息包含通信密钥的密文，所述通信密钥的密文为经由所述第二证书对所述第一终端的通信密钥进行加密之后的密文；

    处理单元，利用所述第二证书对应的第二私钥，解密所述通信密钥的密文，获得所述通 信密钥。
33. 根据权利要求32所述的装置，其特征在于，所述第二消息与所述第一终端具有利用所述第二证书请求通信密钥的身份凭证的验证结果相关联。
34. 根据权利要求32或33所述的装置，其特征在于，所述第一消息中还包括第一签名，

    所述处理单元在所述通信单元向证书密钥管理服务器发送第一消息之前，还用于根据第一证书、第二证书和所述第一证书对应的第一私钥，生成所述第一签名；

    所述第一签名用于所述第一终端具有利用所述第二证书请求所述通信密钥的身份凭证的验证。
35. 根据权利要求32至34任一项所述的装置，其特征在于，所述第二消息还包含第二签名；

    所述处理单元在所述通信单元接收第二消息之后，还用于利用所述证书密钥管理服务器的证书中的公钥，校验所述第二签名；以及在所述第二签名校验通过时，确定所述第二消息来自所述证书密钥管理服务器。
36. 根据权利要求32至35任一项所述的装置，其特征在于，

    所述通信单元，还用于向所述证书密钥管理服务器请求所述第二证书。
37. 根据权利要求36所述的装置，其特征在于，所述通信单元向所述证书密钥管理服务器请求所述第二证书，具体为：

    向所述证书密钥管理服务器发送第三消息，所述第三消息包括所述第一证书和第二公钥；

    接收第四消息；所述第四消息中包括经由所述第二公钥生成的所述第二证书。
38. 根据权利要求37所述的装置，其特征在于，所述第三消息中还包括第三签名；

    所述处理单元在所述通信单元向所述证书密钥管理服务器发送第三消息之前，根据所述第二公钥和所述第一证书对应的第一私钥，生成所述第三签名；

    所述第三签名用于所述第一终端具有利用所述第二证书请求所述通信密钥的身份凭证的验证。
39. 根据权利要求32至38任一项所述的装置，其特征在于，

    所述通信单元，还用于在向证书密钥管理服务器发送第一消息之前，向所述证书密钥管理服务器请求所述第一证书。
40. 根据权利要求39所述的装置，其特征在于，所述通信单元向所述证书密钥管理服务器请求所述第一证书，具体为：

    向所述证书密钥管理服务器发送第五消息；所述第五消息包括设备证书和与所述第一证书对应的第一公钥，所述设备证书用于所述第一终端具有请求所述第一证书的身份凭证的验证；

    接收第六消息；所述第六消息中包括经由所述第一公钥生成的所述第一证书。
41. 根据权利要求40所述的装置，其特征在于，所述第五消息中还包括第四签名；

    所述处理单元，还用于在所述通信单元向证书密钥管理服务器发送第五消息之前，根据所述与所述第一证书对应的第一公钥和所述设备证书对应的第三私钥，生成所述第四签名；

    所述第四签名用于所述第一终端具有请求所述第一证书的身份凭证的验证。
42. 根据权利要求32至41任一项所述的装置，其特征在于，

    所述处理单元，还用于在利用所述第二证书对应的第二私钥，解密所述通信密钥的密文，获得所述通信密钥之后，利用所述通信密钥对待传输数据进行加密，获得所述待传输数据的密文；

    所述通信单元，还用于将所述待传输数据的密文上传到云服务器。
43. 一种通信密钥配置装置，其特征在于，所述通信密钥配置装置包括至少一个处理器和通信接口，所述通信接口用于发送和/或接收数据，所述至少一个处理器用于调用至少一个存储器中存储的计算机程序，以使得所述通信密钥配置装置实现如权利要求1至10中任一项所述的方法，或者以使得所述通信密钥配置装置实现如权利要求11至21中任一项所述的方法。
44. 一种通信密钥配置系统，其特征在于，包括证书密钥管理服务器、第一终端和云服务器，其中：

    所述证书密钥管理服务器包含如权利要求22至31中任一项所述的通信密钥配置装置；

    所述第一终端包含如权利要求32至42中任一项所述的通信密钥配置装置；

    所述云服务器，用于获取所述证书密钥管理服务器为所述第一终端分配的通信密钥。
45. 一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机程序，当所述计算机程序在一个或多个处理器上运行时，实现如权利要求1至10中任一项所述的方法，或实现如权利要求11至21中任一项所述的方法。
46. 一种计算机程序产品，其特征在于，包括计算机指令，当所述计算机指令在计算机上运行时，使得所述计算机执行如权利要求1至10任一项所述的方法，或如权利要求11至21任一项所述的方法。

Images