一种基于V2X的数字证书申请方法及系统

本发明涉及数字证书领域，尤其涉及一种基于V2X的数字证书申请方法及系统。

车联网V2X应用和互联网、移动互联网同样会面临多种网络安全攻击，针对车联网应用的攻击将会给个体及社会带来更大的危害。安全认证技术至关重要，从根本上建立车辆、设施、网络、用户的信任体系，实现身份合法性验证、消息完整性验证，是智能网联汽车V2X应用的第一道安全防线。

注册证书机构：用于负责注册证书（EC）的签发，注册证书机构一般由车企运营。

证书注册机构：用于负责授权证书（假名证书、身份证书、应用证书等）的注册，并请求证书签发机构进行签发证书。通常证书注册机构和证书签发机构一般由省级行政单位的证书机构（CA）运营。

如果车企想要在自己的注册证书机构内增加部署运营证书注册机构，则无力承担证书注册机构本该有的移动网络接入能力。

为了解决上述问题，有必要提供一种基于V2X的数字证书申请方法及系统。

本发明第一方面提出一种基于V2X的数字证书申请方法，包括：

步骤S101，车载终端生成数字证书申请请求，并将数字证书申请请求发送给证书访问服务器；

步骤S102，证书访问服务器将数字证书申请请求转发给证书注册服务器；

步骤S103，证书注册服务器对数字证书申请请求进行验证，验证通过后，向证书签发服务器发送数字证书签发请求，同时返回数字证书申请应答给证书访问服务器；

步骤S104，证书签发服务器签发数字证书，并返回给证书注册服务器；

步骤S105，证书注册服务器接收数字证书并进行压缩形成下载包，并同步给证书访问服务器；

步骤S106，所述车载终端根据接收到的证书访问服务器转发的数字证书申请应答向证书访问服务器请求下载数字证书的压缩包。

基于上述，步骤S101中，车载终端与路侧设备进行短距离通信，车载终端生成数字证书申请请求后，通过所述路侧设备将数字证书申请请求发送给证书访问服务器；

步骤S103中，证书访问服务器通过所述路侧设备返回数字证书申请应答至所述车载终端；

步骤S106中，所述车载终端通过所述路侧设备向证书访问服务器请求下载数字证书的压缩包。

基于上述，所述数字证书申请应答包括数字证书下载时间。

基于上述，步骤S101、S103、S106中的路侧设备均为相同路侧设备。

基于上述，步骤S101、S103中的路侧设备为相同路侧设备，步骤S106中的路侧设备与步骤S101或S103中的路侧设备为不同路侧设备。

基于上述，所述证书申请请求至少包括证书申请信息和注册证书。

基于上述，步骤S101中，车载终端生成数字证书申请请求时，使用非对称密钥算法生成两对种子公私密钥对：用于签发数字证书的签名用密钥对(A，a)，用于加密生成的假名证书的加密用密钥对(P，p)；使用对称密钥算法生成两个对称密钥：签名用对称密钥ck和加密用对称密钥ek；

公钥因子A、公钥因子P、签名用对称密钥ck和加密用对称密钥ek作为证书申请信息包括在数字证书申请请求中发送给证书注册服务器；

步骤S103中，证书注册服务器对数字证书申请请求校验通过后，使用公钥因子A与签名用对称密钥ck进行计算，得到签名用公钥B，公钥因子P与加密用对称密钥ek进行计算，得到加密用公钥Q；

证书注册服务器向证书签发服务器发送数字证书签发请求时，将签名用公钥B和加密用公钥Q一并送给证书签发服务器；

步骤S104中，证书签发服务器签发数字证书前，随机生成一对公私钥对(C，c)，其中公钥因子C与B进行运算得到完整公钥S；

证书签发服务器对基于完整公钥S的待签名数据进行签发得到数字证书PC，再用对应的公钥Q对数字证书PC及私钥因子c进行加密后将该n个密文发送至证书注册服务器；

步骤S106中，车载终端收到证书访问服务器返回的数字证书下载应答后，使用私钥因子a和私钥因子p分别与签名用对称密钥ck和加密用对称密钥ek进行计算，得到签名用私钥b和加密用私钥q；

使用私钥因子q解密对应的密文，得到数字证书PC及私钥因子c，最终使用私钥b与私钥因子c计算得到数字证书PC所对应的完整私钥s。

基于上述，步骤S103中，证书注册服务器对数字证书申请请求校验通过后，使用公钥因子A与签名用对称密钥ck进行第一轮扩展计算，得到签名用公钥B1，公钥因子P与加密用对称密钥ek进行第一轮扩展计算，得到加密用公钥Q1；重复进行n轮扩展运算，得到(Bi，Qi)，i=(1，…，n)；

步骤S104中，公钥因子C与n个Bi逐一进行运算得到完整公钥Si；证书签发服务器对基于完整公钥Si的待签名数据进行签发得到数字证书PCi，再用对应的公钥Qi对数字证书PCi及私钥因子c进行加密后将该密文发送至证书注册服务器；

步骤S106中，车载终端收到证书访问服务器返回的数字证书下载应答后，使用私钥因子a和私钥因子p分别与签名用对称密钥ck和加密用对称密钥ek进行n轮计算，得到签名用私钥bi和加密用私钥qi，i=(1，…，n)；

使用私钥因子qi解密对应的密文，得到数字证书PCi及私钥因子c，最终使用私钥bi与私钥因子c计算得到数字证书PCi所对应的完整私钥si。

本发明第二方面提出一种基于V2X的数字证书申请系统，包括证书访问服务器、证书注册服务器以及证书签发服务器；所述证书注册服务器分别通信连接于所述证书访问服务器和所述证书签发服务器；当车载终端进行数字证书申请时，执行所述的基于V2X的数字证书申请方法的步骤。

本发明第三方面提出一种基于V2X的数字证书申请系统，包括路侧设备、证书访问服务器、证书注册服务器以及证书签发服务器；所述证书注册服务器分别通信连接于所述证书访问服务器和所述证书签发服务器；当车载终端进行数字证书申请时，执行所述的基于V2X的数字证书申请方法的步骤。

本发明将传统的证书注册服务器进行功能拆分部署，即将传统的证书注册服务器提供的数字证书下载功能分拆出来，并部署在证书访问服务器上，确保拆分后的证书注册机构的运营方无需负责高可用的移动网络接入的情况下，尽可能的控制车载终端的证书申请，减轻了证书注册机构的运营方的网络业务负担，并保护车载终端的证书申请行为信息。

本发明通过车载终端提供种子公钥，并由证书注册服务器基于种子公钥进行扩展，然后根据扩展后的公钥向证书签发服务器申请签发批量数字证书，对于车载终端而言，可以一次获取批量的数字证书，减少数字证书的申请次数、申请频率，并有效解决多个车载终端同时申请数字证书过程中，给网络链路造成拥塞的问题。

本发明的附加方面和优点将在下面的描述部分中变得明显，或通过本发明的实践了解到。

本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：

图1示出了本发明基于V2X的数字证书申请方法的工作流程图。

图2示出了本发明实施例1所述基于V2X的数字证书申请方法的系统框图。

图3示出了本发明实施例2所述所述基于V2X的数字证书申请方法的一种实现方式的系统框图。

图4示出了本发明实施例2所述所述基于V2X的数字证书申请方法的另一种实现方式的系统框图。

为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在不冲突的情况下，本申请的实施例及实施例中的特征可以相互组合。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他不同于在此描述的其他方式来实施，因此，本发明的保护范围并不受下面公开的具体实施例的限制。

实施例1

如图1和图2所示，一种基于V2X的数字证书申请方法，包括：

步骤S101，车载终端生成数字证书申请请求，并将数字证书申请请求发送给证书访问服务器；

步骤S102，证书访问服务器将数字证书申请请求转发给证书注册服务器；

步骤S103，证书注册服务器对数字证书申请请求进行验证，验证通过后，向证书签发服务器发送数字证书签发请求，同时返回数字证书申请应答给证书访问服务器；

步骤S104，证书签发服务器签发数字证书，并返回给证书注册服务器；

步骤S105，证书注册服务器接收数字证书并进行压缩形成下载包，并同步给证书访问服务器；

步骤S106，所述车载终端根据接收到的证书访问服务器转发的数字证书申请应答向证书访问服务器请求下载数字证书的压缩包。

本实施例中，所述证书访问服务器还用于接收车载终端的证书下载请求，并将所述证书下载请求转发给所述证书注册机构，由所述证书注册机构对车载终端的身份进行验证，待身份验证通过后，所述证书访问服务器再向所述车载终端提供对应数字证书的下载功能。

需要说明的是，本实施例中，证书注册服务器对数字证书申请请求进行验证，如果验证结果为有效，即可触发生成数字证书签发请求并将其转发给所述证书签发服务器；如果验证结果为无效，则通过所述证书访问服务器反馈给所述车载终端，同时结束本次数字证书申请流程。

优选的，本实施例中的数字证书可以为假名证书、应用证书、身份证书的任意一种。但不限于此。

具体的，所述数字证书申请请求至少包括证书申请信息和注册证书。

需要说明的是，证书申请主体（即车载终端）首先通过认证授权系统申请获取注册证书，之后基于所述注册证书申请安全通信相关的其他应用数字证书（如假名证书、应用证书等）。由于所述数字证书申请请求包括车载终端的注册证书，所以证书注册服务器可以基于所述注册证书来验证所述数字证书申请请求的有效性。

需要说明的是，所述证书签发服务器签发的数字证书，可以由所述证书签发服务器的公钥签发生成，也可以由车载终端提供公钥，然后基于该公钥申请签发数字证书。其中，由车载终端提供公钥，然后基于该公钥申请签发数字证书的具体流程如下：

步骤S101中，车载终端生成数字证书申请请求时，使用非对称密钥算法生成两对种子公私密钥对：用于签发数字证书的签名用密钥对(A，a)，用于加密生成的假名证书的加密用密钥对(P，p)；使用对称密钥算法生成两个对称密钥：签名用对称密钥ck和加密用对称密钥ek；

公钥因子A、公钥因子P、签名用对称密钥ck和加密用对称密钥ek作为证书申请信息包括在数字证书申请请求中发送给证书注册服务器；

步骤S103中，证书注册服务器对数字证书申请请求校验通过后，使用公钥因子A与签名用对称密钥ck进行计算，得到签名用公钥B，公钥因子P与加密用对称密钥ek进行计算，得到加密用公钥Q；

证书注册服务器向证书签发服务器发送数字证书签发请求时，将签名用公钥B和加密用公钥Q一并送给证书签发服务器；

步骤S104中，证书签发服务器签发数字证书前，随机生成一对公私钥对(C，c)，其中公钥因子C与B进行运算得到完整公钥S；

证书签发服务器对基于完整公钥S的待签名数据进行签发得到数字证书PC，再用对应的公钥Q对数字证书PC及私钥因子c进行加密后将该n个密文发送至证书注册服务器；

步骤S106中，车载终端收到证书访问服务器返回的数字证书下载应答后，使用私钥因子a和私钥因子p分别与签名用对称密钥ck和加密用对称密钥ek进行计算，得到签名用私钥b和加密用私钥q；

使用私钥因子q解密对应的密文，得到数字证书PC及私钥因子c，最终使用私钥b与私钥因子c计算得到数字证书PC所对应的完整私钥s。

对于数字证书来说，其有长期证书和短期证书，通常在车联网V2X领域中，例如假名证书，其的使用周期为一周，每个星期需为相应的车载终端申请20张假名证书，在应用过程中每5分钟随机从假名证书表里面选一张用作消息签名证书，在特定的应用场景下，还要求每两公里随机变化一次假名证书。因此，在签发每张假名证书之前需要对车载终端提供的种子公钥进行扩展，然后基于扩展后的公钥申请签发假名证书，具体的：

步骤S103中，证书注册服务器对数字证书申请请求校验通过后，使用公钥因子A与签名用对称密钥ck进行第一轮扩展计算，得到签名用公钥B1，公钥因子P与加密用对称密钥ek进行第一轮扩展计算，得到加密用公钥Q1；重复进行n轮扩展运算，得到(Bi，Qi)，i=(1，…，n)；

步骤S104中，公钥因子C与n个Bi逐一进行运算得到完整公钥Si；证书签发服务器对基于完整公钥Si的待签名数据进行签发得到数字证书PCi，再用对应的公钥Qi对数字证书PCi及私钥因子c进行加密后将该密文发送至证书注册服务器；

步骤S106中，车载终端收到证书访问服务器返回的数字证书下载应答后，使用私钥因子a和私钥因子p分别与签名用对称密钥ck和加密用对称密钥ek进行n轮计算，得到签名用私钥bi和加密用私钥qi，i=(1，…，n)；

使用私钥因子qi解密对应的密文，得到数字证书PCi及私钥因子c，最终使用私钥bi与私钥因子c计算得到数字证书PCi所对应的完整私钥si。

在其它实施例中，当所述数字证书为假名证书时，所述证书注册服务器还用于形成假名证书的链接值，并基于链接值形成假名证书签发请求。所述证书注册服务器包含链接机构的功能，能够形成假名证书的链接值，以支持假名证书的高效撤销。

实施例2

本实施例与实施例1的区别在于：在实施例1的基础上还加入了路侧设备，因为在具体的应用场景中，车载终端（如车辆）可能无可用的Uu网络接口，即无法与证书访问服务器进行直接网络连接，此时，可以借助路侧设备来中转信息，即车载终端与路侧设备之间可以通过PC5点对点进行短距离通信。

具体的流程为：

步骤S101中，车载终端与路侧设备进行短距离通信，车载终端生成数字证书申请请求后，通过所述路侧设备将数字证书申请请求发送给证书访问服务器；

步骤S103中，证书访问服务器通过所述路侧设备返回数字证书申请应答至所述车载终端；

步骤S106中，所述车载终端通过所述路侧设备向证书访问服务器请求下载数字证书的压缩包。

本实施例中，如果所述证书注册机构验证所述证书申请请求通过，则所述数字证书申请应答包括数字证书下载时间。

车载终端可以根据所述证书注册服务器提供的数字证书下载时间决定何时启动数字证书下载流程；由车载终端判断数字证书下载时间是否已到；如果下载时间已到，车载终端与证书访问服务器建立安全连接。车载终端向证书访问服务器发送证书下载请求，并通过已建立的安全通信通道传输。证书访问服务器接收到所述证书下载请求并转发给所述证书注册机构，由所述证书注册机构验证所述证书下载请求。待验证成功后，所述证书访问服务器向车载终端发送证书下载响应消息，其中包含数字证书压缩包。由车载终端对假名证书进行安全存储。

在具体的应用场景中，本实施例中，如图3所示，步骤S101、S103、S106中的路侧设备均为相同路侧设备，解决车载终端在无Uu口网络的情况下实现申请数字证书的效果。然而，如图4所示，车载终端通过第一路侧设备向证书注册服务器发送申请请求，由于车载终端是行驶的，当证书签发服务器签发数字证书之后，车载终端可能已在第二个地点了，此时可以通过第二个地点的第二路侧设备进行数字证书下载。因此，步骤S101、S103中的路侧设备为相同路侧设备，步骤S106中的路侧设备与步骤S101或S103中的路侧设备为不同路侧设备。从而解决车载终端在无Uu口网络的情况下实现移动申请数字证书的效果。

实施例3

如图2所示，本实施例提供了一种基于V2X的数字证书申请系统，包括证书访问服务器、证书注册服务器以及证书签发服务器；所述证书注册服务器分别通信连接于所述证书访问服务器和所述证书签发服务器；当车载终端进行数字证书申请时，执行实施例1所述的基于V2X的数字证书申请方法的步骤。

实施例4

如图3和图4所示，本实施例提供了一种基于V2X的数字证书申请系统，包括路侧设备、证书访问服务器、证书注册服务器以及证书签发服务器；所述证书注册服务器分别通信连接于所述证书访问服务器和所述证书签发服务器；当车载终端进行数字证书申请时，执行实施例2所述的基于V2X的数字证书申请方法的步骤。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。